a utilização de sistemas de detecção de intrusão no auxílio à segurança das redes de...
DESCRIPTION
A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores. UFSC – LRG FURB – DSC Paulo Fernando da Silva. Sumário. Introdução; Classificação; Modelos de Arquitetura; IDS Snort; Estudo de Caso; Pesquisas Sobre IDSs; Interoperabilidade; - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/1.jpg)
A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança
das Redes de Computadores
UFSC – LRGFURB – DSC
Paulo Fernando da Silva
![Page 2: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/2.jpg)
Sumário• Introdução;• Classificação;• Modelos de Arquitetura;• IDS Snort;• Estudo de Caso;• Pesquisas Sobre IDSs;• Interoperabilidade;• Pesquisa LRG;• Considerações Finais;
![Page 3: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/3.jpg)
Introdução - Conceitos
• Detecção de Intrusão envolve:– Coletar e analisar informações;– Identificar e rastrear ataques;– Enviar respostas;
• Sistemas de Detecção de Intrusão (IDSs):– Ferramentas que executam a detecção de
intrusão;
![Page 4: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/4.jpg)
Introdução - Funcionamento Básico
• Consiste na monitoração de eventos– Rede, Host ou Aplicação;
• Visando identificar ataques;• Ataques geram alertas;• Opcionalmente podem ser enviadas
respostas:– Encerramento de conexões, de processos,
alteração em permissões de arquivos;
![Page 5: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/5.jpg)
Introdução - Funcionamento Básico
![Page 6: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/6.jpg)
Classificação - Método Baseado em Comportamento• Cria um perfil para os usuários;• Classifica o comportamento como
normal ou anômalo;• Procura por anomalias;• Para situações consideradas anormais
são gerados alertas;
![Page 7: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/7.jpg)
Classificação - Método Baseado em Comportamento• Vantagens:
– Detecção de ataques deconhecidos;– Esforço de manutenção reduzido;
• Desvantagens:– Dificuldade de configuração;– Menor desempenho (cálculos complexos);– Dificuldade de lidar com mudanças normais de
comportamento;
![Page 8: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/8.jpg)
Classificação - Método Baseado em Comportamento• Sistemas adaptativos:
– Estabelece um padrão considerado normal• horários, tipo de recurso, tipo de aplicação;
– Alerta para situações fora do padrão;– Ex.:
• Acesso às 4hs da manhã• Usuário do comercial compilando programas• Programador utilizando impressora
![Page 9: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/9.jpg)
Classificação - Método Baseado em Comportamento• Análise estatística:
– São montados modelos estatísticos do ambiente;
– Eventos fora do modelo são considerados ataques em potencial;
– Ex.: • Tempo de sessão de Telnet;• Quantidade de download/upload;
![Page 10: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/10.jpg)
Classificação - Método Baseado em Conhecimento• Semelhante ao funcionamento de anti-
virus:– Deve existir uma base de ataques conhecidos;– A base deve sempre ser atualizada;
• Os eventos são comparados com as informações da base;
• Se um evento estiver na base, é gerado um alerta;
![Page 11: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/11.jpg)
Classificação - Método Baseado em Conhecimento• Vantagens:
– Baixo número de alertas falsos;• Desvantagens:
– Só detecta ataques conhecidos;– Dificuldade de manutenção;
![Page 12: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/12.jpg)
Classificação - Método Baseado em Conhecimento• Análise de assinaturas:
– Existe uma base de assinaturas;– Assinaturas são definições de ataques;– Compara os eventos com a base de assinaturas;– Ex.:
• “Comunicação da porta 80 TCP”• “Acesso ao arquivo de senhas”• “Acesso à tabela de salários”
![Page 13: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/13.jpg)
Classificação – Segundo o Alvo
• Baseado em Host:– Monitora as informações do host em que está
