Anterior Índice
Próxima
8. Perguntas e Respostas8.1 Qual a diferença entre sistemas de detecção de intrusão baseados na estação e baseados na rede?Os sistemas baseados na estação são responsáveis
por monitorar a atividade existente em uma estação específica,
geralmente um servidor. Os sistemas baseados na rede capturam todos
os pacotes que passam pela rede e os analisam em busca de ataques. 8.2 Qual a finalidade do espelhamento de portas? Como deve estar configurada a interface de captura de pacotes do SDIR? Por quê?A finalidade do espelhamento de portas, ou de tráfego, é refletir todo o tráfego que entra ou sai do comutador em na porta onde o SDIR está localizado, para que ele possa analisar todos os pacotes que passam pela rede. A interface de captura do SDIR necessita estar no modo promíscuo porque é necessário receber todos os pacotes não endereçados fisicamente a ela. 8.3 Em um monitoramento do sistema de arquivos, por que é necessária uma base de dados dos arquivos monitorados? Qual o problema de se armazenar essa base de dados na mesma estação que está sendo monitorada ?A base de dados é necessária para uma comparação
dos arquivos com dados referentes a ele tomados anteriormente. Caso
esta comparação indique alguma discrepância, alguma
alteração ocorreu. O problema de se armazenar a base de
dados na mesma estação que está sendo monitorada
é que o invasor pode alterar a própria base depois de
alterar os arquivos, inutilizando este tipo de monitoramento. 8.4 Quais as principais diferenças entre as análise por assinaturas, protocolo e estado do protocolo ?A análise por assinaturas é uma simples comparação do conteúdo dos pacotes; a análise por protocolo já interpreta o conteúdo do pacote de acordo com o protocolo; a análise por estado do protocolo, além de verificar se o pacote atende o protocolo, checa se ele está bem situado cronologicamente. 8.5 O que são potes de mel e qual é a sua função principal para os sistemas de detecção de intrusão ?Potes de mel são estações preparadas especialmente para serem invadidas. A sua função principal para os SDIs é permitir o conhecimento de algumas técnicas usadas por invasores e, a partir disso, é possível a elaboração de regras que detectem novos tipos de ataques.
|