GSeg
UFRGS XIX Simpósio Brasileiro de Redes de Computadores
Sistemas de Detecção de
Intrusão
Rafael Campello e Raul Weber
UFRGS – II – PPGC – GSeg
Centro Universitário Franciscano
Florianópolis, 23 Maio de 2001

GSeg
UFRGS
GSeg
UFRGS
♦ Grupo de Segurança da UFRGS
♦ Pesquisas
– Sistemas de Detecção de Intrusão (IDS)
– Controle de Integridade de Arquivos
– Injeção de Falhas (TCP/IP)
– Votação Eletrônica
– Dinheiro Digital
Grupo de Segurança - UFRGS 2

GSeg
UFRGS
Objetivos do Curso
♦ Apresentar os princípios de um sistema de
detecção de intrusão e seu uso como
mecanismo de tolerância a falhas de
segurança
♦ Abordar aspectos conceituais
♦ Tecer algumas considerações práticas
Grupo de Segurança - UFRGS 3

GSeg
UFRGS
Público Alvo
♦ Estudantes de computação ou engenharia
– noções de redes de computadores
– noções de sistemas operacionais
♦ Profissionais ligados à administração ou à
gerência de segurança em redes de
computadores
Grupo de Segurança - UFRGS 4

GSeg
UFRGS
Programa
♦ Fundamentos de segurança
♦ Sistemas de Detecção de Intrusão (IDSs)
♦ Exemplos de IDSs
♦ Considerações práticas
Grupo de Segurança - UFRGS 5

GSeg
UFRGS
Fundamentos de Segurança
♦ Conceitos básicos
♦ Ameaças e ataques
♦ Mecanismos de proteção
Grupo de Segurança - UFRGS 6

GSeg
UFRGS
Sistemas de Detecção de Intrusão
♦ Conceitos básicos
♦ Métodos de detecção de intrusão
♦ Arquiteturas de IDS
Grupo de Segurança - UFRGS 7

GSeg
UFRGS
Exemplos de IDSs
♦ Snort
♦ Bro
♦ AAFID
♦ EMERALD
♦ RealSecure
♦ NFR
Grupo de Segurança - UFRGS 8

GSeg
UFRGS
Considerações Práticas
♦ Seleção e implementação
♦ Vulnerabilidades conhecidas
♦ Aspectos legais
Grupo de Segurança - UFRGS 9

GSeg
UFRGS
Cronograma
♦ Fundamentos de segurança
coffee-break (10h30min – 11h)
♦ Sistemas de Detecção de Intrusão
almoço (13h – 14h)
♦ Exemplos de IDS
♦ Considerações práticas
Grupo de Segurança - UFRGS 10

GSeg
UFRGS
Regra número 1
FAÇA PERGUNTAS DURANTE A
APRESENTAÇÃO !!!
Grupo de Segurança - UFRGS 11

GSeg
UFRGS
Fundamentos de Segurança

GSeg
UFRGS
Segurança: introdução
♦ Não começou como ciência nem como arte,
mas como um instinto
♦ Maior interesse do homem, durante a sua
história
– segurança própria, da família, dos bens, etc
♦ Matéria de sobrevivência
– criada naturalmente p/ garantir a sobrevivência
das espécies
Grupo de Segurança - UFRGS 13

GSeg
UFRGS
Segurança: introdução
♦ A vida seria melhor sem essas
preocupações
– tranqüilidade/felicidade de décadas atrás
♦ Paradoxo:
– busca-se algo que não é desejado
♦ Principal motivo do descaso e do
despreparo
Grupo de Segurança - UFRGS 14

GSeg
UFRGS
Segurança: introdução
♦ Atitude mais cômoda e barata:
– torcer para que nada aconteça
– semelhante a esperar que sua casa não seja
roubada
♦ Atitude correta:
– cercar-se de cuidados
– preparar-se para lidar com os problemas
– analogia: colocar um alarme e fazer um seguro
da casa
Grupo de Segurança - UFRGS 15

GSeg
UFRGS
Segurança: introdução
♦ Por que ser negligente?
– segurança é custo
– segurança é perda na facilidade de uso
– valor da informação, da reputação e dos
serviços da organização não são levados em
consideração
♦ Em suma:
– custos com importância maximizada...
– ...em detrimento de valores mais importantes
Grupo de Segurança - UFRGS 16

GSeg
UFRGS
Segurança: evolução
♦ Estímulo para o desenvolvimento do
computador eletrônico
♦ Década de 40
– Colossus (Primeiro Computador Eletrônico)
• Decifrar as mensagens na 2º Guerra Mundial
Grupo de Segurança - UFRGS 17

GSeg
UFRGS
Segurança: evolução
♦ Fim da guerra: preocupações com
segurança focadas em problemas físicos
♦ Computadores não possibilitavam o acesso
direto a seus usuários
– Inviabiliza qualquer tipo de ação contra sua
segurança.
Grupo de Segurança - UFRGS 18

GSeg
UFRGS
Segurança: evolução
♦ Novas ameaças
– máquinas com acesso compartilhado (time-
sharing)
– Teleprocessamento
– Computadores pessoais
– Redes
Grupo de Segurança - UFRGS 19

GSeg
UFRGS
Ameaças: exemplos
♦ Destruição de informação ou de outro
recurso
♦ Modificação ou deturpação da informação
♦ Roubo, remoção ou perda de informação
♦ Revelação de informação
♦ Interrupção de serviços
Grupo de Segurança - UFRGS 20

GSeg
UFRGS
Atacantes
♦ Hacker/Cracker
♦ Script Kid, One-click hacker
♦ Espião
♦ Terrorista
Mitnick
♦ Atacante corporativo
♦ Vândalo
♦ Voyeur
Bart Simpson
Grupo de Segurança - UFRGS 21

GSeg
UFRGS
Ameaças: evolução
♦ Década de 80 - ataques individuais e
isolados
– Escolha de boas senhas
– Prevenir o compartilhamento indiscriminado
– Eliminar os bugs de segurança de programas
Grupo de Segurança - UFRGS 22

GSeg
UFRGS
Ameaças: evolução
♦ Década de 90 - ataques sofisticados
– Sniffers capturam senhas e outras informações
– Computadores são confundidos por IP
spoofing
– Sessões são desviadas através de connection
hijacking
– Dados são comprometidos via data spoofing
– Atacantes na maioria amadores (One-click
hacker, Script Kid)
Grupo de Segurança - UFRGS 23

GSeg
UFRGS
Segurança: conceitos
♦ Tentativa de minimizar a vulnerabilidade
de bens e recursos
♦ Mais abrangente: dotar os sistemas de:
– confiabilidade – integridade
– disponibilidade – autenticidade
– privacidade
Grupo de Segurança - UFRGS 24

