Home 
 1. Introdução 
 2. Conceito de IDS, IPS e IDPS 
 3. Funcionamento básico de IDS 
 4. Tipos de IDS 
 5. Arquitetura de rede do IDPS 
 6. Principais IDS existentes 
 Snort 
 RealSecure 
 Bro 
 Open Source Tripwire 
 7. Conclusão 
 8. Perguntas e respostas 
 9. Bibliografia 
4. Perguntas e respostas

O que é detecção de intrusão?

Detecção de intrusão é o monitoramento de eventos ocorrentes em um sistema ou rede de computadores, verificando-os em busca de sinais de possíveis incidentes, tais como violações às políticas de segurança de computadores ou às práticas comuns de segurança.

Em que tipos são classificados as intrusões/ataques que um IDS detecta?

Existem três tipos de intrusões/ataques para um IDS detectar. Os conhecidos, quando possuem uma estrutura rígida e seu comportamento já é devidamente conhecido e catalogado,os generalizáveis, quando são parecidos com os conhecidos, no entanto apresentam modificações em seu funcionamento e desconhecidos são intrusões não muito difundidas ou mesmo uma versão muito generalizada de uma intrusão conhecida, as quais tornam impossíveis os usos de regras predefinidas para detecção.

O que são management network e virtual management network? Quais as vantagens e desvantagens?

São redes exclusivas para o tráfego de dados do IDPS. A vantagem está em isolar o IDPS da rede monitorada protegendo-o de ataques e garantindo banda suficente para seu funcionamento. A desvantagem é o maior custo para se fazer uma manengement network. Uma virtual manangement network é uma rede virtual dentro da rede monitorada criada para proteger o tráfego relativo ao IDPS. No entanto não isola o IDPS dos possíveis problemas da rede monitorada. Num ataque DDoS por exemplo, a virtual manangement network não garantiria o bom funcionamento do IDPS.

Se método de detecção por anomalias causa muitos falso positivos, por que ele é utilizado?

Porque o outro método (por assinaturas) requer que a forma de intrusão utilizada já esteja cadastrada no banco de dados do IDS, sendo portanto ineficaz para formas novas ou muito alteradas.

O que é um IDS baseado em host (host-based)? Qual a diferença entre esse IDS e o baseado em rede (network-based)?

Os sistemas baseados em host são responsáveis por monitorar a atividade existente em uma estação específica, geralmente um servidor. Já os sistemas baseados em rede capturam todos os pacotes que passam pela rede e os analisam em busca de ataques.
Top