IDS vs. IPS: Quais são as di­fe­ren­ças e se­me­lhan­ças entre estes sistemas de segurança?

A melhor forma de proteger uma rede ou um sistema in­for­má­tico é iden­ti­fi­car e conter os ataques o mais cedo possível, antes que possam causar danos. Um com­ple­mento lógico ao firewall são os sistemas de deteção e prevenção de intrusões. Aqui fica uma ex­pli­ca­ção sobre as se­me­lhan­ças e di­fe­ren­ças entre os IDS e os IPS.

Antes de com­pa­rar­mos o IDS com o IPS, convém explicar ambos os sistemas. IDS significa Intrusion Detection System, ou sistema de deteção de intrusões, ou seja, um sistema que deteta, o mais ra­pi­da­mente possível, os ataques a um cliente ou a uma rede. Se um IDS detetar, durante a sua análise, um tráfego de dados invulgar, envia um aviso ao ad­mi­nis­tra­dor. O IDS dispõe de métodos de re­co­nhe­ci­mento de ataques baseados na rede ou no host. IPS significa Intrusion Pre­ven­tion System, ou sistema de prevenção de intrusões, e descreve um sistema que não só reconhece e informa sobre possíveis ataques, como também toma medidas ativas contra os mesmos. Os IPS também utilizam sensores baseados no host e na rede para avaliar os dados do sistema e os pacotes de rede.

O que têm em comum o IDS e o IPS?

Neste breve guia, ficará claro que os sistemas IDS e IPS não são opostos absolutos. Na verdade, têm vários elementos em comum. Aqui estão os pontos que os sistemas de deteção e de prevenção de intrusões têm em comum:

Análise

Em muitos casos, os métodos de análise de ambos os sistemas coincidem total ou par­ci­al­mente. Tanto o IPS como o IDS utilizam sensores no host, na rede ou em ambos os pontos para verificar os dados do sistema e os pacotes de dados na rede e detetar ameaças. Para tal, utilizam pa­râ­me­tros es­pe­cí­fi­cos para re­co­nhe­cer ir­re­gu­la­ri­da­des, embora, por vezes, iden­ti­fi­quem até anomalias ino­fen­si­vas. A análise é feita, de­pen­dendo do sistema, através da Detecção de Uti­li­za­ção Indevida ou da Detecção de Anomalias. No entanto, também partilham possíveis pontos fracos. Com a Detecção de Uti­li­za­ção Indevida, podem passar des­per­ce­bi­das ameaças des­co­nhe­ci­das, enquanto a Detecção de Anomalias reporta com maior frequên­cia pacotes de dados ino­fen­si­vos.

Base de dados

Para re­co­nhe­cer os perigos, ambos os sistemas recorrem a uma base de dados que permite iden­ti­fi­car as ameaças de forma mais rápida e precisa. Quanto mais extensa for a bi­bli­o­teca, maior será a taxa de detecção de ambos os sistemas. Por este motivo, nem o IDS nem o IPS devem ser en­ten­di­dos como con­fi­gu­ra­ções estáticas, mas sim como sistemas dinâmicos que vão apren­dendo e me­lho­rando a cada atu­a­li­za­ção.

Uti­li­za­ção da IA

Um fator de im­por­tân­cia vital tanto para os IDS como para os IPS é a in­te­li­gên­cia ar­ti­fi­cial. Com a apren­di­za­gem au­to­má­tica, os sistemas modernos melhoram a sua ca­pa­ci­dade de re­co­nhe­ci­mento de ameaças e ampliam as suas bases de dados. Desta forma, com­pre­en­dem melhor os novos padrões de ataque, detetam-nos mais cedo e, ao mesmo tempo, alertam com menos frequên­cia para pacotes ino­fen­si­vos.

Opções de con­fi­gu­ra­ção

Ambos os sistemas podem ser per­so­na­li­za­dos e adaptados às ne­ces­si­da­des de uma rede ou de um sistema in­for­má­tico. Esta con­fi­gu­ra­ção garante que os processos não sejam in­ter­rom­pi­dos e que todos os com­po­nen­tes funcionem sem problemas, apesar da mo­ni­to­ri­za­ção. Este é também um aspeto im­por­tante, uma vez que tanto o IDS como o IPS realizam var­re­du­ras e análises em tempo real.

Au­to­ma­ti­za­ção

Os sistemas IDS e IPS funcionam de forma au­to­ma­ti­zada e autónoma. Uma vez con­fi­gu­ra­dos, não requerem su­per­vi­são por parte do pessoal de segurança, exe­cu­tando as suas tarefas conforme lhes é ordenado. Apenas emitem um aviso caso surja algum problema.

