Sistemas de Detecção de Intrusão

Slides:

Advertisements

Apresentações semelhantes

Honeypots e Honeynets PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS

Advertisements

Pode ser uma máquina emulada ou uma máquina real na rede.

Sistema de Detecção de Intrusão.

Bruno Rafael de Oliveira Rodrigues

Ferramentas de Auditoria

Mecanismo de Proteção (Prevenção e Detecção)

CPU – based DoS Attacks Against SIP Servers

Segurança de Perímetro

Sistemas de Detecção de Intrusão

Ataques a Sistemas Operacionais

Interação Cliente Servidor

Principais ataques Engenharia social Coleta de informação Varredura

Endereçamento ARP MAC Nível de Rede Nível de Enlace CEL Placa de Rede

Modelo de Segurança para Ambientes Cooperativos

Domínio de Conhecimento 3 Topologias e IDS

Felipe Moreira Reis Lapenda Disciplina de Segurança de Redes

Segurança na Telefonia IP e VoIP

Honeypot Um honeypot é:

Segurança na Web SSL - Secure Socket Level TLS - Transport Layer Security SET – Secure Electronic Transaction.

Monitoria de Introdução à Computação

Firewall – Segurança nas redes

Sumário Introdução a Segurança

Sistemas de Detecção de Intrusão

Redes de Computadores Sistema de Detecção de Intrusão Leonardo Machado

Sistemas de Detecção de Intrusão

Segurança de Redes Wayne Palmeira.

IDS-Intrusion Detection System

SISTEMAS DE INFORMAÇÃO Segurança em Computação Distribuída

Curso: Segurança da Informação

IDS - Sistemas de Detecção de Intrusão (Intrusion Detection System)‏

Protocolos e o Modelo OSI

1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;

Luiz Kacuta Luiz Romero Viviane Oliveira

Segurança da Informação – SI

Sistema de Detecção de Intrusão (IDS)

HLBR - Hogwash Light BR Um IPS Brasileiro e Invisível Dailson Fernandes.

Segurança e Auditoria de Sistemas

Segurança & Auditoria de Sistemas AULA 03

Conceitos de Segurança em Redes

Tópicos Avançados em Redes de Computadores Prof. Fabiano Sabha.

1.2 – Tipos de Ataques Cavalo de Tróia; Backdoors; Spoofing; Sniffing;

Segurança & Auditoria de Sistemas AULA 07 Eduardo Silvestri

Sistemas de Informação: Estrutura básica dos Sistemas Empresariais.

MONITORAMENTO DE REDE E SERVIDORES UTILIZANDO O CACTIEZ E SNMP

Analisador de Protocolos WIRESHARK

A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores UFSC – LRG FURB – DSC Paulo Fernando da Silva.

Capítulo 11 DoS - Denial of Service DDoS - Distributed Denial of Service DRDoS - Distributed Reflection Denial of Service.

Execícios de Revisão Redes de Computadores Edgard Jamhour

Mecanismos de Segurança Luís Santos nº 11 Luís Silveira nº 12.

Arquitetura TCP/IP Aplicação Transporte Rede Enlace Física.

Arquitetura de segurança – Redes

Segurança de Sistemas Sistemas Operacionais. Parte I Etapas Iniciais.

IP/DNS NUNO BANDOLA COMUNICAÇÃO DE DADOS CARLOS PEREIRA.

Componentes: Cáren Soares Érika Rodrigues Jeniffer Roxana Eduardo Borges Professor: LÔBO.

Tipos de Sistemas Operacionais

Faixa de Numeros IP O endereço IP, na versão 4 do IP (IPv4), é um número de 32 bits oficialmente escrito com quatro octetos (Bytes) representados no formato.

IDS (Intrusion Detection System) Sistemas de Detecção de Intrusão

Segurança Perimetral - Firewall

UNIVERSIDADE CATÓLICA DE PELOTAS CENTRO POLITÉCNICO CURSO DE CIÊNCIA DA COMPUTAÇÃO Redes de Computadores Ferramenta NTop (Network Traffic Probe) Explorador.

Introdução ao Gerenciamento de Redes de Computadores Curso Técnico em Redes de Computadores Professor Emerson Felipe Capítulo 01 Gerenciamento de Redes.

Curso Superior de Tecnologia em Redes de Computadores Projeto Integrador II Seminário final T iago Pasa SERVIÇO NACIONAL DE APRENDIZAGEM.

Vagner Alves dos Santos Alexandre Lemke Vagner Alves dos Santos Alexandre Lemke.

Wireshark Marcelo Wurdig - Marçal Pizzi UCPEL Centro Politécnico Ciência da Computação Redes II.

Tipos de ataques - DDOS. Tipos de ataques - DDOS Client - uma aplicação que pode ser usado para iniciar attacks simplesmente enviando comandos para outros.

Curso Superior em Redes de Computadores Camada de Aplicação Prof. Sales Filho.

Curso Superior de Tecnologia em Redes de Computadores Projeto Integrador II 1º Seminário de Andamento T iago Pasa SERVIÇO NACIONAL.