GSeg
UFRGS
Segurança: conceitos
♦ O que se quer proteger?
– confiabilidade
– disponibilidade
– integridade
– privacidade
– autenticidade
Grupo de Segurança - UFRGS 25

GSeg
UFRGS
Segurança: conceitos
Permanentes
Confiabilidade
.
.
Atributos .
Físicas Disponibilidade
Intermitentes
Temporárias
Transitórias
Dependability
Falhas
Prevenção Detecção de erros
de falhas Confinamento e
DeProjeto
realização
Tolerância a avaliação de danos
falhas Recuperação de erros
Humanas
Meios
Tratamento de
Remoção de
Intencionais falhas
falhas
DeInteração
validação
Previsão de
Não intencionais
falhas
Grupo de Segurança - UFRGS 26

GSeg
UFRGS
Segurança: conceitos
♦ Validação
– remoção de falhas
– previsão de falhas
♦ Prevenção de falhas
♦ Tolerância a falhas
– detecção de erros
– confinamento e avaliação de danos
– recuperação de erros
– tratamento de falhas
Grupo de Segurança - UFRGS 27

GSeg
UFRGS
Segurança: conceitos
♦ Prevenção de falhas
– ex.: firewalls, criptografia, etc
♦ Detecção de falhas
– ex.: sistemas de detecção de intrusão
♦ Resposta
– ex.: reconfiguração de um firewall
Grupo de Segurança - UFRGS 28

GSeg
UFRGS
Exemplo 1: propriedade privada
♦ Prevenção
– trancas em portas, grades nas janelas, muros
ao redor da propriedade
♦ Detecção
– perceber o desaparecimento de algum objeto,
usar alarmes e circuitos de TV
♦ Reação
– chamar a polícia, reaver objetos roubados,
acionar o seguro
Grupo de Segurança - UFRGS 29

GSeg
UFRGS
Exemplo 2: redes
♦ Prevenção
– gerenciamento adequado, firewalls, proxies
♦ Detecção
– perceber anomalias no tráfego ou interrupção
de serviços, auditoria, IDS
♦ Reação
– relatar o incidente, reinstalar softwares,
redefinir políticas de segurança, demitir o
responsável
Grupo de Segurança - UFRGS 30

GSeg
UFRGS
Segurança: conceitos
♦ Ameaça
♦ Incidente
– atacante → ataque → objetivo
♦ Ataque
– ferramenta → vulnerabilidade → evento →
resultado não autorizado
♦ Evento
– ação → alvo
Grupo de Segurança - UFRGS 31

GSeg
UFRGS
Segurança: conceitos incidente
ataque(s)
evento
Atacantes Ferramenta Vulnerabilidade Ação Alvo Resultado ñ Objetivos
Autorizado
Hacker Ataque Projeto Probe Conta Acesso Desafio,
físico Ampliado status
Espião Troca de Implementação Varredura Processo Revelação de Ganho
Informação Informação Político
Terrorista Comando Configuração Flood Dado Informação Ganho
de Usuário Corrompida Financeiro
Atacante Script ou Autenticação Componente Negação de Dano
Corporativo Programa Serviço
Criminoso Agente Desvio Computador Roubo de
Profissional Autônomo Recursos
Vândalo Toolkit Spoof Rede
Voyeur Ferramenta Leitura Inter-rede
Distribuída
Interceptaçã Cópia
o de dados
Roubo
Modificação
Destruição
Grupo de Segurança - UFRGS 32

GSeg
UFRGS
Principais Ataques
♦ Engenharia social
♦ Coleta de informação
♦ Varredura
♦ Negação de serviço (DoS)
♦ Exploração de bugs
♦ Exploração de protocolos
♦ Sniffers
♦ Ataque do dicionário
♦ Código malicioso
Grupo de Segurança - UFRGS 33

GSeg
UFRGS
Engenharia Social
♦ Método: enganar as vítimas, por conversa,
telefone ou correio eletrônico
♦ Objetivos:
– obter informações valiosas
– obter privilégios
– convencer a vítima a executar ações indevidas
e perigosas
Grupo de Segurança - UFRGS 34

GSeg
UFRGS
Engenharia Social
♦ Prevenção: educação e conscientização
– não fornecer informações a estranhos
– exigir identificação
– escolher boas senhas
– não executar ações sem pensar (como executar
um programa anexo à uma mensagem)
Grupo de Segurança - UFRGS 35

GSeg
UFRGS
Coleta de Informação
♦ Informações úteis (ao atacante)
– domínio e servidores (whois e nslookup)
– números IP (nslookup e traceroute)
– arquitetura das máquinas (CPU, sistema
operacional)
– servidores (versões e plataforma)
– serviços de proteção (firewall, VPNs, ACL)
– acesso remoto (telefones, usuários
autorizados)
– usuários (nomes, cargos, funções)
Grupo de Segurança - UFRGS 36

GSeg
UFRGS
Coleta de Informação
♦ Problema: algumas informações devem ser
públicas
♦ Prevenção: evitar o fornecimento de informação
desnecessária
♦ Toda a informação vital para operação deve ser
obviamente fornecida, mas qualquer informação
adicional deve ser suprimida
Grupo de Segurança - UFRGS 37

GSeg
UFRGS
Varredura (Scanning)
♦ Teste sistemático dos números IP de uma
organização
♦ Determinação dos serviços estão ativos
(quais portas estão escutando)
♦ Prevenção: limitar o tráfego desnecessário
(filtro de pacotes ou firewall)
Grupo de Segurança - UFRGS 38

GSeg
UFRGS
Negação de Serviço
♦ DoS ou denial-of-service
♦ Objetivo: impedir o uso legítimo do
sistema, ou “derrubar” a máquina
♦ Inúmeras formas
– ping of death
– syn flood
– smurf attack
– UDP flood
Grupo de Segurança - UFRGS 39

GSeg
UFRGS
Negação de Serviço
♦ Impedir DoS é quase impossível
♦ Distribuir os serviços para a maioria
permanecer operacional
♦ Manter-se atualizado sobre as
vulnerabilidades apresentadas pela versão
atual do sistema
Grupo de Segurança - UFRGS 40

GSeg
UFRGS
Exploração de bugs
♦ Explorar “furos” de implementação para
obter privilégios
♦ Prevenção (em programas próprios)
– boas práticas de engenharia de software
– verificar erros comuns (estouros de buffers)
– verificar as entradas
– lei do menor privilégio
Grupo de Segurança - UFRGS 41

