Jean Carlos Cunha

.:: Diferente e eficiente::.

O que é IDS “Conceito”

Neste post irei conceiturar IDS…

Sistema de detecção de intrusos ou simplesmente IDS (em inglês: Intrusion detection system) refere-se a meios técnicos de descobrir em uma rede quando está tendo acessos não autorizados que podem indicar a ação de um hacker, ou funcionários mal intencionados. Com o acentuado crescimento das tecnologias de infra-estrutura tanto nos serviços quanto nos protocolos de rede torna-se cada vez mais difícil à implantação de sistema de detecção de intrusos.<!–[endif]–>

Figura 2.6

Esse fato está intimamente ligado não somente a velocidade com que as tecnologias avançam, mas principalmente com a complexidade dos meios que são utilizados para aumentar a segurança nas transmissões de dados. Uma solução bastante discutida é a utilização de host-based IDS que analisam o tráfego de forma individual em uma rede. No host-based o IDS é instalado em um servidor para alertar e identificar ataques e tentativas de acessos indevidos à própria máquina. Antes de se falar sobre o sistema de detecção de intrusos, IDS, é necessário definir o que significa uma intrusão.

Uma intrusão pode ser definida como qualquer conjunto de ações que procura ficar fora do que é permitido pela política de segurança da empresa. Mas, como definir um intruso? O que seria tentar invadir uma rede? Um usuário que tenta acessar algum serviço da rede que necessite autenticação e erra três vezes consecutivas a senha, todas às vezes pode ser classificado como um intruso, e esta como uma tentativa de intrusão? Para se poder diferenciar ações legítimas, de ações nocivas, é necessária a definição de uma política de segurança, levando-se em consideração o fato de que a maioria dos mecanismos de segurança são implementados com o objetivo de proteger a instituição dos ataques externos, muitos ataques ocorrem e muitas vezes não são notados; ou, quando o são, já é tarde demais.

Faz-se necessário, um mecanismo que detecte os dois tipos de ataque – uma tentativa externa ou interna. Um sistema de IDS eficiente deve detectar os dois tipos de ataques.

Uma ferramenta de IDS deve possuir algumas características, entre elas:

  1. Deve rodar continuamente sem interação humana e deve ser segura o suficiente de forma a permitir sua operação em background; mas não deve ser uma caixa preta;
  2. Ser tolerante a falhas, de forma a não ser afetada por uma queda do sistema, ou seja, sua base de conhecimento não deve ser perdida quando o sistema for reinicializado;
  3. Resistir a tentativas de mudança (subversão) de sua base, ou seja, deve monitorar a si próprio de forma a garantir sua segurança;
  4. Ter o mínimo de impacto no funcionamento do sistema;
  5. Poder detectar mudanças no funcionamento normal;
  6. Ser de fácil configuração, cada sistema possui padrões diferentes e a ferramenta de IDS deve ser adaptada de forma fácil aos diversões padrões;
  7. Cobrir as mudanças do sistema durante o tempo, como no caso de uma nova aplicação que comece a fazer parte do sistema;
  8. Ser difícil de ser enganada.

O último ponto faz referências aos prováveis erros que podem acontecer ao sistema. Estes podem ser classificados como falso positivo, falso negativo e erros de subversão. A saber:

  • Falso positivo ocorre quando a ferramenta classifica uma ação como uma possível intrusão, quando na verdade trata-se de uma ação legítima;
  • Falso negativo ocorre quando uma intrusão real acontece mas a ferramenta permite que ela passe como se fosse uma ação legítima;
  • Subversão ocorre quando o intruso modifica a operação da ferramenta de IDS para forçar a ocorrência de falso negativo. A anatomia de uma ferramenta de IDS

As ferramentas de IDS baseadas em rede fazem suas monitorações nos cabeçalhos dos pacotes e também em seu campo de dados, possibilitando a verificação de ataques no nível de aplicação (para pacotes TCP e UDP). Entretanto, a necessidade de sigilo e privacidade nas transações pela Web ou em redes privadas torna o uso de sistemas de criptografia cada vez mais comuns e necessários. Neste ambiente, uma ferramenta de IDS não será efetiva, pois os dados de um ataque podem ser encobertos pela criptografia existente no mesmo. A implementação de IDSs em redes baseadas em switching pode permitir a comunicação direta, não compartilhada, entre dois dispositivos. Embora esta característica permita um ganho muito alto em desempenho, ela introduz dificuldades para a implementação de IDSs. Desta forma, algumas medidas são necessárias para eliminar esta limitação.

Click nas dicas abaixo.
Apostilas gratis
Livros Gratis
Revenda de site
Tenha seu site

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: