SlideShare una empresa de Scribd logo

Ids

Descargar como PPT, PDF
C
Caniap

O documento descreve os principais tipos de sistemas de detecção de intrusão, incluindo IDS baseados em host, IDS baseados em rede, IPS e honeypots. Ele discute as características, funções, vantagens e desvantagens de cada tipo.

1 de 28
Sistemas de Detecção de Intrusão
Características  Funciona como um alarme.  Detecção com base em algum tipo de conhecimento:  Assinaturas de ataques.  Aprendizado de uma rede neural.  Detecção com base em comportamento anômalo.  IPS: Intrusion Prevention System
Características  A detecção é realizada com a captura de pacotes, analisando os cabeçalhos e o campo de carga útil dos pacotes, que são comparados com padrões ou assinaturas conhecidas.  Um IPS tem o objetivo de prevenir os ataques e diminuir a quantidade de alarmes falsos.
Firewall libera conexão e IDS detecta.
Funções do IDS  Coleta de informações  Análise de informações  Armazena informações  Responde às atividades suspeitas
Tipos  Tipos de IDS  IDS baseado em Host.  IDS baseado em Rede.  IDS híbrido.  Tipos de IPS  IDS baseado em Host.  IDS baseado em Rede.  Honeypots
HIDS - IDS baseado em Host  Monitoramento de sistemas (máquinas).  Tomam as informações nos arquivos de logs ou de agentes de auditoria.  Monitoram acessos e alterações em arquivos do sistema, modificações em privilégios dos usuários, processos do sistema e programas em execução.  Arquivos corrompidos podem ser backdoors.
Exemplos de HIDS  Tripware  Swatch  Portsentry (pode usar o TCP Wrapper)  Outros  Obs: TCP Wrapper is a host-based network ACL system, used to filter network access to Internet protocol services run on (Unix-like) operating systems such as Linux or BSD.
Características fortes dos HIDS  Verificar o sucesso ou falha de um ataque.  Ataques que ocorrem fisicamente num servidor podem ser detectados.  Ataques que utilizam criptografia podem não ser notados pelos NIDS, mas descobertos pelos HIDS, pois o SO primeiro decifra os pacotes.  Independem da topologia da rede.  Geram poucos “falsos positivos”, que são alarmes falsos de ataques.  Não necessita de hardware adicional.
Características fracas dos HIDS  Fica difícil de configurar e gerenciar em todos os hosts de uma rede.  É dependente do SO. HIDS para Linux é diferente de um HIDS windows.  Não é capaz de detectar atqques de rede como Smurf. Obs: The smurf attack, named after its exploit program, is a denial-of-service attack that uses spoofed broadcast ping messages to flood a target system.
Características fracas dos HIDS  Necessita de espaço de armazenamento adicional para os registros do sistema.  Não têm bom desempenho em sistemas operacionais que geram poucas informações de auditoria.  Apresenta diminuição do desempenho do host monitorado.
HIDS - IDS baseado em Host  Acesso a arquivos.  Integridade de arquivos.  Varredura de portas  Modificação e privilégios de usuários.  Processos do sistema.  Execução de programas.  Uso de CPU.  Conexões.
IDS baseado em Rede  Monitora o tráfego no segmento de rede.  Interface de rede atuando no modo prosmícuo.  Detecção realizada com a captura de pacotes e análise dos cabeçalhos e conteúdos.
Exemplos de NIDS:  RealSecure,  NFR,  Snort
Componentes dos NIDS  Os sensores que cuidam dos segmentos de redes, fazem a captura, formatação de dados e análise de tráfego.  Gerenciador: fazem com que os sensores sejam administrados de modo integrado, com a definição dos tipos de resposta para cada tipo de comportamento suspeito detectado.  A comunicação entre sensores e gerenciador é criptografada.
