SlideShare una empresa de Scribd logo

Ids

Descargar como PPT, PDF
C
Caniap

O documento descreve os principais tipos de sistemas de detecção de intrusão, incluindo IDS baseados em host, IDS baseados em rede, IPS e honeypots. Estes sistemas monitoram atividades em redes e sistemas em busca de comportamentos anormais ou conhecidos ataques de segurança.

1 de 28
Sistemas de Detecção de Intrusão
Características  Funciona como um alarme.  Detecção com base em algum tipo de conhecimento:  Assinaturas de ataques.  Aprendizado de uma rede neural.  Detecção com base em comportamento anômalo.  IPS: Intrusion Prevention System
Características  A detecção é realizada com a captura de pacotes, analisando os cabeçalhos e o campo de carga útil dos pacotes, que são comparados com padrões ou assinaturas conhecidas.  Um IPS tem o objetivo de prevenir os ataques e diminuir a quantidade de alarmes falsos.
Firewall libera conexão e IDS detecta.
Funções do IDS  Coleta de informações  Análise de informações  Armazena informações  Responde às atividades suspeitas
Tipos  Tipos de IDS  IDS baseado em Host.  IDS baseado em Rede.  IDS híbrido.  Tipos de IPS  IDS baseado em Host.  IDS baseado em Rede.  Honeypots
HIDS - IDS baseado em Host  Monitoramento de sistemas (máquinas).  Tomam as informações nos arquivos de logs ou de agentes de auditoria.  Monitoram acessos e alterações em arquivos do sistema, modificações em privilégios dos usuários, processos do sistema e programas em execução.  Arquivos corrompidos podem ser backdoors.
Exemplos de HIDS  Tripware  Swatch  Portsentry (pode usar o TCP Wrapper)  Outros  Obs: TCP Wrapper is a host-based network ACL system, used to filter network access to Internet protocol services run on (Unix-like) operating systems such as Linux or BSD.
Características fortes dos HIDS  Verificar o sucesso ou falha de um ataque.  Ataques que ocorrem fisicamente num servidor podem ser detectados.  Ataques que utilizam criptografia podem não ser notados pelos NIDS, mas descobertos pelos HIDS, pois o SO primeiro decifra os pacotes.  Independem da topologia da rede.  Geram poucos “falsos positivos”, que são alarmes falsos de ataques.  Não necessita de hardware adicional.
Características fracas dos HIDS  Fica difícil de configurar e gerenciar em todos os hosts de uma rede.  É dependente do SO. HIDS para Linux é diferente de um HIDS windows.  Não é capaz de detectar atqques de rede como Smurf. Obs: The smurf attack, named after its exploit program, is a denial-of-service attack that uses spoofed broadcast ping messages to flood a target system.
Características fracas dos HIDS  Necessita de espaço de armazenamento adicional para os registros do sistema.  Não têm bom desempenho em sistemas operacionais que geram poucas informações de auditoria.  Apresenta diminuição do desempenho do host monitorado.
HIDS - IDS baseado em Host  Acesso a arquivos.  Integridade de arquivos.  Varredura de portas  Modificação e privilégios de usuários.  Processos do sistema.  Execução de programas.  Uso de CPU.  Conexões.
IDS baseado em Rede  Monitora o tráfego no segmento de rede.  Interface de rede atuando no modo prosmícuo.  Detecção realizada com a captura de pacotes e análise dos cabeçalhos e conteúdos.
Exemplos de NIDS:  RealSecure,  NFR,  Snort
Componentes dos NIDS  Os sensores que cuidam dos segmentos de redes, fazem a captura, formatação de dados e análise de tráfego.  Gerenciador: fazem com que os sensores sejam administrados de modo integrado, com a definição dos tipos de resposta para cada tipo de comportamento suspeito detectado.  A comunicação entre sensores e gerenciador é criptografada.
Características Positivas dos NIDS  Monitoramento pode ser fornecido por múltiplas plataformas.  Ataques como: port scanning, IP spoofing, SYN flooding e Teardrop podem ser detectados.  Pode monitorar portas conhecidas como a porta TCP 80 do HTTP.
Características Positivas dos NIDS  Pode detectar tentativas de ataques (ataques que não tiveram resultados).  Fica mais difícil um cracker apagar seu rastro.  Impõe dificuldades para o cracker saber se existe ou não um NIDS.  Não causa impacto no desempenho da rede.
Características negativas dos NIDS  Não são capazes de monitorar tráfego cifrado.  Perda de pacotes em redes saturadas.
Hybrid IDS  Desvantagens dos HIDS.  Desvantagens dos NIDS.  No mundo real, pode-se verificar que a melhor estratégia é utilizar ambos os tipos para a proteção dos recursos da organização.  Em servidores Web, NIDS são capazes de detectar SYN Flooding, IP spoofing, Teardrop e port scanning, mas somente um HIDS é capaz de detectar um Web defacement (pixação do site).
Honeypots  Funcionam como armadilhas para os crackers.  Não contém dados ou informações importantes para a organização.  Seu único propósito é passar-se por um equipamento legítimo da organização.  É configurado para interagir como o atacante.  Detalhes de ataques podem ser capturados e estudados.
Tipos de Honeypots  Sacrificial Lambs Sistemas disponibilizados com sua configuração padrão. Perigo: ser usado como ponto de origem para novos ataques.
Tipos de Honeypots  Facades Emulam serviços, ao invés de diponibilizarem servidores reais. Não podem ser usados como pontos de origem para novos ataques. Não existem vulnerabilidades nos serviços emulados. Pouca informação sobre ataques.
Tipos de Honeypots  Instrumental Systems: Previne que o sistema seja usado para novos ataques, mas provêem muitas informações sobre eles, mantendo os atacantes interessados no sistema.
Posicionamento dos Honeypots  Minefield  Inserido juntamente com os servidores reais de uma DMZ.  Parte do princípio que quando um sistema é atacado, ele é usado para descobrir outros  Caso o Honeypot seja atacado, as informações sobre o ataque já passam a estar disponíveis.  Quando um sistema real é atacado, o honeypot identifica o ataque, assim que o sistema atacado inicie o scannimg da rede, para descobrir outros pontos de ataque.
Posicionamento dos Honeypots  Shield  Inserido juntamente com os servidores reais de uma DMZ.  O Honeypot recebe o tráfego considerado suspeito, baseado nos serviços.  O Firewall ou o roteador direciona todo o tráfego não condizente com cada sistema, para o Honeypot, que passa a receber as informações do atacante.  Para um servidor Web, recebe todo tráfego HTTP, mas outros tráfegos para esse servidor é direcionado para o Honeypot.
Posicionamento dos Honeypots  Honeynet  Inserido juntamente com os servidores reais de DMZs.  É uma rede de honeypots.  Pode misturar sacrificial lambs, facades e instrumental systems.
Resultados possíveis de uma análise  Tráfego suspeito detectado (comportamento normal.  Tráfego suspeito não detectado (falso negativo).  Tráfego legítimo que o IDS analisa como sendo suspeito (falso positivo).  Tráfego legítimo que o IDS analisa como sendo normal (comportamento normal).
Metodologia de detecção  Baseado no conhecimento.  Base de assinaturas de ataques conhecidos  Rede neural.  Baseado no comportamento.  Desvios dos usuários ou dos sistemas, quanto a um padrão de normalidade.  Análise estatística afim de encontrar possíveis mudanças de comportamento: por exemplo, aumento súbito de tráfego.  Problemas: falsos negativos e muitos falsos positivos.

Recomendados

Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão r5f4y7s9f8g5b245
 
Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosIvani Nascimento
 
Aula 13 sistemas de detecção de intrusão
Aula 13 sistemas de detecção de intrusãoAula 13 sistemas de detecção de intrusão
Aula 13 sistemas de detecção de intrusãocamila_seixas
 
Detecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditDetecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditIvani Nascimento
 
IPS e IDS
IPS e IDSIPS e IDS
IPS e IDSgamargo
 
Snort
SnortSnort
SnortJean Pimentel
 
TRABALHO IDS
TRABALHO IDSTRABALHO IDS
TRABALHO IDSTiago Castro
 
Seguranca em Redes IDS
Seguranca em Redes IDSSeguranca em Redes IDS
Seguranca em Redes IDSLuiz Arthur
 

Recomendados

Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão r5f4y7s9f8g5b245
 
Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosIvani Nascimento
 
Aula 13 sistemas de detecção de intrusão
Aula 13 sistemas de detecção de intrusãoAula 13 sistemas de detecção de intrusão
Aula 13 sistemas de detecção de intrusãocamila_seixas
 
Detecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditDetecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditIvani Nascimento
 
IPS e IDS
IPS e IDSIPS e IDS
IPS e IDSgamargo
 
Snort
SnortSnort
SnortJean Pimentel
 
TRABALHO IDS
TRABALHO IDSTRABALHO IDS
TRABALHO IDSTiago Castro
 
Seguranca em Redes IDS
Seguranca em Redes IDSSeguranca em Redes IDS
Seguranca em Redes IDSLuiz Arthur
 
Snort "O sniffer"
Snort "O sniffer"Snort "O sniffer"
Snort "O sniffer"Leonardo Damasceno
 
Pentest teórico
Pentest teóricoPentest teórico
Pentest teóricoFelipe Perin
 
Intrusos e Honeypots
Intrusos e HoneypotsIntrusos e Honeypots
Intrusos e HoneypotsThaís Favore
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5Eduardo Santana
 
Captura de Informação em Rede
Captura de Informação em RedeCaptura de Informação em Rede
Captura de Informação em RedeUlisses Costa
 
Minicurso Forense Digital (Sbseg 07)
Minicurso Forense Digital (Sbseg 07)Minicurso Forense Digital (Sbseg 07)
Minicurso Forense Digital (Sbseg 07)leolemes
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesCarlos Veiga
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresfelipetsi
 
Unidade3 seg perimetral-ids
Unidade3 seg perimetral-idsUnidade3 seg perimetral-ids
Unidade3 seg perimetral-idsLeandro Almeida
 
Nessus Scanner Vulnerabilidades
Nessus Scanner VulnerabilidadesNessus Scanner Vulnerabilidades
Nessus Scanner VulnerabilidadesMauro Risonho de Paula Assumpcao
 
Conceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresConceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresRogerio Pereira
 
Backtrack 4 nessus
Backtrack 4 nessusBacktrack 4 nessus
Backtrack 4 nessusMauro Risonho de Paula Assumpcao
 
192151378 seguranca
192151378 seguranca192151378 seguranca
192151378 segurancaMarco Guimarães
 
Segurança em Sistemas Distribuídos
Segurança em Sistemas DistribuídosSegurança em Sistemas Distribuídos
Segurança em Sistemas DistribuídosCarlos Eduardo Pinheiro
 
Firewall
FirewallFirewall
Firewalldanielrcom
 
Aula 8.0 - Segurança
Aula 8.0 - SegurançaAula 8.0 - Segurança
Aula 8.0 - SegurançaAndrei Carniel
 
Detecção de Intrusão em Redes de Computadores usando Redes Neurais
Detecção de Intrusão em Redes de Computadores usando Redes NeuraisDetecção de Intrusão em Redes de Computadores usando Redes Neurais
Detecção de Intrusão em Redes de Computadores usando Redes NeuraisHugo Henley
 
Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010clebeer brandao
 
Aras ACE Conference PLM Keynote by Peter Schroer
Aras ACE Conference PLM Keynote by Peter SchroerAras ACE Conference PLM Keynote by Peter Schroer
Aras ACE Conference PLM Keynote by Peter SchroerAras
 
Historiada artecapitulo1
Historiada artecapitulo1Historiada artecapitulo1
Historiada artecapitulo1paulo_batista
 
Instalação bfw
Instalação bfwInstalação bfw
Instalação bfwtelmotec
 

Más contenido relacionado

La actualidad más candente

Intrusos e Honeypots
Intrusos e HoneypotsIntrusos e Honeypots
Intrusos e HoneypotsThaís Favore
 
Captura de Informação em Rede
Captura de Informação em RedeCaptura de Informação em Rede
Captura de Informação em RedeUlisses Costa
 
Minicurso Forense Digital (Sbseg 07)
Minicurso Forense Digital (Sbseg 07)Minicurso Forense Digital (Sbseg 07)
Minicurso Forense Digital (Sbseg 07)leolemes
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesCarlos Veiga
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresfelipetsi
 
Unidade3 seg perimetral-ids
Unidade3 seg perimetral-idsUnidade3 seg perimetral-ids
Unidade3 seg perimetral-idsLeandro Almeida
 
Conceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresConceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresRogerio Pereira
 
Detecção de Intrusão em Redes de Computadores usando Redes Neurais
Detecção de Intrusão em Redes de Computadores usando Redes NeuraisDetecção de Intrusão em Redes de Computadores usando Redes Neurais
Detecção de Intrusão em Redes de Computadores usando Redes NeuraisHugo Henley
 
Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010clebeer brandao
 

La actualidad más candente (19)

Snort "O sniffer"
Snort "O sniffer"Snort "O sniffer"
Snort "O sniffer"
 
Pentest teórico
Pentest teóricoPentest teórico
Pentest teórico
 
Intrusos e Honeypots
Intrusos e HoneypotsIntrusos e Honeypots
Intrusos e Honeypots
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5
 
Captura de Informação em Rede
Captura de Informação em RedeCaptura de Informação em Rede
Captura de Informação em Rede
 
Minicurso Forense Digital (Sbseg 07)
Minicurso Forense Digital (Sbseg 07)Minicurso Forense Digital (Sbseg 07)
Minicurso Forense Digital (Sbseg 07)
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de Ataques
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadores
 
Unidade3 seg perimetral-ids
Unidade3 seg perimetral-idsUnidade3 seg perimetral-ids
Unidade3 seg perimetral-ids
 
Nessus Scanner Vulnerabilidades
Nessus Scanner VulnerabilidadesNessus Scanner Vulnerabilidades
Nessus Scanner Vulnerabilidades
 
Conceito em segurança de redes de computadores
Conceito em segurança de redes de computadoresConceito em segurança de redes de computadores
Conceito em segurança de redes de computadores
 
Backtrack 4 nessus
Backtrack 4 nessusBacktrack 4 nessus
Backtrack 4 nessus
 
192151378 seguranca
192151378 seguranca192151378 seguranca
192151378 seguranca
 
Segurança em Sistemas Distribuídos
Segurança em Sistemas DistribuídosSegurança em Sistemas Distribuídos
Segurança em Sistemas Distribuídos
 
Firewall
FirewallFirewall
Firewall
 
Aula 8.0 - Segurança
Aula 8.0 - SegurançaAula 8.0 - Segurança
Aula 8.0 - Segurança
 
Detecção de Intrusão em Redes de Computadores usando Redes Neurais
Detecção de Intrusão em Redes de Computadores usando Redes NeuraisDetecção de Intrusão em Redes de Computadores usando Redes Neurais
Detecção de Intrusão em Redes de Computadores usando Redes Neurais
 
Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010
 

Destacado

Aras ACE Conference PLM Keynote by Peter Schroer
Aras ACE Conference PLM Keynote by Peter SchroerAras ACE Conference PLM Keynote by Peter Schroer
Aras ACE Conference PLM Keynote by Peter SchroerAras
 
Historiada artecapitulo1
Historiada artecapitulo1Historiada artecapitulo1
Historiada artecapitulo1paulo_batista
 
Instalação bfw
Instalação bfwInstalação bfw
Instalação bfwtelmotec
 
Operational Intelligence by Clearpriority - August Alert
Operational Intelligence by Clearpriority - August AlertOperational Intelligence by Clearpriority - August Alert
Operational Intelligence by Clearpriority - August AlertClearpriority
 
Registo nacional das anomalias congenitas
Registo nacional das anomalias congenitasRegisto nacional das anomalias congenitas
Registo nacional das anomalias congenitasuccarcozelo
 
