Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Modulo 5: Instalação e Configuração de RedesSegurança/NAT: Detecção de Intrusões

Trabalho elaborado por: Bruno pinto Nº5 & Rui Costa Nº21 - ESPF
by

Bruno Pinto

on 8 October 2012

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Modulo 5: Instalação e Configuração de RedesSegurança/NAT: Detecção de Intrusões

photo (cc) Malte Sörensen @ flickr Modulo 5 - Instalação e Configuração de Redes Detecção de Intrusões Motivação • Grande alarme de ataques e invasões, e muitas pessoas e/ou empresas se preocupam com seus dados e com equipamentos conectados directamente com a Internet;
• Máquinas da rede podem ser utilizadas por invasores para executar DDoS a sites ou servidores de outras empresas;
• Crackers podem utilizar um sistema desprotegido para armazenar e distribuir conteúdos ou softwares roubados, ou ainda, conteúdo pornográfico;
• Um administrador de segurança deve ter em sua rede, mecanismos de detecção e prevenção para identificar actividades não autorizadas;
• Os mecanismos devem realizar alguma acção quando suspeitar de algum tráfego de rede não autorizado ou ainda, um acesso a um arquivo não autorizado;
• Nunca se sabe quando irá activar o alarme de uma tentativa de invasão ou de uma invasão em si - manter uma rede segura, é extremamente desafiador. Mecanismos apresentados IDS - Intrusion Detection System ou Sistema de Detecção de Intrusos, é um hardware ou software que monitora um sistema ou uma rede contra actividades não autorizadas. Um IDS, é a ferramenta que sabe ler e interpretar arquivos de log e tráfego de firewalls, servidores e outros dispositivos de rede. Suas funções incluem: monitorar, detectar a presença de actividade não autorizada e gerar alertas. Comparação entre a vida real e o mundo virtual 1. O carteiro (Internet) entrega as encomendas (dados electrónicos) à recepcionista (firewall), que rejeita tudo o que não esteja em conformidade com os seus procedimentos (regras do firewall).

2. A recepcionista (firewall) não consegue controlar completamente todas as encomendas (dados electrónicos). Por isso, ocorreu um grave incidente nesta empresa: foi encaminhada a um director (servidor) uma encomenda (dados electrónicos) que continha explosivo (malwares).

3. O director (servidor) ficou afastado por muito tempo da empresa e trouxe enormes prejuízos à empresa.

4. Para evitar novos incidentes, os directores (servidores) decidiram contratar profissionais qualificados (IDS e IPS) para impedir tais acontecimentos.

5. Esses profissionais (IDS/IPS) agora inspeccionam o conteúdo de todas encomendas (dados electrónicos) que chegam na portaria da empresa e passam pela recepção (firewall) antes de serem entregues aos destinatários (desktops e servidores). IPS - Intrusion Prevention System ou Sistema de Prevenção de Intrusos, é um hardware, software, ou a combinação de ambos que realiza alguma acção quando o IDS detecta uma actividade não autorizada e gera um alerta.
O IPS é o dispositivo que irá bloquear os ataques antes que cheguem ao seu alvo. Se usarmos apenas o IDS na rede, ele só irá detectar a tentativa de ataque e gerar o alerta. Quando o IPS receber o alerta, poderá executar alguma acção, como por exemplo, bloquear o IP de origem do ataque. Técnicas de detecção Detecção de Assinaturas
Trabalha de forma similar aos antivírus, que utilizam assinaturas de vírus para reconhecer e impedir que programas, arquivos, ou conteúdo Web infectado entre em um computador; excepto que usa um base de dados de padrões de tráfego ou actividades relacionados à ataques conhecidos, chamados de "assinaturas de ataque".
O IDS compara a informação que está monitorando contra as assinaturas de ataque que estão na base para detectar um padrão. Isso quer dizer que, na detecção baseada em assinatura, o administrador define previamente o que é o ataque e configura o IDS para procurar a assinatura. Detecção de Anomalias
Analisa o tráfego da rede, actividades e comportamento a fim de identificar intrusões através de detecção de anomalias. Para fazer a detecção através de anomalias, o sistema reúne informações da actividade da rede e forma uma base de dados. O sistema faz comparações das ocorrências da rede com essa base de dados e alerta sobre actividades que estão fora do que de costume.
Nos IDS baseados em detecção de anomalia, o administrador define uma base para o que é comportamento normal; isso inclui estado de carga do tráfego da rede, protocolo e tamanho do pacote normal. Nesse caso, a detecção pode ser mais trabalhosa, e é aconselhado realizar a análise em intervalos. Exemplo: realizar a análise no horário em que não houver expediente, ou em intervalos aleatórios durante o expediente. Classificação de IDS (Intrusion Detection System) NIDS Network Intrusion Detection System • Sistema de Detecção de Intrusos em Rede; é uma estrutura unitária de transmissão de dados;

