Os sistemas de detecção de intrusão são mecanismos de monitoramento capazes de perceber a ocorrência de um ataque ou comportamento anormal dos mesmos e produzir uma resposta. As respostas providas pelos IDS têm a função de alertar ao administrador do sistema ou ao administrador da rede de computadores da ocorrência de um ataque, como também uma tentativa de ataque. A diferença entre as duas situações é que na primeira, o ataque está em andamento podendo o atacante ter ou não sucesso, já no segundo caso o ataque já aconteceu e o atacante não obteve sucesso. Os IDS podem variar bastante com relação à forma como realizam o seu trabalho. Alguns atuam comparando a informação coletada com grandes bancos de dados buscando detectar uma assinatura de ataque conhecido e já documentado, outros procuram anomalias em relação às características definidas como normais para o sistema em relação ao tráfego, tipo de protocolo, tamanho de pacotes entre outras opções. Quando as evidências do ataque são localizadas, o IDS irá registrar o fato e acionar em seguida alarmes, respondendo à atividade suspeita desconectando um usuário da rede ou reprogramando o firewall para bloquear o tráfego da rede proveniente da fonte suspeita.Um IDS deve ser monitorado após a sua implementação, bem como devem ser definidos procedimentos de como os responsáveis pela segurança devem agir. Nessa fase, deve-se atentar para falsos alarmes. Um potencial invasor, que saiba que a rede possua um IDS, provavelmente a sua primeira tática será provocar um alarme de invasão para que a atenção dos administradores de segurança se concentre nesse alarme, enquanto a verdadeira invasão estará ocorrendo em outro lugar.
Um comentário:
Massa, só que certos IDS criam muitos falsos positivos, ou seja, falsos alarmes, sendo que tem que ter uma pessoa praticamente 24 h para analisar esses alarmes. Muito bom!
Postar um comentário