10362729
Description
Mind Map by Fernando Balestrin, updated more than 1 year ago
|
Created by Fernando Balestrin
over 6 years ago
|
|
Sistema de detecção e prevenção de
intrusão IDS/IPS
- Estes sistemas podem ser implementados com a utilização de hardwares dedicados à estas funções,
ou através da instalação de softwares com esta função em hardwares já existentes na rede, como
uma switch, um roteador, ou mesmo em um ou vários servidores ou desktops.
- Exemplo: um conjunto IDS/IPS instalado em um computador ou servidor é considerado do tipo
HIDS/HIPS, ou seja, Host Intrusion Detection System/Host Intrusion Prevention System, que
significam Sistema de Detecção de Intrusão baseado em Host/Sistema de Prevenção de Intrusão
baseado em Host, assim chamados por atuarem na detecção e prevenção de intrusões com base no
comportamento e no histórico do tráfego de dados do computador no qual está instalado.
- Já um conjunto IDS/IPS instalado em uma switch, ou roteador por exemplo, é considerado do tipo
NIDS/NIPS, ou seja Network Intrusion Detection System/Network Intrusion Prevention System, que
querem dizer Sistema de Detecção de Intrusão baseado em Rede/ Sistema de Prevenção de Intrusão
baseado em Rede, sendo assim chamados por ter foco no monitoramento e atuação na rede em que
estão acoplados, baseando-se no histórico de comportamento e tráfego de dados desta.
- Esses tipos podem ser combinados em soluções mistas, mesclando o monitoramento de rede(s) com
hosts e servidores.
- IDS
- Rastreia mas não filtra/bloqueia
- Rastreia mas não filtra/bloqueia
- IPS
- Repositorio de logs, técnicas avançadas de alertas e respostas.
- O IPS - usa capacidade de detecção do IDS com a capacidade de bloqueio de um firewall, notificando e
bloqueando de forma eficaz qualquer tipo de ação suspeita ou indevida e é uma das ferramentas de
segurança de maior abrangência. Uma vez que sue poder de alertar e bloquear age em diversos
pontos de uma arquitetura de rede.
- O IPS - usa capacidade de detecção do IDS com a capacidade de bloqueio de um firewall, notificando e
bloqueando de forma eficaz qualquer tipo de ação suspeita ou indevida e é uma das ferramentas de
segurança de maior abrangência. Uma vez que sue poder de alertar e bloquear age em diversos
pontos de uma arquitetura de rede.
- Repositorio de logs, técnicas avançadas de alertas e respostas.
- IDS -> PASSIVA “D” Detecção
IPD -> ATIVA “P” Prevenção
- IDS
- Esses tipos podem ser combinados em soluções mistas, mesclando o monitoramento de rede(s) com
hosts e servidores.
- Já um conjunto IDS/IPS instalado em uma switch, ou roteador por exemplo, é considerado do tipo
NIDS/NIPS, ou seja Network Intrusion Detection System/Network Intrusion Prevention System, que
querem dizer Sistema de Detecção de Intrusão baseado em Rede/ Sistema de Prevenção de Intrusão
baseado em Rede, sendo assim chamados por ter foco no monitoramento e atuação na rede em que
estão acoplados, baseando-se no histórico de comportamento e tráfego de dados desta.
- Exemplo: um conjunto IDS/IPS instalado em um computador ou servidor é considerado do tipo
HIDS/HIPS, ou seja, Host Intrusion Detection System/Host Intrusion Prevention System, que
significam Sistema de Detecção de Intrusão baseado em Host/Sistema de Prevenção de Intrusão
baseado em Host, assim chamados por atuarem na detecção e prevenção de intrusões com base no
comportamento e no histórico do tráfego de dados do computador no qual está instalado.
- Mecanismos de controle de acesso de perímetro e detecção de intrusos baseados em
rede e em host
- Filtro de Pacotes
- Os primeiros firewalls usavam a filtragem de pacote somente para proteger a rede interna de usuários
externos. O firewall verificava o cabeçalho de cada pacote que entra na rede interna e tomava a decisão
de permitir ou bloquear o pacote baseado no IP usado e o numero da porta especificado no cabeçalho,
na parte de TCP ou UDP.
- Quando um Firewall ve um pacote saindo, ele sabe que uma resposta chegara em breve, e que deve
somente permitir a chegada dos pacotes esperados de resposta. Essa informação “lembrada” é
chamada de estado (state).
