IDS

IDS

● Adriano Salgado RA: 00073908● Alberi J. M. Vieira RA: 05363676

Sistema de Detecção de Intrusão.


● Introdução.

O sistema de detecção de intrusão conhecido também como IDS é um sistema que após ser implantado tem como objetivo gerar notificações em situações onde for constatada alguma tentativa de intrusão ou o descumprimento das regras definidas na política de segurança.

Intrusão

– O que é?Alguém que tenta invadir um sistema ou fazer mau uso do mesmo.

– Classificação;● Intrusão devido ao mau uso ataques realizados a pontos

fracos do sistema.● Intrusão devido à mudança de padrão mudanças de uso em

relação ao padrão normal do sistema.

– Detecção;

• Utilização de CPU;• I/O de disco;• Uso de memória• Atividades dos

usuários;

• No de tentativas de login;• No de conexões;• Volume de dados trafegando no segmento de rede.


● IDS - Intrusion Detection System. Detecta e notifica as tentativas de intrusão, analisando e

capturando os pacotes que estão trafegando na rede.

Procura identificar evidências de um ataque em andamento, podendo emitir alarmes, ou executar uma ação automática;

Pode ser um hardware, software ou a combinação dos dois.


● Características:

– Funcionamento continuo;

– Tolerante a falhas;

– Monitorar a si próprio;

– Não impactar no funcionamento do sistema;


● Características:

– Detectar mudanças em condições normais de funcionamento;

– Configuração de fácil adaptatividade;

– Permitir mudanças;


● Classificação dos possíveis erros:

– Falso positivo;

– Falso negativo;

– Subversão;


● HIDS - Host Intrusion Detection System.

Fazem o monitoramento de um sistema com base nos eventos registrados nos arquivos de logs ou eventos de auditoria.

Eventos frequentemente monitorados são:– Uso de CPU;– Modificação de Privilégios de Usuário;– Acessos e modificações em arquivos de sistema;– Processos do sistema;– Programas que estão sendo executados;– Registro.


● HIDS - Host Intrusion Detection System.

Vantagens:– Não precisam de hardware adicional, pois residem no host

no qual estará sendo feito o monitoramento;– São independentes de topologia de rede;– Geram menos falso-positivos;– Ataques que ocorrem no sistema podem ser detectados.

Desvantagens:– Dependência do Sistema Operacional;– Incapacidade de detectar ataques de rede;– O host monitorado pode apresentar perda de desempenho;– Informações podem ser perdidas caso o host ou o HIDS

seja invadido.


● NIDS - Network Intrusion Detection System.

Monitoram o tráfego de pacotes do segmento de rede

Captura os pacotes e analisa seus cabeçalhos e conteúdos.

Pode ser configurado por software ou por hardware em forma de um appliance com sensores conectados nos pontos da rede.



Itens frequentemente monitorados:– Ataques de redes;– Uso indevido de aplicações;– Tráfego suspeito;– Tráfego customizado (por origem, destino).

Posicionamento no Ambiente:– Antes do Filtro de Pacotes;– Depois do Filtro de Pacotes;– Em ambos os lados;– Em segmentos críticos.



Vantagens:– Não causam impacto no desempenho da rede (Apenas

‘escutam’);– Ataques podem ser identificados em tempo real;– Eficiência na detecção de port scanning;– Possibilidade de detectar tentativas de ataques e análise

do ambiente.

Desvantagens:– Incapacidade de monitorar informações criptografadas;– Pode haver perda de pacotes em redes congestionadas.


● Modelo:

– CIDF - Common Intrusion Detection Framework.

● Comunicação:

– CISL - Common Intrusion Specification Language.

– GIDO - Generalized Intrusion Detection Objects.


● CIDF - Common Intrusion Detection FrameworkE-boxes; Captura os pacotes da rede (TCP, UDP, ICMP) e entrega

aos módulos superiores Analisador de Eventos e Banco de Dados;

A-boxes; Cérebro do IDS, responsável por identificar o que é e o que não é um ataque através de assinaturas Equipamentos Dedicados à Segurança principalmente;

D-boxes; Armazena os ataques, ocorrências para usos posteriores e imediatos;

R-boxes; Responsável por tomar ações baseadas nos eventos. Deve ter acesso aos outros IDS e Firewalls (Alertar através de email, contra-atacar).


● Conclusões.

IDS

Documents

Transcript of IDS