Ids

Disponível somente no TrabalhosFeitos
  • Páginas : 5 (1026 palavras )
  • Download(s) : 0
  • Publicado : 26 de março de 2015
Ler documento completo
Amostra do texto
Sistemas de Detecção de
Intrusão

Características



Funciona como um alarme.
Detecção com base em algum tipo de
conhecimento:







Assinaturas de ataques.
Aprendizado de uma rede neural.

Detecção com base em comportamento
anômalo.
IPS: Intrusion Prevention System

Características


A detecção é realizada com a captura de
pacotes, analisando os cabeçalhos e o
campo de carga útil dospacotes, que são
comparados com padrões ou assinaturas
conhecidas.



Um IPS tem o objetivo de prevenir os
ataques e diminuir a quantidade de alarmes
falsos.

Firewall libera conexão e IDS
detecta.

Funções do IDS


Coleta de informações



Análise de informações



Armazena informações



Responde às atividades suspeitas

Tipos


Tipos de IDS






Tipos de IPS





IDS baseado emHost.
IDS baseado em Rede.
IDS híbrido.

IDS baseado em Host.
IDS baseado em Rede.

Honeypots

HIDS - IDS baseado em Host







Monitoramento de sistemas (máquinas).
Tomam as informações nos arquivos de logs
ou de agentes de auditoria.
Monitoram acessos e alterações em arquivos
do sistema, modificações em privilégios dos
usuários, processos do sistema e programas
em execução.
Arquivoscorrompidos podem ser backdoors.

Exemplos de HIDS







Tripware
Swatch
Portsentry (pode usar o TCP Wrapper)
Outros
Obs: TCP Wrapper is a host-based network
ACL system, used to filter network access to
Internet protocol services run on (Unix-like)
operating systems such as Linux or BSD.

Características fortes dos
HIDS










Verificar o sucesso ou falha de um ataque.
Ataques queocorrem fisicamente num servidor
podem ser detectados.
Ataques que utilizam criptografia podem não ser
notados pelos NIDS, mas descobertos pelos HIDS,
pois o SO primeiro decifra os pacotes.
Independem da topologia da rede.
Geram poucos “falsos positivos”, que são alarmes
falsos de ataques.
Não necessita de hardware adicional.

Características fracas dos
HIDS






Fica difícil de configurar egerenciar em todos os
hosts de uma rede.
É dependente do SO. HIDS para Linux é diferente
de um HIDS windows.
Não é capaz de detectar atqques de rede como
Smurf.
Obs: The smurf attack, named after its exploit
program, is a denial-of-service attack that uses
spoofed broadcast ping messages to flood a target
system.

Características fracas dos
HIDS


Necessita de espaço de armazenamento
adicional paraos registros do sistema.



Não têm bom desempenho em sistemas
operacionais que geram poucas informações
de auditoria.



Apresenta diminuição do desempenho do
host monitorado.

HIDS - IDS baseado em Host









Acesso a arquivos.
Integridade de arquivos.
Varredura de portas
Modificação e privilégios de usuários.
Processos do sistema.
Execução de programas.
Uso de CPU.
Conexões.

IDSbaseado em Rede


Monitora o tráfego no segmento de rede.



Interface de rede atuando no modo
prosmícuo.



Detecção realizada com a captura de
pacotes e análise dos cabeçalhos e
conteúdos.

Exemplos de NIDS:


RealSecure,



NFR,



Snort

Componentes dos NIDS


Os sensores que cuidam dos segmentos de redes,
fazem a captura, formatação de dados e análise de
tráfego.



Gerenciador:fazem com que os sensores sejam
administrados de modo integrado, com a definição
dos tipos de resposta para cada tipo de
comportamento suspeito detectado.



A comunicação entre sensores e gerenciador é
criptografada.

Características Positivas dos
NIDS


Monitoramento pode ser fornecido por
múltiplas plataformas.



Ataques como: port scanning, IP spoofing,
SYN flooding e Teardrop podem serdetectados.



Pode monitorar portas conhecidas como a
porta TCP 80 do HTTP.

Características Positivas dos
NIDS


Pode detectar tentativas de ataques (ataques que
não tiveram resultados).



Fica mais difícil um cracker apagar seu rastro.



Impõe dificuldades para o cracker saber se existe
ou não um NIDS.



Não causa impacto no desempenho da rede.

Características negativas dos
NIDS


Não...
tracking img