O que é um IDS e para que serve?
Um IDS é projetado para analisar, identificar e relatar qualquer violação ou uso indevido de uma rede ou host. Vamos dar uma olhada como funciona um IDS. Um IDS é usado para monitorar e proteger redes detectando atividades mal-intencionadas e relatando-as a um grupo ou contato, como um administrador de rede.
Qual foi o primeiro modelo de IDS?
Entre 1984 e 1986, então, dois especialistas desenvolveram o primeiro modelo de IDS, chamado IDES (Sistema Especialista em Detecção de Intrusão). Ele é baseado na hipótese de que a base de comportamento de um intruso não é o mesmo de um usuário legítimo.
Como funcionam os sistemas de IDS?
É assim que funcionam os sistemas de IDS ( Intrusion Detection System ). Eles analisam os registros de acesso à internet, procurando falhas que possam indicar uma invasão à rede, e sinalizam isso para que o administrador da rede possa agir ou entender o que está acontecendo.
Qual é a diferença entre o IDS e o IPS?
O IPS pode ser configurado para bloquear automaticamente esta atividade. Como vimos, IDS e IPS são sistemas de proteção contra tentativas de ataque e servem para tornar seu sistema ainda mais protegido.
Qual a principal função de um IDS?
O IDS (Instrusion Detection System) tem a função principal de identificar e servir como alerta, fornecendo dados sobre as atividades na rede ou em um dispositivo. Já o IPS (Intrusion Prevention System) tem a função principal de parar os ataques detectados. O IDS geralmente não toma uma ação para parar o ataque.
Quais são os mecanismos utilizados nos IDS?
Um IDS é composto de diversos componentes: sensores, que geram eventos de segurança; console para monitorar eventos e alertas e controlar os sensores; e um mecanismo central que grava os eventos registrados pelo sensor na base de dados e usa um sistema de regras para gerar alertas a partir dos eventos de segurança …
O que é e como funciona um IDS?
O IDS funciona coletando os dados dos usuários e armazenando-os, analisando padrões comportamentais, fluxo de dados, horários, dentre outros. Com essas informações, aliado ao conhecimento prévio de padrões de ataque, é possível discernir se o evento em questão é um evento malicioso ou não.
Quais são as desvantagens de usar um IDS?
É geralmente simples adicionar esse tipo de IDS a uma rede e são considerados bem seguros a contra ataques. Porém, apresentam algumas desvantagens, como a dificuldade em processar todos os pacotes em uma rede grande e sobrecarregada.
Como são classificados os IDS explique as características de cada uma?
IDS podem ser divididos ainda em três tipos: NIDS, HIDS e IDS Híbrido. NIDS (Network-based IDS): Produtos NID trabalham observando a rede e examinando se pacotes se assemelham a assinaturas de invasões. Essa forma de trabalhar é bastante eficiente contra ataques conhecidos.
Quais são os tipos de sistemas de descoberta e prevenção de intrusão?
No entanto, devemos salientar a diferença entre IDS, IPS (Intrusion Prevention System) e IDPS. Enquanto o primeiro é um software que automatiza o processo de detecção de intrusão, o segundo faz a prevenção de intrusão, que tem por objetivo impedir possíveis ataques.
Como um IPS funciona?
Sistemas de Prevenção de Intrusões (IPS) Vivem na mesma área da rede que um firewall, entre o mundo externo e a rede interna. O IPS nega proativamente o tráfego de rede com base em um perfil de segurança, se esse pacote representar uma ameaça de segurança conhecida.
Como é o funcionamento de um firewall?
Os firewalls estabelecem uma barreira entre redes protegidas e controladas, sejam elas confiáveis ou não confiáveis, como a Internet. A ferramenta isola o computador da Internet enquanto inspeciona o pacote de dados. Em seguida, ele determina o que deve ser permitido passar ou ser bloqueado.
Para que servem os sistemas de Detecção de invasão?
A função de um sistema de detecção de intrusão é alertar o proprietário e, principalmente, a central de monitoramento sobre qualquer violação de um ambiente protegido, seja residencial ou corporativo.
O que é Intrusion Prevention?
O que é um Sistema de Prevenção de Intrusão (IPS)? Um Sistema de Prevenção de Intrusão é uma abordagem preventiva da segurança de rede, usada para identificar ameaças em potencial e responder rapidamente aos ataques.
Que tipo de ataque tenta sobrecarregar os dispositivos e os links de rede com dados inúteis?
DDOS attack Esse ataque tem como principal objetivo sobrecarregar as atividades de determinado servidor de um computador, levando à lentidão e tornando os sites indisponíveis para acessos. Isso acontece por meio de uma rede — chamada de zumbi — com computadores que já estão infectados e se conectam ao hacker mestre.
O que é Detecção por assinatura?
Detecção de assinaturas envolve a procura em trafego de rede de bytes ou seqüências de pacotes conhecidos como maliciosos. Uma vantagem chave desse método é que assinaturas são fáceis de serem desenvolvidas e entendidas se sabida o comportamento da rede que se esta tentando identificar.
O que é IDS e IPS?
O IDS é um sistema de monitoramento, enquanto o IPS é um sistema de controle de intrusão. São tecnologias que fazem parte da segurança da informação, que foram desenvolvidos para agregar a frente da proteção de dados, uma necessidade urgente para as empresas.
Como funciona eles funcionam?
No caso do IDS, o gerenciador de análise é o cérebro do sistema, ele consulta através de regras preestabelecidas o gerenciador de pacotes para efetuar uma eventual análise.
Conclusão
Diante de tantas informações, acredito que já ficou claro para você como o IDS/IPS são ferramentas de enorme importância para a segurança das informações de sua empresa, não é mesmo?
Detecção por assinatura
A primeira forma de detecção ou reconhecimento baseia-se numa assinatura. Este método é também chamado de detecção de uso indevido. O sistema compara o tráfego com os modelos conhecidos e, quando os resultados são encontrados, relata o ataque.
Detecção de anomalia
A detecção de anomalias é diferente da detecção de assinaturas na forma como detecta possíveis ataques. Neste sistema, qualquer atividade que não corresponda a algo no banco de dados é considerada uma anomalia. Além disso, qualquer desvio do banco de dados configurado é considerado como um ataque e aciona uma ação adicional.
Detecção de Protocolo
O terceiro tipo de detecção utilizado pelos IDSs é a detecção de anomalias de protocolo. Baseia-se nas anomalias que são específicas para um determinado protocolo. Para determinar quais anomalias estão presentes, o sistema usa especificações conhecidas para um protocolo e, em seguida, usa isso como um modelo para comparar o tráfego.
Sinais de uma invasão
Então, que tipo de atividades são indicações de um ataque potencial? A que tipo de ações um IDS pode responder? Vejamos atividades que podem indicar que uma invasão ocorreu.
Diego Macêdo
Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL).