IDS / IPS

Um IDS (Intrusion Detection System - Sistema de Detecção de Intrusão) é um dispositivo ou aplicativo de software que monitora uma rede em busca de atividades maliciosas ou violações de políticas. Qualquer atividade suspeita é coletada usando um sistema de gerenciamento de informações e eventos de segurança a partir de regras pré-configuradas. Alguns IDS's são capazes de responder à intrusão detectada após a descoberta. Estes são classificados como IPS (Intrusion Prevention Systems - Sistemas de Prevenção de Intrusão).

Diferença entre IDS e IPS

De modo prático e objetivo, vamos pensar assim: IDS localiza e registra um comportamento suspeito, enquanto o IPS lê esse registro salvo pelo IDS e realiza a correção necessária para que não haja mais aquele comportamento suspeito.

Imagine a seguinte situação... você vê um ladrão tentando entrar na casa ao lado da sua às 3 horas da manhã e então você imediatamente liga para a polícia. Passando alguns minutos (ou não) a polícia chega e prende o ladrão. Fazendo uma analogia a essa história, você fez o papel de IDS, pois notou uma atividade suspeita, não tomou nenhuma atitude diretamente com o ladrão, mas fez um registro para que alguém faça esse serviço. A polícia nesse caso seria o IPS, pois foi quem de fato barrou o ladrão (imagine que isso seja uma nova regra de firewall para banir o IP) e o ladrão foi o invasor (cracker).