1 / 25

Sistema de Detecção de Intrusão (IDS)

UNIVERSIDADE FEDERAL DE SANTA CATARINA Curso de Sistemas de Informação Segurança em Computação Distribuída. Sistema de Detecção de Intrusão (IDS). Alunos: Fábio Furtado Leite Rian Rosário. UNIVERSIDADE FEDERAL DE SANTA CATARINA Curso de Sistemas de Informação. INTRODUÇÃO.

wilton
Download Presentation

Sistema de Detecção de Intrusão (IDS)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. UNIVERSIDADE FEDERAL DE SANTA CATARINACurso de Sistemas de InformaçãoSegurança em Computação Distribuída Sistema de Detecção de Intrusão (IDS) Alunos: Fábio Furtado Leite Rian Rosário

  2. UNIVERSIDADE FEDERAL DE SANTA CATARINA Curso de Sistemas de Informação INTRODUÇÃO A todo momento, um grande número de computadores são atacados ou invadidos. (Estimativas -> Em média: 1 site ou 1 computador a cada 10 minutos nos EUA) Existe uma enorme necessidade em rastrear e identificar estes ataques. O sistema que possui esta capacidade é conhecido como IDS (Sistema de Detecção de Intrusão).

  3. UNIVERSIDADE FEDERAL DE SANTA CATARINA Curso de Sistemas de Informação INTRODUÇÃO IDS - Sistema de Detecção de Intrusão: Sistema composto de hardware e software que trabalham juntos para identificar eventos inesperados, capaz de antecipar a ocorrência de ataques. Detecção de Intrusão: É o processo de identificar e relatar atividade maliciosa agindo em computadores e recursos da rede.

  4. UNIVERSIDADE FEDERAL DE SANTA CATARINACurso de Sistemas de Informação

  5. UNIVERSIDADE FEDERAL DE SANTA CATARINACurso de Sistemas de Informação

  6. UNIVERSIDADE FEDERAL DE SANTA CATARINA Curso de Sistemas de Informação ALGUMAS DEFINIÇÕES Ataque: é uma ação inteligente que ameaça a segurança de um sistema. Um ataque pode ter sucesso ou não e estará explorando uma vulnerabilidade no sistema alvo. Um ataque bem sucedido pode caracterizar uma invasão ou até mesmo a negação de serviços no sistema alvo (DoS - Denial of Service). Obs.: Ao longo do texto será utilizado o termo IDS para caracterizar sistemas baseados em rede ou em host. Para os IDS baseados em rede utiliza-se também o acrônimo NIDS (Network Intrusion Detection System).

  7. UNIVERSIDADE FEDERAL DE SANTA CATARINA Curso de Sistemas de Informação CONCEITOS BÁSICOS E DEFINIÇÕES Necessidade de um IDS Seguro: São alvo de ataques. O que é melhor? Segurança por obscuridade ou não? Depende de conhecimento, tempo, dinheiro... Deve-se optar pela flexibilidade associada à segurança. Falsos positivos: Pacotes normais confundidos com tentativa de ataque. Falsos negativos: Deixa de alertar tentativas autênticas.

  8. UNIVERSIDADE FEDERAL DE SANTA CATARINA Curso de Sistemas de Informação CONCEITOS BÁSICOS E DEFINIÇÕES Vulnerabilidade: É uma falha no S.O., protocolo, serviços ou quaisquer outros componentes no sistema que permitem acesso ou intervenção de pessoas não autorizadas. A vulnerabilidade independe do ataque ou do tempo de observação. Sensor: Agente principal de um IDS. Monitora um host ou rede a fim de identificar intrusões, gravar logs e gerar mensagens alertando tais eventos. Estas mensagens podem ou não serem enviadas a uma estação de gerenciamento.

  9. UNIVERSIDADE FEDERAL DE SANTA CATARINA Curso de Sistemas de Informação CONCEITOS BÁSICOS E DEFINIÇÕES Estação de gerenciamento: É uma estação encarregada de administrar um ou mais sensores espalhados pela rede, o software utilizado deve ter uma interface gráfica que permita configuração e monitoração dos agentes (Sensores IDS). Evento: Ocorrência na fonte de dados que é detectada pelo sensor, a qual pode resultar num alerta sendo transmitido ou gravado.

  10. UNIVERSIDADE FEDERAL DE SANTA CATARINA Curso de Sistemas de Informação DEFINIÇÕES E CONCEITOS BÁSICOS Respostas ou contramedidas: São ações que podem ser programadas na ocorrência de um determinado evento. Ex.: aviso por e-mail, o fechamento da sessão que gerou o evento, o bloqueio de um usuário, a reconfiguração de um filtro de pacotes ou firewall. Assinatura: É a regra usada pelo analisador de eventos (parte do sensor IDS) para identificar os tipos de atividade suspeita, o mecanismo de análise de assinaturas é o mais utilizado pelos IDS.

  11. UNIVERSIDADE FEDERAL DE SANTA CATARINA Curso de Sistemas de Informação TIPOS DE IDS Classifica-se os IDSs quanto a(o): Funcionamento: Aviso antes, durante e depois; Tecnologia utilizada:Análise de Ass., estatist., Sist. adapt. Sistema a ser monitorado: Baseado em rede, host e verificador de integridade de arquivo.

  12. UNIVERSIDADE FEDERAL DE SANTA CATARINA Curso de Sistemas de Informação TIPOS DE IDS IDS baseados em rede (NIDS) Sensores / Estações de Gerenciamento. IDS baseados em host Analisam sinais de instrução na máquina Verificador de Integridade de Arquivos Examinam arquivos baseados em funções de hash.

