IDS e IPS

Um sistema de detecção de invasão (IDS), mostrado na figura, é um dispositivo de rede dedicado, ou uma das várias ferramentas em um servidor ou firewall que varre os dados em um banco de dados de regras ou de assinaturas de ataques, à procura de tráfego mal-intencionado. Se uma correspondência for detectada, o IDS registrará a detecção de registro e criará um alerta para um administrador de rede. O sistema de detecção de invasão não age quando uma correspondência é detectada, então não impede os ataques. O trabalho do IDS é apenas detectar, registrar e relatar.

A varredura realizada pelo IDS deixa a rede mais lenta (conhecido como latência). Para se prevenir contra o atraso de rede, um IDS é geralmente colocado off-line, separado do tráfego de rede regular. Dados são copiados ou espelhados por um switch e então encaminhados para o IDS para a detecção off-line. Também existem ferramentas de IDS que podem ser instaladas sobre o sistema operacional do computador, como o Linux ou Windows.

Um IPS (sistema de prevenção de intrusão) tem a capacidade de bloquear ou negar o tráfego com base em uma correspondência de regra ou assinatura positiva. Um dos sistemas mais conhecidos de IPS/IDS é o Snort. A versão comercial do Snort é o Sourcefire da Cisco. O Sourcefire tem a capacidade de executar o tráfego em tempo real e análise de porta, gerar registros, buscar e corresponder conteúdo e pode detectar probes, ataques e varreduras de portas. Ele também se integra com outras ferramentas de terceiros para geração de relatórios, análise de desempenho e registro.