8. Perguntas e Respostas

8.1 Qual a diferença entre sistemas de detecção de intrusão baseados na estação e baseados na rede?

Os sistemas baseados na estação são responsáveis por monitorar a atividade existente em uma estação específica, geralmente um servidor. Os sistemas baseados na rede capturam todos os pacotes que passam pela rede e os analisam em busca de ataques.

8.2 Qual a finalidade do espelhamento de portas? Como deve estar configurada a interface de captura de pacotes do SDIR? Por quê?

A finalidade do espelhamento de portas, ou de tráfego, é refletir todo o tráfego que entra ou sai do comutador em na porta onde o SDIR está localizado, para que ele possa analisar todos os pacotes que passam pela rede. A interface de captura do SDIR necessita estar no modo promíscuo porque é necessário receber todos os pacotes não endereçados fisicamente a ela.

8.3 Em um monitoramento do sistema de arquivos, por que é necessária uma base de dados dos arquivos monitorados? Qual o problema de se armazenar essa base de dados na mesma estação que está sendo monitorada ?

A base de dados é necessária para uma comparação dos arquivos com dados referentes a ele tomados anteriormente. Caso esta comparação indique alguma discrepância, alguma alteração ocorreu. O problema de se armazenar a base de dados na mesma estação que está sendo monitorada é que o invasor pode alterar a própria base depois de alterar os arquivos, inutilizando este tipo de monitoramento.

8.4 Quais as principais diferenças entre as análise por assinaturas, protocolo e estado do protocolo ?

A análise por assinaturas é uma simples comparação do conteúdo dos pacotes; a análise por protocolo já interpreta o conteúdo do pacote de acordo com o protocolo; a análise por estado do protocolo, além de verificar se o pacote atende o protocolo, checa se ele está bem situado cronologicamente.

8.5 O que são potes de mel e qual é a sua função principal para os sistemas de detecção de intrusão ?

Potes de mel são estações preparadas especialmente para serem invadidas. A sua função principal para os SDIs é permitir o conhecimento de algumas técnicas usadas por invasores e, a partir disso, é possível a elaboração de regras que detectem novos tipos de ataques.