Redes de Computadores I
Respostas Ativas
As respostas ativas são ações automatizadas tomadas quando certos tipos de intrusão são detectadas. Há três categorias delas.
Coleta de informações adicionais
Após ocorrer suspeita de invasão, informações adicionais que ajudem na tomada de decisões são coletadas. Para isso, pode-se aumentar o nível de sensibilidade das fontes de informação, por exemplo, aumentando o número de eventos registrados pelo sistema operacional.
Modificar o ambiente
Consiste em deter um ataque enquanto este ocorre e bloquear acessos subsequentes. Em geral, SDI's não são capazes de bloquear o acesso de uma pessoa específica mas são capazes de bloquear IP's de onde o ataque está acontecendo.
Tomar decisões contra o intruso
A forma mais agressiva desta resposta é contra-atacar ou ganhar informações sobre o host ou site do atacante. Apesar de parecer tentadora, esta opção pode representar risco legal, já que muitos ataques não são originados do host do próprio atacante. Desta maneira, usuários inocentes estariam sendo prejudicados.
Respostas Passivas
As respostas passivas fornecem informações aos usuários do sistema, confiando que humanos tomarão decisões baseadas nessas informações. Muitos SDI's comerciais baseiam-se unicamente em respostas passivas. Há duas categorias delas.
Alarmes e notificações
Alarmes e notificações são gerados pelos SDI's para informar aos usuários quando os ataques foram detectados. A maioria dos sistemas comerciais permitem ao usuário determinar quando e como os alarmes são gerados e a quem estes devem ser mostrados. A informação fornecida no alarme pode ser desde uma notificação de que o sistema foi atacado até mensagens extremamente detalhadas sobre o atacante. Estas notificações podem ser, inclusive, enviadas para dispositivos remotos.
Armadilhas e Plug-ins SNMP
Alguns sistemas comerciais são desenvolvidos para gerar alarmes e alertas, reportando-os para sistemas de gerenciamento da rede. Estes usam armadilhas e mensagens SNMP (Simple Network Management Protocol) para enviar alarmes e alertas para os consoles da gerência central da rede, onde estes alarmes podem ser atendidos pelos operadores de rede.
