SlideShare uma empresa Scribd logo

IDS.pdf

A
Agostinho9

ids

Tecnologia
1 de 43
Baixar para ler offline
Sistemas de Detecção de Intrusão Gabriel Antonio Fontes Rebello Matheus Lemos dos Reis Rafael Gonçalves Damasceno Raphael Oliveira Sathler de Souza Rodrigo Carvalho Ribeiro de Jesus
Contexto para Sistemas de detecção de intrusão (IDS) ● Segurança na Internet ● Segurança em IoT e na "nova internet" ○ Dispositivos vulneráveis e representativos de grande fluxo ○ Presença de muitos dispositivos ■ 50 bilhões de dispositivos IoT até 2020 ○ Ataque DDoS ao servidor DynDNS ■ Picos de 1.2 Tbps
Conceituação do IDS ● Sistema de monitoramento da rede ○ Eventos que possam violar as regras de segurança ■ Evasão acima do fluxo de tráfego permitido ■ Escaneamento de portas ○ Coleta de dados ■ Dispositivos de Entrada e Saída ■ Arquivos locais ■ Conexões estabelecidas ○ Avaliação de padrões ■ Análise estatística
IDS e IPS ● IDS ○ Também chamado de IDS Passivo ○ Alertas para o administrador da rede ● IPS ○ Também chamado de IDS Ativo ○ Medidas preventivas ■ Bloquear conexões
IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
Tipos de IDS ● HIDS ○ Sistema Hospedeiro de Detecção de Intrusão ○ Foco em examinar ações específicas com base nos hospedeiros ■ Arquivos acessados ■ Aplicativos utilizados ■ Informações de Logs
Tipos de IDS ● NIDS ○ Sistema de Rede de Detecção de Intrusão ○ Foco em analisar o fluxo de informações que transitam pela rede ○ Busca encontrar padrões comportamentais suspeitos ○ Implementado em lugares estratégicos
Posicionamento de um NIDS Figura 3.1: Exemplo de uma topologia de rede com um NIDS colocado logo depois de um firewall externo. Fonte: http://itm455.itmbsu.net/Notes/L8_NetworkSec.htm
Vantagens e Desvantagens HIDS ● Vantagens ○ Restrição e Controle Local ■ Monitora o comportamento do sistema ■ Tráfego de Rede Local ■ Estado do Sistema Operacional e Hardware ○ Identifica ações fora de seu escopo ■ Software tentando realizar uma atividade que foge do seu funcionamento
Vantagens e Desvantagens HIDS ● Vantagens ○ Executa ações preventivas ■ Alterar permissões ■ Mover arquivos ○ Análise de Tráfego Criptografado ● Desvantagens ○ Obrigatoriamente Descentralizado ○ Suscetíveis a ataques por estarem dentro do Host
Vantagens e Desvantagens NIDS ● Vantagens ○ Centralizado ○ Analisa todo o fluxo de informações de uma rede de computadores ■ Monitora Serviços e Portas ■ Controla Fluxo de Pacotes ■ Avalia Requisições ○ Provê maior segurança por rodar em máquinas projetadas para tal.
Vantagens e Desvantagens NIDS ● Desvantagens ○ Incapaz de analisar tráfego criptografado ○ Incapaz de analisar atividades de host.
Tipos de IDS ● IDS baseado em anomalia ○ Monitoramento das ações que ocorrem na rede ○ Treinos e identificação de padrões ■ Definições codificadas de padrões normais de tráfego ■ Uso de heurísticas
Tipos de IDS ● IDS baseado em assinatura ○ Banco de dados com ataques conhecidos ○ Comparação com o padrão ■ Pacotes suspeitos ● Associados a determinados serviços ● Destinado a uma determinada porta
Exemplos de assinaturas ● Tentativa de conexão a IP reservado ● Combinação de flags TCP ilegal ● E-mail contendo um vírus em particular ● Ataque de negação de serviço ● Ataque em um servidor FTP
IDS Virtualizada ● Uso de NFV ○ Funções de redes feitas em máquinas virtuais ■ Facilidade de manutenção e implementação ■ Logicamente centralizado ● Vantagens e Desvantagens ○ Monitoramento facilitado ■ Controlador como o OpenStack ○ Menor custo com hardware ○ Melhor flexibilidade
