O documento discute sistemas de detecção e prevenção de intrusão em redes, incluindo SDI baseados em rede, host e distribuídos. Também descreve o Snort, um popular SDI de código aberto, e o HLBR, um projeto brasileiro de IPS.

1. Curso Superior de Tecnologia em Redes de Computadores
Disciplina - Segurança de Redes
Unidade 3 – Segurança Perimetral(IDS/IPS)
Prof. Leandro Cavalcanti de Almeida
lcavalcanti.almeida@gmail.com
@leandrocalmeida

2. Invasão:
“... ato de entrar à força ou
hostilmente em um lugar...”
Dicionário Aurélio

3. Detecção de Invasão:
“... detectar uma entrada
não autorizada de um
computador em uma
rede...”
Casell, B. Snort 2

4. Sistema de Detecção de
Invasão
Sistema de Detecção de Invasão baseado em
Rede
Sistema de Detecção de Invasão baseado em
Host
Sistema de Detecção de Invasão Distribuído

5. SDI de Rede
- Monitora segmentos de rede
- A placa de rede opera em
modo promíscuo
- A idéia é espelhar o tráfego
de rede em uma porta do
switch e conectar o SDI de
rede nela

6. SDI de Host
- Monitora apenas o host
- A placa de rede não opera
em modo promíscuo
- Possibilidade de personalizar
regras específicas para o host

7. SDI Distribuído
- Arquitetura
gerenciador/investigação
- Utiliza sensores na rede que
reportam logs de ataques
- Necessidade de uma estação
de gerenciamento centralizada

9. SNORT
- SDI de Rede
- Versão enterprise e versão comunidade
- Possui regras para P2P, DoS, Web attack,
Malwares, ...
- Recursos
- Farejador de pacortes
- Registro de pacotes
- Detecção de invasão

10. SNORT
Componentes
- Farejador
- Pré-processador
- Mecanismo de detecção
- Saída

12. HLBR
- Projeto brasileiro, derivado do Hogwash
- O HLBR é um IPS (Intrusion Prevention System)
- Capaz de filtrar pacotes diretamente na camada 2
- Não utiliza a pilha TCP/IP do S.O (invisível na rede)
- Baseado em regras
Site Oficial:
http://hlbr.sourceforge.net/