A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança de ambiente utilizando IDS/IPS

PublicouJoão Lucas Gama de Oliveira Alterado mais de 6 anos atrás

Apresentações semelhantes

Apresentação em tema: "Segurança de ambiente utilizando IDS/IPS"— Transcrição da apresentação:

1 Segurança de ambiente utilizando IDS/IPS
Augusto Pannebecker Fernandes ( ) 22/05/2012

2 Augusto Pannebecker Fernandes – 35 anos
Apresentação Augusto Pannebecker Fernandes – 35 anos Formação: Analista de Sistemas; Pós Graduando em Segurança da Informação; Técnico em Eletrônica e Informática Industrial; Experiência: 18 anos em TI; Suporte de Rede/Telecom, Security Analyst; Protocolos de Roteamento, Wi-Max; Gerenciamento de redes, Resolução de Incidentes; Colaborador da Revista Segurança Digital (segurancadigital.info);

3 Agenda 1- Conceitos 2- Funcionamento IDS/IPS
3- Aplicação em Topologias de rede 4- Comparação Appliance ou Snort 5- IPS x Ataques 6- Boas práticas de Segurança 7- Considerações Finais 8- Projeto POASEC.org 9- Perguntas?

4 Conceitos IDS Intrusion Detection System – Sistema de Detecção de Intrusão São dispositivos de monitoria capazes de detectar a ocorrência de um ataque ou comportamento anormal no ambiente e produzir um aviso. Suas principais funções são: Detectar tentativas de ataques; Informar sobre as ocorrências de invasão;

5 Conceitos IPS Detecta tentativas de intrusão;
Intrusion Prevention System – Sistema de Prevenção de Intrusão O IPS assim como o IDS inspeciona os pacotes na rede e toma ações de bloqueio de maneira a proteger o ambiente contra ataques. Suas principais funções: Detecta tentativas de intrusão; Ações de bloqueio dos ataques; Avisa sobre as tentativas de invasão;

6 Inspeção do tráfego de um segmento ou de uma rede inteira;
Conceitos Atuação de um IDS/IPS NIDS – Network IDS: Inspeção do tráfego de um segmento ou de uma rede inteira; HIDS – Host IDS: Inspeção de eventos de Host através de agentes instalados no próprio. Estes eventos podem ser: uso de CPU, processos, programas, etc.

7 Conceitos Falha / Erro / Defeito IDS:
Conhece a Falha (vulnerabilidade); Detecta o Erro (ataque); Avisa de possibilidade de ocorrência de Defeito (uso do ataque para explorar a vulnerabilidade);

8 Conceitos Falha / Erro / Defeito IPS:
Conhece a Falha (vulnerabilidade); Detecta o Erro (ataque); Bloqueia o uso do ataque evitando a ocorrência de Defeito;

9 Funcionamento IDS/IPS
O Funcionamento de um IDS/IPS assemelha-se ao de um software Anti-Vírus. Fazem uma inspeção no tráfego à procura de código malicioso e comparam a um banco de dados de vulnerabilidades disponibilizado pelo fabricante. Diferença está na camada de atuação, o anti-vírus atua em camada de aplicação e o IDS/IPS na camada de rede.

10 Funcionamento IDS/IPS
Baseado em filtros (vacinas) disponibilizados pelos fabricantes; Fabricantes mantém laboratórios especializados para criação de vacinas tão logo vulnerabilidades são descobertas; As vulnerabilidades são descobertas por laboratórios próprios, ou por profissionais independentes com contrato de sigilo; Fabricantes remuneram a descoberta de novas vulnerabilidades; HP TippingPoint- Zero-Day Initiative (

11 Funcionamento IDS/IPS
Método OutLine; Sniffer (escuta) na rede; Inspeciona tráfego e avisa de anomalias;

12 Funcionamento IDS/IPS
Método InLine; Tráfego obrigatoriamente passa pelo equipamento; Inspeciona o tráfego e bloqueia anomalias;

13 Funcionamento IDS/IPS
Tipos de inspeção 1- Anomalia de tráfego: SYN Flood; Scan na rede (Nmap); Exploits; Scripts; 2- Vulnerabilidades conhecidas: Vírus; Malware; Spam; Trojan;

14 Aplicação em Topologias de Rede
IDS/IPS na borda da rede

15 Aplicação em Topologias de Rede
IDS/IPS na borda da rede Vantagens: Isolamento da rede; Proteção de todo ambiente; Desvantagens: Possibilidade de aumento de alertas falso-positivo; Latência na rede; Ataque direto ao equipamento; Necessita de hardware robusto (custo elevado);

