O que é um IDS?

IDS sao as iniciais de Intrusion Detection System ou Sistema de Detecção de Intrusos. É um sistema que permite detectar ataques contra redes ou hosts. O IDS actua em modo promiscuo nao afectando os recursos de rede nem introduzindo qualquer latencia ou jitter nos pacotes.  Apenas os pacotes que passam pelo sensor IDS sao comparados a uma database de assinaturas que permite detectar se o tráfego é legal ou é ilegal.

Gerlamente um IDS sabe o comportamento dum determinado tipo de tráfego, por exemplo do worm Code Red que devastou milhares de redes de computadores. Uma assinatura do Code Red existe no device IDS sensor tal que sendo a mesma identificada na rede um alerta é imediatamente activado. (Pode ser uma mensagem de email, telefone, geração duma entrada em arquivo de log ou um outro comportamento programavel)

Existem vários IDSs existentes no mercado. Um deles e muito conhecido é o SNORT criado por Martin Roesch. Em anos atrás fui aficionado por este IDS. (que saudades destes tempos bons) Era uma especie de menina do olho por causa da sua grande flexibilidade em termos de detecção graças ao seu avançadissimo sistema de criação de regras de detecção. Na realidade é ali onde consiste o grande segredo dum IDS: As regras de detecção.  Estas regras sao fundamentais na identificação dum pacote entrante tal que exista um match (correspondencia) entre o que está na base de dados de regras ou assinaturas e o que vem no pacote entrante.

Como se pode observar pela figura acima um IDS (Appliance) geralmente é posicionado atrás dum firewall para facilitar a protecção das redes que necessitam de tal.