Title: Oque são em especifico IDSs
Post by: Anonymous on 05 de February , 2006, 07:05:21 PM
Post by: Anonymous on 05 de February , 2006, 07:05:21 PM
Introdução
Começando, queria explicar oq eh essa maggavilha q eh o sistema de detecçao de intrusos(IDS). IDSs, como diz o nome, foram feitos para ver se alguem tah fazendo merda na sua maquina, se tah ttentando te dar uma DDoS, tentando dar um spoof, e tals...
As IDSs sao ao mesmo tempo que simples, sao complexas, e tem cada ferramenta de IDS boa, como o snort por exemplo, o qual abrange tds os tipos, verificando se algum lamma tah tentando te ferrar...
Termos
Aqui explicarei os termos utilizados nas IDSs...
Alertas e/ou Eventos
Eh quando uma IDS rodando te mostra algum evento que estah acontecendo, alertando vc, localmente ou remotamente.
ArachNIDS (Advanced Referenca Archive of Current Heuristics for Network Intrusion Detect Systems
Cara, o nominho tosco, mas td bem.
O ArachNIDS eh um banco de dados que registra perfis de ataque criando assinaturas compatíveis com varios NIDS.
Resposta Automatica
Assim como uma IDS identifica e alerta ataques, elas podem junto, num "grupinho" ou "parceria" com outros sistemas de segurança, dar uma resposta automatica ao ataque, tornando-se extremamente versatil...
Largura de Banda
Largura de Banda (BandWith) eh a maior quantidade de dados que pode atravessar determinado segmento de rede.
Lista Negra
Varias organizaçoes no undo criam listinhas com endereços de locais que sao considerados perigosos, sendo assim blokeados, ou monitorados de perto...
Alguns sites colocam a download essas listas, um deles eh: www.kgb.to (http://www.kgb.to)
CIDF (Common Intruson Detect Framework)
Sistema Publico de Detecçao de Intrusao eh o significado do CIDF. Esse negoço simplesmente cria protocolos e coisas a mais, p/ os programas de detecçao conversarem somente entre si, batendo um papo secreto...
CISL (Commom Intrusion Specification Language)
A traduçao desse negoço eh: Sistema Publico de Especificaçao de Linguagem de Intrusao. Essa eh a linguagem usada pelo CIDF p/ a comunicaçao interna...
Monitoramento de Conteúdo
Esse negoço eh feito p/ aplicar regras de segurança no corpo das comunicaçoes da rede. Filtrando URLs, e-mails e tals...
Consoles
Eh como um console base, para todos os progs IDS ajusten-se as aplicaçoes corporativas...
Correlaçao
Correlaçao eh a comunicaçao de multiplas fontes de dados para entender melhor um determinado incidente.
CVE (Commom Vulnerabilities and Exposures)
Significado: Vulnerabilidades Publicas. Sao basicamente as "assinaturas" a determinadas vulnerabilidades.
Enumeraçao
Enumeraçao eh quando um atacante tenta descobrir em uma determinada rede os serviços e hosts o qual estao presentes.
Evasao
Evasao eh quando o maluko ataca, mas a IDS nao consegue detectar nada com sucesso. Basicamente o truque eh fazer com q a IDS veja uma coisa, o alvo outra.
Falso Negativo
Falso negativo eh quando a IDS nao identifica com sucesso algo, ou acha q eh benigno simplesmente.
Falso Positivo
Eh quando a IDS acha q eh um ataque,mas nao eh nada.
Fragmentaçao
Caso determinado pacote que tente passar pela rede for grande demais, ele serah fragmentado em pedaçoes menores.
Heuristica
Termo utilizado em conjunto a Inteligencia Artificial para a detecçao de intrusoes. Pode ser usado por atacantes p/ ferrar a propria IDS, sendo q ainda eh muito falha a heuristica das IDSs...
HoneyPot
Traduçao: Pote de Mel
.
Sao sistemas que geram fakes de servidores, fazendo com que um atacante pense que vc tem um server de smtp, http, ftp, e o escambal. E td vulneravel aover dele, quando ele tenta te invadir, vc fica vendo o otario lah, se divertindo, se achando o cara, e quando ele menso esperar, vc q ferra ele, uaihaihuiahuia.
Tipos
Agora vou esplicar os tipos de IDS
IDS de aplicativos
Sao aplicativos de IDS, q pelo q vcs jah viram aki, eh um sistema para a detecçao de intrusos catando "assinaturas" nesse caso...
Examinador de integridade de arquivos
Quando um atacante tenta de meter um rootkit, alguma IDS podera examinar o arquivo, e alertar que ha um rootkit te amolando...
Host-Based IDS
Esse tipo de IDS monitora logs de sistema e de eventos de multplas fontes, p/ ver se tem ninguem querendo te amolar.
NIDS (Network IDS)
O NIDS monitora o trafego de rede afim de achar alguma atividade suspeita apartir da IDS.
Personal Firewall
Conhecido tbm como Host Intrusion Prevention System, o firewall pessoal fica nos sistemas pessoais para prevenir conexoes que vc nao deseja ter.
Target-Based IDS
Uma NIDS que procura por assinaturas de ataque sabendo que a rede estah extremamente vulneravel. Ou seja, uma quarentena pode se dizer assim...
Inline IDS
Quase um firewall, tirando ele ficar procurando assinaturas de IDS p/ saber se blokeia ou nao determinada coisa.
Bibliografia
Artigo de IDSs do security focus, quando eu achar o link eu edito aqui...
T+
Começando, queria explicar oq eh essa maggavilha q eh o sistema de detecçao de intrusos(IDS). IDSs, como diz o nome, foram feitos para ver se alguem tah fazendo merda na sua maquina, se tah ttentando te dar uma DDoS, tentando dar um spoof, e tals...
