A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;

PublicouHelena Losada Alterado mais de 9 anos atrás

Apresentações semelhantes

Apresentação em tema: "1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;"— Transcrição da apresentação:

1 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;

2 Introdução - Conceitos Detecção de Intrusão envolve: –Coletar e analisar informações; –Identificar e rastrear ataques; –Enviar respostas; Sistemas de Detecção de Intrusão (IDSs): –Ferramentas que executam a detecção de intrusão;

3 Introdução - Funcionamento Básico Consiste na monitoração de eventos –Rede, Host ou Aplicação; Visando identificar ataques; Ataques geram alertas; Opcionalmente podem ser enviadas respostas: –Encerramento de conexões, de processos, alteração em permissões de arquivos;

4 Introdução - Funcionamento Básico

5 Classificação - Método Baseado em Comportamento Cria um perfil para os usuários; Classifica o comportamento como normal ou anômalo; Procura por anomalias; Para situações consideradas anormais são gerados alertas;

6 Classificação - Método Baseado em Comportamento Vantagens: –Detecção de ataques deconhecidos; –Esforço de manutenção reduzido; Desvantagens: –Dificuldade de configuração; –Menor desempenho (cálculos complexos); –Dificuldade de lidar com mudanças normais de comportamento;

7 Classificação - Método Baseado em Comportamento Sistemas adaptativos: –Estabelece um padrão considerado normal horários, tipo de recurso, tipo de aplicação; –Alerta para situações fora do padrão; –Ex.: Acesso às 4hs da manhã Usuário do comercial compilando programas Programador utilizando impressora

8 Classificação - Método Baseado em Comportamento Análise estatística: –São montados modelos estatísticos do ambiente; –Eventos fora do modelo são considerados ataques em potencial; –Ex.: Tempo de sessão de Telnet; Quantidade de download/upload;

9 Classificação - Método Baseado em Conhecimento Semelhante ao funcionamento de anti- virus: –Deve existir uma base de ataques conhecidos; –A base deve sempre ser atualizada; Os eventos são comparados com as informações da base; Se um evento estiver na base, é gerado um alerta;

10 Classificação - Método Baseado em Conhecimento Vantagens: –Baixo número de alertas falsos; Desvantagens: –Só detecta ataques conhecidos; –Dificuldade de manutenção;

11 Classificação - Método Baseado em Conhecimento Análise de assinaturas: –Existe uma base de assinaturas; –Assinaturas são definições de ataques; –Compara os eventos com a base de assinaturas; –Ex.: “Comunicação da porta 80 TCP” “Acesso ao arquivo de senhas” “Acesso à tabela de salários”

12 Classificação – Segundo o Alvo Baseado em Host: –Monitora as informações do host em que está instalado; –Fortemente relacionado com o SO; –Trabalha com processos, usuários, arquivos e diretórios;

13 Classificação – Segundo o Alvo Baseado em Rede: –Monitora as informações da rede em que está instalado; –Está fortemente relacionado com os protocolos; –Trabalha com endereços IP, portas TCP/UCP;

14 Classificação – Segundo o Alvo Baseado em Aplicação: –Monitora as informações de uma aplicação específica; –Está fortemente relacionado com a natureza da aplicação; Banco de Dados ou Sistema Comercial; –Trabalha com tabelas, telas, funções;

15 Modelos de Arquitetura Existem diversos tipos de IDSs; Não possuem um padrão quanto à sua implementação; Modelos visam estabelecer um padrão de arquitetura para os IDSs;

16 Modelos de Arquitetura - IDWG

17 IDS Snort Um dos IDSs mais populares; Classificação: –Método de Detecção: Análise de Assinaturas; –Alvo: Rede; Possui uma grande base de assinaturas –Mais de 2000 assinaturas;

18 IDS Snort Disponível para Windows e Unix; Realiza a captura de pacotes de rede; Compara cabeçalhos e dados com as assinaturas; –Faz log ou gera alertas;

19 IDS Snort - Atributos da Regra Atributos básicos: –Ação: log, alert ou pass; –Protocolo: IP, TCP, UDP, ICMP, Any; –Endereço Origem/Destino: Home_Net, External_Net, Any, End. IP; –Porta Origem/Destino: Any, número da porta; –Msg: Texto descritivo;

20 IDS Snort – Exemplos de Regras alert icmp $HOME_NET any -> $HOME_NET any (msg:"Qualquer tipo de trafego ICMP foi gerado."); alert tcp $HOME_NET 146 -> $HOME_NET 1024 (msg:“Backdoor Activity“; content:”WHATISIT”; reference:cve,CAN- 2002-0013; sid:1415; rev:2; classtype:backdoor;);

21 IDS Snort - Flexresp Permite que o Snort envie respostas; Atua em conexões TCP e mensagens ICMP; Resposta adicionada na regra: –resp: [,...]