Características Positivas dos NIDS  Monitoramento pode ser fornecido por múltiplas plataformas.  Ataques como: port scanning, IP spoofing, SYN flooding e Teardrop podem ser detectados.  Pode monitorar portas conhecidas como a porta TCP 80 do HTTP.
Características Positivas dos NIDS  Pode detectar tentativas de ataques (ataques que não tiveram resultados).  Fica mais difícil um cracker apagar seu rastro.  Impõe dificuldades para o cracker saber se existe ou não um NIDS.  Não causa impacto no desempenho da rede.
Características negativas dos NIDS  Não são capazes de monitorar tráfego cifrado.  Perda de pacotes em redes saturadas.
Hybrid IDS  Desvantagens dos HIDS.  Desvantagens dos NIDS.  No mundo real, pode-se verificar que a melhor estratégia é utilizar ambos os tipos para a proteção dos recursos da organização.  Em servidores Web, NIDS são capazes de detectar SYN Flooding, IP spoofing, Teardrop e port scanning, mas somente um HIDS é capaz de detectar um Web defacement (pixação do site).
Honeypots  Funcionam como armadilhas para os crackers.  Não contém dados ou informações importantes para a organização.  Seu único propósito é passar-se por um equipamento legítimo da organização.  É configurado para interagir como o atacante.  Detalhes de ataques podem ser capturados e estudados.
Tipos de Honeypots  Sacrificial Lambs Sistemas disponibilizados com sua configuração padrão. Perigo: ser usado como ponto de origem para novos ataques.
Tipos de Honeypots  Facades Emulam serviços, ao invés de diponibilizarem servidores reais. Não podem ser usados como pontos de origem para novos ataques. Não existem vulnerabilidades nos serviços emulados. Pouca informação sobre ataques.
Tipos de Honeypots  Instrumental Systems: Previne que o sistema seja usado para novos ataques, mas provêem muitas informações sobre eles, mantendo os atacantes interessados no sistema.
Posicionamento dos Honeypots  Minefield  Inserido juntamente com os servidores reais de uma DMZ.  Parte do princípio que quando um sistema é atacado, ele é usado para descobrir outros  Caso o Honeypot seja atacado, as informações sobre o ataque já passam a estar disponíveis.  Quando um sistema real é atacado, o honeypot identifica o ataque, assim que o sistema atacado inicie o scannimg da rede, para descobrir outros pontos de ataque.
Posicionamento dos Honeypots  Shield  Inserido juntamente com os servidores reais de uma DMZ.  O Honeypot recebe o tráfego considerado suspeito, baseado nos serviços.  O Firewall ou o roteador direciona todo o tráfego não condizente com cada sistema, para o Honeypot, que passa a receber as informações do atacante.  Para um servidor Web, recebe todo tráfego HTTP, mas outros tráfegos para esse servidor é direcionado para o Honeypot.
Posicionamento dos Honeypots  Honeynet  Inserido juntamente com os servidores reais de DMZs.  É uma rede de honeypots.  Pode misturar sacrificial lambs, facades e instrumental systems.
Resultados possíveis de uma análise  Tráfego suspeito detectado (comportamento normal.  Tráfego suspeito não detectado (falso negativo).  Tráfego legítimo que o IDS analisa como sendo suspeito (falso positivo).  Tráfego legítimo que o IDS analisa como sendo normal (comportamento normal).
Metodologia de detecção  Baseado no conhecimento.  Base de assinaturas de ataques conhecidos  Rede neural.  Baseado no comportamento.  Desvios dos usuários ou dos sistemas, quanto a um padrão de normalidade.  Análise estatística afim de encontrar possíveis mudanças de comportamento: por exemplo, aumento súbito de tráfego.  Problemas: falsos negativos e muitos falsos positivos.

