A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Sistema de Detecção de Intrusão (IDS) Alunos: Fábio Furtado Leite Rian Rosário 1.

Apresentações semelhantes


Apresentação em tema: "Sistema de Detecção de Intrusão (IDS) Alunos: Fábio Furtado Leite Rian Rosário 1."— Transcrição da apresentação:

1 Sistema de Detecção de Intrusão (IDS) Alunos: Fábio Furtado Leite Rian Rosário 1

2 A todo momento, um grande número de computadores são atacados ou invadidos. (Estimativas -> Em média: 1 site ou 1 computador a cada 10 minutos nos EUA) Existe uma enorme necessidade em rastrear e identificar estes ataques. O sistema que possui esta capacidade é conhecido como IDS (Sistema de Detecção de Intrusão). INTRODUÇÃO 2

3 IDS - Sistema de Detecção de Intrusão: Sistema composto de hardware e software que trabalham juntos para identificar eventos inesperados, capaz de antecipar a ocorrência de ataques. Detecção de Intrusão: É o processo de identificar e relatar atividade maliciosa agindo em computadores e recursos da rede. INTRODUÇÃO 3

4 4

5 5

6 Ataque: Ataque: é uma ação inteligente que ameaça a segurança de um sistema. Um ataque pode ter sucesso ou não e estará explorando uma vulnerabilidade no sistema alvo. Um ataque bem sucedido pode caracterizar uma invasão ou até mesmo a negação de serviços no sistema alvo (DoS - Denial of Service). Obs.: Ao longo do texto será utilizado o termo IDS para caracterizar sistemas baseados em rede ou em host. Para os IDS baseados em rede utiliza-se também o acrônimo NIDS (Network Intrusion Detection System). ALGUMAS DEFINIÇÕES 6

7 Necessidade de um IDS Seguro: São alvo de ataques. O que é melhor? Segurança por obscuridade ou não? Depende de conhecimento, tempo, dinheiro... Deve-se optar pela flexibilidade associada à segurança. Falsos positivos: Pacotes normais confundidos com tentativa de ataque. Falsos negativos: Deixa de alertar tentativas autênticas. CONCEITOS BÁSICOS E DEFINIÇÕES 7

8 Vulnerabilidade: É uma falha no S.O., protocolo, serviços ou quaisquer outros componentes no sistema que permitem acesso ou intervenção de pessoas não autorizadas. A vulnerabilidade independe do ataque ou do tempo de observação. Sensor: Agente principal de um IDS. Monitora um host ou rede a fim de identificar intrusões, gravar logs e gerar mensagens alertando tais eventos. Estas mensagens podem ou não serem enviadas a uma estação de gerenciamento. CONCEITOS BÁSICOS E DEFINIÇÕES 8

9 Estação de gerenciamento: É uma estação encarregada de administrar um ou mais sensores espalhados pela rede, o software utilizado deve ter uma interface gráfica que permita configuração e monitoração dos agentes (Sensores IDS). Evento: Ocorrência na fonte de dados que é detectada pelo sensor, a qual pode resultar num alerta sendo transmitido ou gravado. CONCEITOS BÁSICOS E DEFINIÇÕES 9

10 Respostas ou contramedidas: São ações que podem ser programadas na ocorrência de um determinado evento. Ex.: aviso por , o fechamento da sessão que gerou o evento, o bloqueio de um usuário, a reconfiguração de um filtro de pacotes ou firewall. Assinatura: É a regra usada pelo analisador de eventos (parte do sensor IDS) para identificar os tipos de atividade suspeita, o mecanismo de análise de assinaturas é o mais utilizado pelos IDS. DEFINIÇÕES E CONCEITOS BÁSICOS 10

11 Classifica-se os IDSs quanto a(o): Funcionamento: Aviso antes, durante e depois; Tecnologia utilizada: Análise de Ass., estatist., Sist. adapt. Sistema a ser monitorado: Baseado em rede, host e verificador de integridade de arquivo. TIPOS DE IDS 11

12 IDS baseados em rede (NIDS) Sensores / Estações de Gerenciamento. IDS baseados em host Analisam sinais de instrução na máquina Verificador de Integridade de Arquivos Examinam arquivos baseados em funções de hash. TIPOS DE IDS 12

13 PRINCIPAIS IDSs COMERCIAIS 13

14 CIDF - Common Intrusion Detection Framework Interoperabilidade de IDS CISL - Common Intrusion Specification Language Transferência de informação por identif. semânticos IAP - Internet Intrusion Alert Protocolo para troca de dados TENTATIVAS DE PADRONIZAÇÃO 14

