A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Daniel José da Silva Neto Lucas Henrique Mauricio Victor Pereira da Costa Redes de Computadores I2011-1 Professor Otto Carlos Muniz Bandeira Duarte.

Apresentações semelhantes


Apresentação em tema: "Daniel José da Silva Neto Lucas Henrique Mauricio Victor Pereira da Costa Redes de Computadores I2011-1 Professor Otto Carlos Muniz Bandeira Duarte."— Transcrição da apresentação:

1 Daniel José da Silva Neto Lucas Henrique Mauricio Victor Pereira da Costa Redes de Computadores I Professor Otto Carlos Muniz Bandeira Duarte

2 Introdução Sistemas e aplicativos modernos Complexos e dinâmicos Falhas de segurança Ataques de intrusão Sofisticados e perigosos Automatizados Necessidade Detecção de intrusão

3 Definições Intrusão Acessar ou manipular informações não autorizadas Confidencialidade Integridade Tornar um sistema inseguro ou inutilizável Disponibilidade Detecção de intrusão Monitorar eventos que ocorrem em um computador ou rede Analisar eventos em busca de sinais de intrusão Sistemas de Detecção de Intrusão (SDI) Automatizar processos de análise

4 História Antes da década de 80 Logs de auditoria Análise manual Aumento do volume Década de 80 Pesquisa em análise automática IDES (Intrusion Detection Expert System) Base para sistemas modernos Final da década de 80 Sistemas comerciais Sistemas baseados em rede Usado por sistemas atuais

5 História Logs de auditoria Análise manual - Aumento do volume Pesquisa em análise automática IDES (Intrusion Detection Expert System) - Base para sistemas modernos Sistemas comerciais Sistemas baseados em rede - Usado por sistemas atuais

6 Componentes Três componentes funcionais fundamentais Fonte de informação Coleta de dados Rede Estação Aplicação Análise Organização e tratamento dos dados Assinatura Anomalia Resposta Conjunto de ações tomadas Ativa Passiva

7 Métodos de monitoração Baseado em Rede Utiliza pacotes da rede A maioria dos SDIs são baseados em rede Vantagens Grande abrangência com poucos agentes Pode ser invisível a atacantes Desvantagens Perda de desempenho em alto tráfego Não analisa informação criptografada Diminuição da taxa de transmissão

8

9 Métodos de monitoração Baseado em Estação Utiliza informações coletadas na estação Vantagens Detecta ataques baseados em falhas de integridade Analisa informação criptografada Desvantagens Necessidade de configuração em cada estação Redução de desempenho do sistema monitorado

10

11 Métodos de monitoração Baseado em Aplicação Subconjunto do sistema baseado em estação Analisam eventos que ocorrem dentro de aplicações Vantagens Trata informações criptografadas Monitora a interação usuário-aplicação Desvantagens Logs menos detalhados Vulnerável a ataques que modifiquem os logs

12 Métodos de análise Detecção por Assinatura Utilizada na maioria dos sistemas comerciais Procura por eventos que se encaixem em padrões Vantagem Poucos falsos positivos Desvantagens Detecta apenas ataques conhecidos Necessidade de constantes atualizações

13 Métodos de análise Detecção de Anomalia Procura por anomalia nos padrões de uso Comportamento do usuário e dos atacantes são diferentes Vantagem Detecta ataques não previamente conhecidos Desvantagens Necessita de treinamento Quantidade elevada de falsos positivos Comportamentos imprevisíveis de usuários

14 Respostas Ativas Coleta de informações adicionais Aumento do nível de sensibilidade das fontes de informação Modificação do ambiente Término da conexão atacante-vítima Bloqueio de acessos subseqüentes Tomada de decisões contra o intruso Contra ataque Pode representar riscos legais

15 Respostas Passivas Alarmes e notificações Informação sobre a ocorrência de ataques Popup Notificação Remota SNMP Envio de alertas para os consoles de gerência

16 Sistemas Existentes ISS (Internet Security System) Tempo real Híbrido de SDIR e SDIE Análise por assinaturas Respostas ativas e/ou passivas Possui um módulo administrador Cisco Intrusion Detection Análise do tráfego da rede Baseado em assinaturas Permite a reconfiguração das rotas ao detectar uma intrusão Pode ser alvo de DoS

17 Sistemas Existentes Tripwire Avalia a integridade dos arquivos Não responde a uma intrusão Base de dados deve ser protegida Configuração dificultada em grandes sistemas Snort Código aberto Grande popularidade Tempo real Respostas passivas Baseado em assinaturas

18 Sistemas Existentes ISS (Internet Security System) Tempo real Híbrido de SDIR e SDIE Análise por assinaturas Respostas ativas e/ou passivas Possui um módulo administrador

19 Conclusão Detectar e prevenir intrusões é essencial Detecção por assinaturas depende de atualizações Detecção de anomalias apresenta alta taxa de alarmes falsos Necessidade de se definir o comportamento normal Adaptável a cada ambiente Necessidade de se definir o comportamento intrusivo Garantir margem ao comportamento normal

20 Perguntas 1.Qual a necessidade do uso de SDI? 2.Cite vantagens e desvantagens de um sistema de detecção baseado em rede e baseado na estação. 3.Qual a principal dificuldade em implantar um sistema baseado em detecção de anomalias? 4.Por que a maioria dos sistemas comercias se baseia em detecção por assinaturas? Qual a desvantagem desta técnica? 5.Qual o risco de um SDI que bloqueia o acesso ao detectar uma intrusão?

