O que é IDS/IPS (Intrusion Detection System / intrusão prevenção System)
0 IDS e IPS são dispositivos de segurança ou, por vezes, software que pode ser instalado em uma rede ou um servidor para analisar o tráfego flui através da placa de rede, ar ou fio. Um IDS visualiza os dados fluindo através da interface de rede com fio-velocidade ou sobre o ar na taxa de transmissão e procura por assinaturas chave dentro a carga. Estas assinaturas são conhecidas parâmetros identificáveis para a maioria se não todos estudado malware (vírus, worms, Trojans, spyware, etc) e comportamento suspeito, até à data. Como resultado, eficazes IDS exigem atualizações regulares para suas bibliotecas de assinaturas de malware, a fim de identificar e lidar com o tráfego suspeito.
Um IDS, detecta e gera alertas sobre reconhecer a assinatura de uma ameaça conhecido. Um IPS em contrapartida leva ação pré-determinada para parar o ataque, por interromper o fluxo de tráfego, terminando a sessão IP, uma quarentena talvez a origem do tráfego suspeito. IPS é, portanto, mais autónoma e pode não só detectar e proteger e evitar as ameaças de materialização ou espalhar na rede. No entanto, IDS/IPS só é tão preciso quanto sua capacidade de identificar sabe assinaturas na velocidade do fio.
Como resultado, os atacantes utilizaram vários métodos para disfarçar comportamento suspeito ou a assinatura de ameaças – por exemplo, fragmentando os pacotes para a assinatura espalhados por vários pacotes para impedir que um IDS/IPS, detecção e executando a assinatura correspondente. Isso pode resultar em um falso negativo – real ataque passe despercebido. IDS/IPS também pode produzir altos níveis de falsos positivos – identificar o tráfego non-ameaçando. A ampla disseminação de uso de criptografia por ele e os atacantes tem prestado muitos sistemas de IDS/IPS praticamente redundante no entanto, eles são ainda de uso comum em ambientes de PME.
Fonte: http://www.virtualhostedpbx.net/what-is-idsips-intrusion-detection-systemintrusion-prevention-system/