Sistema básico de detecção de intrusão
Veja esta citação pela almirante Grace Hopper
“A vida era mais simples antes da Segunda Guerra Mundial. Depois disso, tivemos sistemas ”
Então, o que isso realmente significa? Com a invenção de sistemas (sistemas de computador), veio o aumento para várias necessidades de rede, e com a rede veio a ideia de compartilhamento de dados. Hoje nesta era de globalização, com o desenvolvimento da tecnologia da informação, bem como a facilidade de acesso e desenvolvimento de ferramentas de hacking, surge a necessidade de segurança de dados importantes. Os firewalls podem fornecer isso, mas nunca alertam o administrador sobre quaisquer ataques. É daí que surge a necessidade de um sistema diferente - uma espécie de sistema de detecção.
Um sistema de detecção de intrusão é uma solução necessária para o problema acima. É semelhante a um sistema de alarme contra roubo em sua casa ou qualquer organização que detecta a presença de qualquer intervenção indesejada e alerta o administrador do sistema.
É um tipo de software projetado para alertar automaticamente os administradores quando alguém está tentando violar o sistema usando atividades maliciosas.
Agora, antes de conhecer um Sistema de detecção de intrusão, vamos relembrar brevemente sobre firewalls.
Firewalls são programas de software ou dispositivos de hardware que podem ser usados para prevenir qualquer ataque malicioso no sistema ou na rede. Eles atuam basicamente como filtros que bloqueiam qualquer tipo de informação que possa causar uma ameaça ao sistema ou à rede. Eles podem monitorar alguns conteúdos do pacote de entrada ou monitorar o pacote inteiro.
Classificação do sistema de detecção de intrusão:
Com base no tipo de sistemas que o IDS protege:
- Sistema de detecção de intrusão de rede :Este sistema monitora o tráfego em redes ou sub-redes individuais, analisando continuamente o tráfego e comparando-o com os ataques conhecidos na biblioteca. Se um ataque for detectado, um alerta será enviado ao administrador do sistema. Ele é colocado principalmente em pontos importantes da rede para que possa ficar de olho no tráfego que chega e sai dos diferentes dispositivos da rede. O IDS é colocado ao longo do limite da rede ou entre a rede e o servidor. Uma vantagem desse sistema é que ele pode ser implantado facilmente e com baixo custo, sem ter que ser carregado para cada sistema.
- Sistema de detecção de intrusão de host :Tal sistema funciona em sistemas individuais onde a conexão de rede ao sistema, ou seja, entrada e saída de pacotes são constantemente monitorados e também a auditoria de arquivos do sistema é feita e em caso de qualquer discrepância, o administrador do sistema é alertado sobre o mesmo. Este sistema monitora o sistema operacional do computador. O IDS é instalado no computador. A vantagem deste sistema é que ele pode monitorar todo o sistema com precisão e não requer a instalação de nenhum outro hardware.
Com base no método de trabalho:
- Sistema de detecção de intrusão baseado em assinatura :Este sistema funciona com o princípio da correspondência. Os dados são analisados e comparados com a assinatura de ataques conhecidos. Em caso de correspondência, um alerta é emitido. Uma vantagem deste sistema é que ele tem mais precisão e alarmes padrão compreendidos pelo usuário.
- Sistema de detecção de intrusão baseado em anomalias :Consiste em um modelo estatístico de tráfego de rede normal que consiste na largura de banda usada, os protocolos definidos para o tráfego, as portas e os dispositivos que fazem parte da rede. Ele monitora regularmente o tráfego da rede e o compara com o modelo estatístico. Em caso de alguma anomalia ou discrepância, o administrador é alertado. Uma vantagem deste sistema é que ele pode detectar ataques novos e exclusivos.
Com base em seu funcionamento:
- Sistema passivo de detecção de intrusão :Ele simplesmente detecta o tipo de operação de malware e emite um alerta para o sistema ou administrador de rede. (O que temos visto até agora!). A ação necessária é então executada pelo administrador.
- Sistema de detecção de intrusão reativa :Ele não apenas detecta a ameaça, mas também executa ações específicas, redefinindo a conexão suspeita ou bloqueia o tráfego de rede da fonte suspeita. Também é conhecido como Sistema de prevenção de intrusões.
Características típicas de um sistema de detecção de intrusão:
- Ele monitora e analisa as atividades do usuário e do sistema.
- Realiza auditoria dos arquivos do sistema e outras configurações e do sistema operacional.
- Avalia a integridade do sistema e dos arquivos de dados
- Realiza uma análise de padrões com base em ataques conhecidos.
- Ele detecta erros na configuração do sistema.
- Ele detecta e avisa se o sistema está em perigo.
Software gratuito de detecção de intrusão
Sistema de detecção de intrusão Snort
Um dos softwares de detecção de intrusão mais amplamente usado é o software Snort. É um software de detecção de intrusão de rede desenvolvido por arquivo fonte. Ele realiza análise de tráfego em tempo real e análise de protocolo, correspondência de padrões e detecção de vários tipos de ataques.
Um sistema de detecção de intrusão baseado em Snort consiste nos seguintes componentes:
- Um decodificador de pacotes :Pega pacotes de diferentes redes e os prepara para o pré-processamento ou qualquer outra ação. Basicamente, ele decodifica os próximos pacotes de rede.
- Um pré-processador :Ele prepara e modifica os pacotes de dados e também realiza a desfragmentação dos pacotes de dados, decodifica os fluxos TCP.
- Um mecanismo de detecção :Realiza a detecção de pacotes com base nas regras do Snort. Se algum pacote corresponder às regras, a ação apropriada será tomada, caso contrário, ele será descartado.
- Sistema de registro e alerta :O pacote detectado é registrado em arquivos de sistema ou, em caso de ameaças, o sistema é alertado.
- Módulos de saída :Eles controlam o tipo de saída do sistema de registro e alerta.
Vantagens dos sistemas de detecção de intrusão
- A rede ou computador é constantemente monitorado para qualquer invasão ou ataque.
- O sistema pode ser modificado e alterado de acordo com as necessidades de clientes específicos e pode ajudar tanto ameaças externas quanto internas ao sistema e à rede.
- Previne efetivamente qualquer dano à rede.
- Ele fornece uma interface amigável que permite sistemas de gerenciamento de segurança fáceis.
- Quaisquer alterações em arquivos e diretórios no sistema podem ser facilmente detectadas e relatadas.
Uma única desvantagem do Sistema de Detecção de Intrusão é que ele não consegue detectar a origem do ataque e, em qualquer caso de ataque, apenas bloqueia toda a rede. Se tiver mais dúvidas sobre este conceito ou sobre os projetos elétricos e eletrônicos deixe os comentários abaixo.
Sensor
- C# usando
- Entrada e Saída Java Basic
- Sistema de alarme de detecção de movimento
- Melhorar o sistema básico de trabalho primeiro
- 3 razões pelas quais você deve investir em um sistema de detecção de pedestres em depósito
- 5 dicas básicas de segurança de rede para pequenas empresas
- Dryad Networks obtém US$ 2,1 milhões para rede de detecção de incêndios florestais baseada em IoT
- 5 vantagens de usar o sistema de detecção de vazamento de água alimentado por IoT Biz4intellias nas indústrias
- 5 Ws da tela Braille portátil
- Sistema automático de gerenciamento de observação, nova ferramenta para coordenar a rede de telescópios