1 Introdução

Este documento apresenta uma sugestão de etapas úteis na determinação de uma eventual intrusão do sistema Windows. A informação delineada permite a detecção de diversos tipos de intrusão e constitui a base para modificações do sistema, que recomendamos, com o propósito de debelar potenciais fraquezas do mesmo.

O uso genérico da terminologia “Sistema Windows” ao longo do documento refere-se aos sistemas Windows 2000, Windows XP, e Windows Server 2003. Caso se verifique alguma diferença entre as diferentes versões do sistema operativo (ex., uma funcionalidade disponível apenas numa das versões), haverá no documento referência apropriada.

O uso da informação apresentada no documento requer alguma familiaridade com os sistemas Windows, bem como os seguintes pré-requisitos:

• Familiaridade com os sistemas de ficheiros do Windows (em especial o NTFS);
• Familiaridade com o Registo do Windows;
• Domínio em administração de sistemas Windows;

As seguintes siglas são usadas para as respectivas de chaves de registo:

• HKCR - HKEY_CLASSES_ROOT
• HKLM - HKEY_LOCAL_MACHINE
• HKU - HKEY_USERS
• HKCU - HKEY_CURRENT_USER
• HKCC - HKEY_CURRENT_CONFIG

2 Recomendações para a Detecção de Intrusão

Considerando-se que auditar e monitorizar de forma proactiva são essenciais à detecção da intrusão, e que, auditar dados alterados e sistemas comprometidos são práticas ineficazes associadas a logs não fiáveis, recomendamos a definição daquilo que se considere a actividade habitual para determinado ambiente, para que se possam individualizar eventos fora do comum e responder-lhe de forma adequada.

Ao procurar sinais de intrusão devem ser examinadas todas as máquinas na rede local. Na maioria das vezes, se uma máquina foi afectada, outras máquinas da rede local terão sido igualmente afectadas.

Encorajamos ainda a o contacto regular com o(s) vendedor(es) dos sistemas para obtenção dos respectivos updates e novos patches.

Nota: Todas as acções levadas a cabo no decurso da investigação deverão ter em conta as políticas e procedimentos da organização em causa. No mínimo, deverão ser seguidos os seguintes passos ao iniciar a análise de um sistema suspeito de estar comprometido:

• Documentar detalhadamente cada passo dado;
• Realizar um backup por sectores do disco rígido;
• Se a organização pretender mover uma acção legal devido às intrusões, dever-se-á consultar o departamento legal antes de dar qualquer passo.

3. Pesquisa de Evidências de Compromisso do Sistema

3.1 Rootkits

Os Rootkits tornaram-se frequentes nas plataformas Windows, estando livremente disponíveis e cada vez mais fáceis de usar. Um Rootkit é um software que, à semelhança dos Trojans, é desenhado para realizar um conjunto de tarefas. É capaz de:

• manter-se incógnito num sistema aparentemente não comprometido;
• roubar informação como passwords;
• instalar backdoors que permitem o acesso remoto e indevido por terceiros;
• permitir que a máquina afectada seja um passaporte para maior exploração e para ataque e compromisso de outros sistemas.

Em seguida são listados alguns produtos para a detecção de rootkits. Estas ferramentas podem exigir privilégios de administração do sistema para obter acesso a certas partes do sistema operativo, essencial à detecção dos mesmos. Alguns rootkits podem não ser detectáveis enquanto o sistema operativo corre. Para detectá-los o produto de detecção tem de correr a partir de um outro sistema operativo, este não comprometido.

Nota: Alguns destes programas podem trazer instabilidade/corrupção do sistema; recomendamos que sejam testados em ambiente isolado antes de os usar.

• Rkdetect, disponível em http://www.security.nnov.ru/soft/ ;
• Hacker Defender, disponível em http://www.rootkit.com (requer registo);
• BartPE, sistema operativo em CD, capaz de correr binários Win32:http://www.nu2.ne/pebuilder/ ;
• WinPE, é semelhante ao BartPE, mas sem suporte GUI. Procurar disponibilidade em http://www.microsoft.com/licensing/programs/sa/support/winpe.mspx .

