1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;

Slides:



Advertisements
Apresentações semelhantes
Agenda Introdução Justificativa Objetivo Detecção de Spam
Advertisements

Honeypots e Honeynets PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS
Pode ser uma máquina emulada ou uma máquina real na rede.
Sistema de Detecção de Intrusão.
Protocolos de Gerência de Redes
Análise de Casos de Uso.
Bruno Rafael de Oliveira Rodrigues
Configuração de um servidor FTP
Firewall Campus Cachoeiro Curso Técnico em Informática
Professor: João Paulo de Brito Gonçalves Curso Técnico de Informática
Profa. Ana Cristina Benso da Silva Disciplina: Redes de Computadores
Roteamento Parte #1 Profa. Ana Cristina Benso da Silva Disciplina: Redes de Computadores.
Mecanismo de Proteção (Prevenção e Detecção)
Sistemas de Detecção de Intrusão
Ataques a Sistemas Operacionais
Avaliação de Desempenho Universidade de São Paulo Instituto de Ciências Matemáticas e de Computação Departamento de Sistemas de Computação Marcos José
Avaliação de Desempenho
CONCEITO BÁSICO DE REDE
Sistemas de Detecção de Intrusão
Arquitetura. Transferência de Arquivos – FTP Transferência de arquivos em sistemas remotos Utiliza o protocolo FTP sobre uma conexão TCP Estabelece conexão.
Endereçamento ARP MAC Nível de Rede Nível de Enlace CEL Placa de Rede
Arquitectura TCP/IP Camada de rede.
Firewall.
Utilitários de Redes Prof. Andréa Chicri Torga Adaptações
Universidade do Vale do Rio dos Sinos - São Leopoldo -
Modelo de referência OSI
Administração de Sistema Operacional de Rede WindowsServer-2003 WindowsServer-2003 Ricardo de Oliveira Joaquim TECNOLÓGICOS.
Sistemas de Detecção de Intrusão
Aula 9 - Camada de aplicação
Firewall – Segurança nas redes
Redes de Computadores Sistema de Detecção de Intrusão Leonardo Machado
Sistemas de Detecção de Intrusão
Características Técnicas e Operacionais
Segurança de Redes Wayne Palmeira.
IDS-Intrusion Detection System
SISTEMAS DE INFORMAÇÃO Segurança em Computação Distribuída
IDS - Sistemas de Detecção de Intrusão (Intrusion Detection System)‏
Otimizando sua TI, maximizando seus negócios
Fluxo Normal ou Ataque.
Sistema de Detecção de Intrusão (IDS)
SISTEMAS OPERACIONAIS I
Segurança e Auditoria de Sistemas
FTIN Formação Técnica em Informática Módulo Sistema Proprietário Windows AULA 04 Prof. André Lucio.
Exercícios IPsec e LDAP
Segurança & Auditoria de Sistemas AULA 03
Conceitos de Segurança em Redes
Segurança & Auditoria de Sistemas AULA 07 Eduardo Silvestri
Aperfeiçoamentos do Modelo para Respostas de Detecção de Intrusão Compatível com o Modelo IDWG Paulo Fernando da Silva Carlos Becker Westphall UFSC – CPGCC.
A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores UFSC – LRG FURB – DSC Paulo Fernando da Silva.
Laboratório Módulo :00hs às 12:00hs – Sala O15
Arquitetura de redes ISSO/OSI Liane Tarouco UFRGS.
Mecanismos de Segurança Luís Santos nº 11 Luís Silveira nº 12.
Serviço Nacional de Aprendizagem Comercial do Rio Grande do Sul Informação e Comunicação Habilitação Técnica de Nível Médio Técnico em Informática Prof.
Arquitetura TCP/IP Aplicação Transporte Rede Enlace Física.
Arquitetura de segurança – Redes
TCP/IP Fabiano Mayer Fernanda F. de Oliveira João Boechat Neto
Ana Claudia Dutra Claudia Calegari Sandra Maia Thábita Sepulvida.
Informática Industrial N8INF
Gerencia de Redes Redes de Computadores II
IDS (Intrusion Detection System) Sistemas de Detecção de Intrusão
Segurança Perimetral - Firewall
Redes de Computadores e Aplicações – Camada de aplicação IGOR ALVES.
UNIVERSIDADE CATÓLICA DE PELOTAS CENTRO POLITÉCNICO CURSO DE CIÊNCIA DA COMPUTAÇÃO Redes de Computadores Ferramenta NTop (Network Traffic Probe) Explorador.
Centro Politécnico – Universidade Católica de Pelotas (UCPel) Pelotas – RS – Brasil REDES II Evandro Brasil Fonseca, Marlos Martins.
Vagner Alves dos Santos Alexandre Lemke Vagner Alves dos Santos Alexandre Lemke.
Wireshark Marcelo Wurdig - Marçal Pizzi UCPEL Centro Politécnico Ciência da Computação Redes II.
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 1 VPN (Virtual Private Network)
Pandora FMS Aluno: Diego Porto Jaccottet Professor: Adenauer Correa Yamin UCPEL 4/5/2010.
1.4 – Sistemas de Detecção de Intrusão
Transcrição da apresentação:

1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;

Introdução - Conceitos Detecção de Intrusão envolve: –Coletar e analisar informações; –Identificar e rastrear ataques; –Enviar respostas; Sistemas de Detecção de Intrusão (IDSs): –Ferramentas que executam a detecção de intrusão;

Introdução - Funcionamento Básico Consiste na monitoração de eventos –Rede, Host ou Aplicação; Visando identificar ataques; Ataques geram alertas; Opcionalmente podem ser enviadas respostas: –Encerramento de conexões, de processos, alteração em permissões de arquivos;

