SlideShare uma empresa Scribd logo

Seguranca da Informação -IDS

Luiz Arthur
Luiz Arthur

O documento discute Sistemas de Detecção de Intrusão (IDS), que monitoram atividades em redes e sistemas computacionais para identificar possíveis ataques cibernéticos. Existem dois tipos principais de IDS: baseados em rede, que monitoram todo o tráfego de rede, e baseados em host, que monitoram atividades em um único computador. Os IDS analisam registros de log e outros dados para detectar sinais de intrusão, como processos e contas não autorizadas, e gerar alertas quando necessário.

1 de 14
Baixar para ler offline
1 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur Atualmente nossa sociedade esta a cada dia mais dependente dos computadores e  das  redes  de  dados  que  os  ligam.  Isto  se  dá  devido  ao  fato  de  que  são  nesses  equipamentos que está contido o maior bem da sociedade atual que é a informação.  Então é muito importante manter um sistema computacional, principalmente que esteja  conectado a uma rede (Internet) seguro, de forma que as informações contidos nesses  sempre  se  mantenham  integras,  com  um  alto  nível  de  confidencialidade  e  disponibilidade. Assim, a segurança da informação em sistemas computacionais atuais não podem mais  depender  apenas  de  sistemas  anti­vírus,  ou  apenas  alguns  Firewalls.  São  necessários sistemas mais complexos que analisem a rede e interajam de forma pró­ ativa  com  está  rede  e  seus  elementos  (hosts),  visando  uma  maior  segurança  da  informação. Neste  cenário  surgem  os  Sistemas  de  Detecção  de  Intrusão.  Pois,  fazer  a  monitoração contra tentativas de ataques e intrusão está se tornando fundamental para  a segurança  por exemplo, de uma empresa ou organização.  Assim, um IDS ou em português SDI é basicamente um sistema capaz de analisar o     trafego da rede ou o conteúdo de um computador e procurar possíveis tentativas    de ataques.
2 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur Não  é  uma  tarefa  muito  fácil  descobrir  se  um  computador  ou  uma  rede  foi  invadido.  Para  saber  se  um  computador  ou  uma  rede  foi  invadido  há  necessidade  de  analisar a rede verificando uma série de informações, como:  ● Registros de log (registro de armazenamento de eventos);  ● Processos não autorizados;  ● Contas de usuários; ● Sistema de Arquivos alterados; ●  e outros.  Descobrir  se  um  computador  ou  uma  rede  foi  invadido  é  uma  tarefa  muito  difícil  e  demorada para se fazer, e os responsáveis pela segurança da rede podem não dar  conta  de  fazer  tudo,  havendo  então  a  necessidade  de  se  utilizar  os  Sistemas  de  Detecção de Intrusão (SDI) para fazer essas funções. O  modo  mais  simples  de  definir  um  IDS  seria  descrevê­lo  como  uma  ferramenta  especializada, capaz de ler e interpretar o conteúdo de arquivos de log  de roteadores,  Firewalls, servidores e outros dispositivos de rede e gerar um alerta sobre um possível  ataque, identificando se existe alguém tentanto ou não invádir o sistema computacional.    
3 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur Um  SDI  normalmente  é  formado  por  um  banco  de  dados  no qual  são  armazenados  às assinaturas (códigos) de ataques, isto é bem semelhante ao funcionamento de um  antivírus que contém as assinaturas ou códigos dos vírus, ou seja, existem estruturas de  dados que, por exemplo, se forem encontradas em um fluxo de rede irão identificar que  esta acontecendo um determinado ataque.  Tais assinaturas devem ser constantemente atualizadas assim como em um antivírus  para que não passe nenhum código novo despercebido, ou o sistema não irá identificar  um ataque recem criado (um novo ataque). Se for detectada qualquer tentativa de ataque suspeita, o IDS deve gerar um alerta para  o  administrador  do  sistema  computacional,  esta  resposta  pode  ser  um  e­mail,  um  aruqivo  de  log,  emitir  um  alerta  sonoro,  alguma  tipos  de  ações  automáticas  para  tentar  avisar  sobre  o  ataque  ou  mesmo  tomar  uma  atitude  para  tentar  bloquear  o  ataque, variando desde a desativação de links da Internet até a ativação de rastreadores  e fazer outras tentativas de identificar atacantes.  É  claro  que  essas  respostas  aos  ataques  são  geradas  de  acordo  com  as  regras  configuradas no Sistema de Detecção de Intrusão.    
4 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur Antes de continuar falando sobre IDSs devemos ter em mente um problema causado  por  sistemas  de  detecção,  que  é  o  de  gerar  alertas  falsos  ou  de  simplesmente  não  gerar uma alerta em um momento de invasão. Falso Positivo e Falso Negativo Falso  positivo  é  quando  o  sensor  do  IDS  gera  um  alerta  que  não  devia,  ou  seja,  classifica uma  atividade  normal  na rede  como  sendo  um ataque. Quanto menos falsos  positivos  um  IDS  gerar  melhor,  pois  quando  um  administrador  examina  um  IDS  e  vê  um  monte  de  alertas  este  pode  pensar  que  o  sistema  está  sendo  atacado,  e  na  verdade  esses  alertas  são  falsos,  isto  se  dá  devido  a  má  configuração  do  IDS,  por  exemplo.  Outro  problema  gerado  por  este  tipo  de  problema  é  que  como  o  IDS  gera  alertas  falsos  sobre  ataques  que  não  estão  ocorrendo  o  administrador  pode  futuramente ignorar um ataque real pensando que este também é um Falso Positivo. Falso  negativo  é  quando  ocorre  um  ataque  e  o  sensor  do  SDI  não  gera  nenhum  alerta. Existem algumas causas que podem gerar falsos negativos são elas: um ataque  desconhecido, uma sobrecarga ou configuração errada no sensor. Falsos negativos  não devem ocorrer, pois um falso negativo pode ser um ataque que passa despercebido  pelo  IDS  e  pode  comprometer  a  segurança  da  rede  ou  das  informações  contidas  nos    sistemas  computacionais.  Para  evitar  este  tipo  de  problema  é  recomendável  sempre    manter as assinaturas atualizadas, assim como se fosse um anti­vírus.
5 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur Tipos de Sistemas de Detecção de Intrusão Conforme a sua arquitetura, os SDI podem ser: baseados em redes, baseados em host  e distribuídos. Sistemas de Detecção de Intrusão Baseado em Host Os  Sistemas  de  Detecção  de  Intrusão  baseados  em  Host  (SDIH  ou  em  inglês  HIDS)  foram  os  primeiros  IDS  que  surgiram,  seu  objetivo  é  monitorar  todas  as  atividades  existentes  em  um  determinado  host.  Sendo  que  este  captura  somente  o  trafego  destinado ou único host (e não a uma rede) não gerando muita carga para a CPU.  Os  SDIHs  podem  atuar  em  diversas  áreas  dentro  de  um  mesmo  host,  como  por  exemplo, analise de todo o sistema de arquivos, monitoramento da atividade da rede,  monitoramento  de  atividades  de  login  e  do  usuário.  Essas  ferramentas  analisam  os  sistemas através de dados coletados na própria máquina. Sistemas de Detecção de Intrusão Baseado em Rede Um  sistema  de  detecção  de  invasão  de  rede  é  uma  máquina  ou  um  software  que    monitora  conexões  de  rede  à  procura  de  sinais  de  invasão,  negação  de  serviço,    violações de diretivas ou outra atividade incomum especificada pelo administrador. 
6 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur O Sistema de Detecção de Intrusão de Rede também chamado de SDIR ou em inglês  NIDS, observará uma rede ou um grupo de máquinas. Os  NIDS  trabalham  com  interfaces  de  rede  em  modo  promiscuo,  ou  seja,  todos  os  pacotes  que  circulam  pela  rede  serão  capturados  pelo  IDS,  independente  do  destino.  Esses  pacotes  que  forem  capturados  serão  analisados  um­a­um,  para  que  o  IDS  saiba se tais pacotes contém informações ditas normais ou se podem ser considerados  uma tentativa de ataque. Os  NIDS  são  compostos  geralmente  por  dois  componentes,  são  eles:  os  sensores  e  as estações de gerenciamento.  Os  sensores  são  dispositivos  (de  hardware  ou  software),  colocados  em  segmentos  distintos da rede, para farejar e analisar a rede  procurando assinaturas que poderiam  indicar um ataque.  As  estações  de  gerenciamento  podem  possuir  uma  interface  gráfica  e  são  responsáveis por receber os alarmes dos sensores informando ao administrador da  rede sobre ataques, por exemplo. Os dois podem ser instalados em uma mesma máquina, dependendo do tipo do IDS.    
