Aula 10: Detecção de intrusão

O uso de Firewalls previne uma boa parte dos ataques contra redes e sistemas mas se os ataques forem originados em uma máquina na prórpia Intranet, tal mecanismo de proteção não seria suficiente. Outros tipos de ataques podem conseguir ultrapassar a barreira armada.

A definição de Gerência de Segurança no modêlo OSI contempla o Gerencimento de Eventos incluindo:


Neste sentido, uma abordagem necessária para o gerenciamento adequado da rede seria a monitoração passiva, em pontos chaves, buscando indícios de ataques e gerando alertas para a equipe de segurança. Estes procedimento podem ter caracter pró-ativo, isto é identificar ações que usualmente precedem os reais ataques, tal como uma tentativa de zone transfer de um DNS que é frequentemente sucedida de uma varredura (scanning) para as máquinas registradas naquele servidor de DNS.

Existem atualmente no mercado algumas ferramentas de detecção de intrusão que podem auxiliar nesta tarefa. Elas geram logs em formatos próprios e o intercâmbio destes logs para intergação com outras ferramentas ou instituições que participem da análise de incidentes de segurança, torna-se mais difícil. Um dos grupos de trabalho do IETF está trabalhando na definição de um formato de arquivos para intercâmbio de dados sobre detecção de intrusão. Outros trabalhos buscam no uso de SNMP e RMON a compatibilidade embora a baixa segurança do SNMP seja um problema a ser contornado.

Esta problemática é o tema desta aula. Após o estudo da metodologia de trabalho em detecção de intrusão a proposta é que seja feita uma análise da possibilidade de usar SNMP, RMON e agentes com MIBS proprietárias para auxiliar na detecção de intrusão.

Objetivos


Referências

  1. Uma Introdução a Detecção de Intrusão: Metodologias e Cenários -  UFPE
  2. New Directions in Network Intrusion Detection (apresentação PPT - em Inglês) - cópia local
  3. Intrusion Detection Hotlist - Univ. Purdue
  4. Intrusion Detection for Large Networks - UCDavis
  5. Intrusion detection exchange format - IETF
  6. Building a Network Monitoring and Analysis Capability
  7. Intrusion Detection Systems: Suspicious Finds
  8. Tutorial sobre RMONe RMON II
  9. Atividade de laboratório sobre RMON (1997)
  10. Network Monitor and Analyzers
  11. RFC1757 - RMON MIB
  12. Gerenciamento de segurança - UFRGS
  13. Segurança em TCP/IP - UFRGS

Atividades desta unidade

  1. Registrar sua participação na atividade e se conhecer ou encontrar outras referência apropriadas ao tema (detecção de intrusão), informar.
  2. Estudar o tema detecção de intrusão e buscar maneiras de, usando os objetos gerenciados das MIBs II, RMON e de MIBs proprietárias, possibilitar a gerência de segurança com vistas a detecção de intrusão.
  3. Usando um browser de MIB, obter amostras dos objetos selecionados e elaborar um pequeno relato descrevendo o que iria fazer com estes objetos gerenciados (quando buscar, como agregar/processar, que providências tomar em decorrência dos resultados obtidos etc...)
  4. As respostas devem ser uploaded em formato HTML (com as respectivas figuras). O conjunto deve ser uploaded para o diretório gere9910, usando o mecanismo de upload . Cada conjunto de arquivos deve ser nomeado com seu nome e números (exemplo:liane1.htm liane2.htm liane1.gif liane2.gif etc...)
  5. Registrar no mural o nome do arquivo produzido mural


 

Alunos registrados na aula 10

Mural 10- relato sobre uso de SNMP e RMON para monitoração de redes remotas no que tange a detecção de intrusão

© 1998 Liane Tarouco