A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Sistemas de Detecção de Intrusão

PublicouThiago Alamo Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Sistemas de Detecção de Intrusão"— Transcrição da apresentação:

1 Sistemas de Detecção de Intrusão
Daniel José da Silva Neto Lucas Henrique Mauricio Victor Pereira da Costa Redes de Computadores I 2011-1 Professor Otto Carlos Muniz Bandeira Duarte

2 Introdução Sistemas e aplicativos modernos Ataques de intrusão
Complexos e dinâmicos Falhas de segurança Ataques de intrusão Sofisticados e perigosos Automatizados Necessidade Detecção de intrusão

3 Definições Intrusão Detecção de intrusão
Acessar ou manipular informações não autorizadas Confidencialidade Integridade Tornar um sistema inseguro ou inutilizável Disponibilidade Detecção de intrusão Monitorar eventos que ocorrem em um computador ou rede Analisar eventos em busca de sinais de intrusão Sistemas de Detecção de Intrusão (SDI) Automatizar processos de análise

4 História Antes da década de 80 Década de 80 Final da década de 80
Logs de auditoria Análise manual Aumento do volume Década de 80 Pesquisa em análise automática IDES (Intrusion Detection Expert System) Base para sistemas modernos Final da década de 80 Sistemas comerciais Sistemas baseados em rede Usado por sistemas atuais

5 História Logs de auditoria Sistemas comerciais Análise manual
- Aumento do volume Sistemas comerciais Sistemas baseados em rede - Usado por sistemas atuais Pesquisa em análise automática IDES (Intrusion Detection Expert System) - Base para sistemas modernos 1980 1990

6 Componentes Três componentes funcionais fundamentais
Fonte de informação Coleta de dados Rede Estação Aplicação Análise Organização e tratamento dos dados Assinatura Anomalia Resposta Conjunto de ações tomadas Ativa Passiva

7 Métodos de monitoração
Baseado em Rede Utiliza pacotes da rede A maioria dos SDI’s são baseados em rede Vantagens Grande abrangência com poucos agentes Pode ser invisível a atacantes Desvantagens Perda de desempenho em alto tráfego Não analisa informação criptografada Diminuição da taxa de transmissão

8

9 Métodos de monitoração
Baseado em Estação Utiliza informações coletadas na estação Vantagens Detecta ataques baseados em falhas de integridade Analisa informação criptografada Desvantagens Necessidade de configuração em cada estação Redução de desempenho do sistema monitorado

10

11 Métodos de monitoração
Baseado em Aplicação Subconjunto do sistema baseado em estação Analisam eventos que ocorrem dentro de aplicações Vantagens Trata informações criptografadas Monitora a interação usuário-aplicação Desvantagens Logs menos detalhados Vulnerável a ataques que modifiquem os logs

12 Métodos de análise Detecção por Assinatura
Utilizada na maioria dos sistemas comerciais Procura por eventos que se encaixem em padrões Vantagem Poucos falsos positivos Desvantagens Detecta apenas ataques conhecidos Necessidade de constantes atualizações

13 Métodos de análise Detecção de Anomalia
Procura por anomalia nos padrões de uso Comportamento do usuário e dos atacantes são diferentes Vantagem Detecta ataques não previamente conhecidos Desvantagens Necessita de treinamento Quantidade elevada de falsos positivos Comportamentos imprevisíveis de usuários

14 Respostas Ativas Coleta de informações adicionais
Aumento do nível de sensibilidade das fontes de informação Modificação do ambiente Término da conexão atacante-vítima Bloqueio de acessos subseqüentes Tomada de decisões contra o intruso Contra ataque Pode representar riscos legais

15 Respostas Passivas Alarmes e notificações
Informação sobre a ocorrência de ataques Popup Notificação Remota SNMP Envio de alertas para os consoles de gerência

16 Sistemas Existentes ISS (Internet Security System) Tempo real
Híbrido de SDIR e SDIE Análise por assinaturas Respostas ativas e/ou passivas Possui um módulo administrador Cisco Intrusion Detection Análise do tráfego da rede Baseado em assinaturas Permite a reconfiguração das rotas ao detectar uma intrusão Pode ser alvo de DoS

17 Sistemas Existentes Tripwire Avalia a integridade dos arquivos
Não responde a uma intrusão Base de dados deve ser protegida Configuração dificultada em grandes sistemas Snort Código aberto Grande popularidade Tempo real Respostas passivas Baseado em assinaturas