Introdução - Funcionamento Básico

Classificação - Método Baseado em Comportamento Cria um perfil para os usuários; Classifica o comportamento como normal ou anômalo; Procura por anomalias; Para situações consideradas anormais são gerados alertas;

Classificação - Método Baseado em Comportamento Vantagens: –Detecção de ataques deconhecidos; –Esforço de manutenção reduzido; Desvantagens: –Dificuldade de configuração; –Menor desempenho (cálculos complexos); –Dificuldade de lidar com mudanças normais de comportamento;

Classificação - Método Baseado em Comportamento Sistemas adaptativos: –Estabelece um padrão considerado normal horários, tipo de recurso, tipo de aplicação; –Alerta para situações fora do padrão; –Ex.: Acesso às 4hs da manhã Usuário do comercial compilando programas Programador utilizando impressora

Classificação - Método Baseado em Comportamento Análise estatística: –São montados modelos estatísticos do ambiente; –Eventos fora do modelo são considerados ataques em potencial; –Ex.: Tempo de sessão de Telnet; Quantidade de download/upload;

Classificação - Método Baseado em Conhecimento Semelhante ao funcionamento de anti- virus: –Deve existir uma base de ataques conhecidos; –A base deve sempre ser atualizada; Os eventos são comparados com as informações da base; Se um evento estiver na base, é gerado um alerta;

Classificação - Método Baseado em Conhecimento Vantagens: –Baixo número de alertas falsos; Desvantagens: –Só detecta ataques conhecidos; –Dificuldade de manutenção;

Classificação - Método Baseado em Conhecimento Análise de assinaturas: –Existe uma base de assinaturas; –Assinaturas são definições de ataques; –Compara os eventos com a base de assinaturas; –Ex.: “Comunicação da porta 80 TCP” “Acesso ao arquivo de senhas” “Acesso à tabela de salários”

Classificação – Segundo o Alvo Baseado em Host: –Monitora as informações do host em que está instalado; –Fortemente relacionado com o SO; –Trabalha com processos, usuários, arquivos e diretórios;

Classificação – Segundo o Alvo Baseado em Rede: –Monitora as informações da rede em que está instalado; –Está fortemente relacionado com os protocolos; –Trabalha com endereços IP, portas TCP/UCP;

Classificação – Segundo o Alvo Baseado em Aplicação: –Monitora as informações de uma aplicação específica; –Está fortemente relacionado com a natureza da aplicação; Banco de Dados ou Sistema Comercial; –Trabalha com tabelas, telas, funções;

Modelos de Arquitetura Existem diversos tipos de IDSs; Não possuem um padrão quanto à sua implementação; Modelos visam estabelecer um padrão de arquitetura para os IDSs;

Modelos de Arquitetura - IDWG

IDS Snort Um dos IDSs mais populares; Classificação: –Método de Detecção: Análise de Assinaturas; –Alvo: Rede; Possui uma grande base de assinaturas –Mais de 2000 assinaturas;

IDS Snort Disponível para Windows e Unix; Realiza a captura de pacotes de rede; Compara cabeçalhos e dados com as assinaturas; –Faz log ou gera alertas;

IDS Snort - Atributos da Regra Atributos básicos: –Ação: log, alert ou pass; –Protocolo: IP, TCP, UDP, ICMP, Any; –Endereço Origem/Destino: Home_Net, External_Net, Any, End. IP; –Porta Origem/Destino: Any, número da porta; –Msg: Texto descritivo;

IDS Snort – Exemplos de Regras alert icmp $HOME_NET any -> $HOME_NET any (msg:"Qualquer tipo de trafego ICMP foi gerado."); alert tcp $HOME_NET 146 -> $HOME_NET 1024 (msg:“Backdoor Activity“; content:”WHATISIT”; reference:cve,CAN ; sid:1415; rev:2; classtype:backdoor;);

IDS Snort - Flexresp Permite que o Snort envie respostas; Atua em conexões TCP e mensagens ICMP; Resposta adicionada na regra: –resp: [,...]

IDS Snort - Flexresp Resp_modifier pode ser: –rst_snd: envia TCP_RST para origem; –rst_rcv: envia TCP_RST para destino; –rst_all: envia TCP_RST para ambos; –icmp_net: envia rede desconhecida p/ origem; –icmp_host: envia host desconhecido p/ origem; –icmp_port: envia porta desconhecida p/ origem; –icmp_all: envia todas as opções acima p/ origem;

IDS Snort - Flexresp

IDS Snort – Modo Sniffer Apenas exibe pacotes monitorados;./snort –v: exibe IP,TCP,UDP e ICMP;./snort –vd: exibe dados da aplicação;./snort –vde: exibe informações de enlace;

IDS Snort – Modo Log Grava informações monitoradas em log;./snort -dev -l./log: especifica o local do log;

IDS Snort – Modo IDS Testa regras e gera alertas; É necessário informar o arquivo de configurações;./snort -dev -l./log -c snort.conf;

IDS Snort – Modo IDS Snort.conf: Definição de variáveis para assinaturas; –var FTP_Ports Arquivos de assinaturas; –include $RULE_PATH/tftp.rules –include $RULE_PATH/icmp.rules

IDS Snort - Execução

Exemplo de Alerta gerado; Alguém deve ler os alertas; Ferramentas auxiliares: consoles;

Feedback: Política de Privacidade Feedback
Sobre projeto: SlidePlayer Termos de uso

© 2024 SlidePlayer.com.br Inc. All rights reserved.