Apresentação
Sistema de detecção de intrusos ou simplesmente IDS ( em inglês: Intrusion detection system) refere-se a meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados que podem indicar a ação hacker ou até mesmo funcionários mal intencionados.
Avanço Tecnológico x Criação de IDS
Com a rápida evolução da tecnologia na infra-estrutura dos serviços e protocolos de rede, torna a cada dia mais complicado a criação dos sistema de detecção de intrusos, mais o principal problema não é só o avanço da tecnologia, mais também a complexidade dos meio utilizados para maximizar a segurança nas transmissões de dados.
Como Funciona
Trabalham analisando os pacotes que trafegam na rede, comparando-os com assinaturas previamente estabelecidas para tentativas de ataques, identificando de forma rápida e fácil qualquer tipo de ataque que possa ocorrer na rede.
IDS em redes com switch
A implementação de IDSs em redes comutadas (no caso baseadas em switching) permitem a comunicação direta, não compartilhada entre dois dispositivos. Essa característica introduz algumas dificuldades para a implementação de IDSs se comparada as redes com transmissão por difusão.
Como nesse tipo de rede os dados trafegam diretamente para seus destinos (sem a difusão) torna-se preciso, na implantação de IDSs, algumas soluções específicas.
O uso de Port Span consiste na utilização de switches com IDS embutidos. A decisão de sua utilização deve ser discutida antes da compra dos concentradores de rede (switches).
O uso de Splitting Wire e Optical Tap é uma solução que consiste em colocar uma "escuta" posicionada entre um switch e um equipamento de rede que se deseja monitorar. Um meio bastante barato de se fazer isso (Ethernet e Fast Ethernet) é a colocação de um concentrador de rede por difusão (hub) na conexão que se deseja vistoriar. No caso de fibras òpticas basta adicionar um dispositivo chamado optical tap. O uso de Port Mirror consistem em fazer no switch o espelhamento do tráfego de uma única porta para outra usada para o monitoramento. Esse método é semelhante ao wire tap porem é implantando no próprio switch.
IDS em redes de alta velocidade
A evolução tecnológica tem também permitido que um maior número de redes possuam altas velocidades de transmissão de dados. Sob o ponto de vista da implantação de IDS isso se torna um ponto bastante delicado que traz questões importantes na manutenção da infra estrutura de redes, destacando-se: Os softwares IDS conseguirão analisar toda a grande quantidade de dados que trafegam na rede? O hardware de monitoramento suportará tamanho trafego? Os IDS não irão prejudicar a performance da rede se tornando um gargalo?.
Essas, e outras questões, tem sido bastante discutidas gerando várias soluções para contornar esses problemas ou problemas em potencial. Destacando-se:
- Aumentar o poder de processamento dos equipamentos
- Monitoração utilizando-se Target IDS definidas pelo administrador
- Direcionamento de tráfego, Toplayer
- Recursos de Filtragem dos IDS
- Segregação de IDS por serviço (IDS especialista)
Nenhum comentário:
Postar um comentário