1 / 29

Sistemas de Detecção de Intrusão

Sistemas de Detecção de Intrusão. Daniel José da Silva Neto Lucas Henrique Mauricio Victor Pereira da Costa. 2011-1. Redes de Computadores I. Professor Otto Carlos Muniz Bandeira Duarte. Introdução. Sistemas e aplicativos modernos Complexos e dinâmicos Falhas de segurança

fathia
Download Presentation

Sistemas de Detecção de Intrusão

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sistemas de Detecção de Intrusão Daniel José da Silva Neto Lucas Henrique Mauricio Victor Pereira da Costa 2011-1 Redes de Computadores I Professor Otto Carlos Muniz Bandeira Duarte

  2. Introdução • Sistemas e aplicativos modernos • Complexos e dinâmicos • Falhas de segurança • Ataques de intrusão • Sofisticados e perigosos • Automatizados • Necessidade • Detecção de intrusão

  3. Definições • Intrusão • Acessar ou manipular informações não autorizadas • Confidencialidade • Integridade • Tornar um sistema inseguro ou inutilizável • Disponibilidade • Detecção de intrusão • Monitorar eventos que ocorrem em um computador ou rede • Analisar eventos em busca de sinais de intrusão • Sistemas de Detecção de Intrusão (SDI) • Automatizar processos de análise

  4. História • Sistemas comerciais • Sistemas baseados em rede • - Usado por sistemas atuais • Logs de auditoria • Análise manual • - Aumento do volume 1990 1980 • Pesquisa em análise automática • IDES (IntrusionDetectionExpert System) • - Base para sistemas modernos

  5. Componentes • Três componentes funcionais fundamentais • Fonte de informação • Coleta de dados • Rede • Estação • Aplicação • Análise • Organização e tratamento dos dados • Assinatura • Anomalia • Resposta • Conjunto de ações tomadas • Ativa • Passiva

  6. Métodos de monitoração • Baseado em Rede • Utiliza pacotes da rede • A maioria dos SDI’s são baseados em rede • Vantagens • Grande abrangência com poucos agentes • Pode ser invisível a atacantes • Desvantagens • Perda de desempenho em alto tráfego • Não analisa informação criptografada • Diminuição da taxa de transmissão

  7. Métodos de monitoração • Baseado em Estação • Utiliza informações coletadas na estação • Vantagens • Detecta ataques baseados em falhas de integridade • Analisa informação criptografada • Desvantagens • Necessidade de configuração em cada estação • Redução de desempenho do sistema monitorado

  8. Métodos de monitoração • Baseado em Aplicação • Subconjunto do sistema baseado em estação • Analisam eventos que ocorrem dentro de aplicações • Vantagens • Trata informações criptografadas • Monitora a interação usuário-aplicação • Desvantagens • Logs menos detalhados • Vulnerável a ataques que modifiquem os logs

  9. Métodos de análise • Detecção por Assinatura • Utilizada na maioria dos sistemas comerciais • Procura por eventos que se encaixem em padrões • Vantagem • Poucos falsos positivos • Desvantagens • Detecta apenas ataques conhecidos • Necessidade de constantes atualizações

  10. Métodos de análise • Detecção de Anomalia • Procura por anomalia nos padrões de uso • Comportamento do usuário e dos atacantes são diferentes • Vantagem • Detecta ataques não previamente conhecidos • Desvantagens • Necessita de treinamento • Quantidade elevada de falsos positivos • Comportamentos imprevisíveis de usuários

  11. Respostas • Ativas • Coleta de informações adicionais • Aumento do nível de sensibilidade das fontes de informação • Modificação do ambiente • Término da conexão atacante-vítima • Bloqueio de acessos subseqüentes • Tomada de decisões contra o intruso • Contra ataque • Pode representar riscos legais

  12. Respostas • Passivas • Alarmes e notificações • Informação sobre a ocorrência de ataques • Popup • Notificação Remota • SNMP • Envio de alertas para os consoles de gerência

  13. Sistemas Existentes • ISS (Internet Security System) • Tempo real • Híbrido de SDIR e SDIE • Análise por assinaturas • Respostas ativas e/ou passivas • Possui um módulo administrador • Cisco IntrusionDetection • Análise do tráfego da rede • Baseado em assinaturas • Permite a reconfiguração das rotas ao detectar uma intrusão • Pode ser alvo de DoS

  14. Sistemas Existentes • Tripwire • Avalia a integridade dos arquivos • Não responde a uma intrusão • Base de dados deve ser protegida • Configuração dificultada em grandes sistemas • Snort • Código aberto • Grande popularidade • Tempo real • Respostas passivas • Baseado em assinaturas

  15. Conclusão • Detectar e prevenir intrusões é essencial • Detecção por assinaturas depende de atualizações • Detecção de anomalias apresenta alta taxa de alarmes falsos • Necessidade de se definir o comportamento “normal” • Adaptável a cada ambiente • Necessidade de se definir o comportamento intrusivo • Garantir margem ao comportamento “normal”

  16. Perguntas Qual a necessidade do uso de SDI? Cite vantagens e desvantagens de um sistema de detecção baseado em rede e baseado na estação. Qual a principal dificuldade em implantar um sistema baseado em detecção de anomalias? Por que a maioria dos sistemas comercias se baseia em detecção por assinaturas? Qual a desvantagem desta técnica? Qual o risco de um SDI que bloqueia o acesso ao detectar uma intrusão?