3.2 Examinar os logs

Examinar os logs em busca de ligações a partir de localizações não familiares ou de qualquer outra actividade não habitual. O Event Viewer pode ser usado para verificar entradas não habituais, falhas ou reboots inesperados. Caso a firewall, o servidor da internet ou o router se liguem a uma localização diferente do sistema sob investigação, os respectivos logs devem ser também verificados. Lembramos que estes procedimentos não são infalíveis, a menos que as ligações sejam feitas em exclusivo com um servidor de acesso seguro ou com dispositivos de escrita apenas por anexação (append-only). Caso contrário não se exclui a possibilidade dos intrusos editarem ou removerem logs na tentativa de esconder a sua actividade.

3.3 Verificar a existência de contas e grupos estranhos

Isto é feito usando o "Local Users and Groups" (lusrmgr.msc) a partir de um membro do domínio, de um computador isolado, ou ainda através uma linha de comandos usando os comandos "net user", "net group" e "net localgroup". Outra opção é usar o comando "wmic useraccount". Num controlador de domínio o "Active Directory Users and Computers" (dsa.msc) pode ser usado para ver e verificar as contas do domínio, embora os comandos "net user" e "net group" também estejam a funcionar.

3.4 Verificar todos os grupos em busca de membros inesperados

Alguns grupos atribuem privilégios especiais aos seus membros: o grupo dos Administradores tem liberdade total para operar no sistema local; os Operadores de Backup podem ler qualquer ficheiro do sistema; os Power Users podem criar pastas partilhadas; os utilizadores com privilégios de Debug são considerados equivalentes a Administradores.

3.5. Procurar utilizadores com privilégios não autorizados

Para examinar os privilégios dos utilizadores deve aplicar-se a ferramenta “User Manager” na secção “Politics”, “User Rights”. Há 28 privilégios diferentes atribuíveis a utilizadores ou a grupos. Os atributos definidos por defeito proporcionam geralmente uma configuração segura. Salientamos a importância do privilégio "SeDebugPrivilege" que permite ao utilizador ligar o debugger a qualquer processo, incluindo o kernel.

Os privilégios também podem ser verificados (ou modificados) através do ntrights.exe do Windows Server 2003 Resource Kit.

3.6. Verificar aplicações não autorizadas que se iniciem automaticamente

Um intruso tem várias maneiras de iniciar um programa de backdoor. Por esse motivo as pastas de Startup devem sempre ser verificadas, em particular todos os itens em "C:\Documents and Settings\%username%\Start Menu\Programs\Startup" (no Windows NT4, substituir "C:\Documents and Settings" por "C:\WINNT40\Profiles"). Os atalhos podem ser todos verificados seleccionando-se Start, Programs, e Startup. Salientamos a existência de duas pastas de Startup, uma para o utilizador local e outra comum a todos os utilizadores. Quando um utilizador se liga todas as aplicações das duas pastas são iniciadas, pelo que ambas devem ser verificadas em busca de aplicações suspeitas. Verificar o Registo. Estas são as localizações mais comuns onde as aplicações se iniciam através do Registo:

• HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
• HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
• HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
• HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
• HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
• HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
• HKLM\System\CurrentControlSet\Control\Session Manager\KnownDLLs
• HKLM\System\ControlSet001\Control\Session Manager\KnownDLLs
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
• HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
• HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
• HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
• HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load
• HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows

Verificar a existência de serviços não autorizados. Alguns programas de backdoor instalam-se como um serviço que é iniciado quando o sistema arranca. Os serviços podem correr utilizando o privilégio "Logon as a Service". Devem ser verificados osserviços que se iniciam automaticamente e a sua necessidade, excluindo a possibilidade dos executáveis correspondentes aos serviços serem na verdade Trojans  ou programas de backdoor. O seguinte comando revela, em formato html, a informação dos serviços instalados:

wmic /output:C:\services.htm service get /format:hform

Este comando funciona em Windows XP e versões mais recentes, mas não directamente em Windows 2000 nem NT. Além disso, em Windows XP, o comando permite enumerar os serviços em qualquer máquina que corra o WMI (disponível no Windows NT4 SP4 e mais recentes).

