Scribd Logo
Carica

Benvenuto in Scribd!

  • Ids Transparente

    Caricato da

    Raphael Diógenes
    11 visualizzazioni17 pagine

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formati disponibili

    PPT, PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Scarica in formato PPT, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    11 visualizzazioni17 pagine

    Ids Transparente

    Caricato da

    Raphael Diógenes

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Scarica in formato PPT, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 17

    Sistemas de Deteco de Intruso (IDS)

    Introduo

    Bolses de segurana: Provimento de servio para usurios internos e externos; O firewall pode funcionar como uma 1 linha de defesa. A autenticao tambm importante; O IDS: prov uma forma de monitorar usurios internos e externos:

    Introduo

    Intruso pode ser definido como qualquer conjunto de aes, que tentem comprometer a integridade, confidencialidade, ou disponibilidade de um recurso computacional; As respostas providas pelo IDS tm a funo de alertar ao administrador do sistema a ocorrncia de um ataque

    Introduo

    Introduo

    Um IDS tem por objetivo detectar atividades suspeitas, imprprias, incorretas ou anmalas. Trata-se de um elemento muito importante na defesa de uma organizao; Capaz de detectar ataques realizados por meio de portas legtimas, ou qualquer comportamento previamente autorizado, mesmo que seja previamente controlado pelo firewall;

    Caractersticas

    Um IDS funciona de acordo com uma srie de funes que, trabalhando de modo integrado, capaz de detectar, analisar e responder atividades suspeitas:

    Coleta de Informaes; Anlise das Informaes coletadas; Armazenamento das informaes; Funes do IDS Resposta s atividades suspeitas

    Caractersticas
    Conexo Bloquear conexo Trfego Suspeito Detectar; Analisar; Responder

    Permitir conexo Firewall

    Trfego Legtimo

    IDS

    O firewall libera conexes e o IDS detecta, notifica e responde a trfegos

    Caractersticas

    Aps a deteco da tentativa de ataque, uma das aes pode ser tomada:

    Reconfigurao do firewall; Alarme; Aviso SNMP para sistemas de gerenciamento de redes Evento do Windows; Gerao de logs; Gravao das informaes sob ataque; Gravao das evidncias do ataque; Finalizao da conexo; Etc...

    Metodologia de Deteco de Intruso

    Deteco por Anomalias

    Tem por objetivo identificar desvios de padro de utilizao de recursos. Partindo da premissa de que cada usurio possui um perfil de utilizao de recursos, qualquer desvio significativo pode indicar um ataque;

    Metodologia de Deteco de Intruso

    Deteco por Anomalias

    Intrusiva e anmala (verdadeiros positivos); Intrusiva e no anmala (falsos negativos); No intrusiva e anmala (falsos positivos) No intrusiva e no anmala (verdadeiros negativos)

    Metodologia de Deteco de Intruso

    Deteco por Assinaturas:

    Mais utilizadas nos IDSs; Gera menos falsos positivos do que os sistemas que utilizam sistemas de deteco de intruso por anomalia; Uma base de dados que contm informaes de padres de ataques (assinaturas) utilizada para fazer comparaes

    Metodologia de Deteco de Intruso

    Deteco por Assinaturas:

    Normalmente as assinaturas so constitudas de uma sequncia especfica de comandos de sistema


    GET /scripts/root.exe?/c+dir GET /MSADC/root.exe?/c+dir GET /c/winnt/system32/cmd.exe?/c+dir GET /d/winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir .... Assinatura do NIMDA

    Metodologia de Deteco de Intruso

    Deteco por Assinaturas:

    Deteco de Intruso atravs de sistemas especialistas; Reconhecimento de padres estatsticos; Probabilidade condicional

    Classificao de Intruso baseada no tipo de anlise

    Host-Based Intrusion Detection

    Fazem o monitoramento de um sistema com base em eventos registrados nos arquivos de logs

    Uso dos CPUs; Modificaes nos privilgios dos usurios; Acessos e modificaes em arquivos em sistemas; Processos do sistema; Programas que esto sendo executados

    Classificao de Intruso baseada no tipo de anlise

    Host-Based Intrusion Detection

    Principais vantagens:

    No precisam de hardware adicional; So independetes de topologia de rede; Geram poucos falsos positivos; Ataques que ocorrem fisicamente podem ser detectados; Dependncia do sistema operacional Incapacidade de detectar ataques de rede; O host monitorado apresenta perda de desempenho

    Principais desvantagens:

    Classificao de Intruso baseada no tipo de anlise

    Network-Based Intrusion Detection

    Monitoram o trfego de pacotes na rede onde os recursos esto situados; O monitoramento do se d mediante a captura de pacotes e a posterior anlise de seus contedos

    Classificao de Intruso baseada no tipo de anlise

    Network-Based Intrusion Detection

    Vantagens:

    No causa impacto no desempenho da rede; Ataques podem ser identificados em tempo real; Eficincia na deteco de port scanning; possvel detectar tentativas de ataque Incapacidade de monitorar informaes criptografadas; Pode haver perdas de pacotes em redes congestionados;

    Desvantagens:

    Potrebbero piacerti anche