• Realiza captura e análise da transmissão de dados na rede;

• Opera em modo aleatório para monitorar a rede;

• Esse tipo de IDS detecta ataques pela captura e análise da transmissão de dados na rede. Configurado para ouvir um segmento de rede ou um switch, o IDS pode analisar o tráfego de rede onde através de uma base de dados faz comparações necessárias com os pacotes de rede (detecção de assinaturas) ou então faz a decodificação e verifica os protocolos de rede (detecção de anomalias). Vantagens
• Bem configurados e colocados em pontos estratégicos, podem monitorar uma rede grande.
• Tem pouco impacto sobre a rede existente; geralmente IDS de rede são dispositivos passivos que apenas escutam o tráfego sem interferir no funcionamento normal da rede. Desvantagens
• Dificuldade para processar dados em grandes redes
• Dificuldade para inspeccionar pacotes contendo dados criptografados
• É necessário alinhar com organização o monitoramento do tráfego de rede. HIDS Host Intrusion Detection System • Sistema de Detecção de Intruso no Host.

• Instalado em determinada máquina para analisar o próprio host (não monitora outras máquinas).

• Realiza análise de eventos no sistema e do sistema de arquivos.

• Analise o sistema de arquivos e outros periféricos do sistema e cria uma base de dados. Essa base de dados é como uma foto do sistema original; se ocorrer uma mudança, o IDS gera um alerta ou regista a mudança. Vantagens
• Consegue analisar os dados antes de serem criptografados ou quando são descriptografados no host destino;
• Fornece informações de sistema, detectando cavalos de tróia ou outros tipos de ataques que envolvem violação de integridade de software ou de arquivos. Desvantagens
• Requer que cada máquina seja configurada;
• Não detecta ataques em outras estações;
• Utilizam os recursos computacionais da máquina que estão monitorando, e isso pode causar perda de desempenho no sistema monitorado. DIDS Distributed Intrusion Detection System • Sistema distribuído para detecção de intrusos.

• Composto por vários IDS’s (podem ser HIDS ou NIDS) espalhados pela rede e se comunicam com um servidor central.

• A comunicação entre os sensores e o gerenciador pode ser feita através de uma rede privada ou através da própria rede existente.

• Os uploads dos eventos de ataque podem ser feitos através da estação de gerenciamento e armazenados em uma base de dados. O download de assinaturas de ataque são feitos pelos próprios sensores, que podem ter regras específicas para atender suas necessidades.

• Para a comunicação, é recomendado utilizar criptografia ou uma VPN - Virtual Private Network. Vantagens
• Centralização de logs e de assinaturas de ataques facilitam a manutenção de regras.
• A comunicação é feita utilizando a rede existente ou uma VPN para aumentar a segurança. Desvantagens
• Considerado complexo, pois a combinação de sensores podem ser HIDS, NIDS ou uma combinação de ambos.
• Configuração da placa de rede para modo promíscuo ou não promíscuo depende do fabricante e da política da organização. FIM
Full transcript