Baixe o app para aproveitar ainda mais
Prévia do material em texto
Aula 3 Segurança em Redes de Computadores Prof. José Luiz kessler Juiz de Fora , Janeiro de 2016 Aula 3 Objetivo: Conhecer as características de um IDS Identificar e distinguir tipos de IDS Diferenciar o papel do firewall e IDS Entender os resultados da sua aplicação Aula 3 O que é uma intrusão? "Qualquer conjunto de ações que tentem comprometer a integridade, confidencialidade ou disponibilidade dos dados e/ou do sistema." Uma tentativa de invasão ao sistema ou fazer mau uso do mesmo. O que seria tentar invadir o sistema? O que seria fazer mal uso do mesmo? Um usuário que erra a senha 3 vezes consecutivas como pode ser classificado? Aula 3 Classificação das Intrusões: Intrusão devido ao mau uso do sistema Intrusão devido a mudança de padrão Alguns padrões que podem ser monitorados: -Utilização de CPU -Conexões por minuto -Número de processos por usuário -Utilização da memória -Tentativa de criação de arquivo com UID root -I/O de disco Aula 3 IDS-Sistema de Detecção de Intrusos O que é um IDS? Sistema que detecta tentativas e ou acessos não autorizados que podem ser ataques Tem como objetivo detectar se alguém esta tentando entrar no sistema ou se algum usuário legitimo esta fazendo mal uso do mesmo Ferramenta roda em background e somente gera um alerta quando detecta alguma atividade suspeita ou ilegal Aula 3 Aula 3 Tipos de IDS: Detecção por assinatura → Analisam as atividades do sistema procurando por eventos ou conjunto de eventos que correspondam a padrões pré-definidos ou outras atividades Maliciosas. Detecção por anomalia → Identificam comportamentos não usuais em hosts ou rede Detecção baseado em especificação → Trabalha nas camadas inferiores a de aplicação e se restringe a operação correta de um programa ou protocolo Aula 3 Um IDS é composto por sensores que contém assinaturas de ataques já conhecidos Alguns sensores são inteligentes e podem aprender com o comportamento da rede Sensores são divididos em 2 tipos: Estáticos Inteligente Aula 3 Classisficação dos IDS: IDS de rede(NIDS) IDS de host(HIDS) Os sensores devem interagir entre si, a fim de construírem uma matriz de eventos que tem por objetivo a qualificação do padrão de ataque, minimizando dessa forma o falso positivo. Aula 3 Características Fundamentais: Gerenciamento centralizado → Interação com os ativos de rede Base de conhecimento centralizada → Visão ampla do nível de segurança da rede Aula 3 Anatomia de uma Ferramenta de IDS: Padrão CIDF(Common Intrusion Detection Framework) Gerador de eventos(E-boxes) -Analisador de eventos(A-boxes) Base de dados de eventos(D-boxes) -Unidade de resposta(R-boxes) Aula 3 O Gerador de Eventos (E box ) A função deste componente é obter os eventos a partir do meio externo ao CIDF, ou seja, ele "produz" os eventos mas não os processa, isso fica a cargo do componente especializado na função de processamento, que, por sua vez, após analisar os eventos (violação de política, anomalias, intrusão) envia os resultados para outros componentes. Aula 3 O Analisador de Eventos (A box ) Este componente, basicamente, recebe as informações de outros componentes, as analisa e as envia de forma resumida para outros componentes, ou seja, recebe os dados de forma bruta, Faz um refinamento e envia para os outros Aula 3 A Base de Dados de Eventos (D bo x) A função deste componente é armazenar os eventos e/ou resultados para uma necessidade futura. Aula 3 A Unidade de Resposta (R box ) Este componente é responsável pelas ações, ou seja, matar o processo, reinicializar a conexão, alterar a permissão de arquivos, notificar as estações de gerência, etc. Aula 3 Dúvidas: Slide 1 Slide 2 Slide 3 Slide 4 Slide 5 Slide 6 Slide 7 Slide 8 Slide 9 Slide 10 Slide 11 Slide 12 Slide 13 Slide 14 Slide 15 Slide 16 Slide 17
Compartilhar