  13. UNIVERSIDADE FEDERAL DE SANTA CATARINA Curso de Sistemas de Informação PRINCIPAIS IDSs COMERCIAIS

  14. UNIVERSIDADE FEDERAL DE SANTA CATARINACurso de Sistemas de Informação TENTATIVAS DE PADRONIZAÇÃO CIDF - Common Intrusion Detection Framework Interoperabilidade de IDS CISL - Common Intrusion Specification Language Transferência de informação por identif. semânticos IAP - Internet Intrusion Alert Protocolo para troca de dados

  15. UNIVERSIDADE FEDERAL DE SANTA CATARINA Curso de Sistemas de Informação ANÁLISE DE ASSINATURAS Características: Lista contendo assinaturas de ataque e o respectivo alerta a ser enviado. Exemplos de regras para IDS: alert tcp any any -> 10.1.1.0/24 80 (content: “/cgi-bin/phf”; msg: “Este é um teste do bug PHF”;) Tipos de logs e alertas (Snort): Ex.: Alert.txt, WinPopup

  16. UNIVERSIDADE FEDERAL DE SANTA CATARINACurso de Bacharelado em Sistemas de Informação VULNERABILIDADE DOS SISTEMAS DE DETECÇÃO DE INTRUSÃO IP Spoofing Inserção Evasão Denial of Service – DoS Defesa contra os ataques aos IDS

  17. UNIVERSIDADE FEDERAL DE SANTA CATARINA Curso de Sistemas de Informação ALGUMAS SOLUÇÕES ENCONTRADAS Para redes com Switch Para Denial of Service no IDS Para IDS em modo Stealth (Invisível)

  18. UNIVERSIDADE FEDERAL DE SANTA CATARINA Curso de Sistemas de Informação SnortWAT (Snort Web Administration Tool) SISTEMA DE GERÊNCIA PARA UM IDS Características: Faz a análise dos arquivos de log. Componentes do sistema: Snortwat.pl e snortwat_cf.pl

  19. UNIVERSIDADE FEDERAL DE SANTA CATARINA Curso de Sistemas de Informação SnortWAT (Snort Web Administration Tool) SISTEMA DE GERÊNCIA PARA UM IDS Este sistema permite a gerência de um sensor Snort, pela Web, com sessões encriptadas usando SSL.

  20. UNIVERSIDADE FEDERAL DE SANTA CATARINA Curso de Sistemas de Informação SnortWAT (Snort Web Administration Tool) SISTEMA DE GERÊNCIA PARA UM IDS Arquitetura do Sistema: As estações de gerências se comunicam com o SnortWAT via programa stunnel (gratuito) gerando a interface SSL. O stunnel aciona diretamente o SnortWAT pois está rodando no inetd, cnhecido como super-server ou super-deamon em sistemas UNIX. O SnortWAT analisa os arquivos de log e configuração do IDS, as informações para o stunnel e deste para o browser. É utilizado o mecanismo de autenticação provido pelo protocolo HTTP.

  21. UNIVERSIDADE FEDERAL DE SANTA CATARINA Curso de Sistemas de Informação SnortWAT (Snort Web Administration Tool) SISTEMA DE GERÊNCIA PARA UM IDS Funcionalidades: Ativa e desativa o IDS; Exibe o arquivo de assinaturas (número de linhas); Exibe o log de todos os pacotes (número de linhas); Exibe o log por IP específico; Remove e compacta arquivos de logs; Resolve IPs e realiza traceroute nos mesmos;

  22. UNIVERSIDADE FEDERAL DE SANTA CATARINA Curso de Sistemas de Informação CONCLUSÃO Novos conceitos vem motivando a integração e gerência de Sistemas de Detecção de Intrusão e Firewalls. A simplificação gradativa dos sistemas de gerência de IDS farão desta tarefa uma tarefa cada vez mais eficiente e automática. Para que isso ocorra: Os IDS devem estar configurados, ou se comportar de forma mais próxima possível dos sistemas monitorados; Os IDS devem ter mecanismos de proteção contra ataques, principalmente DoS;

  23. UNIVERSIDADE FEDERAL DE SANTA CATARINA Curso de Sistemas de Informação CONCLUSÃO Os IDS devem ter mecanismos para intercomunicação com outros agentes no sistema; Os IDS devem ter interfaces fáceis, práticas e intuitivas de configuração e análise de eventos; IDS e firewalls são fundamentais, mas de nada adianta se estes não estiverem configurados adequadamente. As interfaces de admin. justificam-se principalmente por facilitar a configuração dos sistemas IDS.

  24. UNIVERSIDADE FEDERAL DE SANTA CATARINA Curso de Sistemas de Informação UM BOM “IDS” DEVE POSSUIR AS SEGUINTES CARACTERÍSTICAS Potencialidade de detecção; Descrição técnica do ataque; Escalabilidade; Baixa taxa de falsos positivos; Boa usabilidade no ambiente de testes e resultados.

  25. UNIVERSIDADE FEDERAL DE SANTA CATARINA Curso de Sistemas de Informação REFERÊNCIAS BIBLIOGRÁFICAS T. H. Ptacek, T. N. Newsham, “Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection”, Secure Networks, Inc, January, 1999. M. Roesch “Snort – Lightweight Intrusion Detection for Networks”, Stanford Telecommunications, Inc, November, 2004. Y. Fyodor, “Snortnet – A Distributed Detection System”, Kyrgyz Russian Slavic University, June 26, 2005 SecurityFocus – http://www.securityfocus.com OpenSSL - http://www.openssl.com RFC2828 - Internet Security Glossary RFC2196 - Site Security Handbook Ravel - COPPE/UFRJ 10 de dezembro, 2000 44 IETF - Internet Engineering Task Force - – http://www.ietf.org ArachNIDS - http://www.whitehats.com FIM

More Related