HIDS
HIDS, Sistema de detecció d'intrusos en un Host. Cerca detectar anomalies que indiquen un risc potencial, revisant les activitats en la màquina (host). Pot prendre mesures protectores. És un tipus de Sistema de detecció d'intrusos.[1]
Les funcions d'aquest tipus de programari són molt similars a les dels IDS. Configuracions típiques permeten diversos HIDS repartits per la xarxa que envien els seus resultats a un servidor centralitzat que els analitzarà a la recerca dels riscos i alertes abans esmentats.
Est va ser el primer tipus de programari de detecció d'intrusos que es va dissenyar, sent l'objectiu original el Mainframe, on la interacció exterior era infreqüent.[2]
Protecció dels HIDS
[modifica]Els HIDS generalment fan tot el possible per evitar que les bases de dades d'objectes, de checksum i els seus reportis sofreixin qualsevol forma de manipulació. Després de tot, si els intrusos aconseguissin modificar qualsevol dels objectes que els HIDS monitorean, gens podria detenir als intrusos de la modificació d'aquest tipus als propis HIDS - tret que els administradors de seguretat prenguin les precaucions adequades. Molts cucs i virus a tractar de desactivar les eines anti-virus, per exemple.
A part de les cripto-tècniques, els HIDS podrien permetre als administradors emmagatzemar les bases de dades en un CD-ROM o en unes altres dispositius de memòria de només lectura (un altre factor de lluita per a les actualitzacions poc freqüents ...) o emmagatzemar-los en una memòria fora del sistema. De la mateixa manera, un HIDS freqüentment envia els seus registres (logs) fos del sistema immediatament - en general utilitzant canals VPN a algun sistema de gestió central.
Es podria argumentar que el mòdul de plataforma de confiança és un tipus de HIDS. Malgrat el seu abast difereix en molts aspectes a la d'un HIDS, fonamentalment, proporciona un mitjà per identificar si hi ha alguna cosa/algú que ha manipulat una porció d'un ordinador. Arquitectònicament est proporciona la màxima (almenys fins ara) detecció d'intrusions basat en host, ja que depèn d'un maquinari extern a la CPU en si, per tant pel que és molt més difícil per a un intrús corrompre a les seves bases de dades d'objectes i de checksums.
Recepció
[modifica]InfoWorld opina que el programari HIDS és una forma útil per a administradors de xarxa de trobar malware, suggerint que hauria d'usar-se en tots els servidors, no només en els servidors crítics.[3]
Referències
[modifica]- ↑ Newman, Robert C. Computer Security: Protecting Digital Resources. Jones & Bartlett Learning, 2009. ISBN 978-0-7637-5994-0.
- ↑ Debar, Hervé; Dacier, Marc; Wespi, Andreas «Towards a taxonomy of intrusion-detection systems». Computer Networks, 31, 8, 23-04-1999, p. 805–822. DOI: 10.1016/S1389-1286(98)00017-6.
- ↑ Marsan, Carolyn Duffy. The 10 dumbest mistakes network managers make. IDG Network, 6 juliol 2009.