FIREWALL, NIDS, HIDS, IDS e IPS


Olá pessoal, tudo certo?

O assunto de hoje é: FIREWALL, NIDS, HIDS, IDS e IPS.


Boa leitura!

  FIREWALL 

Com a tradução literal do nome "Parede de fogo", já deixa claro que o firewall se enquadra em uma espécie de barreira de defesa.  A sua "missão" consiste basicamente em bloquear tráfego de dados indesejado e liberar acessos bem-vindos.

Ele irá detectar intrusos, bloqueá-los de entrar em rede da empresa, notificar o administrador do sistema, registrar informações sobre a origem da tentativa de invasão, produzir relatórios para ajudar as autoridades a rastrear os culpados.

Firewalls podem ser configurados para monitorar o tráfego de Internet de entrada e saída,
eles também podem ser usados para impedir que os funcionários acessam jogos, newsgroups e/ou sites específicos.

O Firewall é uma solução de segurança baseada em hardware ou software (mais comum) que, a partir de um conjunto de regras ou instruções,
analisa o tráfego de rede para determinar quais operações de transmissão ou recepção de dados podem ser executadas.




IDS – Intrusion detection system 


Um sistema de detecção de intrusão (IDS) monitora o tráfego de rede e monitores para atividades suspeitas e alerta o sistema ou administrador de rede.

Em alguns casos, o IDS também podem responder ao tráfego anômalo ou malicioso, tomando medidas como o bloqueio do usuário ou fonte endereço IP de acessar a rede.

Características:
  • Trabalha como uma câmera ou um alarme contra as intrusões.
  • Capaz de detectar e alertar os administradores quanto a possíveis ataques.
  • Capaz de detectar ataques a DMZ.
  • O Firewall libera conexões o IDS detecta, notifica e responde a tráfegos suspeitos.

 IPS – Intrusion prevention systems 


Um IPS, ou prevenção de intrusão sistema é utilizado em segurança de computadores.
Ele fornece as políticas e normas para o tráfego de rede, juntamente com um sistema de detecção de intrusão para alertar os administradores de sistema ou de
rede para tráfego suspeito. Com a configuração adequada, O IPS poderá gerar uma alerta, bloquear o atacante, dropar o pacote, dentre outras funções.

Alguns comparam um IPS a uma combinação de IDS e um firewall de camada de aplicação para a proteção.

Características:
  • O posicionamento em corte na rede do IPS e não apenas à escuta na rede para o IDS (tradicionalmente posicionado como um sniffer na rede).
  • A possibilidade de bloquear imediatamente as intrusões e independentemente do tipo de protocolo de transporte utilizado e sem reconfiguração de um equipamento terceiro,
  •  O que induz que o IPS é constituído em como nativo numa técnica de filtragem de pacotes e meios de bloqueio (drop connection, drop offending packets, block intruder,…).

NIDS – Network Intrusion Detection Systems 


Sistemas NIDS monitoram toda uma rede atrás de anomalias e ataques que estão em curso.

Para realizar a analise dos pacotes, sensores são colocados em pontos estratégicos da rede.
Estes sensores monitoram todo o tráfego de entrada e saída atrás de payloads que possam indicar que um ataque está sendo realizado.

Quando um ataque é detectado, o software avisa ao administrador e este pode tomar alguma ação logo no início do ataque.

HIDS – Host Intrusion Detection Systems (Host-based IDS)  


Enquanto sistemas NIDS monitoram redes inteiras, os sistemas HIDS monitoram apenas um único host na rede.

Porém, ao invés de monitorar pacotes de rede, o software também irá monitorar que processo acessa qual recurso, quais arquivos são alterados,
verificar as informações da RAM e logs, garantir que as informações destes não foram alterados.

Os HIDS operam sobre informações provindas de computadores individuais. HIDS observam as atividades e os acessos referentes a servidores chave nos quais foram instalados.
Analisam as atividades determinando quais processos e usuários estão envolvidos em um tipo particular de ataque.

Podem então ver as conseqüências de uma tentativa de ataque, podendo acessar e monitorar os arquivos e processos que normalmente são alvos de ataque.

HIDS é valioso para detectar não só intrusão externa como também acessos por usuários internos com aparente confiança.
Eles procuram por atividades suspeitas tais como falhas de login, mudanças nas autorizações dos sistemas e acessos a arquivos não autorizados.

Agem  nas máquinas que devem proteger. Os sistemas HIDS parecem ser o ponto de ligação entre firewalls e NIDS.

O HIDS pode funcionar com um banco de dados contendo checksums dos arquivos presentes no sistema de arquivos para que ele saiba quando um determinado arquivo foi
 alterado ou mesmo quais objetos devem ser monitorados.

Pense sobre o cenário:

Um software que monitora se um usuário seja ele admin ou usuário normal tentou quebrar alguma política de segurança que você impôs no sistema.
É basicamente o cenário que se assemelha ao HIDS.

 Vantagens de utilização:
  • Pode monitorar eventos locais de um host, detectando ataques que passariam despercebidos pelos IDS de rede.
  • Podem operar em ambiente cujo tráfego de rede é criptografado, analisando a informação antes do processo de criptografia, se estiver instalado na origem, ou depois de ser decriptada, se estiver no destino.
  • Se o HIDS operar em nível de sistema operacional, pode detectar “Cavalos de Tróia”, assim como ataques que envolvem problemas de integridade nos programas.

 Bom pessoal, espero que tenham gostado!

 Fiquem ligados nos próximos posts e até a próxima. o/

Thallita Celeste

Olá! Sou Thallita, fundadora do blog ThallitaCeleste. Sou Analista de segurança, com fome de conhecimento e grande vontade de ajudar as pessoas ao redor. Aqui, tento manter meu histórico sobre diversos temas. Bem, seja Bem Vindo ao meu Blog! Espero que goste. o/

2 comentários:

  1. Olá Thallita, estudo para concurso e estava revisando esses tópicos!! Bastante objetivo e bem explicado. Parabéns e obrigado!

    ResponderExcluir