Sistema básico de detecção de intrusão

Sistema básico de detecção de intrusão

Veja esta citação da Almirante Grace Hopper

“A vida era mais simples antes da Segunda Guerra Mundial. Depois disso, tivemos sistemas ”

Então, o que isso realmente significa? Com a invenção de sistemas (sistemas de computador) veio o aumento para várias necessidades de rede, e com a rede veio a ideia de compartilhamento de dados. Hoje, nesta era de globalização, com o desenvolvimento da tecnologia da informação, bem como a facilidade de acesso e desenvolvimento de ferramentas de hacking, surge a necessidade de segurança de dados importantes. Os firewalls podem fornecer isso, mas nunca alertam o administrador sobre quaisquer ataques. É daí que surge a necessidade de um sistema diferente - uma espécie de sistema de detecção.




Um sistema de detecção de intrusão é uma solução necessária para o problema acima. É semelhante a um sistema de alarme contra roubo em sua casa ou qualquer organização que detecta a presença de qualquer intervenção indesejada e alerta o administrador do sistema.

É um tipo de software projetado para alertar automaticamente os administradores quando alguém está tentando violar o sistema usando atividades maliciosas.

Agora, antes de conhecer um Sistema de detecção de intrusão , vamos relembrar brevemente sobre firewalls.

Firewalls são programas de software ou dispositivos de hardware que podem ser usados ​​para prevenir qualquer ataque malicioso ao sistema ou à rede. Eles atuam basicamente como filtros que bloqueiam qualquer tipo de informação que possa causar uma ameaça ao sistema ou à rede. Eles podem monitorar alguns conteúdos do pacote de entrada ou monitorar o pacote inteiro.


Classificação do sistema de detecção de intrusão:

Com base no tipo de sistemas que o IDS protege:

  • Sistema de detecção de intrusão de rede : Este sistema monitora o tráfego em redes ou sub-redes individuais, analisando continuamente o tráfego e comparando-o com os ataques conhecidos na biblioteca. Se um ataque for detectado, um alerta será enviado ao administrador do sistema. Ele é colocado principalmente em pontos importantes da rede para que possa ficar de olho no tráfego que chega e sai dos diferentes dispositivos da rede. O IDS é colocado ao longo do limite da rede ou entre a rede e o servidor. Uma vantagem desse sistema é que ele pode ser implantado facilmente e com baixo custo, sem ter que ser carregado para cada sistema.
Sistema de detecção de intrusão de rede

Sistema de detecção de intrusão de rede

  • Sistema de detecção de intrusão de host : Tal sistema funciona em sistemas individuais onde a conexão de rede ao sistema, ou seja, entrada e saída de pacotes são constantemente monitorados e também a auditoria de arquivos do sistema é feita e em caso de qualquer discrepância, o administrador do sistema é alertado sobre o mesmo. Este sistema monitora o sistema operacional do computador. O IDS é instalado no computador. A vantagem deste sistema é que ele pode monitorar todo o sistema com precisão e não requer a instalação de nenhum outro hardware.
Sistema de detecção de intrusão de host

Sistema de detecção de intrusão de host

Com base no método de trabalho:

  • Sistema de detecção de intrusão baseado em assinatura : Este sistema funciona com o princípio da correspondência. Os dados são analisados ​​e comparados com a assinatura de ataques conhecidos. Em caso de correspondência, um alerta é emitido. Uma vantagem desse sistema é ter mais precisão e alarmes padrão entendidos pelo usuário.
Sistema de detecção de intrusão baseado em assinatura

Sistema de detecção de intrusão baseado em assinatura

  • Sistema de detecção de intrusão baseado em anomalias : Consiste em um modelo estatístico de tráfego de rede normal que consiste na largura de banda usada, os protocolos definidos para o tráfego, as portas e os dispositivos que fazem parte da rede. Ele monitora regularmente o tráfego da rede e o compara com o modelo estatístico. Em caso de alguma anomalia ou discrepância, o administrador é alertado. Uma vantagem desse sistema é que ele pode detectar ataques novos e exclusivos.
Sistema de detecção de intrusão baseado em anomalias

Sistema de detecção de intrusão baseado em anomalias

Com base em seu funcionamento:

  • Sistema de detecção de intrusão passiva : Ele simplesmente detecta o tipo de operação de malware e emite um alerta para o sistema ou administrador de rede. (O que temos visto até agora!) A ação necessária é então executada pelo administrador.
Sistema de detecção de intrusão passiva

Sistema de detecção de intrusão passiva

  • Sistema de detecção de intrusão reativa : Ele não apenas detecta a ameaça, mas também executa ações específicas, redefinindo a conexão suspeita ou bloqueia o tráfego de rede da fonte suspeita. É também conhecido como Sistema de Prevenção de Intrusão.

Características típicas de um sistema de detecção de intrusão:

  • Ele monitora e analisa as atividades do usuário e do sistema.
  • Ele realiza auditoria dos arquivos do sistema e outras configurações e do sistema operacional.
  • Ele avalia a integridade do sistema e dos arquivos de dados
  • Ele realiza uma análise de padrões com base em ataques conhecidos.
  • Ele detecta erros na configuração do sistema.
  • Ele detecta e avisa se o sistema está em perigo.

Software de detecção de intrusão grátis

Sistema de detecção de intrusão Snort

Um dos softwares de detecção de intrusão mais amplamente usados ​​é o software Snort. É uma intrusão de rede Software de Detecção desenvolvido por arquivo de origem. Ele executa análise de tráfego em tempo real e análise de protocolo, correspondência de padrões e detecção de vários tipos de ataques.

Sistema de detecção de intrusão Snort

Sistema de detecção de intrusão Snort

Um sistema de detecção de intrusão baseado em Snort consiste nos seguintes componentes:

Componentes do Snort IDS por sistema de detecção de intrusão com Snort

Componentes do Snort IDS por sistema de detecção de intrusão com Snort

  • Um decodificador de pacotes : Ele pega pacotes de diferentes redes e os prepara para o pré-processamento ou qualquer outra ação. Basicamente, ele decodifica os próximos pacotes de rede.
  • Um pré-processador : Prepara e modifica os pacotes de dados e também realiza a desfragmentação dos pacotes de dados, decodifica os fluxos TCP.
  • Um motor de detecção : Realiza detecção de pacotes com base nas regras do Snort. Se algum pacote corresponder às regras, a ação apropriada será executada, caso contrário, ele será descartado.
  • Sistema de registro e alerta : O pacote detectado é registrado em arquivos de sistema ou, em caso de ameaças, o sistema é alertado.
  • Módulos de Saída : Eles controlam o tipo de saída do sistema de registro e alerta.

Vantagens dos sistemas de detecção de intrusão

  • A rede ou o computador é constantemente monitorado para qualquer invasão ou ataque.
  • O sistema pode ser modificado e alterado de acordo com as necessidades de clientes específicos e pode ajudar tanto ameaças externas quanto internas ao sistema e à rede.
  • Previne efetivamente qualquer dano à rede.
  • Ele fornece uma interface amigável que permite sistemas de gerenciamento de segurança fáceis.
  • Quaisquer alterações em arquivos e diretórios no sistema podem ser facilmente detectadas e relatadas.

Uma única desvantagem do Sistema de Detecção de Intrusão é que eles não podem detectar a origem do ataque e, em qualquer caso de ataque, eles apenas bloqueiam toda a rede. Se tiver mais dúvidas sobre este conceito ou sobre os projetos elétricos e eletrônicos deixe os comentários abaixo.