Redes de Computadores Sistema de Detecção de Intrusão Leonardo Machado Rômulo Coutinho Yuri Vasquez Agenda • Introdução – Segurança Computacional – Além do Firewall – Objetivos • Ataques • Sistemas de Detecção de Intrusão – Tipos Baseado em rede Baseado na estação Híbrido – Métodos de Detecção Assinaturas Anomalias • Conclusão Introdução • Segurança Computacional – Confidencialidade – Integridade – Disponibilidade • Além do Firewall – – – – Reação a ataques Falhas Aumento do Nível de Segurança Espionagem Sistema de Detecção de Intrusão • Definição • Componentes – Fonte de Informação – Análise – Resposta • Tipos – Baseado na Rede – Baseado na Estação Ataques • O que são? • Tipos – Negação de Acesso – Penetração – Varredura SDI baseado em rede • Modo de Funcionamento • Posicionamento na Rede • Vantagens – Fácil instalação – Monitoramento de várias estações • Desvantagens – Dificuldade em redes de alta velocidade – Dificuldade com protocolos codificados SDI baseado no servidor • Modo de Funcionamento • Vantagens – Pode analisar informações criptografadas • Desvantagens – Onera a capacidade computacional da estação – Cada estação precisa ser monitorada individualmente – Um ataque pode desinstalar este sistema Métodos de Análise • Baseado em Assinaturas • Baseado em Anomalias Análise de Assinaturas Assinaturas são sequencias de bits ou pacotes que são características de ataque. Análise de Anomalias A análise por anomalias busca determinar se o comportamento das instâncias da rede está fugindo ao padrão, para tal são necessários um registro de atividades do sistema e uma fundamentação estatística Análise por assinaturas • Vantagens • Desvantagens – Comparação com base de dados, processamento mais rápido – Ações corretivas mais rapidamente – Baixo número negativos tomadas de falsos – Dependência de base de dados atualizada – Não detecta ataques com assinaturas levemente modificadas – Difícil detecção de tentativas de abuso de privilégio Análise por anomalias • Vantagens – Pode detectar abusos de privilégios por usuários internos – Pode detectar ataques sem assinaturas comuns • Desvantagens – Grande número de falsos positivos – Demanda maior capacidade computacional do que a análise por assinaturas Conclusão • Os SDIs são uma camada de segurança importante para proteger redes de ataques internos e externos • A escolha do tipo de SDI, bem como o seu método de funcionamento depende além do custo, do propósito para o qual este sistema está sendo implementado