15 Características: Lista contendo assinaturas de ataque e o respectivo alerta a ser enviado. Exemplos de regras para IDS: alert tcp any any -> /24 80 (content: “/cgi-bin/phf”; msg: “Este é um teste do bug PHF”;) Tipos de logs e alertas (Snort): Ex.: Alert.txt, WinPopup ANÁLISE DE ASSINATURAS 15

16 IP Spoofing Inserção Evasão Denial of Service – DoS Defesa contra os ataques aos IDS VULNERABILIDADE DOS SISTEMAS DE DETECÇÃO DE INTRUSÃO SISTEMAS DE DETECÇÃO DE INTRUSÃO 16

17  Para redes com Switch  Para Denial of Service no IDS  Para IDS em modo Stealth (Invisível) ALGUMAS SOLUÇÕES ENCONTRADAS 17

18 Características: Faz a análise dos arquivos de log. Componentes do sistema: Snortwat.pl e snortwat_cf.pl SnortWAT (Snort Web Administration Tool) SISTEMA DE GERÊNCIA PARA UM IDS 18

19 Este sistema permite a gerência de um sensor Snort, pela Web, com sessões encriptadas usando SSL. SnortWAT (Snort Web Administration Tool) SISTEMA DE GERÊNCIA PARA UM IDS 19

20 Arquitetura do Sistema: As estações de gerências se comunicam com o SnortWAT via programa stunnel (gratuito) gerando a interface SSL. O stunnel aciona diretamente o SnortWAT pois está rodando no inetd, cnhecido como super-server ou super-deamon em sistemas UNIX. O SnortWAT analisa os arquivos de log e configuração do IDS, as informações para o stunnel e deste para o browser. É utilizado o mecanismo de autenticação provido pelo protocolo HTTP. SnortWAT (Snort Web Administration Tool) SISTEMA DE GERÊNCIA PARA UM IDS 20

21 Funcionalidades: Ativa e desativa o IDS; Exibe o arquivo de assinaturas (número de linhas); Exibe o log de todos os pacotes (número de linhas); Exibe o log por IP específico; Remove e compacta arquivos de logs; Resolve IPs e realiza traceroute nos mesmos; SnortWAT (Snort Web Administration Tool) SISTEMA DE GERÊNCIA PARA UM IDS 21

22 Novos conceitos vem motivando a integração e gerência de Sistemas de Detecção de Intrusão e Firewalls. A simplificação gradativa dos sistemas de gerência de IDS farão desta tarefa uma tarefa cada vez mais eficiente e automática. Para que isso ocorra: Os IDS devem estar configurados, ou se comportar de forma mais próxima possível dos sistemas monitorados; Os IDS devem ter mecanismos de proteção contra ataques, principalmente DoS; CONCLUSÃO 22

23 Os IDS devem ter mecanismos para intercomunicação com outros agentes no sistema; Os IDS devem ter interfaces fáceis, práticas e intuitivas de configuração e análise de eventos; IDS e firewalls são fundamentais, mas de nada adianta se estes não estiverem configurados adequadamente. As interfaces de admin. justificam-se principalmente por facilitar a configuração dos sistemas IDS. CONCLUSÃO 23

24 Potencialidade de detecção; Descrição técnica do ataque; Escalabilidade; Baixa taxa de falsos positivos; Boa usabilidade no ambiente de testes e resultados. UM BOM “IDS” DEVE POSSUIR AS SEGUINTES CARACTERÍSTICAS 24

25 T. H. Ptacek, T. N. Newsham, “Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection”, Secure Networks, Inc, January, M. Roesch “Snort – Lightweight Intrusion Detection for Networks”, Stanford Telecommunications, Inc, November, Y. Fyodor, “Snortnet – A Distributed Detection System”, Kyrgyz Russian Slavic University, June 26, 2005 SecurityFocus – OpenSSL - RFC Internet Security Glossary RFC Site Security Handbook Ravel - COPPE/UFRJ 10 de dezembro, IETF - Internet Engineering Task Force - – ArachNIDS - REFERÊNCIAS BIBLIOGRÁFICAS 25 FIM


Carregar ppt "Sistema de Detecção de Intrusão (IDS) Alunos: Fábio Furtado Leite Rian Rosário 1."

Apresentações semelhantes


Anúncios Google