IPS (Intrusion Prevention System)
IPS (Intrusion Prevention System) - Resumo para Concursos
Definição
O IPS (Intrusion Prevention System) é um sistema de segurança que monitora ativamente o tráfego de rede para detectar e bloquear automaticamente atividades maliciosas em tempo real, como explorações de vulnerabilidades, ataques de negação de serviço (DDoS) e tentativas de intrusão.
Diferença entre IDS e IPS
- IDS (Intrusion Detection System): Apenas detecta e alerta sobre ameaças.
- IPS: Detecta e age (bloqueia/remove ameaças) sem intervenção humana.
Tipos de IPS
- Network-based (NIPS): Protege toda a rede.
- Host-based (HIPS): Protege dispositivos específicos (servidores, estações).
- Wireless (WIPS): Focado em redes Wi-Fi.
Técnicas de Detecção
- Assinatura (Signature-based): Compara tráfego com padrões conhecidos de ataques.
- Anomalia (Anomaly-based): Identifica desvios do comportamento "normal" da rede.
Vantagens
- Resposta automática a ameaças.
- Redução de falsos positivos (em comparação ao IDS).
- Proteção proativa contra vulnerabilidades.
Desvantagens
- Pode causar falsos negativos (não detectar ataques novos).
- Overhead de desempenho na rede.
- Configuração complexa para evitar bloqueios indevidos.
Questões Chave para Concursos
- IPS age em tempo real, enquanto IDS apenas alerta.
- NIPS protege a rede; HIPS protege hosts específicos.
- Mecanismos de detecção: assinatura (ataques conhecidos) x anomalia (comportamento incomum).