Proposta de um firewall de aplicação para detecção, prevenção e contenção de ...
Proposta de um firewall de aplicação para detecção, prevenção e contenção de ...Proposta de um firewall de aplicação para detecção, prevenção e contenção de ...
Proposta de um firewall de aplicação para detecção, prevenção e contenção de ...Leonardo Cavallari Militelli
 

Destacado (7)

Aras ACE Conference PLM Keynote by Peter Schroer
Aras ACE Conference PLM Keynote by Peter SchroerAras ACE Conference PLM Keynote by Peter Schroer
Aras ACE Conference PLM Keynote by Peter Schroer
 
Historiada artecapitulo1
Historiada artecapitulo1Historiada artecapitulo1
Historiada artecapitulo1
 
Instalação bfw
Instalação bfwInstalação bfw
Instalação bfw
 
Operational Intelligence by Clearpriority - August Alert
Operational Intelligence by Clearpriority - August AlertOperational Intelligence by Clearpriority - August Alert
Operational Intelligence by Clearpriority - August Alert
 
Registo nacional das anomalias congenitas
Registo nacional das anomalias congenitasRegisto nacional das anomalias congenitas
Registo nacional das anomalias congenitas
 
Ubuntuone
UbuntuoneUbuntuone
Ubuntuone
 
Proposta de um firewall de aplicação para detecção, prevenção e contenção de ...
Proposta de um firewall de aplicação para detecção, prevenção e contenção de ...Proposta de um firewall de aplicação para detecção, prevenção e contenção de ...
Proposta de um firewall de aplicação para detecção, prevenção e contenção de ...
 

Similar a Ids

Sistemas de Detecção de Intrusão.pdf
Sistemas de Detecção de Intrusão.pdfSistemas de Detecção de Intrusão.pdf
Sistemas de Detecção de Intrusão.pdfAgostinho9
 
Seguranca da Informação -IDS
Seguranca da Informação -IDSSeguranca da Informação -IDS
Seguranca da Informação -IDSLuiz Arthur
 
Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_cleitonfcsantos
 
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...Jump Call
 
Apresentaçaõ de redes atual
Apresentaçaõ de redes atualApresentaçaõ de redes atual
Apresentaçaõ de redes atualMilena Rebouças
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxpce19791
 
Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010clebeer brandao
 
Pdf e5-ss28
Pdf e5-ss28Pdf e5-ss28
Pdf e5-ss28LilianeR
 
Capítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoCapítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoEverton Souza
 
Analise de Malware e Pesquisas Recentes
Analise de Malware e Pesquisas RecentesAnalise de Malware e Pesquisas Recentes
Analise de Malware e Pesquisas RecentesLuiz Amelotti
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
 
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeBe Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeSymantec Brasil
 
analise-de-malware-aula-01.pdf
analise-de-malware-aula-01.pdfanalise-de-malware-aula-01.pdf
analise-de-malware-aula-01.pdfRafaela Corrêa
 

Similar a Ids (19)

Sistemas de Detecção de Intrusão.pdf
Sistemas de Detecção de Intrusão.pdfSistemas de Detecção de Intrusão.pdf
Sistemas de Detecção de Intrusão.pdf
 
Seguranca da Informação -IDS
Seguranca da Informação -IDSSeguranca da Informação -IDS
Seguranca da Informação -IDS
 
Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_
 
IDS.pdf
IDS.pdfIDS.pdf
IDS.pdf
 
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
 
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
 
Aula 4 semana
Aula 4 semanaAula 4 semana
Aula 4 semana
 
Apresentaçaõ de redes atual
Apresentaçaõ de redes atualApresentaçaõ de redes atual
Apresentaçaõ de redes atual
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptx
 
Seguranca Cap09 Tanenbaum
Seguranca Cap09 TanenbaumSeguranca Cap09 Tanenbaum
Seguranca Cap09 Tanenbaum
 
Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010
 
Pdf e5-ss28
Pdf e5-ss28Pdf e5-ss28
Pdf e5-ss28
 
Capítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoCapítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informação
 
