602 Shares 3757 views

IDS – o que é? Sistema de Detecção de Intrusão (IDS) como um trabalho?

IDS o que é? Como é que este sistema funciona? Sistema de Detecção de Intrusão – um hardware ou software para detectar ataques e atividades maliciosas. Eles ajudam a redes e sistemas informáticos para dar-lhes uma rejeição adequada. Para conseguir isso, IDS coleta informações de várias fontes de sistema ou de rede. Então, o IDS analisa-lo para determinar a presença de ataques. Este artigo irá tentar responder à pergunta: "IDS – o que é e para que serve"

O que são sistemas de detecção de intrusão (IDS)

sistemas de informação e redes estão constantemente expostos a ataques cibernéticos. Firewalls e antivírus para refletir todos esses ataques não é suficiente, porque eles só são capazes de proteger a "porta da frente" de sistemas de computadores e redes. Outros adolescentes, imaginou-se hackers, constantemente vasculhando a internet em busca de lacunas em sistemas de segurança.

Graças à World Wide Web à sua disposição uma grande quantidade de totalmente livre de software malicioso – qualquer Slammer, slepperov e programas maliciosos semelhantes. Serviço é hackers profissionais estão competindo empresas para neutralizar um ao outro. Assim que os sistemas que detectam a invasão (sistemas de detecção de intrusão), – uma necessidade urgente. Não é de admirar que a cada dia eles estão se tornando mais amplamente utilizado.

elementos IDS

Os elementos de IDS incluem:

  • subsistema de detector, cuja finalidade – a acumulação de eventos de rede ou sistemas de computador;
  • subsistema de análise que detecta um ataque cibernético ea atividade duvidosa;
  • armazenamento para armazenar informações sobre os eventos e os resultados da análise de ataques cibernéticos e ações não autorizadas;
  • console de gerenciamento com a qual IDS é possível definir os parâmetros, monitorizar o estado da rede (sistema ou computador), para ter acesso às informações sobre o subsistema de análise ataque detectados e ações ilegais.

De fato, muitos podem perguntar: "Como é traduzido IDS?" A tradução de Inglês soa como "sistema que localiza os intrusos quentes."

As tarefas básicas para resolver o sistema de detecção de intrusão

Intrusion Detection System tem dois objetivos principais: análise de fontes de informação e uma resposta apropriada, com base nos resultados dessa análise. Para realizar essas tarefas sistema IDS executa as seguintes ações:

  • monitora e analisa a actividade do utilizador;
  • Ela está envolvida na auditoria de configuração do sistema e as suas fraquezas;
  • Ele verifica a integridade dos arquivos de sistema críticos e arquivos de dados;
  • a realização de uma análise estatística dos estados do sistema com base em uma comparação com as condições de que ocorreram durante os ataques já conhecidos;
  • Ele audita o sistema operacional.

Que pode fornecer um sistema de detecção de intrusão, e que ela não pode pagar

Você pode usá-lo para alcançar o seguinte:

  • melhorar a integridade dos parâmetros da infra-estrutura de rede;
  • para rastrear a atividade do usuário na data da sua entrada no sistema e para a aplicação do danificá-lo ou fazer quaisquer ações não autorizadas;
  • identificar e informar sobre a alterar ou excluir dados;
  • Automatizado tarefas de monitoramento Internet a fim de encontrar os ataques mais recentes;
  • detectar um erro no sistema de configuração;
  • detectar ataques iniciais e notificar.

O IDS não pode fazê-lo:

  • para preencher as lacunas em protocolos de rede;
  • papel compensatório para jogar no caso de redes de mecanismos de identificação e autenticação fracos ou sistemas de computador que ele monitora;
  • Também deve-se notar que o IDS não é sempre a lidar com os problemas associados com os ataques no nível de pacote (em nível de pacote).

IPS (Intrusion Prevention System) – IDS Continuação

IPS significa "sistema de prevenção de intrusão." Este avançado, mais funcionais IDS variedades. sistemas IPS IDS são reactivos (em contraste com o habitual). Isso significa que eles podem não só identificar, registrar e alerta sobre o ataque, mas também para desempenhar funções de segurança. Estas funções incluem compostos repor e bloqueando os pacotes de tráfego de entrada. Outra característica do IPS é que eles estão trabalhando on-line e pode bloquear automaticamente o ataque.

método subespécie IDS para monitorização

NIDS (isto é, IDS, que estão a monitorizar a rede inteira (rede)) envolvida na análise de tráfego através de sub-redes e gerida centralmente. arranjo regular de vários NIDS monitorização podem atingir o tamanho da rede bastante grande.

Eles trabalham em modo promíscuo (ou seja, verificar todos os pacotes de entrada, em vez de fazê-lo seletivamente), comparando o tráfego de sub-rede para ataques conhecidos com a sua biblioteca. Quando um ataque é identificado ou detectada actividade não autorizada, o administrador é enviado um alarme. No entanto, deve ser mencionado que uma grande rede com alto tráfego NIDS, por vezes, não pode lidar com todos os pacotes de informações de teste. Portanto, existe a possibilidade de que, durante a "hora do rush", eles não serão capazes de reconhecer o ataque.