- Essa forma mais inteligente de filtragem de pacotes é chamada de filtragem de pacotes de estado
(stateful packet filtering).
- Mesmo com essa filtragem de pacotes de estado, a rede ainda possue algumas vulnerabilidades que
vale serem ressaltadas:
- Porém nenhum pacote passa por roteador ou firewall sem sofrer algumas modificações. Antes do
pacote tomar o seu caminho o roteador ou firewall reduz o valor da TTL (Time-To-Live) no cabeçalho em
pelo menos 1. Se o TTL, que o emissor provavelmente configurou como 128, atingir a marca de 0, o
pacote é descartado.
- Filtra informações dos cabeçalhos das
camadas 3 e 4 (rede e transporte)
-End. Origem / End. Destino - Porta
Origem / Porta Destino - Direção das
conexões
- UDP
- E um protocolo simples da camada de transporte
- O protocolo UDP não é confiável. Caso garantias sejam necessárias, é preciso implementar uma série
de estruturas de controle, tais como timeouts, retransmissões, acknowledgements, controle de fluxo,
etc.
- O UDP também fornece os serviços de broadcast e multicast, permitindo que um único cliente envie
pacotes para vários outros na rede.
- O UDP também fornece os serviços de broadcast e multicast, permitindo que um único cliente envie
pacotes para vários outros na rede.
- O protocolo UDP não é confiável. Caso garantias sejam necessárias, é preciso implementar uma série
de estruturas de controle, tais como timeouts, retransmissões, acknowledgements, controle de fluxo,
etc.
- E um protocolo simples da camada de transporte
- TCP
- O TCP é um protocolo de nível da camada de transporte (camada 4) do Modelo OSI e é sobre o qual que
se assentam a maioria das aplicações cibernéticas, como o SSH, FTP, HTTP
- TCP é um protocolo orientado à conexão e, portanto, inclui vários mecanismos para iniciar, manter e
encerrar a comunicação, negociar tamanhos de pacotes, detectar e corrigir erros, evitar
congestionamento do fluxo e permitir a retransmissão de pacotes corrompidos, independente da
qualidade do meio físicos.
- TCP é um protocolo orientado à conexão e, portanto, inclui vários mecanismos para iniciar, manter e
encerrar a comunicação, negociar tamanhos de pacotes, detectar e corrigir erros, evitar
congestionamento do fluxo e permitir a retransmissão de pacotes corrompidos, independente da
qualidade do meio físicos.
- O TCP é um protocolo de nível da camada de transporte (camada 4) do Modelo OSI e é sobre o qual que
se assentam a maioria das aplicações cibernéticas, como o SSH, FTP, HTTP
- ICMP
- é um protocolo integrante do Protocolo IP, definido pelo RFC 792, é utilizado para fornecer relatórios de
erros à fonte original.
- é um protocolo integrante do Protocolo IP, definido pelo RFC 792, é utilizado para fornecer relatórios de
erros à fonte original.
- UDP
- Filtra informações dos cabeçalhos das
camadas 3 e 4 (rede e transporte)
-End. Origem / End. Destino - Porta
Origem / Porta Destino - Direção das
conexões
- Porém nenhum pacote passa por roteador ou firewall sem sofrer algumas modificações. Antes do
pacote tomar o seu caminho o roteador ou firewall reduz o valor da TTL (Time-To-Live) no cabeçalho em
pelo menos 1. Se o TTL, que o emissor provavelmente configurou como 128, atingir a marca de 0, o
pacote é descartado.
- Mesmo com essa filtragem de pacotes de estado, a rede ainda possue algumas vulnerabilidades que
vale serem ressaltadas:
- Essa forma mais inteligente de filtragem de pacotes é chamada de filtragem de pacotes de estado
(stateful packet filtering).
- Quando um Firewall ve um pacote saindo, ele sabe que uma resposta chegara em breve, e que deve
somente permitir a chegada dos pacotes esperados de resposta. Essa informação “lembrada” é
chamada de estado (state).
- Os primeiros firewalls usavam a filtragem de pacote somente para proteger a rede interna de usuários
externos. O firewall verificava o cabeçalho de cada pacote que entra na rede interna e tomava a decisão
de permitir ou bloquear o pacote baseado no IP usado e o numero da porta especificado no cabeçalho,
na parte de TCP ou UDP.
- Filtro de Pacotes
Want to create your own Mind Maps for free with GoConqr? Learn more.