Um sistema de detecção de intrusão (IDS) é um dispositivo ou aplicativo que monitora o tráfego de rede em busca de atividades suspeitas ou violações de política. Se encontrar algo incomum, como um ataque de malware, violação de segurança ou usuário não confiável, o IDS alerta o administrador da rede ou pode até mesmo agir bloqueando o usuário ou o endereço IP de origem.
Principais tipos de IDS e o que eles fazem
Há uma grande variedade de sistemas de detecção de intrusão, desde simples aplicativos antivírus até tecnologias de monitoramento em toda a rede. As classificações mais comuns são sistemas de detecção de intrusão de rede (NIDS) e sistemas de detecção de intrusão de host (HIDS). Aqui está uma olhada nos principais tipos de IDS, seus subconjuntos, como são usados e onde os firewalls entram em ação. Quando um IDS é capaz de responder a uma intrusão, é classificado como uma intrusão prevenção sistema.
Sistemas de detecção de intrusão de rede
Esse tipo de tecnologia analisa o tráfego de rede de entrada. Os sistemas de detecção de intrusão de rede são colocados em pontos estratégicos da rede para monitorar o tráfego de e para todos os dispositivos da rede. Ele compara os dados da sua rede com ameaças conhecidas e sinaliza atividades suspeitas. O ideal é que um NIDS varra todo o tráfego de entrada e saída, mas isso poderia criar um gargalo que prejudicaria a velocidade geral da rede.
Sistemas de detecção de intrusão de host
Os sistemas de detecção de intrusão de host são executados em hosts ou dispositivos individuais na rede. Eles monitoram os pacotes de entrada e saída do dispositivo apenas e alertam o usuário ou administrador se uma atividade suspeita for detectada. Um HIDS oferece uma imagem mais completa porque examina todos os nós e hosts do sistema enquanto verifica a existência de atividades maliciosas. Como os sistemas de detecção de intrusão de host podem encontrar atividades suspeitas originadas na própria rede, alguns especialistas os consideram o tipo mais valioso de IDS.
Subconjuntos IDS
Dentro do NIDS e do HIDS, existem algumas variantes do IDS que funcionam com um foco exclusivo.
IDS baseado em assinatura
Um IDS baseado em assinatura monitora pacotes na rede e os compara com um banco de dados de assinaturas ou atributos de ameaças maliciosas conhecidas. Isso é semelhante à maneira como a maioria dos softwares antivírus detecta malware. Um IDS baseado em assinatura é ótimo para localizar ameaças existentes, mas não pode detectar novos ataques.
IDS baseado em anomalia
Um IDS baseado em anomalia monitora o tráfego de rede e o compara com uma linha de base estabelecida para o que é “normal”, como largura de banda, protocolos, portas e dispositivos geralmente usados. Ele sinaliza um administrador quando detecta atividade desconhecida. Essa abordagem é útil para encontrar novos ataques, mas está sujeita a falsos positivos porque atividades legítimas anteriormente desconhecidas podem ser sinalizadas.
IDS passivo
Um IDS passivo simplesmente monitora, detecta e alerta. Quando um tráfego suspeito ou malicioso é detectado, ele notifica o administrador. Um IDS passivo não pode realizar nenhuma medida de proteção ou corretiva.
IDS reativo
Um IDS reativo detecta tráfego suspeito ou malicioso, alerta o administrador e, a seguir, executa ações proativas predefinidas para responder à ameaça. Normalmente, isso significa bloquear qualquer tráfego de rede adicional do endereço IP de origem ou do usuário. Um IDS popular é o Snort gratuito e de código aberto. O Snort funciona com muitas plataformas e sistemas operacionais, incluindo Linux e Windows. O Snort tem muitos recursos disponíveis para encontrar assinaturas e implementar para detectar as ameaças mais recentes.
Como os firewalls entram em ação?
O firewall e o IDS do seu sistema funcionam para proteger sua rede contra hacks e intrusões. O trabalho do seu firewall é impedir que invasores mal-intencionados invadam sua rede, enquanto seu IDS rastreia qualquer agente mal-intencionado que de alguma forma entrou. Um firewall é sua primeira linha de defesa de perímetro. Deve ser explicitamente configurado para negar todo o tráfego de entrada, e então você abre buracos quando necessário. Por exemplo, você pode precisar abrir a porta 80 para hospedar sites ou a porta 21 para hospedar um servidor de arquivos FTP. Embora essas aberturas possam ser necessárias, elas representam possíveis pontos de ataque. É por isso que você tem um IDS e também um firewall. Quer você implemente um NIDS em toda a rede ou um HIDS em seu dispositivo específico, o IDS monitorará o tráfego de entrada e saída e identificará o tráfego suspeito ou malicioso que contornou seu firewall ou se originou de dentro. Um IDS é uma proteção de segurança de rede importante, protegendo contra as vulnerabilidades que podem ocorrer quando outras tecnologias falham. À medida que o cibercrime se torna mais avançado, o mesmo acontece com suas medidas de defesa.