GSeg
UFRGS
Buffer Overflow
endend func 2
da do buf end da func 1
buf
evil_assembly_code() c, d a, b
func_3() func_2() func_1()
{ { {
char buf[100]; int c, d; int a, b;
read_user_input(buf); func_3(); func_2();
} } }
Grupo de Segurança - UFRGS 42

GSeg
UFRGS
Exploração de bugs
♦ Prevenção (em programas de terceiros)
– verificar vulnerabilidades conhecidas
– aplicar os patches disponíveis
– manter-se informado e atualizado
♦ Nenhum sistema é seguro
♦ Nenhum patch é perfeito
♦ Mas a maioria dos atacantes só sabe
explorar bugs, e não criá-los
Grupo de Segurança - UFRGS 43

GSeg
UFRGS
Exploração de Protocolos
♦ Muitos são derivados de falhas no
mecanismo de autenticação
– IP spoofing: utilizar um endereço IP confiável
– DNS spoofing: subverter o servidor de nomes
– Source Routing: utilizar os mecanismos de
roteamento
– Ataque RIP: enviar informações de
roteamento falsas
– Ataque ICMP: explorar msgs como redirect e
destination unreachable
Grupo de Segurança - UFRGS 44

GSeg
UFRGS
Sniffer
♦ sniffing - interface de rede que opera modo
promíscuo, capturando todos os pacotes
♦ É fácil para um programa sniffer obter
username e password dos usuários
♦ Utilização de sniffer é difícil de ser
detectada
Grupo de Segurança - UFRGS 45

GSeg
UFRGS
Ataque do Dicionário
♦ Um dos arquivos mais cobiçados por
atacantes é o de senhas
– Unix: /etc/passwd
– Windows: *.pwl
– Windows NT: SAM
♦ Senhas cifradas
Grupo de Segurança - UFRGS 46

GSeg
UFRGS
Ataque do Dicionário
♦ Pessoas utilizam senhas facilmente
memorizáveis, como nomes próprios ou
palavras de uso corriqueiro
♦ Atacante compõe um dicionário e
experimenta todas as palavras deste
dicionário contra a cifra armazenada no
arquivo de senhas
Grupo de Segurança - UFRGS 47

GSeg
UFRGS
Ataque do Dicionário
♦ Vários programas disponíveis (Crack, etc)
♦ Ação preventiva: atacar o próprio arquivo de
senhas
♦ Não utilizar senhas derivadas de palavras e
nomes
♦ Utilizar letras iniciais de frases ou palavras com
erros
Grupo de Segurança - UFRGS 48

GSeg
UFRGS
Código Malicioso
♦ Cavalos de Tróia (não se propagam)
– falsa tela de Login
– falsa Operação
♦ Vírus
♦ Backdoors
♦ Controle Remoto (Netbus, Back Orifice)
Grupo de Segurança - UFRGS 49

GSeg
UFRGS
Código Malicioso
♦ Prevenção: Monitores
♦ Impossível tratamento exato e confiável
♦ Manter anti-vírus atualizado
♦ Preparar procedimento de emergência
Grupo de Segurança - UFRGS 50

GSeg
UFRGS
Segurança: tipos
♦ Nenhuma segurança
♦ Segurança por obscuridade
♦ Segurança baseada em máquina
♦ Segurança baseada em rede
♦ Combinação de mecanismos
Grupo de Segurança - UFRGS 51

GSeg
UFRGS
Segurança: estratégias
♦ Atribuir privilégios mínimos
♦ Criar redundância de mecanismos
♦ Criar ponto único de acesso
♦ Determinar os pontos mais fracos
♦ Tornar o sistema livre de falhas (fail-safe)
♦ Incentivar a participação universal
♦ Investir na diversidade de defesa
♦ Prezar a simplicidade
Grupo de Segurança - UFRGS 52

GSeg
UFRGS
Segurança: posturas
♦ Postura padrão de negação (prudente)
– especificar o que é permitido
– proibir o resto
♦ Postura padrão de permissão (permissiva)
– especificar o que é proibido
– permitir o resto
Grupo de Segurança - UFRGS 53

GSeg
UFRGS
Medidas de segurança
♦ O que se está querendo proteger?
♦ O que é preciso para proteger?
♦ Qual a probabilidade de um ataque?
♦ Qual o prejuízo se o ataque for bem
sucedido?
♦ Implementar procedimentos de segurança
irá ser vantajoso no ponto de vista custo-
benefício?
Grupo de Segurança - UFRGS 54

GSeg
UFRGS
Política de segurança
♦ Conjunto de leis regras e práticas que
regulam (informações e recursos):
– como gerenciar
– como proteger
– como distribuir
♦ Sistema seguro = sistema que garante o
cumprimento da política de segurança
traçada
Grupo de Segurança - UFRGS 55

GSeg
UFRGS
Política de segurança
♦ Define o que é e o que não é permitido no
sistema
♦ Define o comportamento autorizado para
os indivíduos que interagem com o sistema
Grupo de Segurança - UFRGS 56

GSeg
UFRGS
Mecanismos para segurança
♦ Wrappers
♦ Firewalls
♦ Criptografia
♦ Redes Privadas (VPNs)
♦ Ferramentas de verificação
Grupo de Segurança - UFRGS 57

GSeg
UFRGS
Wrapers
♦ TCP Wrappers são um conjunto de
programas que “encapsulam” os daemons
dos serviços de rede visando aumentar sua
segurança
♦ Funcionam como um filtro e estendem o
serviço original
Grupo de Segurança - UFRGS 58

GSeg
UFRGS
Wrapers
♦ O wrapper não pode ser considerado uma
ferramenta para segurança total
♦ Visa suprir deficiências dos servidores
atuais e aumentar o controle sobre sua
utilização
♦ Ótima ferramenta para registro (log)
Grupo de Segurança - UFRGS 59

GSeg
UFRGS
Firewalls
♦ Conjunto de componentes colocados entre
duas redes e que coletivamente
implementam uma barreira de segurança
♦ Finalidade
– retardar os efeitos de um ataque até que
medidas administrativas contrárias sejam
executadas
Grupo de Segurança - UFRGS 60

GSeg
UFRGS
Firewalls
♦ Objetivo básico
– defender a organização de ataques externos
♦ Efeito secundário
– pode ser utilizado para regular o uso de
recursos externos pelos usuários internos
Grupo de Segurança - UFRGS 61

GSeg
UFRGS
Firewalls
Internet
DMZ Rede interna
Grupo de Segurança - UFRGS 62

GSeg
UFRGS
Firewalls
♦ Pode ser implementado utilizando dois
mecanismos básicos:
– filtragem de pacotes
• análise dos pacotes que passam pelo firewall
– servidores proxy
• análise dos serviços sendo utilizados
Grupo de Segurança - UFRGS 63

