Casa dos Resumos
IDS ou SDI(Sistema de detecção de intrusos)
IDS ou SDI
Sistema de detecção de intrusos (Instrusion Detection System) esta ligado as técnicas utilizadas para descobrir quando uma rede esta sendo acessada por indivíduos não autorizado ou realizando algo ilegal. Mais especificamente, um IDS é um "sistema" que tenta detectar ataques ou usos impróprios e alerta o responsável pela rede do acontecimento.
Tipos de detecção: Constituido geralmente por datagramas IP um IDS captura os pacotes quando circulam nas arquitetura de rede que está ligado.
- Baseada em rede (SDIR): monitoram todo o tráfego que passa pela rede. Todas as interfaces da rede recebem todo o tráfego sendo importante posicionar o SDIR na rede que se quer proteger. Os pacotes são capturados e é feita uma análise em cada um deles para verificar se este está dentro de padrões pré-determinados ou não, indicando respectivamente tráfego normal ou uma tentativa de ataque. Para que a interface consiga receber pacotes não destinados a ela, uma opção é que trabalhe no modo promíscuo.
Em redes comutadas as maquinas recebem o tráfego que corresponde somente a ela, nesse caso é necessário o artificio chamado de espelhamento de portas que reflete o tráfego de outras portas para o porta especificada.
- Baseada na estação (SDIE): Monitora toda a atividade existente em uma estação especifica. Há uma coleta de dados na maquina que hospeda um serviço, e depois os dados podem ser enviados ou analisados na maquina local mesmo. Uma maior exemplo desse tipo de detecção é um sistema de registros (logs)
- Híbrida: onde os dois tipos de detecção se completam. É comum encontrar esse tipo de configuração onde SDIE(s) roda no(s) servidore(s) e o SDIR na rede local.
Análise de detecção de intrusos baseado em REDE
Capturando e detectando qualquer anomalia em todos os pacotes que passam pela rede, o importante é entender como esses pacotes são analisados, será apresentado 3 maneira distintas de como essa analise é feita.
- Análise por assinatura: Para saber se um pacote é inofensivo ou apresenta perigo a rede, ele é analisado seu cabeçalho e testado contra todas as assinaturas configuradas. Exemplos de assinaturas:
- Usuário root tenta acessar um servidor Ftp no qual ´não é permitida a sua entrada.
- Segmento TCP com o flag SYN ativado para determinadas portas, como a 21, 22 e 23.
- Análise por protocolo: Os sistemas de detecção de intrusos mais avançados são capazes de fazer analise por protocolo, diferentemente dos comuns que analisam somente os cabeçalhos a análise por protocolo é capaz de verificar completamente fazendo uma análise minuciosa do trafego diversos tipos de protocolos como: HTTP, SMTP, FTP.
- Análise por Estado do Protocolo: Na análise por estador de protocolo a analise é feita monitorando todos os eventos que acontecem dentro de uma conexão ou sessão. Dessa maneira a analise verifica a relação dos pacotes um com o outro, deixando de realizar a analise individual de cada pacote como acontece na analise por protocolo.
Análise de detecção de intrusos baseado em ESTACÃO
Como o nome já diz esse tipo de analise monitora diversas atividades que ocorrem diretamente em uma estação. Algumas das atividades que podem ser monitoradas são:
- Monitoramento da atividade de rede: Monitorando todos os pacotes que entram e saem da estacão. Os pacotes que entram são analisados antes de serem processados e os que saem são analisados antes de serem entregues a rede.
- Monitoramento da atividade de Login: Através do horário em que determinado usuário realizou login tem-se conhecimento se algum tipo de ataque ocorreu, precisando apenas ter acesso a todos os perfis de usuários.
- Monitoramento da atividade do super-usuário: Como ter privilégios de super-usuário é o desejo de qualquer invasor, esse monitoramento visa, monitorar todas as atividades do super-usuário gerando logs armazenando todos comando utilizados.
- Monitoramento do sistema de arquivos: realiza uma atividade passiva, não tendo nenhuma ação para evitar a ação do cracker tendo apenas o objetivo de avisar o administrador de rede quais os arquivos sofreram algum tipo de alteração.
Potes de mel
Extremamente importante quando falamos de detecção de intrusos, os pote de mel em redes é um estação que é colocada a disposição para quem quiser invadi-la, tendo essa estação o pelido de pote de mel. Com alguns serviços vulneráveis, tem por objetivo atrair usuários dispostos a invadi-la, sendo esta uma maquina que serve exclusivamente para ser testada ou seja invadida. Toda a informação usada para a invasão sera armazenada, em outra maquina, gravando passo a passo de oque foi feito pelo invasor e assim resolvendo as deficiências que permitiram tal invasão. Servindo como gerador de informações para melhorias na rede.
Fonte:
Fonte: Prof. Otto Carlos Muniz Bandeira Duarte-UFRJ
loading...
-
Redes Wireless 802.11 .a/b/g/n
Redes IEEE 802.11 é uma designação para redes sem fio (WLAN - Wireless Local Area Network) conhecidas como redes Wireless ou ainda Wi-Fi. Uma rede que não utiliza cabeamento para a difusão de dados e tem como suas principais características:...
-
Conceitos Básicos - Tecnologia Da Informação
conceitos básicos para não acontecer como na charge. Autenticação Mecanismo que tem o objetivo de garantir que usuários de algum tipo de sistema se identifiquem, autenticando-o e confirmando sua identidade. Nos sistemas com controle...
-
Protocolos De Comunicação De Redes Baseadas Em Tcp/ip
Uma das grandes vantagens do TCP/IP em relação a outros protocolos existentes é que ele é roteavel, criado pensando em grandes redes e de longas distancias, onde pode haver vários caminhos para o dado atingir o receptor, a comparação...
-
Identificação De Equipamentos De Rede E Suas Apliações
Para o funcionamento de um rede de computadores necessitamos alem de configurações adequadas, equipamentos do tipo: hub, switch, roteador, repetidor e etc.. Cada um tem suas particularidades e funções especificas em determinados...
-
P2p - Peer-to-peer
Peer-to-peer (do inglês par-a-par ou simplesmente ponto-a-ponto, com sigla P2P) é uma arquitetura de redes de computadores onde cada um dos pontos ou nós da rede funciona tanto como cliente quanto como servidor, permitindo compartilhamentos de...
Casa dos Resumos