16 Aplicação em Topologias de Rede
IDS/IPS após o Firewall

17 Aplicação em Topologias de Rede
IDS/IPS após o Firewall Vantagens: Inspeção de tráfego interno; Isolamento da rede externa (protegido pelo FW); Redução de alertas falso-positivos; Desvantagens: Ambiente parcialmente protegido; Firewall desprotegido; Redução de relatórios de ataques;

18 Comparação Appliance e Snort
Processadores em série (InLine); Hardware e software integrados; Equipamento proprietário fabricado para uma determinada aplicação; Utiliza processadores FPGA (alto custo); Sistema Operacional VXWORKS (Nasa, aviação, etc);

19 Comparação Appliance e Snort

20 Comparação Appliance e Snort

21 Comparação Appliance e Snort

22 Comparação Appliance e Snort
Software de código aberto; Muito utilizado em Appliances; Especialmente projetado para função de IDS;

23 Comparação Appliance e Snort
Vantagens: Atualização do fabricante; Hardware robusto; Ausência de latência; Desvantagens: Custo;

24 Comparação Appliance e Snort
Vantagens: Custo; Customização de software; Desvantagens: Latência; Hardware;

25 Comparação Appliance e Snort
O Snort é projetado unicamente como IDS, para uso como IPS o mesmo deve ser integrado com outra aplicação para bloqueio de tráfego malicioso, como PFSense ou IPTables, porém esta opção deve ser cuidadosamente estudada pois pode ocorrer no aumento de falsos-positivos. Suricata : projeto atual do Snort

26 Dúvidas recorrentes ao uso de um IPS:
IPS x Ataques Dúvidas recorrentes ao uso de um IPS: 1 - Um IPS pode oferecer 100% de Segurança ? Resposta: Não existe 100% de segurança ! 2 - Um IPS pode mitigar um ataque DoS ? Resposta : Sim ! 3 - Um IPS pode mitigar um ataque DDoS ? Resposta: Depende da Escala do ataque !!!

27 Solução : Privalia (ARBOR)
IPS x Ataques Ataques DDoS Efeito funil (tráfego supera banda); Escala do ataque (número de atacantes); Roteamento simétrico; Ataques DDoS de larga escala não tem tratamento sem bloqueio do tráfego na operadora !!! Solução : Privalia (ARBOR)

28 Boas Práticas de Segurança
Algumas sugestões: 1 – Servidor de logs: Centralização dos logs dos ativos em um banco de dados de logs; 2 – Aplicar um HIDS sobre o servidor de logs; 3 – Servidor de Tempo: objetivo de sincronizar diariamente o relógio de todos os ativos que utilizam o servidor de log;

29 Considerações Finais O uso de um IPS na borda da rede oferece a maior proteção ao ambiente, porém a um custo elevado, pois é necessário um appliance (hardware robusto), de maneira a não ocorrer latência na rede; Um IDS oferece um maior gerenciamento do ambiente ao administrador, visto que o mesmo tem alertas e pode verificar todo o tráfego da rede ou de um host específico;

30 Considerações Finais O fato de instalar uma solução de IDS/IPS não traz 100% de segurança ao ambiente, são necessárias outras ações para prover maior segurança possível; Uma análise de risco e de custo devem ser feitas para determinar a melhor solução, baseada na relação custo benefício;

31 Projeto POASEC.org PoaSec é uma comunidade livre sediada na região de Porto Alegre, Rio Grande do Sul, com o objetivo de difundir a Segurança da Informação. Fundada em 2010,  conta com mais de 120 membros entre especialistas, pesquisadores, professores universitários, alunos, interessados em geral, inclusive policiais, advogados, militares e funcionários de grandes empresas de diversos setores como Alimentação, Financeiro, Indústria, Militar, Saúde, Telecomunicações e Serviços.

32 Perguntas ?

33 Obrigado !!! Augusto Pannebecker Fernandes ( augustopan@poasec.org )

Carregar ppt "Segurança de ambiente utilizando IDS/IPS"

Apresentações semelhantes

Sistema de Detecção de Intrusão.

Sistema de Detecção de Intrusão.
Sistemas de Detecção de Intrusão

Sistemas de Detecção de Intrusão
IDS - Sistemas de Detecção de Intrusão (Intrusion Detection System)‏

IDS - Sistemas de Detecção de Intrusão (Intrusion Detection System)‏
Segurança da Informação – SI

Segurança da Informação – SI
IDS (Intrusion Detection System) Sistemas de Detecção de Intrusão

IDS (Intrusion Detection System) Sistemas de Detecção de Intrusão
Vagner Alves dos Santos Alexandre Lemke Vagner Alves dos Santos Alexandre Lemke.

