A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;

Apresentações semelhantes


Apresentação em tema: "1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;"— Transcrição da apresentação:

1 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;

2 Introdução - Conceitos Detecção de Intrusão envolve: –Coletar e analisar informações; –Identificar e rastrear ataques; –Enviar respostas; Sistemas de Detecção de Intrusão (IDSs): –Ferramentas que executam a detecção de intrusão;

3 Introdução - Funcionamento Básico Consiste na monitoração de eventos –Rede, Host ou Aplicação; Visando identificar ataques; Ataques geram alertas; Opcionalmente podem ser enviadas respostas: –Encerramento de conexões, de processos, alteração em permissões de arquivos;

4 Introdução - Funcionamento Básico

5 Classificação - Método Baseado em Comportamento Cria um perfil para os usuários; Classifica o comportamento como normal ou anômalo; Procura por anomalias; Para situações consideradas anormais são gerados alertas;

6 Classificação - Método Baseado em Comportamento Vantagens: –Detecção de ataques deconhecidos; –Esforço de manutenção reduzido; Desvantagens: –Dificuldade de configuração; –Menor desempenho (cálculos complexos); –Dificuldade de lidar com mudanças normais de comportamento;

7 Classificação - Método Baseado em Comportamento Sistemas adaptativos: –Estabelece um padrão considerado normal horários, tipo de recurso, tipo de aplicação; –Alerta para situações fora do padrão; –Ex.: Acesso às 4hs da manhã Usuário do comercial compilando programas Programador utilizando impressora

8 Classificação - Método Baseado em Comportamento Análise estatística: –São montados modelos estatísticos do ambiente; –Eventos fora do modelo são considerados ataques em potencial; –Ex.: Tempo de sessão de Telnet; Quantidade de download/upload;

9 Classificação - Método Baseado em Conhecimento Semelhante ao funcionamento de anti- virus: –Deve existir uma base de ataques conhecidos; –A base deve sempre ser atualizada; Os eventos são comparados com as informações da base; Se um evento estiver na base, é gerado um alerta;

10 Classificação - Método Baseado em Conhecimento Vantagens: –Baixo número de alertas falsos; Desvantagens: –Só detecta ataques conhecidos; –Dificuldade de manutenção;

11 Classificação - Método Baseado em Conhecimento Análise de assinaturas: –Existe uma base de assinaturas; –Assinaturas são definições de ataques; –Compara os eventos com a base de assinaturas; –Ex.: “Comunicação da porta 80 TCP” “Acesso ao arquivo de senhas” “Acesso à tabela de salários”

12 Classificação – Segundo o Alvo Baseado em Host: –Monitora as informações do host em que está instalado; –Fortemente relacionado com o SO; –Trabalha com processos, usuários, arquivos e diretórios;

13 Classificação – Segundo o Alvo Baseado em Rede: –Monitora as informações da rede em que está instalado; –Está fortemente relacionado com os protocolos; –Trabalha com endereços IP, portas TCP/UCP;

14 Classificação – Segundo o Alvo Baseado em Aplicação: –Monitora as informações de uma aplicação específica; –Está fortemente relacionado com a natureza da aplicação; Banco de Dados ou Sistema Comercial; –Trabalha com tabelas, telas, funções;

15 Modelos de Arquitetura Existem diversos tipos de IDSs; Não possuem um padrão quanto à sua implementação; Modelos visam estabelecer um padrão de arquitetura para os IDSs;

16 Modelos de Arquitetura - IDWG

17 IDS Snort Um dos IDSs mais populares; Classificação: –Método de Detecção: Análise de Assinaturas; –Alvo: Rede; Possui uma grande base de assinaturas –Mais de 2000 assinaturas;

18 IDS Snort Disponível para Windows e Unix; Realiza a captura de pacotes de rede; Compara cabeçalhos e dados com as assinaturas; –Faz log ou gera alertas;

19 IDS Snort - Atributos da Regra Atributos básicos: –Ação: log, alert ou pass; –Protocolo: IP, TCP, UDP, ICMP, Any; –Endereço Origem/Destino: Home_Net, External_Net, Any, End. IP; –Porta Origem/Destino: Any, número da porta; –Msg: Texto descritivo;

20 IDS Snort – Exemplos de Regras alert icmp $HOME_NET any -> $HOME_NET any (msg:"Qualquer tipo de trafego ICMP foi gerado."); alert tcp $HOME_NET 146 -> $HOME_NET 1024 (msg:“Backdoor Activity“; content:”WHATISIT”; reference:cve,CAN ; sid:1415; rev:2; classtype:backdoor;);

21 IDS Snort - Flexresp Permite que o Snort envie respostas; Atua em conexões TCP e mensagens ICMP; Resposta adicionada na regra: –resp: [,...]

22 IDS Snort - Flexresp Resp_modifier pode ser: –rst_snd: envia TCP_RST para origem; –rst_rcv: envia TCP_RST para destino; –rst_all: envia TCP_RST para ambos; –icmp_net: envia rede desconhecida p/ origem; –icmp_host: envia host desconhecido p/ origem; –icmp_port: envia porta desconhecida p/ origem; –icmp_all: envia todas as opções acima p/ origem;

23 IDS Snort - Flexresp

24 IDS Snort – Modo Sniffer Apenas exibe pacotes monitorados;./snort –v: exibe IP,TCP,UDP e ICMP;./snort –vd: exibe dados da aplicação;./snort –vde: exibe informações de enlace;

25 IDS Snort – Modo Log Grava informações monitoradas em log;./snort -dev -l./log: especifica o local do log;

26 IDS Snort – Modo IDS Testa regras e gera alertas; É necessário informar o arquivo de configurações;./snort -dev -l./log -c snort.conf;

27 IDS Snort – Modo IDS Snort.conf: Definição de variáveis para assinaturas; –var FTP_Ports Arquivos de assinaturas; –include $RULE_PATH/tftp.rules –include $RULE_PATH/icmp.rules

28 IDS Snort - Execução

29 Exemplo de Alerta gerado; Alguém deve ler os alertas; Ferramentas auxiliares: consoles;


Carregar ppt "1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;"

Apresentações semelhantes


Anúncios Google