Oque são em especifico IDSs

Started by Anonymous, 05 de February , 2006, 07:05:21 PM

Previous topic - Next topic

0 Members and 2 Guests are viewing this topic.

Print
Go Down Pages1
User actions

Anonymous

05 de February , 2006, 07:05:21 PM
Introdução
Começando, queria explicar oq eh essa maggavilha q eh o sistema de detecçao de intrusos(IDS). IDSs, como diz o nome, foram feitos para ver se alguem tah fazendo merda na sua maquina, se tah ttentando te dar uma DDoS, tentando dar um spoof, e tals...
As IDSs sao ao mesmo tempo que simples, sao complexas, e tem cada ferramenta de IDS boa, como o snort por exemplo, o qual abrange tds os tipos, verificando se algum lamma tah tentando te ferrar...

Termos
Aqui explicarei os termos utilizados nas IDSs...

Alertas e/ou Eventos
Eh quando uma IDS rodando te mostra algum evento que estah acontecendo, alertando vc, localmente ou remotamente.

ArachNIDS (Advanced Referenca Archive of Current Heuristics for Network Intrusion Detect Systems
Cara, o nominho tosco, mas td bem.
O ArachNIDS eh um banco de dados  que registra perfis de ataque criando assinaturas compatíveis com varios NIDS.

Resposta Automatica
Assim como uma IDS identifica e alerta ataques, elas podem junto, num "grupinho" ou "parceria" com outros sistemas de segurança, dar uma resposta automatica ao ataque, tornando-se extremamente versatil...

Largura de Banda
Largura de Banda (BandWith) eh a maior quantidade de dados que pode atravessar determinado segmento de rede.

Lista Negra
Varias organizaçoes no undo criam listinhas com endereços de locais que sao considerados perigosos, sendo assim blokeados, ou monitorados de perto...
Alguns sites colocam a download essas listas, um deles eh: www.kgb.to

CIDF (Common Intruson Detect Framework)
Sistema Publico de Detecçao de Intrusao eh o significado do CIDF. Esse negoço simplesmente cria protocolos e coisas a mais, p/ os programas de detecçao conversarem somente entre si, batendo um papo secreto...

CISL (Commom Intrusion Specification Language)
A traduçao desse negoço eh: Sistema Publico de Especificaçao de Linguagem de Intrusao. Essa eh a linguagem usada pelo CIDF p/ a comunicaçao interna...

Monitoramento de Conteúdo
Esse negoço eh feito p/ aplicar regras de segurança no corpo das comunicaçoes da rede. Filtrando URLs, e-mails e tals...

Consoles
Eh como um console base, para todos os progs IDS ajusten-se as aplicaçoes corporativas...

Correlaçao
Correlaçao eh a comunicaçao de multiplas fontes de dados para entender melhor um determinado incidente.

CVE (Commom Vulnerabilities and Exposures)
Significado: Vulnerabilidades Publicas. Sao basicamente as "assinaturas" a determinadas vulnerabilidades.

Enumeraçao
Enumeraçao eh quando um atacante tenta descobrir em uma determinada rede os serviços e hosts o qual estao presentes.

Evasao
Evasao eh quando o maluko ataca, mas a IDS nao consegue detectar nada com sucesso. Basicamente o truque eh fazer com q a IDS veja uma coisa, o alvo outra.

Falso Negativo
Falso negativo eh quando a IDS nao identifica com sucesso algo, ou acha q eh benigno simplesmente.

Falso Positivo
Eh quando a IDS acha q eh um ataque,mas nao eh nada.

Fragmentaçao
Caso determinado pacote que tente passar pela rede for grande demais, ele serah fragmentado em pedaçoes menores.

Heuristica
Termo utilizado em conjunto a Inteligencia Artificial para a detecçao de intrusoes. Pode ser usado por atacantes p/ ferrar a propria IDS, sendo q ainda eh muito falha a heuristica das IDSs...

HoneyPot
Traduçao: Pote de Mel :D.
Sao sistemas que geram fakes de servidores, fazendo com que um atacante pense que vc tem um server de smtp, http, ftp, e o escambal. E td vulneravel aover dele, quando ele tenta te invadir, vc fica vendo o otario lah, se divertindo, se achando o cara, e quando ele menso esperar, vc q ferra ele, uaihaihuiahuia.


Tipos
Agora vou esplicar os tipos de IDS

IDS de aplicativos
Sao aplicativos de IDS, q pelo q vcs jah viram aki, eh um sistema para a detecçao de intrusos catando "assinaturas" nesse caso...

Examinador de integridade de arquivos
Quando um atacante tenta de meter um rootkit, alguma IDS podera examinar o arquivo, e alertar que ha um rootkit te amolando...

Host-Based IDS
Esse tipo de IDS monitora logs de sistema e de eventos de multplas fontes, p/ ver se tem ninguem querendo te amolar.

NIDS (Network IDS)
O NIDS monitora o trafego de rede afim de achar alguma atividade suspeita apartir da IDS.

Personal Firewall
Conhecido tbm como Host Intrusion Prevention System, o firewall pessoal fica nos sistemas pessoais para prevenir conexoes que vc nao deseja ter.

Target-Based IDS
Uma NIDS que procura por assinaturas de ataque sabendo que a rede estah extremamente vulneravel. Ou seja, uma quarentena pode se dizer assim...

Inline IDS
Quase um firewall, tirando ele ficar procurando assinaturas de IDS p/ saber se blokeia ou nao determinada coisa.



Bibliografia
Artigo de IDSs do security focus, quando eu achar o link eu edito aqui...

T+

lcs

#1
12 de March , 2006, 01:45:39 PM
Muito bom esse texto, vc tem o link de algum programa de ids
Pra que viver sem sentido.

Cloudy

#2
12 de March , 2006, 03:02:04 PM
Realmente, esse texto é muito bom. Já lido ele lá na AV, quando o Morte postou. Parabéns denovo Morte.

"lcs", www.google.com.br, Snort

...by Cloudy
"You have to be trusted by the people tou lied to, so when they turn their back on you, you have the chance to the put the knife in." (Roger Waters)

...by Cloudy
Print
Go Up Pages1
User actions