GSeg
UFRGS
Criptografia
♦ Não existe sistema absolutamente seguro
♦ Toda criptografia pode ser “quebrada”
♦ Complexidade temporal
♦ Complexidade econômica
♦ Segurança “computacional”
Grupo de Segurança - UFRGS 64

GSeg
UFRGS
Criptografia de chave única
Alice Bob
Única Única
Esta mensagem é fsdfsdgfdghdgkdhf fsdfsdgfdghdgkdhf Esta mensagem é
secreta, pois gkdshgksdfghkdsh gkdshgksdfghkdsh secreta, pois
contém dados da gfksdfghkfdsgiuer gfksdfghkfdsgiuer contém dados da
mais alta bdhbkdbskfbhkbsl bdhbkdbskfbhkbsl mais alta
importância para dbhdfskbhdksfbhk dbhdfskbhdksfbhk importância para
a nossa empresa. dbhdbfkhsdkbhdfk dbhdbfkhsdkbhdfk a nossa empresa.
DECIFRAGEM TRANSMISSÃO CIFRAGEM
Grupo de Segurança - UFRGS 65

GSeg
UFRGS
Criptografia de chave única
♦ Única chave para cifragem e decifragem
♦ Substituição, permutação, operações
algébricas
♦ Alta velocidade
♦ Problemas na distribuição de chaves
Grupo de Segurança - UFRGS 66

GSeg
UFRGS
Criptografia de chave pública
Alice Bob
Pub Priv Pub
Esta mensagem é fsdfsdgfdghdgkdhf fsdfsdgfdghdgkdhf Esta mensagem é
secreta, pois gkdshgksdfghkdsh gkdshgksdfghkdsh secreta, pois
contém dados da gfksdfghkfdsgiuer gfksdfghkfdsgiuer contém dados da
mais alta bdhbkdbskfbhkbsl bdhbkdbskfbhkbsl mais alta
importância para dbhdfskbhdksfbhk dbhdfskbhdksfbhk importância para
a nossa empresa. dbhdbfkhsdkbhdfk dbhdbfkhsdkbhdfk a nossa empresa.
DECIFRAGEM TRANSMISSÃO CIFRAGEM
Grupo de Segurança - UFRGS 67

GSeg
UFRGS
Criptografia de chave pública
♦ Duas chaves: uma pública e outra secreta
♦ Cifragem com uma chave somente é
decifrada com a outra chave
Grupo de Segurança - UFRGS 68

GSeg
UFRGS
Criptografia de chave pública
♦ Privacidade: cifrar com chave pública;
somente chave secreta pode decifrar
♦ Assinatura: cifrar com chave secreta; chave
pública decifra e identifica usuário
Grupo de Segurança - UFRGS 69

GSeg
UFRGS
Criptografia + Assinatura
Alice Bob
Pub Pub Priv Pub Pub Priv
Fsdjfljgljdlgjdlgjldgjld Fsdjfljgljdlgjdlgjldgjld
Esta mensagem é jgldjgldjfgljdfljlvbkjn; jgldjgldjfgljdfljlvbkjn; Esta mensagem é
secreta, pois x923q8508hugdkbn x923q8508hugdkbn secreta, pois
contém dados da msbn5y9[6590mnkp msbn5y9[6590mnkp contém dados da
mais alta mjfw44n50b0okythp; mjfw44n50b0okythp; mais alta
importância para jguent039oktrpgerjh jguent039oktrpgerjh importância para
a nossa empresa. gwunpt058bngnwug0 gwunpt058bngnwug0 a nossa empresa.
9u6buyhjoireueyu84 9u6buyhjoireueyu84
8ybnuyue98 8ybnuyue98
4932uvf9vbd8bbfgbfg
h25c924fed23 4932uvf9vbd8bbfgbfg
h25c924fed23
Grupo de Segurança - UFRGS 70

GSeg
UFRGS
Criptografia de chave pública
♦ Operação: funções aritméticas complexas
♦ Baixa velocidade, fácil distribuição de
chaves
♦ Exemplos: RSA, DSS, DH, El Gamal (512
a 2048 bits)
Grupo de Segurança - UFRGS 71

GSeg
UFRGS
Ferramentas de Análise
♦ COPS (Computer Oracle and Password
Program)
♦ SATAN (Security Analysis Tool for
Auditing Network)
♦ ISS (Internet Security Scanner)
♦ SAINT (Security Administrator’s
Integrated Network Tool)
♦ Nessus (um dos mais atuais)
Grupo de Segurança - UFRGS 72

GSeg
UFRGS
Verificadores de Integridade
♦ Verificar se arquivos e configurações
permanecem inalterados
♦ Compara a situação atual com a situação inicial
♦ Utiliza funções de checksum e hash
♦ Hash a nível criptográfico: MD5, SHA
♦ Exemplo: Tripwire, Soffic (UFRGS)
Grupo de Segurança - UFRGS 73

GSeg
UFRGS
Verificadores de Senhas
♦ Verificar se uma senha pode ser “quebrada”
– Exemplo: Crack
♦ Verificar se uma senha é “fácil”
– Exemplos: npasswd, passwd+
Grupo de Segurança - UFRGS 74

GSeg
UFRGS
Analisadores de Logs
♦ Facilitar a análise de arquivos de logs
♦ Realizar logs mais detalhados (além de um grep)
♦ Exemplos:
– Swatch (Simple Watcher)
– Netlog
– LogSurfer
Grupo de Segurança - UFRGS 75

GSeg
UFRGS
Segurança (resumindo)
♦ Segurança é um atributo negativo
– é fácil detectar pontos inseguros
– é difícil (impossível ?!?) provar segurança
♦ Segurança por obscuridade não é
segurança
– não adianta se esconder
– não adianta ser otimista
– esteja preparado
Grupo de Segurança - UFRGS 76

GSeg
UFRGS
Segurança (resumindo)
♦ Segurança é um atributo global
– envolve vários componentes do sistema
– envolve vários mecanismos
– analogia: poucos confiam apenas nas trancas
de seus carros
♦ Falsa sensação de segurança pode ser pior
do que a falta de cuidados
Grupo de Segurança - UFRGS 77

GSeg
UFRGS
Sistemas de Detecção de
Intrusão

GSeg
UFRGS
Sistemas de Detecção de Intrusão
♦ Número crescente de ataques/incidentes
25000
21756
♦20000
Complexidade crescente
Incidentes Reportados
15000
♦10000
Ferramentas de ataque cada vez mais
9859
eficientes 3734
5000
2340 2412 2573 2134
1334
132 252 406 773
0
♦ Tempos de recuperação proibitivos
89
90
91
92
93
94
95
96
97
98
99
00
19
19
19
19
19
19
19
19
19
19
19
20
Grupo de Segurança - UFRGS 79

