1 / 15

IDS

IDS. Adriano Salgado RA: 00073908 Alberi J. M. Vieira RA: 05363676. Sistema de Detecção de Intrusão. Sistema de Detecção de Intrusão. Introdução.

makara
Download Presentation

IDS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IDS • Adriano Salgado RA: 00073908 • Alberi J. M. Vieira RA: 05363676 Sistema de Detecção de Intrusão.

  2. Sistema de Detecção de Intrusão. • Introdução. O sistema de detecção de intrusão conhecido também como IDS é um sistema que após ser implantado tem como objetivo gerar notificações em situações onde for constatada alguma tentativa de intrusão ou o descumprimento das regras definidas na política de segurança.

  3. Intrusão • O que é? Alguém que tenta invadir um sistema ou fazer mau uso do mesmo. • Classificação; • Intrusão devido ao mau uso  ataques realizados a pontos fracos do sistema. • Intrusão devido à mudança de padrão mudanças de usoemrelaçãoaopadrão normal do sistema. • Detecção; • Utilização de CPU; • I/O de disco; • Uso de memória • Atividades dos usuários; • No de tentativas de login; • No de conexões; • Volume de dados trafegando no segmento de rede.

  4. Sistema de Detecção de Intrusão. • IDS - IntrusionDetection System. • Detecta e notifica as tentativas de intrusão, analisando e capturando os pacotes que estão trafegando na rede. • Procuraidentificarevidências de um ataqueemandamento, podendoemitiralarmes, ouexecutarumaaçãoautomática; • Pode ser um hardware, software ou a combinação dos dois.

  5. Sistema de Detecção de Intrusão. • Características: • Funcionamento continuo; • Tolerante a falhas; • Monitorar a si próprio; • Não impactar no funcionamento do sistema;

  6. Sistema de Detecção de Intrusão. • Características: • Detectar mudanças em condições normais de funcionamento; • Configuração de fácil adaptatividade; • Permitir mudanças;

  7. Sistema de Detecção de Intrusão. • Classificação dos possíveis erros: • Falso positivo; • Falso negativo; • Subversão;

  8. Sistema de Detecção de Intrusão. • HIDS - Host IntrusionDetection System. Fazem o monitoramento de um sistema com base nos eventos registrados nos arquivos de logs ou eventos de auditoria. Eventos frequentemente monitorados são: – Uso de CPU; – Modificação de Privilégios de Usuário; – Acessos e modificações em arquivos de sistema; – Processos do sistema; – Programas que estão sendo executados; – Registro.

  9. Sistema de Detecção de Intrusão. • HIDS - Host IntrusionDetection System. • Vantagens: • – Não precisam de hardware adicional, pois residem no host no qual estará sendo feito o monitoramento; • – São independentes de topologia de rede; • – Geram menos falso-positivos; • – Ataques que ocorrem no sistema podem ser detectados. • Desvantagens: • – Dependência do Sistema Operacional; • – Incapacidade de detectar ataques de rede; • – O host monitorado pode apresentar perda de desempenho; • – Informações podem ser perdidas caso o host ou o HIDS seja invadido.

  10. Sistema de Detecção de Intrusão. • NIDS - Network IntrusionDetection System. • Monitoram o tráfego de pacotes do segmento de rede • Captura os pacotes e analisa seus cabeçalhos e conteúdos. • Pode ser configurado por software ou por hardware em forma de um appliance com sensores conectados nos pontos da rede.

  11. Sistema de Detecção de Intrusão. • NIDS - Network IntrusionDetection System. • Itens frequentemente monitorados: • – Ataques de redes; • – Uso indevido de aplicações; • – Tráfego suspeito; • – Tráfego customizado (por origem, destino). • Posicionamento no Ambiente: • – Antes do Filtro de Pacotes; • – Depois do Filtro de Pacotes; • – Em ambos os lados; • – Em segmentos críticos.

  12. Sistema de Detecção de Intrusão. • NIDS - Network IntrusionDetection System. • Vantagens: • – Não causam impacto no desempenho da rede (Apenas ‘escutam’); • – Ataques podem ser identificados em tempo real; • – Eficiência na detecção de portscanning; • – Possibilidade de detectar tentativas de ataques e análise do ambiente. • Desvantagens: • – Incapacidade de monitorar informações criptografadas; • – Pode haver perda de pacotes em redes congestionadas.

  13. Sistema de Detecção de Intrusão. • Modelo: • CIDF - Common Intrusion Detection Framework. • Comunicação: • CISL - Common Intrusion Specification Language. • GIDO - Generalized Intrusion Detection Objects.

  14. Sistema de Detecção de Intrusão. • CIDF - Common Intrusion Detection Framework E-boxes; Captura os pacotes da rede (TCP, UDP, ICMP) e entrega aos módulos superiores Analisador de Eventos e Banco de Dados; A-boxes; Cérebro do IDS, responsável por identificar o que é e o que não é um ataque através de assinaturas Equipamentos Dedicados à Segurança principalmente; D-boxes; Armazena os ataques, ocorrências para usos posteriores e imediatos; R-boxes;Responsável por tomar ações baseadas nos eventos. Deve ter acesso aos outros IDS e Firewalls (Alertar através de email, contra-atacar).

  15. Sistema de Detecção de Intrusão. • Conclusões.

More Related