Exemplos de IDS ● SNORT ○ IPS open source ○ Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre outras. ○ Suportado em arquiteturas RISC e CISC ○ SourceFire, empresa da CISCO ■ Libera frequentemente databases de assinaturas
Exemplos de IDS ● Tripwire ○ IDS open source ○ Monitoramento de alerta de mudanças e integridade de arquivos ○ Funciona como um HIDS, coletando detalhes sobre o sistema de arquivos e a configuração da máquina ■ Uso de um banco de dados com snapshots de arquivos e diretórios ● O conteúdo deve ser gerado antes que o sistema esteja em risco de intrusão
Exemplos de IDS ● RealSecure ○ NIDS ■ Monitora o tráfego TCP, UDP e ICMP ● Procurar padrões de ataque ● Realiza o monitoramento em várias plataformas e ambientes de rede ○ Utiliza arquitetura cliente-servidor distribuída composta por um controlador e sensores
Exemplos de IDS ● BRO ○ Um dos principais IDS open source baseado em Unix ○ Baseia-se tanto na parte da assinatura quanto na busca por anomalia ○ Análises convertem o tráfego capturado em eventos a serem interpretados ○ Linguagem própria ○ Altamente customizável
Questões
Diferencie NIDS e HIDS
Diferencie NIDS e HIDS HIDS é o tipo de IDS baseado em hosts, isto é, que atua sob sistema operacional em um computador específico, analisando seus processos, programas, conexão, etc., sem ter a visão geral da rede. Um NIDS é um IDS para monitoramento de pacotes em uma rede, que analisa o tráfego e toma decisões. Em geral, é localizada em um ponto estratégico da topologia da rede, em um nó configurado para isto, e possui ampla visão do fluxo.
Diferencie tipos de detecção
Diferencie tipos de detecção Uma detecção por assinatura baseia-se na manutenção de um banco de dados com ataques conhecidos e na comparação dos pacotes recebidos com algum deles. Para isto, geralmente utiliza-se uma função de correlação e é crucial ter o banco sempre atualizado. No caso de detecções por anomalia, o IDS é treinado constantemente para conhecer o padrão de fluxo da rede através, geralmente, de aprendizado de máquina. Assim, quando alguma alteração significativa acontece, o sistema pode reconhecê-la comparando com o comportamento normal da rede e, em seguida, tomar as devidas ações.
Diferencie IDS passivo e ativo
Diferencie IDS passivo e ativo Um IDS passivo é projetado apenas para monitoramento, isto é, ele apenas registra ou alerta sobre acontecimentos e ataques, exigindo que a resposta seja dada manualmente. Um IDS ativo (por vezes também chamado de IPS), além de monitorar, toma decisões automaticamente, de acordo com o que for programado. Os dados são processados e a resposta dada, quando possível, pelo próprio programa.
O que é um IDS virtualizado? Como pode ser utilizado?
O que é um IDS virtualizado? Como pode ser utilizado? Um IDS virtualizado é a substituição de um IDS físico (hardware) por uma função de rede virtualizada (software). Isto significa trocar um dispositivo de rede por um programa em uma máquina comum. Sua principal utilização é em ambientes virtualizados de rede, geralmente com objetivo de processamento distribuído, que necessitam de flexibilidade e atualização constante de seus dispositivos.
Cite algumas características do Bro IDS (diferenças, vantagens, etc.)
Cite algumas características do Bro IDS (diferenças, vantagens, etc.) O Bro é uma implementação e extensão em software de um NIDS capaz de realizar detecções tanto por assinatura quanto por anomalia. Sua principal vantagem é possuir grande versatilidade na forma com que lida com eventos, já que todas as suas respostas são programáveis através de scripts.
Prática

