Sistemas de Prevenção-Detecção de Intrusão
Sistemas de Prevenção-Detecção de Intrusão (IPS/IDS)
Os Sistemas de Prevenção-Detecção de Intrusão são ferramentas essenciais para proteger redes e sistemas contra ameaças cibernéticas. Dividem-se em duas categorias principais:
1. Sistemas de Detecção de Intrusão (IDS)
- Função: Monitorar tráfego de rede ou atividades do sistema para identificar padrões suspeitos.
- Tipos:
- Baseado em Rede (NIDS): Analisa pacotes em tempo real.
- Baseado em Host (HIDS): Monitora arquivos e logs em dispositivos específicos.
- Métodos de Detecção:
- Assinatura: Compara atividades com banco de dados de ataques conhecidos.
- Anomalia: Usa machine learning para detectar desvios do padrão normal.
2. Sistemas de Prevenção de Intrusão (IPS)
- Função: Bloquear automaticamente atividades maliciosas identificadas.
- Características: Atua em linha (inline), podendo descartar pacotes ou encerrar conexões.
- Tipos: Similar ao IDS (NIPS/HIPS), mas com ação proativa.
Diferenças entre IDS e IPS
- IDS: Reativo (apenas alerta).
- IPS: Proativo (bloqueia ameaças).
Termos Chave para Concursos
- Falso Positivo/Negativo: Erros de detecção.
- Snort: Ferramenta open-source de IDS/IPS.
- DPI (Deep Packet Inspection): Análise detalhada do conteúdo de pacotes.