- IDS da rede: o sensor de IDS da rede inspeciona o tráfego e analisa-o, procurando várias assinaturas que poderiam indicar um scan ou uma sonda, atividade de reconhecimento ou tentativa de explorar uma vulnerabilidade. Tradicionalmente, não interferem com o tráfego, pois verifica os pacotes (sniffer).
- IDS de host: focaliza a atenção de ataques contra um host em particular, como uma estação de trabalho ou servidor, usando várias origens de dados (sistemas de arquivos, arquivos de log e conexões de rede)
Podem ainda existir os hibridos:
Sem a detecção de intrusos, um administrador poderia ficar sem saber se e/ou quando a rede foi invadida e qual o real dano. Para saber se houve algum ataque bem-sucedido podem verificar-se uma ou mais das seguintes condições:
- Deformação da página Web
- Pastas com arquivos “bizarros”
- Queda de desempenho na rede/servidor
- Paragem completa do servidor
- Detecção de anomalia (usa análise estatística para identificar o que está fora do normalmente visto no ambiente em estudo)
- Detecção de assinatura
Referência do texto:
Wikipédia - Sistema de detecção de intrusos. [em linha]. [S.l.] : Wikipédia, a enciclopédia livre. actual. 20 Set. 2008. [consult. 26 Dez. 2008]. Disponível em WWW: http://pt.wikipedia.org/w/index.php?title=Sistema_de_detec%C3%A7%C3%A3o_de_intrusos&oldid=12368929
SOBRINHO, Mauro - Auditoria e Segurança em Sistemas de Informação [em linha][consult. 26 Dez. 2008] Disponível em WWW:http://seguranca.sobdemanda.com/downloads/aulas/ASSI_IDSIPS.ppt
Referência das imagens:
2 comentários:
Muito bom, tal como o IPS, que li, por acaso, antes de ver este post, e pelo que compreendi, parece um "upgrade" deste. Bem relacionados os temas e, de certa forma, a nossa rede "caseira" funciona como um organização e os danos de uma possível intrusão são, de todo, a evitar.
BOM POST! É uma matéria muito interessante!
Enviar um comentário