Recomendados

História e evolução do computadores
História e evolução do computadoresHistória e evolução do computadores
História e evolução do computadoresUEG
 
Trabalho sobre a Internet
Trabalho sobre a InternetTrabalho sobre a Internet
Trabalho sobre a InternetLuccasNeves
 
Aula 01 - História da Computação
Aula 01 - História da ComputaçãoAula 01 - História da Computação
Aula 01 - História da ComputaçãoSuzana Viana Mota
 
Uma introdução ao multimédia: conceitos básicos
Uma introdução ao multimédia: conceitos básicosUma introdução ao multimédia: conceitos básicos
Uma introdução ao multimédia: conceitos básicosLuis Borges Gouveia
 
Desenvolvimento Dos Si
Desenvolvimento Dos SiDesenvolvimento Dos Si
Desenvolvimento Dos SiRobson Silva Espig
 
Internet: evolução e serviços
Internet: evolução e serviçosInternet: evolução e serviços
Internet: evolução e serviçosAgrupamento de Escolas da Batalha
 
Introdução a internet
Introdução a internet Introdução a internet
Introdução a internet filipereira
 
Tecnicas de conversão e compressão; Redes de comunicação 1º Módulo
Tecnicas de conversão e compressão; Redes de comunicação 1º MóduloTecnicas de conversão e compressão; Redes de comunicação 1º Módulo
Tecnicas de conversão e compressão; Redes de comunicação 1º MóduloIgor Santos
 

Recomendados

História e evolução do computadores
História e evolução do computadoresHistória e evolução do computadores
História e evolução do computadoresUEG
 
Trabalho sobre a Internet
Trabalho sobre a InternetTrabalho sobre a Internet
Trabalho sobre a InternetLuccasNeves
 
Aula 01 - História da Computação
Aula 01 - História da ComputaçãoAula 01 - História da Computação
Aula 01 - História da ComputaçãoSuzana Viana Mota
 
Uma introdução ao multimédia: conceitos básicos
Uma introdução ao multimédia: conceitos básicosUma introdução ao multimédia: conceitos básicos
Uma introdução ao multimédia: conceitos básicosLuis Borges Gouveia
 
Desenvolvimento Dos Si
Desenvolvimento Dos SiDesenvolvimento Dos Si
Desenvolvimento Dos SiRobson Silva Espig
 
Internet: evolução e serviços
Internet: evolução e serviçosInternet: evolução e serviços
Internet: evolução e serviçosAgrupamento de Escolas da Batalha
 
Introdução a internet
Introdução a internet Introdução a internet
Introdução a internet filipereira
 
Tecnicas de conversão e compressão; Redes de comunicação 1º Módulo
Tecnicas de conversão e compressão; Redes de comunicação 1º MóduloTecnicas de conversão e compressão; Redes de comunicação 1º Módulo
Tecnicas de conversão e compressão; Redes de comunicação 1º MóduloIgor Santos
 
Teste PowerPoint
Teste PowerPointTeste PowerPoint
Teste PowerPointLaurinda Castro
 
Sistema de ficheiros
Sistema de ficheirosSistema de ficheiros
Sistema de ficheirosATEC
 
Apresentação de Internet
Apresentação de InternetApresentação de Internet
Apresentação de InternetCDP_Online
 
Inf basica modulo2
Inf basica modulo2Inf basica modulo2
Inf basica modulo2Gerzi Frazão
 
PowerShell
PowerShellPowerShell
PowerShellWellington Oliveira
 
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)Leinylson Fontinele
 
[José Ahirton Lopes] Aula 01 - Introdução a Inteligência Artificial
[José Ahirton Lopes] Aula 01 - Introdução a Inteligência Artificial[José Ahirton Lopes] Aula 01 - Introdução a Inteligência Artificial
[José Ahirton Lopes] Aula 01 - Introdução a Inteligência ArtificialAhirton Lopes
 
Montagem manutenção de computadores
Montagem manutenção de computadoresMontagem manutenção de computadores
Montagem manutenção de computadoressetilsonadobmov
 
Introdução à Informática (Módulo 1)
Introdução à Informática (Módulo 1)Introdução à Informática (Módulo 1)
Introdução à Informática (Módulo 1)marconesilfer
 
Plano de Sessão da PIP
Plano de Sessão da PIPPlano de Sessão da PIP
Plano de Sessão da PIPDebora_Marques
 
Tecnologias da Informacao E Comunicacao
Tecnologias da Informacao E ComunicacaoTecnologias da Informacao E Comunicacao
Tecnologias da Informacao E ComunicacaoM Fernanda Santos
 
