Comunicao Fim-a-Fim a Alta Velocidade em Redes Gigabit

Respostas (5)Se o SDI bloqueia acessos, um alarme falso pode resultar no corte ao acesso de um usurio legtimo. Se a taxa de falsos positivos for alta, o SDI pode provocar uma negao de servio no prprio sistema monitorado.IntroduoSistemas e aplicativos modernosComplexos e dinmicosFalhas de seguranaAtaques de intrusoSofisticados e perigososAutomatizadosNecessidadeDeteco de intruso

DefiniesIntrusoAcessar ou manipular informaes no autorizadasConfidencialidadeIntegridadeTornar um sistema inseguro ou inutilizvelDisponibilidadeDeteco de intrusoMonitorar eventos que ocorrem em um computador ou redeAnalisar eventos em busca de sinais de intrusoSistemas de Deteco de Intruso (SDI)Automatizar processos de anlise

HistriaAntes da dcada de 80Logs de auditoriaAnlise manualAumento do volumeDcada de 80Pesquisa em anlise automticaIDES (Intrusion Detection Expert System)Base para sistemas modernosFinal da dcada de 80Sistemas comerciaisSistemas baseados em redeUsado por sistemas atuais

Histria Logs de auditoria Anlise manual- Aumento do volume

19801990 Pesquisa em anlise automtica IDES (Intrusion Detection Expert System)- Base para sistemas modernos Sistemas comerciais Sistemas baseados em rede- Usado por sistemas atuaisComponentesTrs componentes funcionais fundamentaisFonte de informaoColeta de dadosRedeEstaoAplicaoAnliseOrganizao e tratamento dos dadosAssinaturaAnomaliaRespostaConjunto de aes tomadasAtivaPassiva

Mtodos de monitoraoBaseado em RedeUtiliza pacotes da redeA maioria dos SDIs so baseados em redeVantagensGrande abrangncia com poucos agentesPode ser invisvel a atacantesDesvantagensPerda de desempenho em alto trfegoNo analisa informao criptografadaDiminuio da taxa de transmisso

Mtodos de monitoraoBaseado em EstaoUtiliza informaes coletadas na estaoVantagensDetecta ataques baseados em falhas de integridadeAnalisa informao criptografadaDesvantagensNecessidade de configurao em cada estaoReduo de desempenho do sistema monitorado

Mtodos de monitoraoBaseado em AplicaoSubconjunto do sistema baseado em estaoAnalisam eventos que ocorrem dentro de aplicaesVantagensTrata informaes criptografadasMonitora a interao usurio-aplicaoDesvantagensLogs menos detalhadosVulnervel a ataques que modifiquem os logs

Mtodos de anliseDeteco por AssinaturaUtilizada na maioria dos sistemas comerciaisProcura por eventos que se encaixem em padresVantagemPoucos falsos positivosDesvantagensDetecta apenas ataques conhecidosNecessidade de constantes atualizaesMtodos de anliseDeteco de AnomaliaProcura por anomalia nos padres de usoComportamento do usurio e dos atacantes so diferentesVantagemDetecta ataques no previamente conhecidosDesvantagensNecessita de treinamentoQuantidade elevada de falsos positivosComportamentos imprevisveis de usuriosRespostasAtivasColeta de informaes adicionaisAumento do nvel de sensibilidade das fontes de informaoModificao do ambienteTrmino da conexo atacante-vtimaBloqueio de acessos subseqentes Tomada de decises contra o intrusoContra ataquePode representar riscos legaisRespostasPassivasAlarmes e notificaesInformao sobre a ocorrncia de ataquesPopupNotificao RemotaSNMPEnvio de alertas para os consoles de gernciaSistemas ExistentesISS (Internet Security System)Tempo realHbrido de SDIR e SDIEAnlise por assinaturasRespostas ativas e/ou passivasPossui um mdulo administrador

Cisco Intrusion DetectionAnlise do trfego da redeBaseado em assinaturasPermite a reconfigurao das rotas ao detectar uma intrusoPode ser alvo de DoS

Sistemas ExistentesTripwireAvalia a integridade dos arquivosNo responde a uma intrusoBase de dados deve ser protegidaConfigurao dificultada em grandes sistemas

SnortCdigo abertoGrande popularidadeTempo realRespostas passivasBaseado em assinaturas

