IDS - Sistemas de Detecção de Intrusão (Intrusion Detection System)
TRABALHO IDS
-
Upload
tiago-castro -
Category
Technology
-
view
547 -
download
0
description
Transcript of TRABALHO IDS
Sistemas de Detecção de Intrusão (IDS)
Introdução Bolsões de segurança: Provimento de
serviço para usuários internos e externos; O firewall pode funcionar como uma 1ª linha
de defesa. A autenticação também é importante;
O IDS: provê uma forma de monitorar usuários internos e externos:
Introdução Intrusão pode ser definido como qualquer
conjunto de ações, que tentem comprometer a integridade, confidencialidade, ou disponibilidade de um recurso computacional;
As respostas providas pelo IDS têm a função de alertar ao administrador do sistema a ocorrência de um ataque
Introdução
Introdução Um IDS tem por objetivo detectar atividades
suspeitas, impróprias, incorretas ou anômalas. Trata-se de um elemento muito importante na defesa de uma organização;
Capaz de detectar ataques realizados por meio de portas legítimas, ou qualquer comportamento previamente autorizado, mesmo que seja previamente controlado pelo firewall;
Características Um IDS funciona de acordo com uma série
de funções que, trabalhando de modo integrado, é capaz de detectar, analisar e responder atividades suspeitas:
Funções do IDS
Coleta de Informações;
Análise das Informações coletadas;
Armazenamento das informações;
Resposta às atividades suspeitas
Características
O firewall libera conexões e o IDS detecta, notifica e responde a tráfegos
Bloquear conexão
Firewall
Conexão
Permitir conexão
IDS
Tráfego Suspeito
Tráfego Legítimo
Detectar;
Analisar;
Responder
Características Após a detecção da tentativa de ataque, uma das
ações pode ser tomada: Reconfiguração do firewall; Alarme; Aviso SNMP para sistemas de gerenciamento de redes Evento do Windows; Geração de logs; Gravação das informações sob ataque; Gravação das evidências do ataque; Finalização da conexão; Etc...
Metodologia de Detecção de Intrusão Detecção por Anomalias
Tem por objetivo identificar desvios de padrão de utilização de recursos. Partindo da premissa de que cada usuário possui um perfil de utilização de recursos, qualquer desvio significativo pode indicar um ataque;
Metodologia de Detecção de Intrusão Detecção por Anomalias
Intrusiva e anômala (verdadeiros positivos); Intrusiva e não anômala (falsos negativos); Não intrusiva e anômala (falsos positivos) Não intrusiva e não anômala (verdadeiros
negativos)
Metodologia de Detecção de Intrusão Detecção por Assinaturas:
Mais utilizadas nos IDSs; Gera menos falsos positivos do que os sistemas
que utilizam sistemas de detecção de intrusão por anomalia;
Uma base de dados que contém informações de padrões de ataques (assinaturas) é utilizada para fazer comparações
Metodologia de Detecção de Intrusão Detecção por Assinaturas:
Normalmente as assinaturas são constituídas de uma sequência específica de comandos de sistema
GET /scripts/root.exe?/c+dir GET /MSADC/root.exe?/c+dir GET /c/winnt/system32/cmd.exe?/c+dir GET /d/winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir ....
Assinatura do NIMDA
Metodologia de Detecção de Intrusão Detecção por Assinaturas:
Detecção de Intrusão através de sistemas especialistas;
Reconhecimento de padrões estatísticos; Probabilidade condicional
Classificação de Intrusão baseada no tipo de análise Host-Based Intrusion Detection
Fazem o monitoramento de um sistema com base em eventos registrados nos arquivos de logs Uso dos CPUs; Modificações nos privilégios dos usuários; Acessos e modificações em arquivos em sistemas; Processos do sistema; Programas que estão sendo executados
Classificação de Intrusão baseada no tipo de análise Host-Based Intrusion Detection
Principais vantagens: Não precisam de hardware adicional’; São independetes de topologia de rede; Geram poucos falsos positivos; Ataques que ocorrem fisicamente podem ser detectados;
Principais desvantagens: Dependência do sistema operacional Incapacidade de detectar ataques de rede; O host monitorado apresenta perda de desempenho
Classificação de Intrusão baseada no tipo de análise Network-Based Intrusion Detection
Monitoram o tráfego de pacotes na rede onde os recursos estão situados;
O monitoramento do se dá mediante a captura de pacotes e a posterior análise de seus conteúdos
Classificação de Intrusão baseada no tipo de análise Network-Based Intrusion Detection
Vantagens: Não causa impacto no desempenho da rede; Ataques podem ser identificados em tempo real; Eficiência na detecção de port scanning; É possível detectar tentativas de ataque
Desvantagens: Incapacidade de monitorar informações criptografadas; Pode haver perdas de pacotes em redes congestionados;