Redes de computadores
Redes de computadoresRedes de computadores
Redes de computadoreskarolayne souza
 
Os principais serviços de internet
Os principais serviços de internetOs principais serviços de internet
Os principais serviços de internetjogos_do_dvd
 
Aula 01 informatica basica - introducao a informatica
Aula 01 informatica basica - introducao a informaticaAula 01 informatica basica - introducao a informatica
Aula 01 informatica basica - introducao a informaticaKassiana Marques
 
Tic-excel-01
Tic-excel-01 Tic-excel-01
Tic-excel-01 diogoa21
 
Aula - Internet
Aula - InternetAula - Internet
Aula - InternetVinicius Luciano Menezes Cotrim
 
Aula 01 fundamentos da informática
Aula 01 fundamentos da informáticaAula 01 fundamentos da informática
Aula 01 fundamentos da informáticaGilberto Campos
 
Computação forense
Computação forenseComputação forense
Computação forenseRamyres Aquino
 
Informática e suas tecnologias
Informática e suas tecnologiasInformática e suas tecnologias
Informática e suas tecnologiasAndrey Martins
 
Slide internet
Slide internetSlide internet
Slide internetClaudinéia da Silva
 
215610229 seguranca-de-redes
215610229 seguranca-de-redes215610229 seguranca-de-redes
215610229 seguranca-de-redesMarco Guimarães
 
Cidade ideal apresentação IDS
Cidade ideal apresentação IDSCidade ideal apresentação IDS
Cidade ideal apresentação IDSPedrokelson
 

Más contenido relacionado

La actualidad más candente

Sistema de ficheiros
Sistema de ficheirosSistema de ficheiros
Sistema de ficheirosATEC
 
Apresentação de Internet
Apresentação de InternetApresentação de Internet
Apresentação de InternetCDP_Online
 
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)Leinylson Fontinele
 
[José Ahirton Lopes] Aula 01 - Introdução a Inteligência Artificial
[José Ahirton Lopes] Aula 01 - Introdução a Inteligência Artificial[José Ahirton Lopes] Aula 01 - Introdução a Inteligência Artificial
[José Ahirton Lopes] Aula 01 - Introdução a Inteligência ArtificialAhirton Lopes
 
Montagem manutenção de computadores
Montagem manutenção de computadoresMontagem manutenção de computadores
Montagem manutenção de computadoressetilsonadobmov
 
Introdução à Informática (Módulo 1)
Introdução à Informática (Módulo 1)Introdução à Informática (Módulo 1)
Introdução à Informática (Módulo 1)marconesilfer
 
Plano de Sessão da PIP
Plano de Sessão da PIPPlano de Sessão da PIP
Plano de Sessão da PIPDebora_Marques
 
Tecnologias da Informacao E Comunicacao
Tecnologias da Informacao E ComunicacaoTecnologias da Informacao E Comunicacao
Tecnologias da Informacao E ComunicacaoM Fernanda Santos
 
Os principais serviços de internet
Os principais serviços de internetOs principais serviços de internet
Os principais serviços de internetjogos_do_dvd
 
Aula 01 informatica basica - introducao a informatica
Aula 01 informatica basica - introducao a informaticaAula 01 informatica basica - introducao a informatica
Aula 01 informatica basica - introducao a informaticaKassiana Marques
 
Tic-excel-01
Tic-excel-01 Tic-excel-01
Tic-excel-01 diogoa21
 
Aula 01 fundamentos da informática
Aula 01 fundamentos da informáticaAula 01 fundamentos da informática
Aula 01 fundamentos da informáticaGilberto Campos
 
Informática e suas tecnologias
Informática e suas tecnologiasInformática e suas tecnologias
Informática e suas tecnologiasAndrey Martins
 

La actualidad más candente (20)

Teste PowerPoint
Teste PowerPointTeste PowerPoint
Teste PowerPoint
 
Sistema de ficheiros
Sistema de ficheirosSistema de ficheiros
Sistema de ficheiros
 