Detecção e alerta de perigos

Embora os IDS e os IPS apre­sen­tem algumas di­fe­ren­ças, partilham uma função básica: ambos os sistemas iden­ti­fi­cam ameaças e alertam ime­di­a­ta­mente o ad­mi­nis­tra­dor. Este aviso pode ser enviado por e-mail, como no­ti­fi­ca­ção para um dis­po­si­tivo móvel ou di­re­ta­mente como um alarme de segurança. Desta forma, os res­pon­sá­veis podem definir o curso de ação a seguir.

Função de protocolo

Tanto os IDS como os IPS dispõem de uma im­por­tante função de protocolo. Isto permite-lhes não só notificar (ou defender-se contra) as ameaças, como também adicioná-las à sua própria base de dados. Desta forma, tornam-se mais eficazes, o que lhes permitirá iden­ti­fi­car po­ten­ci­ais pontos fracos e, na melhor das hipóteses, resolvê-los.

Em conjunto com o cortafogo

Embora existam algumas di­fe­ren­ças entre o IDS e o IPS, ambos devem ser en­ten­di­dos como um com­ple­mento ao firewall. Todos os me­ca­nis­mos de segurança devem estar co­or­de­na­dos entre si para proteger o sistema contra ataques da melhor forma possível. Se for utilizado apenas um sistema de deteção ou de prevenção de intrusões, a rede ou o sistema in­for­má­tico não estarão su­fi­ci­en­te­mente pro­te­gi­dos.

Quais são as di­fe­ren­ças entre IDS e IPS?

Como já foi referido, os sistemas IDS e IPS têm alguns pontos em comum. No entanto, se os com­pa­rar­mos, também é possível encontrar di­fe­ren­ças. Estas são as mais im­por­tan­tes:

Prevenção de riscos

Como já foi explicado acima, tanto o IDS como o IPS mo­ni­to­ri­zam o sistema, alertam para as ameaças e registam-nas. No entanto, enquanto o sistema de deteção de intrusões se limita a isso, o sistema de prevenção de intrusões vai muito além. O IPS é um sistema de segurança ativo que se defende das ameaças de forma in­de­pen­dente. Para tal, se ne­ces­sá­rio, pode in­ter­rom­per a ligação ou rejeitar pacotes de dados caso apre­sen­tem alguma anomalia. Por outro lado, o IDS deve ser visto como um sistema passivo que se limita a mo­ni­to­ri­zar e notificar os perigos que encontrar.

Lo­ca­li­za­ção

As opções de lo­ca­li­za­ção também diferem entre o IDS e o IPS. O IDS será instalado quer no com­pu­ta­dor, quer num ponto de ex­tre­mi­dade da rede, onde é mais fácil controlar os pacotes de dados que entram e saem. Por outro lado, um IPS será instalado atrás do firewall, onde não só pode alertar para as ameaças, como também as pode travar da melhor forma.

Tipos

Embora ambas as soluções se baseiem no host (HIPS) ou na rede (NIPS), também existem soluções IPS que são im­ple­men­ta­das na WLAN. Esta versão é designada por WIPS.

In­de­pen­dên­cia

O IPS funciona, em grande parte, de forma in­de­pen­dente e costuma encontrar soluções para di­fe­ren­tes ameaças. O IDS também mo­ni­to­riza os pacotes de dados sem in­ter­ven­ção externa, mas, caso detete uma trans­mis­são suspeita, não consegue lidar com ela sozinho. Quando o alerta é enviado, o ad­mi­nis­tra­dor deve tomar as medidas ne­ces­sá­rias.

Con­fi­gu­ra­ção do IDS e do IPS

O IDS funciona nor­mal­mente em modo online, pelo que não prejudica o de­sem­pe­nho da rede, embora seja ne­ces­sá­rio ter isso em conta na con­fi­gu­ra­ção. Por exemplo, é possível que o IDS re­di­re­ci­one uma ameaça detetada di­re­ta­mente para o router ou para a firewall e notifique o ad­mi­nis­tra­dor. Por outro lado, um IPS pode ter efeitos negativos no de­sem­pe­nho da rede, pelo que é ainda mais im­por­tante que o sistema esteja con­fi­gu­rado com precisão. Se deixar passar pacotes de dados perigosos, deixa de garantir a proteção. Se, pelo contrário, bloquear trans­mis­sões ino­fen­si­vas, toda a rede será afetada.