Para mais informações sobre WMI e sobre a ferramenta de linha de comandos WMI (WMIC), ver:

• Windows Management Instrumentation Command-line - http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/wmic.mspx?mfr=true

Devem verificar-se os ficheiros “legacy” como Autoexec.bat, Autoexec.nt, config.sys, system.ini e win.ini em busca de alterações não autorizadas. Estes ficheiros podem ser usados para iniciar programas quando a máquina arranca.

• A AutoRuns é uma ferramenta que mostra toda a informação sobre quais os programas que são carregados durante o arranque ou login. Mais informações em http://www.microsoft.com/technet/sysinternals/Utilities/AutoRuns.mspx

3.7 Verificar os binários do sistema em busca de alterações

Devem comparar-se as versões do sistema com cópias seguras, como as da instalação inicial. Uma advertência em relação a backups: também eles podem conter malware.

Os Trojans podem produzir um ficheiro com o mesmo tamanho e data da versão legítima, ou seja, verificar apenas estes dois parâmetros é insuficiente. Recomenda-se uma ferramenta de geração/validação de MD5 ou SHA-1 como WinMD5Sum, File Checksum Integrity Verifier, o SigCheck, LogParser da Microsoft, um host-based IDS mencionados mais à frente neste documento, ou outras ferramentas checksum criptográficas como a Tripwire, para detectar estes Trojans (desde que estas mesmas ferramentas estejam em segurança e indisponíveis para modificações por parte do intruso). Sugere-se ainda o uso de uma outra ferramenta, como o PGP, para encriptar digitalmente a informação gerada pelo WinMD5Sum ou LanSIM, para que esta esteja disponível para referência futura.

O Windows XP inclui um componente denominado "Windows File Protection" (WFP), que monitoriza alterações e  substituições em ficheiros críticos para o sistema. O WFP usa assinaturas de ficheiros e ficheiros de catalogação gerados a partir de assinaturas de código fonte, para determinar se os ficheiros protegidos foram modificados.

A substituição de ficheiros de sistema protegidos é feita através de um número limitado de métodos:

• Instalação do Windows Service Pack através do Update.exe
• Hotfixes instalados através do Hotfix.exe ou Update.exe
• Upgrades do Sistema Operativo através do Winnt32.exe
• Updates do Windows
• O WFP fornece a utilidade System File Checker (sfc.exe) que concretiza a protecção de ficheiros do Windows.

Para mais informações acerca do Windows File Protection consultar:

• Descrição do Windows File Protection - http://support.microsoft.com/?kbid=222193
• Descrição do System File Checker (Sfc.exe) para Windows XP e Windows Server 2003 http://support.microsoft.com/?kbid=310747
• Definições do registo do Windows File Protection http://msdn.microsoft.com/library/default.asp?url=/library/enus/
  wfp/setup/wfp_registry_values.asp

O uso de anti-vírus e software anti-spyware também auxilia na identificação de vírus, backdoors, e Trojans. É muito importante manter este software sempre actualizado.

3.8. Verificar a configuração da rede para entradas não autorizadas

Deve procurar-se entradas não autorizadas nas definições de WINS, DNS, encaminhamento IP e similares através da ferramenta Network Properties, ou do comando "ipconfig /all" na linha de comandos. Adicionalmente, a ferramenta Port Reporter da Microsoft é muito útil para monitorizar as aplicações que abrem portas a ligações de origem interna e externa.

A ferramenta Port Reporter e o log parser estão disponíveis em: http://support.microsoft.com/?kbid=837243

É importante certificar-se que os serviços de rede a correr no sistema são exclusivamente os listados nas Configurações de Serviços de Rede. Complementarmente, o ficheiro de hosts em %systemroot%\system32\drivers\etc\hosts também deve ser visto em busca de entradas não autorizadas. Além disso deve verificar-se, através do comando "netstat -an", a existência de portas invulgares à espera de ligações externas. O ficheiro batch seguinte procura portas que estejam à espera de ligação ou já a estabelecê-la, O Fport da Foundstone Inc. tentará então mapear cada porta  o respectivo serviço.

