Redes de Computadores
Sistema de Detecção de Intrusão
Leonardo Machado
Rômulo Coutinho
Yuri Vasquez
Agenda
• Introdução
– Segurança Computacional
– Além do Firewall
– Objetivos
• Ataques
• Sistemas de Detecção de Intrusão
– Tipos
 Baseado em rede
 Baseado na estação
 Híbrido
– Métodos de Detecção
 Assinaturas
 Anomalias
• Conclusão
Introdução
• Segurança Computacional
– Confidencialidade
– Integridade
– Disponibilidade
• Além do Firewall
–
–
–
–
Reação a ataques
Falhas
Aumento do Nível de Segurança
Espionagem
Sistema de Detecção de Intrusão
• Definição
• Componentes
– Fonte de Informação
– Análise
– Resposta
• Tipos
– Baseado na Rede
– Baseado na Estação
Ataques
• O que são?
• Tipos
– Negação de Acesso
– Penetração
– Varredura
SDI baseado em rede
• Modo de Funcionamento
• Posicionamento na Rede
• Vantagens
– Fácil instalação
– Monitoramento de várias estações
• Desvantagens
– Dificuldade em redes de alta velocidade
– Dificuldade com protocolos codificados
SDI baseado no servidor
• Modo de Funcionamento
• Vantagens
– Pode analisar informações criptografadas
• Desvantagens
– Onera a capacidade computacional da estação
– Cada estação precisa ser monitorada individualmente
– Um ataque pode desinstalar este sistema
Métodos de Análise
• Baseado em Assinaturas
• Baseado em Anomalias
Análise de Assinaturas
Assinaturas são sequencias de bits ou pacotes que são
características de ataque.
Análise de Anomalias
A análise por anomalias busca determinar se o comportamento
das instâncias da rede está fugindo ao padrão, para tal são
necessários um registro de atividades do sistema e uma
fundamentação estatística
Análise por assinaturas
• Vantagens
• Desvantagens
– Comparação com base de
dados, processamento mais
rápido
– Ações corretivas
mais rapidamente
– Baixo número
negativos
tomadas
de
falsos
– Dependência de base de
dados atualizada
– Não detecta ataques com
assinaturas levemente modificadas
– Difícil detecção de tentativas
de abuso de privilégio
Análise por anomalias
• Vantagens
– Pode detectar abusos de
privilégios por usuários
internos
– Pode detectar ataques sem
assinaturas comuns
• Desvantagens
– Grande número de falsos
positivos
– Demanda maior capacidade
computacional do que a
análise por assinaturas
Conclusão
• Os SDIs são uma camada de segurança importante
para proteger redes de ataques internos e externos
• A escolha do tipo de SDI, bem como o seu método
de funcionamento depende além do custo, do
propósito para o qual este sistema está sendo
implementado
Download

Redes de Computadores