Escolar Documentos
Profissional Documentos
Cultura Documentos
IDS
Prevenção de Falhas
• Firewalls
• Criptografia
Ricardo Kléber M. Galvão
• Política de Segurança
Security Officer
Superintendência de Informática/UFRN
Detecção de Falhas
rk@ufrnet.br
• Análise de logs
www.dimap.ufrn.br/~rk
• Análise de Integridade
• Sistemas de Detecção de Intrusões (IDS)
Resposta
Ricardo Kléber
Carlos Gustavo • Notificação aos administradores da rede origem
• Restrições de acesso (firewall)
Processos de Segurança
Processos de Segurança
incidente
ataque(s) 25000
evento 21756
Atacantes Ferramenta Vulnerabilidade Ação Alvo Resultado ñ Objetivos
Autorizado 20000
Incidentes Reportados
90
91
92
93
94
95
96
97
98
99
00
Modificação
19
19
19
19
19
19
19
19
19
19
19
20
Destruição
1
Intrusion Detection Systems Host-
Host-based IDS (HIDS)
Firewall
Rede Pacotes Rede
Interna Externa
Rede
Pacotes Rede
Interna
Externa
Firewall
Desvantagens
Baseado em Assinaturas
– dificuldade de configuração
Compara os pacotes que captura com padrões – maior nº de falsos positivos
pré-estabelecidos gerando os alertas no – relatórios de difícil análise
“casamento” de padrões – menor desempenho (cálculos complexos)
– dificuldade de lidar com mudanças normais de
comportamento
Vantagens Snort
– baixo nº de falsos positivos
Bro
– possibilita adoção de contra-medidas imediatas
– redução na quantidade de informação tratada
Real Secure
– melhor desempenho
– possibilidade de criação de novas
Dragon
Desvantagens
– detecção só para ataques conhecidos
– necessidade de manutenção contínua
– falsa sensação de segurança (novos ataques)
2
Snort IDS Snort IDS
9 Dados coletados na rede (NIDS) alert udp any any <-> $HTTP_SERVERS 2002
(msg:"BACKDOOR Possible Apache/OpenSSL worm backdoor";
classtype: attempted-admin;)
9 Análise baseada em assinaturas
ACID
Analysis Console for Intrusion Databases
9 Gratuito (http://www.cert.org/kb/acid/)
9 Buscas personalizadas
3
Segurança de Redes
Novas Implementações de IDS Sistemas Detectores de Intrusão