IDS / IPS
Um IDS e IPS, acrônimos
para Intrusion Detection System ou Sistema de Detecção de Intrusão e Intrusion
Prevention System ou Sistema de Prevenção de Intrusão respectivamente, são
sistemas que tem por função detectar e prevenir os acessos não autorizados às redes
ou hosts de uma ou mais redes, sendo portanto grandes aliados dos(as)
administradores(as) de redes na manutenção da segurança dos ambientes por
eles(as) controlados.
Estes
sistemas podem ser implementados com a utilização de hardwares dedicados à estas
funções, ou através da instalação de softwares com esta função em hardwares já
existentes na rede, como uma switch, um roteador, ou mesmo em um ou vários
servidores ou desktops. Dependendo de suas localizações na rede, eles possuem
designações diferentes, assim como métodos ou arquiteturas de verificação e
proteção diferentes, sendo considerados de tipos diferentes.
Por
exemplo, um conjunto IDS/IPS instalado em um computador ou servidor é
considerado do tipo HIDS/HIPS, ou seja, Host Intrusion Detection System/Host
Intrusion Prevention System, que significam Sistema de Detecção de Intrusão
baseado em Host/Sistema de Prevenção de Intrusão baseado em Host, assim
chamados por atuarem na detecção e prevenção de intrusões com base no
comportamento e no histórico do tráfego de dados do computador no qual está
instalado. Neste tipo de instalação, podemos encontrar uma sub-categoria
conhecida por Honeypot, que é aquela em que o computador no qual este sistema
está instalado tem a finalidade de permitir o acesso do(o) invasor(a) a um
ambiente controlado, para que assim o(a) administrador(a) da rede possa estudar
a forma como o atacante agiu, além de observar seu comportamento e intenções
após a suposta obtenção deste acesso à rede.
Já
um conjunto IDS/IPS instalado em uma switch, ou roteador por exemplo, é
considerado do tipo NIDS/NIPS, ou seja Network Intrusion Detection
System/Network Intrusion Prevention System, que querem dizer Sistema de
Detecção de Intrusão baseado em Rede/ Sistema de Prevenção de Intrusão baseado
em Rede, sendo assim chamados por ter foco no monitoramento e atuação na rede
em que estão acoplados, baseando-se no histórico de comportamento e tráfego de
dados desta. Esses tipos podem ser combinados em soluções mistas, mesclando o
monitoramento de rede(s) com hosts e servidores.
BASTION HOST
Bastion
host é qualquer máquina configurada para desempenhar algum papel crítico na
segurança da rede interna; constituindo-se na presença pública na Internet,
provendo os serviços permitidos segundo a política de segurança da empresa.
Marcus
Ranum é um dos responsáveis pela popularidade deste termo na comunidade
profissional de firewall, segundo ele "bastions são áreas críticas de
defesa, geralmente apresentando paredes fortes, salas para tropas extras, e o
ocasional útil repositório de óleo quente para desencorajar os atacantes[CHA
95]".
Um
bastion host deve ter uma estrutura simples, de forma que seja fácil de
garantir a segurança. É importante que se esteja preparado para o fato de que o
bastion host seja comprometido, considerando que ele provavelmente (dependendo
do site) será alvo de ataques.
O
bastion host tem responsabilidades diferentes do packet filter, dependendo do
seu tipo. Alguns autores enfatizam que enquanto o packet filter atua em um
nível mais baixo o bastion host se encarrega de todos os níveis (referentes ao
modelo OSI). Na realidade, um host pode acumular tanto as funções de filtragem
de pacotes como também pode prover alguns serviços; neste caso, ele seria um
packet filter e bastion host simultaneamente (exemplo: dual homed host). Independentemente
de qual seja a nomenclatura adotada, o que se deve ter em mente é o papel que
estes dois componentes desempenham: filtragem e provedor de serviços. Traçando
um paralelo destes dois componentes em relação ao modelo OSI, o packet filter
realiza algum exame dos pacotes até o nível 4 (transporte) enquanto que o
bastion host se encarrega basicamente dos níveis superiores (fundamentalmente o
de aplicação, nível 7).
Nenhum comentário:
Postar um comentário