O que é o IDS e o IPS?

O que é o IDS e o IPS?

A detecção de invasões é o processo de monitorar os eventos que ocorrem em sua rede e analisá-los por sinais de possíveis incidentes, violações ou ameaças iminentes a suas políticas de segurança. A prevenção de invasões é o processo de realizar a detecção de intrusão e depois parar os incidentes detectados. Essas medidas de segurança estão disponíveis como sistemas de detecção de intrusão (IDS) e sistemas de prevenção de invasão (IPS), que se tornam parte da sua rede para detectar e parar incidentes potenciais.

Problemas IDS/Endereço IPS

Uma rede de negócios típica tem vários pontos de acesso a outras redes, tanto públicas como privadas. O desafio é manter a segurança dessas redes ao mesmo tempo em que as mantém abertas a seus clientes. Atualmente, os ataques são tão sofisticados que eles podem burlar até mesmo os melhores sistemas de segurança, especialmente aqueles que ainda operam sob a suposição de que as redes podem ser protegidas por criptografia ou firewalls. Infelizmente, essas tecnologias por si só não são suficientes para combater os ataques de hoje.

 

 

O que você pode fazer com o IDS/IPS?

Os sistemas de detecção de invasões (IDS) e sistemas de prevenção de intrusão (IPS) assistem constantemente à sua rede, identificando possíveis incidentes e registrando informações sobre eles, parando os incidentes e comunicando-os a administradores de segurança. Além disso, algumas redes usam o IDS/IPS para identificar problemas com políticas de segurança e impedir os indivíduos de violá-las. O IDS/IPS tornou-se um complemento necessário para a infraestrutura de segurança da maioria das organizações, precisamente porque eles podem parar atacantes enquanto eles estão coletando informações sobre sua rede.

Como funciona a tecnologia IDS?

As três metodologias de detecção de IDS são normalmente usadas para detectar incidentes.

  • A detecção baseada em assinatura compara assinaturas contra eventos observados para identificar possíveis incidentes. Este é o método de detecção mais simples, porque ele compara apenas a unidade de atividade atual (como um pacote ou uma entrada de registro, a uma lista de assinaturas) usando operações de comparação de strings.
  • A detecção baseada em anomalias compara definições do que é considerado atividade normal com eventos observados, a fim de identificar desvios significativos. Este método de detecção pode ser muito eficaz em detectar ameaças anteriormente desconhecidas.
  • A análise de protocolo de estado compara perfis predeterminados de definições geralmente aceitas para atividade de protocolo benignas para cada estado de protocolo contra eventos observados, a fim de identificar desvios.

Implementação da Juniper Networks

A Juniper Networks usa os gateways de serviços da série SRX para serviços de detecção e prevenção de intrusões (IDP). Você pode aplicar várias técnicas de detecção e prevenção de ataques no tráfego de rede que passa pelo seu dispositivo da Série SRX escolhido. Você pode definir regras de política para combinar uma seção de tráfego com base em uma zona, uma rede ou um aplicativo e então tomar ações preventivas ativas ou passivas nesse tráfego. O dispositivo da Série SRX contém um conjunto completo de assinaturas IPS para proteger redes contra ataques. A Juniper Networks atualiza regularmente o banco de dados de ataque predefinido. O dispositivo da Série SRX pode encaminhar dados de captura de pacotes (PCAP) do seu tráfego para um dispositivo Juniper Secure Analytics (JSA) usando o protocolo de PCAP Syslog Combination.