SISTEMAS DE INFORMAÇÃO
Segurança em Computação Distribuída
UFSC
OSSEC HIDS
Grupo:
Paulo Laux
Poliane Brito
UFSC / INE / CTC
Tópicos
 Introdução
 Intrusão
 Classificação
 Detecção
 IDS
 HIDS
 OSSEC HIDS
UFSC / INE / CTC
Introdução
Hoje em dia, as ferramentas de segurança são necessárias.
Sendo assim, o IDS (Intrusion Detector System), tem como um
dos objetivos principais:
 Detectar a tentativa de intrusão no sistema ou
 Identificar algum usuário legítimo que está fazendo mau uso do
Sistema.
UFSC / INE / CTC
Intrusão
 O que é?
•
Intruso: alguém que tenta invadir um sistema ou fazer mau uso do
mesmo.
 Usuário Legítimo x Intruso
•
Para identificá-los é estabelecido uma política de segurança.
É a expressão formal das regras pelas quais é fornecido
acesso aos recursos tecnológicos da empresa.
UFSC / INE / CTC
Intrusão
 Classificação
•
Devido ao Mau Uso do Sistema  ataques realizados a pontos
fracos do sistema.
•
Devido a Mudança de Padrão  mudanças de uso em relação ao
padrão normal do sistema.
 Detecção
•
•
•
•
Utilização de CPU;
I/O de disco;
Uso de memória
Atividades dos usuários;
• No de tentativas de login;
• No de conexões;
• Volume de dados trafegando no
segmento de rede.
UFSC / INE / CTC
Intrusion Detection System (IDS)
 IDS
Detecta e notifica as tentativas de intrusão, analisando e
capturando os pacotes que estão trafegando na rede.
 Procura identificar evidências de um ataque em andamento,
podendo emitir alarmes, ou executar uma ação automática;
 Pode ser um hardware, software ou a combinação dos dois.
Resumindo: Ele inspeciona o conteúdo do tráfego da rede para
procurar e desviar possíveis ataques.
UFSC / INE / CTC
Intrusion Detection System
 Classificação
 Baseados em Rede : NIDS
Monitoram backbones de rede e procuram
assinaturas de ataque são chamados.
 Baseados em Hosts : HIDS
Defendem e monitoram os SO’s e sistemas de
arquivos contra sinais de invasão.
 Distribuídos
Funcionam como sensores remotos e se
reportam a uma estação de gerenciamento.
UFSC / INE / CTC
Host-based Intrusion Detection System
 HIDS
Instalado em servidores e/ou máquinas específicas, alerta:
 Sobre ataques ocorridos contra a própria máquina ou em seus
agentes;
 Avalia a segurança com base em arquivos de logs do SO, logs
de acesso e de aplicação;
 Asseguram ataques baseados em protocolos de criptografia
(HTTPS);
 Interpretam a atividade da rede e detectam ataques em todas as
camadas do protocolo.
UFSC / INE / CTC
Host-based Intrusion Detection System
 Exemplo:
Login sem sucesso em aplicações que utilizam
autenticação de rede
O IDS informará ao administrador de rede que existe um usuário
tentando utilizar uma aplicação que ele não tem permissão.
UFSC / INE / CTC
OSSEC HIDS
 Opensource.
 Desenvolvido por um brasileiro: Daniel Cid.
Realiza operações de análise de logs,
Integridade de Sistema, alertas e respostas ativas.
• FreeBSD
• RedHat
• Ubuntu
• Debian
• OpenBSD
• Slackware
• Solaris
• AIX
UFSC / INE / CTC
• MacOSX
• Fedora Core
• Suse
• Windows XP/2000
OSSEC HIDS
 Modos de Funcionamento
 Local
Somente na máquina local.
Instalação é simples e
customizável para apenas um
sistema.
UFSC / INE / CTC
OSSEC HIDS
 Modos de Funcionamento
 Agente
Centraliza os logs no servidor central de logs monitorado
pelo OSSEC.
A comunicação entre o servidor e os agentes é segura
(criptografada e autenticada), tendo cada agente uma
“chave de autenticação” no servidor.
UFSC / INE / CTC
OSSEC HIDS
 Modos de Funcionamento
 Servidor
Analisa e une os logs
e informes de vários
agentes.
UFSC / INE / CTC