1Securitatea în re țele de calculatoare [630838]

1Securitatea în re țele de calculatoare

Implementarea securit ății într-o re țea de calculatoare cuprinde trei
aspecte importante: confidențialitatea, integritatea și
disponibilitatea.
Confidențialitatea reprezintă calitatea unei re țele de a asigura
accesul la informa ție doar persoanelor autorizate.
Integritatea garanteaz ă faptul că informația nu a fost modificat ă de
persoane neautorizate.
Disponibilitatea poate fi definit ă ca timpul în care re țeaua de
calculatoare și resursele din cadrul ei sunt opera ționale.

Pentru fiecare din aceste aspecte ale securit ății rețelelor de
calculatoare exist ă atacuri, astfel încât securizarea unei re țele de
calculatoare trebuie s ă implementeze fiecare din aceste aspecte.
Probleme:
• identificarea, autorizarea și monitorizarea activit ății
utilizatorilor
• securizarea perimetrului re țelei
• asigurarea confiden țialității și integrității datelor
• monitorizarea re țelei
• managementul echipamentelor și infrastructurii de securitate.
– soluții : firewall-uri, VPN-uri, sisteme de detec ție a
intruziunilor, etc.
– definirea unei politici de securitate

2- O politică de securitate este „o definire formal ă a regulilor
după care persoanele care au ac ces la bunurile tehnologice și
informatice ale organiza ției trebuie s ă le respecte''.
o o politică de securitate specific ă ce, cine și în ce
condiții se pot accesa anumite resurse ale organiza ției
o politica de securitate trebuie implementat ă pentru a ne
asigura că este respectat ă.

Tipuri de atacuri și vulnerabilit ăți

Există două cauze majore ce pot constitui amenin țări pentru o re țea
de calculatoare, chiar dup ă ce a fost implementat ă o politic ă de
securitate corect ă:
1. vulnerabilit ăți (probleme cauzate de tehnologie) și
2. configurare necorespunz ătoare.

Vulnerabilit ățile sunt probleme ale si stemelor de operare,
protocoalelor TCP/IP, dispozitivelor de re țea prin care un atacator
poate accesa re țeaua fără a respecta politica de securitate
implementat ă.
Chiar dac ă vulnerabilit ățile sunt problemele cele mai grave și mai
greu de controlat, trebuie îns ă notat că cele mai multe probleme
apar datorit ă configurării incorecte sau definirii unei politici de
securitate necorespunz ătoare.

3Atacurile asupra unei re țele de calculatoare pot fi clasificate în :
1. atacuri interne sau externe și
2. atacuri structurate sau nestructurate .
Atacurile externe sunt efectuate din afara organiza ției (din
punctul de v edere al re țelei). Atacurile interne sunt efectuate din
rețeaua organiza ției.
Atacurile nestructurate sunt atacurile care sunt ini țiate de
indivizi neexperimenta ți ce utilizeaz ă exploit-uri disponibile pe
Internet. Exploit-urile sunt programe ce exploateaz ă
vulnerabilit ățile pentru a ocoli politi ca de securitate
implementat ă într-o rețea.
Atacurile structurate sunt ini țiate de indivizi mult mai bine
motivați și cu cuno ștințe tehnice competente. Ace ști indivizi
cunosc vulnerabilit ăți de sistem și le pot folosi pentru a c ăpăta
acces în re țea, pot detecta noi vulnerabilit ăți de sistem și pot
dezvolta cod și scripturi pentru a le exploata.

