A interligação das empresas à Internet tem seus prós e seus
contras. Dentre os pontos positivos, aparecem as inúmeras possibilidades de
comunicação entre seus colaboradores e a abertura de novos negócios. Dentre os
pontos negativos, está a exposição de suas vulnerabilidades e, conseqüentemente,
aos ataques vindos de qualquer parte do mundo. Para evitar esses problemas,
algumas medidas devem ser tomadas como a instalação de equipamentos que
protejam e monitorem a rede da empresa.
O sistema de prevenção de intrusos (Intrusion Prevention
System - IPS) e o sistema de detecção de intrusos (Intrusion Detection System)
são termos utilizados para equipamentos que monitoram o comportamento da rede
com intuito de detectar eventos atípicos. Em linhas gerais, o IDS tem a função
de monitorar, registrar e alertar sobre
algum comportamento anormal na rede. O IDS pode também trabalhar no modo
reativo, encerrando, por exemplo, uma sessão em caso de suspeita de atividade
maliciosa. Já o IPS, além de detectar, atua de forma proativa (prevenção)
quando suspeitar de alguma tentativa de ataque.
Para a detecção de anomalias, as duas tecnologias fazem uso
de assinaturas de ataques, que são padrões conhecidos de tráfegos usados em invasões de redes. O IPS permite ainda prevê novos tipos ataques através da detecção de algum tráfego que foge do
padrão normal, por exemplo, em um aumento súbito do tráfego da rede. O lado
negativo disso, é que esse comportamento pode ser um tráfego "verdadeiro", ou seja,
um tráfego não proveniente de um ataque, causando problemas para o administrador de rede e para a corporação.
Fonte: O que significam as siglas IPS e IDS, no contexto de redes de computadores? Encontrado em http://www.npd.ufes.br/node/87
