Scribd Logo
Upload

Welcome to Scribd!

  • Apresentação IPS

    Uploaded by

    Eddy Sergio
    26 views35 pages
    Apresentação IPS

    Copyright

    © © All Rights Reserved

    Available Formats

    PPTX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    Apresentação IPS

    Copyright:

    © All Rights Reserved
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    26 views35 pages

    Apresentação IPS

    Uploaded by

    Eddy Sergio
    Apresentação IPS

    Copyright:

    © All Rights Reserved
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 35

    APRESENTAÇÃO:

    NETWORK DEFENSE TOOLS


    Índice
    ■ Motivação
    ■ Tipos de Defesa
    ■ Prevenção de Intrusos
    – Firewall
    – Traffic Shaping
    ■ Detecção de Intrusos
    – Tripwire
    – HijackThis
    – Nessus
    ■ Referências
    Motivação
    ■ Devido ao grande alarme de ataques e invasões
    de vândalos, muitas pessoas receiam deixar seus
    computadores diretamente ligados à internet

    • Administrar uma rede segura


    nunca foi tão desafiador
    Tipos de Defesas
    ■ Defesas Externas
    – IPS, IDS
    ■ Proteger a rede e os hosts
    ■ Manter ameaças externas longe da rede interna

    ■ Defesas Internas
    – Anti-Vírus, Anti-Spyware
    ■ Proteger os hosts
    IDS
    ■ Sistema de Detecção de Intruso ( Passivo)
    – Sistema utilizado para manipular tráfegos maliciosos que não são
    detectados por um firewall convencional.
    ■ Vulnerabilidades no sistema
    ■ Elevação de privilégios
    ■ Login não autorizado
    ■ Malware
    IPS
    ■ Sistema de Prevenção de Intruso(Reativo)
    – Sistema que pratica o controle de acesso protegendo computadores
    de exploração. Bastante similar ao IDS, mas além de detectar tráfego
    suspeito, é capaz de tratá-lo.
    – Os IPS´s são usados para compor os sistemas de Firewall
    Ou seja...
    ■ Sistema de Detecção de Intruso
    – Apenas grava logs registrando atividades suspeitas

    ■ Sistema de Prevenção de Intruso


    – Reage mediante uma situação adversa
    PREVENÇÃO DE INTRUSOS
    Firewall

    ■ Sistema que aplica políticas de segurança para restringir passagem apenas de


    tráfego autorizado

    ■ Cria um perímetro de defesa para proteger a rede interna


    Firewall
    ■ Funcionamento Básico

    Rede Local Firewall Internet

    ■ Age como uma barreira que controla o tráfego


    entre duas redes.
    Firewall - Vantagens
    ■ Permite criar um ponto de controle único, impedindo acessos não
    autorizados e recusando serviços e dados vulneráveis saiam da rede

    ■ Monitorar a rede, alertas de invasão em apenas um ponto da rede


    Firewall - Limitações
    ■ Manipulação maliciosa de dados por usuários
    internos

    ■ Não impede proliferação de vírus

    ■ Ataques acionados por dados que são recebidos


    via e-mail, por exemplo, onde sua execução
    dispara alterações em arquivos de segurança do
    sistema, tornando-o vulnerável
    Firewall - Windows

    http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php
    Firewall - Testes na Web

    ■ Symantec Security Check


    – http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym
    ■ Audit My PC Firewall Test
    – http://www.auditmypc.com/firewall-test.asp
    ■ Gibson Research Corporation-Internet Vulnerability Test
    – https://www.grc.com/x/ne.dll?bh0bkyd2
    ■ PC Flank's tests
    – http://www.pcflank.com/about.htm
    ■ HackerWatch firewall tests
    – http://www.hackerwatch.org/probe/
    ■ Hacker Whacker free tests
    – http://theta.hackerwhacker.com/freetools.php
    ■ Look 'n' Stop - Internet security Test
    – http://www.soft4ever.com/security_test/En/
    Traffic Shaping
    ■ Técnica para controlar o tráfego na rede provendo otimização e
    garantia de performance