Apresentação de Internet
Apresentação de InternetApresentação de Internet
Apresentação de Internet
 
Inf basica modulo2
Inf basica modulo2Inf basica modulo2
Inf basica modulo2
 
PowerShell
PowerShellPowerShell
PowerShell
 
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
 
[José Ahirton Lopes] Aula 01 - Introdução a Inteligência Artificial
[José Ahirton Lopes] Aula 01 - Introdução a Inteligência Artificial[José Ahirton Lopes] Aula 01 - Introdução a Inteligência Artificial
[José Ahirton Lopes] Aula 01 - Introdução a Inteligência Artificial
 
Montagem manutenção de computadores
Montagem manutenção de computadoresMontagem manutenção de computadores
Montagem manutenção de computadores
 
Introdução à Informática (Módulo 1)
Introdução à Informática (Módulo 1)Introdução à Informática (Módulo 1)
Introdução à Informática (Módulo 1)
 
Plano de Sessão da PIP
Plano de Sessão da PIPPlano de Sessão da PIP
Plano de Sessão da PIP
 
Tecnologias da Informacao E Comunicacao
Tecnologias da Informacao E ComunicacaoTecnologias da Informacao E Comunicacao
Tecnologias da Informacao E Comunicacao
 
Redes de computadores
Redes de computadoresRedes de computadores
Redes de computadores
 
Os principais serviços de internet
Os principais serviços de internetOs principais serviços de internet
Os principais serviços de internet
 
Aula 01 informatica basica - introducao a informatica
Aula 01 informatica basica - introducao a informaticaAula 01 informatica basica - introducao a informatica
Aula 01 informatica basica - introducao a informatica
 
Tic-excel-01
Tic-excel-01 Tic-excel-01
Tic-excel-01
 
Aula - Internet
Aula - InternetAula - Internet
Aula - Internet
 
Aula 01 fundamentos da informática
Aula 01 fundamentos da informáticaAula 01 fundamentos da informática
Aula 01 fundamentos da informática
 
Computação forense
Computação forenseComputação forense
Computação forense
 
Informática e suas tecnologias
Informática e suas tecnologiasInformática e suas tecnologias
Informática e suas tecnologias
 
Slide internet
Slide internetSlide internet
Slide internet
 

Destacado

215610229 seguranca-de-redes
215610229 seguranca-de-redes215610229 seguranca-de-redes
215610229 seguranca-de-redesMarco Guimarães
 
Cidade ideal apresentação IDS
Cidade ideal apresentação IDSCidade ideal apresentação IDS
Cidade ideal apresentação IDSPedrokelson
 
IPS e IDS
IPS e IDSIPS e IDS
IPS e IDSgamargo
 
Aula 13 sistemas de detecção de intrusão
Aula 13 sistemas de detecção de intrusãoAula 13 sistemas de detecção de intrusão
Aula 13 sistemas de detecção de intrusãocamila_seixas
 
Seguranca em Redes IDS
Seguranca em Redes IDSSeguranca em Redes IDS
Seguranca em Redes IDSLuiz Arthur
 
Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)LJ PROJECTS
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection systemAparna Bhadran
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection systemAkhil Kumar
 
Intrusion Detection System(IDS)
Intrusion Detection System(IDS)Intrusion Detection System(IDS)
Intrusion Detection System(IDS)shraddha_b
 
Seguranca da Informação -IDS
Seguranca da Informação -IDSSeguranca da Informação -IDS
Seguranca da Informação -IDSLuiz Arthur
 
Intrusion detection system ppt
Intrusion detection system pptIntrusion detection system ppt
Intrusion detection system pptSheetal Verma
 
Intrusion detection system
Intrusion detection system Intrusion detection system
Intrusion detection system gaurav koriya
 
Five Major Types of Intrusion Detection System (IDS)
Five Major Types of Intrusion Detection System (IDS)Five Major Types of Intrusion Detection System (IDS)
Five Major Types of Intrusion Detection System (IDS)david rom
 

Destacado (17)

215610229 seguranca-de-redes
215610229 seguranca-de-redes215610229 seguranca-de-redes
215610229 seguranca-de-redes
 
