A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

IDS-Intrusion Detection System

PublicouGiuliana Vicente Alterado mais de 9 anos atrás

Apresentações semelhantes

Apresentação em tema: "IDS-Intrusion Detection System"— Transcrição da apresentação:

1 IDS-Intrusion Detection System
Chama-se IDS (Intrusion Detection System) a um mecanismo que ouve o tráfego na rede de maneira furtiva, para localizar atividades anormais ou suspeitas e permitindo assim ter uma acção de prevenção sobre os riscos de intrusão.

2 IDS-Intrusion Detection System
Existem duas grandes famílias distintas de IDS: Os N-IDS (Network Based Intrusion Detection System), asseguram a segurança a nível da rede. Os H-IDS (Host Based Intrusion Detection System),asseguram a segurança a nível dos hóspedes.

3 IDS-Intrusion Detection System
O N-IDS necessita um material dedicado e constitui um sistema capaz de controlar os pacotes que circulam numa ou várias ligações de rede, com o objetivo de descobrir se um ato malicioso ou anormal tem lugar.

4 IDS-Intrusion Detection System
O H-IDs comporta-se como um serviço num sistema hóspede. Tradicionalmente, o H-IDS analisa informações específicas nos diários de registros (syslogs, messages, lastlog, wtmp…) . Captura os pacotes de rede que entram/saem do hóspede, para detectar sinais de intrusões

5 IDS-Intrusion Detection System
As técnicas de detecção O tráfego da rede (Internet) é constituído geralmente por datagramas IP. O N-IDS é capaz de capturar os pacotes quando circulam nas ligações físicas sobre às quais está conectado. O N-IDS consiste numa pilha de TCP/IP que reúne os datagramas IP e as conexões TCP. Podemos aplicar as técnicas seguintes para reconhecer as intrusões:

6 IDS-Intrusion Detection System
Verificação da pilha protocolar : Um número de intrusões, como por exemplo “Ping-Of-Death” e “TCP Stealth Scanning” recorrem a violações dos protocolos IP, TCP, UDP, e ICMP com o objetivo de atacar uma máquina. Uma simples verificação protocolar pode realçar os pacotes inválidos e assinalar este tipo de técnica muito usada. Verificação dos protocolos aplicativos : Numerosas intrusões utilizam comportamentos protocolares inválidos, como por exemplo “WinNuke”, que utiliza dados NetBIOS inválidos (adição de dados OOB data). Para detectar eficazmente este tipo de intrusão, o N-IDS deve re-aplicar uma grande variedade de protocolos como NetBIOS, TCP/IP

7 IDS-Intrusion Detection System
Reconhecimento dos ataques por “Pattern Matching”: Esta técnica de reconhecimento de intrusões é o mais antigo método de análise do N-IDS e é ainda muito usada Esta técnica é generalizada nos NIDs de tipo “Network Grep”, baseado na captura dos pacotes brutos numa ligação supervisionada, e comparação via um parser de tipo “expressões regulares” que vai tentar fazer corresponder as sequências da base de assinaturas byte por byte com o conteúdo do pacote capturado.

8 IDS-Intrusion Detection System

9 IDS-Intrusion Detection System
O MODELO CONCEITUAL DE UMA FERRAMENTA DE IDS Devido a grande variedade de sistemas de IDS, foi proposto um modelo chamado CIDF (Common Intrusion Detection Framework) que agrupa um conjunto de componentes que define uma ferramenta de IDS: * Gerador de Eventos (E-boxes); * Analizador de Eventos (A-boxes); * Base de dados de Eventos (D-boxes); * Unidade de Resposta (R-boxes).

10 IDS-Intrusion Detection System
Segundo a padronização do CIDF, existe um modelo de linguagem para troca de informações entre os componentes, o CISL - Common Intrusion Specification Language - este formato é referenciado como GIDO - Generalized Intrusion Detection Objects. O Gerador de Eventos - (E-box) A função deste componente é obter os eventos a partir do meio externo ao CIDF, ou seja, ele "produz" os eventos mas não os processa, isso fica a cargo do componente especializado na função de processamento, que, por sua vez, após analisar os eventos (violação de política, anomalias, intrusão) envia os resultados para outros componentes.

