Tweet
Introdução
Para defender computadores da sua rede contra qualquer ataque,é preciso armá-los com uma poderosa artilharia:
No front,temos o firewall,que observa as requisições de entrada e saída de pacotes de rede e decide o que deve ou não passar.
Já na retaguarda,temos os chamados IDS(Intrusion Detection Systems)-Sistemas de Detecção de intrusões.
Para entendermos como os IDS funcionam,precisamos definir primeiramente o que é uma intrusão.
O que é intrusão?
Intrusão de acordo com o dicionário webster é “o ato de entrar num lugar sem ter sido convidado,sem ter o direito,ou sem ser bem-vindo”.
Como este é um conceito generalizado,vamos adaptá-lo para o nosso caso,ou seja,a segurança de rede.
Assim,uma intrusão refere-se a qualquer sistema não autorizado ou atividade de rede não autorizada de um dos computadores da rede ou da rede como um todo.
Para entendermos melhor o que é um IDS,vamos compará-lo com um firewall.
O que é IDS?
IDS é a sigla para Intrusion Detection System (Sistemas de Detecção de intrusões).
Como já foi dito,o firewall é o primeiro nível de defesa de uma rede.
Consideremos o caso dos firewalls que funcionam no espaço do kernel (como o packet filter dos BSDs e o NetFilter Iptables do Linux).
Ambos são baseados em regras estáticas de filtragem,ou seja,se uma regra proíbe que qualquer pacote de rede acesse a porta do ftp que no caso é a 21,então o firewall verifica apenas o começo do cabeçalho do protocolo em questão.
Caso seja um pacote ftp,ele é simplesmente barrado e não consegue entrar na rede,não importando se seu conteúdo foi preparado com más intenções( o chamado pacote maliciosos) ou não.
Já um IDS vai além do filtro de pacotes de um firewall. Se um pacote passa pelo firewall,ele é minuciosamente analisado e padrões especificados são rastreados.
O objetivo é descobrir se o pacote possui ou não conteúdo nocivo.
Em caso positivo,um alarme de segurança (em uma situação ideal)deve ser acionado.
Um IDS pode ser utilizado de várias formas.
Quais as principais formas que o IDS pode ser utilizado?
Como um sniffer:
Um sniffer é um monitor ou analisador de tráfego de rede. Através dos pacotes capturados por ele,podemos identificar erros ou a presença de código malicioso.
Como um logger:
Nesta situação,o IDS captura pacotes e grava os logs em seu disco.
Como um Detector de intrusão:
Podemos dizer que,neste modo de trabalho,um IDS justifica o seu nome,pois pacotes de rede são capturados e submetidos a análise.
No caso de tráfego suspeito,o administrador da rede é avisado.
Para defender computadores da sua rede contra qualquer ataque,é preciso armá-los com uma poderosa artilharia:
No front,temos o firewall,que observa as requisições de entrada e saída de pacotes de rede e decide o que deve ou não passar.
Já na retaguarda,temos os chamados IDS(Intrusion Detection Systems)-Sistemas de Detecção de intrusões.
Para entendermos como os IDS funcionam,precisamos definir primeiramente o que é uma intrusão.
O que é intrusão?
Intrusão de acordo com o dicionário webster é “o ato de entrar num lugar sem ter sido convidado,sem ter o direito,ou sem ser bem-vindo”.
Como este é um conceito generalizado,vamos adaptá-lo para o nosso caso,ou seja,a segurança de rede.
Assim,uma intrusão refere-se a qualquer sistema não autorizado ou atividade de rede não autorizada de um dos computadores da rede ou da rede como um todo.
Para entendermos melhor o que é um IDS,vamos compará-lo com um firewall.
O que é IDS?
IDS é a sigla para Intrusion Detection System (Sistemas de Detecção de intrusões).
Como já foi dito,o firewall é o primeiro nível de defesa de uma rede.
Consideremos o caso dos firewalls que funcionam no espaço do kernel (como o packet filter dos BSDs e o NetFilter Iptables do Linux).
Ambos são baseados em regras estáticas de filtragem,ou seja,se uma regra proíbe que qualquer pacote de rede acesse a porta do ftp que no caso é a 21,então o firewall verifica apenas o começo do cabeçalho do protocolo em questão.
Caso seja um pacote ftp,ele é simplesmente barrado e não consegue entrar na rede,não importando se seu conteúdo foi preparado com más intenções( o chamado pacote maliciosos) ou não.
Já um IDS vai além do filtro de pacotes de um firewall. Se um pacote passa pelo firewall,ele é minuciosamente analisado e padrões especificados são rastreados.
O objetivo é descobrir se o pacote possui ou não conteúdo nocivo.
Em caso positivo,um alarme de segurança (em uma situação ideal)deve ser acionado.
Um IDS pode ser utilizado de várias formas.
Quais as principais formas que o IDS pode ser utilizado?
Como um sniffer:
Um sniffer é um monitor ou analisador de tráfego de rede. Através dos pacotes capturados por ele,podemos identificar erros ou a presença de código malicioso.
Como um logger:
Nesta situação,o IDS captura pacotes e grava os logs em seu disco.
Como um Detector de intrusão:
Podemos dizer que,neste modo de trabalho,um IDS justifica o seu nome,pois pacotes de rede são capturados e submetidos a análise.
No caso de tráfego suspeito,o administrador da rede é avisado.
Comment