O que é um sistema de detecção de intrusão?
As redes de informação podem ser altamente suscetíveis a ataques maliciosos de worms, vírus e várias outras ameaças à rede, com novos problemas regulares surgindo nessas frentes. Tais ataques podem paralisar as redes, destruir dados importantes e afetar adversamente a produtividade. Para impedir que isso aconteça, sistemas de detecção de intrusão (IDS) são configurados para proteger as redes de informações.
Um sistema de detecção de intrusões atua como uma proteção que detecta ataques antes ou depois que eles acontecem, alerta a administração do sistema e, em seguida, toma as medidas apropriadas para desativar os ataques, restaurando a rede à sua capacidade normal de trabalho. Geralmente, é necessário um certo grau de supervisão e investigação humana em sistemas de detecção de intrusão, pois o IDS não é completamente infalível. Um sistema de detecção de intrusões pode, por exemplo, falhar na identificação de algumas ameaças à rede ou, em casos de redes ocupadas, pode não ser capaz de verificar todo o tráfego que passa pela rede.
No seu dia-a-dia, o sistema de detecção de intrusões monitora a atividade e o tráfego do usuário na rede e vigia as configurações e os arquivos do sistema. Se alguma anormalidade ou ataque for detectado, o sistema de detecção de intrusões configurará imediatamente um alarme para chamar a atenção do administrador do sistema. O sistema poderá então lidar com as ameaças à rede ou permitir que o administrador decida a melhor maneira de resolver o problema.
Existem três tipos principais de sistemas de detecção de intrusão que juntos formam um sistema de prevenção de intrusões. A primeira é a detecção de intrusões na rede, que mantém uma biblioteca de ameaças à rede conhecidas. O sistema verifica a Internet e atualiza constantemente essa biblioteca; dessa forma, o sistema é mantido informado sobre as ameaças à rede mais recentes e pode proteger melhor a rede. O tráfego de passagem é monitorado e verificado com a biblioteca e, se algum ataque conhecido ou comportamento anormal corresponder aos da biblioteca, o sistema se prepara para bloqueá-lo.
A detecção de intrusão no nó da rede é a segunda parte do sistema de prevenção de intrusões. Ele verifica e analisa o tráfego que passa da rede para um host específico. A terceira parte é o sistema de detecção de intrusões de host, que verifica se há alterações no sistema atual; se algum arquivo for modificado ou excluído, o sistema de detecção de invasão do host emite o alarme. Ele pode desativar diretamente o ataque ou configurar um novo ambiente de segurança aprimorado.