IDS x IPS

Poste aqui suas dúvidas e sugestões sobre todas as tecnologias de redes e telefonia.
eddyconstantino
Membro Júnior
Membro Júnior
Mensagens: 1
Registrado em: 16 Mar 2009, 13:15

IDS x IPS

Mensagem por eddyconstantino » 16 Mar 2009, 13:23

Olá, sou novo aqui no forum e gostaria de saber uma definição técnica de IPS e IDS. Muito obrigado a todos.

Gasper
Membro Master
Membro Master
Mensagens: 63
Registrado em: 29 Out 2008, 01:37
Localização: Teresina- PI

definição

Mensagem por Gasper » 16 Mar 2009, 14:30

Bem,

IDS("Intrusion Detection System"): Como o próprio nome ja diz, é uma ferramenta de detecção de intrusos. Geralmente as empresas utilizam o firewall como ferramenta preventiva de detecção de intrusos, mais isso acaba inibindo a ação do IDS.

O sistema de detecção de intrusão ou IDS, tem como um dos objetivos principais detectar se alguém está tentando entrar no seu sistema ou se algum usuário legitimo está fazendo mau uso do mesmo. Esta ferramenta roda constantemente em background e somente gera uma notificação quando detecta alguma coisa que seja suspeita ou ilegal. Assim sendo, podemos dizer que a placenta corresponde aos sistemas de firewalls. A imunidade passiva está dentro dos sensores e são os padrões de ataques/assinaturas, ou seja, os ataques conhecidos previamente. A imunidade ativa também estão dentro dos sensores e são caracterizadas por possuírem inteligência para aprender com o comportamento da rede e, com isso, identificar novos padrões ou mutação dos padrões existentes.

Um sensor é composto por um conjunto de componentes, dentre eles:

* O sub-sensor estático;
* O sub-sensor inteligente, e
* O aprendiz.

O sub-sensor estático deve, inicialmente, ser configurado de acordo com a política de segurança , além de possuir as assinaturas dos ataques conhecidos. Isso caracteriza a imunização passiva. Já o sub-sensor inteligente, inicialmente, passa por um período de adaptação e aprendizado, fase em que aprende e reconhece o padrão de funcionamento da rede. Este período pode ser variável, dependendo do volume de tráfego. Após esta fase, estes sub-sensores inteligentes estariam em condições de reconhecer padrões que fogem da normalidade da rede e tomarem ações.

De acordo com o seu campo de ação, os sensores podem ainda ser classificados de dois tipos:

* Os sensores de rede: Estes devem localizar-se em segmentos estratégicos, observando o tráfego da rede, o formato de pacotes, entre outros;
* Os sensores de hosts: Estes ficam dentro dos servidores críticos, observando as ações realizadas no sistema operacional, as ações dos serviços e o comportamento da pilha TCP/IP.

Os sensores devem interagir entre si a fim de construírem uma matriz de eventos que tem por objetivo a qualificação do padrão de ataque, minimizando, desta forma, a ocorrência de alertas falsos.

Outras características são: o gerenciamento centralizado, a possibilidade do sensor interagir com outros elementos de rede como firewall, roteadores e consoles de gerência; e a possibilidade de construir uma base de conhecimento centralizada de forma a permitir uma visão ampla do nível de segurança da rede.

Quando algum ataque for detectado pelos sensores, torna-se possível ações de conta-ataque que podem ser: envio de e-mail para o administrador, envio de mensagem via pager, ativação de alertas nas estações de gerência via SNMP, reconfiguração de elementos de rede como firewall e roteadores, e até mesmo o encerramento da conexão através do envio de pacotes de reset (flag RST do TCP ) para a máquina atacante e para a máquina atacada, com o objetivo de descarregar a pilha TCP.

A anatomia de uma ferramenta de IDS

O MODELO CONCEITUAL DE UMA FERRAMENTA DE IDS


Devido a grande variedade de sistemas de IDS, foi proposto um modelo chamado CIDF (Common Intrusion Detection Framework) que agrupa um conjunto de componentes que define uma ferramenta de IDS:

* Gerador de Eventos (E-boxes);
* Analizador de Eventos (A-boxes);
* Base de dados de Eventos (D-boxes);
* Unidade de Resposta (R-boxes).

Algumas características desejáveis destes componentes são:

* Podem ser reutilizados em um contexto diferente do qual foram originalmente desenvolvidos, ou seja, devem ser configuráveis de forma a adaptarem-se a ambientes distintos;
* Serem elaborados em módulos com funções distintas;
* Podem compartilhar/trocar informações entre si, via API ou através da rede, para uma melhor precisão na identificação de ataques;
* Componentes novos devem, automaticamente, identificar os demais componentes;
* O grupo de componentes poder atuar mutuamente de forma a dar a impressão de ser um único elemento.

