Sistema de Detecção de Intrusão. IDS Adriano Salgado RA: 00073908 Alberi J. M. Vieira RA: 05363676 Sistema de Detecção de Intrusão.
Sistema de Detecção de Intrusão. Introdução. O sistema de detecção de intrusão conhecido também como IDS é um sistema que após ser implantado tem como objetivo gerar notificações em situações onde for constatada alguma tentativa de intrusão ou o descumprimento das regras definidas na política de segurança.
Intrusão O que é? Classificação; Detecção; Alguém que tenta invadir um sistema ou fazer mau uso do mesmo. Classificação; Intrusão devido ao mau uso ataques realizados a pontos fracos do sistema. Intrusão devido à mudança de padrão mudanças de uso em relação ao padrão normal do sistema. Detecção; Utilização de CPU; I/O de disco; Uso de memória Atividades dos usuários; No de tentativas de login; No de conexões; Volume de dados trafegando no segmento de rede.
Sistema de Detecção de Intrusão. IDS - Intrusion Detection System. Detecta e notifica as tentativas de intrusão, analisando e capturando os pacotes que estão trafegando na rede. Procura identificar evidências de um ataque em andamento, podendo emitir alarmes, ou executar uma ação automática; Pode ser um hardware, software ou a combinação dos dois.
Sistema de Detecção de Intrusão. Características: Funcionamento continuo; Tolerante a falhas; Monitorar a si próprio; Não impactar no funcionamento do sistema;
Sistema de Detecção de Intrusão. Características: Detectar mudanças em condições normais de funcionamento; Configuração de fácil adaptatividade; Permitir mudanças;
Sistema de Detecção de Intrusão. Classificação dos possíveis erros: Falso positivo; Falso negativo; Subversão;
Sistema de Detecção de Intrusão. HIDS - Host Intrusion Detection System. Fazem o monitoramento de um sistema com base nos eventos registrados nos arquivos de logs ou eventos de auditoria. Eventos frequentemente monitorados são: – Uso de CPU; – Modificação de Privilégios de Usuário; – Acessos e modificações em arquivos de sistema; – Processos do sistema; – Programas que estão sendo executados; – Registro.
Sistema de Detecção de Intrusão. HIDS - Host Intrusion Detection System. Vantagens: – Não precisam de hardware adicional, pois residem no host no qual estará sendo feito o monitoramento; – São independentes de topologia de rede; – Geram menos falso-positivos; – Ataques que ocorrem no sistema podem ser detectados. Desvantagens: – Dependência do Sistema Operacional; – Incapacidade de detectar ataques de rede; – O host monitorado pode apresentar perda de desempenho; – Informações podem ser perdidas caso o host ou o HIDS seja invadido.
Sistema de Detecção de Intrusão. NIDS - Network Intrusion Detection System. Monitoram o tráfego de pacotes do segmento de rede Captura os pacotes e analisa seus cabeçalhos e conteúdos. Pode ser configurado por software ou por hardware em forma de um appliance com sensores conectados nos pontos da rede.
Sistema de Detecção de Intrusão. NIDS - Network Intrusion Detection System. Itens frequentemente monitorados: – Ataques de redes; – Uso indevido de aplicações; – Tráfego suspeito; – Tráfego customizado (por origem, destino). Posicionamento no Ambiente: – Antes do Filtro de Pacotes; – Depois do Filtro de Pacotes; – Em ambos os lados; – Em segmentos críticos.
Sistema de Detecção de Intrusão. NIDS - Network Intrusion Detection System. Vantagens: – Não causam impacto no desempenho da rede (Apenas ‘escutam’); – Ataques podem ser identificados em tempo real; – Eficiência na detecção de port scanning; – Possibilidade de detectar tentativas de ataques e análise do ambiente. Desvantagens: – Incapacidade de monitorar informações criptografadas; – Pode haver perda de pacotes em redes congestionadas.
Sistema de Detecção de Intrusão. Modelo: CIDF - Common Intrusion Detection Framework. Comunicação: CISL - Common Intrusion Specification Language. GIDO - Generalized Intrusion Detection Objects.
Sistema de Detecção de Intrusão. CIDF - Common Intrusion Detection Framework E-boxes; Captura os pacotes da rede (TCP, UDP, ICMP) e entrega aos módulos superiores Analisador de Eventos e Banco de Dados; A-boxes; Cérebro do IDS, responsável por identificar o que é e o que não é um ataque através de assinaturas Equipamentos Dedicados à Segurança principalmente; D-boxes; Armazena os ataques, ocorrências para usos posteriores e imediatos; R-boxes; Responsável por tomar ações baseadas nos eventos. Deve ter acesso aos outros IDS e Firewalls (Alertar através de email, contra-atacar).
Sistema de Detecção de Intrusão. Conclusões.