Recomendados

Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosIvani Nascimento
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão r5f4y7s9f8g5b245
 
Sistemas de Detecção de Intrusão.pdf
Sistemas de Detecção de Intrusão.pdfSistemas de Detecção de Intrusão.pdf
Sistemas de Detecção de Intrusão.pdfAgostinho9
 
Ids
IdsIds
IdsCaniap
 
Ids
IdsIds
IdsCaniap
 
Seguranca da Informação -IDS
Seguranca da Informação -IDSSeguranca da Informação -IDS
Seguranca da Informação -IDSLuiz Arthur
 
Seguranca em Redes IDS
Seguranca em Redes IDSSeguranca em Redes IDS
Seguranca em Redes IDSLuiz Arthur
 
TRABALHO IDS
TRABALHO IDSTRABALHO IDS
TRABALHO IDSTiago Castro
 

Recomendados

Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosIvani Nascimento
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão r5f4y7s9f8g5b245
 
Sistemas de Detecção de Intrusão.pdf
Sistemas de Detecção de Intrusão.pdfSistemas de Detecção de Intrusão.pdf
Sistemas de Detecção de Intrusão.pdfAgostinho9
 
Ids
IdsIds
IdsCaniap
 
Ids
IdsIds
IdsCaniap
 
Seguranca da Informação -IDS
Seguranca da Informação -IDSSeguranca da Informação -IDS
Seguranca da Informação -IDSLuiz Arthur
 
Seguranca em Redes IDS
Seguranca em Redes IDSSeguranca em Redes IDS
Seguranca em Redes IDSLuiz Arthur
 
TRABALHO IDS
TRABALHO IDSTRABALHO IDS
TRABALHO IDSTiago Castro
 
Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_cleitonfcsantos
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao DatacenterNetBR
 
Snort
SnortSnort
SnortJean Pimentel
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
 
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeBe Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeSymantec Brasil
 
Webinar: Desvendando as camadas de IoT
Webinar: Desvendando as camadas de IoTWebinar: Desvendando as camadas de IoT
Webinar: Desvendando as camadas de IoTEmbarcados
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao DatacenterNetBR
 
215610229 seguranca-de-redes
215610229 seguranca-de-redes215610229 seguranca-de-redes
215610229 seguranca-de-redesMarco Guimarães
 
215610229 seguranca-de-redes (1)
215610229 seguranca-de-redes (1)215610229 seguranca-de-redes (1)
215610229 seguranca-de-redes (1)Marco Guimarães
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxpce19791
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5Eduardo Santana
 
NAPSOL
NAPSOLNAPSOL
NAPSOLLuiz Arthur
 
FIRST TECH - Security Solutions
FIRST TECH - Security SolutionsFIRST TECH - Security Solutions
FIRST TECH - Security SolutionsLuiz Veloso
 
Zabbix: O portal para os iniciantes - 3º Zabbix Meetup do Interior
Zabbix: O portal para os iniciantes - 3º Zabbix Meetup do InteriorZabbix: O portal para os iniciantes - 3º Zabbix Meetup do Interior
Zabbix: O portal para os iniciantes - 3º Zabbix Meetup do InteriorZabbix BR
 
Sophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completaSophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completaDeServ - Tecnologia e Servços
 
Arquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoS
Arquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoSArquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoS
Arquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoSDiogo Guedes
 
Introducao banco de dados
Introducao banco de dadosIntroducao banco de dados
Introducao banco de dadosvaniakenob
 
Foco no app, viva o serverless!
Foco no app, viva o serverless!Foco no app, viva o serverless!
Foco no app, viva o serverless!Mario Guedes
 
Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Diego BBahia
 
Segurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidadeSegurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidadeDiego BBahia
 
ids.ppt
ids.pptids.ppt
ids.pptAgostinho9
 
08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsx
08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsx08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsx
08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsxAgostinho9
 