18 Sistemas Existentes ISS (Internet Security System) Tempo real
Híbrido de SDIR e SDIE Análise por assinaturas Respostas ativas e/ou passivas Possui um módulo administrador

19 Conclusão Detectar e prevenir intrusões é essencial
Detecção por assinaturas depende de atualizações Detecção de anomalias apresenta alta taxa de alarmes falsos Necessidade de se definir o comportamento “normal” Adaptável a cada ambiente Necessidade de se definir o comportamento intrusivo Garantir margem ao comportamento “normal”

20 Perguntas Qual a necessidade do uso de SDI?
Cite vantagens e desvantagens de um sistema de detecção baseado em rede e baseado na estação. Qual a principal dificuldade em implantar um sistema baseado em detecção de anomalias? Por que a maioria dos sistemas comercias se baseia em detecção por assinaturas? Qual a desvantagem desta técnica? Qual o risco de um SDI que bloqueia o acesso ao detectar uma intrusão?

21 Respostas (1) Criar sistemas e aplicativos impérvios à intrusos é praticamente impossível, pois estes são muito complexos e dinâmicos. Além disso, a sofisticação e automação dos ataques tem crescido, aumentando muito o risco dos mesmos. Para resolver esse dilema, foram criados sistemas especialistas na detecção desses intrusos, os SDI’s.

22 Perguntas Qual a necessidade do uso de SDI?
Cite vantagens e desvantagens de um sistema de detecção baseado em rede e baseado na estação. Qual a principal dificuldade em implantar um sistema baseado em detecção de anomalias? Por que a maioria dos sistemas comercias se baseia em detecção por assinaturas? Qual a desvantagem desta técnica? Qual o risco de um SDI que bloqueia o acesso ao detectar uma intrusão?

23 Respostas (2) Um sistema baseado em redes tem a vantagem de ter uma visão geral do sistema vigiado, permitindo que poucas estações bem posicionadas monitorem toda a rede. Entretanto, não pode detectar ataques criptografados, e podem falhar em períodos de alto tráfego, pois não consegue processar todos os pacotes Um sistema baseado na estação possui uma visão mais local, e, portanto, podem detectar alguns ataques que o sistema baseado em redes encontra dificuldade, como ataques criptografados e os baseados em certas brechas nos softwares. Suas principais desvantagens são o consumo de recursos da estação, diminuindo o desempenho, e a dificuldade de gerência por causa do fato de ele ser naturalmente distribuído.

24 Perguntas Qual a necessidade do uso de SDI?
Cite vantagens e desvantagens de um sistema de detecção baseado em rede e baseado na estação. Qual a principal dificuldade em implantar um sistema baseado em detecção de anomalias? Por que a maioria dos sistemas comercias se baseia em detecção por assinaturas? Qual a desvantagem desta técnica? Qual o risco de um SDI que bloqueia o acesso ao detectar uma intrusão?

25 Respostas (3) Para conhecer o estado normal do sistema monitorado, o SDI deve ser treinado sob trafego normal, que pode ser muito ruidoso ou de difícil caracterização, prejudicando o desempenho da detecção de intrusão.

26 Perguntas Qual a necessidade do uso de SDI?
Cite vantagens e desvantagens de um sistema de detecção baseado em rede e baseado na estação. Qual a principal dificuldade em implantar um sistema baseado em detecção de anomalias? Por que a maioria dos sistemas comercias se baseia em detecção por assinaturas? Qual a desvantagem desta técnica? Qual o risco de um SDI que bloqueia o acesso ao detectar uma intrusão?

27 Respostas (4) A detecção por assinatura tem um desempenho melhor quando sujeita à ataques conhecidos, detectando grande parte desses e tendo uma taxa menor de falsos negativos. Entretanto, ele não possui defesas contra ataques novos, e depende de atualizações constantes.

28 Perguntas Qual a necessidade do uso de SDI?
Cite vantagens e desvantagens de um sistema de detecção baseado em rede e baseado na estação. Qual a principal dificuldade em implantar um sistema baseado em detecção de anomalias? Por que a maioria dos sistemas comercias se baseia em detecção por assinaturas? Qual a desvantagem desta técnica? Qual o risco de um SDI que bloqueia o acesso ao detectar uma intrusão?

