Sistemas de Detecção deIntrusão (IDS)
Introdução   Bolsões de segurança: Provimento de    serviço para usuários internos e externos;   O firewall pode funcion...
Introdução   Intrusão pode ser definido como qualquer    conjunto de ações, que tentem comprometer    a integridade, conf...
Introdução
Introdução   Um IDS tem por objetivo detectar atividades    suspeitas, impróprias, incorretas ou anômalas.    Trata-se de...
Características   Um IDS funciona de acordo com uma série    de funções que, trabalhando de modo    integrado, é capaz de...
Características                     BloquearConexão                     conexão                        Detectar;          ...
Características   Após a detecção da tentativa de ataque, uma das    ações pode ser tomada:       Reconfiguração do fire...
Metodologia de Detecção de Intrusão   Detecção por Anomalias       Tem por objetivo identificar desvios de padrão de    ...
Metodologia de Detecção de Intrusão   Detecção por Anomalias       Intrusiva e anômala (verdadeiros positivos);       I...
Metodologia de Detecção de Intrusão   Detecção por Assinaturas:       Mais utilizadas nos IDSs;       Gera menos falsos...
Metodologia de Detecção de Intrusão   Detecção por Assinaturas:       Normalmente as assinaturas são constituídas de    ...
Metodologia de Detecção de Intrusão   Detecção por Assinaturas:       Detecção de Intrusão através de sistemas        es...
Classificação de Intrusão baseada no tipode análise   Host-Based Intrusion Detection       Fazem o monitoramento de um s...
Classificação de Intrusão baseada no tipode análise   Host-Based Intrusion Detection       Principais vantagens:        ...
Classificação de Intrusão baseada no tipode análise   Network-Based Intrusion Detection       Monitoram o tráfego de pac...
Classificação de Intrusão baseada no tipode análise   Network-Based Intrusion Detection       Vantagens:           Não ...
Upcoming SlideShare
Loading in …5
×

TRABALHO IDS

719 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
719
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
35
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

TRABALHO IDS

  1. 1. Sistemas de Detecção deIntrusão (IDS)
  2. 2. Introdução Bolsões de segurança: Provimento de serviço para usuários internos e externos; O firewall pode funcionar como uma 1ª linha de defesa. A autenticação também é importante; O IDS: provê uma forma de monitorar usuários internos e externos:
  3. 3. Introdução Intrusão pode ser definido como qualquer conjunto de ações, que tentem comprometer a integridade, confidencialidade, ou disponibilidade de um recurso computacional; As respostas providas pelo IDS têm a função de alertar ao administrador do sistema a ocorrência de um ataque
  4. 4. Introdução
  5. 5. Introdução Um IDS tem por objetivo detectar atividades suspeitas, impróprias, incorretas ou anômalas. Trata-se de um elemento muito importante na defesa de uma organização; Capaz de detectar ataques realizados por meio de portas legítimas, ou qualquer comportamento previamente autorizado, mesmo que seja previamente controlado pelo firewall;
  6. 6. Características Um IDS funciona de acordo com uma série de funções que, trabalhando de modo integrado, é capaz de detectar, analisar e responder atividades suspeitas: Coleta de Informações; Análise das Informações coletadas; Armazenamento das informações; Funções do IDS Resposta às atividades suspeitas
  7. 7. Características BloquearConexão conexão Detectar; Tráfego Suspeito Analisar; Permitir conexão Responder Tráfego Firewall Legítimo IDS O firewall libera conexões e o IDS detecta, notifica e responde a tráfegos
  8. 8. Características Após a detecção da tentativa de ataque, uma das ações pode ser tomada:  Reconfiguração do firewall;  Alarme;  Aviso SNMP para sistemas de gerenciamento de redes  Evento do Windows;  Geração de logs;  Gravação das informações sob ataque;  Gravação das evidências do ataque;  Finalização da conexão;  Etc...
  9. 9. Metodologia de Detecção de Intrusão Detecção por Anomalias  Tem por objetivo identificar desvios de padrão de utilização de recursos. Partindo da premissa de que cada usuário possui um perfil de utilização de recursos, qualquer desvio significativo pode indicar um ataque;
  10. 10. Metodologia de Detecção de Intrusão Detecção por Anomalias  Intrusiva e anômala (verdadeiros positivos);  Intrusiva e não anômala (falsos negativos);  Não intrusiva e anômala (falsos positivos)  Não intrusiva e não anômala (verdadeiros negativos)
  11. 11. Metodologia de Detecção de Intrusão Detecção por Assinaturas:  Mais utilizadas nos IDSs;  Gera menos falsos positivos do que os sistemas que utilizam sistemas de detecção de intrusão por anomalia;  Uma base de dados que contém informações de padrões de ataques (assinaturas) é utilizada para fazer comparações
  12. 12. Metodologia de Detecção de Intrusão Detecção por Assinaturas:  Normalmente as assinaturas são constituídas de uma sequência específica de comandos de sistema  GET /scripts/root.exe?/c+dir  GET /MSADC/root.exe?/c+dir  GET /c/winnt/system32/cmd.exe?/c+dir  GET /d/winnt/system32/cmd.exe?/c+dir  GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir  .... Assinatura do NIMDA
  13. 13. Metodologia de Detecção de Intrusão Detecção por Assinaturas:  Detecção de Intrusão através de sistemas especialistas;  Reconhecimento de padrões estatísticos;  Probabilidade condicional
  14. 14. Classificação de Intrusão baseada no tipode análise Host-Based Intrusion Detection  Fazem o monitoramento de um sistema com base em eventos registrados nos arquivos de logs  Uso dos CPUs;  Modificações nos privilégios dos usuários;  Acessos e modificações em arquivos em sistemas;  Processos do sistema;  Programas que estão sendo executados
  15. 15. Classificação de Intrusão baseada no tipode análise Host-Based Intrusion Detection  Principais vantagens:  Não precisam de hardware adicional’;  São independetes de topologia de rede;  Geram poucos falsos positivos;  Ataques que ocorrem fisicamente podem ser detectados;  Principais desvantagens:  Dependência do sistema operacional  Incapacidade de detectar ataques de rede;  O host monitorado apresenta perda de desempenho
  16. 16. Classificação de Intrusão baseada no tipode análise Network-Based Intrusion Detection  Monitoram o tráfego de pacotes na rede onde os recursos estão situados;  O monitoramento do se dá mediante a captura de pacotes e a posterior análise de seus conteúdos
  17. 17. Classificação de Intrusão baseada no tipode análise Network-Based Intrusion Detection  Vantagens:  Não causa impacto no desempenho da rede;  Ataques podem ser identificados em tempo real;  Eficiência na detecção de port scanning;  É possível detectar tentativas de ataque  Desvantagens:  Incapacidade de monitorar informações criptografadas;  Pode haver perdas de pacotes em redes congestionados;

×