instalado;– Fortemente relacionado com o SO;– Trabalha com processos, usuários, arquivos e
diretórios;
![Page 14: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/14.jpg)
Classificação – Segundo o Alvo
• Baseado em Rede:– Monitora as informações da rede em que está
instalado;– Está fortemente relacionado com os protocolos;– Trabalha com endereços IP, portas TCP/UCP;
![Page 15: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/15.jpg)
Classificação – Segundo o Alvo
• Baseado em Aplicação:– Monitora as informações de uma aplicação
específica;– Está fortemente relacionado com a natureza da
aplicação;• Banco de Dados ou Sistema Comercial;
– Trabalha com tabelas, telas, funções;
![Page 16: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/16.jpg)
Modelos de Arquitetura
• Existem diversos tipos de IDSs;• Não possuem um padrão quanto à sua
implementação;• Modelos visam estabelecer um padrão
de arquitetura para os IDSs;
![Page 17: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/17.jpg)
Modelos de Arquitetura - IDWGFonte deDados Sensor
Sensor Analisador
Operador
Gerenciador
Administrador Política de Segurança
Evento
Atividade
Atividade
Evento Notificação
Alerta
RESPOSTA
![Page 18: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/18.jpg)
IDS Snort
• Um dos IDSs mais populares;• Classificação:
– Método de Detecção: Análise de Assinaturas;– Alvo: Rede;
• Possui uma grande base de assinaturas– Mais de 2000 assinaturas;
![Page 19: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/19.jpg)
IDS Snort
• Disponível para Windows e Unix;• Realiza a captura de pacotes de rede;• Compara cabeçalhos e dados com as
assinaturas;– Faz log ou gera alertas;
![Page 20: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/20.jpg)
IDS Snort - Atributos da Regra
• Atributos básicos:– Ação: log, alert ou pass;– Protocolo: IP, TCP, UDP, ICMP, Any;– Endereço Origem/Destino: Home_Net,
External_Net, Any, End. IP;– Porta Origem/Destino: Any, número da porta;– Msg: Texto descritivo;
![Page 21: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/21.jpg)
IDS Snort – Exemplos de Regras• alert icmp $HOME_NET any -> $HOME_NET
any (msg:"Qualquer tipo de trafego ICMP foi gerado.");
• alert tcp $HOME_NET 146 -> $HOME_NET 1024 (msg:“Backdoor Activity“; content:”WHATISIT”; reference:cve,CAN-2002-0013; sid:1415; rev:2; classtype:backdoor;);
![Page 22: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/22.jpg)
IDS Snort - Flexresp
• Permite que o Snort envie respostas;• Atua em conexões TCP e mensagens
ICMP;• Resposta adicionada na regra:
– resp:<resp_modifier>[,<resp_modifier>...]
![Page 23: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/23.jpg)
IDS Snort - Flexresp• Resp_modifier pode ser:
– rst_snd: envia TCP_RST para origem;– rst_rcv: envia TCP_RST para destino;– rst_all: envia TCP_RST para ambos;
– icmp_net: envia rede desconhecida p/ origem;– icmp_host: envia host desconhecido p/ origem;– icmp_port: envia porta desconhecida p/ origem;– icmp_all: envia todas as opções acima p/ origem;
![Page 24: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/24.jpg)
IDS Snort - Flexresp
![Page 25: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/25.jpg)
IDS Snort – Modo Sniffer
• Apenas exibe pacotes monitorados;
• ./snort –v: exibe IP,TCP,UDP e ICMP;• ./snort –vd: exibe dados da aplicação;• ./snort –vde: exibe informações de
enlace;
![Page 26: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/26.jpg)
IDS Snort – Modo Log
• Grava informações monitoradas em log;
• ./snort -dev -l ./log: especifica o local do log;
![Page 27: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/27.jpg)
IDS Snort – Modo IDS
• Testa regras e gera alertas;• É necessário informar o arquivo de
configurações;
• ./snort -dev -l ./log -c snort.conf;
![Page 28: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/28.jpg)
IDS Snort – Modo IDS
Snort.conf:• Definição de variáveis para assinaturas;
– var FTP_Ports 20 21
• Arquivos de assinaturas;– include $RULE_PATH/tftp.rules– include $RULE_PATH/icmp.rules