Vagner Alves dos Santos Alexandre Lemke Vagner Alves dos Santos Alexandre Lemke.
1 SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL FACULDADE DE TECNOLOGIA SENAC PELOTAS Rafael Nunes Folha Trabalho de Conclusão de Curso Orientador: Eduardo.

1 SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL FACULDADE DE TECNOLOGIA SENAC PELOTAS Rafael Nunes Folha Trabalho de Conclusão de Curso Orientador: Eduardo.
Redes de Computadores 5º Semestre Aula 11 - 12 Prof. Carlos Vinícius SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL FACULDADE DE TECNOLOGIA.

Redes de Computadores 5º Semestre Aula Prof. Carlos Vinícius SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL FACULDADE DE TECNOLOGIA.
CACIC Inventário de Hardware e Software para o Governo Federal.

CACIC Inventário de Hardware e Software para o Governo Federal.
SISTEMA DE CONTROLE DE ACESSO, FREQÜÊNCIA E GESTÃO DE PERMISSÃO PARA AMBIENTE ACADÊMICO LEONARDO DENARDI ORIENTADOR: JACQUES ROBERT HECKMANN.

SISTEMA DE CONTROLE DE ACESSO, FREQÜÊNCIA E GESTÃO DE PERMISSÃO PARA AMBIENTE ACADÊMICO LEONARDO DENARDI ORIENTADOR: JACQUES ROBERT HECKMANN.
Segurança Livre Análise de Vulnerabilidades usando Ferramentas Livres Alexandro Silva III Festival de SW.

Segurança Livre Análise de Vulnerabilidades usando Ferramentas Livres Alexandro Silva III Festival de SW.
Sistema Web para Gerenciamento SNMP de Impressão Terceirizada da FURB Rodrigo Antonio Müller Orientador: Francisco Adell Péricas.

Sistema Web para Gerenciamento SNMP de Impressão Terceirizada da FURB Rodrigo Antonio Müller Orientador: Francisco Adell Péricas.
07/06/2011 1 João Paulo Pizani Flor (http://www.lisha.ufsc.br) Síntese comportamental de componentes de um Sistema Operacional em hardware João Paulo Pizani.

07/06/ João Paulo Pizani Flor ( Síntese comportamental de componentes de um Sistema Operacional em hardware João Paulo Pizani.
MONITORAMENTO DE DISPOSITIVOS DE REDE E SERVIDORES UTILIZANDO SNMP Luciano Lingnau Orientador: Francisco Adell Péricas.

MONITORAMENTO DE DISPOSITIVOS DE REDE E SERVIDORES UTILIZANDO SNMP Luciano Lingnau Orientador: Francisco Adell Péricas.
DNS Domain Name System. O que é o DNS ?  O DNS ( D omain N ame S ystem - Servidor de Nomes de Domínios) é um sistema de gerenciamento de nomes hierárquicos.

DNS Domain Name System. O que é o DNS ?  O DNS ( D omain N ame S ystem - Servidor de Nomes de Domínios) é um sistema de gerenciamento de nomes hierárquicos.
Disciplina: Gerenciamento e Desenvolvimento em Banco de Dados Professora: Chaiene Minella, MSc

Disciplina: Gerenciamento e Desenvolvimento em Banco de Dados Professora: Chaiene Minella, MSc
- 39 Etec Cidade Tiradentes Curso técnico de Química Aplicativos informatizados (Informática)

- 39 Etec Cidade Tiradentes Curso técnico de Química Aplicativos informatizados (Informática)
Curso técnico de Administração Aplicativos informatizados (Informática)

Curso técnico de Administração Aplicativos informatizados (Informática)
SOFTWARE DE GERENCIAMENTO DE LIBERAÇÃO E ATUALIZAÇÃO DE VERSÃO EDUARDO SIEMANN ORIENTADOR: JHONY ALCEU PEREIRA.

SOFTWARE DE GERENCIAMENTO DE LIBERAÇÃO E ATUALIZAÇÃO DE VERSÃO EDUARDO SIEMANN ORIENTADOR: JHONY ALCEU PEREIRA.
Marcelo Lazari Marcelo Salles Telefones: (21) Marcelo Lazari Marcelo Salles

Marcelo Lazari Marcelo Salles Telefones: (21) Marcelo Lazari Marcelo Salles

Apresentações semelhantes

Anúncios Google