7 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur Vantagens dos NIDS são:  ● Que um único sensor pode monitorar toda a rede ou um segmento da rede o que  permite uma economia na sua implementação;  ● Os  NIDS  não  interfere  no  trafego  da  rede,  somente  analisa  as  informações  que  estão passando pela rede;  ● É invisível para os invasores, pois não gera nenhuma resposta que possa indicar  sua presença.  Desvantagens dos NIDS são:  ● Se tiver muito trafego na rede o IDS pode não conseguir ser rápido o suficiente  par monitorar todo o trafego que circula pelo segmento da rede e um ataque pode  passar despercebido;  ● Alguns  NIDS  têm  problemas  em  redes  com  switches,  pois  o  switch  cria  uma  conexão  direta  entre  a  origem  e  o  destino  do  pacote,  deste  modo  o  sensor  não  consegue capturar todos os pacotes;  ● Não  reconhece  dados  criptografados,  pois  não  consegue  comparar  as  regras  com o conteúdo do pacote;  ● Alguns  NIDS  não  conseguem  remontar  os  pacotes  fragmentados  (pacotes  divididos  em  varias  partes);  Não  consegue  informar  se  o  ataque  foi  ou  não  bem    sucedido   
8 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur Vantagens de HIDS são:  ● Podem  trabalhar  em  redes  com  criptografia,  como  analisa  o  host,  verifica  os  dados antes de serem criptografados ou depois de serem descritografados;  ● O  HIDS  consegue  monitorar  eventos  locais,  como  alterações  em  arquivos  do  sistema;  ● Não tem problemas em redes com switches, pois analisa o conteúdo que entra e  sai do host no qual está instalado, não importa se o switche envia os pacotes para a  rede inteira ou somente para a máquina destino;  ● Detecta  cavalos  de  tróia  e  outros  ataques  que  envolvem  brechas  na  integridade  dos softwares. Desvantagens dos HIDS são:  ● Dificuldade de gerenciar vários HIDS;  ● O  atacante  que  conseguir  invadir  o  host  em  que  o  SDI  está  instalado  pode  comprometer ou desabilitar o SDI;  ● Não pode detectar scan de portas ou outra ferramenta de varredura que tenha como  alvo  toda  a  rede,  porque  só  analisa  os  pacotes  direcionados  ao  host  em  que  está instalado;  ● Se a quantidade de informação for muita, pode ser necessário adicionar mais área  (espaço em disco), para o armazenamento dos logs;  ● O  HIDS  influência  no  desempenho  do  host  em  que  está  instalado  porque      consome recursos para o processamento das informações e regras do IDS. 
9 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur SDI distribuído Os  Sistemas  de  Detecção  de  Intrusão  Distribuídos  (SDID)  funcionam  em  uma  arquitetura  gerenciador/investigação.  Este  tipo  de  sistema  utiliza  sensores,  os  quais  ficam em locais distantes e se reportam a uma estação central de gerenciamento. Estes  sensores  podem  agir  no  modo  promiscuo  como  os  sensores  de  um  NIDS,  ou  podem agir no modo não­promiscuo como os de um HIDS ou uma combinação entre  os dois. Os sensores destes tipos de sistemas devem mandar as informações a uma estação  central de gerenciamento.  Nesta estação central de gerenciamento é feito um upload  dos logs de ataques e armazenados em um banco de dados.  Algumas  vantagens  do  uso  de  SDID  são:  O  downloads  de  novas  assinaturas  de  ataque pode ser feito nos sensores, de acordo com a necessidade; As regras de cada  sensor podem ser personalizadas para atender as suas necessidades individuais. Uma  desvantagem  do  uso  de  SDID  é  que  para  fazer  a  comunicação  entre  os  sensores  e  a  estação  central  de  gerenciamento  deve  se  utilizar  algum  tipo  de    segurança extra, como criptografia, tecnologia VPN ou uma rede privada.   
10 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur Detecção de invasão baseado em assinaturas Este método trabalha coletando dados (de rede ou host) e compara com regras (que  identificam  os  ataques),  que  são  os  códigos  (assinaturas)  do  IDS  ao  qual  se  está  utilizando. Essas assinaturas são fornecidas pelo desenvolvedor do IDS, mas se houver  necessidade  também  pode  se  desenvolver  assinaturas  próprias  ou  adquiri­las  de  sites  especializados em segurança e adaptar de acordo com o IDS.  A  detecção  de  intrusão  por  assinatura  normalmente  gera  um  menor  número  de  falsos  positivos,  ou  seja,  alertas  falsos  se  comparados  aos  demais  métodos  de  detecção. O método de detecção baseado em assinaturas é por sua vez mais rápido e  especifico  na  procura  por  padrões  de  ataques  já  conhecidos,  mas  quando  aparecem  novos padrões de ataques, este método se torna ineficiente. Uma  assinatura  é  composta  por  uma  seqüência  de  bytes  que  representam  ou  especificam  um  ataque.  Quando  é  encontrado  no  trafego  da  rede  algum  código  que  seja idêntico às assinaturas, é uma provável indicação de ataque. Os SDI utilizam esta  abordagem para a detecção de intrusão, através da utilização de expressões regulares,  análise de  contexto  ou  linguagens  de  assinatura,  os  pacotes de rede são analisados e  comparados com uma base de dados de assinaturas.    
11 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur Detecção baseado em anomalias (comportamento) Este  método  de  detecção  tem  um  registro  do  histórico  das  atividades  que  são  consideradas normais na rede, a partir desses registros do histórico é que o sistema  descobre o que é  permitido  ou não na rede, se encontrar algo que não está dentro do  padrão do sistema, é gerado um alerta.  Este  método  de  detecção  é  mais  complicado  para  se  configurar,  pois  é  muito  difícil  saber o que é ou não padrão em uma determinada rede.  A  principal  vantagem  deste  método  de  detecção  é  que  ele  é  capaz  de  detectar  qualquer tipo de ataques novos e desconhecidos.  Mas  por  outro  lado  a  desvantagem  é  que  ele  gera  um  número  muito  grande  de  alertas.  A  maioria  desses  alertas  podem  ser  falsos,  ou  seja,  é  apenas  uma  atividade  que o usuário não costuma a fazer, e que o sistema não tinha registro desta atividade. Por exemplo, o método de detecção baseado em anomalias tem um registro no qual um  usuário só faz login em um determinado sistema durante o dia, se acaso for detectado  que este usuário ta fazendo login no sistema de madrugada, deve emitir um alerta.    
12 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur OSSEC HIDS  O OSSEC HIDS é um sistema de detecção de intrusão baseado em Host de código  fonte aberto que possui como desenvolvedor principal o brasileiro Daniel Cid. O  OSSEC  HIDS  realiza  operações  de  analise  de  Logs,  integridade  de  sistemas,  monitoração  de  registros  do  Windows,  detecção  de  rootkits,  alertas  e  resposta  ativa  (regras  no  firewall).  É  possível  instalar  o  OSSEC  localmente,  para  monitorar  uma  única máquina, mas se for necessário monitorar várias máquinas é possível configurar  uma  como  servidor  e  as  demais  como  agentes,  sendo  que  as  agentes  iram  enviar  informações  para  o  gerente  que  fica  responsável  por  analisar  e  apresentar  as  informações geradas pelos IDS, isto dá uma alta escalabilidade ao IDS. Suporta os seguintes tipos de logs: Unix pam, sshd (OpenSSH) , Unix telnetd, Samba,  Su, Sudo, Proftpd, Pure­ftpd, vsftpd, Solaris ftpd, Imapd and pop3d, Horde imp, Named  (bind),  Postfix,  Sendmail,  Iptables  firewall,  Solais  ipfilter  firewall,  AIX  ipsec/firewall,  Netscreen  firewall,  Snort  IDS,  Apache  web  server  (access  log  and  error  log),  IIS  web  server,  Squid  proxy,  Windows  event  logs,  Generic  unix  authentiction  (adduser,  logins,  etc). O  OSSEC  pode  ser  instalado  nos  seguintes  Sistemas  Operacionais:  OpenBSD,  Linux,    FreeBSD,  Solaris,  MacOSX,  Windows  XP/2000  (  no  caso  do  windwos  é  somente  o    agente).
13 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur OSSEC HIDS  O OSSEC­HIDS pode ser obtido na site: www.ossec.net    
14 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur fim    

