Sistema de Detecção de Intrusão (IDS)

Postado em 18:05 by Administrador

Um sistema de detecção de intrusão (IDS) é um software e / ou sistema de hardware baseado que monitora o tráfego de rede e monitores para atividade suspeita e alerta o administrador de sistema ou de rede. Em alguns casos, o IDS também podem responder ao tráfego anômalo ou malicioso, tomando medidas como o bloqueio do usuário ou endereço IP de origem de acessar a rede.
Os locais mais comuns para um sistema de detecção de intrusão é como mostrado na figura a seguir -

ids


A seguir estão os tipos de sistemas de detecção de intrusão -

1) Intrusion Detection System (HIDS) Host-Based: - sistemas de detecção de intrusão baseados em host ou HIDS são instalados como agentes em um host. Os sistemas de detecção de intrusão pode olhar para os arquivos de log do sistema e de aplicativos para detectar qualquer atividade intruso.

2) Intrusion Detection System (NIDS) Baseada em Rede: - Estes IDSs detectar ataques ao capturar e analisar pacotes de rede. Ouvir em um segmento de rede ou switch, um IDS baseado em rede pode monitorar o tráfego de rede que afeta vários hosts que estão conectados ao segmento de rede, protegendo assim os anfitriões. IDS baseado em rede, muitas vezes consistem em um conjunto de sensores de uso único ou hosts colocados em vários pontos de uma rede. Estas unidades de monitorar o tráfego da rede, realizando análise local de que o tráfego e os ataques a um console de gerenciamento central de relatórios.

Alguns tópicos importantes vem sob detecção de intrusão são os seguintes: -

1) Assinaturas - Assinatura é o padrão que você olha para dentro de um pacote de dados. A assinatura é utilizado para a detecção de um ou vários tipos de ataques. Por exemplo, a presença de "scripts / iisadmin" em um pacote indo para o seu servidor web pode indicar uma atividade intruso. Assinaturas podem estar presentes em diferentes partes de um pacote de dados, dependendo da natureza do ataque.

2) Alertas - Os alertas são qualquer tipo de notificação do usuário de uma atividade intruso. Quando um IDS detecta um intruso, ele tem que informar administrador de segurança sobre o uso de alertas. Alertas podem ser na forma de janelas pop-up, registrando a um console, o envio de e-mail e assim por diante. Os alertas também são armazenados em arquivos de registro ou bancos de dados, onde podem ser vistos mais tarde, por especialistas em segurança.

3) Logs - As mensagens de log geralmente são guardados em mensagens FILE.LOG podem ser salvas ou no formato texto ou binário.

4) Alarmes Falsos - Os alarmes falsos são alertas gerados devido a uma indicação de que não é uma atividade intruso. Por exemplo, os hosts internos mal configurados podem, por vezes transmitir mensagens que acionam uma regra resultando na geração de um falso alerta. Alguns roteadores, como roteadores domésticos Linksys, gerar lotes de alertas relacionados com UPnP. Para evitar falsos alarmes, você tem que modificar e ajustar diferentes regras padrão. Em alguns casos pode ser necessário desabilitar algumas das regras para evitar alarmes falsos.

5) Sensor - A máquina em que um sistema de detecção de intrusão está em execução também é chamado o sensor na literatura, pois ele é usado para "sentir" a rede.

Snort: - Snort é um sistema de detecção de intrusão de rede muito flexível que tem um grande conjunto de regras pré-configuradas. Snort também permite que você escreva o seu próprio conjunto de regras. Existem várias listas de discussão na internet onde as pessoas partilham as novas regras do snort que pode combater os ataques mais recentes.

Snort é um aplicativo de segurança moderno, que pode desempenhar as três funções seguintes:

* Ela pode servir como um packet sniffer.
* Pode funcionar como um registrador de pacotes.
* Pode funcionar como um sistema de detecção de intrusão baseados em rede (NIDS).

Mais detalhes e downloads podem ser obtidas a partir dele da casa http://www.snort.org

Sem resposta para "Sistema de Detecção de Intrusão (IDS)"