Mais conteúdo relacionado

Semelhante a IDS.pdf

Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_cleitonfcsantos
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao DatacenterNetBR
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
 
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeBe Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeSymantec Brasil
 
Webinar: Desvendando as camadas de IoT
Webinar: Desvendando as camadas de IoTWebinar: Desvendando as camadas de IoT
Webinar: Desvendando as camadas de IoTEmbarcados
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao DatacenterNetBR
 
215610229 seguranca-de-redes
215610229 seguranca-de-redes215610229 seguranca-de-redes
215610229 seguranca-de-redesMarco Guimarães
 
215610229 seguranca-de-redes (1)
215610229 seguranca-de-redes (1)215610229 seguranca-de-redes (1)
215610229 seguranca-de-redes (1)Marco Guimarães
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxpce19791
 
FIRST TECH - Security Solutions
FIRST TECH - Security SolutionsFIRST TECH - Security Solutions
FIRST TECH - Security SolutionsLuiz Veloso
 
Zabbix: O portal para os iniciantes - 3º Zabbix Meetup do Interior
Zabbix: O portal para os iniciantes - 3º Zabbix Meetup do InteriorZabbix: O portal para os iniciantes - 3º Zabbix Meetup do Interior
Zabbix: O portal para os iniciantes - 3º Zabbix Meetup do InteriorZabbix BR
 
Arquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoS
Arquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoSArquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoS
Arquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoSDiogo Guedes
 
Introducao banco de dados
Introducao banco de dadosIntroducao banco de dados
Introducao banco de dadosvaniakenob
 
Foco no app, viva o serverless!
Foco no app, viva o serverless!Foco no app, viva o serverless!
Foco no app, viva o serverless!Mario Guedes
 
Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Diego BBahia
 
Segurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidadeSegurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidadeDiego BBahia
 

Semelhante a IDS.pdf (20)

Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao Datacenter
 
Snort
SnortSnort
Snort
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
 
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeBe Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
 
Webinar: Desvendando as camadas de IoT
Webinar: Desvendando as camadas de IoTWebinar: Desvendando as camadas de IoT
Webinar: Desvendando as camadas de IoT
 
Controle de Acesso ao Datacenter
Controle de Acesso ao DatacenterControle de Acesso ao Datacenter
Controle de Acesso ao Datacenter
 
215610229 seguranca-de-redes
215610229 seguranca-de-redes215610229 seguranca-de-redes
215610229 seguranca-de-redes
 
215610229 seguranca-de-redes (1)
215610229 seguranca-de-redes (1)215610229 seguranca-de-redes (1)
215610229 seguranca-de-redes (1)
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptx
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5
 
NAPSOL
NAPSOLNAPSOL
NAPSOL
 
FIRST TECH - Security Solutions
FIRST TECH - Security SolutionsFIRST TECH - Security Solutions
FIRST TECH - Security Solutions
 
Zabbix: O portal para os iniciantes - 3º Zabbix Meetup do Interior
Zabbix: O portal para os iniciantes - 3º Zabbix Meetup do InteriorZabbix: O portal para os iniciantes - 3º Zabbix Meetup do Interior
Zabbix: O portal para os iniciantes - 3º Zabbix Meetup do Interior
 
Sophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completaSophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completa
 
Arquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoS
Arquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoSArquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoS
Arquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoS
 
Introducao banco de dados
Introducao banco de dadosIntroducao banco de dados
Introducao banco de dados
 
Foco no app, viva o serverless!
Foco no app, viva o serverless!Foco no app, viva o serverless!
Foco no app, viva o serverless!
 
Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1
 
Segurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidadeSegurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidade
 

Mais de Agostinho9

08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsx
08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsx08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsx
08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsxAgostinho9
 
analise_e_coleta_dados.pptx
analise_e_coleta_dados.pptxanalise_e_coleta_dados.pptx
analise_e_coleta_dados.pptxAgostinho9
 
SEGURANÇA DE REDES.ppt
SEGURANÇA DE REDES.pptSEGURANÇA DE REDES.ppt
SEGURANÇA DE REDES.pptAgostinho9
 
Capítulo 2 Conceitos de Segurança Física e Segurança Lógica.pdf
Capítulo 2 Conceitos de Segurança Física e Segurança Lógica.pdfCapítulo 2 Conceitos de Segurança Física e Segurança Lógica.pdf
Capítulo 2 Conceitos de Segurança Física e Segurança Lógica.pdfAgostinho9
 
redes de pc.ppt
redes de pc.pptredes de pc.ppt
redes de pc.pptAgostinho9
 
Redes Wireless.ppt
Redes Wireless.pptRedes Wireless.ppt
Redes Wireless.pptAgostinho9
 
Redes Wireless.ppt
Redes Wireless.pptRedes Wireless.ppt
Redes Wireless.pptAgostinho9
 
Enderecamento IP - sub-redes v1.1 com sumarizacao.pdf
Enderecamento IP - sub-redes v1.1 com sumarizacao.pdfEnderecamento IP - sub-redes v1.1 com sumarizacao.pdf
Enderecamento IP - sub-redes v1.1 com sumarizacao.pdfAgostinho9
 
Vulnerabilidade.ppt
Vulnerabilidade.pptVulnerabilidade.ppt
Vulnerabilidade.pptAgostinho9
 

Mais de Agostinho9 (13)

ids.ppt
ids.pptids.ppt
ids.ppt
 
08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsx
08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsx08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsx
08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsx
 
analise_e_coleta_dados.pptx
analise_e_coleta_dados.pptxanalise_e_coleta_dados.pptx
analise_e_coleta_dados.pptx
 
SEGURANÇA DE REDES.ppt
SEGURANÇA DE REDES.pptSEGURANÇA DE REDES.ppt
SEGURANÇA DE REDES.ppt
 
Capítulo 2 Conceitos de Segurança Física e Segurança Lógica.pdf
Capítulo 2 Conceitos de Segurança Física e Segurança Lógica.pdfCapítulo 2 Conceitos de Segurança Física e Segurança Lógica.pdf
Capítulo 2 Conceitos de Segurança Física e Segurança Lógica.pdf
 
redes de pc.ppt
redes de pc.pptredes de pc.ppt
redes de pc.ppt
 
REDES.ppt
REDES.pptREDES.ppt
REDES.ppt
 
Redes Wireless.ppt
Redes Wireless.pptRedes Wireless.ppt
Redes Wireless.ppt
 
Redes Wireless.ppt
Redes Wireless.pptRedes Wireless.ppt
Redes Wireless.ppt
 
Redes.ppt
Redes.pptRedes.ppt
Redes.ppt
 
Enderecamento IP - sub-redes v1.1 com sumarizacao.pdf
Enderecamento IP - sub-redes v1.1 com sumarizacao.pdfEnderecamento IP - sub-redes v1.1 com sumarizacao.pdf
Enderecamento IP - sub-redes v1.1 com sumarizacao.pdf
 
