SISTEMAS IDS/IPS

CISCO IOS
 Índice
1. Introdução
1.2 Objectivos
2. -Tipos de Ataques e Técnicas de Segurança
2.1 O Método Comum de Ataque
2.2 - Tipos de Intrusões
2.2.1 - Através da Internet
2.2.2- Através da LAN
3. - A Segurança
3.1 IDS e IPS
3.2 Características
4. Implementação do Sistema IDS/IPS
4.1 Implementação na rede
4.2 Implementação de um IDS
4.3. Farramentas IDS/IPS
5. Testes
5.1 Farramenta Nessus
1. Introdução

• Com o aumento exponencial do número de redes informáticas, tem-

se verificado um acréscimo dos ataques. Todas as redes de
informáticas podem ser alvo de ataques, desde as mais pequenas,
como as redes domésticas até às mais vastas e complexas, como as
redes das Instituições publicas/privadas.

• A solução pode passar pela implementação de um Intrusion

Detection System (IDS/IPS). Um IDS inspecciona o tráfego de rede,
identifica os pacotes que podem comprometer a rede, e depois
alerta o administrador de redes informática. Um IDS mais evoluído
pode fazer um estudo mais intensivo do ataque e, assim, descobrir
entre outros aspectos, o conteúdo do pacote, a sua origem e destino
e as consequências do ataque no sistema.
1.2 Objectivos

• Propor a correcção de vulnerabilidades pelo servidor e fazer

a aplicação efectiva das mesmas nos sistemas.

• Simular invasão e confirmar a sua correcta detecção pelo

servidor do IDS/IPS.

• Propor a correcção de vulnerabilidades pelo servidor e fazer

a aplicação efectiva das mesmas nos sistemas.
 2. Método Comum de Ataque
2.1 Existem vários métodos ao dispor de um cracker para utilizar na exploração de um
sistema.

• Reconhecimento passivo - para poder explorar um sistema, o intruso (cracker/hacker)

necessita de ter alguma informação básica sobre o mesmo (sua localização na rede, a
quem pertence e, se possível, algo sobre os equipamentos utilizados na rede). A
recolha de informação passiva nem sempre parece ser de muita utilidade mas é
necessária e pode posteriormente ajudar a ultrapassar algumas barreiras.

• Reconhecimento activo (scanning) – nesta fase o intruso (cracker/hacker) já obteve

informação suficiente para realizar um reconhecimento activo. Para agora se poder
colocar numa posição mais estratégica necessita de saber quais as maquinas (hosts)
acessíveis, os sistemas operativos em utilização, os serviços activos e as portas que
estão abertas.
 2.2 Tipos de Intrusão
• Existem vários métodos que podem ser utilizados para explorar um sistema. O uso da Internet,
permite acesso a uma rede remota. Pode também obter-se acesso a uma rede interna, como
uma LAN, através dos sistemas das instituições. Este método é habitualmente utilizado por
pessoas de confiança da mesma. Alguns utilizadores de terminais, para facilitar o seu próprio
acesso à rede, colocam as palavras-chave em lugares bem visíveis e acessíveis. Existem
também meios de exploração mais agressivos como o roubo de equipamento informático, por
exemplo portáteis ou de pen´s USB. Dependendo dos objectivos de cada invasor, podem ser
utilizados um ou vários meios para alcançar o seu objectivo.

1. Através da Internet
• Spoofing de IP – este ataque consiste apenas na alteração do IP do cracker mas não será
suficiente para conseguir visualizar as respostas do utilizador, porque estas serão enviadas para
o verdadeiro IP, o do utilizador. Mas se o cracker conseguir estar entre o utilizador e o sistema,
figura 2.2, poderá visualizar a comunicação entre os dois.

• O trojan horse é um malware constituído por duas partes: uma visível para o utilizador e outra
oculta. A parte visível tem como finalidade captar o interesse do utilizador de maneira que
este execute o programa sem desconfiar da sua origem
2.2 Tipos de Intrusão

2. Através da LAN
Broadcasts
• Através de um broadcast pode ser enviado um pacote para todos os endereços IP de
um segmento de rede. Se nesse segmento de rede houver poucas máquinas, o tráfego
gerado será reduzido, caso contrario haverá mais tráfego podendo provocar um DoS
(denial of service) na rede.

Acesso a Ficheiros
• Muitas instituições não têm listas de controlo (Access Control Lists - ACL)
implementadas correctamente pelo que não podem limitar o acesso de utilizadores a
zonas mais restritas. Se um invasor conseguir obter o acesso de um utilizador, para o
que, normalmente basta a identificação do mesmo e a sua palavra-chave, pode aceder
à informação mais importante da instituição.
 3. - A Segurança
• A segurança é o processo de manter um risco perceptível a um nível aceitável . A figura mostra o equilibro que deverá
haver entre funcionalidade, facilidade de utilização e segurança do sistema.

Segurança

Facilidade de
Funcionalidade
Utilização
3. - A Segurança
3.1 IDS e IPS
A segurança nas redes é normalmente baseada na reunião de vários tipos de
tecnologias como routers, switches e ferramentas como IDS e firewalls, para que
em conjunto consigam oferecer uma maior protecção.

• IDS (Intrusion Detetion System)

O IDS é uma ferramenta passiva da segurança, não tomando nenhuma acção
para impedir a intrusão apenas avisando o administrador de redes. Sendo
necessário que haja uma pessoa competente para verificar as intrusões e decidir
qual a acção correcta a tomar.
• IPS (Intrusion Prevention System – IPS)
O IPS monitorizará o tráfego à entrada da rede, actuando contra os vírus e
worms,possiveis invasores, enquanto o IDS se ocupará do tráfego interno da
rede.
 3. - A Segurança
3.2 Principais Caracteristicas do IDS/IPS.