Cidade ideal apresentação IDS
Cidade ideal apresentação IDSCidade ideal apresentação IDS
Cidade ideal apresentação IDS
 
1 Ids On Campus V3a
1 Ids On Campus V3a1 Ids On Campus V3a
1 Ids On Campus V3a
 
IPS e IDS
IPS e IDSIPS e IDS
IPS e IDS
 
Aula 13 sistemas de detecção de intrusão
Aula 13 sistemas de detecção de intrusãoAula 13 sistemas de detecção de intrusão
Aula 13 sistemas de detecção de intrusão
 
Seguranca em Redes IDS
Seguranca em Redes IDSSeguranca em Redes IDS
Seguranca em Redes IDS
 
Ids & ips
Ids & ipsIds & ips
Ids & ips
 
Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)
 
IDS and IPS
IDS and IPSIDS and IPS
IDS and IPS
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection system
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection system
 
Intrusion Detection System(IDS)
Intrusion Detection System(IDS)Intrusion Detection System(IDS)
Intrusion Detection System(IDS)
 
TRABALHO IDS
TRABALHO IDSTRABALHO IDS
TRABALHO IDS
 
Seguranca da Informação -IDS
Seguranca da Informação -IDSSeguranca da Informação -IDS
Seguranca da Informação -IDS
 
Intrusion detection system ppt
Intrusion detection system pptIntrusion detection system ppt
Intrusion detection system ppt
 
Intrusion detection system
Intrusion detection system Intrusion detection system
Intrusion detection system
 
Five Major Types of Intrusion Detection System (IDS)
Five Major Types of Intrusion Detection System (IDS)Five Major Types of Intrusion Detection System (IDS)
Five Major Types of Intrusion Detection System (IDS)
 

Similar a Ids

Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão r5f4y7s9f8g5b245
 
Sistemas de Detecção de Intrusão.pdf
Sistemas de Detecção de Intrusão.pdfSistemas de Detecção de Intrusão.pdf
Sistemas de Detecção de Intrusão.pdfAgostinho9
 
Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosIvani Nascimento
 
Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_cleitonfcsantos
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresfelipetsi
 
Minicurso Forense Digital (Sbseg 07)
Minicurso Forense Digital (Sbseg 07)Minicurso Forense Digital (Sbseg 07)
Minicurso Forense Digital (Sbseg 07)leolemes
 
Unidade3 seg perimetral-ids
Unidade3 seg perimetral-idsUnidade3 seg perimetral-ids
Unidade3 seg perimetral-idsLeandro Almeida
 
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...Jump Call
 
Intrusos e Honeypots
Intrusos e HoneypotsIntrusos e Honeypots
Intrusos e HoneypotsThaís Favore
 
Apresentaçaõ de redes atual
Apresentaçaõ de redes atualApresentaçaõ de redes atual
Apresentaçaõ de redes atualMilena Rebouças
 

Similar a Ids (20)

Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão
 
Sistemas de Detecção de Intrusão.pdf
Sistemas de Detecção de Intrusão.pdfSistemas de Detecção de Intrusão.pdf
Sistemas de Detecção de Intrusão.pdf
 
Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusos
 
Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_
 
IDS.pdf
IDS.pdfIDS.pdf
IDS.pdf
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadores
 
Snort "O sniffer"
Snort "O sniffer"Snort "O sniffer"
Snort "O sniffer"
 
Minicurso Forense Digital (Sbseg 07)
Minicurso Forense Digital (Sbseg 07)Minicurso Forense Digital (Sbseg 07)
Minicurso Forense Digital (Sbseg 07)
 
Pentest teórico
Pentest teóricoPentest teórico
Pentest teórico
 
Snort
SnortSnort
Snort
 
Unidade3 seg perimetral-ids
Unidade3 seg perimetral-idsUnidade3 seg perimetral-ids
Unidade3 seg perimetral-ids
 
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
 
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
 
Aula 8.0 - Segurança
Aula 8.0 - SegurançaAula 8.0 - Segurança
Aula 8.0 - Segurança
 