@echo off
netstat -an > gports
find "LISTENING" < gports > oports.txt
find "ESTABLISHED" < gports >> oports.txt
del gports

O Windows XP permite identificar o serviço que se liga a uma determinada porta através do "netstat -ao", mas isto só vai revelar o Process ID. Os utilizadores com o XP Service Pack 2 podem usar as opções netstat "-b" ou "-vb" netstat: a opção "-b" mostra o executável associado ao Process ID que detém a porta atribuída; a opção "-vb" vai mostrar ainda os componentes usados para criar a porta ou a ligação. Para converter o Process ID's, identificados através da opção "-ao" no nome dos processos respectivos, usa-se o comando:

wmic process where ProcessId='x' get caption

Nota: Neste exemplo, 'x' é usado para indicar qualquer Process ID válido identificado no passo anterior.

O Windows XP SP2 e o Windows 2003 SP1 incluem um comando a netsh que permite listar os Layered Service Providers instalados numa máquina. Os Layered Service Providers melhoram a comunicação, tendo a possibilidade de aceder a toda a informação recebida e enviada pela máquina. Mas também podem manipular essa informação, pelo que, podem ser usados com intenções danosas. Para verificar que Layered Service Providers foram instalados devem executar-se em linha de comandos os seguintes comandos:

netsh winsock show catalog

Nos documentos abaixo estão listados os números das portas comummente usadas:

• IANA port assignments http://www.iana.org/assignments/port-numbers

Outras portas são usadas pelos produtos da Microsoft e podem ser encontradas nos seguintes artigos:

• Port requirements for the Microsoft Windows Server System http://support.microsoft.com/?kbid=832017
• Microsoft Exchange 2003 assigns ports to services dynamically at service startup, see the following article for further information. http://support.microsoft.com/?kbid=833799
• Ports that Systems Management Server 2003 uses to communicate through a firewall or proxy server http://support.microsoft.com/?kbid=826852

3.9 Verificação de partilhas não autorizadas

Para listar as partilhas do sistema pode usar-se o comando "net share" através da linhas de comandos ou a ferramenta Server Manager, mas o Windows permite a criação de partilhas escondidas ao adicionar-se o símbolo '$' no final do nome da partilha.

Há alguns nomes de partilhas predefinidos, como PRINT$, mas se não houver partilha de impressoras convém verificar porque é que essa partilha foi criada. Também está predefinido que a raiz de cada drive seja partilhada como uma "Administrative Share" (ex: C$), a ser usada, habitualmente, por Administradores de Domínio para lidar com máquinas remotas. Para ver as partilhas locais ou numa máquina remota usa-se o Shared Folders Management (fsmgmt.msc). Caso haja um nome de partilha estranho, a ferramenta revelará a localização do sistema em partilha. Uma drive ou directoria pode ter múltiplos nomes de partilha, que podem ter diferentes permissões associadas.

Os seguintes nomes correspondem a partilhas administrativas predefi  das:

• DriveLetter$ - Root partitions and volumes
• Admin$ - %SYSTEMROOT%
• IPC$ - Named pipes
• NETLOGON - Used for domain controllers
• SYSVOL - Used for domain controllers
• Print$ - Printer
• FAX$ - Fax

Nota: Algumas destas partilhas podem não se encontrar no sistema, de acordo com a configuração do mesmo

3.10 Verificar tarefas programadas

Os intrusos podem deixar backdoors em ficheiros programados para correr no futuro, o que lhes permite reentrar no sistema, apesar da invasão inicial estar aparentemente resolvida. É preciso então verificar todos os ficheiros e programas referenciados (directamente ou não) no scheduler e se as tarefas não são world-writable. Para identificar tarefas planeadas em espera usam-se os comandos "at", "schtasks" ou o Windows Task Scheduler.