Recomendados

Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão r5f4y7s9f8g5b245
 
Detecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditDetecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditIvani Nascimento
 
Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosIvani Nascimento
 
Seguranca em Redes IDS
Seguranca em Redes IDSSeguranca em Redes IDS
Seguranca em Redes IDSLuiz Arthur
 
Aula 13 sistemas de detecção de intrusão
Aula 13 sistemas de detecção de intrusãoAula 13 sistemas de detecção de intrusão
Aula 13 sistemas de detecção de intrusãocamila_seixas
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5Eduardo Santana
 
TRABALHO IDS
TRABALHO IDSTRABALHO IDS
TRABALHO IDSTiago Castro
 
ESET Endpoint Solutions - Funcionalidades
ESET Endpoint Solutions - FuncionalidadesESET Endpoint Solutions - Funcionalidades
ESET Endpoint Solutions - FuncionalidadesESET Brasil
 

Recomendados

Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão r5f4y7s9f8g5b245
 
Detecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditDetecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditIvani Nascimento
 
Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosIvani Nascimento
 
Seguranca em Redes IDS
Seguranca em Redes IDSSeguranca em Redes IDS
Seguranca em Redes IDSLuiz Arthur
 
Aula 13 sistemas de detecção de intrusão
Aula 13 sistemas de detecção de intrusãoAula 13 sistemas de detecção de intrusão
Aula 13 sistemas de detecção de intrusãocamila_seixas
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5Eduardo Santana
 
TRABALHO IDS
TRABALHO IDSTRABALHO IDS
TRABALHO IDSTiago Castro
 
ESET Endpoint Solutions - Funcionalidades
ESET Endpoint Solutions - FuncionalidadesESET Endpoint Solutions - Funcionalidades
ESET Endpoint Solutions - FuncionalidadesESET Brasil
 
Snort
SnortSnort
SnortJean Pimentel
 
Apresentação Sophos
Apresentação SophosApresentação Sophos
Apresentação Sophosm3corp
 
Segurança Física de Servidores e Redes
Segurança Física de Servidores e RedesSegurança Física de Servidores e Redes
Segurança Física de Servidores e Redeselliando dias
 
Sophos UTM9
Sophos UTM9Sophos UTM9
Sophos UTM9DeServ - Tecnologia e Servços
 
Sophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completaSophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completaDeServ - Tecnologia e Servços
 
Sophos Endpoint - GVTech
Sophos Endpoint - GVTechSophos Endpoint - GVTech
Sophos Endpoint - GVTechDeServ - Tecnologia e Servços
 
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Diego BBahia
 
Intrusos e Honeypots
Intrusos e HoneypotsIntrusos e Honeypots
Intrusos e HoneypotsThaís Favore
 
Snort "O sniffer"
Snort "O sniffer"Snort "O sniffer"
Snort "O sniffer"Leonardo Damasceno
 
Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3Eduardo Santana
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.TI Safe
 
ESET Endpoint Solutions - Apresentação
ESET Endpoint Solutions - ApresentaçãoESET Endpoint Solutions - Apresentação
ESET Endpoint Solutions - ApresentaçãoESET Brasil
 
