IDS Sistema de Detecção de Intrusão. ● ● Adriano Salgado Alberi J. M. Vieira RA: 00073908 RA: 05363676 Sistema de Detecção de Intrusão. ● Introdução. O sistema de detecção de intrusão conhecido também como IDS é um sistema que após ser implantado tem como objetivo gerar notificações em situações onde for constatada alguma tentativa de intrusão ou o descumprimento das regras definidas na política de segurança. Intrusão – O que é? Alguém que tenta invadir um sistema ou fazer mau uso do mesmo. – Classificação; ● ● – • • • • Intrusão devido ao mau uso ataques realizados a pontos fracos do sistema. Intrusão devido à mudança de padrão mudanças de uso em relação ao padrão normal do sistema. Detecção; Utilização de CPU; I/O de disco; Uso de memória Atividades dos usuários; No de tentativas de login; • No de conexões; • Volume de dados trafegando no segmento de rede. • Sistema de Detecção de Intrusão. ● IDS - Intrusion Detection System. Detecta e notifica as tentativas de intrusão, analisando e capturando os pacotes que estão trafegando na rede. Procura identificar evidências de um ataque em andamento, podendo emitir alarmes, ou executar uma ação automática; Pode ser um hardware, software ou a combinação dos dois. Sistema de Detecção de Intrusão. ● Características: – Funcionamento continuo; – Tolerante a falhas; – Monitorar a si próprio; – Não impactar no funcionamento do sistema; Sistema de Detecção de Intrusão. ● Características: – Detectar mudanças em condições normais de funcionamento; – Configuração de fácil adaptatividade; – Permitir mudanças; Sistema de Detecção de Intrusão. ● Classificação dos possíveis erros: – Falso positivo; – Falso negativo; – Subversão; Sistema de Detecção de Intrusão. ● HIDS - Host Intrusion Detection System. Fazem o monitoramento de um sistema com base nos eventos registrados nos arquivos de logs ou eventos de auditoria. Eventos frequentemente monitorados são: – Uso de CPU; – Modificação de Privilégios de Usuário; – Acessos e modificações em arquivos de sistema; – Processos do sistema; – Programas que estão sendo executados; – Registro. Sistema de Detecção de Intrusão. ● HIDS - Host Intrusion Detection System. Vantagens: – Não precisam de hardware adicional, pois residem no host no qual estará sendo feito o monitoramento; – São independentes de topologia de rede; – Geram menos falso-positivos; – Ataques que ocorrem no sistema podem ser detectados. Desvantagens: – Dependência do Sistema Operacional; – Incapacidade de detectar ataques de rede; – O host monitorado pode apresentar perda de desempenho; – Informações podem ser perdidas caso o host ou o HIDS seja invadido. Sistema de Detecção de Intrusão. ● NIDS - Network Intrusion Detection System. Monitoram o tráfego de pacotes do segmento de rede Captura os conteúdos. pacotes e analisa seus cabeçalhos e Pode ser configurado por software ou por hardware em forma de um appliance com sensores conectados nos pontos da rede. Sistema de Detecção de Intrusão. ● NIDS - Network Intrusion Detection System. Itens frequentemente monitorados: – Ataques de redes; – Uso indevido de aplicações; – Tráfego suspeito; – Tráfego customizado (por origem, destino). Posicionamento no Ambiente: – Antes do Filtro de Pacotes; – Depois do Filtro de Pacotes; – Em ambos os lados; – Em segmentos críticos. Sistema de Detecção de Intrusão. ● NIDS - Network Intrusion Detection System. Vantagens: – Não causam impacto no desempenho da rede (Apenas ‘escutam’); – Ataques podem ser identificados em tempo real; – Eficiência na detecção de port scanning; – Possibilidade de detectar tentativas de ataques e análise do ambiente. Desvantagens: – Incapacidade de monitorar informações criptografadas; – Pode haver perda de pacotes em redes congestionadas. Sistema de Detecção de Intrusão. ● Modelo: – ● CIDF - Common Intrusion Detection Framework. Comunicação: – CISL - Common Intrusion Specification Language. – GIDO - Generalized Intrusion Detection Objects. Sistema de Detecção de Intrusão. ● CIDF - Common Intrusion Detection Framework E-boxes; Captura os pacotes da rede (TCP, UDP, ICMP) e entrega aos módulos superiores Analisador de Eventos e Banco de Dados; A-boxes; Cérebro do IDS, responsável por identificar o que é e o que não é um ataque através de assinaturas Equipamentos Dedicados à Segurança principalmente; D-boxes; Armazena os ataques, ocorrências para usos posteriores e imediatos; R-boxes; Responsável por tomar ações baseadas nos eventos. Deve ter acesso aos outros IDS e Firewalls (Alertar através de email, contra-atacar). Sistema de Detecção de Intrusão. ● Conclusões.
Download
