O que é o IDS e o IPS?

O que é o IDS e o IPS?

A detecção de intrusão é o processo de monitorar o tráfego de sua rede e analisá-lo à busca de sinais de possíveis intrusões, como tentativas de exploração e incidentes que possam ser ameaças iminentes à sua rede. Já a prevenção de intrusão é o processo de realizar a detecção de intrusão e então parar os incidentes detectados, o que normalmente é feito pelo descarte de pacotes ou encerramento de sessões. Essas medidas de segurança estão disponíveis na forma de sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS), que fazem parte das medidas de segurança de rede executadas para detectar e parar incidentes em potencial, sendo funcionalidades incluídas nos firewalls de próxima geração (NGFW).

 

Quais são os benefícios dos IDS/IPS?

Os IDS/IPS monitoram todo o tráfego na rede para identificar qualquer comportamento malicioso conhecido. Uma das maneiras pelas quais um invasor pode tentar comprometer uma rede é explorando alguma vulnerabilidade em um dispositivo ou software. Os IDS/IPS identificam essas tentativas de exploração e as bloqueiam antes que consigam comprometer qualquer endpoint da rede. Os IDS/IPS são tecnologias de segurança necessárias tanto na borda da rede e dentro dos data centers, exatamente porque elas podem parar os invasores enquanto eles estão coletando informações sobre sua rede.

 

Como funciona a tecnologia IDS?

Essas metodologias de detecção IDS são normalmente usadas para detectar incidentes:

  • A detecção baseada em assinatura compara assinaturas contra eventos observados para identificar possíveis incidentes. Este é o método de detecção mais simples, pois compara apenas a unidade de atividade em análise (como um pacote ou uma entrada de registro) a uma lista de assinaturas, usando operações de comparação de strings.
  • A detecção baseada em anomalias compara definições do que é considerado atividade normal com eventos observados, a fim de identificar desvios significativos. Este método de detecção pode ser muito eficaz em detectar ameaças anteriormente desconhecidas.
  • A análise de protocolo de estado compara perfis predeterminados de definições geralmente aceitas para atividade de protocolo benignas para cada estado de protocolo contra eventos observados, a fim de identificar desvios.

O que você pode fazer com o IDS/IPS?

Os sistemas de detecção de invasões (IDS) e sistemas de prevenção de intrusão (IPS) assistem constantemente à sua rede, identificando possíveis incidentes e registrando informações sobre eles, parando os incidentes e comunicando-os a administradores de segurança. Além disso, algumas redes usam o IDS/IPS para identificar problemas com políticas de segurança e impedir os indivíduos de violá-las. O IDS/IPS tornou-se um complemento necessário para a infraestrutura de segurança da maioria das organizações, precisamente porque eles podem parar atacantes enquanto eles estão coletando informações sobre sua rede.

 

IDS e IPS da Juniper

Os firewalls da Série SRX da Juniper Networks, que incluem o vSRX e o cSRX estão totalmente equipados para serviços de detecção e prevenção de intrusões (IDP). Você pode executar seletivamente diversas técnicas de detecção e prevenção de ataques no tráfego de rede que passa pelo seu dispositivo da Série SRX escolhido ou o serviço Secure Edge, que fornece o firewall como serviço. Você pode definir regras de política para combinar uma seção de tráfego com base em uma zona, uma rede ou um aplicativo e então tomar ações preventivas ativas ou passivas nesse tráfego. A Série SRX e o serviço Secure Edge contêm assinaturas IPS robustas atualizadas continuamente para proteger as redes contra ataques. A Série SRX pode encaminhar logs IDP a qualquer sistema de gerenciamento de eventos e incidentes de segurança (SIEMs), como o Juniper Secure Analytics (JSA).

Perguntas frequentes sobre IDS e IPS

O IDS ou IPS são firewall?

Sim. Firewalls verdadeiramente de próxima geração possuem as funcionalidades IDS e IPS. Entretanto, nem todos os firewalls são firewalls de próxima geração. Além disso, um firewall bloqueia e filtra tráfego de rede, enquanto o IDS e o IPS detectam e emitem alerta ou bloqueiam uma tentativa de exploração, dependendo da configuração. Os IDS e IPS atuam no tráfego após o firewall tê-lo filtrado, em conformidade com a política configurada.

Como o IDS e o IPS são implementados?

Um sistema de detecção de intrusão IDS é responsável por identificar ataques e técnicas, sendo muitas vezes implantado fora da banda em um modo somente de escuta, de forma que possa analisar todo o tráfego e gerar eventos de intrusão se notar tráfego suspeito ou malicioso. 

Um sistema de prevenção contra invasões (IPS) é implantado no percurso do tráfego de forma que todo o tráfego deve passar pelo dispositivo para continuar ao seu destino. Se algum tráfego malicioso for detectado, o IPS interrompe a conexão e derruba a sessão ou tráfego.

Um IPS pode bloquear tráfego?

Sim. Um IPS monitora constantemente o tráfego à busca de exploits conhecidos para proteger a rede. O IPS então compara o tráfego com as assinaturas existentes. Se encontrar alguma correspondência, o IPS executará uma dessas três ações: 1) detectar e registrar o tráfego, 2) detectar e bloquear o tráfego ou 3) (a opção recomendada) detectar, registrar e bloquear o tráfego. 

O que um IDS pode detectar?

Um IDS detecta ameaças com base em padrões de exploits conhecidos, comportamentos maliciosos e técnicas de ataque. Um IDS eficaz também detecta técnicas evasivas que os invasores utilizam para ocultar exploits, tais como a fragmentação de chamadas de procedimento remoto (RPC), padding de HTML e outros tipos de manipulação de TCP/IP.

Saiba mais sobre o que o IDS/IPS da Juniper pode detectar e bloquear em nossa página de Assinaturas.

Um IPS pode evitar o DDoS?

Um IPS pode impedir determinados tipos de ataques de DDoS (negação de serviço distribuída). Por exemplo, ataques de negação de serviço de aplicativo (AppDoS) são uma das categorias que a função IPS pode identificar e bloquear. Entretanto, ameaças DDoS em alto volume requerem uma solução dedicada, como o Corero DDoS da Juniper.

Quais são as tecnologias, soluções e produtos IDS e IPS oferecidos pela Juniper?

A Juniper oferece ambas as soluções IDS e IPS em uma única assinatura de software que esteja implementada em qualquer um dos serviços e produtos de firewall de próxima geração da Juniper: firewalls físicos, virtuais e SRX conteinerizados, ou como serviço no Juniper Secure Edge.