White Paper - TI Safe Secure Remote Access
White Paper - TI Safe Secure Remote AccessWhite Paper - TI Safe Secure Remote Access
White Paper - TI Safe Secure Remote AccessTI Safe
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
215610229 seguranca-de-redes (1)
215610229 seguranca-de-redes (1)215610229 seguranca-de-redes (1)
215610229 seguranca-de-redes (1)Marco Guimarães
 
Nessus Scanner Vulnerabilidades
Nessus Scanner VulnerabilidadesNessus Scanner Vulnerabilidades
Nessus Scanner VulnerabilidadesMauro Risonho de Paula Assumpcao
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresfelipetsi
 
Aula 32 - Internet
Aula 32 - InternetAula 32 - Internet
Aula 32 - InternetRenan Oliveira Baptista
 
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Carlos Serrao
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
 
215610229 seguranca-de-redes
215610229 seguranca-de-redes215610229 seguranca-de-redes
215610229 seguranca-de-redesMarco Guimarães
 
Ids
IdsIds
IdsCaniap
 

Mais conteúdo relacionado

Mais procurados

Apresentação Sophos
Apresentação SophosApresentação Sophos
Apresentação Sophosm3corp
 
Segurança Física de Servidores e Redes
Segurança Física de Servidores e RedesSegurança Física de Servidores e Redes
Segurança Física de Servidores e Redeselliando dias
 
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Diego BBahia
 
Intrusos e Honeypots
Intrusos e HoneypotsIntrusos e Honeypots
Intrusos e HoneypotsThaís Favore
 
Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3Eduardo Santana
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.TI Safe
 
ESET Endpoint Solutions - Apresentação
ESET Endpoint Solutions - ApresentaçãoESET Endpoint Solutions - Apresentação
ESET Endpoint Solutions - ApresentaçãoESET Brasil
 
White Paper - TI Safe Secure Remote Access
White Paper - TI Safe Secure Remote AccessWhite Paper - TI Safe Secure Remote Access
White Paper - TI Safe Secure Remote AccessTI Safe
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
215610229 seguranca-de-redes (1)
215610229 seguranca-de-redes (1)215610229 seguranca-de-redes (1)
215610229 seguranca-de-redes (1)Marco Guimarães
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresfelipetsi
 
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Carlos Serrao
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
 

Mais procurados (20)

Snort
SnortSnort
Snort
 
Apresentação Sophos
Apresentação SophosApresentação Sophos
Apresentação Sophos
 
Segurança Física de Servidores e Redes
Segurança Física de Servidores e RedesSegurança Física de Servidores e Redes
Segurança Física de Servidores e Redes
 
Sophos UTM9
Sophos UTM9Sophos UTM9
Sophos UTM9
 
Sophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completaSophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completa
 
Sophos Endpoint - GVTech
Sophos Endpoint - GVTechSophos Endpoint - GVTech
Sophos Endpoint - GVTech
 
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
 
Intrusos e Honeypots
Intrusos e HoneypotsIntrusos e Honeypots
Intrusos e Honeypots
 
Snort "O sniffer"
Snort "O sniffer"Snort "O sniffer"
Snort "O sniffer"
 
Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3Fasciculo inf segredes_unidade_3
Fasciculo inf segredes_unidade_3
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
 
ESET Endpoint Solutions - Apresentação
ESET Endpoint Solutions - ApresentaçãoESET Endpoint Solutions - Apresentação
ESET Endpoint Solutions - Apresentação
 
White Paper - TI Safe Secure Remote Access
White Paper - TI Safe Secure Remote AccessWhite Paper - TI Safe Secure Remote Access
White Paper - TI Safe Secure Remote Access
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
215610229 seguranca-de-redes (1)
215610229 seguranca-de-redes (1)215610229 seguranca-de-redes (1)
215610229 seguranca-de-redes (1)
 
Nessus Scanner Vulnerabilidades
Nessus Scanner VulnerabilidadesNessus Scanner Vulnerabilidades
Nessus Scanner Vulnerabilidades
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadores
 
Aula 32 - Internet
Aula 32 - InternetAula 32 - Internet
Aula 32 - Internet
 
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
 

Destaque

215610229 seguranca-de-redes
215610229 seguranca-de-redes215610229 seguranca-de-redes
215610229 seguranca-de-redesMarco Guimarães
 
Cidade ideal apresentação IDS
Cidade ideal apresentação IDSCidade ideal apresentação IDS
Cidade ideal apresentação IDSPedrokelson
 
IPS e IDS
IPS e IDSIPS e IDS
IPS e IDSgamargo
 
Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)LJ PROJECTS
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection systemAparna Bhadran
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection systemAkhil Kumar
 
Intrusion Detection System(IDS)
Intrusion Detection System(IDS)Intrusion Detection System(IDS)
Intrusion Detection System(IDS)shraddha_b
 
Ciˆncias humanas e suas tecnologias parte i
Ciˆncias humanas e suas tecnologias parte iCiˆncias humanas e suas tecnologias parte i
Ciˆncias humanas e suas tecnologias parte ijullyvi
 
Raciocínio baseado em casos
Raciocínio baseado em casosRaciocínio baseado em casos
Raciocínio baseado em casosPatrick Peyneau
 
Livro estatística básica
Livro estatística básicaLivro estatística básica
Livro estatística básicaJorge Jeane
 
Pedagogia arte-el salvador
Pedagogia arte-el salvadorPedagogia arte-el salvador
Pedagogia arte-el salvadorccesv
 
Acervo dvd mec
Acervo dvd mecAcervo dvd mec
Acervo dvd mecTV Escola
 

Destaque (20)

215610229 seguranca-de-redes
215610229 seguranca-de-redes215610229 seguranca-de-redes
215610229 seguranca-de-redes
 
Ids
IdsIds
Ids
 
1 Ids On Campus V3a
1 Ids On Campus V3a1 Ids On Campus V3a
1 Ids On Campus V3a
 
Cidade ideal apresentação IDS
Cidade ideal apresentação IDSCidade ideal apresentação IDS
Cidade ideal apresentação IDS
 
IPS e IDS
IPS e IDSIPS e IDS
IPS e IDS
 
Ids & ips
Ids & ipsIds & ips
Ids & ips
 
Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)
 
IDS and IPS
IDS and IPSIDS and IPS
IDS and IPS
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection system
 
Intrusion detection system
Intrusion detection systemIntrusion detection system
Intrusion detection system
 
Intrusion Detection System(IDS)
Intrusion Detection System(IDS)Intrusion Detection System(IDS)
Intrusion Detection System(IDS)
 
Filosofia
FilosofiaFilosofia
Filosofia
 
Ciˆncias humanas e suas tecnologias parte i
Ciˆncias humanas e suas tecnologias parte iCiˆncias humanas e suas tecnologias parte i
Ciˆncias humanas e suas tecnologias parte i
 
