Vimos anteriormente como estabelecer um perímetro para proteger uma rede interna dos perigos da internet e de outras redes públicas, incluindo a criação de uma DMZ para prover serviços públicos.
Através desse monitoramento constante, podemos tomar uma ação caso alguma atividade suspeita seja detectada, que pode ser desde um alerta para o administrador de segurança até o bloqueio temporário ou permanente do atacante.
Considera-se um IDS (Intrusion Detection System), em conjunto com um firewall, como uma aplicação do princípio de defesa em profundidade.
Um IDS consiste em uma ferramenta capaz de detectar atividade maliciosa através do monitoramento constante de um segmento de rede ou de chamadas de sistema em um sistema operacional. Possui os seguintes componentes: Sensor, Engine e Console. Esses sistemas podem ser Centralizados ou Distribuídos.
Quanto ao modo de funcionamento eles podem ser de: a) Detector de anomalias e b) Detector de mau uso.
Quanto ao local de atuação: a) Baseados em host (HIDS) e b) Baseados em redes (NIDS)
Quanto à forma de atuação: a) Reativos; b) Passivos e c) Ativos.
O IPS (Intrusion Prevention System) se diferencia do IDS pelo fato de ser ativo, ou seja, interfere diretamente nos eventos que passam por ele. Diferentemente o IDS, que é passivo, apenas monitora os eventos sem neles interferir. Os IPSs mais comuns são os de rede, que atuam em cima do tráfego de rede.
HIDS agem em uma máquina específica realizando: a) Monitoramento; b) System calls; c) Logs de aplicação; d) Modificação em arquivos; e) Criação de processos.
Na maior parte dos casos, quando se fala em IDS, refere-se aos sistemas de detecção de intrusos baseados em rede (NIDS), que são mais comuns. Um sistema baseado em rede é capaz de monitorar um segmento de rede e detectar tráfego malicioso destinado a qualquer máquina que se encontre atrás do segmento monitorado, criando uma proteção mais abrangente, porém limitada a informações obtidas através de pacotes enviados na rede.
Como complemento aos NIDSs, existem sistemas de detecção que agem em uma máquina específica, monitorando elementos como chamadas ao sistema (system calls), logs de aplicação, modificação em arquivos ou registros, criação de processos, entre outros, por exemplo, os HIDS.
Esses sistemas são chamados de HIDS (Host Intrusion Detection Systems). Um HIDS protege apenas a máquina onde esteja instalado, porém é capaz de obter informações que não trafegam na rede.
Snort é NIDS open source baseado em assinaturas com plugin estatístico (SPADE). Tem estrutura modular altamente customizável com plugins, disponível em diversas plataformas (arquitetura modular).
Através da arquitetura modular do Snort, é possível a geração de alertas em arquivos texto, bases de dados, entre outros. Em conjunto com os alertas, é possível ainda o armazenamento dos pacotes que causaram um determinado alerta, o que é importante para se determinar se um determinado alerta é legítimo, ou se é um falso-positivo.