GSeg
UFRGS
Sistemas de Detecção de Intrusão
♦ Prevenção não é suficiente
♦ Importância da diversidade de defesa
♦ Solução: Detecção de Intrusão
– garantir comportamento livre de falhas
Grupo de Segurança - UFRGS 80

GSeg
UFRGS
Sistemas de Detecção de Intrusão
♦ Detecção de intrusão:
– tarefa de coletar e analisar eventos, buscando
sinais de intrusão e de mau-uso
♦ Intrusão:
– uso inapropriado de um sistema de informação
– ações tomadas para comprometer a
privacidade, integridade ou a disponibilidade
Grupo de Segurança - UFRGS 81

GSeg
UFRGS
Sistemas de Detecção de Intrusão
♦ Detecção de intrusão X detecção de ataque
– intrusão: ação já concretizada
– ataque: ação maliciosa que gera um resultado
não autorizado
♦ Reação?
Grupo de Segurança - UFRGS 82

GSeg
UFRGS
IDS X Auditoria
♦ Ferramentas de auditoria
– prevenção
– confinamento e avaliação de danos
– tratamento de falhas
– Analogia: consultores e/ou peritos criminais
♦ IDSs
– detecção
– analogia: vigia noturno
Grupo de Segurança - UFRGS 83

GSeg
UFRGS
IDS: classificação
♦ Segundo os métodos de detecção usados
♦ Segundo a arquitetura adotada
– alvo
– localização
Grupo de Segurança - UFRGS 84

GSeg
UFRGS
IDS: classificação
♦ Segundo o método de detecção
– baseado em comportamento
– baseado em assinaturas
♦ Segundo a arquitetura
– alvo – localização
• baseado em rede • centralizado
• baseado em host • hierárquico
• híbrido • distribuído
Grupo de Segurança - UFRGS 85

GSeg
UFRGS
IDS: classificação
Baseado em
Método de Comportamento
Detecção Baseado em Rede
Baseado em
Assinaturas
Baseado em Host
Segundo o alvo Híbrido
Arquitetura
Segundo a Centralizado
IDS localização
Hierárquico
Passivo
Distribuído
Comportam.
pós-detecção
Ativo
Monitoramento
Freqüência de contínuo
uso
Análise periódica
Grupo de Segurança - UFRGS 86

GSeg
UFRGS
IDS: histórico
♦ Conceito surgido no início dos anos 80
♦ 1ª Geração
– registros de auditoria eram processados offline
– surgimento dos métodos baseados em
comportamento e em assinaturas
♦ 2ª Geração
– processamento estatisticamente + sofisticado
– mais medidas de comportamento monitoradas
– alertas em “tempo real” tornaram-se possíveis
Grupo de Segurança - UFRGS 87

GSeg
UFRGS
IDS: histórico
♦ 3ª Geração
– uso dos conceitos anteriores para sistemas em
rede/sistemas distribuídos
– uso de novas técnicas para detecção (sistemas
especialistas, redes neurais, data mining, etc)
– surgimento dos primeiros IDSs comerciais
Grupo de Segurança - UFRGS 88

GSeg
UFRGS
IDS: estrutura
♦ Componentes funcionalmente semelhantes
– independente da arquitetura/método adotados
♦ Muitas vezes agrupados
♦ Modularidade importante na aplicação e no
desenvolvimento de novos IDS
Grupo de Segurança - UFRGS 89

GSeg
UFRGS
IDS: componentes
♦ Geradores de eventos
♦ Analisadores de eventos
♦ Bases de dados de eventos
♦ Unidades de resposta
Grupo de Segurança - UFRGS 90

GSeg
UFRGS
IDS: padronização
♦ CIDF (Common Intrusion Detection
Framework)
♦ IDWG (Intrusion Detection Working
Group)
Grupo de Segurança - UFRGS 91

GSeg
UFRGS
IDS: IDWG
Origem dos Operador
Dados Atividade
IDS Notificação
Sensor
Evento Resposta
Analisador
Política de Alerta
Segurança
Administrador Gerente
Grupo de Segurança - UFRGS 92

GSeg
UFRGS
IDS: métodos de detecção
♦ Responsáveis diretos na busca por indícios
de intrusão
♦ Dois grandes grupos:
– técnicas baseadas em comportamento
– técnicas baseadas em assinaturas
Grupo de Segurança - UFRGS 93

GSeg
UFRGS
IDS: baseado em comportamento
♦ Detecção por anomalia
♦ Caracteriza o comportamento do sistema
em normal e anômalo
♦ Habilidade de distinguir o comportamento
normal de um anômalo
Anômalo Normal
Intrusão Comportamento
Normal
Grupo de Segurança - UFRGS 94

GSeg
UFRGS
IDS: baseado em comportamento
♦ Compara o estado atual do sistema com o
comportamento considerado normal
♦ Desvios são considerados intrusões
♦ Ex.: conexões externas em horários
incomuns, padrão de digitação
♦ Outros exemplos ???
Grupo de Segurança - UFRGS 95

GSeg
UFRGS
IDS: baseado em assinaturas
♦ Também chamada de detecção por mau uso
♦ Divide as ações do sistema em aceitáveis e
não aceitáveis
♦ Habilidade de encontrar tentativas de
exploração de vulnerabilidades conhecidas
Não aceitável Aceitável
Intrusão Ação
Normal
Grupo de Segurança - UFRGS 96

GSeg
UFRGS
IDS: baseado em assinaturas
♦ Compara as ações realizadas no sistema
com uma base de assinaturas de ataques
♦ Ex.: cópia do arquivo de senhas
(/etc/passwd)
♦ Outros exemplos ???
Grupo de Segurança - UFRGS 97

GSeg
UFRGS
IDS: arquiteturas
♦ Diretamente ligado ao desempenho
♦ Segundo o alvo
– baseado em rede
– baseado em host
– híbrido
♦ Segundo a localização
– centralizado
– hierárquico
– distribuído
Grupo de Segurança - UFRGS 98

GSeg
UFRGS
IDS: rede
♦ Dados analisados são retirados da rede
♦ Detecção de ataques relacionados ao
tráfego de rede
♦ Ex: captura de pacotes, estatísticas de
tráfego
♦ Outros exemplos ???
Grupo de Segurança - UFRGS 99

GSeg
UFRGS
IDS: host
♦ Dados obtidos na própria máquina
♦ Detecção de ataques relacionados a ações
locais
♦ Ex: trilhas de auditoria, cópias de arquivos
♦ IDSs baseados em aplicação: outra classe
Grupo de Segurança - UFRGS 100