As IDSs sao ao mesmo tempo que simples, sao complexas, e tem cada ferramenta de IDS boa, como o snort por exemplo, o qual abrange tds os tipos, verificando se algum lamma tah tentando te ferrar...
Termos
Aqui explicarei os termos utilizados nas IDSs...
Alertas e/ou Eventos
Eh quando uma IDS rodando te mostra algum evento que estah acontecendo, alertando vc, localmente ou remotamente.
ArachNIDS (Advanced Referenca Archive of Current Heuristics for Network Intrusion Detect Systems
Cara, o nominho tosco, mas td bem.
O ArachNIDS eh um banco de dados que registra perfis de ataque criando assinaturas compatíveis com varios NIDS.
Resposta Automatica
Assim como uma IDS identifica e alerta ataques, elas podem junto, num "grupinho" ou "parceria" com outros sistemas de segurança, dar uma resposta automatica ao ataque, tornando-se extremamente versatil...
Largura de Banda
Largura de Banda (BandWith) eh a maior quantidade de dados que pode atravessar determinado segmento de rede.
Lista Negra
Varias organizaçoes no undo criam listinhas com endereços de locais que sao considerados perigosos, sendo assim blokeados, ou monitorados de perto...
Alguns sites colocam a download essas listas, um deles eh: www.kgb.to (http://www.kgb.to)
CIDF (Common Intruson Detect Framework)
Sistema Publico de Detecçao de Intrusao eh o significado do CIDF. Esse negoço simplesmente cria protocolos e coisas a mais, p/ os programas de detecçao conversarem somente entre si, batendo um papo secreto...
CISL (Commom Intrusion Specification Language)
A traduçao desse negoço eh: Sistema Publico de Especificaçao de Linguagem de Intrusao. Essa eh a linguagem usada pelo CIDF p/ a comunicaçao interna...
Monitoramento de Conteúdo
Esse negoço eh feito p/ aplicar regras de segurança no corpo das comunicaçoes da rede. Filtrando URLs, e-mails e tals...
Consoles
Eh como um console base, para todos os progs IDS ajusten-se as aplicaçoes corporativas...
Correlaçao
Correlaçao eh a comunicaçao de multiplas fontes de dados para entender melhor um determinado incidente.
CVE (Commom Vulnerabilities and Exposures)
Significado: Vulnerabilidades Publicas. Sao basicamente as "assinaturas" a determinadas vulnerabilidades.
Enumeraçao
Enumeraçao eh quando um atacante tenta descobrir em uma determinada rede os serviços e hosts o qual estao presentes.
Evasao
Evasao eh quando o maluko ataca, mas a IDS nao consegue detectar nada com sucesso. Basicamente o truque eh fazer com q a IDS veja uma coisa, o alvo outra.
Falso Negativo
Falso negativo eh quando a IDS nao identifica com sucesso algo, ou acha q eh benigno simplesmente.
Falso Positivo
Eh quando a IDS acha q eh um ataque,mas nao eh nada.
Fragmentaçao
Caso determinado pacote que tente passar pela rede for grande demais, ele serah fragmentado em pedaçoes menores.
Heuristica
Termo utilizado em conjunto a Inteligencia Artificial para a detecçao de intrusoes. Pode ser usado por atacantes p/ ferrar a propria IDS, sendo q ainda eh muito falha a heuristica das IDSs...
HoneyPot
Traduçao: Pote de Mel
.Sao sistemas que geram fakes de servidores, fazendo com que um atacante pense que vc tem um server de smtp, http, ftp, e o escambal. E td vulneravel aover dele, quando ele tenta te invadir, vc fica vendo o otario lah, se divertindo, se achando o cara, e quando ele menso esperar, vc q ferra ele, uaihaihuiahuia.
Tipos
Agora vou esplicar os tipos de IDS
IDS de aplicativos
Sao aplicativos de IDS, q pelo q vcs jah viram aki, eh um sistema para a detecçao de intrusos catando "assinaturas" nesse caso...
Examinador de integridade de arquivos
Quando um atacante tenta de meter um rootkit, alguma IDS podera examinar o arquivo, e alertar que ha um rootkit te amolando...
Host-Based IDS
Esse tipo de IDS monitora logs de sistema e de eventos de multplas fontes, p/ ver se tem ninguem querendo te amolar.
NIDS (Network IDS)
O NIDS monitora o trafego de rede afim de achar alguma atividade suspeita apartir da IDS.
Personal Firewall
Conhecido tbm como Host Intrusion Prevention System, o firewall pessoal fica nos sistemas pessoais para prevenir conexoes que vc nao deseja ter.
Target-Based IDS
Uma NIDS que procura por assinaturas de ataque sabendo que a rede estah extremamente vulneravel. Ou seja, uma quarentena pode se dizer assim...
Inline IDS
Quase um firewall, tirando ele ficar procurando assinaturas de IDS p/ saber se blokeia ou nao determinada coisa.
Bibliografia
Artigo de IDSs do security focus, quando eu achar o link eu edito aqui...
T+
Title: Re: Oque são em especifico IDSs
Post by: lcs on 12 de March , 2006, 01:45:39 PM
Post by: lcs on 12 de March , 2006, 01:45:39 PM
Muito bom esse texto, vc tem o link de algum programa de ids
Title: Re: Oque são em especifico IDSs
Post by: Cloudy on 12 de March , 2006, 03:02:04 PM
Post by: Cloudy on 12 de March , 2006, 03:02:04 PM
Realmente, esse texto é muito bom. Já lido ele lá na AV, quando o Morte postou. Parabéns denovo Morte.
"lcs", www.google.com.br (http://www.google.com.br), Snort
...by Cloudy
"lcs", www.google.com.br (http://www.google.com.br), Snort
...by Cloudy