Un atac trece în general prin trei faze:
1. faza de recunoa ștere,
2. faza de ob ținere a accesului – format ă din două etape: una în
care atacatorul ob ține acces în cadrul re țelei pe una din
mașinile din re țea prin exploit-uri de la distan ță și faza în
care, dac ă este cazul, ob ține acces privilegiat pe ma șina
respectivă cu ajutorul unor exploit-uri locale.
3. faza în care sistemele compromise sunt folosite pentru a ataca
alte rețele. (eventual)

41. Recunoașterea
– definește procesul prin care un atacator descoper ă maparea
sistemelor, a serviciilor și vulnerabilit ăților în rețea. În aceast ă fază
atacatorul strânge informa ții și, de cele mai multe ori, aceast ă fază
precede un atac efectiv.
Într-o prim ă fază atacatorul folose ște utilitare precum nslookup sau whois pentru a
descoperi spa țiul de adrese alocate organiza ției țintă. Apoi face un ping sweep încercând
să determine care din adresele de IP sunt alocate și care din sisteme sunt pornite. Se
folosește apoi un port scanner pentru a determina ce servic ii sunt active. Acest utilitar
funcționează pe principiul c ă fiecare serviciu (web, ftp, etc) are alocat un port. Utilitarul
trimite pachete SYN c ătre mașina atacat ă pe portul corespunz ător serviciului care se
încearcă a fi detectat. Dac ă mașina atacat ă rulează serviciul, sistemul de operare va
trimite un pachet de tipul SYN, ACK pe ntru a începe negocierea unui canal de
comunica ție. Acest utilitar poate de asemenea s ă detecteze și tipul sistemului de operare,
cel mai adesea datorit ă modului în care unele din si stemele de operare genereaz ă numere
de secven ță pentru pachetele TCP. Dup ă determinarea serviciilor și sistemului de operare,
atacatorul încearc ă să obțină versiunea sistemului de operare și versiunile serviciilor
rulate. Acest lucru se poate face prin conectarea cu utilitare de gen telnet pe portul
serviciului respectiv și examinarea mesajele afi șate. Pe baza acestor informa ții atacatorul
poate determina ce vulnerabilit ăți există și ce sisteme poate ataca.
O altă modalitatea de recunoa ștere a resurselor o reprezint ă așa numitul proces de packet
sniffing . El este folosit mai ales în re țelele în care mesajele ajung la toat ă lumea conectat ă
la mediu, ca în cazul Ethernet atunci când se folose ște un hub. Datorit ă acestui lucru, tot
traficul dintr-o astfel de re țea poate fi analizat. În mod normal, placa de re țea nu va prelua
din mediu decât pachetele destinate sta ției respective sau pachetel e de broadcast (la nivel
2). Dacă există privilegii suficiente, se poate configura placa de re țea astfel încât s ă preia
toate pachetele ce circul ă pe mediu, prin setarea acesteia în promiscuous mode . Pachetele
astfel captate pot fi pro cesate cu diverse utilitare și pe baza lor se pot mapa adrese,
versiuni de sisteme de operare sau servicii. Mai mult, folosind utilitare de packet sniffing
se pot recep ționa chiar și date importante care ar trebui sa aib ă un caracter privat, cum ar
fi parole, numere de c ărți de credit, informa ții confiden țiale, etc. O fals ă soluție pentru a
preveni problemele ce apar atunci când se folo sesc utilitare de packet sniffing este s ă se
folosească un switch ca metod ă de interconectare în loc de un hub. De și reduce
probabilitatea ca un atacator s ă poată intercepta pachetele, nu este o metod ă sigură. Sunt
cunoscute metode prin car e un switch poate fi p ăcălit să trimită pachete și către alte
porturi (și implicit calculatoare), nu doar c ătre portul destina ție. Aceste metode poart ă
numele de ARP poisoning .

5Metode eficiente de protec ție împotriva unui atac de recunoa ștere
sunt:
• folosirea unui firewall, pentru a bloca încerc ările de
recunoaștere,
• folosirea doar a unor protocoale sigure care nu trimit datele
în clar, ci criptate, sau
• folosirea cript ării pentru protocoalele nesigure prin tunelare.