GSeg
UFRGS
IDS: níveis
IDS baseado em aplicação
Nível de
abstração IDS baseado em host
IDS baseado em rede
Grupo de Segurança - UFRGS 101

GSeg
UFRGS
IDS: centralizado
♦ Função como coleta, análise e gerência em
um único componente
Máquina A
Gerente
Máquina B Máquina C
Analisador
Gerente Coletor Gerente
Analisador Analisador
Coletor Coletor
Grupo de Segurança - UFRGS 102

GSeg
UFRGS
IDS: hierárquico
♦ Funções distribuídas mas com fortes
relações de hierarquia Máquina A
Gerente
Máquina B
Analisador
Coletor Coletor Coletor
Máquina C Máquina D Máquina E
Grupo de Segurança - UFRGS 103

GSeg
UFRGS
IDS: distribuído
♦ Funções livremente distribuídas
Máquina A
Gerente
Máquina B
Analisador
Analisador Coletor Coletor
Máquina C Máquina D Máquina E
Grupo de Segurança - UFRGS 104

GSeg
UFRGS
Métodos de Detecção

GSeg
UFRGS
Métodos Tradicionais
♦ Busca “manual” por indícios de intrusão
♦ Realizada há bastante tempo (empírica)
♦ Técnicas de auditoria de sistemas
♦ Técnicas de gerência de redes
Grupo de Segurança - UFRGS 106

GSeg
UFRGS
Métodos Tradicionais
♦ Análise de trilhas de auditoria
– registrar principais eventos
– selecionar eventos importantes
– buscar por indícios de intrusão (offline)
♦ Problemas
– manipulação de grandes qtdes de informação
– tamanho das trilhas (armazenamento)
– dificuldade de correlação de eventos
Grupo de Segurança - UFRGS 107

GSeg
UFRGS
Métodos Tradicionais
♦ Análise de dados de gerência de redes
– uso de padrões como SNMP e RMON
– captura de pacotes (TCPdump, Ethereal)
– buscar por indícios de intrusão (tráfego
estranho, pacotes mau formados)
♦ Problemas
– manipulação de grandes qtdes de informação
– grande experiência em redes
– baixa eficiência
Grupo de Segurança - UFRGS 108

GSeg
UFRGS
Análise por assinaturas
♦ Método muito utilizado
♦ Dificuldade: correlacionar dados coletados
com as assinaturas existentes
♦ Principais técnicas:
– Filtros de pacotes
– Sistemas especialistas
– Redes de Petri
Grupo de Segurança - UFRGS 109

GSeg
UFRGS
Análise por assinaturas
♦ Vantagens
– baixo nº de falsos positivos
– adoção de contra-medidas imediatas
– redução na quantidade de informação tratada
– melhor desempenho
Grupo de Segurança - UFRGS 110

GSeg
UFRGS
Análise por assinaturas
♦ Desvantagens
– detecção só para ataques conhecidos
– dificuldade de manutenção
– base de assinaturas pode ser usada em novos
ataques
– difícil detecção de abusos de privilégios
Grupo de Segurança - UFRGS 111

GSeg
UFRGS
Análise por comportamento
♦ Comportamento estático X dinâmico
♦ Dificuldade: estabelecer comportamento
padrão
♦ Principais técnicas:
– análise estatística
– sistemas especialistas
Grupo de Segurança - UFRGS 112

GSeg
UFRGS
Análise por comportamento
♦ Vantagens
– detecção de ataques desconhecidos
– usado na criação de novas bases de assinaturas
– esforço de manutenção reduzido
– menos dependente de plataforma
– facilita a detecção de abusos de privilégios
Grupo de Segurança - UFRGS 113

GSeg
UFRGS
Análise por comportamento
♦ Desvantagens
– dificuldade de configuração
– maior nº de falsos positivos
– relatórios de difícil análise
– menor desempenho (cálculos complexos)
– dificuldade de lidar com mudanças normais de
comportamento
Grupo de Segurança - UFRGS 114

GSeg
UFRGS
Métodos Avançados
♦ Estudo de novas formas de análise
♦ Complexos
♦ Desempenho reduzido
♦ Implantação e manutenção dificultadas
♦ Incipientes e não aplicados em larga escala
Grupo de Segurança - UFRGS 115

GSeg
UFRGS
Métodos Avançados
♦ Redes neurais
– dificuldades no treinamento da rede
– mais usado na detecção de anomalias
♦ Sistema imunológico
– determinar o que pertence ao sistema
– procurar “corpos estranhos”
– Ex.: seqüências de chamadas de sistema
♦ Data minning e recuperação de informação
Grupo de Segurança - UFRGS 116

GSeg
UFRGS
Arquiteturas

GSeg
UFRGS
Baseada em Host
♦ Precursora em IDS
♦ Permite determinar as operações
desencadeadas no sistema
♦ Informações como:
– trilhas de auditoria
– carga de CPU
– programas executados
– integridade de arquivos
Grupo de Segurança - UFRGS 118

GSeg
UFRGS
Baseada em Host
♦ Vantagens
– independência de rede
– detecção de ataques internos / abusos de
privilégios
– maior capacidade de confinamento/avaliação
de danos e de recuperação de erros
Grupo de Segurança - UFRGS 119

GSeg
UFRGS
Baseada em Host
♦ Desvantagens
– dificuldade de instalação
– dificuldade de manutenção
– ataques ao próprio IDS
– dificuldade de tratar ataques de rede
– interferência no desempenho do sistema
– dependência de plataforma
Grupo de Segurança - UFRGS 120

GSeg
UFRGS
Baseada em Rede
♦ Tratar ataques à própria rede
♦ Permite determinar as operações
desencadeadas através da rede
♦ Informações como:
– pacotes de rede (cabeçalhos e dados)
– estatísticas de tráfego
– SNMP
Grupo de Segurança - UFRGS 121

GSeg
UFRGS
Baseada em Rede
♦ Vantagens
– detecção de ataques externos
– facilidade de instalação
– facilidade de manutenção
– interferência mínima (nula) no desempenho
– independência de plataforma
Grupo de Segurança - UFRGS 122

GSeg
UFRGS
Baseada em Rede
♦ Desvantagens
– tratamento de redes de alta velocidade
– dependência de rede
– dificuldade de reação
Grupo de Segurança - UFRGS 123

GSeg
UFRGS
Centralizado
♦ Precursor em IDS
♦ Vantagens
– simplicidade
– interferência mínima (nula) na rede
– imunidade a problemas de autenticidade
♦ Desvantagens
– ponto único de falha
– instalação/manutenção em grandes redes
– crescimento modular dificultado
Grupo de Segurança - UFRGS 124

