UFSC / INE / CTC

1. SISTEMAS DE INFORMAÇÃO Segurança em Computação Distribuída UFSC OSSEC HIDS Grupo: Paulo Laux Poliane Brito UFSC / INE / CTC

2. Tópicos • Introdução • Intrusão • Classificação • Detecção • IDS • HIDS • OSSEC HIDS UFSC / INE / CTC

3. Introdução • Hoje em dia, as ferramentas de segurança são necessárias. • Sendo assim, o IDS (Intrusion Detector System), tem como um dos objetivos principais: • Detectar a tentativa de intrusão no sistema ou • Identificar algum usuário legítimo que está fazendo mau uso do Sistema. UFSC / INE / CTC

4. Intrusão • O que é? • Intruso: alguém que tenta invadir um sistema ou fazer mau uso do mesmo. • Usuário Legítimo x Intruso • Para identificá-los é estabelecido uma política de segurança. É a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa. UFSC / INE / CTC

5. Intrusão • Classificação • Devido ao Mau Uso do Sistema ataques realizados a pontos fracos do sistema. • Devido a Mudança de Padrão mudanças de uso em relação ao padrão normal do sistema. • Detecção • No de tentativas de login; • No de conexões; • Volume de dados trafegando no segmento de rede. • Utilização de CPU; • I/O de disco; • Uso de memória • Atividades dos usuários; UFSC / INE / CTC

6. Intrusion Detection System (IDS) • IDS Detecta e notifica as tentativas de intrusão, analisando e capturando os pacotes que estão trafegando na rede. • Procura identificar evidências de um ataque em andamento, podendo emitir alarmes, ou executar uma ação automática; • Pode ser um hardware, software ou a combinação dos dois. Resumindo: Ele inspeciona o conteúdo do tráfego da rede para procurar e desviar possíveis ataques. UFSC / INE / CTC

7. Intrusion Detection System • Classificação • Baseados em Rede : NIDS Monitoram backbones de rede e procuram assinaturas de ataque são chamados. • Baseados em Hosts : HIDS Defendem e monitoram os SO’s e sistemas de arquivos contra sinais de invasão. • Distribuídos Funcionam como sensores remotos e se reportam a uma estação de gerenciamento. UFSC / INE / CTC

8. Host-based Intrusion Detection System • HIDS Instalado em servidores e/ou máquinas específicas, alerta: • Sobre ataques ocorridos contra a própria máquina ou em seus agentes; • Avalia a segurança com base em arquivos de logs do SO, logs de acesso e de aplicação; • Asseguram ataques baseados em protocolos de criptografia (HTTPS); • Interpretam a atividade da rede e detectam ataques em todas as camadas do protocolo. UFSC / INE / CTC

9. Host-based Intrusion Detection System • Exemplo: Login sem sucesso em aplicações que utilizam autenticação de rede O IDS informará ao administrador de rede que existe um usuário tentando utilizar uma aplicação que ele não tem permissão. UFSC / INE / CTC

10. OSSEC HIDS • Opensource. • Desenvolvido por um brasileiro: Daniel Cid. Realiza operações de análise de logs, Integridade de Sistema, alertas e respostas ativas. • FreeBSD • RedHat • Ubuntu • Debian • OpenBSD • Slackware • Solaris • AIX • MacOSX • Fedora Core • Suse • Windows XP/2000 UFSC / INE / CTC

11. OSSEC HIDS • Modos de Funcionamento • Local Somente na máquina local. Instalação é simples e customizável para apenas um sistema. UFSC / INE / CTC

12. OSSEC HIDS • Modos de Funcionamento • Agente Centraliza os logs no servidor central de logs monitorado pelo OSSEC. A comunicação entre o servidor e os agentes é segura (criptografada e autenticada), tendo cada agente uma “chave de autenticação” no servidor. UFSC / INE / CTC

13. OSSEC HIDS • Modos de Funcionamento • Servidor Analisa e une os logse informes de vários agentes. UFSC / INE / CTC