DETECÇÃO DE INTRUSOS

Index >> Perguntas e Respostas

Perguntas e Respostas

Perguntas:

1. Qual a principal diferença um sistema de detecção de intrusos baseados na estação de um baseado na rede?
2. Idealmente, o que um SDI baseado na estação deve monitorar constantemente?
3. Qual a diferença na implementação de um SDI baseado na rede em um ambiente de difusão para um ambiente de comutação de pacotes?
4. Quais são as principais vantagens de se implementar um SDI utilizando agentes autônomos?
5. Na arquitetura AAFID, qual é o papel dos transceptores e monitores?

Respostas:

1. A principal diferença entre a detecção de intrusos baseadas na estação e a baseada na rede é que a segunda se preocupa com os dados transmitidos de estação para estação enquanto a primeira está preocupada com o que acontece dentro da estação em si (processos, registros).
2. Objetos (Arquivos) de importância cruscial ao funcionamento do sistema, arquivos de registros (logs) e, possivelmente, arquivos confidenciais.
3. No ambiente de difusão, a unidade SDI deverá se conectar ao roteador no modo promíscuo enquanto no ambiente de comutação deverá se conectar ao switch realizando um espelhamento de portas.
4. Fácil Configuração, eficiência, distribuição da vigilância, resistência a subverão e escalabilidade.
5. Os transceptores realizam o controle dos agentes e o processamento de dados vindos destes. Os monitores realizam o controle dos transceptores e o processamento de dados vindos deles, também podendo processar e enviar dados com uma interface de usuário.