Situatie
Solutie
IDS – Sisteme de detectie ale intruziunilor
Detectia intruziunilor este procesul de monitorizare a evenimentelor care au loc intr-un sistem sau o retea de calculatoare si analiza lor pentru a detecta posibile incidente care sunt violari sau amenintari iminente a politicilor de securitate, a politicilor de utilizare acceptate sau a practicilor standard de securitate.
Prevenirea intruziunilor este procesul prin care se desfasoara detectia intruziunilor si incercarea de inlaturare a posibilelor incidente detectate. Sistemele de detectie si prevenire ale intruziunilor – IDPS (Intrusion Detection-Prevention Systems) au ca scop principal identificarea posibilelor incidente, inregistrarea informatiilor despre ele, incercarea de inlaturare a incidentelor si raportarea catre administratorii de securitate. In plus, organizatiile pot folosi IDPS-urile si pentru alte scopuri: identificarea problemelor legate de politicile de securitate, documentarea amenintarilor existente si descurajarea indivizilor in a incalca politicile de securitate.
Definitie:
Un sistem de detecţie a intruziunilor (IDS) reprezintă, în esenţă, o soluţie de securitate ad-hoc care urmăreşte protejarea sistemelor de calcul vulnerabile. Sarcinile majore ale unui sistem de detecţie a intruziunilor (IDS) sunt acelea de a colecta date de la un sistem, de a analiza aceste date pentru a descoperi evenimente relevante de securitate şi de a prezenta rezultatele analizei către administratorul de sistem.
Mecanisme de răspuns mai mult sau mai puţin automatizate pot fi construite, de asemenea, în cadrul unui astfel de sistem.
]Sistem de detectie al intruziunilor de tip network-based
- Intr-un sistem de detectie al intruziunilor de tip network-based – Network-based Intrusion Detection System (NIDS) – senzorii sunt localizati in puncte critice ale retelei care este monitorizata, de cele mai multe ori la marginea retelei sau in DMZ (demilitarized zone). Senzorii capteaza tot traficul din retea si analizeaza continutul fiecarui pachet cautand urme de trafic malitios.
Un NIDS reprezinta o platforma independenta care identifica intruziunile prin examinarea traficului din retea si monitorizeaza mai multe statii. NIDS-urile pot vizualiza traficul din retea prin conectarea lor la un hub sau la un echipament switch configurat cu port mirroring.
- IDS bazate pe host
Aceste sisteme IDS operează pe informaţii colectate din cadrul unui sistem de calcul individual. Această abordare permite să se determine exact ce procese şi conturi de utilizator sunt implicate într-un atac particular de sistemul de operare. Mai mult decât atât, spre deosebire de sistemele IDS bazate pe reţea, sistemele IDS bazate pe „gazdă” pot determina mult mai uşor rezultatul intenţionat al unei tentative de atac, deoarece ele pot accesa şi monitoriza direct fişierele de date şi procesele de sistem care sunt de regulă vizate de către atacatori.
IDS bazate pe aplicaţie. Sistemele IDS bazate pe aplicaţie constituie un subset special de sisteme IDS bazate pe host care analizează evenimentele apărute în cadrul execuţiei unei aplicaţii software. Cele mai comune surse de informaţii utilizate de astfel de sisteme de detecţie a intruziunilor sunt fişierele de evidenţă (log) a evenimentelor create implicit de aplicaţia respectivă.
Leave A Comment?