Vivemos em um mundo cada dia mais conectado. Redes de computadores se entrelaçam formando caminhos sem fronteiras. Um mundo onde as organizações, se não são completamente virtuais, dependem diretamente de sua infraestrutura de rede para sobreviver e evoluir. Logo, vivemos em um mundo onde a "saúde" de uma organização, ou seja, sua segurança e confiabilidade no mercado dependem diretamente de quão funcional e segura é sua rede.
Um Sistema de Detecção de Intrusos, conhecido como IDS (Intrusion Detection System), é um software capaz de detectar atividades suspeitas na rede, tomando decisões dependendo de como foi configurado para tomá-las. Então, na integra, como funcionam esses valiosos "aliados" das organizações e suas redes na luta contra o mal (hackers, vírus, etc)?
Basicamente, existem duas linhas de IDS:
- NIDS (Network Intrusion Detection System): Trabalham na detecção de intrusos na rede, sendo, usualmente, dispostos em pontos estratégicos, monitorando assim todo o tráfego de entrada e saída de dados. Embora sejam cruciais, deve-se ter como premissa que seu uso pode diminuir a velocidade da rede.
- HIDS (Host-based Intrusion Detection System): Trabalham em hosts individuais, bem como em equipamentos na rede. Um HIDS monitora o tráfego do dispositivo o qual ele está instalado, alertando o usuário caso encontre situações suspeitas.
- Baseados na Assinatura (Signature Based): Todo pacote na rede possui atributos próprios, os quais chamamos de assinatura ( tudo que identifica um pacote específico ). Um IDS que trabalhe sobre Assinaturas irá monitorar pacotes e compará-los com uma base de dados de Assinaturas conhecidas de software malicioso. O maior problema, porém, está na velocidade em que novas ameaças aparecem e o tempo em que são descobertas e suas Assinaturas aplicadas a uma base de dados ou seja, os bandidos, a medida do possível, estão sempre um passo a frente dos mocinhos.
- Baseados em Anomalias (Anomaly Based): As Redes de Computadores de uma organização, usualmente, trabalham de forma conhecida. Tendo como base como sua rede trabalha, o Administrador pode, então, configurar o IDS para trabalhar com base em suas detecções de diferenças ( anomalias ) nos padrões pré-definidos para a rede em questão. Por exemplo: Se uma rede, que normalmente possui somente tráfego conhecido, começa a receber pedidos de conexão em portas diferentes das portas usuais, ou ainda, que passa a trabalhar excessivamente com protocolos que antes eram pouco usados, como protocolos de reconhecimento de rede, então o IDS começará a tomar ações simples sobre estas anomalias.
- IDS Passivo (Passive IDS): Simplesmente detecta e alerta quando tráfego malicioso ou suspeito é detectado.
- IDS Reativo (Reactive IDS ou "IDS Norris"): Não somente detecta e alerta o adminstrador em casos suspeitos no tráfego de informações na rede, como também toma ações pré-definidas e, se necessário, de alta complexidade, para reagir contra a ameaça. Normalmente, isso significa bloquear qualquer tráfego adicional que venha do endereço IP detectado. Porém, as vezes, hackers podem usar um endereço conhecido da rede, devido a uma máquina da rede já estar infectada com algum exploit ou coisa parecida, logo, outras reações podem ser tomadas, como: impedir conexões em novas portas para tal endereço IP, impedir certos protocolos para tal endereço IP ou até mesmo transferir todo o tráfego do endereço em questão para outra máquina, que fará o papel de reconhecer e guardar logs das ações do hacker em questão... Tais máquinas são usualmente chamadas de Honney Pots.
Um IDS pode ser de grande ajuda na segurança de sua rede. Porém, como visto acima, para garantir segurança sem detrimento da velocidade e confiabilidade da rede, faz-se necessária uma configuração inicial das ferramentas antes de colocá-las a prova.
Abraço a todos.
Introdução aos Sistemas de Detecção de Intrusos by Adriano Vieira is licensed under a Creative Commons Atribuição-Uso Não-Comercial-Compartilhamento pela mesma Licença 2.5 Brasil License.
0 comentários:
Postar um comentário
Obrigado por sua contribuição!!! E continue nos visitando!!!!