![Page 29: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/29.jpg)
IDS Snort - Execução
![Page 30: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/30.jpg)
IDS Snort - Execução
• Exemplo de Alerta gerado;
• Alguém deve ler os alertas;• Ferramentas auxiliares: consoles;
![Page 31: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/31.jpg)
IDS Snort - SnortSnarf
• Console SnortSnarf;• Provê uma interface amigável;• Diversos tipos de agrupamentos:
– Por Alertas;– Por Origem/Destino;– Alertas completos;
![Page 32: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/32.jpg)
IDS Snort - SnortSnarf
![Page 33: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/33.jpg)
IDS Snort - SnortSnarf
![Page 34: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/34.jpg)
IDS Snort - SnortSnarf
![Page 35: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/35.jpg)
Estudo de Caso - Geral
• Análise de um ataque em um ambiente real de funcionamento;
• Ambiente:– Roteador: conecta a internet à bridge;– Bridge: concentra os mecanismos de segurança;– NAT (network address translator): conecta a
bridge à LAN;
![Page 36: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/36.jpg)
Estudo de Caso - Hardware
![Page 37: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/37.jpg)
Estudo de Caso - Software
• Bridge:– Sistema Operacional FreeBSD;– IDS Snort;– Console ACID;– Guardian;
![Page 38: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/38.jpg)
Estudo de Caso - Console ACID
• Plugin distribuído junto com o Snort;• Analisa base de dados Snort:• Gera relatórios;
– Pesquisa, Visualização, Agrupamento e Geração de estatísticas e gráficos;
• Semelhante ao Snort Snarf;
![Page 39: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/39.jpg)
Estudo de Caso - Console ACID
![Page 40: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/40.jpg)
Estudo de Caso - Console ACID
![Page 41: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/41.jpg)
Estudo de Caso - Ataque Portscan
• Tentativa de conexão:– Várias portas em um host;– Uma porta específica em vários hosts;
• Visa obtenção de informações para um ataque futuro;– Portscan sozinho não representa perigo;
![Page 42: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/42.jpg)
Estudo de Caso - Ataque Portscan
• Visa descoberta de backdoor ou servidor;
• Tenta explorar vulnerabilidades da porta;
• Também pode ser utilizado na proteção das redes;
![Page 43: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/43.jpg)
Estudo de Caso - Ataque Portscan
![Page 44: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/44.jpg)
Estudo de Caso - Ataque Portscan
• SCAN Squid Proxy attempt;
• alert tcp $EXTERNAL_NET any -> $HOME_NET 3128 (msg:"SCAN Squid Proxy attempt"; flags:S; classtype:attempted-recon; sid:618; rev:8;);
• Identificado pela porta de acesso ao Squid;
![Page 45: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/45.jpg)
Estudo de Caso - Ataque Portscan
• Ação a ser tomada:– Correlacionar com outros alertas de
Portscan;– Determinar se a conexão é legítima;– Analisar outros eventos da origem em
questão;
![Page 46: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/46.jpg)
Pesquisas sobre IDSsAspectos em desenvolvimento
• Técnicas de Detecção:– Inteligência Artificial;– Sistemas Imunológicos;
• Técnicas de Correlação;– Diminuir informações no log;– Identificar ataques distribuídos;
• Interoperabilidade:– Diferentes IDSs trocando informações;
![Page 47: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/47.jpg)
Pesquisas - Interoperabilidade
• Existe uma grande diversidade de IDSs:– análise de assinaturas, métodos estatísticos;– baseados em rede, baseados em host;– centralizados, distribuídos;
• Sem padrão de arquitetura e comunicação;
• A necessidade de interoperabilidade leva à necessidade de padronização;
![Page 48: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/48.jpg)
Interoperabilidade – Padrões
• Modelo CIDF:– Divisão em módulos;– Atualmente abandonado;
• Modelo IDWG:– Está em fase de Draft (IETF);– Modelo de dados IDMEF;– Tendência a ser implementado;
