Estratégias de segurança para IDS

● Prezar a simplicidade
● Determinar os pontos mais fracos
● Atribuir privilégios mínimos
● Incentivar a participação universal
● Criar ponto único de acesso
● Investir na diversidade
Consequências

● Prevenção não é suficiente

● Número crescente de ataques
● Complexidade crescente
● Ferramentas de ataque cada vez mais eficientes (automatização)
Solução – Detecção de intrusão

● Garantir comportamento livre de falhas

Sistema de detecção de intrusão (IDS)

● Detecção de instrusão = Tarefa de coletar e analisar eventos, buscando sinais de

intrusão e de mau uso
● Intrusão = ações tomadas para comprometer a autenticidade confidencialidade,
integridade ou a disponibilidade
IDS: Estrutura

Componentes em comum

● Geradores de eventos
● Analisadores de eventos
● Bases de dados de eventos
● Unidades de resposta
Métodos de detecção

Técnicas baseadas em comportamento

● Também chamado de detecção por anomalia

● Caracteriza o comportamento do sistema em normal e anômalo
● Habilidade de distinguir um comportamento normal de um anômalo
● Compara o estado atual do sistema com o comportamento considerado normal
● Desvios são considerados intrusões
● Ex: conexões externas em horários incomuns

Vantagens

● Detecção de ataques desconhecidos

● Usado na criação de novas bases de assinaturas
● Esforço de manutenção reduzido
 ● Dependente menos plataforma
● Facilita a detecção de abusos de privilégios
Desvantagens

● Dificuldade de configuração
● Maior número de falsos positivos
● Relatórios de difícil análise
● Menor desempenho (cálculos complexos)
● Dificuldade de lidar com mudanças normais de comportamento
Técnicas baseadas em assinaturas ou detecção por mau uso

IPSec – ip security protocol

Serviços que o IPSec pode fornecer

● Integridade sem conexão

● Autenticação de origem de dados
● Proteção contra ataques “replay”
● Confidencialidade
● Confidencialidade limitada ao fluxo de tráfego
● Fornece segurança ao ip e/ou camada superior (tcp e udp)
● Implementado por software ou hardware em um host ou gateway de segurança
(roteador ou firewall)
Módulos do IPSec

● Security Policy database (SPD) especificações de segurança aplicadas a cada

pacote
● Security association database (sad) parâmetros de segurança (algoritmos de
criptografiam o modo usado, os dados de inicialização, chamaves de sessão)
usados para impor uma política específica
AS= associação de segurança e corresponde a uma entrada no SAD
Criptografia de chave simétrica

● Utiliza um algoritimo e uma chave para cifrar e decifrar

● A chave tem que ser mantida em segredo
● Algoritmo + parte do texto cifrado, deve ser insuficiente para obter a chave
● Normalmente utilizam cifragem de bloco
Criptografica Assimétrica

● Utiliza um par de chaves

● Uma chave pública para criptografar a mensagem
● Uma chave privada para decriptografar a mensagem
● A chave pública não é secreta
● A chave privada é secreta
● A chave pública deve ser destribuída para os usuários que desejarem enviar
uma mensagem com segurança
Problemas

Criptografia simétrica
● Como distribuir e armazenar as chaves secretas de forma segura?
● Quantas chaves são necessárias para uma comunicação segura entre N
pessoas?

Criptografia Assimétrica

● Como garantir que o detentor da chave pública é realmente quem diz

ser?
● Necessidade de ter uma insfraestrutura para armazenar as chaves
públicas