22 IDS Snort - Flexresp Resp_modifier pode ser: –rst_snd: envia TCP_RST para origem; –rst_rcv: envia TCP_RST para destino; –rst_all: envia TCP_RST para ambos; –icmp_net: envia rede desconhecida p/ origem; –icmp_host: envia host desconhecido p/ origem; –icmp_port: envia porta desconhecida p/ origem; –icmp_all: envia todas as opções acima p/ origem;

23 IDS Snort - Flexresp

24 IDS Snort – Modo Sniffer Apenas exibe pacotes monitorados;./snort –v: exibe IP,TCP,UDP e ICMP;./snort –vd: exibe dados da aplicação;./snort –vde: exibe informações de enlace;

25 IDS Snort – Modo Log Grava informações monitoradas em log;./snort -dev -l./log: especifica o local do log;

26 IDS Snort – Modo IDS Testa regras e gera alertas; É necessário informar o arquivo de configurações;./snort -dev -l./log -c snort.conf;

27 IDS Snort – Modo IDS Snort.conf: Definição de variáveis para assinaturas; –var FTP_Ports 20 21 Arquivos de assinaturas; –include $RULE_PATH/tftp.rules –include $RULE_PATH/icmp.rules

28 IDS Snort - Execução

29 Exemplo de Alerta gerado; Alguém deve ler os alertas; Ferramentas auxiliares: consoles;

Carregar ppt "1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;"

Apresentações semelhantes

Agenda Introdução Justificativa Objetivo Detecção de Spam

Agenda Introdução Justificativa Objetivo Detecção de Spam
Honeypots e Honeynets PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS

Honeypots e Honeynets PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS
Pode ser uma máquina emulada ou uma máquina real na rede.

Pode ser uma máquina emulada ou uma máquina real na rede.
Sistema de Detecção de Intrusão.

Sistema de Detecção de Intrusão.
Protocolos de Gerência de Redes

Protocolos de Gerência de Redes
Análise de Casos de Uso.

Análise de Casos de Uso.
Bruno Rafael de Oliveira Rodrigues

Bruno Rafael de Oliveira Rodrigues
Configuração de um servidor FTP

Configuração de um servidor FTP
Firewall Campus Cachoeiro Curso Técnico em Informática

Firewall Campus Cachoeiro Curso Técnico em Informática
Professor: João Paulo de Brito Gonçalves Curso Técnico de Informática

Professor: João Paulo de Brito Gonçalves Curso Técnico de Informática
Profa. Ana Cristina Benso da Silva Disciplina: Redes de Computadores

Profa. Ana Cristina Benso da Silva Disciplina: Redes de Computadores
Roteamento Parte #1 Profa. Ana Cristina Benso da Silva Disciplina: Redes de Computadores.

Roteamento Parte #1 Profa. Ana Cristina Benso da Silva Disciplina: Redes de Computadores.
Mecanismo de Proteção (Prevenção e Detecção)

Mecanismo de Proteção (Prevenção e Detecção)
Sistemas de Detecção de Intrusão

Sistemas de Detecção de Intrusão
Ataques a Sistemas Operacionais

Ataques a Sistemas Operacionais
Avaliação de Desempenho Universidade de São Paulo Instituto de Ciências Matemáticas e de Computação Departamento de Sistemas de Computação Marcos José

Avaliação de Desempenho Universidade de São Paulo Instituto de Ciências Matemáticas e de Computação Departamento de Sistemas de Computação Marcos José
Avaliação de Desempenho

Avaliação de Desempenho
CONCEITO BÁSICO DE REDE

CONCEITO BÁSICO DE REDE
Sistemas de Detecção de Intrusão

Sistemas de Detecção de Intrusão
Arquitetura. Transferência de Arquivos – FTP Transferência de arquivos em sistemas remotos Utiliza o protocolo FTP sobre uma conexão TCP Estabelece conexão.

Arquitetura. Transferência de Arquivos – FTP Transferência de arquivos em sistemas remotos Utiliza o protocolo FTP sobre uma conexão TCP Estabelece conexão.

Apresentações semelhantes

Anúncios Google