160 likes | 408 Views
IDS- Intrusion Detection System. Chama-se IDS ( Intrusion Detection System ) a um mecanismo que ouve o tráfego na rede de maneira furtiva, para localizar atividades anormais ou suspeitas e permitindo assim ter uma acção de prevenção sobre os riscos de intrusão. IDS- Intrusion Detection System.
E N D
IDS-Intrusion Detection System Chama-se IDS (Intrusion Detection System) a um mecanismo que ouve o tráfego na rede de maneira furtiva, para localizar atividades anormais ou suspeitas e permitindo assim ter uma acção de prevenção sobre os riscos de intrusão.
IDS-Intrusion Detection System • Existem duas grandes famílias distintas de IDS: • Os N-IDS (Network Based Intrusion Detection System), asseguram a segurança a nível da rede. • Os H-IDS (Host Based Intrusion Detection System),asseguram a segurança a nível dos hóspedes.
IDS-Intrusion Detection System O N-IDS necessita um material dedicado e constitui um sistema capaz de controlar os pacotes que circulam numa ou várias ligações de rede, com o objetivo de descobrir se um ato malicioso ou anormal tem lugar.
IDS-Intrusion Detection System O H-IDs comporta-se como um serviço num sistema hóspede. Tradicionalmente, o H-IDS analisa informações específicas nos diários de registros (syslogs, messages, lastlog, wtmp…) . Captura os pacotes de rede que entram/saem do hóspede, para detectar sinais de intrusões
IDS-Intrusion Detection System As técnicas de detecção O tráfego da rede (Internet) é constituído geralmente por datagramas IP. O N-IDS é capaz de capturar os pacotes quando circulam nas ligações físicas sobre às quais está conectado. O N-IDS consiste numa pilha de TCP/IP que reúne os datagramas IP e as conexões TCP. Podemos aplicar as técnicas seguintes para reconhecer as intrusões:
IDS-Intrusion Detection System Verificação da pilha protocolar : Um número de intrusões, como por exemplo “Ping-Of-Death” e “TCP Stealth Scanning” recorrem a violações dos protocolos IP, TCP, UDP, e ICMP com o objetivo de atacar uma máquina. Uma simples verificação protocolar pode realçar os pacotes inválidos e assinalar este tipo de técnica muito usada. Verificação dos protocolos aplicativos : Numerosas intrusões utilizam comportamentos protocolares inválidos, como por exemplo “WinNuke”, que utiliza dados NetBIOS inválidos (adição de dados OOB data). Para detectar eficazmente este tipo de intrusão, o N-IDS deve re-aplicar uma grande variedade de protocolos como NetBIOS, TCP/IP
IDS-Intrusion Detection System Reconhecimento dos ataques por “Pattern Matching”: Esta técnica de reconhecimento de intrusões é o mais antigo método de análise do N-IDS e é ainda muito usada Esta técnica é generalizada nos NIDs de tipo “Network Grep”, baseado na captura dos pacotes brutos numa ligação supervisionada, e comparação via um parser de tipo “expressões regulares” que vai tentar fazer corresponder as sequências da base de assinaturas byte por byte com o conteúdo do pacote capturado.
IDS-Intrusion Detection System O MODELO CONCEITUAL DE UMA FERRAMENTA DE IDSDevido a grande variedade de sistemas de IDS, foi proposto um modelo chamado CIDF (Common Intrusion Detection Framework) que agrupa um conjunto de componentes que define uma ferramenta de IDS: * Gerador de Eventos (E-boxes); * Analizador de Eventos (A-boxes); * Base de dados de Eventos (D-boxes); * Unidade de Resposta (R-boxes).
IDS-Intrusion Detection System Segundo a padronização do CIDF, existe um modelo de linguagem para troca de informações entre os componentes, o CISL - Common Intrusion Specification Language - este formato é referenciado como GIDO - Generalized Intrusion Detection Objects. O Gerador de Eventos - (E-box)A função deste componente é obter os eventos a partir do meio externo ao CIDF, ou seja, ele "produz" os eventos mas não os processa, isso fica a cargo do componente especializado na função de processamento, que, por sua vez, após analisar os eventos (violação de política, anomalias, intrusão) envia os resultados para outros componentes.
IDS-Intrusion Detection System O Analisador de Eventos - (A-box)Este componente, basicamente, recebe as informações de outros componentes, as analisa e as envia de forma resumida para outros componentes, ou seja, recebe os dados de forma bruta, faz um refinamento e envia para outros. A Base de Dados de Eventos - (D-box)A função deste componente é armazenar os eventos e/ou resultados para uma necessidade futura. A Unidade de Resposta - (R-box)Este componente é responsável pelas ações, ou seja, matar o processo, reinicializar a conexão, alterar a permissão de arquivos, notificar as estações de gerência, etc.
IPS-Intrusion Prevention System Um sistema de prevenção de intruso (em inglês: Intrusion Prevention System) é um dispositivo de segurança de rede que monitora o tráfego e/ou atividades dos sistema em busca de comportamentos maliciosos ou não desejáveis, em tempo real, para bloquear ou prevenir essas atividades. Um IPS baseado em rede, por exemplo, vai operar em linha para monitorar todo o tráfego em busca de códigos maliciosos ou ataques. Quando um ataque é detectado, é possível bloquear os pacotes danosos enquanto o tráfego normal continua seu caminho.
IPS-Intrusion Prevention System Os IPS possuem algumas vantagens sobre sistemas de detecção de intrusão (IDS). Uma vantagem é que eles são projetados para estar em linha com os fluxos de tráfego e impedir ataques em tempo real. Além disso, a maioria das soluções IPS têm a capacidade de olhar (decodificar) 7 protocolos como HTTP, FTP, SMTP e que prevê uma maior sensibilização. A possibilidade de bloquear imediatamente as intrusões e independentemente do tipo de protocolo de transporte utilizado e sem reconfiguração de um equipamento terceiro. O que induz que o IPS é constituído como nativo numa técnica de filtragem de pacotes e meios de bloqueio (drop connection, drop offending packets, block intruder,…).