Analise de Malware e Pesquisas Recentes
Analise de Malware e Pesquisas RecentesAnalise de Malware e Pesquisas Recentes
Analise de Malware e Pesquisas Recentes
 
PenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI EngitecPenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI Engitec
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
 
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeBe Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
 
analise-de-malware-aula-01.pdf
analise-de-malware-aula-01.pdfanalise-de-malware-aula-01.pdf
analise-de-malware-aula-01.pdf
 
Seminário - Segurança da informação
Seminário - Segurança da informaçãoSeminário - Segurança da informação
Seminário - Segurança da informação
 

Ids

  • 1. Sistemas de Detecção de Intrusão
  • 2. Características  Funciona como um alarme.  Detecção com base em algum tipo de conhecimento:  Assinaturas de ataques.  Aprendizado de uma rede neural.  Detecção com base em comportamento anômalo.  IPS: Intrusion Prevention System
  • 3. Características  A detecção é realizada com a captura de pacotes, analisando os cabeçalhos e o campo de carga útil dos pacotes, que são comparados com padrões ou assinaturas conhecidas.  Um IPS tem o objetivo de prevenir os ataques e diminuir a quantidade de alarmes falsos.
  • 4. Firewall libera conexão e IDS detecta.
  • 5. Funções do IDS  Coleta de informações  Análise de informações  Armazena informações  Responde às atividades suspeitas
  • 6. Tipos  Tipos de IDS  IDS baseado em Host.  IDS baseado em Rede.  IDS híbrido.  Tipos de IPS  IDS baseado em Host.  IDS baseado em Rede.  Honeypots
  • 7. HIDS - IDS baseado em Host  Monitoramento de sistemas (máquinas).  Tomam as informações nos arquivos de logs ou de agentes de auditoria.  Monitoram acessos e alterações em arquivos do sistema, modificações em privilégios dos usuários, processos do sistema e programas em execução.  Arquivos corrompidos podem ser backdoors.
  • 8. Exemplos de HIDS  Tripware  Swatch  Portsentry (pode usar o TCP Wrapper)  Outros  Obs: TCP Wrapper is a host-based network ACL system, used to filter network access to Internet protocol services run on (Unix-like) operating systems such as Linux or BSD.
  • 9. Características fortes dos HIDS  Verificar o sucesso ou falha de um ataque.  Ataques que ocorrem fisicamente num servidor podem ser detectados.  Ataques que utilizam criptografia podem não ser notados pelos NIDS, mas descobertos pelos HIDS, pois o SO primeiro decifra os pacotes.  Independem da topologia da rede.  Geram poucos “falsos positivos”, que são alarmes falsos de ataques.  Não necessita de hardware adicional.
  • 10. Características fracas dos HIDS  Fica difícil de configurar e gerenciar em todos os hosts de uma rede.  É dependente do SO. HIDS para Linux é diferente de um HIDS windows.  Não é capaz de detectar atqques de rede como Smurf. Obs: The smurf attack, named after its exploit program, is a denial-of-service attack that uses spoofed broadcast ping messages to flood a target system.
  • 11. Características fracas dos HIDS  Necessita de espaço de armazenamento adicional para os registros do sistema.  Não têm bom desempenho em sistemas operacionais que geram poucas informações de auditoria.  Apresenta diminuição do desempenho do host monitorado.
  • 12. HIDS - IDS baseado em Host  Acesso a arquivos.  Integridade de arquivos.  Varredura de portas  Modificação e privilégios de usuários.  Processos do sistema.  Execução de programas.  Uso de CPU.  Conexões.
  • 13. IDS baseado em Rede  Monitora o tráfego no segmento de rede.  Interface de rede atuando no modo prosmícuo.  Detecção realizada com a captura de pacotes e análise dos cabeçalhos e conteúdos.
  • 14. Exemplos de NIDS:  RealSecure,  NFR,  Snort
