Engenharia de Software Redes de Computadores
Por: Julio Leão • 19/10/2018 • Relatório de pesquisa • 7.965 Palavras (32 Páginas) • 309 Visualizações
Universidade Tecnológica Federal do Paraná – Câmpus Cornélio Procópio
Engenharia de Software
ES63H – Redes de Computadores
Profa. Natássya B. F. da Silva
Detecção de Intrusão
Abel de Oliveira Dutra
Alexandre Kawamura Tanaka
Julio Cesario de Paiva Leão
Samuel Bordini Bolsanello
Cornélio Procópio, PR
01 de Setembro de 2018
RESUMO
Em nosso artigo iremos descrever sobre a Detecção de Intrusão nas redes de computadores. Começando com um contexto histórico do propósito no qual foi preciso o desenvolvimento de sistemas de segurança, seguido da história dos IDSs e uma breve definição. Na segunda parte do texto falaremos sobre os possíveis tipos de intrusos que são detectáveis, além disso o que torna uma ferramenta de detecção de intrusos eficiente e os tipos de IDSs, Baseada em Máquina Cliente, Distribuída Baseada em Máquina Cliente e Baseada em Rede. Para finalizar será discutido os padrões impostos para o funcionamento de um sistema de detecção em diferentes plataformas, e por último o surgimento dos honeypots e como eles funcionam.
Palavras-chave: Detecção de Intrusão. IDS. Baseada em Máquina Cliente. Distribuída Baseada em Máquina Cliente. Baseada em Rede. Honeypots. SNORT.
SUMÁRIO
1 INTRODUÇÃO 3
1.1 História 4
1.2 Definição 5
2 DESENVOLVIMENTO 6
2.1 Intrusos 6
2.2 Detecção de Intrusão 8
2.3 Detecção de Intrusão Baseada em Máquina Cliente 9
2.3.1 Detecção de anomalia 10
2.3.2 Detecção de assinatura 13
2.4 Detecção de Intrusão Distribuída Baseada em Máquina Cliente 15
2.5 Detecção de Intrusão Baseada em Rede 18
2.6 Detecção de Intrusão Adaptativa Distribuída 23
2.7 Formato de troca de detecção de Intrusão 24
2.8 Potes de mel (honeypots) 27
2.9 Sistema de exemplo: Snort 30
3 CONCLUSÃO 32
REFERÊNCIAS 34
1 INTRODUÇÃO
Com a criação da rede de telefonia dada por volta da década de 60, surgiu a preocupação de desenvolver um meio em que unisse, através do compartilhamento de informações, os vários microcomputadores de bom desempenho, que se situavam em várias localizações diferentes, ao invés de em uma determinada área. O tráfego gerado por estes usuários, ocorreria em uma seqüência de atividades, onde ao acionar um comando a um computador distante, este permaneceria por alguns instantes inativo, explorando e aguardando uma resposta. Com essa necessidade surge, o que chamamos hoje, a rede mundial de computadores, ou a Internet.
Com essa descoberta, onde vários computadores de diferentes localizações, pudessem se comunicar entre si, surgiu a preocupação quanto a segurança e de que usuários maliciosos prejudicasse um determinado sistema. Tanto sistemas operacionais, quanto a aplicações possuem falhas em segurança, além de que, desenvolver softwares e demais sistemas onde não tenha nenhuma vulnerabilidade, se torna algo inviável e de alto custo comercial. Sabendo disso, muitas corporações de desenvolvimento, adotam diversas formas de tornar suas aplicações mais seguras, fazendo então o uso de determinadas ferramentas, como:
- Criptografia de Chaves Públicas
- Firewalls
- Redes Privadas Virtuais (VPN)
- Segurança em Redes Sem Fios
- Controle de roteamento
- Sistemas de Detecção de Intrusões - IDS
Sendo esse último o nosso foco em apresentá-la.
1.1 História
Nas décadas de 50 e 60, alguns sistemas financeiros fizeram uso da prática da auditoria para inspecionar dados e verificar a existência de fraudes ou erros. Porém, algumas questões foram levantadas em caso de um intruso invadir seus sistemas:
O que deveria ser detectado?
Como analisar o que foi detectado?
E como proteger o sistema de vigilância e seus dados
Essas questões permanecem sendo as maiores prioridades das pesquisas na área de IDS (Intrusion Detection System).
Mais a frente nas décadas de 70 e 80, diversas iniciativas de segurança computacional foram criadas, os dados coletados das auditorias eram revisados manualmente à procura de informações que indicassem violações na segurança. Porém, conforme o volume de dados a serem revisados iam aumentando, tornava inviável sua análise uma vez que o tempo para verificação também aumentava de forma proporcional. Havia também o problema quanto a coleta de informações. Muitas vezes ocorriam pouca coleta de informações importantes e muitas coletas de informações irrelevantes e/ou repetidas, prejudicando ainda mais as análises.
Deste modo, foi proposto um método de redução da quantidade de dados a serem analisados através da comparação de dados estatísticos de comportamento de usuário e de grupo com observações resumidas.
A IDES (Intrusion Detection Expert System) da SRI (Stanford Research Institute), foi um dos maiores projetos de pesquisa nesse ramo. O modelo proposto pela SRI se tornou a base de sistemas de detecção de intrusão e se baseava no pressuposto de que o padrão de comportamento de um intruso é diferente o bastante de um usuário legítimo para ser detectado por análises de estatísticas de uso. Ele tenta criar um modelo de comportamento de usuários em relação a arquivos, programas ou dispositivos, tanto em longo quanto curto prazo para fazer a detecção, além de alimentar um sistema especialista que usa uma base de regras para representar violações conhecidas.
...