NIDS (rede baseada em IDS) – estes são os sistemas que são facilmente integrados na nova topologia de rede tanta influência sobre o seu desempenho, eles não têm, ser passivo. Eles só fixo é registada e notificar, ao contrário dos sistemas reactivos tipo IPS que foram discutidos acima. No entanto, também deve ser dito sobre os IDS baseado em rede, este é um sistema que não pode analisar os dados submetidos a criptografia. Esta é uma desvantagem significativa porque a crescente introdução de rede privada virtual (VPN) para encriptar a informação está cada vez mais a ser utilizado por cybercriminals para atacar.

NIDS também não pode determinar o que aconteceu como resultado do ataque, que causou danos ou não. Todos eles oferecem – é fixar o seu início. Portanto, o administrador é forçado a re-examinar-se todos os casos de ataque para se certificar de que o ataque teve sucesso. Um outro problema significativo é que NIDS dificilmente captura ataque usando pacotes fragmentados. Eles são especialmente perigosos porque podem perturbar o funcionamento normal do NIDS. O que isso significa para todo o sistema de rede ou computador, não há necessidade de explicar.

SHID (host do sistema de detecção de intrusão)

HIDS (IDS, anfitrião monitoryaschie (host)) servem apenas um computador específico. Isto, naturalmente, oferece muito maior eficiência. HIDS analisados dois tipos de informação: os logs do sistema e os resultados da auditoria do sistema operacional. Eles fazem um instantâneo de arquivos de sistema e compará-lo com a imagem anterior. Se um importante crítico para os arquivos de sistema foram modificados ou removido, em seguida, o gerente envia um alarme.

HIDS vantagem significativa é a capacidade de realizar o seu trabalho em uma situação onde o tráfego de rede é cifrado suscetíveis. Isto é possível graças ao fato de que estar no host (host-based) fontes de informação podem ser criados antes que os dados se prestam a criptografia ou descriptografia depois no host de destino.

As desvantagens deste sistema incluem a possibilidade de seu bloqueio ou até mesmo proibir o uso de certos tipos de DoS-ataques. O problema aqui é que alguns sensores HIDS e ferramentas de análise estão localizados no host, que está sob ataque, isto é, eles também ataque. O fato de que os recursos são HIDS anfitriões cujo trabalho eles estão monitorando, também, dificilmente pode ser chamado de um plus, porque, naturalmente, reduz a sua produtividade.

Subespécies IDS sobre como identificar ataques

anomalias de método, método de análise de assinaturas e políticas – tais subespécies sobre como identificar ataques é o IDS.

análise de assinatura do método

Neste caso, os pacotes de dados são verificados para as assinaturas de ataque. A assinatura do ataque – que corresponde ao evento a um dos espécimes, descrevendo ataques conhecidos. Este método é muito eficaz, porque quando você usa os falsos relatos de ataques são relativamente raros.

método de anomalias

Com sua ajuda encontrada ações ilegais na rede e host. Com base na história do funcionamento normal do hospedeiro e a rede criada perfis especiais com dados sobre ela. Em seguida, entram em jogo especial detectores que analisam eventos. Usando algoritmos diferentes que produzem uma análise desses eventos, comparando-os com a "norma" nos perfis. A falta de necessidade de acumular uma enorme quantidade de assinaturas de ataque – uma clara vantagem deste método. No entanto, um número considerável de alarmes falsos sobre o ataque com atípico, mas é eventos de rede bastante legítimas – esta é a sua menos indubitável.

método de política

Outro método para detectar ataques é um método de política. A essência dela – na criação de regulamentos de segurança de rede, o que, por exemplo, podem indicar as redes de princípio entre si e utilizados neste protocolo. Este método é promissor, mas a dificuldade é bastante difícil processo de criação de um banco de dados de políticas.

Sistemas de identificação irá fornecer proteção confiável de seus sistemas de rede e computadores

Grupo de Sistemas de Identificação, hoje, é um dos no domínio do líder de mercado de sistemas de segurança para redes de computadores. Ele irá lhe fornecer proteção confiável contra ciber-vilões. você não pode se preocupar com seus dados importantes para proteger sistemas de sistemas de identificação. Devido a isso, você será capaz de aproveitar mais a vida, porque você tem no coração é um pouco de dificuldade.

Sistemas de identificação – pessoal comentários

Grande equipe, e mais importante, é claro – essa é a atitude correta de gestão da empresa aos seus empregados. Todos (mesmo os iniciantes incipientes) têm a oportunidade de crescimento profissional. No entanto, para isso, é claro, que você precisa para se expressar, e então tudo vai sair.

Na atmosfera saudável equipe. Iniciantes são sempre em torno do trem e todo o show. Sem concorrência desleal não é sentida. Os funcionários que trabalham na empresa há muitos anos, tem o prazer de compartilhar todos os detalhes técnicos. Eles são amigável, mesmo sem uma pitada de condescendência responder às perguntas mais tolas trabalhadores inexperientes. Em geral, de trabalhar nos Sistemas ID algumas emoções agradáveis.

gestão atitude agradavelmente satisfeito. Também o prazer que aqui, obviamente, são capazes de trabalhar com a equipe, porque o pessoal é realmente altamente correspondido. Empregado quase inequívoca: eles se sentem no trabalho em casa.