3.11 Verificar processos não-autorizados

Para obter informação sobre processos a correr podem usar-se os comandos pulist.exe e tlist.exe na linha de comandos ou diversas ferramentas, como o Task Manager do Windows, o Process Explorer e versões shareware/freeware como o Filemon. O Regmon tem a particularidade de avaliar em tempo real as aplicações que acedem ao registo e as suas acções.

É possível identificar quem iniciou o processo através do comando pulist.exe. Os serviços geralmente estão associados a uma conta no sistema. Convém verificar se os serviços não estão a correr com privilégios excessivos, se há nomes de contas estranhos. Em caso de processos filhos a correr, os comando tlist.exe com o -t flag revelam o processo que os lançou. O Windows XP e o Server 2003 incluem ainda o comando tasklist.exe que permite ver todos os processos a correr em "svchost.exe", se usado no modo /svc; ou permite ver todos os módulos carregados, se usado no modo /m.

A Microsoft fornece também a ferramenta System Information que fornece informação noutras áreas:

• Tarefas em Curso;
• Modules Carregados;
• Serviços;
• Programas no Startup;
• Drivers.

A ferramenta System Information pode ser iniciada ao correr o msinfo32.msc a partir de uma linha de comandos.

3.12 Procura de ficheiros escondidos ou não habituais no sistema

Os ficheiros escondidos ou não usuais podem esconder ferramentas e programas para cracking de password, ficheiros de passwords de outros sistemas, e similares. Os ficheiros escondidos são na maioria das vezes visualizados no Explorer. Para isso selecciona-se"Tools, Folder Options, View," e depois "Show hidden files and folders". No final deselecciona-se "Hide file extensions for known file types" e "Hide protected operating system files". Para ver os ficheiros escondidos através da linha de comandos escreve-se 'dir /ah.' No sistema NTFS pode-se esconder informação em data streams alternados, que podem ser identificados com a ferramenta Streams.

Nota: Correr no modo LocalSystem ou arrancar um Sistema Operativo em CD como o Knoppix ou BartPE/WinPE permite ver ficheiros em directorias protegidas e pode conseguir mostrar os escondidos por rootkits.

3.13 Verificar alteração de permissões em ficheiros ou chaves de registo

Parte da segurança do Windows reside na limitação das permissões em ficheiros e chaves de registo para que utilizadores não autorizados estejam impedidos de iniciar programas não autorizados (ex., backdoors ou keyloggers), nem mudar ficheiros do sistema. Para verificar a maioria dos ficheiros na árvore da directoria podem usar-se os programas xcacls.exe ou o showacls.exe, como parte do Resource Kit do Windows.

È importante criar um padrão de permissões para ficheiros e registos, para efeitos de comparação, após a instalação inicial e setup. A consola de Local Security Settings (secpol.msc) pode ser usada para analisar o sistema, em comparação com uma configuração previamente definida, para determinar o que pode ter sido modificado.

3.14 Verificar mudanças nas políticas do utilizador ou do computador

As políticas são usadas em sistemas Windows para definir uma multiplicidade de configurações e podem controlar o que os utilizadores podem ou não fazer. Para máquinas individuais ou de workgroup as políticas são configuradas através da Local Computer Policy; num domínio Active Directory a configuração é feita habitualmente através de um Group Policy num Domain Controller, posteriormente ligado a uma Unidade Organizacional.

Recomendamos que se guarde uma cópia da políticas criadas, para se determinar o que mudou caso sejam alteradas. O comando "gpresult /v" pode ser usado para ver que Group Policy Objects foram aplicados e quais as suas definições. A Microsoft oferece o GPInventory que permite aos Administrators agrupar múltiplos Resultant Sets da User Policy, bem como outra informação adicional.

3.15 Garantir que o sistema não foi associado a outro domínio

O intruso pode tentar obter acesso a uma workstation como Administrador de Domínio ao mudar o domínio actual para um que ele controle.