    ■ Bastante utilizado por provedores de acesso para melhoria de seus


    serviços
    Traffic Shaping
    ■ O Firewall
    – Libera ou bloquea o tráfego

    ■ Traffic Shaping
    – Limita, condiciona o tráfego
    ■ Classificação
    ■ Filas
    ■ Políticas de esforço
    ■ QoS
    Traffic Shaping
    ■ Como controlar o tráfego de compartilhadores P2P ?
    Traffic Shaping
    ■ Clasifica e analiza o tráfego
    – Classificando IP e porta
    ■ Controla Tráfego
    – Selecionando faixas de banda para classes
    ■ Monitora performance da rede
    – Coleta dados e aplica políticas
    DETECÇÃO DE INTRUSOS
    Detecção de Instrusos

    ■ Analisam os pacotes da rede comparando-os com assinaturas já


    prontas de ataque
    ■ Monitoram arquivos dos sistema em busca de modificações
    suspeitas

    ■ É capaz de trazer informações da rede como:


    – Quantas tentativas de ataques sofremos por dia;
    – Qual tipo de ataque foi usado;
    – Qual a origem dos ataques;
    Classificação de IDS

    ■ NIDS - Sistemas de Detecção de Intrusão de Rede


    – Os ataques são capturados e analisados através de pacotes da rede
    – Monitoram múltiplas estações através de sensores espalhados pela rede

    – Dificuldade pra processar dados em grandes redes e dados criptografados


    Classificação de IDS

    ■ HIDS - Sistemas de Detecção de Intrusão de Host


    – Operam sobre informações coletadas em computadores individuais
    – Por operar diretamente nas estações, é capaz de ver as
    conseqüências do ataque

    – Porém requer que cada máquina seja configurada e não detecta


    ataques em outras estações
    Ataque Padrão

    ■ O invasor:
    – Obtém acesso ao sistema
    – Adquire acesso root
    – Modifica o sistema pra instalar backdoor
    – Usa o backdoor para futuras atividades
    – Apaga rastros ( possivelmente )
    Tripwire

    ■ Basea-se em guardar informações sobre a estrutura dos arquivos no sistema.

    ■ Realiza comparações com uma base de dados e reporta problemas se houver


    diferenças
    Tripwire
    Hijack This

    ■ Programa que verifica processos ativos e entradas suspeitas no Windows, ajudando


    a identificar malwares em geral

    ■ Através dele é gerado um log que possibilita identificar


    Hijack This
    ■ Inicialmente o usuário roda a aplicação realizando um scan
    Hijack This
    ■ O log é gerado e salvo num arquivo:
    Hijack This
    ■ Analizador de logs gratuito no site do programa:

    http://hijackthis.de
    Hijack This

    ■ Trecho do resultado da análise do log:

    ■ Observe que qualquer processo suspeito é imediatamente avisado ao usuário


    Nessus

    ■ Programa de verificação de falhas/vulnerabilidades de segurança.

    ■ Composto por um cliente e servidor ( este serve para realizar o scan no cliente )

    ■ Ele realiza uma varredura de portas, detectando servidores ativos e simulando


    invasões para detectar vulnerabilidades
    Nessus

    ■ Há 3 níveis de alerta:
    – O mais grave indica que há uma brecha de segurança em um servidor ativo da
    máquina.
    – O segundo informa que há um serviço potencialmente inseguro numa determinada
    porta
    – O último nível é apenas aviso mostrando que há um servidor ativo e que está sem
    falha de segurança
    Nessus

    ■ O nessus:
    – Aponta as falhas

    – Oferece uma descrição detalhada da vulnerabilidade

    – Aponta uma solução


    Nessus

    1- Resultado da
    avaliação

    2- Descrição do
    problema

    3- Solução
    Referências

    ■ http://en.wikipedia.org/wiki/Main_Page
    ■ http://linhadefensiva.uol.com.br/forum
    ■ http://www.forum-invasao.com.br
    ■ http://www.securityfocus.com/infocus/1285
    ■ http://crypto.stanford.edu/cs155/IDSpaper.pdf
    ■ http://www.hijackthis.de
    ■ http://www.nessus.org

    You might also like