Home 01 - Conceitos 01 - Redes 12 - Seguranca de Redes 02 - Mecanismos de Defesa 02 - Detecção e Prevenção

O IPS (Intrusion Prevention System), ou Sistema de Prevenção de Intrusões, é descrito nas fontes como a evolução ativa e reativa dentro da estratégia de detecção e prevenção de ameaças em redes. Enquanto o IDS atua apenas monitorando e alertando (modo passivo), o IPS tem a autoridade técnica para interromper um ataque em tempo real.

Abaixo, os detalhes sobre o funcionamento e o papel do IPS conforme o material fornecido:

1. Natureza Ativa e Funcionalidades

Diferente dos sistemas passivos, o IPS opera em modo ativo, o que lhe confere a capacidade de impedir que incidentes se concretizem. Suas funções principais incluem:

  • Monitoramento e Identificação: Analisa o tráfego de rede em busca de atividades maliciosas.
  • Bloqueio e Interrupção: Quando uma ameaça é detectada, o IPS pode encerrar sessões de usuários ou reprogramar o firewall para bloquear o tráfego vindo de fontes suspeitas.
  • Geração de Logs: Assim como o IDS, ele mantém um registro detalhado das atividades para auditoria posterior.

2. Integração Tecnológica (NGFW e SDN)

O IPS raramente opera de forma isolada nas arquiteturas modernas, sendo frequentemente integrado a outras plataformas:

  • NGFW (Firewalls de Próxima Geração): Os firewalls modernos consolidam em um único hardware a capacidade de filtragem corporativa, controle de aplicações e o motor de IPS integrado.
  • SDN (Redes Definidas por Software): Em ambientes avançados e virtualizados, o IPS é combinado com firewalls virtuais e monitoramento de integridade para maximizar a defesa através de uma gestão ágil por software.

3. HIPS (Host IPS)

Assim como existe o IDS baseado em host, a função de prevenção também pode ser aplicada diretamente em servidores críticos através do HIPS.

  • Se um HIDS identifica um programa acessando um arquivo indevidamente, a função de prevenção (HIPS) permite que o sistema aplique políticas imediatas, como alterar permissões do arquivo, movê-lo para um local seguro ou colocá-lo em quarentena.

4. O Contexto do SOC (Security Operations Center)

Dentro de uma estrutura de monitoramento e gestão, o IPS é um pilar central da prevenção, que foca em promover boas práticas para evitar incidentes antes que eles causem danos. Ele trabalha em conjunto com a detecção para identificar problemas e fornecer a resposta a incidentes, solucionando as vulnerabilidades reportadas.

5. Desafios Operacionais

As fontes ressaltam que a eficácia de um sistema reativo como o IPS depende diretamente da qualidade de suas regras e assinaturas. Um dos riscos é o falso positivo, onde o IPS pode bloquear tráfego legítimo por interpretá-lo erroneamente como um ataque, o que pode causar indisponibilidade indesejada. Por outro lado, o uso de criptografia (como em VPNs) pode encobrir os dados de um ataque, tornando o IPS ineficaz se ele não tiver visibilidade sobre o payload descriptografado.