A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

IDS Adriano SalgadoRA: 00073908 Alberi J. M. Vieira RA: 05363676 Sistema de Detecção de Intrusão.

Apresentações semelhantes


Apresentação em tema: "IDS Adriano SalgadoRA: 00073908 Alberi J. M. Vieira RA: 05363676 Sistema de Detecção de Intrusão."— Transcrição da apresentação:

1 IDS Adriano SalgadoRA: Alberi J. M. Vieira RA: Sistema de Detecção de Intrusão.

2 Introdução. O sistema de detecção de intrusão conhecido também como IDS é um sistema que após ser implantado tem como objetivo gerar notificações em situações onde for constatada alguma tentativa de intrusão ou o descumprimento das regras definidas na política de segurança.

3 Intrusão – O que é? Alguém que tenta invadir um sistema ou fazer mau uso do mesmo. – Classificação; Intrusão devido ao mau uso ataques realizados a pontos fracos do sistema. Intrusão devido à mudança de padrão mudanças de uso em relação ao padrão normal do sistema. – Detecção; Utilização de CPU; I/O de disco; Uso de memória Atividades dos usuários; No de tentativas de login; No de conexões; Volume de dados trafegando no segmento de rede.

4 Sistema de Detecção de Intrusão. IDS - Intrusion Detection System. Detecta e notifica as tentativas de intrusão, analisando e capturando os pacotes que estão trafegando na rede. Procura identificar evidências de um ataque em andamento, podendo emitir alarmes, ou executar uma ação automática; Pode ser um hardware, software ou a combinação dos dois.

5 Sistema de Detecção de Intrusão. Características: – Funcionamento continuo; – Tolerante a falhas; – Monitorar a si próprio; – Não impactar no funcionamento do sistema;

6 Sistema de Detecção de Intrusão. Características: – Detectar mudanças em condições normais de funcionamento; – Configuração de fácil adaptatividade; – Permitir mudanças;

7 Sistema de Detecção de Intrusão. Classificação dos possíveis erros: – Falso positivo; – Falso negativo; – Subversão;

8 Sistema de Detecção de Intrusão. HIDS - Host Intrusion Detection System. Fazem o monitoramento de um sistema com base nos eventos registrados nos arquivos de logs ou eventos de auditoria. Eventos frequentemente monitorados são: – Uso de CPU; – Modificação de Privilégios de Usuário; – Acessos e modificações em arquivos de sistema; – Processos do sistema; – Programas que estão sendo executados; – Registro.

9 Sistema de Detecção de Intrusão. HIDS - Host Intrusion Detection System. Vantagens: – Não precisam de hardware adicional, pois residem no host no qual estará sendo feito o monitoramento; – São independentes de topologia de rede; – Geram menos falso-positivos; – Ataques que ocorrem no sistema podem ser detectados. Desvantagens: – Dependência do Sistema Operacional; – Incapacidade de detectar ataques de rede; – O host monitorado pode apresentar perda de desempenho; – Informações podem ser perdidas caso o host ou o HIDS seja invadido.

10 Sistema de Detecção de Intrusão. NIDS - Network Intrusion Detection System. Monitoram o tráfego de pacotes do segmento de rede Captura os pacotes e analisa seus cabeçalhos e conteúdos. Pode ser configurado por software ou por hardware em forma de um appliance com sensores conectados nos pontos da rede.

11 Sistema de Detecção de Intrusão. NIDS - Network Intrusion Detection System. Itens frequentemente monitorados: – Ataques de redes; – Uso indevido de aplicações; – Tráfego suspeito; – Tráfego customizado (por origem, destino). Posicionamento no Ambiente: – Antes do Filtro de Pacotes; – Depois do Filtro de Pacotes; – Em ambos os lados; – Em segmentos críticos.

12 Sistema de Detecção de Intrusão. NIDS - Network Intrusion Detection System. Vantagens: – Não causam impacto no desempenho da rede (Apenas escutam); – Ataques podem ser identificados em tempo real; – Eficiência na detecção de port scanning; – Possibilidade de detectar tentativas de ataques e análise do ambiente. Desvantagens: – Incapacidade de monitorar informações criptografadas; – Pode haver perda de pacotes em redes congestionadas.

13 Sistema de Detecção de Intrusão. Modelo: – CIDF - Common Intrusion Detection Framework. Comunicação: – CISL - Common Intrusion Specification Language. – GIDO - Generalized Intrusion Detection Objects.

14 Sistema de Detecção de Intrusão. CIDF - Common Intrusion Detection Framework E-boxes; Captura os pacotes da rede (TCP, UDP, ICMP) e entrega aos módulos superiores Analisador de Eventos e Banco de Dados; A-boxes; Cérebro do IDS, responsável por identificar o que é e o que não é um ataque através de assinaturas Equipamentos Dedicados à Segurança principalmente; D-boxes; Armazena os ataques, ocorrências para usos posteriores e imediatos; R-boxes; Responsável por tomar ações baseadas nos eventos. Deve ter acesso aos outros IDS e Firewalls (Alertar através de , contra-atacar).

15 Sistema de Detecção de Intrusão. Conclusões.


Carregar ppt "IDS Adriano SalgadoRA: 00073908 Alberi J. M. Vieira RA: 05363676 Sistema de Detecção de Intrusão."

Apresentações semelhantes


Anúncios Google