Detecção de intrusos, modernidade em proteção de redes

Tanto é assim que, em geral, os profissionais dessas áreas, quando questionados sobre como está a segurança de suas redes ou a instabilidade de seus cenários, emitem sempre respostas subjetivas e, ao final, demonstram que refletiram sobre o assunto, mas permanecem inseguros quanto ao quadro de defesa de sua companhia.

Modernamente, a preocupação com segurança, ampliada com os acontecimentos de 11 de setembro de 2001, vem , do ponto de vista da corporação, crescendo. E, atualmente, deixou de ser uma preocupação de poucas e grandes companhias, tratada sempre como algo supérfluo, para transformar-se em questão estratégica para empresas que pretendem manter permanentemente a continuidade de seus negócios e das transmissões de dados e informações.

Em decorrência do crescimento desse mercado – os números para 2002 estimam em uma expansão de 12% até dezembro – surgiram diversos avanços tecnológicos no segmento. Foram evoluções nas áreas de IDS ou de novos anti-vírus (neste caso, mais em função dos ataques de hackers). Os IDS ou detectores de intrusos foram introduzidos no mercado com a finalidade de monitorar e prevenir ataques que tenham impactos negativos para as redes corporativas.

A detecção de intrusos constitui-se em um conjunto de mecanismos instalados na rede para advertir sempre contra acessos não autorizados nos computadores. Tal tipo de acesso pode ter procedência da extranet ou da própria intranet. Aliás, pesquisa realizada por um instituto norte-americano da área de tecnologia indica que 76% das agressões sobre redes provêm de insiders e apenas 24% de ação de hackers. Sistemas de detecção de intrusos podem ainda tomar para si algumas ações para negar acesso à pretensos intrusos.

A pergunta mais comum no mercado, muitas vezes formuladas até por CIOs, vai no sentido de procurar uma justificativa para o uso de um IDS. As razões são simples e diretas, sintetizadas pela necessidade das corporações protegerem suas redes de dados e garantir a integridade de seus sistemas. E a resposta se amplia, quando se entende que nem sempre senhas ou seguranças de arquivos podem ser usados como única força contra agressões ou para a proteção nos ambientes da internet.

No mercado estão disponíveis duas grandes categorias de IDS. A primeira delas são os sistemas baseados em redes (NIDS). Este tipo é colocado próximos aos sistemas a serem monitorados, ou seja, aos backbones corporativos. Eles controlam e examinam o tráfego de informações e dados na rede, além de determinar se estes estão dentro de limites aceitáveis. A segunda categoria são os chamados HIDS, baseados em host. Neste caso, rodam nos servidores corporativos que estão sendo monitorados. Esta modalidade examina o servidor para determinar quando a atividade está aceitável.

A solução da Enterasys para ambos os casos é o Dragon . Ele foi considerado, em teste na Universidade De Paul (Estados Unidos) como o melhor do mundo em sua modalidade, quando comparado com seus principais concorrentes existentes no mercado. A premiação foi concedida em 2001 pela revista especializada Network Computing.

A solução para o HIDS é o Dragon Host Sensor, que possui acentuada característica de um monitor de integridade e funcionalidades de um monitor de rede. As principais características do DHS são: monitoramento de conexões externas, de atividades de Login, e root e de sistemas de arquivos. Já o para o NIDS, a solução Enterasys chama-se Dragon Network Sensor (DNS) e possui todas as características mencionadas anteriormente.