192151378 seguranca
192151378 seguranca192151378 seguranca
192151378 seguranca
 
Aula 4 semana
Aula 4 semanaAula 4 semana
Aula 4 semana
 
Intrusos e Honeypots
Intrusos e HoneypotsIntrusos e Honeypots
Intrusos e Honeypots
 
Apresentaçaõ de redes atual
Apresentaçaõ de redes atualApresentaçaõ de redes atual
Apresentaçaõ de redes atual
 

Ids

  • 1. Sistemas de Detecção de Intrusão
  • 2. Características  Funciona como um alarme.  Detecção com base em algum tipo de conhecimento:  Assinaturas de ataques.  Aprendizado de uma rede neural.  Detecção com base em comportamento anômalo.  IPS: Intrusion Prevention System
  • 3. Características  A detecção é realizada com a captura de pacotes, analisando os cabeçalhos e o campo de carga útil dos pacotes, que são comparados com padrões ou assinaturas conhecidas.  Um IPS tem o objetivo de prevenir os ataques e diminuir a quantidade de alarmes falsos.
  • 4. Firewall libera conexão e IDS detecta.
  • 5. Funções do IDS  Coleta de informações  Análise de informações  Armazena informações  Responde às atividades suspeitas
  • 6. Tipos  Tipos de IDS  IDS baseado em Host.  IDS baseado em Rede.  IDS híbrido.  Tipos de IPS  IDS baseado em Host.  IDS baseado em Rede.  Honeypots
  • 7. HIDS - IDS baseado em Host  Monitoramento de sistemas (máquinas).  Tomam as informações nos arquivos de logs ou de agentes de auditoria.  Monitoram acessos e alterações em arquivos do sistema, modificações em privilégios dos usuários, processos do sistema e programas em execução.  Arquivos corrompidos podem ser backdoors.
  • 8. Exemplos de HIDS  Tripware  Swatch  Portsentry (pode usar o TCP Wrapper)  Outros  Obs: TCP Wrapper is a host-based network ACL system, used to filter network access to Internet protocol services run on (Unix-like) operating systems such as Linux or BSD.
  • 9. Características fortes dos HIDS  Verificar o sucesso ou falha de um ataque.  Ataques que ocorrem fisicamente num servidor podem ser detectados.  Ataques que utilizam criptografia podem não ser notados pelos NIDS, mas descobertos pelos HIDS, pois o SO primeiro decifra os pacotes.  Independem da topologia da rede.  Geram poucos “falsos positivos”, que são alarmes falsos de ataques.  Não necessita de hardware adicional.
  • 10. Características fracas dos HIDS  Fica difícil de configurar e gerenciar em todos os hosts de uma rede.  É dependente do SO. HIDS para Linux é diferente de um HIDS windows.  Não é capaz de detectar atqques de rede como Smurf. Obs: The smurf attack, named after its exploit program, is a denial-of-service attack that uses spoofed broadcast ping messages to flood a target system.
  • 11. Características fracas dos HIDS  Necessita de espaço de armazenamento adicional para os registros do sistema.  Não têm bom desempenho em sistemas operacionais que geram poucas informações de auditoria.  Apresenta diminuição do desempenho do host monitorado.
  • 12. HIDS - IDS baseado em Host  Acesso a arquivos.  Integridade de arquivos.  Varredura de portas  Modificação e privilégios de usuários.  Processos do sistema.  Execução de programas.  Uso de CPU.  Conexões.
  • 13. IDS baseado em Rede  Monitora o tráfego no segmento de rede.  Interface de rede atuando no modo prosmícuo.  Detecção realizada com a captura de pacotes e análise dos cabeçalhos e conteúdos.
  • 14. Exemplos de NIDS:  RealSecure,  NFR,  Snort
  • 15. Componentes dos NIDS  Os sensores que cuidam dos segmentos de redes, fazem a captura, formatação de dados e análise de tráfego.  Gerenciador: fazem com que os sensores sejam administrados de modo integrado, com a definição dos tipos de resposta para cada tipo de comportamento suspeito detectado.  A comunicação entre sensores e gerenciador é criptografada.