2. Obținerea accesului
Una dintre cele mai sigure metode de ob ținere a accesului
privilegiat este a sparge parola . Acest lucru presupune c ă
atacatorul are deja acces pe o ma șină din rețea și dorește acces
privilegiat (root, Administrator). De și un atac „brute force'' nu are
cum să dea rezultate decât pe sistem ele la care parolele sunt
limitate la 6-7 caractere, exist ă atacuri care se folosesc de unele
particularit ăți ale parolelor. S-a observat c ă majoritatea parolelor
folosite se încadreaz ă în anumite categorii, pentru a putea fi u șor
ținute minte. Din aceast ă cauză există utilitare de spart parole
bazate pe dic ționare ( Jack The Ripper ).
Altă metodă de exploit-uri de la distan ță este deturnarea unei
conexiuni TCP (TCP session hijack ). Ea constă în așteptarea ca un
utilizator s ă se logheze pe sistem ce dore ște să fie atacat, și apoi în
trimiterea de pachete c ătre portul pe care ruleaz ă serviciul, luând
locul utilizatorului care s-a autentificat. Aceast ă metodă se
folosește dacă se pot prezice numerele de secven ță dintr-un pachet
TCP. O variant ă de deturnare de conexiuni TCP este man in the
middle attack . În acest caz, at acatorul trebuie s ă aibă acces la o
mașină pe care trece traficul dintre dou ă entități A și B. În acest
caz, atacatorul intercepteaz ă cererea de conexi une de la A la B și
răspunde lui A, stabilind cu A o conexiune. Apoi stabile ște și cu B
o conexiune. Toate datele trimise de A vor fi apoi trimise lui B și

6invers. Astfel atacatorul are acces la convorbirea dintre A și B,
chiar dacă traficul este criptat din punctul de vedere al lui A și B.
IP spoofing este o metod ă de atac, dar poate fi folosit ă și pentru a
ascunde identitatea atacatorului s au pentru a lansa atacuri. Prin
acest atac, pachetele TCP/IP sunt manipulate, fals ificând adresa
sursă. În acest mod atacatorul poate c ăpăta acces atribuindu- și o
identitate (adresa de IP) care are autorizare s ă acceseze resursa
atacată. Datorită falsificării adresei surs ă a pachetului IP, atacatorul
nu poate stabili decât o comunica ție unidirec țională (presupunând
că nu este prezent în re țeaua local ă a mașinii atacate). Acest lucru
face protocolul TCP nesusceptibil pentru asemenea atacuri. Exist ă
însă numeroase servicii UDP care pot fi exploatate cu acest tip de
atac.
Virușii pot constitui metode de atac, atunci când poart ă cu ei
troieni. Troienii sunt programe simple, care deschid u și de acces pe
sistemele infectate de virus.
O metodă diferită față de cele discutate pân ă acum o reprezint ă
ingineria social ă. Ea constă în aflarea de informa ții esențiale direct
de la utilizatori.

73. Denial of Service (DoS)
faza în care sistemele compromise s unt folosite pentru a ataca alte
rețele

Atacurile de tipul denial of service (DoS) opresc sau încetinesc
foarte mult func ționarea unor re țele, sisteme sau servicii. Ele sunt
cauzate de un atacator care dore ște să împiedice accesul
utilizatorilor la resursele atacat e. Atacatorul nu are nevoie s ă fi
căpătat înainte acces pe calc ulatorul pe care dore ște să efectueze
atacul. Exist ă multe posibilit ăți prin care un at ac DoS se poate
manifesta. Efectul îns ă este acela și: se împiedic ă accesul
persoanelor autorizate de a folosi serviciile de pe sistem prin
utilizarea la maxim a resurs elor sistemului de c ătre atacator.

• Exemplu de atac DoS local este un program care creeaz ă
procese la infinit. Acest lucru va duce în cele din urm ă la
încetinirea sistemului, pentru c ă existând un num ăr foarte
mare de procese create de atacator, probabilitatea ca acestea
să se execute va fi foarte mare, iar procesele celorlal ți
utilizatori nu mai apuc ă să se execute.

