Redes de Computadores Sistema de Detecção de Intrusão Leonardo Machado Rômulo Coutinho Yuri Vasquez
Agenda Introdução Conclusão Segurança Computacional Além do Firewall Objetivos Ataques Sistemas de Detecção de Intrusão Tipos Baseado em rede Baseado na estação Híbrido Métodos de Detecção Assinaturas Anomalias Conclusão
Introdução Segurança Computacional Além do Firewall Confidencialidade Integridade Disponibilidade Além do Firewall Reação a ataques Falhas Aumento do Nível de Segurança Espionagem
Sistema de Detecção de Intrusão Definição Componentes Fonte de Informação Análise Resposta Tipos Baseado na Rede Baseado na Estação
Ataques O que são? Tipos Negação de Acesso Penetração Varredura
SDI baseado em rede Modo de Funcionamento Posicionamento na Rede Vantagens Fácil instalação Monitoramento de várias estações Desvantagens Dificuldade em redes de alta velocidade Dificuldade com protocolos codificados
SDI baseado no servidor Modo de Funcionamento Vantagens Pode analisar informações criptografadas Desvantagens Onera a capacidade computacional da estação Cada estação precisa ser monitorada individualmente Um ataque pode desinstalar este sistema
Métodos de Análise Baseado em Assinaturas Baseado em Anomalias
Análise de Assinaturas Assinaturas são sequencias de bits ou pacotes que são características de ataque.
Análise de Anomalias A análise por anomalias busca determinar se o comportamento das instâncias da rede está fugindo ao padrão, para tal são necessários um registro de atividades do sistema e uma fundamentação estatística
Análise por assinaturas Vantagens Comparação com base de dados, processamento mais rápido Ações corretivas tomadas mais rapidamente Baixo número de falsos negativos Desvantagens Dependência de base de dados atualizada Não detecta ataques com assinaturas levemente modi- ficadas Difícil detecção de tentativas de abuso de privilégio
Análise por anomalias Vantagens Desvantagens Pode detectar abusos de privilégios por usuários internos Pode detectar ataques sem assinaturas comuns Desvantagens Grande número de falsos positivos Demanda maior capacidade computacional do que a análise por assinaturas
Conclusão Os SDIs são uma camada de segurança importante para proteger redes de ataques internos e externos A escolha do tipo de SDI, bem como o seu método de funcionamento depende além do custo, do propósito para o qual este sistema está sendo implementado