Numărul de incidente raportate pe tema securităţii în reţele informatice urmează un trend crescător, un nivel îngrijorător atingând atacurile venite din domeniu public(Internet). Printre cele mai utilizate mijloace de a produce daune atunci când este vizată o reţea sunt atacuri de tip DoS -Denial of Service (o reţea este “inundată” cu un flux de date generate de atacator pentru a împiedica traficul legitim de date să ajungă la destinaţie în acea reţea), atacuri prin e-mail sau accesul neautorizat pe anumite servere ce conţin date confidenţiale sau aplicaţii de tip critic pentru activitatea unei companii.

Pentru o reţea informatică, al doilea nivel de securitate, furnizat din spatele fi rewall-ului este făcut prin sisteme de detecţie a atacurilor (IDS – intrusion detection system). Aceste sisteme detectează atacurile şi declaşeanză răspunsuri la aceste atacuri şi totodată alertează pe diverse căi administratorul de reţea.

Sistemele de Detectarea Intruziunii, sunt echipamente ce înregistreaza încercările de intruziune în sisteme informatice sau în reţele de calculatoare. Definit ca un instrument de identificare, inventariere şi raportare a traficului de reţea neautorizat, un sistem IDS reprezintă o soluţie alternativă (tot din categoria celor de protecţie pasivă) ce permite administratorilor de reţea şi de securitate să identifice în timp optim încercările de atac asupra unui sistem informatic.

Comparativ cu un sistem firewall, care, pe baza politicilor de tip „allow” şi a celor de tip „deny” controlează traficul la perimetrul unei reţele, sistemele IDS analizează traficul de date permis de către un firewall sau router pentru identificarea tentativelor de atac. Tehnicile de detecţie a intruziunilor sunt bazate pe identificarea semnăturilor de atac la nivel de aplicaţie şi a anomaliilor de trafic. Alertarea în cazul unui potenţial atac este un serviciu extrem de util pentru administratori, care pot astfel interveni în timp optim pentru protejarea reţelei. Sistemele IDS au crescut astfel în utilizare şi prezenţă pe piaţă. Sistemele de tip IDS nu blochează atacul ci doar îl inregistreaza pentru o monitorizare ulterioară. Acest tip de sisteme sunt considerate pasive.

Sistemele de tip IDS se pot împărţi în 2 categorii principale:

  • IDS de reţea (Network IDS – NIDS)
  • IDS de staţie(Host IDS – HIDS)

Un astfel de sistem are rolul de a monitoriza şi detecta potenţialele ameninţări, iar în momentul în care sesizează un posibil pericol alertează persoana responsabilă cu securitatea informatică din cadrul firmei.

Sistemele de detectare a intruşilor pot fi instalate ca sonde sau ca agenţi. Sondele sunt mult mai eficiente în ceea ce priveşte detectarea intruziunilor deoarece minimizează impactul asupra sistemelor existente prin ascultarea pasivă şi raportarea către consola centrală, fără întrerupere.

Serviciile de detectare a intruşilor executa la nivel de dispozitiv de reţea următoarele funcţii:

  • inspectează fluxul de date care trece prin reţea, identifică semnăturile activităţilor neautorizate şi activează procedurile de apărare;
  • generează alarme în cazul detectării evenimentelor, notificând personalul de securitate;
  • activează un răspuns automat în cazul anumitor probleme.

Toate IDS-urile cunoscute sunt livrate cu reguli care să detecteze scanările Nmap deoarece acestea preced de obicei un atac. Multe dintre acestea s-au transformat în sisteme de prevenire a intruziunilor (IPS) care blochează în mod activ traficul presupus malefic. Din păcate pentru administratorii de reţea şi vânzătorii IDS-urilor, detectarea în mod corect a relelor intenţii prin analizarea pachetelor este o problemă dificilă. Atacatorii cu răbdare, îndemânare şi ajutor din partea anumitor opţiuni Nmap pot în mod normal să treacă de IDS nedetectaţi. Între timp, administratorii au de a face cu o mulţime de alerte false când trafic inocent este greşit diagnosticat şi se emite o atenţionare sau este chiar blocat.

Conform analizelor şi prognozelor IDC se vede acum un interes crescut în detectarea şi prevenirea intruziunilor ca şi în tehnologii de autentificare, autorizare şi control al accesului.

Comments are closed.