• Un alt tip de atac DoS local posibil este crearea unui num ăr
limitat de procese (pentru c ă majoritatea sistemelor de
operare moderne limiteaz ă numărul maxim de procese pe
care un utilizator le poa te crea), care aloc ă zone de memorie
de dimensiuni mari și care acceseaz ă aceste zone aleator.
Ideea acestui atac este de a for ța sistemul de operare s ă
lucreze cu swap-ul, încetinindu-l.

8
• Există și atacuri DoS de la distan ță – se bazeaz ă pe
vulnerabilit ăți ale SO sau aplica țiilor. Un exemplu este atacul
cu date out of band , conceput pentru sistemele de operare
Windows 95 și NT. Acest atac va determina sistemul de
operare să se blocheze sau s ă se reseteze. Datele out of band
sunt date care nu fac parte din fluxul normal de date schimbat
între doi socke ți. Acest tip de date sunt trimise doar în cazuri
speciale și au prioritate fa ță de datele norm ale. Un exemplu
de situație în care datele out of band sunt folositoare poate fi
următorul: presupunem c ă avem o aplica ție client – server ce
implementeaz ă un protocol similar cu telnet. Astfel, între
client și server se trimit comenz ile, respectiv outputul
acestora. Pentru a suporta dime nsiuni variabile ale ecranului
la client, în momentul în care acesta redimensioneaz ă
fereastra se trimite serverului un mesaj out of band în care se
specifică noile dimensiuni ale ecranului.

• Atacul Ping of Death folosește pachete IP modificate care
indică faptul că pachetul are mai multe da te decât are de fapt.
Acest atac determin ă blocarea sau resetarea ma șinii pe
sistemele care nu verific ă acest lucru.

9Atacuri DoS distribuite

Atacurile DoS distribuite sunt astfel concepute încât s ă satureze
lărgimea de band ă pe legătura ce conecteaz ă rețeaua la Internet cu
pachete de date trimise de atacator , astfel încât pachetele legitime
nu mai pot fi trimise. Pentru a realiza acest lucru un atacator se
folosește, direct sau indirect, de mai multe sisteme .
• Un exemplu de astfel de atac este Smurf. Acesta începe prin a trimite
un număr mare de mesaje ICMP de tip echo-request (sau ping) c ătre
adrese de broadcast, sperând c ă aceste pachete vor fi trimise unui
întreg segment de re țea. De asemenea aceste p achete sunt falsificate
pentru a avea ca adres ă sursă adresa sistemului țintă. Dacă pachetul
trece de dispozitivul de rutare, el va fi recep ționat de c ătre toate
stațiile de pe un segment de re țea. Acestea vor r ăspunde cu un pachet
de tip echo-reply c ătre adresa fals ă din pachet. Astfel, sta țiile vor
genera trafic c ătre adresa specificat ă de atacator. Acest tip de atac
poate fi u șor contracarat dac ă pe ruter se dezactiveaz ă rutarea
pachetelor de broadcast direc ționat.

• Un alt tip de atac distribuit se poate realiza cu pachetul de
utilitare TFN2K (Tribe Flood Network 2000 ). Atacul TFN are
capacitatea de a genera pach ete de IP cu adresa surs ă
falsificată. În prealabil îns ă, sistemele de pe care se face
atacul trebuie s ă fi fost instalate cu aceste utilitare. Acest
lucru se face în prim ul pas, când se atac ă stațiile (denumite
drone-uri). Un TFN master po ate apoi comanda drone-urile
cauzând atacuri DoS distribuite.

