Aula 8: Conceitos de IDS e IPS — detecção e prevenção de intrusão

Nesta aula, vamos explorar os conceitos de IDS (Sistema de Detecção de Intrusão) e IPS (Sistema de Prevenção de Intrusão). Entenderemos como esses sistemas são cruciais para proteger redes contra acessos não autorizados e atividades maliciosas. Saber como usar um IDS e um IPS pode significar a diferença entre estar vulnerável a ataques e manter a segurança robusta de um sistema. Este conhecimento é uma base essencial para se aprofundar no uso de ferramentas específicas como o fail2ban e o CrowdSec, tópicos advindos em nosso curso. Entenderemos ainda como esses conceitos são aplicados em nossos projetos na JRT Technology Solutions, onde nossos especialistas utilizam diariamente essas soluções para resguardar infraestruturas críticas.

O que você vai aprender nesta aula

• Diferenças entre IDS e IPS
• Como os sistemas de detecção e prevenção funcionam
• Exemplos práticos de uso em sistemas operacionais
• Importância de aplicar IDS/IPS em sistemas modernos

Entendendo os Conceitos de IDS e IPS

Inicialmente, vamos definir o que são IDS e IPS. Um IDS (Sistema de Detecção de Intrusão) é uma ferramenta que monitora o tráfego de rede ou atividades do sistema em busca de atividades maliciosas ou violações de políticas. Enquanto isso, um IPS (Sistema de Prevenção de Intrusão) vai além, pois ele não apenas detecta, mas também impede essas ameaças ao tomar ações imediatas, como bloquear o tráfego de rede mal-intencionado.

Uma boa analogia seria imaginar um IDS como um alarme de intrusão em uma casa, que avisa quando há um problema, enquanto o IPS seria como um guarda que impede o intruso de entrar uma vez que o problema é identificado.

Implementação Prática de IDS e IPS

Para exemplificar como podemos implementar esses sistemas, vamos usar uma configuração básica de IDS usando o Snort em uma distribuição Ubuntu, destacando comandos e explicações:

# Atualize o sistema
sudo apt-get update

# Instale o Snort
sudo apt-get install snort

# Configure o Snort
# Abra o arquivo de configuração
sudo nano /etc/snort/snort.conf
# Aqui, ajuste as regras segundo as suas necessidades de segurança

# Teste a configuração do Snort
sudo snort -T -c /etc/snort/snort.conf

# Inicie o Snort para monitorar
sudo snort -A console -q -c /etc/snort/snort.conf -i eth0

Cada comando acima serve a uma finalidade específica: desde a atualização do sistema à instalação e configuração do Snort e posteriormente, o teste e execução dele como um IDS.

Licenciamento de Ferramentas IDS e IPS

Ao trabalhar com ferramentas de segurança, é essencial entender suas licenças. Muitos IDS/IPS, como o Snort, são open source. Isso significa que eles são gratuitos e seu código-fonte está disponível para modificação; no caso do Snort, sob licença GPL (General Public License), permitindo adaptabilidade segundo as necessidades específicas dos usuários.

Outras opções podem ter licenças comerciais que oferecem funções adicionais e suporte. Escolher entre essas alternativas depende das necessidades específicas e do orçamento disponível para o projeto.

Resumo da Aula 8

Nesta aula, estudamos os Conceitos de IDS e IPS, importantíssimos na defesa proativa de redes e sistemas. Exploramos a diferença entre detecção e prevenção de intrusão, além de configurar um exemplo prático com o Snort. Em nossos projetos na JRT Technology Solutions, o uso eficaz desses conceitos garante a proteção dos dados e a segurança da infraestrutura de nossos clientes. Na próxima aula, vamos nos aprofundar no uso do fail2ban para automatizar a proteção contra ataques repetidos usando listas de bloqueio dinâmicas.