  17. Respostas (1) Criar sistemas e aplicativos impérvios à intrusos é praticamente impossível, pois estes são muito complexos e dinâmicos. Além disso, a sofisticação e automação dos ataques tem crescido, aumentando muito o risco dos mesmos. Para resolver esse dilema, foram criados sistemas especialistas na detecção desses intrusos, os SDI’s.

  18. Perguntas Qual a necessidade do uso de SDI? Cite vantagens e desvantagens de um sistema de detecção baseado em rede e baseado na estação. Qual a principal dificuldade em implantar um sistema baseado em detecção de anomalias? Por que a maioria dos sistemas comercias se baseia em detecção por assinaturas? Qual a desvantagem desta técnica? Qual o risco de um SDI que bloqueia o acesso ao detectar uma intrusão?

  19. Respostas (2) Um sistema baseado em redes tem a vantagem de ter uma visão geral do sistema vigiado, permitindo que poucas estações bem posicionadas monitorem toda a rede. Entretanto, não pode detectar ataques criptografados, e podem falhar em períodos de alto tráfego, pois não consegue processar todos os pacotes Um sistema baseado na estação possui uma visão mais local, e, portanto, podem detectar alguns ataques que o sistema baseado em redes encontra dificuldade, como ataques criptografados e os baseados em certas brechas nos softwares. Suas principais desvantagens são o consumo de recursos da estação, diminuindo o desempenho, e a dificuldade de gerência por causa do fato de ele ser naturalmente distribuído.

  20. Perguntas Qual a necessidade do uso de SDI? Cite vantagens e desvantagens de um sistema de detecção baseado em rede e baseado na estação. Qual a principal dificuldade em implantar um sistema baseado em detecção de anomalias? Por que a maioria dos sistemas comercias se baseia em detecção por assinaturas? Qual a desvantagem desta técnica? Qual o risco de um SDI que bloqueia o acesso ao detectar uma intrusão?

  21. Respostas (3) Para conhecer o estado normal do sistema monitorado, o SDI deve ser treinado sob trafego normal, que pode ser muito ruidoso ou de difícil caracterização, prejudicando o desempenho da detecção de intrusão.

  22. Perguntas Qual a necessidade do uso de SDI? Cite vantagens e desvantagens de um sistema de detecção baseado em rede e baseado na estação. Qual a principal dificuldade em implantar um sistema baseado em detecção de anomalias? Por que a maioria dos sistemas comercias se baseia em detecção por assinaturas? Qual a desvantagem desta técnica? Qual o risco de um SDI que bloqueia o acesso ao detectar uma intrusão?

  23. Respostas (4) A detecção por assinatura tem um desempenho melhor quando sujeita à ataques conhecidos, detectando grande parte desses e tendo uma taxa menor de falsos negativos. Entretanto, ele não possui defesas contra ataques novos, e depende de atualizações constantes.

  24. Perguntas Qual a necessidade do uso de SDI? Cite vantagens e desvantagens de um sistema de detecção baseado em rede e baseado na estação. Qual a principal dificuldade em implantar um sistema baseado em detecção de anomalias? Por que a maioria dos sistemas comercias se baseia em detecção por assinaturas? Qual a desvantagem desta técnica? Qual o risco de um SDI que bloqueia o acesso ao detectar uma intrusão?

  25. Respostas (5) Se o SDI bloqueia acessos, um alarme falso pode resultar no corte ao acesso de um usuário legítimo. Se a taxa de falsos positivos for alta, o SDI pode provocar uma negação de serviço no próprio sistema monitorado.

  26. Referências [1] McHugh, J.; , "Intrusion and intrusion detection", International Journal of Information Security, Aug. 2001. [2] Bace, R.; Mell, P.; , "Intrusion detection systems", 2001. [3] Mazzariello, C.; Oliviero, F.; , "An Autonomic Intrusion Detection System Based on Behavioral Network Engineering" , INFOCOM 2006. 25th IEEE International Conference on Computer Communications. Proceedings , vol., no., pp.1-2, 23-29 April 2006. [4] Hofmeyr, S.A.; Forrest, S.; Somayaji, A.; , "Intrusion detection using sequences of system calls", in J. Comput. Secur. 6, 3 (August 1998), 151-180. [5] Mo, Y.; Ma, Y.; Xu, L.; , "Design and implementation of intrusion detection based on mobile agents", IT in Medicine and Education, 2008. ITME 2008. IEEE International Symposium on , vol., no., pp.278-281, 12-14 Dec. 2008 [6] IBM Internet Security Systems. Disponível em: < www.iss.net >. Acessado em: 14 jun. 2011 [7] Cisco Intrusion Detection. Disponível em: <www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/index.shtml >. Acessado em: 14 jun. 2011 [8] Tripwire, File Integrity Manager. Disponível em: < www.tripwire.com >. Acessado em: 14 jun. 2011 [9] Snort. Disponível em: < www.snort.org >. Acessado em: 14 jun. 2011

  27. Sistemas de Detecção de Intrusão Daniel José da Silva Neto Lucas Henrique Mauricio Victor Pereira da Costa 2011-1 Redes de Computadores I Professor Otto Carlos Muniz Bandeira Duarte

More Related