IDS - Sistema de Detecção de Intrusos

Prévia do material em texto

Aula 3
Segurança em Redes de 
Computadores
Prof. José Luiz kessler
Juiz de Fora , Janeiro de 2016
Aula 3
Objetivo:
Conhecer as características de um IDS
Identificar e distinguir tipos de IDS
Diferenciar o papel do firewall e IDS
Entender os resultados da sua aplicação
Aula 3
O que é uma intrusão?
 "Qualquer conjunto de ações que tentem comprometer a
 integridade, confidencialidade ou disponibilidade dos dados e/ou
 do sistema."
 
 Uma tentativa de invasão ao sistema ou fazer 
mau uso do mesmo.
O que seria tentar invadir o sistema?
O que seria fazer mal uso do mesmo?
Um usuário que erra a senha 3 vezes consecutivas como pode 
ser classificado?
Aula 3
Classificação das Intrusões:
Intrusão devido ao mau uso do sistema
Intrusão devido a mudança de padrão
Alguns padrões que podem ser monitorados:
-Utilização de CPU
-Conexões por minuto
-Número de processos por usuário
-Utilização da memória
-Tentativa de criação de arquivo com UID root
-I/O de disco
Aula 3
IDS-Sistema de Detecção de Intrusos
O que é um IDS?
Sistema que detecta tentativas e ou acessos não autorizados 
que podem ser ataques
Tem como objetivo detectar se alguém esta tentando entrar no 
sistema ou se algum usuário legitimo esta fazendo mal uso do 
mesmo 
Ferramenta roda em background e somente gera um alerta 
quando detecta alguma atividade suspeita ou ilegal
Aula 3
Aula 3
Tipos de IDS:
Detecção por assinatura → Analisam as atividades do sistema 
procurando por eventos ou conjunto de eventos que 
correspondam a padrões pré-definidos ou outras atividades
Maliciosas.
Detecção por anomalia → Identificam comportamentos não 
usuais em hosts ou rede
Detecção baseado em especificação → Trabalha nas camadas 
inferiores a de aplicação e se restringe a operação correta de um 
programa ou protocolo 
Aula 3
Um IDS é composto por sensores que contém assinaturas de 
ataques já conhecidos
Alguns sensores são inteligentes e podem aprender com o 
comportamento da rede
Sensores são divididos em 2 tipos:
Estáticos
Inteligente
Aula 3
Classisficação dos IDS:
IDS de rede(NIDS)
IDS de host(HIDS)
Os sensores devem interagir entre si, a fim de construírem uma 
matriz de eventos que tem por objetivo a qualificação do padrão de 
ataque, minimizando dessa forma o falso positivo. 
Aula 3
Características Fundamentais: 
Gerenciamento centralizado → Interação com os ativos de rede
Base de conhecimento centralizada → Visão ampla do nível de 
segurança da rede
Aula 3
Anatomia de uma Ferramenta de IDS:
Padrão CIDF(Common Intrusion Detection Framework)
Gerador de eventos(E-boxes)
-Analisador de eventos(A-boxes)
Base de dados de eventos(D-boxes)
-Unidade de resposta(R-boxes)
Aula 3
O Gerador de Eventos (E box )
A função deste componente é obter os eventos a partir do meio
externo ao CIDF, ou seja, ele "produz" os eventos mas não os
processa, isso fica a cargo do componente especializado na
função de processamento, que, por sua vez, após analisar os
eventos (violação de política, anomalias, intrusão) envia os
resultados para outros componentes.
Aula 3
O Analisador de Eventos (A box )
Este componente, basicamente, recebe as informações de outros
componentes, as analisa e as envia de forma resumida para
outros componentes, ou seja, recebe os dados de forma bruta,
Faz um refinamento e envia para os outros
Aula 3
A Base de Dados de Eventos (D bo x)
A função deste componente é armazenar os eventos e/ou
resultados para uma necessidade futura.
Aula 3
A Unidade de Resposta (R box )
Este componente é responsável pelas ações, ou seja, matar o
processo, reinicializar a conexão, alterar a permissão de
arquivos, notificar as estações de gerência, etc.
Aula 3
Dúvidas:
	Slide 1
	Slide 2
	Slide 3
	Slide 4
	Slide 5
	Slide 6
	Slide 7
	Slide 8
	Slide 9
	Slide 10
	Slide 11
	Slide 12
	Slide 13
	Slide 14
	Slide 15
	Slide 16
	Slide 17