Segundo a padronização do CIDF, existe um modelo de linguagem para troca de informações entre os componentes, o CISL - Common Intrusion Specification Language - este formato é referenciado como GIDO - Generalized Intrusion Detection Objects.

O Gerador de Eventos - (E-box)

A função deste componente é obter os eventos a partir do meio externo ao CIDF, ou seja, ele "produz" os eventos mas não os processa, isso fica a cargo do componente especializado na função de processamento, que, por sua vez, após analisar os eventos (violação de política, anomalias, intrusão) envia os resultados para outros componentes.

O Analisador de Eventos - (A-box)

Este componente, basicamente, recebe as informações de outros componentes, as analisa e as envia de forma resumida para outros componentes, ou seja, recebe os dados de forma bruta, faz um refinamento e envia para outros.

A Base de Dados de Eventos - (D-box)

A função deste componente é armazenar os eventos e/ou resultados para uma necessidade futura.

A Unidade de Resposta - (R-box)

Este componente é responsável pelas ações, ou seja, matar o processo, reinicializar a conexão, alterar a permissão de arquivos, notificar as estações de gerência, etc.

A COMUNICAÇÃO ENTRE COMPONENTES

A comunicação entre os componentes é definida por uma arquitetura de camadas:

* Nível Gido (Gido Layer);
* Nível de Mensagem (Message Layer);
* Nível de Transporte Negociado (Negotiated Transport Layer).

Esta arquitetura garante a comunicação entre os elementos, bem como sistemas de criptografia e autenticação. Estes mecanismos estão definidos no Comm - Communication in the Common Intrusion Detection Framework.




IPS- INTRUSION PREVENTION SYSTEM


O IPS("Intrusion Prevention System"): é uma rede de segurança que monitora dispositivo de rede e / ou sistema de actividades maliciosas ou indesejado comportamento e pode reagir, em tempo real, para bloquear ou impedir essas actividades. Rede de base IPS, por exemplo, irá funcionar em linha para monitorar todo o tráfego de rede para um código malicioso ou ataques. Quando um ataque é detectado, ele pode cair a ofender pacotes permitindo assim o tráfego para todos os outros passam.

O IPS é normalmente concebido para funcionar completamente invisível em uma rede. IPS respostas comuns incluem largando pacotes, redefinição ligações, gerando alertas, e mesmo quarantining intrusos, enquanto alguns produtos têm a capacidade de implementar regras de firewall, este é muitas vezes uma mera conveniência e não uma função essencial do produto. Além disso, oferece uma visão mais detalhada da tecnologia em rede de prestação de informações sobre operações demasiado ativa, mal logons, conteúdo inadequado e muitas outras funções de rede e de aplicação camada.

Um IPS tem a capacidade de bloquear o acesso para os usuários, anfitriões ou aplicações, fá-lo apenas quando o código malicioso foi descoberto. Como tal, o IPS não necessariamente servir como um controle de acesso dispositivo. Embora tenha algumas habilidades controle de acesso, firewall e controle de acesso à rede (NAC) essas tecnologias são mais adequadas para fornecer seus próprios recursos.

IPS sistemas possuem algumas vantagens sobre sistemas de detecção de intrusão (IDS). Uma vantagem é que eles são projetados para sentar-se em linha com os fluxos de tráfego e impedir ataques em tempo real. Além disso, a maioria das soluções IPS têm a capacidade de olhar (decodificar) 7 protocolos como HTTP, FTP, SMTP e que prevê uma maior sensibilização. No entanto, durante a implementação de rede baseados em IPS (NIPS), deverá ser tida em consideração se o segmento de rede uma vez que não é codificado como muitos produtos são capazes de apoiar controlo do tráfego.

IPS pode fazer mais do que apenas largar pacotes. Porque é um IPS inline, que não tem que interpretar a rede pilha. O IPS pode corrigir CRC, unfragment pacotes córregos, prevenir TCP seqüenciamento questões, e limpar indesejado transporte e camada de rede opções. Intrusion sistema de detecção de fraude técnicas foram feitas pelo famoso Inserção, Evasão, e Negação de Serviço: Eluding Network Intrusion Detection e pode ser abordada com IPS.

Tipos de IPS
--> HOST-Based

--> REDE

--> Content-based

--> Protocolo Análise

--> Taxa de Base



Bem, espero ter ajudado.

:roll:

Gasper

Responder