3.16 Auditar a detecção de intrusão

A  tabela seguinte lista as opções de auditoria disponíveis para Windows, as definições recomendadas e exemplos de eventos que poderão indicar um ataque em progresso ou já realizado.

Para iniciar a auditoria de uma máquina individual num workgroup põe-se a correr o gpedit.msc numa linha de comandos. Em ambiente domínio pode ser usada a Active Directory Users and Computers (dsa.msc), ou a  GPMC.msc (Group Policy Management Console). Para mais informações sobre esta ferramenta remetemos para:

• Administering Group Policy with the GPMC - http://www.microsoft.com/windowsserver2003/gpmc/gpmcwp.mspx

A próxima tabela lista as opções auditoria, os seus significados e configurações recomendadas:

A próxima tabela lista os eventos mais frequentes que podem indicar ataques em curso ou ataques já realizados. Cada evento será registado no Security event log.

A monitorização de eventos vai ajudar a identificar e responder a tentativas de intrusão na sua rede. Por exemplo, um ataque de força bruta a uma conta vai gerar um grande número de eventos "Utilizador desconhecido ou password errada" (Event ID 529).

Os documentos seguintes descrevem como se permite a audittoria para um domínio em Windows e dão mais informação acerca da interpretação dos eventos gerados pela auditoria:

• Windows 2000: http://www.microsoft.com/technet/security/prodtech/win2000/secwin2k/09detect.mspx
• Windows 2003:http://technet2.microsoft.com/windowsserver/en/library/1940e00e-93eb-445d-90c7-285e0391eebb1033.mspx?mfr=true

Importa saber que o registo em logs pode não ocorrer em todas as máquinas num mesmo domínio. Por exemplo, uma tentativa de login só será registada no servidor que processou o pedido e não em todos os servidores desse domínio, pelo que, a “colagem” dos eventos em log é necessária para monitorizar a auditoria. Há várias ferramentas comerciais e freeware que executam essa tarefa:

O EventCombMT, incluído no Windows Server 2003 Resource Kit, é uma ferramenta que vai analisar os logs de eventos em múltiplos sistemas em simultâneo.

O Dumpel, incluído no Windows 2000 Resource Kit Tools, é uma ferramenta de linha de comandos que envia logs de eventos locais ou remotos para tab ou ficheiro à parte e que é capaz de filtrar eventos.

O scripting pode também ser usado para colectar eventos a partir de logs. A Microsoft oferece amostras de scripts que podem ser configurados de acordo com as necessidades.

Recomendamos a revisão periódica de logs em %systemroot%\system32\logfiles. Por defeito, o log do IIS e doutras aplicações será registado nesta directoria.

Para auxiliar a obtenção de informação útil a partir destes logs recomendamos o LogParser disponível em: http://www.microsoft.com/downloads/details.aspx?FamilyID=890cd06b-abf8-4c25-91b2-f8d975cf8c07&displaylang=en

3.17 Informação Adicional

O Technet Security Resource Center oferece informação valiosa sobre segurança informática incluindo como fazer e guias para as melhores práticas. Está alojado em: http://www.microsoft.com/technet/security/default.mspx

O Windows XP Security Guide: http://www.microsoft.com/downloads/details.aspx?FamilyId=2D3E25BC-F434-4CC6-A5A7-09A8A229F118&displaylang=en

4 Analisar outros Documentos CERT.PT

Se houver suspeita de compromisso do sistema, analisar os passos sugeridos em "Passos para recuperação de um compromisso de segurança".

5 Sistemas de Detecção de Intrusões (IDS)

Existem no mercado vários sistemas de Detecção de Intrusões (IDS – Intrusion Detection System) que podem ser adoptados facilitando assim o trabalho aos administradores de um sistema ou sistemas a monitorização contra ataques de intrusão. Apesar de terem o mesmo objectivo, detectar intrusões, existem vários tipos diferentes de sistemas. Estes tipos diferem essencialmente na natureza e orientação, sendo que alguns são orientados para detectar intrusões apenas numa máquina local (HIDS) ou em redes de computadores (NIDS ou WIDS).

