ids
DESCRIPTION
IDS. Adriano SalgadoRA: 00073908 Alberi J. M. Vieira RA: 05363676. Sistema de Detecção de Intrusão. Sistema de Detecção de Intrusão. Introdução. - PowerPoint PPT PresentationTRANSCRIPT
IDS
● Adriano Salgado RA: 00073908● Alberi J. M. Vieira RA: 05363676
Sistema de Detecção de Intrusão.
Sistema de Detecção de Intrusão.
● Introdução.
O sistema de detecção de intrusão conhecido também como IDS é um sistema que após ser implantado tem como objetivo gerar notificações em situações onde for constatada alguma tentativa de intrusão ou o descumprimento das regras definidas na política de segurança.
Intrusão
– O que é?Alguém que tenta invadir um sistema ou fazer mau uso do mesmo.
– Classificação;● Intrusão devido ao mau uso ataques realizados a pontos
fracos do sistema.● Intrusão devido à mudança de padrão mudanças de uso em
relação ao padrão normal do sistema.
– Detecção;
• Utilização de CPU;• I/O de disco;• Uso de memória• Atividades dos
usuários;
• No de tentativas de login;• No de conexões;• Volume de dados trafegando no segmento de rede.
Sistema de Detecção de Intrusão.
● IDS - Intrusion Detection System. Detecta e notifica as tentativas de intrusão, analisando e
capturando os pacotes que estão trafegando na rede.
Procura identificar evidências de um ataque em andamento, podendo emitir alarmes, ou executar uma ação automática;
Pode ser um hardware, software ou a combinação dos dois.
Sistema de Detecção de Intrusão.
● Características:
– Funcionamento continuo;
– Tolerante a falhas;
– Monitorar a si próprio;
– Não impactar no funcionamento do sistema;
Sistema de Detecção de Intrusão.
● Características:
– Detectar mudanças em condições normais de funcionamento;
– Configuração de fácil adaptatividade;
– Permitir mudanças;
Sistema de Detecção de Intrusão.
● Classificação dos possíveis erros:
– Falso positivo;
– Falso negativo;
– Subversão;
Sistema de Detecção de Intrusão.
● HIDS - Host Intrusion Detection System.
Fazem o monitoramento de um sistema com base nos eventos registrados nos arquivos de logs ou eventos de auditoria.
Eventos frequentemente monitorados são:– Uso de CPU;– Modificação de Privilégios de Usuário;– Acessos e modificações em arquivos de sistema;– Processos do sistema;– Programas que estão sendo executados;– Registro.
Sistema de Detecção de Intrusão.
● HIDS - Host Intrusion Detection System.
Vantagens:– Não precisam de hardware adicional, pois residem no host
no qual estará sendo feito o monitoramento;– São independentes de topologia de rede;– Geram menos falso-positivos;– Ataques que ocorrem no sistema podem ser detectados.
Desvantagens:– Dependência do Sistema Operacional;– Incapacidade de detectar ataques de rede;– O host monitorado pode apresentar perda de desempenho;– Informações podem ser perdidas caso o host ou o HIDS
seja invadido.
Sistema de Detecção de Intrusão.
● NIDS - Network Intrusion Detection System.
Monitoram o tráfego de pacotes do segmento de rede
Captura os pacotes e analisa seus cabeçalhos e conteúdos.
Pode ser configurado por software ou por hardware em forma de um appliance com sensores conectados nos pontos da rede.
Sistema de Detecção de Intrusão.
● NIDS - Network Intrusion Detection System.
Itens frequentemente monitorados:– Ataques de redes;– Uso indevido de aplicações;– Tráfego suspeito;– Tráfego customizado (por origem, destino).
Posicionamento no Ambiente:– Antes do Filtro de Pacotes;– Depois do Filtro de Pacotes;– Em ambos os lados;– Em segmentos críticos.
Sistema de Detecção de Intrusão.
● NIDS - Network Intrusion Detection System.
Vantagens:– Não causam impacto no desempenho da rede (Apenas
‘escutam’);– Ataques podem ser identificados em tempo real;– Eficiência na detecção de port scanning;– Possibilidade de detectar tentativas de ataques e análise
do ambiente.
Desvantagens:– Incapacidade de monitorar informações criptografadas;– Pode haver perda de pacotes em redes congestionadas.
Sistema de Detecção de Intrusão.
● Modelo:
– CIDF - Common Intrusion Detection Framework.
● Comunicação:
– CISL - Common Intrusion Specification Language.
– GIDO - Generalized Intrusion Detection Objects.
Sistema de Detecção de Intrusão.
● CIDF - Common Intrusion Detection FrameworkE-boxes; Captura os pacotes da rede (TCP, UDP, ICMP) e entrega
aos módulos superiores Analisador de Eventos e Banco de Dados;
A-boxes; Cérebro do IDS, responsável por identificar o que é e o que não é um ataque através de assinaturas Equipamentos Dedicados à Segurança principalmente;
D-boxes; Armazena os ataques, ocorrências para usos posteriores e imediatos;
R-boxes; Responsável por tomar ações baseadas nos eventos. Deve ter acesso aos outros IDS e Firewalls (Alertar através de email, contra-atacar).
Sistema de Detecção de Intrusão.
● Conclusões.