10
Figura : Exemplu de atac Smurf

Soluții pentru implementarea securit ății
• asigurarea securit ății perimetrului re țelei se face cu un
firewall, dispozitiv special de re țea.
• Monitorizarea re țelei se face cu un IDS (Intrusion Detection
System), alt dispozitiv special de re țea.
• Păstrarea confiden țialității și integrității datelor într-un mediu
ostil se face cu tehnologii VPN (Virtual Private Network) .
• Pentru identificarea, autorizarea și monitorizarea activit ății
(accounting) utilizatorilor într-un mod centralizat se folosesc
protocoale precum RADIUS (Remote Auth entication Dial-In
User Service) sau TACACS (Terminal Access Controller
Access Control System) .

11
1. Firewall-ul
– firewall-ul este un sistem sau un grup de sisteme care
implementeaz ă politica de acces între dou ă sau mai multe
rețele.
– Firewall-urile pot fi clasific ate în patru mari clase:
1. firewall-uri dedicate ,
2. firewall-uri de rutere ,
3. firewall-uri de server și
4. firewall-uri personale.
Firewall-urile dedicate sunt mașini ce ruleaz ă un sistem de operare
special conceput pentru filtrarea de pachete și translatarea de
adrese.
Firewall-urile de rutere reprezint ă de fapt software special care
rulează pe rutere. Ruterul este astfel integrat cu facilit ăți de
firewall.
Firewall-urile de server sunt implementate, în general, ca un
software adi țional peste un sistem de operare de re țea (Linux, NT,
Win2K, Novell, UNIX). Exemple de astfel de pachete software
sunt: Netfilter , Microsoft ISA Server , Novell Border Manager . Din
cauză că rulează software peste un sistem de operare de uz general,
aceste tipuri de firewall-uri nu se descurc ă la fel de bine în situa ții
de încărcare mare ca un firewall dedicat.
Firewall-urile personale sunt instalate pe ca lculatoarele personale.
Ele sunt concepute pentru a preveni atacuri doar asupra
calculatorului pe care ruleaz ă. Este important de re ținut că aceste
tipuri de firewall-uri nu s unt optimizate pentru re țele întregi de
calculatoare.

12Principalele mecanisme prin care un firewall asigur ă protecția
rețelei sunt : filtrarea de pachete și translatarea de adrese .

Filtrarea de pachete

Filtrarea de pachete este procesul prin care firewall-ul las ă să
treacă în rețeaua local ă doar anumite pachete, pe baza unor reguli.
Filtrarea de pachete este folosit ă pentru a proteja o re țea de atacuri
din exterior (Internet) și se realizeaz ă la nivelurile OSI 3 și 4.
Regulile de filtrare sunt fo rmate dintr-o parte care identifică
pachetul și o parte care specifică cum să se trateze pachetul .
În partea de identificare se poate specifica adresa surs ă, adresa
destinație, adresa de re țea sursă, adresa de re țea destina ție,
protocolul (TCP, UDP, ICMP), portul surs ă sau destina ție (doar
pentru TCP sau UDP), tipul mesajului (pentru ICMP), interfa ța de
intrare sau ie șire, adresele de nivel doi , etc.
Partea de tratare a pachetului specific ă ce anume trebuie f ăcut cu
pachetele identificate de regul ă. Pentru filtrare exist ă în general 3
posibilități de tratare: acceptare, ignorare sau respingere . În cazul
acceptării pachetul este l ăsat să treacă. În cazul ignor ării pachetului
nu este lăsat să treacă și nu se trimite notificare c ătre sursă. În
cazul respingerii p achetul nu este l ăsat să treacă, dar se trimite
notificare c ătre sursă (un mesaj ICMP al c ărui tip poate fi, în unele
implement ări, ales de cel care construie ște regula; de cele mai
multe ori se folose ște un mesaj ICMP de tip port-unreachable ).