Em seguida apresentaremos vários IDS existentes no mercado para sistemas UNIX. Os produtos referenciados não representam qualquer preferência da nossa parte e também não foram testados pela nossa equipa.

6 HIDS – Host Intrusion Detection System

Um HIDS (Host Intrusion Detection System) monitoriza os eventos e logs de um computador ou servidor. Os HIDS são particularmente aptos para detectar operações ilegais efectuados por utilizadores registados ou alguém que se tenha infiltrado na rede ou numa máquina específica da rede. Estes sistemas podem ser apenas programas de análise de logs e eventos mas podem também incluir análise de integridade de ficheiros e configurações através de comparação de fingerprints, etc...

Alguns exemplos de Host IDS:

• Enterasys Dragon Host Sensor (Windows2000) - http://www.enterasys.com/ids/~
• eEye SecureIIS - http://www.eeye.com/html/products/secureiis/
• GFI Events Manager (Windows 2000/XP/2003) -  http://www.gfi.com/eventsmanager/
• Intact - http://pedestalsoftware.com/products/
• ISS Logger (Windows 2000/XP/2003) - http://www.iislogger.com/en/
• IBM RealSecure Server Sensor (Windows 2000/2003) - http://www.iss.net/products/RealSecure_ServerSensor/product_main_page.html
• McAfee Host Intrusion Prevention (Windows NT/2000/XP/2003) - http://www.mcafee.com/us/enterprise/products/host_intrusion_prevention/index.html
• Microsoft Operation Manager – MOM (Windows 2000/2003) - http://www.microsoft.com/systemcenter/opsmgr/default.mspx
• NetIQ Security Manager Pack para o MOM (Windows 2000/2003) - http://www.netiq.com/products/am/modules/default.asp?tab=supportedprod&supProd=Microsoft
• OSSEC (Windows 2000/XP/2003) - http://www.ossec.net/
• Real Secure Server Sensor - http://www.iss.net/products_services/enterprise_protection/rsserver/protector_server.php
• Snare Server (Windows NT/2000/XP/2003) - http://www.intersectalliance.com/snareserver/index.html
• Tripwire - http://www.tripwire.com
• TNT ELM (Windows 2000/XP/2003) - http://www.tntsoftware.com/

7 NIDS – Network-based Intrusion Detection System

Um NIDS detecta actividades maliciosas numa rede tais como ataques de negação de serviço, port scans, ou tentativas de intrusão em sistemas monitorizando e controlando o tráfego na rede. Um NIDS lê todos os pacotes que entram, saem ou circulam na rede e procura por padrões que possam configurar um ataque. Esta abordagem permite detectar ataques não só a partir do exterior bem como a partir do interior da rede.

Alguns exemplos de Network IDS:

• Cisco Intrusion Prevention System - http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html
• Enterasys Dragon IDS - http://www.enterasys.com/products/advanced-security-apps/dragon-intrusion-detection-protection.aspx
• GFI LANguard - http://www.gfi.com/lannetscan/?adv=62&loc=22&adclickid=14257624
• McAfee IntruShield Network IPS Solution
• McAfee IntruShield Security Manager Appliance
• RealSecure Network - http://www.iss.net/products/RealSecure_Network_10-100/product_main_page.html
• SecureNet IDS/IPS - http://www.intrusion.com/Default.aspx?DN=bee1192e-5a5b-4a44-b653-efce9f846523
• SecureMetrics  - http://www.securitymetrics.com/securitymetricsappliance.adp
• Snort - http://www.snort.org/

8 WIDS – Wireless Intrusion Detection System

Um WIDS é em tudo semelhante a um NIDS com a diferença de que este é orientado especificamente para as redes sem fios e para as suas especificidades em relação ás redes com fios.

Alguns exemplos de Wireless IDS:

• AirDefense Enterprise  - http://www.airdefense.net/products/enterprise.php
• AirMagnet Enterprise - http://www.airmagnet.com/products/enterprise/
• Snort-Wireless - http://snort-wireless.org/