Carregar apresentação
A apresentação está carregando. Por favor, espere
PublicouHelena Losada Alterado mais de 9 anos atrás
1
1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;
2
Introdução - Conceitos Detecção de Intrusão envolve: –Coletar e analisar informações; –Identificar e rastrear ataques; –Enviar respostas; Sistemas de Detecção de Intrusão (IDSs): –Ferramentas que executam a detecção de intrusão;
3
Introdução - Funcionamento Básico Consiste na monitoração de eventos –Rede, Host ou Aplicação; Visando identificar ataques; Ataques geram alertas; Opcionalmente podem ser enviadas respostas: –Encerramento de conexões, de processos, alteração em permissões de arquivos;
4
Introdução - Funcionamento Básico
5
Classificação - Método Baseado em Comportamento Cria um perfil para os usuários; Classifica o comportamento como normal ou anômalo; Procura por anomalias; Para situações consideradas anormais são gerados alertas;
6
Classificação - Método Baseado em Comportamento Vantagens: –Detecção de ataques deconhecidos; –Esforço de manutenção reduzido; Desvantagens: –Dificuldade de configuração; –Menor desempenho (cálculos complexos); –Dificuldade de lidar com mudanças normais de comportamento;
7
Classificação - Método Baseado em Comportamento Sistemas adaptativos: –Estabelece um padrão considerado normal horários, tipo de recurso, tipo de aplicação; –Alerta para situações fora do padrão; –Ex.: Acesso às 4hs da manhã Usuário do comercial compilando programas Programador utilizando impressora
8
Classificação - Método Baseado em Comportamento Análise estatística: –São montados modelos estatísticos do ambiente; –Eventos fora do modelo são considerados ataques em potencial; –Ex.: Tempo de sessão de Telnet; Quantidade de download/upload;
9
Classificação - Método Baseado em Conhecimento Semelhante ao funcionamento de anti- virus: –Deve existir uma base de ataques conhecidos; –A base deve sempre ser atualizada; Os eventos são comparados com as informações da base; Se um evento estiver na base, é gerado um alerta;
10
Classificação - Método Baseado em Conhecimento Vantagens: –Baixo número de alertas falsos; Desvantagens: –Só detecta ataques conhecidos; –Dificuldade de manutenção;
11
Classificação - Método Baseado em Conhecimento Análise de assinaturas: –Existe uma base de assinaturas; –Assinaturas são definições de ataques; –Compara os eventos com a base de assinaturas; –Ex.: “Comunicação da porta 80 TCP” “Acesso ao arquivo de senhas” “Acesso à tabela de salários”
12
Classificação – Segundo o Alvo Baseado em Host: –Monitora as informações do host em que está instalado; –Fortemente relacionado com o SO; –Trabalha com processos, usuários, arquivos e diretórios;
13
Classificação – Segundo o Alvo Baseado em Rede: –Monitora as informações da rede em que está instalado; –Está fortemente relacionado com os protocolos; –Trabalha com endereços IP, portas TCP/UCP;
14
Classificação – Segundo o Alvo Baseado em Aplicação: –Monitora as informações de uma aplicação específica; –Está fortemente relacionado com a natureza da aplicação; Banco de Dados ou Sistema Comercial; –Trabalha com tabelas, telas, funções;
15
Modelos de Arquitetura Existem diversos tipos de IDSs; Não possuem um padrão quanto à sua implementação; Modelos visam estabelecer um padrão de arquitetura para os IDSs;
16
Modelos de Arquitetura - IDWG
17
IDS Snort Um dos IDSs mais populares; Classificação: –Método de Detecção: Análise de Assinaturas; –Alvo: Rede; Possui uma grande base de assinaturas –Mais de 2000 assinaturas;
18
IDS Snort Disponível para Windows e Unix; Realiza a captura de pacotes de rede; Compara cabeçalhos e dados com as assinaturas; –Faz log ou gera alertas;
19
IDS Snort - Atributos da Regra Atributos básicos: –Ação: log, alert ou pass; –Protocolo: IP, TCP, UDP, ICMP, Any; –Endereço Origem/Destino: Home_Net, External_Net, Any, End. IP; –Porta Origem/Destino: Any, número da porta; –Msg: Texto descritivo;
20
IDS Snort – Exemplos de Regras alert icmp $HOME_NET any -> $HOME_NET any (msg:"Qualquer tipo de trafego ICMP foi gerado."); alert tcp $HOME_NET 146 -> $HOME_NET 1024 (msg:“Backdoor Activity“; content:”WHATISIT”; reference:cve,CAN- 2002-0013; sid:1415; rev:2; classtype:backdoor;);
21
IDS Snort - Flexresp Permite que o Snort envie respostas; Atua em conexões TCP e mensagens ICMP; Resposta adicionada na regra: –resp: [,...]
22
IDS Snort - Flexresp Resp_modifier pode ser: –rst_snd: envia TCP_RST para origem; –rst_rcv: envia TCP_RST para destino; –rst_all: envia TCP_RST para ambos; –icmp_net: envia rede desconhecida p/ origem; –icmp_host: envia host desconhecido p/ origem; –icmp_port: envia porta desconhecida p/ origem; –icmp_all: envia todas as opções acima p/ origem;
23
IDS Snort - Flexresp
24
IDS Snort – Modo Sniffer Apenas exibe pacotes monitorados;./snort –v: exibe IP,TCP,UDP e ICMP;./snort –vd: exibe dados da aplicação;./snort –vde: exibe informações de enlace;
25
IDS Snort – Modo Log Grava informações monitoradas em log;./snort -dev -l./log: especifica o local do log;
26
IDS Snort – Modo IDS Testa regras e gera alertas; É necessário informar o arquivo de configurações;./snort -dev -l./log -c snort.conf;
27
IDS Snort – Modo IDS Snort.conf: Definição de variáveis para assinaturas; –var FTP_Ports 20 21 Arquivos de assinaturas; –include $RULE_PATH/tftp.rules –include $RULE_PATH/icmp.rules
28
IDS Snort - Execução
29
Exemplo de Alerta gerado; Alguém deve ler os alertas; Ferramentas auxiliares: consoles;
Apresentações semelhantes
© 2024 SlidePlayer.com.br Inc.
All rights reserved.