GSeg
UFRGS
Distribuído
♦ Vantagens
– robustez
– crescimento modular
– distribuição de tarefas
– abrangência de detecção
♦ Desvantagens
– complexidade
– interferência no desempenho da rede
– necessidade de autenticação
Grupo de Segurança - UFRGS 125

GSeg
UFRGS
Hierárquico
♦ Fortes relações de subordinação
♦ Maior facilidade de desenvolvimento
♦ Pontos únicos de falha
Grupo de Segurança - UFRGS 126

GSeg
UFRGS
Soluções Híbridas
♦ Mesclar soluções
♦ Aproveitar vantagens de cada abordagem
♦ Equilibrar necessidades e proibições
Grupo de Segurança - UFRGS 127

GSeg
UFRGS
Exemplos de IDSs

GSeg
UFRGS
Snort
♦ Um dos mais utilizados no momento
♦ Arquitetura centralizada
♦ Dados coletados na rede
♦ Análise baseada em assinaturas
Grupo de Segurança - UFRGS 129

GSeg
UFRGS
Snort
♦ Simplicidade e eficiência
♦ Base com milhares de assinaturas
♦ Plataforma UNIX ou Windows
♦ Distribuição livre (www.snort.org)
Grupo de Segurança - UFRGS 130

GSeg
UFRGS
Snort
♦ Captura de pacotes de rede (libpcap)
– uso de regras de filtragem (TCPdump)
♦ Analisador simples
– baseado em regras
– trata cabeçalhos e dados
♦ Ações: registrar, alertar ou descartar
Grupo de Segurança - UFRGS 131

GSeg
UFRGS
Snort: regras
♦ 1ª parte: ação a ser tomada
– log, alert ou pass
♦ 2ª parte: padrão procurado
– cabeçalho ou conteúdo
alert TCP $HOME_NET 146 -> !$HOME_NET 1024: (msg:\"IDS315 - BACKDOOR-
ACTIVITY - Infector.1.x\"; content: \"WHATISIT\"; )
alert TCP $HOME_NET 21 -> !$HOME_NET any (msg:\"FTP-NT-bad-login\";
content: \"Login failed.\"; )
Grupo de Segurança - UFRGS 132

GSeg
UFRGS
Snort
♦ Pré-processadores (v 1.5)
– código executado antes da análise
– portscan, eliminação de caracteres, etc
♦ Módulos de saída (v 1.6)
– código executado quando um alerta ou registro
é feito (após a análise)
– syslog, postgresql, reação, etc
Grupo de Segurança - UFRGS 133

GSeg
UFRGS
Bro
♦ Desenvolvido pelo Lawrence Berkeley
National Laboratory
♦ Arquitetura centralizada
♦ Dados coletados na rede
♦ Análise baseada em assinaturas
Grupo de Segurança - UFRGS 134

GSeg
UFRGS
Bro
♦ Utiliza scripts
♦ Base com poucas assinaturas
♦ Implementações em DecUnix, FreeBSD,
Solaris, SunOS e Linux
♦ Distribuição livre (www-nrg.ee.lbl.gov)
Grupo de Segurança - UFRGS 135

GSeg
UFRGS
Bro: estrutura
Script de políticas Alerta
Interpretador de scripts
Controle de eventos Fluxo de eventos
Máquina de eventos
Filtro TCPdump Fluxo de pacotes filtrados
libpcap
Fluxo de pacotes
Rede
Grupo de Segurança - UFRGS 136

GSeg
UFRGS
Bro: filtros
♦ Scripts semelhantes à linguagem C
event finger_request(c:connection, request: string, full: bool)
{
if ( request in hot_names )
++c$hot;
if ( c$hot > 0 )
log fmt(\"finger: %s\", msg);
print finger_log, fmt(\"%.6f %s\", c$start_time, msg);
c$addl = c$addl == \"\" ? req : fmt(\"*%s, %s\", c$addl, req);
}
Grupo de Segurança - UFRGS 137

GSeg
UFRGS
AAFID
♦ Autonomous Agents for Intrusion Detection
♦ Desenvolvido pelo CERIAS
♦ Arquitetura hierárquica
♦ Dados coletados na rede e no host
♦ Análise de acordo com os agentes
Grupo de Segurança - UFRGS 138

GSeg
UFRGS
AAFID: componentes
a
a
T T a
a
M
a
T M Interface
a Agente
T Transceiver a
a
Fluxo de
a a
Controle
M Monitor
Fluxo de
Dados
Grupo de Segurança - UFRGS 139

GSeg
UFRGS
AAFID
♦ Escrito em Perl
– fácil migração
♦ Pseudo-linguagem (AAS) para
especificação de agentes
♦ Componentes de execução independente
♦ Monitores usam execução remota (ssh)
Grupo de Segurança - UFRGS 140

GSeg
UFRGS
EMERALD
♦ Event Monitoring Enabling Response to
Anomalous Live Disturbance)
♦ Desenvolvido pela SRI International
♦ Arquitetura distribuída
♦ Dados coletados no host e na rede
Grupo de Segurança - UFRGS 141

GSeg
UFRGS
EMERALD
♦ Análise baseada em conhecimento e em
assinaturas
♦ Projeto sucessor do IDES e NIDES
♦ Projetado para redes de larga escala
♦ Conceito de monitores/domínios
Grupo de Segurança - UFRGS 142

GSeg
UFRGS
EMERALD: domínios
Monitor de Organização
Domínio A Domínio B
Monitor de Domínio Monitor de Domínio
Monitor de Serviço Monitor de Serviço Monitor de Serviço Monitor de Serviço
Grupo de Segurança - UFRGS 143

GSeg
UFRGS
EMERALD: monitor
Analisador por API do Monitor
A assinaturas A
P Recursos para o Elemento de P
Sistema alvo I Analisador sistema alvo decisão I Outros monitores
por
comportamento
API do Monitor
Grupo de Segurança - UFRGS 144

GSeg
UFRGS
EMERALD
♦ Modularidade
♦ Independência de alvo
♦ Correlação de alertas
♦ Possível integração com outros
mecanismos
Grupo de Segurança - UFRGS 145

GSeg
UFRGS
RealSecure
♦ Desenvolvido pela ISS (Internet Security
System)
♦ Grande aceitação no mercado
♦ Arquitetura hierárquica
♦ Dados coletados na rede e no host
♦ Análise baseada em assinaturas
Grupo de Segurança - UFRGS 146

GSeg
UFRGS
RealSecure
♦ Sensores
– rede
– host
– servidor
– plataformas: WinNT, AIX, Solaris, HP-UX
♦ Console
– master controller ou não
– plataforma: WinNT
Grupo de Segurança - UFRGS 147