Profissões 2010 CIEE
Profissões 2010 CIEEProfissões 2010 CIEE
Profissões 2010 CIEE
 
Raciocínio baseado em casos
Raciocínio baseado em casosRaciocínio baseado em casos
Raciocínio baseado em casos
 
Livro estatística básica
Livro estatística básicaLivro estatística básica
Livro estatística básica
 
Arqueologia rio Piquiri
Arqueologia rio PiquiriArqueologia rio Piquiri
Arqueologia rio Piquiri
 
Pedagogia arte-el salvador
Pedagogia arte-el salvadorPedagogia arte-el salvador
Pedagogia arte-el salvador
 
Acervo dvd mec
Acervo dvd mecAcervo dvd mec
Acervo dvd mec
 
Ceará Moderno
Ceará ModernoCeará Moderno
Ceará Moderno
 

Semelhante a Seguranca da Informação -IDS

Sistemas de Detecção de Intrusão.pdf
Sistemas de Detecção de Intrusão.pdfSistemas de Detecção de Intrusão.pdf
Sistemas de Detecção de Intrusão.pdfAgostinho9
 
Detecção de Intrusão em Redes de Computadores usando Redes Neurais
Detecção de Intrusão em Redes de Computadores usando Redes NeuraisDetecção de Intrusão em Redes de Computadores usando Redes Neurais
Detecção de Intrusão em Redes de Computadores usando Redes NeuraisHugo Henley
 
Segurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresSegurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresBruno Dos Anjos Silveira
 
Apresentaçaõ de redes atual
Apresentaçaõ de redes atualApresentaçaõ de redes atual
Apresentaçaõ de redes atualMilena Rebouças
 
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeBe Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeSymantec Brasil
 
Nota de aula seguranca da informacao - politica de segurança da informação
Nota de aula seguranca da informacao - politica de segurança da informaçãoNota de aula seguranca da informacao - politica de segurança da informação
Nota de aula seguranca da informacao - politica de segurança da informaçãofelipetsi
 
manual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfmanual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfCarlos Gomes
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoCisco do Brasil
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMSpark Security
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Diego BBahia
 
Unidade3 seg perimetral-ids
Unidade3 seg perimetral-idsUnidade3 seg perimetral-ids
Unidade3 seg perimetral-idsLeandro Almeida
 

Semelhante a Seguranca da Informação -IDS (20)

Sistemas de Detecção de Intrusão.pdf
Sistemas de Detecção de Intrusão.pdfSistemas de Detecção de Intrusão.pdf
Sistemas de Detecção de Intrusão.pdf
 
Ids
IdsIds
Ids
 
IDS.pdf
IDS.pdfIDS.pdf
IDS.pdf
 
Pentest teórico
Pentest teóricoPentest teórico
Pentest teórico
 
Aula 4 semana
Aula 4 semanaAula 4 semana
Aula 4 semana
 
Detecção de Intrusão em Redes de Computadores usando Redes Neurais
Detecção de Intrusão em Redes de Computadores usando Redes NeuraisDetecção de Intrusão em Redes de Computadores usando Redes Neurais
Detecção de Intrusão em Redes de Computadores usando Redes Neurais
 
Segurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresSegurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de Computadores
 
Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015
 
Apresentaçaõ de redes atual
Apresentaçaõ de redes atualApresentaçaõ de redes atual
Apresentaçaõ de redes atual
 
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
 
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeBe Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
 
192151378 seguranca
192151378 seguranca192151378 seguranca
192151378 seguranca
 
Nota de aula seguranca da informacao - politica de segurança da informação
Nota de aula seguranca da informacao - politica de segurança da informaçãoNota de aula seguranca da informacao - politica de segurança da informação
Nota de aula seguranca da informacao - politica de segurança da informação
 
manual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfmanual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdf
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
 
PenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI EngitecPenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI Engitec
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)
 
Unidade3 seg perimetral-ids
Unidade3 seg perimetral-idsUnidade3 seg perimetral-ids
Unidade3 seg perimetral-ids
 
Apresentação dissertação
Apresentação dissertaçãoApresentação dissertação
Apresentação dissertação
 

Mais de Luiz Arthur

Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?Luiz Arthur
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãLuiz Arthur
 
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...Luiz Arthur
 
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...Luiz Arthur
 
Detecção de alertas de segurança em redes de computadores usando redes sociai...
Detecção de alertas de segurança em redes de computadores usando redes sociai...Detecção de alertas de segurança em redes de computadores usando redes sociai...
Detecção de alertas de segurança em redes de computadores usando redes sociai...Luiz Arthur
 
Evaluating the Utilization of Twitter Messages as a Source of Security Alerts
Evaluating the Utilization of Twitter Messages as a Source of Security AlertsEvaluating the Utilization of Twitter Messages as a Source of Security Alerts
Evaluating the Utilization of Twitter Messages as a Source of Security AlertsLuiz Arthur
 
Análise de Mensagens de Segurança Postadas no Twitter
Análise de Mensagens de Segurança Postadas no TwitterAnálise de Mensagens de Segurança Postadas no Twitter
Análise de Mensagens de Segurança Postadas no TwitterLuiz Arthur
 
match making e propaganda na web
match making e propaganda na webmatch making e propaganda na web
match making e propaganda na webLuiz Arthur
 
Mineração de dados no Gmail e Facebook
Mineração de dados no Gmail e FacebookMineração de dados no Gmail e Facebook
Mineração de dados no Gmail e FacebookLuiz Arthur
 
Invasao kernel.org
Invasao kernel.orgInvasao kernel.org
Invasao kernel.orgLuiz Arthur
 
Núcleo do Linux (Kernel Linux)
Núcleo do Linux (Kernel Linux)Núcleo do Linux (Kernel Linux)
Núcleo do Linux (Kernel Linux)Luiz Arthur
 
Palestra Ferramentas de Segurança Open Source v.2
Palestra Ferramentas de Segurança Open Source v.2Palestra Ferramentas de Segurança Open Source v.2
Palestra Ferramentas de Segurança Open Source v.2Luiz Arthur
 
Palestra mau uso da tecnologia
Palestra mau uso da tecnologiaPalestra mau uso da tecnologia
Palestra mau uso da tecnologiaLuiz Arthur
 
UTFPR-inventario-patrimonio-laboratorio-e105
UTFPR-inventario-patrimonio-laboratorio-e105UTFPR-inventario-patrimonio-laboratorio-e105
UTFPR-inventario-patrimonio-laboratorio-e105Luiz Arthur
 
01 programação - introdução computação
01 programação - introdução computação01 programação - introdução computação
01 programação - introdução computaçãoLuiz Arthur
 
Bibliografia recomendada - programação C
Bibliografia recomendada - programação CBibliografia recomendada - programação C
Bibliografia recomendada - programação CLuiz Arthur
 
Bibliografia recomendada-programacao-python
Bibliografia recomendada-programacao-pythonBibliografia recomendada-programacao-python
Bibliografia recomendada-programacao-pythonLuiz Arthur
 
Bibliografia recomendada-seguranca
Bibliografia recomendada-segurancaBibliografia recomendada-seguranca
Bibliografia recomendada-segurancaLuiz Arthur
 
Bibliografia recomendada-redes
Bibliografia recomendada-redesBibliografia recomendada-redes
Bibliografia recomendada-redesLuiz Arthur
 

Mais de Luiz Arthur (20)

Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhã
 
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...
 