21 Respostas (1) Criar sistemas e aplicativos impérvios à intrusos é praticamente impossível, pois estes são muito complexos e dinâmicos. Além disso, a sofisticação e automação dos ataques tem crescido, aumentando muito o risco dos mesmos. Para resolver esse dilema, foram criados sistemas especialistas na detecção desses intrusos, os SDIs.

22 Perguntas 1.Qual a necessidade do uso de SDI? 2.Cite vantagens e desvantagens de um sistema de detecção baseado em rede e baseado na estação. 3.Qual a principal dificuldade em implantar um sistema baseado em detecção de anomalias? 4.Por que a maioria dos sistemas comercias se baseia em detecção por assinaturas? Qual a desvantagem desta técnica? 5.Qual o risco de um SDI que bloqueia o acesso ao detectar uma intrusão?

23 Respostas (2) Um sistema baseado em redes tem a vantagem de ter uma visão geral do sistema vigiado, permitindo que poucas estações bem posicionadas monitorem toda a rede. Entretanto, não pode detectar ataques criptografados, e podem falhar em períodos de alto tráfego, pois não consegue processar todos os pacotes Um sistema baseado na estação possui uma visão mais local, e, portanto, podem detectar alguns ataques que o sistema baseado em redes encontra dificuldade, como ataques criptografados e os baseados em certas brechas nos softwares. Suas principais desvantagens são o consumo de recursos da estação, diminuindo o desempenho, e a dificuldade de gerência por causa do fato de ele ser naturalmente distribuído.

24 Perguntas 1.Qual a necessidade do uso de SDI? 2.Cite vantagens e desvantagens de um sistema de detecção baseado em rede e baseado na estação. 3.Qual a principal dificuldade em implantar um sistema baseado em detecção de anomalias? 4.Por que a maioria dos sistemas comercias se baseia em detecção por assinaturas? Qual a desvantagem desta técnica? 5.Qual o risco de um SDI que bloqueia o acesso ao detectar uma intrusão?

25 Respostas (3) Para conhecer o estado normal do sistema monitorado, o SDI deve ser treinado sob trafego normal, que pode ser muito ruidoso ou de difícil caracterização, prejudicando o desempenho da detecção de intrusão.

26 Perguntas 1.Qual a necessidade do uso de SDI? 2.Cite vantagens e desvantagens de um sistema de detecção baseado em rede e baseado na estação. 3.Qual a principal dificuldade em implantar um sistema baseado em detecção de anomalias? 4.Por que a maioria dos sistemas comercias se baseia em detecção por assinaturas? Qual a desvantagem desta técnica? 5.Qual o risco de um SDI que bloqueia o acesso ao detectar uma intrusão?

27 Respostas (4) A detecção por assinatura tem um desempenho melhor quando sujeita à ataques conhecidos, detectando grande parte desses e tendo uma taxa menor de falsos negativos. Entretanto, ele não possui defesas contra ataques novos, e depende de atualizações constantes.

28 Perguntas 1.Qual a necessidade do uso de SDI? 2.Cite vantagens e desvantagens de um sistema de detecção baseado em rede e baseado na estação. 3.Qual a principal dificuldade em implantar um sistema baseado em detecção de anomalias? 4.Por que a maioria dos sistemas comercias se baseia em detecção por assinaturas? Qual a desvantagem desta técnica? 5.Qual o risco de um SDI que bloqueia o acesso ao detectar uma intrusão?

29 Respostas (5) Se o SDI bloqueia acessos, um alarme falso pode resultar no corte ao acesso de um usuário legítimo. Se a taxa de falsos positivos for alta, o SDI pode provocar uma negação de serviço no próprio sistema monitorado.

30 Referências [1] McHugh, J.;, "Intrusion and intrusion detection", International Journal of Information Security, Aug [2] Bace, R.; Mell, P.;, "Intrusion detection systems", [3] Mazzariello, C.; Oliviero, F.;, "An Autonomic Intrusion Detection System Based on Behavioral Network Engineering", INFOCOM th IEEE International Conference on Computer Communications. Proceedings, vol., no., pp.1-2, April [4] Hofmeyr, S.A.; Forrest, S.; Somayaji, A.;, "Intrusion detection using sequences of system calls", in J. Comput. Secur. 6, 3 (August 1998), [5] Mo, Y.; Ma, Y.; Xu, L.;, "Design and implementation of intrusion detection based on mobile agents", IT in Medicine and Education, ITME IEEE International Symposium on, vol., no., pp , Dec [6] IBM Internet Security Systems. Disponível em:. Acessado em: 14 jun [7] Cisco Intrusion Detection. Disponível em:. Acessado em: 14 jun [8] Tripwire, File Integrity Manager. Disponível em:. Acessado em: 14 jun [9] Snort. Disponível em:. Acessado em: 14 jun. 2011

31 Daniel José da Silva Neto Lucas Henrique Mauricio Victor Pereira da Costa Redes de Computadores I Professor Otto Carlos Muniz Bandeira Duarte


Carregar ppt "Daniel José da Silva Neto Lucas Henrique Mauricio Victor Pereira da Costa Redes de Computadores I2011-1 Professor Otto Carlos Muniz Bandeira Duarte."

Apresentações semelhantes


Anúncios Google