IDS-Intrusion Detection System

Slides:



Advertisements
Apresentações semelhantes
Honeypots e Honeynets PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS
Advertisements

Pode ser uma máquina emulada ou uma máquina real na rede.
Sistema de Detecção de Intrusão.
Bruno Rafael de Oliveira Rodrigues
Firewall Campus Cachoeiro Curso Técnico em Informática
Mecanismo de Proteção (Prevenção e Detecção)
Sistemas de Detecção de Intrusão
Introdução Ligações inter-redes.
Modelo TCP/IP Versus Modelo OSI
Principais ataques Engenharia social Coleta de informação Varredura
Arquitectura TCP/IP Camada de rede.
Firewall.
Firewalls.
TCP/IP CAMADA DE APLICAÇÃO SERVIÇOS
Modelo de Segurança para Ambientes Cooperativos
Modelo de referência OSI
Sistemas de Detecção de Intrusão
Firewall – Segurança nas redes
Sistemas de Detecção de Intrusão
Redes de Computadores Sistema de Detecção de Intrusão Leonardo Machado
Sistemas de Detecção de Intrusão
Redes de computadores Prof. António dos Anjos
Tópicos de Sistemas de Informação A
Redes Aula 7 Professor: Marcelo Maia.
Segurança de Redes Wayne Palmeira.
O que é DoS e DDoS? DoS(Denial Of Services)
SISTEMAS DE INFORMAÇÃO Segurança em Computação Distribuída
Curso: Segurança da Informação
IDS - Sistemas de Detecção de Intrusão (Intrusion Detection System)‏
Protocolos e o Modelo OSI
1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;
Ferramentas de Gerenciamento Aula 3
Segurança da Informação – SI
Sistema de Detecção de Intrusão (IDS)
Segurança e Auditoria de Sistemas
Cont. gerenciamento de rede Prof. Eliane Teresa Borela 2°p redes de Computadores.
Redes de Computadores Prof Rafael Silva.
Segurança & Auditoria de Sistemas AULA 03
Conceitos de Segurança em Redes
1.2 – Tipos de Ataques Cavalo de Tróia; Backdoors; Spoofing; Sniffing;
MODELO DE REFERÊNCIA TCP/IP
Segurança & Auditoria de Sistemas AULA 07 Eduardo Silvestri
Proposta de descrição de ataques em ambientes grid Aluno: Hung Ruo Han Orientador: Prof. Dr. Carlos Becker Westphall.
A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores UFSC – LRG FURB – DSC Paulo Fernando da Silva.
Disciplina de: Comunicação de Dados Professor: Carlos Pereira Trabalho Realizado por: João Santos.
Modelo OSI Disciplina: Comunicação de Dados Ricardo Bento 12ºL nº11.
Projeto Supervisionado no Desenvolvimento de Aplicações Profissionais na Web Introdução a Aplicações Web.
Meios de transmissão e componentes de redes e BackBones
Mecanismos de Segurança Luís Santos nº 11 Luís Silveira nº 12.
Serviço Nacional de Aprendizagem Comercial do Rio Grande do Sul Informação e Comunicação Habilitação Técnica de Nível Médio Técnico em Informática Prof.
Escola Secundaria Sebastião da gama Comunicação de dados Prof: Carlos Pereira Nome :André Santos Ano/Turma:12ºL Nº:2 IP Dinâmico, IP Fixo e DNS.
TCP/IP.
Arquitetura de segurança – Redes
TCP/IP Fabiano Mayer Fernanda F. de Oliveira João Boechat Neto
FIREWALL.
Componentes: Cáren Soares Érika Rodrigues Jeniffer Roxana Eduardo Borges Professor: LÔBO.
Serviços de rede e internet Jackson Eduardo da Silva.
Tecnologias de rede Ethernet e IEEE Token ring ATM FDDI
Capitulo 04 Camada de Enlace Prof. Ricardo de Macedo.
Simple Network Management Protocol
Modelo de referência TCP/IP Redes de comunicação de dados Professor Cristiano José Cecanho.
IDS (Intrusion Detection System) Sistemas de Detecção de Intrusão
Segurança em Comércio Eletrônico Comércio tradicional realizado de maneira centralizada cercado de restrições legais Comércio eletrônico realização de.
Segurança Perimetral - Firewall
Redes de Computadores e Aplicações – Camada de aplicação IGOR ALVES.
UNIVERSIDADE CATÓLICA DE PELOTAS CENTRO POLITÉCNICO CURSO DE CIÊNCIA DA COMPUTAÇÃO Redes de Computadores Ferramenta NTop (Network Traffic Probe) Explorador.
Vagner Alves dos Santos Alexandre Lemke Vagner Alves dos Santos Alexandre Lemke.
Tipos de ataques - DDOS. Tipos de ataques - DDOS Client - uma aplicação que pode ser usado para iniciar attacks simplesmente enviando comandos para outros.
Transcrição da apresentação:

IDS-Intrusion Detection System Chama-se IDS (Intrusion Detection System) a um mecanismo que ouve o tráfego na rede de maneira furtiva, para localizar atividades anormais ou suspeitas e permitindo assim ter uma acção de prevenção sobre os riscos de intrusão.

IDS-Intrusion Detection System Existem duas grandes famílias distintas de IDS: Os N-IDS (Network Based Intrusion Detection System), asseguram a segurança a nível da rede. Os H-IDS (Host Based Intrusion Detection System),asseguram a segurança a nível dos hóspedes.