NAPSOL
NAPSOLNAPSOL
NAPSOL
 
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...
 
Detecção de alertas de segurança em redes de computadores usando redes sociai...
Detecção de alertas de segurança em redes de computadores usando redes sociai...Detecção de alertas de segurança em redes de computadores usando redes sociai...
Detecção de alertas de segurança em redes de computadores usando redes sociai...
 
Evaluating the Utilization of Twitter Messages as a Source of Security Alerts
Evaluating the Utilization of Twitter Messages as a Source of Security AlertsEvaluating the Utilization of Twitter Messages as a Source of Security Alerts
Evaluating the Utilization of Twitter Messages as a Source of Security Alerts
 
Análise de Mensagens de Segurança Postadas no Twitter
Análise de Mensagens de Segurança Postadas no TwitterAnálise de Mensagens de Segurança Postadas no Twitter
Análise de Mensagens de Segurança Postadas no Twitter
 
match making e propaganda na web
match making e propaganda na webmatch making e propaganda na web
match making e propaganda na web
 
Mineração de dados no Gmail e Facebook
Mineração de dados no Gmail e FacebookMineração de dados no Gmail e Facebook
Mineração de dados no Gmail e Facebook
 
Invasao kernel.org
Invasao kernel.orgInvasao kernel.org
Invasao kernel.org
 
Núcleo do Linux (Kernel Linux)
Núcleo do Linux (Kernel Linux)Núcleo do Linux (Kernel Linux)
Núcleo do Linux (Kernel Linux)
 
Palestra Ferramentas de Segurança Open Source v.2
Palestra Ferramentas de Segurança Open Source v.2Palestra Ferramentas de Segurança Open Source v.2
Palestra Ferramentas de Segurança Open Source v.2
 
Palestra mau uso da tecnologia
Palestra mau uso da tecnologiaPalestra mau uso da tecnologia
Palestra mau uso da tecnologia
 
UTFPR-inventario-patrimonio-laboratorio-e105
UTFPR-inventario-patrimonio-laboratorio-e105UTFPR-inventario-patrimonio-laboratorio-e105
UTFPR-inventario-patrimonio-laboratorio-e105
 
01 programação - introdução computação
01 programação - introdução computação01 programação - introdução computação
01 programação - introdução computação
 
Bibliografia recomendada - programação C
Bibliografia recomendada - programação CBibliografia recomendada - programação C
Bibliografia recomendada - programação C
 
Bibliografia recomendada-programacao-python
Bibliografia recomendada-programacao-pythonBibliografia recomendada-programacao-python
Bibliografia recomendada-programacao-python
 
Bibliografia recomendada-seguranca
Bibliografia recomendada-segurancaBibliografia recomendada-seguranca
Bibliografia recomendada-seguranca
 
Bibliografia recomendada-redes
Bibliografia recomendada-redesBibliografia recomendada-redes
Bibliografia recomendada-redes
 

