Curso Superior de Tecnologia em Redes de ComputadoresDisciplina - Segurança de RedesUnidade 3 – Segurança Perimetral(IDS/IPS)

Prof. Leandro Cavalcanti de Almeidalcavalcanti.almeida@gmail.com

@leandrocalmeida

Invasão:“... ato de entrar à força ou hostilmente em um lugar...”

Dicionário Aurélio

Detecção de Invasão:“... detectar uma entrada

não autorizada de um computador em uma

rede...”Casell, B. Snort 2

Sistema de Detecção de Invasão

Sistema de Detecção de Invasão baseado em Rede

Sistema de Detecção de Invasão baseado em Host

Sistema de Detecção de Invasão Distribuído

SDI de Rede

- Monitora segmentos de rede- A placa de rede opera em modo promíscuo- A idéia é espelhar o tráfego de rede em uma porta do switch e conectar o SDI de rede nela

SDI de Host

- Monitora apenas o host- A placa de rede não opera em modo promíscuo- Possibilidade de personalizar regras específicas para o host

SDI Distribuído

- Arquitetura gerenciador/investigação- Utiliza sensores na rede que reportam logs de ataques- Necessidade de uma estação de gerenciamento centralizada

SNORT

- SDI de Rede- Versão enterprise e versão comunidade- Possui regras para P2P, DoS, Web attack, Malwares, ...- Recursos

- Farejador de pacortes- Registro de pacotes- Detecção de invasão

SNORT

Componentes - Farejador- Pré-processador- Mecanismo de detecção- Saída

HLBR

- Projeto brasileiro, derivado do Hogwash- O HLBR é um IPS (Intrusion Prevention System)- Capaz de filtrar pacotes diretamente na camada 2- Não utiliza a pilha TCP/IP do S.O (invisível na rede)- Baseado em regras

Site Oficial:

http://hlbr.sourceforge.net/