13Translatarea de adrese

Translatarea de adrese sau NAT este procesul prin care un ruter
modifică adresele surs ă (SNAT) sau destina ție (DNAT) din
anumite pachete care trec pr in ruter pe baz a unor reguli .
Putem considera c ă translatarea adreselor este o func ție definită pe
o mulțime de adrese (A) cu rezultate într-o alt ă mulțime de adrese
(B). Astfel, fiecare pachet cu o adres ă sursă sau destina ție (după
cum este specificat în regul ă) din mul țimea A va fi înlocuit ă cu o
adresă din mulțimea B.
Se spune c ă avem o translatare de adres ă statică dacă mulțimile A
și B sunt fiecare formate dintr-un singur element. În caz contrar
avem o translatare de adrese dinamic ă.
Avantajul folosirii translat ării de adrese dinamice const ă în faptul c ă se poate folosi o
partajare a adreselor ruta bile disponibile organiza ției. Astfel, calculatoarelor din re țeaua
locală li se aloc ă adrese private, iar ru terul va face o translatare de adrese dinamice din
mulțimea de adrese private în mul țimea de adrese public e alocate organiza ției. Se observ ă
însă că această abordare permite ca doar Card(B) calculatoare din re țeaua local ă să aibă
conversații TCP sau UDP cu Internetul. Alt avantaj al folosirii translat ării de adrese este
acela că se ascunde astfel exteriorului maparea real ă de adrese.
Translatarea de adrese static ă se folose ște atunci când în re țeaua
locală avem un server pe care dorim s ă îl accesăm din exterior. În
acest caz se face o mapare unu la unu între adresa din interior și
cea din exterior.

14O metodă mai avansat ă de translatare de adrese o reprezint ă PAT
(Port Address Translation ), uneori denumit ă și NAT overloaded.
Această metodă permite un num ăr de aproximativ 64000 de
conversații simultane de la orice host intern c ătre exterior cu o
singură adresă externă. Implementarea înlocuie ște pachetul din
rețeaua local ă cu adresa surs ă S, adresa destina ție D, portul surs ă P,
portul destina ție Q, cu altul nou ce va avea adresa surs ă M (adresa
ruterului), adresa destina ție D, portul sursa K. Portul destina ție nu
se schimb ă. De asemenea se memoreaz ă asocierea (S,P) – K. Dac ă
un pachet ajunge pe ruter din exterior, având adresa destina ție M,
adresa surs ă Q și portul destina ție K, atunci acest pachet va fi
înlocuit cu un altul cu adresa destina ție S, adresa surs ă Q, portul
destinație P și va fi trimis în re țeaua local ă. Portul surs ă nu se
schimbă.
Un caz special al PAT îl reprezint ă redirectarea. În acest caz se va
înlocui pachetul primit din re țeaua local ă având adresa surs ă S,
adresa destina ție D, portul P cu un altul având adresa surs ă S,
adresa destina ție M (adresa ruterului), por tul R (portul în care se
face redirectarea, specificat de utilizator). Redirectarea este în general folosit ă pentru a implementa un pr oxy transparent, caz în
care pe ruterul M portul R ascult ă un proxy configurat pentru
proxy transparent.
Figura : NAT overloaded

15
Filtrare de pachete și translatare de adrese avansat ă
Anumite protocoale, datorit ă felului în care s unt concepute, pot s ă
nu funcționeze corect atunci când clientul și serverul sunt separate
de un firewall care filtreaz ă pachete sau implementeaz ă PAT. În
general, pentru astfel de protocoale clientul și serverul negociaz ă
un port pentru client și apoi serverul ini țiază o conexiune c ătre
client pe portul negociat. Din aceast ă cauză, implementarea unui
mecanism de filtrare care s ă permită funcționarea acestui protocol,
dar să protejeze sta ția de atacuri din exterior, se complic ă extrem
de mult. La fel stau lucrurile și pentru PAT.
Exemplu de astfel de protocoale : FTP.
Protocolul FTP folose ște două porturi:
– portul de date ( ftp-date ) și
– portul de comenzi ( ftp-comenzi ).
La conectarea la server, clientul ini țiază o conexiune c ătre portul
ftp-comenzi. În momentul în care clientul dore ște transferul unui
fișier el va preg ăti un port pe care va ascult a cereri de conexiuni de
la server, dup ă care va trimite pe canalu l de comenzi un mesaj în
care i se cere serverului fi șierul de transferat și în care îi trimite
serverului portul pe care clientul ascult ă. Serverul va ini ția apoi o
conexiune de pe portul ftp-date c ătre portul specificat de client.
Aceste este modul de func ționare normal pentru protocolul FTP.
Clientul poate fi îns ă configurat s ă ceară de la server un mod de
lucru pasiv, în care doar clientul ini țiază conexiuni.