Vulnerabilidade.ppt
Vulnerabilidade.pptVulnerabilidade.ppt
Vulnerabilidade.ppt
 
IDS.ppt
IDS.pptIDS.ppt
IDS.ppt
 

IDS.pdf

  • 1. Sistemas de Detecção de Intrusão Gabriel Antonio Fontes Rebello Matheus Lemos dos Reis Rafael Gonçalves Damasceno Raphael Oliveira Sathler de Souza Rodrigo Carvalho Ribeiro de Jesus
  • 2. Contexto para Sistemas de detecção de intrusão (IDS) ● Segurança na Internet ● Segurança em IoT e na "nova internet" ○ Dispositivos vulneráveis e representativos de grande fluxo ○ Presença de muitos dispositivos ■ 50 bilhões de dispositivos IoT até 2020 ○ Ataque DDoS ao servidor DynDNS ■ Picos de 1.2 Tbps
  • 3. Conceituação do IDS ● Sistema de monitoramento da rede ○ Eventos que possam violar as regras de segurança ■ Evasão acima do fluxo de tráfego permitido ■ Escaneamento de portas ○ Coleta de dados ■ Dispositivos de Entrada e Saída ■ Arquivos locais ■ Conexões estabelecidas ○ Avaliação de padrões ■ Análise estatística
  • 4. IDS e IPS ● IDS ○ Também chamado de IDS Passivo ○ Alertas para o administrador da rede ● IPS ○ Também chamado de IDS Ativo ○ Medidas preventivas ■ Bloquear conexões
  • 5. IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
  • 6. IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
  • 7. IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
  • 8. IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
  • 9. IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
  • 10. IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
  • 11. IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
  • 12. IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
  • 13. IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
  • 14. IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
  • 15. IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
  • 16. IDS e IPS Figura 2.1: Comparação entre o funcionamento do IDS e IPS Fonte: https://krystalchisholm.wordpress.com/
  • 17. Tipos de IDS ● HIDS ○ Sistema Hospedeiro de Detecção de Intrusão ○ Foco em examinar ações específicas com base nos hospedeiros ■ Arquivos acessados ■ Aplicativos utilizados ■ Informações de Logs
  • 18. Tipos de IDS ● NIDS ○ Sistema de Rede de Detecção de Intrusão ○ Foco em analisar o fluxo de informações que transitam pela rede ○ Busca encontrar padrões comportamentais suspeitos ○ Implementado em lugares estratégicos
  • 19. Posicionamento de um NIDS Figura 3.1: Exemplo de uma topologia de rede com um NIDS colocado logo depois de um firewall externo. Fonte: http://itm455.itmbsu.net/Notes/L8_NetworkSec.htm
  • 20. Vantagens e Desvantagens HIDS ● Vantagens ○ Restrição e Controle Local ■ Monitora o comportamento do sistema ■ Tráfego de Rede Local ■ Estado do Sistema Operacional e Hardware ○ Identifica ações fora de seu escopo ■ Software tentando realizar uma atividade que foge do seu funcionamento
  • 21. Vantagens e Desvantagens HIDS ● Vantagens ○ Executa ações preventivas ■ Alterar permissões ■ Mover arquivos ○ Análise de Tráfego Criptografado ● Desvantagens ○ Obrigatoriamente Descentralizado ○ Suscetíveis a ataques por estarem dentro do Host
  • 22. Vantagens e Desvantagens NIDS ● Vantagens ○ Centralizado ○ Analisa todo o fluxo de informações de uma rede de computadores ■ Monitora Serviços e Portas ■ Controla Fluxo de Pacotes ■ Avalia Requisições ○ Provê maior segurança por rodar em máquinas projetadas para tal.
  • 23. Vantagens e Desvantagens NIDS ● Desvantagens ○ Incapaz de analisar tráfego criptografado ○ Incapaz de analisar atividades de host.
  • 24. Tipos de IDS ● IDS baseado em anomalia ○ Monitoramento das ações que ocorrem na rede ○ Treinos e identificação de padrões ■ Definições codificadas de padrões normais de tráfego ■ Uso de heurísticas
  • 25. Tipos de IDS ● IDS baseado em assinatura ○ Banco de dados com ataques conhecidos ○ Comparação com o padrão ■ Pacotes suspeitos ● Associados a determinados serviços ● Destinado a uma determinada porta