  • 16. Características Positivas dos NIDS  Monitoramento pode ser fornecido por múltiplas plataformas.  Ataques como: port scanning, IP spoofing, SYN flooding e Teardrop podem ser detectados.  Pode monitorar portas conhecidas como a porta TCP 80 do HTTP.
  • 17. Características Positivas dos NIDS  Pode detectar tentativas de ataques (ataques que não tiveram resultados).  Fica mais difícil um cracker apagar seu rastro.  Impõe dificuldades para o cracker saber se existe ou não um NIDS.  Não causa impacto no desempenho da rede.
  • 18. Características negativas dos NIDS  Não são capazes de monitorar tráfego cifrado.  Perda de pacotes em redes saturadas.
  • 19. Hybrid IDS  Desvantagens dos HIDS.  Desvantagens dos NIDS.  No mundo real, pode-se verificar que a melhor estratégia é utilizar ambos os tipos para a proteção dos recursos da organização.  Em servidores Web, NIDS são capazes de detectar SYN Flooding, IP spoofing, Teardrop e port scanning, mas somente um HIDS é capaz de detectar um Web defacement (pixação do site).
  • 20. Honeypots  Funcionam como armadilhas para os crackers.  Não contém dados ou informações importantes para a organização.  Seu único propósito é passar-se por um equipamento legítimo da organização.  É configurado para interagir como o atacante.  Detalhes de ataques podem ser capturados e estudados.
  • 21. Tipos de Honeypots  Sacrificial Lambs Sistemas disponibilizados com sua configuração padrão. Perigo: ser usado como ponto de origem para novos ataques.
  • 22. Tipos de Honeypots  Facades Emulam serviços, ao invés de diponibilizarem servidores reais. Não podem ser usados como pontos de origem para novos ataques. Não existem vulnerabilidades nos serviços emulados. Pouca informação sobre ataques.
  • 23. Tipos de Honeypots  Instrumental Systems: Previne que o sistema seja usado para novos ataques, mas provêem muitas informações sobre eles, mantendo os atacantes interessados no sistema.
  • 24. Posicionamento dos Honeypots  Minefield  Inserido juntamente com os servidores reais de uma DMZ.  Parte do princípio que quando um sistema é atacado, ele é usado para descobrir outros  Caso o Honeypot seja atacado, as informações sobre o ataque já passam a estar disponíveis.  Quando um sistema real é atacado, o honeypot identifica o ataque, assim que o sistema atacado inicie o scannimg da rede, para descobrir outros pontos de ataque.
  • 25. Posicionamento dos Honeypots  Shield  Inserido juntamente com os servidores reais de uma DMZ.  O Honeypot recebe o tráfego considerado suspeito, baseado nos serviços.  O Firewall ou o roteador direciona todo o tráfego não condizente com cada sistema, para o Honeypot, que passa a receber as informações do atacante.  Para um servidor Web, recebe todo tráfego HTTP, mas outros tráfegos para esse servidor é direcionado para o Honeypot.
  • 26. Posicionamento dos Honeypots  Honeynet  Inserido juntamente com os servidores reais de DMZs.  É uma rede de honeypots.  Pode misturar sacrificial lambs, facades e instrumental systems.
  • 27. Resultados possíveis de uma análise  Tráfego suspeito detectado (comportamento normal.  Tráfego suspeito não detectado (falso negativo).  Tráfego legítimo que o IDS analisa como sendo suspeito (falso positivo).  Tráfego legítimo que o IDS analisa como sendo normal (comportamento normal).
  • 28. Metodologia de detecção  Baseado no conhecimento.  Base de assinaturas de ataques conhecidos  Rede neural.  Baseado no comportamento.  Desvios dos usuários ou dos sistemas, quanto a um padrão de normalidade.  Análise estatística afim de encontrar possíveis mudanças de comportamento: por exemplo, aumento súbito de tráfego.  Problemas: falsos negativos e muitos falsos positivos.