11 IDS-Intrusion Detection System
O Analisador de Eventos - (A-box) Este componente, basicamente, recebe as informações de outros componentes, as analisa e as envia de forma resumida para outros componentes, ou seja, recebe os dados de forma bruta, faz um refinamento e envia para outros. A Base de Dados de Eventos - (D-box) A função deste componente é armazenar os eventos e/ou resultados para uma necessidade futura. A Unidade de Resposta - (R-box) Este componente é responsável pelas ações, ou seja, matar o processo, reinicializar a conexão, alterar a permissão de arquivos, notificar as estações de gerência, etc.

12 IPS-Intrusion Prevention System
Um sistema de prevenção de intruso (em inglês: Intrusion Prevention System) é um dispositivo de segurança de rede que monitora o tráfego e/ou atividades dos sistema em busca de comportamentos maliciosos ou não desejáveis, em tempo real, para bloquear ou prevenir essas atividades. Um IPS baseado em rede, por exemplo, vai operar em linha para monitorar todo o tráfego em busca de códigos maliciosos ou ataques. Quando um ataque é detectado, é possível bloquear os pacotes danosos enquanto o tráfego normal continua seu caminho.

13 IPS-Intrusion Prevention System

14 IPS-Intrusion Prevention System
Os IPS possuem algumas vantagens sobre sistemas de detecção de intrusão (IDS). Uma vantagem é que eles são projetados para estar em linha com os fluxos de tráfego e impedir ataques em tempo real. Além disso, a maioria das soluções IPS têm a capacidade de olhar (decodificar) 7 protocolos como HTTP, FTP, SMTP e que prevê uma maior sensibilização. A possibilidade de bloquear imediatamente as intrusões e independentemente do tipo de protocolo de transporte utilizado e sem reconfiguração de um equipamento terceiro. O que induz que o IPS é constituído como nativo numa técnica de filtragem de pacotes e meios de bloqueio (drop connection, drop offending packets, block intruder,…).

15 IPS-Intrusion Prevention System

16 IPS-Intrusion Prevention System

Carregar ppt "IDS-Intrusion Detection System"

Apresentações semelhantes

Honeypots e Honeynets PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS

Honeypots e Honeynets PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS
Pode ser uma máquina emulada ou uma máquina real na rede.

Pode ser uma máquina emulada ou uma máquina real na rede.
Sistema de Detecção de Intrusão.

Sistema de Detecção de Intrusão.
Bruno Rafael de Oliveira Rodrigues

Bruno Rafael de Oliveira Rodrigues
Firewall Campus Cachoeiro Curso Técnico em Informática

Firewall Campus Cachoeiro Curso Técnico em Informática
Mecanismo de Proteção (Prevenção e Detecção)

Mecanismo de Proteção (Prevenção e Detecção)
Sistemas de Detecção de Intrusão

Sistemas de Detecção de Intrusão
Introdução Ligações inter-redes.

Introdução Ligações inter-redes.
Modelo TCP/IP Versus Modelo OSI

Modelo TCP/IP Versus Modelo OSI
Principais ataques Engenharia social Coleta de informação Varredura

Principais ataques Engenharia social Coleta de informação Varredura
Arquitectura TCP/IP Camada de rede.

Arquitectura TCP/IP Camada de rede.
Firewall.

Firewall.
Firewalls.

Firewalls.
TCP/IP CAMADA DE APLICAÇÃO SERVIÇOS

TCP/IP CAMADA DE APLICAÇÃO SERVIÇOS
Modelo de Segurança para Ambientes Cooperativos

Modelo de Segurança para Ambientes Cooperativos
Modelo de referência OSI

Modelo de referência OSI
Sistemas de Detecção de Intrusão

Sistemas de Detecção de Intrusão
Firewall – Segurança nas redes

Firewall – Segurança nas redes
Sistemas de Detecção de Intrusão

Sistemas de Detecção de Intrusão
Redes de Computadores Sistema de Detecção de Intrusão Leonardo Machado

Redes de Computadores Sistema de Detecção de Intrusão Leonardo Machado

Apresentações semelhantes

Anúncios Google