29 Respostas (5) Se o SDI bloqueia acessos, um alarme falso pode resultar no corte ao acesso de um usuário legítimo. Se a taxa de falsos positivos for alta, o SDI pode provocar uma negação de serviço no próprio sistema monitorado.

30 Referências [1] McHugh, J.; , "Intrusion and intrusion detection", International Journal of Information Security, Aug [2] Bace, R.; Mell, P.; , "Intrusion detection systems", 2001. [3] Mazzariello, C.; Oliviero, F.; , "An Autonomic Intrusion Detection System Based on Behavioral Network Engineering" , INFOCOM th IEEE International Conference on Computer Communications. Proceedings , vol., no., pp.1-2, April 2006. [4] Hofmeyr, S.A.; Forrest, S.; Somayaji, A.; , "Intrusion detection using sequences of system calls", in J. Comput. Secur. 6, 3 (August 1998), [5] Mo, Y.; Ma, Y.; Xu, L.; , "Design and implementation of intrusion detection based on mobile agents", IT in Medicine and Education, ITME IEEE International Symposium on , vol., no., pp , Dec. 2008 [6] IBM Internet Security Systems. Disponível em: < >. Acessado em: 14 jun. 2011 [7] Cisco Intrusion Detection. Disponível em: < >. Acessado em: 14 jun. 2011 [8] Tripwire, File Integrity Manager. Disponível em: < >. Acessado em: 14 jun. 2011 [9] Snort. Disponível em: < >. Acessado em: 14 jun. 2011

31 Sistemas de Detecção de Intrusão
Daniel José da Silva Neto Lucas Henrique Mauricio Victor Pereira da Costa Redes de Computadores I 2011-1 Professor Otto Carlos Muniz Bandeira Duarte

Carregar ppt "Sistemas de Detecção de Intrusão"

Apresentações semelhantes

Agenda Introdução Justificativa Objetivo Detecção de Spam

Agenda Introdução Justificativa Objetivo Detecção de Spam
Modelos e Sistemas de Reputação

Modelos e Sistemas de Reputação
Introdução aos Sistemas de Informações Módulo 6

Introdução aos Sistemas de Informações Módulo 6
Pode ser uma máquina emulada ou uma máquina real na rede.

Pode ser uma máquina emulada ou uma máquina real na rede.
Sistema de Detecção de Intrusão.

Sistema de Detecção de Intrusão.
Mecanismo de Proteção (Prevenção e Detecção)

Mecanismo de Proteção (Prevenção e Detecção)
Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.

Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.
Sistema para Gerenciamento de Redes Baseado em Agentes Móveis

Sistema para Gerenciamento de Redes Baseado em Agentes Móveis
Sistemas de Detecção de Intrusão

Sistemas de Detecção de Intrusão
Uma arquitetura de segurança computacional inspirada no sistema imunológico Tese de doutorado Fabrício Sérgio de Paula.

Uma arquitetura de segurança computacional inspirada no sistema imunológico Tese de doutorado Fabrício Sérgio de Paula.
Segurança em Redes Elmar Melcher

Segurança em Redes Elmar Melcher
Criptografia e Segurança em Rede Capítulo 1

Criptografia e Segurança em Rede Capítulo 1
MECANISMOS DE SEGURANÇA

MECANISMOS DE SEGURANÇA
Simple Network Management Protocol (SNMP)

Simple Network Management Protocol (SNMP)
GERENCIAMENTO DE REDES

GERENCIAMENTO DE REDES
GERENCIAMENTO DE REDES

GERENCIAMENTO DE REDES
HellermannTyton Brasil Sistema de Gerenciamento Integrado HellermannTyton Brasil Sistema de Gerenciamento Integrado Alexandre Martins Consultor de Negócios.

HellermannTyton Brasil Sistema de Gerenciamento Integrado HellermannTyton Brasil Sistema de Gerenciamento Integrado Alexandre Martins Consultor de Negócios.
Gerência de Redes Áreas Funcionais de Gerenciamento

Gerência de Redes Áreas Funcionais de Gerenciamento
Monitoramento de logs e registros de sistemas

Monitoramento de logs e registros de sistemas
Felipe Moreira Reis Lapenda Disciplina de Segurança de Redes

Felipe Moreira Reis Lapenda Disciplina de Segurança de Redes

Apresentações semelhantes

Anúncios Google