Clique na imagem para ampliar.
Firewall, IDS e IPS.
Imagine um cenário bem comum em nossa vida. Na nossa porta temos uma fechadura. Ela é utilizada para deixar entrar somente aqueles que nós conhecemos e autorizamos. Sem ela, qualquer um poderia entrar na nossa casa, até mesmo por engano. Na segurança da internet, o papel da fechadura é desempenhado pelo Firewall. Este é configurado de modo a permitir que apenas os programas autorizados possam acessar ou serem acessados pelos outros computadores da internet. Mas a decisão é nossa: se optarmos por deixar um ladrão entrar, o Firewall nada fará para impedir que ele entre e sinta-se bem-vindo!
Agora vamos instalar a câmera: a função desta câmera é registrar em vídeo todos que entram e saem da residência. Caso alguma coisa aconteça, será possível examinar o vídeo e descobrir o que houve e, mais importante, quem foi o responsável. Apesar de muito útil para solucionar crimes, a câmera por si só não os evita. É assim que funcionam os sistemas de IDS (Intrusion Detection System). Tais sistemas trabalham analisando os registros de acesso à internet e procurando anomalias que possam indicar uma invasão à rede e sinalizam isso para que o administrador da rede possa agir ou entender o que está acontecendo.
Por último vamos contratar a vigilância 24h e uma patrulha. Agora, não precisamos esperar que algo aconteça para que a câmera seja útil. Podemos evitar os problemas! Com a vigilância, se alguém ficar rondando a nossa porta, a patrulha será acionada e questionará o potencial invasor antes que o problema ocorra. É isso que faz o IPS. Baseado na análise feita pelo IDS, ele reprograma o firewall automaticamente e bloqueia o endereço IP do invasor enquanto ele ainda estiver preparando o ataque, ou seja, antes que ele ocorra.
Mas se o firewall está funcionando corretamente e o ataque será bloqueado, para que serve o IPS?
Ocorre que assim como a nossa fechadura permite que entre qualquer um enquanto aberta, o Firewall irá deixar passar todas as conexões para serviços autorizados. Mas nem todas as conexões são “do bem”. Algumas delas vem de crackers que tentam se infiltrar enganando os serviços da rede, como EMAIL e WEB.
Fonte e mais informações: blogWINCO http://blog.winco.com.br/winco/firewall-ids-ips
Sobre o Firewall:
Uma firewall (em português: Parede de fogo) é um dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto da rede. O firewall pode ser do tipo filtros de pacotes, proxy de aplicações, etc. Os firewalls são geralmente associados a redes TCP/IP.
Este dispositivo de segurança existe na forma de software e de hardware, a combinação de ambos é chamado tecnicamente de "appliance". A complexidade de instalação depende do tamanho da rede, da política de segurança, da quantidade de regras que controlam o fluxo de entrada e saída de informações e do grau de segurança desejado.
Fonte e mais informações: http://pt.wikipedia.org/wiki/Firewall
Sobre o IDS:
Sistema de detecção de intrusos ou também conhecido como Sistema de detecção de intrusão ( em inglês: Intrusion detection system - IDS) refere-se a meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados que podem indicar a acção de um cracker ou até mesmo funcionários mal intencionados.
Com o acentuado crescimento das tecnologias de infraestrutura tanto nos serviços quanto nos protocolos de rede torna-se cada vez mais difícil a implantação de sistema de detecção de intrusos. Esse fato está intimamente ligado não somente a velocidade com que as tecnologias avançam, mas principalmente com a complexidade dos meios que são utilizados para aumentar a segurança nas transmissões de dados.
Uma solução bastante discutida é a utilização de host-based IDS que analisam o tráfego de forma individual em uma rede. No host-based o IDS é instalado em um servidor para alertar e identificar ataques e tentativas de acessos indevidos à própria máquina.
Fonte e mais informações: http://pt.wikipedia.org/wiki/Sistema_de_detec%C3%A7%C3%A3o_de_intrusos
Sobre o IPS:
Sistema de prevenção de intrusões, do inglês: Intrusion prevention systems (IPS), evoluíram no final dos anos noventa para resolver as ambiguidades no monitoramento de rede passivo ao colocar a detecção em linha. No começo o IPS era apenas um Sistema de detecção de intrusos (IDS) que possibilitava alguma interação com o firewall para controlar o acesso. Em pouco tempo foi necessário desenvolver algo mais robusto, uma vez que, apenas comandar o firewall ainda deixava que ao menos aquele pacote malicioso trafegasse na rede, a solução era implementar formas inteligentes de bloqueio dentro do IPS. Visto como uma extensão do firewall, o IPS possibilita decisões de acesso baseadas no conteúdo da aplicação, e não apenas no endereço IP ou em portas como os firewalls tradicionais trabalham. Entretanto, nada impede que para otimizar a performance muitos IPS utilizem regras baseadas em portas e endereço IP.
O IPS também pode servir secundariamente como um serviço de nível de host, prevenindo atividades potencialmente maliciosas. Existem vantagens e desvantagens entre o IPS baseado em host e o IPS baseado em rede. Em alguns casos, as tecnologias podem ser complementares. Porém, não se pode esquecer que muita da tecnologia de IPS de rede evoluiu e hoje pode tranqüilamente exercer também as funções de host.
A qualidade de um sistema de prevenção de intruso está em ser um excelente detector de tráfego malicioso com uma média de falso positivo e falso negativa baixa.
Fonte e mais informações: http://pt.wikipedia.org/wiki/Sistema_de_preven%C3%A7%C3%A3o_de_intrusos
O Firewall, IDS e IPS, são citados, no RIPE-554: em português (http://ipv6.br/guia-para-compras-ou-licitacoes-de-equipamentos-com-suporte-a-ipv6/) e em inglês (http://www.ripe.net/ripe/docs/current-ripe-documents/ripe-554).
Fonte da imagem no topo do artigo: http://www.gateprotect.com/images/stories/ids_UK.png
Nenhum comentário:
Postar um comentário