![Page 49: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/49.jpg)
Interoperabilidade - IDMEF
• Define formato e significados dos dados;
• Diversidade de informações:– alertas grandes e pequenos;– rede, sistema operacional, aplicativos;
• É orientado a objetos;
![Page 50: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/50.jpg)
Interoperabilidade – IDMEFVisão Geral
IDMEF-Message
HeartbeatAlert Analyser
CreateTime
AdditionalData
1 1
11
1
1
11
1
0..*
1
0..*
![Page 51: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/51.jpg)
Interoperabilidade - IDMEF
• Não define comunicação de respostas:– Não gerencia respostas;– Sem interoperabilidade de respostas;– Operador tem que conhecer cada IDS;– Atrazo no envio de respostas;
![Page 52: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/52.jpg)
Pesquisa LRG – Extensão IDWG
• Objetivo geral:– Propor uma extensão ao modelo IDWG, de
forma a suportar o envio de respostas;• Objetivos específicos:
– estender a arquitetura IDWG;– estender o modelo de dados IDMEF;– desenvolver um gerenciador de alertas e
respostas;
![Page 53: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/53.jpg)
Pesquisa LRG – Modelo PropostoArquitetura
Fonte deDados Sensor
Sensor Analisador
Operador
Gerenciador
Administrador Política de Segurança
Evento
Atividade
Atividade
EventoNotificação
Alerta
Recurso Contra-MedidasAção Resposta
Resposta
![Page 54: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/54.jpg)
Pesquisa LRG – Modelo IDREFVisão Geral
-ident : String-version : String
IDREF-Message
Response
Config
React
11..*
-analyzerid : Stringalertident
AdditionalData
10..*
Manager
11
CreateTime
11
description
10..1
![Page 55: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/55.jpg)
Pesquisa LRG - Desenvolvimento
• Componentes desenvolvidos:– IDSMan: gerenciador IDMEF / IDREF;– IDSAna: ponte entre Analisador e Gerenciador;– IDSRes: componente de Contra-Medidas;
• Desenvolvida biblioteca IDREF;• Linguagem Java;
– Orientação a objetos;– Bibliotecas existentes;
![Page 56: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/56.jpg)
Pesquisa LRG - Desenvolvimento Bibliotecas Utilizadas
• Beepcore: protocolo BEEP mapeado no TCP;
• IDXP-Java: perfil IDXP do BEEP;• JavaIDMEF: modelo de dados IDMEF;• JPcap: captura/geração de pacotes de
rede;
![Page 57: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/57.jpg)
Pesquisa LRG - Desenvolvimento Componente IDSMan
![Page 58: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/58.jpg)
Pesquisa LRG - Validação Componente IDSMan
![Page 59: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/59.jpg)
Pesquisa LRG - Desenvolvimento Componente IDSAna
• Lê mensagens IDMEF de um arquivo;• Transmite mensagens para o IDSMan;• Um IDS deve alimentar o arquivo;
![Page 60: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/60.jpg)
Pesquisa LRG - Desenvolvimento Componente IDSRes
• Recebe respostas IDREF do IDSMan;• Armazena as respostas em log;• Aplica as ações aos recursos;
![Page 61: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/61.jpg)
Pesquisa LRG - Ambiente
IDSAna
ArquivoIDMEF
IDSMan
IDSResBEEP/IDXP
IDMEF
BEEP/IDXPIDREF
IDS Snot
Ambiente de domínio do IDSLog
IDREF
![Page 62: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/62.jpg)
Considerações Finais
• Atualmente existem vários mecanismos voltados para a prevenção de ataques:– Firewall, Criptografia;
• Menos representativa é a utilização de mecanismos para:– Detecção de ataques;– Identificação de ataques/vulnerabilidades;– Resposta a ataques em andamento;
![Page 63: A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores](https://reader035.vdocuments.mx/reader035/viewer/2022062816/5681567a550346895dc42d48/html5/thumbnails/63.jpg)
Considerações Finais
• Identifica que os mecanismos de prevenção foram ultrapassados;
• Muitos ataques ocorrem dentro do ambiente:– Funcionários, estudantes;
• Um ambiente seguro deve combinar diversos mecanismos;– Criptografia, Firewall, IDS, etc.