O que é e como funciona um IDS?
Um Sistema de Detecção de Intrusão (em inglês, Intrusion Detection System - IDS) é um sistema que monitora uma rede em busca de eventos que possam violar as regras de segurança dessa rede. Dentre esses eventos, destacam-se programas realizando atividades que fogem ao seu comportamento comum, malwares, e invasões de nós.
O IDS funciona coletando os dados dos usuários e armazenando-os, analisando padrões comportamentais, fluxo de dados, horários, dentre outros. Com essas informações, aliado ao conhecimento prévio de padrões de ataque, é possível discernir se o evento em questão é um evento malicioso ou não.
A coleta dos dados dos usuários é feita de variadas formas, desde mecanismos de entrada e saída, como mouse e teclado, a arquivos salvos em seus computadores; tabelas de regras, etc. Também é possível analisar a camada de Rede do protocolo TCP/IP e analisar o tipo de fluxo, pacotes que entram e saem, conexões estabelecidas, dentre outros.
O IDS executa então, sobre os dados coletados dos usuários e do fluxo de rede, em tempo real, algoritmos buscando evidências que comprovem uma ação maliciosa. Uma vez detectada, o IDS executa então a ação que melhor corresponde àquela atividade maliciosa, estando dentro das possibilidades alertar ao administrador de rede, no caso de um IDS passivo, ou bloquear o fluxo de dados, no caso de um IDS ativo.
É de suma importância realçar que nem o sistema de detecção nem o sistema de prevenção de intrusões são um antivírus, ou seja, não reconhece ameaças locais como trojans e worms. Eles também não são utilizados como registro de rede e tampouco são ferramentas que avaliam e buscam as vulnerabilidades da rede. Em outras palavras, são ferramentas de monitoramento e não de diagnóstico de segurança.
Outra questão é sobre a importância da configuração de um IDS. O maior problema relacionado a isso é o número de falsos positivos e de falsos negativos que um IDS pode gerar, esses números quando muito elevados podem levar o sistema à se tornar menos eficaz. Em casos de muitos falsos positivos o sistema se torna inútil por achar ameaças com muita frequência, inclusive em casos de tráfego completamente normal, enquanto falsos negativos demais o sistema tem dificuldades em identificar ameaças. Logo, a boa configuração do IDS está diretamente relacionada com a eficácia do sistema.
Diferenças entre IDS e IPS
Um IDS passivo é projetado para detectar ameaças e informar ao administrador da rede sobre a atividade maliciosa detectada. O sistema de prevenção de intrusão (em inglês, Intrusion Prevention System - IPS), por outro lado, representa o comportamento de um IDS ativo, ou seja, é projetado com o objetivo de bloquear automaticamente a atividade maliciosa, seja por configuração de firewalls e comutadores ou outras técnicas, como encerramento de conexão via envio de pacotes reset.
Figura 2.1: Comparação entre o funcionamento do IDS e IPS.
Fonte: https://upload.wikimedia.org/wikipedia/commons/1/13/Ips-vs-ids-short.png - (Sob Reutilização Não Comercial).
A Figura 2.1 representa a diferença entre ambos os sistemas durante uma atividade maliciosa. É possível reparar que o IPS bloqueia a conexão ao passo que o IDS apenas emite um alerta para o administrador da rede. É importante ressaltar que um IPS, quando mal parametrizado e configurado, pode bloquear conexões legítimas, causando prejuízo ao dono da rede.