Aula 10:
Detecção de intrusão
O uso de Firewalls previne uma boa parte dos ataques contra redes e sistemas mas
se os ataques forem originados em uma máquina na prórpia Intranet, tal
mecanismo de proteção não seria suficiente. Outros tipos de ataques podem conseguir
ultrapassar a barreira armada.
A definição de Gerência de Segurança
no modêlo OSI contempla o Gerencimento de Eventos incluindo:
- Métodos para iniciar o relato de eventos relevantes à segurança
- Métodos para transporte de relatos de eventos
- Método para encerrar o relato de eventos
Neste sentido, uma abordagem necessária para o gerenciamento adequado da rede seria
a monitoração passiva, em pontos chaves, buscando indícios de ataques e gerando
alertas para a equipe de segurança. Estes procedimento podem ter caracter pró-ativo,
isto é identificar ações que usualmente precedem os reais ataques, tal como uma
tentativa de zone transfer de um DNS que é frequentemente sucedida de uma
varredura (scanning) para as máquinas registradas naquele servidor de DNS.
Existem atualmente no mercado algumas ferramentas de detecção de intrusão
que podem auxiliar nesta tarefa. Elas geram logs em formatos próprios e o intercâmbio
destes logs para intergação com outras ferramentas ou instituições que participem da
análise de incidentes de segurança, torna-se mais difícil.
Um
dos grupos de trabalho do IETF está trabalhando na definição de um formato de arquivos
para intercâmbio de dados sobre detecção de intrusão. Outros trabalhos buscam
no uso de SNMP e RMON a compatibilidade embora a baixa segurança do SNMP seja um
problema a ser contornado.
Esta problemática é o tema desta aula. Após o estudo da metodologia de trabalho em
detecção de intrusão a proposta é que seja feita uma análise da possibilidade de
usar SNMP, RMON e agentes com MIBS proprietárias para auxiliar na detecção de
intrusão.
Objetivos
-
Analisar as necessidades de sistemas de detecção de intrusão
e estudar a possibilidade de usar objetos gerenciados de agentes
SNMP e RMON genéricos ou de agentes SNMP com MIBs proprietárias
para monitorar indícios de ataques à segurança de
redes e sistemas
-
Acessar objetos gerenciados de um agente RMON buscando indícios
de ataques
-
Elaborar uma proposta de uso de objetos gerenciados para gerenciar
redes remotas no que tange a segurança/ deteção de intrusão
Referências
-
Uma
Introdução a Detecção de Intrusão: Metodologias
e Cenários - UFPE
-
New
Directions in Network Intrusion Detection (apresentação PPT
- em Inglês) - cópia local
-
Intrusion Detection
Hotlist - Univ. Purdue
-
Intrusion Detection
for Large Networks - UCDavis
-
Intrusion
detection exchange format - IETF
-
Building a Network
Monitoring and Analysis Capability
-
Intrusion Detection
Systems: Suspicious Finds
-
Tutorial sobre RMONe
RMON
II
-
Atividade
de laboratório sobre RMON (1997)
-
Network
Monitor and Analyzers
-
RFC1757 - RMON MIB
-
Gerenciamento
de segurança - UFRGS
-
Segurança
em TCP/IP - UFRGS
Atividades desta unidade
-
Registrar sua participação na atividade e se conhecer ou
encontrar outras referência apropriadas ao tema (detecção
de intrusão), informar.
-
Estudar o tema detecção de intrusão e buscar maneiras
de, usando os objetos gerenciados das MIBs II, RMON e de MIBs proprietárias,
possibilitar a gerência de segurança com vistas a detecção
de intrusão.
-
Usando um browser de MIB, obter amostras dos objetos selecionados e
elaborar um pequeno relato descrevendo o que iria fazer com estes objetos
gerenciados (quando buscar, como agregar/processar, que providências
tomar em decorrência dos resultados obtidos etc...)
-
As respostas devem ser uploaded em formato HTML (com as respectivas
figuras). O conjunto deve ser uploaded para o diretório gere9910,
usando o mecanismo de upload
. Cada conjunto de arquivos deve ser nomeado com seu nome e números
(exemplo:liane1.htm liane2.htm liane1.gif liane2.gif etc...)
-
Registrar no mural o nome do arquivo produzido
© 1998 Liane Tarouco