Sistemas ExistentesISS (Internet Security System)Tempo realHbrido de SDIR e SDIEAnlise por assinaturasRespostas ativas e/ou passivasPossui um mdulo administradorConclusoDetectar e prevenir intruses essencialDeteco por assinaturas depende de atualizaesDeteco de anomalias apresenta alta taxa de alarmes falsosNecessidade de se definir o comportamento normalAdaptvel a cada ambienteNecessidade de se definir o comportamento intrusivoGarantir margem ao comportamento normalPerguntasQual a necessidade do uso de SDI?Cite vantagens e desvantagens de um sistema de deteco baseado em rede e baseado na estao.Qual a principal dificuldade em implantar um sistema baseado em deteco de anomalias?Por que a maioria dos sistemas comercias se baseia em deteco por assinaturas? Qual a desvantagem desta tcnica?Qual o risco de um SDI que bloqueia o acesso ao detectar uma intruso? Respostas (1)Criar sistemas e aplicativos imprvios intrusos praticamente impossvel, pois estes so muito complexos e dinmicos. Alm disso, a sofisticao e automao dos ataques tem crescido, aumentando muito o risco dos mesmos. Para resolver esse dilema, foram criados sistemas especialistas na deteco desses intrusos, os SDIs.PerguntasQual a necessidade do uso de SDI?Cite vantagens e desvantagens de um sistema de deteco baseado em rede e baseado na estao.Qual a principal dificuldade em implantar um sistema baseado em deteco de anomalias?Por que a maioria dos sistemas comercias se baseia em deteco por assinaturas? Qual a desvantagem desta tcnica?Qual o risco de um SDI que bloqueia o acesso ao detectar uma intruso? Respostas (2) Um sistema baseado em redes tem a vantagem de ter uma viso geral do sistema vigiado, permitindo que poucas estaes bem posicionadas monitorem toda a rede. Entretanto, no pode detectar ataques criptografados, e podem falhar em perodos de alto trfego, pois no consegue processar todos os pacotes Um sistema baseado na estao possui uma viso mais local, e, portanto, podem detectar alguns ataques que o sistema baseado em redes encontra dificuldade, como ataques criptografados e os baseados em certas brechas nos softwares. Suas principais desvantagens so o consumo de recursos da estao, diminuindo o desempenho, e a dificuldade de gerncia por causa do fato de ele ser naturalmente distribudo.PerguntasQual a necessidade do uso de SDI?Cite vantagens e desvantagens de um sistema de deteco baseado em rede e baseado na estao.Qual a principal dificuldade em implantar um sistema baseado em deteco de anomalias?Por que a maioria dos sistemas comercias se baseia em deteco por assinaturas? Qual a desvantagem desta tcnica?Qual o risco de um SDI que bloqueia o acesso ao detectar uma intruso? Respostas (3)Para conhecer o estado normal do sistema monitorado, o SDI deve ser treinado sob trafego normal, que pode ser muito ruidoso ou de difcil caracterizao, prejudicando o desempenho da deteco de intruso.PerguntasQual a necessidade do uso de SDI?Cite vantagens e desvantagens de um sistema de deteco baseado em rede e baseado na estao.Qual a principal dificuldade em implantar um sistema baseado em deteco de anomalias?Por que a maioria dos sistemas comercias se baseia em deteco por assinaturas? Qual a desvantagem desta tcnica?Qual o risco de um SDI que bloqueia o acesso ao detectar uma intruso? Respostas (4)A deteco por assinatura tem um desempenho melhor quando sujeita ataques conhecidos, detectando grande parte desses e tendo uma taxa menor de falsos negativos. Entretanto, ele no possui defesas contra ataques novos, e depende de atualizaes constantes.PerguntasQual a necessidade do uso de SDI?Cite vantagens e desvantagens de um sistema de deteco baseado em rede e baseado na estao.Qual a principal dificuldade em implantar um sistema baseado em deteco de anomalias?Por que a maioria dos sistemas comercias se baseia em deteco por assinaturas? Qual a desvantagem desta tcnica?Qual o risco de um SDI que bloqueia o acesso ao detectar uma intruso? Referncias[1] McHugh, J.; , "Intrusion and intrusion detection", International Journal of Information Security, Aug. 2001. [2] Bace, R.; Mell, P.; , "Intrusion detection systems", 2001. [3] Mazzariello, C.; Oliviero, F.; , "An Autonomic Intrusion Detection System Based on Behavioral Network Engineering" , INFOCOM 2006. 25th IEEE International Conference on Computer Communications. Proceedings , vol., no., pp.1-2, 23-29 April 2006. [4] Hofmeyr, S.A.; Forrest, S.; Somayaji, A.; , "Intrusion detection using sequences of system calls", in J. Comput. Secur. 6, 3 (August 1998), 151-180. [5] Mo, Y.; Ma, Y.; Xu, L.; , "Design and implementation of intrusion detection based on mobile agents", IT in Medicine and Education, 2008. ITME 2008. IEEE International Symposium on , vol., no., pp.278-281, 12-14 Dec. 2008 [6] IBM Internet Security Systems. Disponvel em: < www.iss.net >. Acessado em: 14 jun. 2011 [7] Cisco Intrusion Detection. Disponvel em: . Acessado em: 14 jun. 2011 [8] Tripwire, File Integrity Manager. Disponvel em: < www.tripwire.com >. Acessado em: 14 jun. 2011 [9] Snort. Disponvel em: < www.snort.org >. Acessado em: 14 jun. 2011 Sistemas de Deteco de IntrusoDaniel Jos da Silva NetoLucas Henrique MauricioVictor Pereira da CostaRedes de Computadores I2011-1Professor Otto Carlos Muniz Bandeira Duarte