Um sistema de detecção de intrusão (IDS) monitora o tráfego da rede e monitora atividades suspeitas e alerta o sistema ou o administrador da rede. Em alguns casos, o IDS também pode responder a um tráfego anômalo ou mal-intencionado executando ações como bloquear o acesso do usuário ou do endereço IP de origem à rede.
O IDS vem em uma variedade de “sabores” e aborda o objetivo de detectar tráfego suspeito de maneiras diferentes. Existem sistemas de detecção de intrusões baseados em rede (NIDS) e em host (HIDS). Existem IDS que detectam com base na procura de assinaturas específicas de ameaças conhecidas - semelhante à forma como o software antivírus normalmente detecta e protege contra malware - e há IDS que detectam com base na comparação de padrões de tráfego em relação a uma linha de base e à procura de anomalias. Existem IDS que simplesmente monitoram e alertam e há IDS que executam uma ação ou ações em resposta a uma ameaça detectada. Nós vamos cobrir cada um destes brevemente.
NIDS
Os sistemas de detecção de invasão de rede são colocados em um ponto ou pontos estratégicos da rede para monitorar o tráfego de e para todos os dispositivos na rede. O ideal seria verificar todo o tráfego de entrada e saída, mas isso poderia criar um gargalo que prejudicaria a velocidade geral da rede.
HIDS
Os sistemas de detecção de invasão do host são executados em hosts individuais ou dispositivos na rede. Um HIDS monitora os pacotes de entrada e saída somente do dispositivo e alertará o usuário ou administrador sobre a detecção de atividades suspeitas
Baseado em assinatura
Um IDS baseado em assinatura monitorará os pacotes na rede e os comparará com um banco de dados de assinaturas ou atributos de ameaças maliciosas conhecidas. Isso é semelhante à maneira como a maioria dos softwares antivírus detecta malware. A questão é que haverá um atraso entre uma nova ameaça sendo descoberta na natureza e a assinatura para detectar essa ameaça sendo aplicada ao seu IDS. Durante esse tempo de atraso, seu IDS não conseguirá detectar a nova ameaça.
Baseado em anomalia
Um IDS com base em anomalia monitorará o tráfego de rede e o comparará com uma linha de base estabelecida. A linha de base identificará o que é “normal” para essa rede - que tipo de largura de banda é geralmente usada, quais protocolos são usados, quais portas e dispositivos geralmente se conectam - e alerta o administrador ou usuário quando é detectado tráfego anômalo, ou significativamente diferente da linha de base.
IDS passivo
Um IDS passivo simplesmente detecta e alerta. Quando um tráfego suspeito ou mal-intencionado é detectado, um alerta é gerado e enviado ao administrador ou usuário e cabe a eles tomar medidas para bloquear a atividade ou responder de alguma forma.
IDS reativo
Um IDS reativo não apenas detectará tráfego suspeito ou mal-intencionado e alertará o administrador, mas tomará ações proativas predefinidas para responder à ameaça. Normalmente, isso significa bloquear qualquer tráfego de rede adicional do endereço IP ou do usuário de origem.
Um dos mais conhecidos e amplamente utilizados sistemas de detecção de intrusão é o open source, disponível gratuitamente para o Snort. Está disponível para várias plataformas e sistemas operacionais, incluindo Linux e Windows. O Snort tem um público grande e leal e há muitos recursos disponíveis na Internet onde você pode adquirir assinaturas para implementar para detectar as ameaças mais recentes.
Existe uma linha tênue entre um firewall e um IDS. Existe também uma tecnologia chamada IPS - Intrusion Prevention System. Um IPS é essencialmente um firewall que combina filtragem em nível de rede e em nível de aplicativo com um IDS reativo para proteger proativamente a rede. Parece que com o passar do tempo os firewalls, o IDS e o IPS assumem mais atributos uns dos outros e embaçam ainda mais a linha.
Essencialmente, seu firewall é sua primeira linha de defesa de perímetro. As práticas recomendadas recomendam que seu firewall seja configurado explicitamente para DENY todo o tráfego de entrada e, em seguida, você abre brechas onde necessário. Talvez seja necessário abrir a porta 80 para hospedar sites ou a porta 21 para hospedar um servidor de arquivos FTP. Cada um desses buracos pode ser necessário de um ponto de vista, mas eles também representam possíveis vetores para que o tráfego malicioso entre em sua rede, em vez de ser bloqueado pelo firewall.
É aí que seu IDS viria. Quer você implemente um NIDS em toda a rede ou um HIDS em seu dispositivo específico, o IDS monitorará o tráfego de entrada e saída e identificará tráfego suspeito ou malicioso que pode ter de alguma forma contornado seu firewall ou pode ser originado de dentro da sua rede também.
Um IDS pode ser uma ótima ferramenta para monitorar e proteger proativamente sua rede contra atividades maliciosas, no entanto, eles também são propensos a falsos alarmes. Com praticamente qualquer solução de IDS implementada, você precisará “ajustá-la” assim que for instalada pela primeira vez. Você precisa que o IDS seja configurado adequadamente para reconhecer o tráfego normal em sua rede, o que pode ser um tráfego mal-intencionado e você, ou os administradores responsáveis por responder aos alertas do IDS, precisam entender o que os alertas significam e como responder efetivamente.