GSeg
UFRGS
RealSecure
♦ Políticas aplicadas através dos consoles
♦ Possível autenticação entre
sensores/consoles
♦ Reação
– firecell signatures (firewall local)
– reconfiguração de firewalls
– encerramento de sessão
– etc
Grupo de Segurança - UFRGS 148

GSeg
UFRGS
RealSecure
♦ Permite a criação de scripts Tcl associados
a assinaturas (SecureLogic)
♦ Permite a definição de assinaturas do
usuário
♦ Permite a criação de filtros
Grupo de Segurança - UFRGS 149

GSeg
UFRGS
NFR
♦ Network Flight Recorder
♦ Desenvolvida por Marcus Ranum (NFR
Security)
♦ Ferramenta para análise de tráfego e
posterior registro
♦ Versão comercial (completa) e de domínio
público (reduzida)
Grupo de Segurança - UFRGS 150

GSeg
UFRGS
NFR
♦ Arquitetura centralizada/hierárquica
♦ Dados coletados na rede
♦ Análise baseada em assinaturas e em
conhecimento
Grupo de Segurança - UFRGS 151

GSeg
UFRGS
NFR: estrutura
Sensor Sensor
NFR NFR
Backend Backend
Analisador Backend Analisador Backend Interface
...
de
Backend Backend Administração
(AI)
Gravador Gravador
Servidor Central de Gerenciamento (CMS)
Grupo de Segurança - UFRGS 152

GSeg
UFRGS
NFR
♦ Base mantida por terceiros
♦ Regras escritas em linguagem proprietária
(N-Code), semelhante à C
♦ Geração de byte-codes
♦ Distribuição através de pacotes
Grupo de Segurança - UFRGS 153

GSeg
UFRGS
Considerações Práticas

GSeg
UFRGS
Seleção e Implementação
♦ Escolha depende de cada caso
♦ Equívocos podem causar falsa sensação de
segurança
♦ Importante o mapeamento da realidade
computacional da organização
Grupo de Segurança - UFRGS 155

GSeg
UFRGS
Seleção e Implementação
♦ Política de segurança
– avaliar política existente
– (re)definir política
♦ Integrar mecanismos de prevenção e
detecção
– firewalls
– autenticação
– recuperação
– verificação
Grupo de Segurança - UFRGS 156

GSeg
UFRGS
Seleção e Implementação
♦ Analisar detalhes técnicos
– métodos de detecção e arquitetura
– testes realizados por terceiros
– nível de conhecimento para operação
– possibilidade de expansão
– suporte
– integração com outros mecanismos
– plataformas disponíveis
– custo
Grupo de Segurança - UFRGS 157

GSeg
UFRGS
Seleção e Implementação
♦ Criar ambiente de testes
♦ Distribuir corretamente os sensores de rede
♦ Instalar sensores de host
Grupo de Segurança - UFRGS 158

GSeg
UFRGS
Distribuição de Sensores
Grupo de Segurança - UFRGS 159

GSeg
UFRGS
Distribuição de Sensores
♦ Atrás do firewall externo
– ver ataques externos que passaram do firewall
– ver ataques direcionados à DMZ
– analisar o tráfego de saída
♦ Depois do firewall externo
– ver ataques direcionados à rede
Grupo de Segurança - UFRGS 160

GSeg
UFRGS
Distribuição de Sensores
♦ Nos backbones
– monitorar grandes qtdes de tráfego
– detectar ataques internos
♦ Nas redes críticas
– detectar ataques aos recursos críticos
– permitir o foco nos recursos de maior valor
Grupo de Segurança - UFRGS 161

GSeg
UFRGS
Sensores: problemas
♦ Tráfego criptografado
♦ Tráfego segmentado
♦ Tráfego de alta velocidade
Grupo de Segurança - UFRGS 162

GSeg
UFRGS
Vulnerabilidades Conhecidas
♦ Falsos alarmes
♦ Negação de serviço (DoS)
♦ Tolerância a falhas
♦ Autenticação
Grupo de Segurança - UFRGS 163

GSeg
UFRGS
Vulnerabilidades Conhecidas
♦ Desativação de ferramentas baseadas em
host
♦ Inserção de tráfego
– pacotes descartados pelo sistema alvo
♦ Evasão de tráfego
– pacotes descartados pelo IDS
Grupo de Segurança - UFRGS 164

GSeg
UFRGS
Subvertendo o IDS
♦ Procurando pela string “su root”.
– e quanto à string “su me^H^Hroot” ?
– e quanto à string “su<telnet option> root” ?
– e quanto à string “alias blammo su”, e depois
“blammo root” ?
Grupo de Segurança - UFRGS 165

GSeg
UFRGS
Reconstruindo Fluxos
♦ Procurando pela string “USER root”. Basta
procurar na porção de dados de pacotes
TCP? USER root
TCP: HDR USER HDR root
IP: HDR HDR US HDR ER HDR HDR ro HDR ot
É necessário remontar fragmentos e colocá-los em seqüência
Grupo de Segurança - UFRGS 166

GSeg
UFRGS
Mais Fragmentos
Suponha o seguinte ataque:
1. HDR HDR US
2. HDR ER
3. 1,000,000 fragmentos sem relação c/ o ataque
4. HDR HDR ro
5. HDR ot
Grupo de Segurança - UFRGS 167

GSeg
UFRGS
Mais Fragmentos
1. HDR HDR US Seq. #
2. HDR ER Time
3a. HDR HDR ro
3b. HDR HDR fo
4. HDR ot
O que considerar ( “USER root” ou “USER foot”)?
Qual decisão será tomada pelo SO?
Grupo de Segurança - UFRGS 168

GSeg
UFRGS
Aspectos Legais
♦ Interceptação telemática
– C.F. Artigo 5º parágrafo XII
♦ Privacidade
♦ Documentar políticas
Grupo de Segurança - UFRGS 169

GSeg
UFRGS
Conclusões

GSeg
UFRGS
Conclusões
♦ Aumento no nº de incidentes
♦ Despreparo dos profissionais da área
♦ Não existe segurança 100%
♦ Não existe solução completa
Grupo de Segurança - UFRGS 171

GSeg
UFRGS
Conclusões
♦ IDS é mais um mecanismo útil
♦ Serve como suporte à tomada de decisões
♦ Vasto campo para novas pesquisas
Grupo de Segurança - UFRGS 172

GSeg
UFRGS
Contatos
Rafael Campello
e-mail: campello@inf.ufrgs.br
Raul Weber
e-mail: weber@inf.ufrgs.br
GSeg
UFRGS
e-mail: gseg@inf.ufrgs.br
página: www.inf.ufrgs.br/~gseg
Grupo de Segurança - UFRGS 173