  • 15. Componentes dos NIDS  Os sensores que cuidam dos segmentos de redes, fazem a captura, formatação de dados e análise de tráfego.  Gerenciador: fazem com que os sensores sejam administrados de modo integrado, com a definição dos tipos de resposta para cada tipo de comportamento suspeito detectado.  A comunicação entre sensores e gerenciador é criptografada.
  • 16. Características Positivas dos NIDS  Monitoramento pode ser fornecido por múltiplas plataformas.  Ataques como: port scanning, IP spoofing, SYN flooding e Teardrop podem ser detectados.  Pode monitorar portas conhecidas como a porta TCP 80 do HTTP.
  • 17. Características Positivas dos NIDS  Pode detectar tentativas de ataques (ataques que não tiveram resultados).  Fica mais difícil um cracker apagar seu rastro.  Impõe dificuldades para o cracker saber se existe ou não um NIDS.  Não causa impacto no desempenho da rede.
  • 18. Características negativas dos NIDS  Não são capazes de monitorar tráfego cifrado.  Perda de pacotes em redes saturadas.
  • 19. Hybrid IDS  Desvantagens dos HIDS.  Desvantagens dos NIDS.  No mundo real, pode-se verificar que a melhor estratégia é utilizar ambos os tipos para a proteção dos recursos da organização.  Em servidores Web, NIDS são capazes de detectar SYN Flooding, IP spoofing, Teardrop e port scanning, mas somente um HIDS é capaz de detectar um Web defacement (pixação do site).
  • 20. Honeypots  Funcionam como armadilhas para os crackers.  Não contém dados ou informações importantes para a organização.  Seu único propósito é passar-se por um equipamento legítimo da organização.  É configurado para interagir como o atacante.  Detalhes de ataques podem ser capturados e estudados.
  • 21. Tipos de Honeypots  Sacrificial Lambs Sistemas disponibilizados com sua configuração padrão. Perigo: ser usado como ponto de origem para novos ataques.
  • 22. Tipos de Honeypots  Facades Emulam serviços, ao invés de diponibilizarem servidores reais. Não podem ser usados como pontos de origem para novos ataques. Não existem vulnerabilidades nos serviços emulados. Pouca informação sobre ataques.
  • 23. Tipos de Honeypots  Instrumental Systems: Previne que o sistema seja usado para novos ataques, mas provêem muitas informações sobre eles, mantendo os atacantes interessados no sistema.
  • 24. Posicionamento dos Honeypots  Minefield  Inserido juntamente com os servidores reais de uma DMZ.  Parte do princípio que quando um sistema é atacado, ele é usado para descobrir outros  Caso o Honeypot seja atacado, as informações sobre o ataque já passam a estar disponíveis.  Quando um sistema real é atacado, o honeypot identifica o ataque, assim que o sistema atacado inicie o scannimg da rede, para descobrir outros pontos de ataque.
  • 25. Posicionamento dos Honeypots  Shield  Inserido juntamente com os servidores reais de uma DMZ.  O Honeypot recebe o tráfego considerado suspeito, baseado nos serviços.  O Firewall ou o roteador direciona todo o tráfego não condizente com cada sistema, para o Honeypot, que passa a receber as informações do atacante.  Para um servidor Web, recebe todo tráfego HTTP, mas outros tráfegos para esse servidor é direcionado para o Honeypot.
  • 26. Posicionamento dos Honeypots  Honeynet  Inserido juntamente com os servidores reais de DMZs.  É uma rede de honeypots.  Pode misturar sacrificial lambs, facades e instrumental systems.
  • 27. Resultados possíveis de uma análise  Tráfego suspeito detectado (comportamento normal.  Tráfego suspeito não detectado (falso negativo).  Tráfego legítimo que o IDS analisa como sendo suspeito (falso positivo).  Tráfego legítimo que o IDS analisa como sendo normal (comportamento normal).
  • 28. Metodologia de detecção  Baseado no conhecimento.  Base de assinaturas de ataques conhecidos  Rede neural.  Baseado no comportamento.  Desvios dos usuários ou dos sistemas, quanto a um padrão de normalidade.  Análise estatística afim de encontrar possíveis mudanças de comportamento: por exemplo, aumento súbito de tráfego.  Problemas: falsos negativos e muitos falsos positivos.