  • 26. Exemplos de assinaturas ● Tentativa de conexão a IP reservado ● Combinação de flags TCP ilegal ● E-mail contendo um vírus em particular ● Ataque de negação de serviço ● Ataque em um servidor FTP
  • 27. IDS Virtualizada ● Uso de NFV ○ Funções de redes feitas em máquinas virtuais ■ Facilidade de manutenção e implementação ■ Logicamente centralizado ● Vantagens e Desvantagens ○ Monitoramento facilitado ■ Controlador como o OpenStack ○ Menor custo com hardware ○ Melhor flexibilidade
  • 28. Exemplos de IDS ● SNORT ○ IPS open source ○ Análises de protocolos, buscar e associar padrões de conteúdo, detecção de ataques, entre outras. ○ Suportado em arquiteturas RISC e CISC ○ SourceFire, empresa da CISCO ■ Libera frequentemente databases de assinaturas
  • 29. Exemplos de IDS ● Tripwire ○ IDS open source ○ Monitoramento de alerta de mudanças e integridade de arquivos ○ Funciona como um HIDS, coletando detalhes sobre o sistema de arquivos e a configuração da máquina ■ Uso de um banco de dados com snapshots de arquivos e diretórios ● O conteúdo deve ser gerado antes que o sistema esteja em risco de intrusão
  • 30. Exemplos de IDS ● RealSecure ○ NIDS ■ Monitora o tráfego TCP, UDP e ICMP ● Procurar padrões de ataque ● Realiza o monitoramento em várias plataformas e ambientes de rede ○ Utiliza arquitetura cliente-servidor distribuída composta por um controlador e sensores
  • 31. Exemplos de IDS ● BRO ○ Um dos principais IDS open source baseado em Unix ○ Baseia-se tanto na parte da assinatura quanto na busca por anomalia ○ Análises convertem o tráfego capturado em eventos a serem interpretados ○ Linguagem própria ○ Altamente customizável
  • 34. Diferencie NIDS e HIDS HIDS é o tipo de IDS baseado em hosts, isto é, que atua sob sistema operacional em um computador específico, analisando seus processos, programas, conexão, etc., sem ter a visão geral da rede. Um NIDS é um IDS para monitoramento de pacotes em uma rede, que analisa o tráfego e toma decisões. Em geral, é localizada em um ponto estratégico da topologia da rede, em um nó configurado para isto, e possui ampla visão do fluxo.
  • 36. Diferencie tipos de detecção Uma detecção por assinatura baseia-se na manutenção de um banco de dados com ataques conhecidos e na comparação dos pacotes recebidos com algum deles. Para isto, geralmente utiliza-se uma função de correlação e é crucial ter o banco sempre atualizado. No caso de detecções por anomalia, o IDS é treinado constantemente para conhecer o padrão de fluxo da rede através, geralmente, de aprendizado de máquina. Assim, quando alguma alteração significativa acontece, o sistema pode reconhecê-la comparando com o comportamento normal da rede e, em seguida, tomar as devidas ações.
  • 38. Diferencie IDS passivo e ativo Um IDS passivo é projetado apenas para monitoramento, isto é, ele apenas registra ou alerta sobre acontecimentos e ataques, exigindo que a resposta seja dada manualmente. Um IDS ativo (por vezes também chamado de IPS), além de monitorar, toma decisões automaticamente, de acordo com o que for programado. Os dados são processados e a resposta dada, quando possível, pelo próprio programa.
  • 39. O que é um IDS virtualizado? Como pode ser utilizado?
  • 40. O que é um IDS virtualizado? Como pode ser utilizado? Um IDS virtualizado é a substituição de um IDS físico (hardware) por uma função de rede virtualizada (software). Isto significa trocar um dispositivo de rede por um programa em uma máquina comum. Sua principal utilização é em ambientes virtualizados de rede, geralmente com objetivo de processamento distribuído, que necessitam de flexibilidade e atualização constante de seus dispositivos.
  • 41. Cite algumas características do Bro IDS (diferenças, vantagens, etc.)
  • 42. Cite algumas características do Bro IDS (diferenças, vantagens, etc.) O Bro é uma implementação e extensão em software de um NIDS capaz de realizar detecções tanto por assinatura quanto por anomalia. Sua principal vantagem é possuir grande versatilidade na forma com que lida com eventos, já que todas as suas respostas são programáveis através de scripts.