IDS-Intrusion Detection System O N-IDS necessita um material dedicado e constitui um sistema capaz de controlar os pacotes que circulam numa ou várias ligações de rede, com o objetivo de descobrir se um ato malicioso ou anormal tem lugar.

IDS-Intrusion Detection System O H-IDs comporta-se como um serviço num sistema hóspede. Tradicionalmente, o H-IDS analisa informações específicas nos diários de registros (syslogs, messages, lastlog, wtmp…) . Captura os pacotes de rede que entram/saem do hóspede, para detectar sinais de intrusões

IDS-Intrusion Detection System As técnicas de detecção O tráfego da rede (Internet) é constituído geralmente por datagramas IP. O N-IDS é capaz de capturar os pacotes quando circulam nas ligações físicas sobre às quais está conectado. O N-IDS consiste numa pilha de TCP/IP que reúne os datagramas IP e as conexões TCP. Podemos aplicar as técnicas seguintes para reconhecer as intrusões:

IDS-Intrusion Detection System Verificação da pilha protocolar : Um número de intrusões, como por exemplo “Ping-Of-Death” e “TCP Stealth Scanning” recorrem a violações dos protocolos IP, TCP, UDP, e ICMP com o objetivo de atacar uma máquina. Uma simples verificação protocolar pode realçar os pacotes inválidos e assinalar este tipo de técnica muito usada. Verificação dos protocolos aplicativos : Numerosas intrusões utilizam comportamentos protocolares inválidos, como por exemplo “WinNuke”, que utiliza dados NetBIOS inválidos (adição de dados OOB data). Para detectar eficazmente este tipo de intrusão, o N-IDS deve re-aplicar uma grande variedade de protocolos como NetBIOS, TCP/IP

IDS-Intrusion Detection System Reconhecimento dos ataques por “Pattern Matching”: Esta técnica de reconhecimento de intrusões é o mais antigo método de análise do N-IDS e é ainda muito usada Esta técnica é generalizada nos NIDs de tipo “Network Grep”, baseado na captura dos pacotes brutos numa ligação supervisionada, e comparação via um parser de tipo “expressões regulares” que vai tentar fazer corresponder as sequências da base de assinaturas byte por byte com o conteúdo do pacote capturado.

IDS-Intrusion Detection System

IDS-Intrusion Detection System O MODELO CONCEITUAL DE UMA FERRAMENTA DE IDS Devido a grande variedade de sistemas de IDS, foi proposto um modelo chamado CIDF (Common Intrusion Detection Framework) que agrupa um conjunto de componentes que define uma ferramenta de IDS: * Gerador de Eventos (E-boxes); * Analizador de Eventos (A-boxes); * Base de dados de Eventos (D-boxes); * Unidade de Resposta (R-boxes).

IDS-Intrusion Detection System Segundo a padronização do CIDF, existe um modelo de linguagem para troca de informações entre os componentes, o CISL - Common Intrusion Specification Language - este formato é referenciado como GIDO - Generalized Intrusion Detection Objects. O Gerador de Eventos - (E-box) A função deste componente é obter os eventos a partir do meio externo ao CIDF, ou seja, ele "produz" os eventos mas não os processa, isso fica a cargo do componente especializado na função de processamento, que, por sua vez, após analisar os eventos (violação de política, anomalias, intrusão) envia os resultados para outros componentes.

IDS-Intrusion Detection System O Analisador de Eventos - (A-box) Este componente, basicamente, recebe as informações de outros componentes, as analisa e as envia de forma resumida para outros componentes, ou seja, recebe os dados de forma bruta, faz um refinamento e envia para outros. A Base de Dados de Eventos - (D-box) A função deste componente é armazenar os eventos e/ou resultados para uma necessidade futura. A Unidade de Resposta - (R-box) Este componente é responsável pelas ações, ou seja, matar o processo, reinicializar a conexão, alterar a permissão de arquivos, notificar as estações de gerência, etc.

IPS-Intrusion Prevention System Um sistema de prevenção de intruso (em inglês: Intrusion Prevention System) é um dispositivo de segurança de rede que monitora o tráfego e/ou atividades dos sistema em busca de comportamentos maliciosos ou não desejáveis, em tempo real, para bloquear ou prevenir essas atividades. Um IPS baseado em rede, por exemplo, vai operar em linha para monitorar todo o tráfego em busca de códigos maliciosos ou ataques. Quando um ataque é detectado, é possível bloquear os pacotes danosos enquanto o tráfego normal continua seu caminho.

IPS-Intrusion Prevention System

IPS-Intrusion Prevention System Os IPS possuem algumas vantagens sobre sistemas de detecção de intrusão (IDS). Uma vantagem é que eles são projetados para estar em linha com os fluxos de tráfego e impedir ataques em tempo real. Além disso, a maioria das soluções IPS têm a capacidade de olhar (decodificar) 7 protocolos como HTTP, FTP, SMTP e que prevê uma maior sensibilização. A possibilidade de bloquear imediatamente as intrusões e independentemente do tipo de protocolo de transporte utilizado e sem reconfiguração de um equipamento terceiro. O que induz que o IPS é constituído como nativo numa técnica de filtragem de pacotes e meios de bloqueio (drop connection, drop offending packets, block intruder,…).

IPS-Intrusion Prevention System

IPS-Intrusion Prevention System

Feedback: Política de Privacidade Feedback
Sobre projeto: SlidePlayer Termos de uso

© 2024 SlidePlayer.com.br Inc. All rights reserved.