Seguranca da Informação -IDS

  • 1. 1 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur Atualmente nossa sociedade esta a cada dia mais dependente dos computadores e  das  redes  de  dados  que  os  ligam.  Isto  se  dá  devido  ao  fato  de  que  são  nesses  equipamentos que está contido o maior bem da sociedade atual que é a informação.  Então é muito importante manter um sistema computacional, principalmente que esteja  conectado a uma rede (Internet) seguro, de forma que as informações contidos nesses  sempre  se  mantenham  integras,  com  um  alto  nível  de  confidencialidade  e  disponibilidade. Assim, a segurança da informação em sistemas computacionais atuais não podem mais  depender  apenas  de  sistemas  anti­vírus,  ou  apenas  alguns  Firewalls.  São  necessários sistemas mais complexos que analisem a rede e interajam de forma pró­ ativa  com  está  rede  e  seus  elementos  (hosts),  visando  uma  maior  segurança  da  informação. Neste  cenário  surgem  os  Sistemas  de  Detecção  de  Intrusão.  Pois,  fazer  a  monitoração contra tentativas de ataques e intrusão está se tornando fundamental para  a segurança  por exemplo, de uma empresa ou organização.  Assim, um IDS ou em português SDI é basicamente um sistema capaz de analisar o     trafego da rede ou o conteúdo de um computador e procurar possíveis tentativas    de ataques.
  • 2. 2 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur Não  é  uma  tarefa  muito  fácil  descobrir  se  um  computador  ou  uma  rede  foi  invadido.  Para  saber  se  um  computador  ou  uma  rede  foi  invadido  há  necessidade  de  analisar a rede verificando uma série de informações, como:  ● Registros de log (registro de armazenamento de eventos);  ● Processos não autorizados;  ● Contas de usuários; ● Sistema de Arquivos alterados; ●  e outros.  Descobrir  se  um  computador  ou  uma  rede  foi  invadido  é  uma  tarefa  muito  difícil  e  demorada para se fazer, e os responsáveis pela segurança da rede podem não dar  conta  de  fazer  tudo,  havendo  então  a  necessidade  de  se  utilizar  os  Sistemas  de  Detecção de Intrusão (SDI) para fazer essas funções. O  modo  mais  simples  de  definir  um  IDS  seria  descrevê­lo  como  uma  ferramenta  especializada, capaz de ler e interpretar o conteúdo de arquivos de log  de roteadores,  Firewalls, servidores e outros dispositivos de rede e gerar um alerta sobre um possível  ataque, identificando se existe alguém tentanto ou não invádir o sistema computacional.    
  • 3. 3 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur Um  SDI  normalmente  é  formado  por  um  banco  de  dados  no qual  são  armazenados  às assinaturas (códigos) de ataques, isto é bem semelhante ao funcionamento de um  antivírus que contém as assinaturas ou códigos dos vírus, ou seja, existem estruturas de  dados que, por exemplo, se forem encontradas em um fluxo de rede irão identificar que  esta acontecendo um determinado ataque.  Tais assinaturas devem ser constantemente atualizadas assim como em um antivírus  para que não passe nenhum código novo despercebido, ou o sistema não irá identificar  um ataque recem criado (um novo ataque). Se for detectada qualquer tentativa de ataque suspeita, o IDS deve gerar um alerta para  o  administrador  do  sistema  computacional,  esta  resposta  pode  ser  um  e­mail,  um  aruqivo  de  log,  emitir  um  alerta  sonoro,  alguma  tipos  de  ações  automáticas  para  tentar  avisar  sobre  o  ataque  ou  mesmo  tomar  uma  atitude  para  tentar  bloquear  o  ataque, variando desde a desativação de links da Internet até a ativação de rastreadores  e fazer outras tentativas de identificar atacantes.  É  claro  que  essas  respostas  aos  ataques  são  geradas  de  acordo  com  as  regras  configuradas no Sistema de Detecção de Intrusão.    
  • 4. 4 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur Antes de continuar falando sobre IDSs devemos ter em mente um problema causado  por  sistemas  de  detecção,  que  é  o  de  gerar  alertas  falsos  ou  de  simplesmente  não  gerar uma alerta em um momento de invasão. Falso Positivo e Falso Negativo Falso  positivo  é  quando  o  sensor  do  IDS  gera  um  alerta  que  não  devia,  ou  seja,  classifica uma  atividade  normal  na rede  como  sendo  um ataque. Quanto menos falsos  positivos  um  IDS  gerar  melhor,  pois  quando  um  administrador  examina  um  IDS  e  vê  um  monte  de  alertas  este  pode  pensar  que  o  sistema  está  sendo  atacado,  e  na  verdade  esses  alertas  são  falsos,  isto  se  dá  devido  a  má  configuração  do  IDS,  por  exemplo.  Outro  problema  gerado  por  este  tipo  de  problema  é  que  como  o  IDS  gera  alertas  falsos  sobre  ataques  que  não  estão  ocorrendo  o  administrador  pode  futuramente ignorar um ataque real pensando que este também é um Falso Positivo. Falso  negativo  é  quando  ocorre  um  ataque  e  o  sensor  do  SDI  não  gera  nenhum  alerta. Existem algumas causas que podem gerar falsos negativos são elas: um ataque  desconhecido, uma sobrecarga ou configuração errada no sensor. Falsos negativos  não devem ocorrer, pois um falso negativo pode ser um ataque que passa despercebido  pelo  IDS  e  pode  comprometer  a  segurança  da  rede  ou  das  informações  contidas  nos    sistemas  computacionais.  Para  evitar  este  tipo  de  problema  é  recomendável  sempre    manter as assinaturas atualizadas, assim como se fosse um anti­vírus.
  • 5. 5 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur Tipos de Sistemas de Detecção de Intrusão Conforme a sua arquitetura, os SDI podem ser: baseados em redes, baseados em host  e distribuídos. Sistemas de Detecção de Intrusão Baseado em Host Os  Sistemas  de  Detecção  de  Intrusão  baseados  em  Host  (SDIH  ou  em  inglês  HIDS)  foram  os  primeiros  IDS  que  surgiram,  seu  objetivo  é  monitorar  todas  as  atividades  existentes  em  um  determinado  host.  Sendo  que  este  captura  somente  o  trafego  destinado ou único host (e não a uma rede) não gerando muita carga para a CPU.  Os  SDIHs  podem  atuar  em  diversas  áreas  dentro  de  um  mesmo  host,  como  por  exemplo, analise de todo o sistema de arquivos, monitoramento da atividade da rede,  monitoramento  de  atividades  de  login  e  do  usuário.  Essas  ferramentas  analisam  os  sistemas através de dados coletados na própria máquina. Sistemas de Detecção de Intrusão Baseado em Rede Um  sistema  de  detecção  de  invasão  de  rede  é  uma  máquina  ou  um  software  que    monitora  conexões  de  rede  à  procura  de  sinais  de  invasão,  negação  de  serviço,    violações de diretivas ou outra atividade incomum especificada pelo administrador. 
  • 6. 6 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur O Sistema de Detecção de Intrusão de Rede também chamado de SDIR ou em inglês  NIDS, observará uma rede ou um grupo de máquinas. Os  NIDS  trabalham  com  interfaces  de  rede  em  modo  promiscuo,  ou  seja,  todos  os  pacotes  que  circulam  pela  rede  serão  capturados  pelo  IDS,  independente  do  destino.  Esses  pacotes  que  forem  capturados  serão  analisados  um­a­um,  para  que  o  IDS  saiba se tais pacotes contém informações ditas normais ou se podem ser considerados  uma tentativa de ataque. Os  NIDS  são  compostos  geralmente  por  dois  componentes,  são  eles:  os  sensores  e  as estações de gerenciamento.  Os  sensores  são  dispositivos  (de  hardware  ou  software),  colocados  em  segmentos  distintos da rede, para farejar e analisar a rede  procurando assinaturas que poderiam  indicar um ataque.  As  estações  de  gerenciamento  podem  possuir  uma  interface  gráfica  e  são  responsáveis por receber os alarmes dos sensores informando ao administrador da  rede sobre ataques, por exemplo. Os dois podem ser instalados em uma mesma máquina, dependendo do tipo do IDS.    
