Ids
Intrusão
Características
Funciona como um alarme.
Detecção com base em algum tipo de conhecimento:
Assinaturas de ataques.
Aprendizado de uma rede neural.
Detecção com base em comportamento anômalo. IPS: Intrusion Prevention System
Características
A detecção é realizada com a captura de pacotes, analisando os cabeçalhos e o campo de carga útil dos pacotes, que são comparados com padrões ou assinaturas conhecidas.
Um IPS tem o objetivo de prevenir os ataques e diminuir a quantidade de alarmes falsos. Firewall libera conexão e IDS detecta. Funções do IDS
Coleta de informações
Análise de informações
Armazena informações
Responde às atividades suspeitas
Tipos
Tipos de IDS
Tipos de IPS
IDS baseado em Host.
IDS baseado em Rede.
IDS híbrido.
IDS baseado em Host.
IDS baseado em Rede.
Honeypots
HIDS - IDS baseado em Host
Monitoramento de sistemas (máquinas).
Tomam as informações nos arquivos de logs ou de agentes de auditoria.
Monitoram acessos e alterações em arquivos do sistema, modificações em privilégios dos usuários, processos do sistema e programas em execução.
Arquivos corrompidos podem ser backdoors.
Exemplos de HIDS
Tripware
Swatch
Portsentry (pode usar o TCP Wrapper)
Outros
Obs: TCP Wrapper is a host-based network
ACL system, used to filter network access to
Internet protocol services run on (Unix-like) operating systems such as Linux or BSD.
Características fortes dos
HIDS
Verificar o sucesso ou falha de um ataque.
Ataques que ocorrem fisicamente num servidor podem ser detectados.
Ataques que utilizam criptografia podem não ser notados pelos NIDS, mas descobertos pelos HIDS, pois o SO primeiro decifra os pacotes.
Independem da topologia da rede.
Geram poucos “falsos positivos”, que são alarmes falsos de ataques.
Não necessita de hardware adicional.
Características fracas dos
HIDS
Fica difícil de configurar e