16Fie o situa ție în care dorim s ă utilizăm filtrarea de pa chete pentru a
proteja re țeua locală de atacuri din exterior. Astfel, pe firewall nu
vom permite ca sta țiile din exterior s ă inițieze conexiuni c ătre
stațiile din interior. Din acest motiv , în momentul în care o sta ție
locală va încerca s ă transfere un fi șier în mod normal de pe un
server de FTP, firewall-ul va bloca încercarea de deschidere a unei
conexiuni a serverului c ătre client. Cum portul este negociat de
client, problema ap ărută nu se poate rezolv a foarte simplu.
Singura solu ție posibil ă este ca firewall-ul s ă analizeze toate
pachetele schimbate de client și server și să identifice portul
negociat. Cu aceast ă informație va putea apoi permite stabilirea
conexiunii ini țiate de server cu clientul . Folosirea unei astfel de
abordări este denumit ă stateful inspection sau connection tracking .

2 Sisteme de detec ție a intruziunilor
Sistemele de detec ție a intruziunilor – Intrusion Detection Systems
(IDS) au abilitatea de a detecta at acurile împotriva unei re țele.
Aceste sisteme identific ă, opresc și semnaleaz ă atacurile asupra
resurselor re țelei.
Există două tipuri de sisteme de detec ție a intruziunilor:
– pentru sta ții și
– pentru rețele.
Un HIDS (Host based IDS ) sau un sistem de detec ție a
intruziunilor pentru sta ții înregistreaz ă atât opera țiile efectuate, cât
și utilizarea resurselor sistemului. Un avantaj al HIDS este faptul
că el poate preveni atacuri nec unoscute. De exemplu un HIDS
poate monitoriza accesul la fi șiere și reacționa când un atacator
încearcă să șteargă fișiere critice. Chiar dac ă tipul atacului este nou
și nu poate fi recunoscut de un NIDS (Network based IDS ) un
HIDS poate sesiza atacul.

17Cea mai simpl ă formă de HIDS este pornirea proceselor de logare
pe sistem. O astfel de metod ă se spune c ă este pasiv ă. Dezavantajul
acestei metode este faptul c ă necesită multe ore de munc ă din
partea administratorului pentru a analiza logurile. Sistemele HIDS
curente folosesc agen ți software care sunt instala ți pe fiecare
mașină și care monitorizeaz ă activ sistemul (pot reac ționa dacă
detectează atacuri). Atunci când HIDS-ul este configurat s ă
răspundă activ, el va opri serviciile de re țea pentru a preveni
eventuale pagube și a putea analiza exact atacul. Un exemplu de
sistem de detec ție a intruziunilor este Linux Intrusion Detection
System (LIDS).
NIDS-urile sunt dispozitive de inspectare a traficului și acționează
prin colectarea de date de la senzori amplasa ți în rețea. NIDS-urile
captează si analizeaz ă traficul ce traverseaz ă rețeaua. Avantajul
folosirii unui NIDS este faptul c ă nu trebuie aduse modific ări pe
stații. În schimb, datorit ă faptului c ă la baza NIDS-urilor st ă
detecția bazată pe semn ături ale atacurilor, el nu poate opri sau
detecta atacuri noi.