  • 7. 7 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur Vantagens dos NIDS são:  ● Que um único sensor pode monitorar toda a rede ou um segmento da rede o que  permite uma economia na sua implementação;  ● Os  NIDS  não  interfere  no  trafego  da  rede,  somente  analisa  as  informações  que  estão passando pela rede;  ● É invisível para os invasores, pois não gera nenhuma resposta que possa indicar  sua presença.  Desvantagens dos NIDS são:  ● Se tiver muito trafego na rede o IDS pode não conseguir ser rápido o suficiente  par monitorar todo o trafego que circula pelo segmento da rede e um ataque pode  passar despercebido;  ● Alguns  NIDS  têm  problemas  em  redes  com  switches,  pois  o  switch  cria  uma  conexão  direta  entre  a  origem  e  o  destino  do  pacote,  deste  modo  o  sensor  não  consegue capturar todos os pacotes;  ● Não  reconhece  dados  criptografados,  pois  não  consegue  comparar  as  regras  com o conteúdo do pacote;  ● Alguns  NIDS  não  conseguem  remontar  os  pacotes  fragmentados  (pacotes  divididos  em  varias  partes);  Não  consegue  informar  se  o  ataque  foi  ou  não  bem    sucedido   
  • 8. 8 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur Vantagens de HIDS são:  ● Podem  trabalhar  em  redes  com  criptografia,  como  analisa  o  host,  verifica  os  dados antes de serem criptografados ou depois de serem descritografados;  ● O  HIDS  consegue  monitorar  eventos  locais,  como  alterações  em  arquivos  do  sistema;  ● Não tem problemas em redes com switches, pois analisa o conteúdo que entra e  sai do host no qual está instalado, não importa se o switche envia os pacotes para a  rede inteira ou somente para a máquina destino;  ● Detecta  cavalos  de  tróia  e  outros  ataques  que  envolvem  brechas  na  integridade  dos softwares. Desvantagens dos HIDS são:  ● Dificuldade de gerenciar vários HIDS;  ● O  atacante  que  conseguir  invadir  o  host  em  que  o  SDI  está  instalado  pode  comprometer ou desabilitar o SDI;  ● Não pode detectar scan de portas ou outra ferramenta de varredura que tenha como  alvo  toda  a  rede,  porque  só  analisa  os  pacotes  direcionados  ao  host  em  que  está instalado;  ● Se a quantidade de informação for muita, pode ser necessário adicionar mais área  (espaço em disco), para o armazenamento dos logs;  ● O  HIDS  influência  no  desempenho  do  host  em  que  está  instalado  porque      consome recursos para o processamento das informações e regras do IDS. 
  • 9. 9 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur SDI distribuído Os  Sistemas  de  Detecção  de  Intrusão  Distribuídos  (SDID)  funcionam  em  uma  arquitetura  gerenciador/investigação.  Este  tipo  de  sistema  utiliza  sensores,  os  quais  ficam em locais distantes e se reportam a uma estação central de gerenciamento. Estes  sensores  podem  agir  no  modo  promiscuo  como  os  sensores  de  um  NIDS,  ou  podem agir no modo não­promiscuo como os de um HIDS ou uma combinação entre  os dois. Os sensores destes tipos de sistemas devem mandar as informações a uma estação  central de gerenciamento.  Nesta estação central de gerenciamento é feito um upload  dos logs de ataques e armazenados em um banco de dados.  Algumas  vantagens  do  uso  de  SDID  são:  O  downloads  de  novas  assinaturas  de  ataque pode ser feito nos sensores, de acordo com a necessidade; As regras de cada  sensor podem ser personalizadas para atender as suas necessidades individuais. Uma  desvantagem  do  uso  de  SDID  é  que  para  fazer  a  comunicação  entre  os  sensores  e  a  estação  central  de  gerenciamento  deve  se  utilizar  algum  tipo  de    segurança extra, como criptografia, tecnologia VPN ou uma rede privada.   
  • 10. 10 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur Detecção de invasão baseado em assinaturas Este método trabalha coletando dados (de rede ou host) e compara com regras (que  identificam  os  ataques),  que  são  os  códigos  (assinaturas)  do  IDS  ao  qual  se  está  utilizando. Essas assinaturas são fornecidas pelo desenvolvedor do IDS, mas se houver  necessidade  também  pode  se  desenvolver  assinaturas  próprias  ou  adquiri­las  de  sites  especializados em segurança e adaptar de acordo com o IDS.  A  detecção  de  intrusão  por  assinatura  normalmente  gera  um  menor  número  de  falsos  positivos,  ou  seja,  alertas  falsos  se  comparados  aos  demais  métodos  de  detecção. O método de detecção baseado em assinaturas é por sua vez mais rápido e  especifico  na  procura  por  padrões  de  ataques  já  conhecidos,  mas  quando  aparecem  novos padrões de ataques, este método se torna ineficiente. Uma  assinatura  é  composta  por  uma  seqüência  de  bytes  que  representam  ou  especificam  um  ataque.  Quando  é  encontrado  no  trafego  da  rede  algum  código  que  seja idêntico às assinaturas, é uma provável indicação de ataque. Os SDI utilizam esta  abordagem para a detecção de intrusão, através da utilização de expressões regulares,  análise de  contexto  ou  linguagens  de  assinatura,  os  pacotes de rede são analisados e  comparados com uma base de dados de assinaturas.    
  • 11. 11 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur Detecção baseado em anomalias (comportamento) Este  método  de  detecção  tem  um  registro  do  histórico  das  atividades  que  são  consideradas normais na rede, a partir desses registros do histórico é que o sistema  descobre o que é  permitido  ou não na rede, se encontrar algo que não está dentro do  padrão do sistema, é gerado um alerta.  Este  método  de  detecção  é  mais  complicado  para  se  configurar,  pois  é  muito  difícil  saber o que é ou não padrão em uma determinada rede.  A  principal  vantagem  deste  método  de  detecção  é  que  ele  é  capaz  de  detectar  qualquer tipo de ataques novos e desconhecidos.  Mas  por  outro  lado  a  desvantagem  é  que  ele  gera  um  número  muito  grande  de  alertas.  A  maioria  desses  alertas  podem  ser  falsos,  ou  seja,  é  apenas  uma  atividade  que o usuário não costuma a fazer, e que o sistema não tinha registro desta atividade. Por exemplo, o método de detecção baseado em anomalias tem um registro no qual um  usuário só faz login em um determinado sistema durante o dia, se acaso for detectado  que este usuário ta fazendo login no sistema de madrugada, deve emitir um alerta.    
  • 12. 12 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur OSSEC HIDS  O OSSEC HIDS é um sistema de detecção de intrusão baseado em Host de código  fonte aberto que possui como desenvolvedor principal o brasileiro Daniel Cid. O  OSSEC  HIDS  realiza  operações  de  analise  de  Logs,  integridade  de  sistemas,  monitoração  de  registros  do  Windows,  detecção  de  rootkits,  alertas  e  resposta  ativa  (regras  no  firewall).  É  possível  instalar  o  OSSEC  localmente,  para  monitorar  uma  única máquina, mas se for necessário monitorar várias máquinas é possível configurar  uma  como  servidor  e  as  demais  como  agentes,  sendo  que  as  agentes  iram  enviar  informações  para  o  gerente  que  fica  responsável  por  analisar  e  apresentar  as  informações geradas pelos IDS, isto dá uma alta escalabilidade ao IDS. Suporta os seguintes tipos de logs: Unix pam, sshd (OpenSSH) , Unix telnetd, Samba,  Su, Sudo, Proftpd, Pure­ftpd, vsftpd, Solaris ftpd, Imapd and pop3d, Horde imp, Named  (bind),  Postfix,  Sendmail,  Iptables  firewall,  Solais  ipfilter  firewall,  AIX  ipsec/firewall,  Netscreen  firewall,  Snort  IDS,  Apache  web  server  (access  log  and  error  log),  IIS  web  server,  Squid  proxy,  Windows  event  logs,  Generic  unix  authentiction  (adduser,  logins,  etc). O  OSSEC  pode  ser  instalado  nos  seguintes  Sistemas  Operacionais:  OpenBSD,  Linux,    FreeBSD,  Solaris,  MacOSX,  Windows  XP/2000  (  no  caso  do  windwos  é  somente  o    agente).
  • 13. 13 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur OSSEC HIDS  O OSSEC­HIDS pode ser obtido na site: www.ossec.net    
  • 14. 14 IDS ­ Sistemas de Detecção de Intrusão Luiz Arthur fim