Sistemas de Detecção de Intrusão

Transcrição da apresentação:

Sistemas de Detecção de Intrusão

Características Funciona como um alarme. Detecção com base em algum tipo de conhecimento: Assinaturas de ataques. Aprendizado de uma rede neural. Detecção com base em comportamento anômalo. IPS: Intrusion Prevention System

Características A detecção é realizada com a captura de pacotes, analisando os cabeçalhos e o campo de carga útil dos pacotes, que são comparados com padrões ou assinaturas conhecidas. Um IPS tem o objetivo de prevenir os ataques e diminuir a quantidade de alarmes falsos.

Firewall libera conexão e IDS detecta.

Funções do IDS Coleta de informações Análise de informações Armazena informações Responde às atividades suspeitas

Tipos Tipos de IDS Tipos de IPS Honeypots IDS baseado em Host. IDS baseado em Rede. IDS híbrido. Tipos de IPS Honeypots

HIDS - IDS baseado em Host Monitoramento de sistemas (máquinas). Tomam as informações nos arquivos de logs ou de agentes de auditoria. Monitoram acessos e alterações em arquivos do sistema, modificações em privilégios dos usuários, processos do sistema e programas em execução. Arquivos corrompidos podem ser backdoors.

Exemplos de IDS de Hosts Tripware Swatch Portsentry (pode usar o TCP Wrapper) Outros Obs: TCP Wrapper is a host-based network ACL system, used to filter network access to Internet protocol services run on (Unix-like) operating systems such as Linux or BSD.

Características fortes dos HIDS Verificar o sucesso ou falha de um ataque. Ataques que ocorrem fisicamente num servidor podem ser detectados. Ataques que utilizam criptografia podem não ser notados pelos NIDS, mas descobertos pelos HIDS, pois o SO primeiro decifra os pacotes. Independem da topologia da rede. Geram poucos “falsos positivos”, que são alarmes falsos de ataques. Não necessita de hardware adicional.

Características fracas dos HIDS Fica difícil de configurar e gerenciar em todos os hosts de uma rede. É dependente do SO. HIDS para Linux é diferente de um HIDS windows.

Características fracas dos HIDS Necessita de espaço de armazenamento adicional para os registros do sistema. Não têm bom desempenho em sistemas operacionais que geram poucas informações de auditoria. Apresenta diminuição do desempenho do host monitorado.

HIDS - IDS baseado em Host Acesso à arquivos. Integridade de arquivos. Varredura de portas Modificação e privilégios de usuários. Processos do sistema. Execução de programas. Uso de CPU. Conexões.

IDS baseado em Rede Monitora o tráfego no segmento de rede. Interface de rede atuando no modo prosmícuo. Detecção realizada com a captura de pacotes e análise dos cabeçalhos e conteúdos.

Exemplos de NIDS: RealSecure, NFR, Snort

Componentes dos NIDS Os sensores que cuidam dos segmentos de redes, fazem a captura, formatação de dados e análise de tráfego. Gerenciador: fazem com que os sensores sejam administrados de modo integrado, com a definição dos tipos de resposta para cada tipo de comportamento suspeito detectado. A comunicação entre sensores e gerenciador é criptografada.

Características Positivas dos NIDS Monitoramento pode ser fornecido por múltiplas plataformas. Ataques como: port scanning, IP spoofing, SYN flooding e Teardrop podem ser detectados. Pode monitorar portas conhecidas como a porta TCP 80 do HTTP.

Características Positivas dos NIDS Pode detectar tentativas de ataques (ataques que não tiveram resultados). Fica mais difícil um cracker apagar seu rastro. Impõe dificuldades para o cracker saber se existe ou não um NIDS. Não causa impacto no desempenho da rede.

Características negativas dos NIDS Não são capazes de monitorar tráfego cifrado. Perda de pacotes em redes saturadas.

Metodologia de detecção Baseado no conhecimento. Base de assinaturas de ataques conhecidos Rede neural. Baseado no comportamento. Desvios dos usuários ou dos sistemas, quanto a um padrão de normalidade. Análise estatística afim de encontrar possíveis mudanças de comportamento: por exemplo, aumento súbito de tráfego. Problemas: falsos negativos e muitos falsos positivos.

Honeypots Funcionam como armadilhas para os crackers. Não contém dados ou informações importantes para a organização. Seu único propósito é passar-se por um equipamento legítimo da organização. É configurado para interagir como o atacante. Detalhes de ataques podem ser capturados e estudados.

Posicionamento dos Honeypots Minefield Inserido juntamente com os servidores reais de uma DMZ. Parte do princípio que quando um sistema é atacado, ele é usado para descobrir outros Caso o Honeypot seja atacado, as informações sobre o ataque já passam a estar disponíveis. Quando um sistema real é atacado, o honeypot identifica o ataque, assim que o sistema atacado inicie o scannimg da rede, para descobrir outros pontos de ataque.

Posicionamento dos Honeypots Honeynet Inserido juntamente com os servidores reais de DMZs. É uma rede de honeypots.

Resultados possíveis de uma análise Tráfego suspeito detectado (comportamento normal. Tráfego suspeito não detectado (falso negativo). Tráfego legítimo que o IDS analisa como sendo suspeito (falso positivo). Tráfego legítimo que o IDS analisa como sendo normal (comportamento normal).