• Like

Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

Mecanismos de detecção e prevenção de intrusos

  • 8,932 views
Uploaded on

 

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
8,932
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
321
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Segurança em Redes de Computadores e Internet Mecanismos de Detecção e Prevenção de Intrusos Ivani Araujo do Nascimento Prof. Marcelo Teixeira de Azevedo São Paulo Julho/2010
  • 2. Sumário ✔ Motivação ✔ Introdução ✔ Analogia vida real x mundo virtual ✔ Técnicas ✔ Tipos de IDS ✔ Modelo conceitual para mecanismos de detecção de intrusos ✔ Tipos de IPS ✔ Desafios para os mecanismos de detecção e prevenção de intrusos ✔ Produtos ✔ Conclusão
  • 3. Motivação ✔ Grande alarme de ataques e invasões e muitas pessoas e/ou empresas se preocupam com seus dados e com equipamentos conectados diretamente com a Internet. ✔ Máquinas da rede podem ser utilizadas por invasores para executar DDoS* a sites ou servidores de outras empresas. ✔ Crackers podem utilizar um sistema desprotegido para armazenar e distribuir conteúdos ou softwares roubados, ou ainda, conteúdo pornográfico. ✔ Um administrador de segurança deve ter em sua rede, mecanismos de detecção e prevenção para identificar atividades não autorizadas. ✔ Os mecanismos devem realizar alguma ação quando suspeitar de algum tráfego de rede não autorizado ou ainda, um acesso a um arquivo não autorizado. ✔ Nunca se sabe quando irá soar o alarme de uma tentativa de invasão ou de uma invasão em si - manter uma rede segura, é extremamente desafiador. *Distributed Denial of Service - Ataque de negação de serviço distribuído
  • 4. Introdução Intrusão: Ação de se introduzir sem direito numa sociedade, num cargo; usurpação. Em redes de computadores, equivale a entrada não autorizada de um computador (ou computadores) na rede, com objetivo de comprometer, danificar ou roubar informações.
  • 5. Mecanismos apresentados ✔ IDS - Intrusion Detection System ou Sistema de Detecção de Intrusos, é um hardware ou software que monitora um sistema ou uma rede contra atividades não autorizadas. Um IDS, é a ferramenta que sabe ler e interpretar arquivos de log e tráfego de firewalls, servidores e outros dispositivos de rede. Suas funções incluem: monitorar, detectar a presença de atividade não autorizada e gerar alertas. ✔ IPS - Intrusion Prevention System ou Sistema de Prevenção de Intrusos, é um hardware, software, ou a combinação de ambos que realiza alguma ação quando o IDS detecta uma atividade não autorizada e gera um alerta. O IPS é o dispositivo que irá bloquear os ataques antes que eles cheguem ao seu alvo. Se usarmos somente o IDS na rede, ele só irá detectar a tentativa de ataque e gerar o alerta. Quando o IPS receber o alerta, poderá executar alguma ação, como por exemplo, bloquear o IP de origem do ataque.
  • 6. Analogia vida real x mundo virtual ✔ O carteiro (Internet) entrega as encomendas (dados eletrônicos) à recepcionista (firewall), que rejeita tudo o que não esteja em conformidade com os seus procedimentos (regras do firewall). ✔ Contudo, a recepcionista (firewall) não consegue controlar plenamente todas as encomendas (dados eletrônicos). Por isso, ocorreu um grave incidente nesta empresa: foi encaminhada a um diretor (servidor) uma encomenda (dados eletrônicos) que continha explosivo (malwares). ✔ O diretor (servidor) ficou afastado por muito tempo da empresa e tal fato trouxe enormes prejuízos à empresa. ✔ Para evitar novos incidentes, os diretores (servidores) decidiram contratar profissionais qualificados (IDS e IPS) para impedir tais acontecimentos. ✔ Esses profissionais (IDS/IPS) agoram inspecionam o conteúdo de todas encomendas (dados eletrônicos) que chegam na portaria da empresa (roteadores) e passam pela recepção (firewall) antes de serem entregues aos destinatários (desktops e servidores). Fonte: Brconnection – Internet Controlada
  • 7. Técnicas – Detecção de Assinaturas ✔ Trabalha de forma similar aos antivírus, que utilizam assinaturas de vírus para reconhecer e impedir que programas, arquivos, ou conteúdo dinâmico Web infectado entre em um computador; exceto que usa um banco de dados de padrões de tráfego ou atividades relacionados à ataques conhecidos, chamados de "assinaturas de ataque". ✔ Utiliza regras definidas para identificar intrusões observando os padrões de eventos específicos para ataques conhecidos e documentados. Essas regras geralmente estão em um banco de dados que guarda as assinaturas de ataques. O IDS compara a informação que está monitorando contra as assinaturas de ataque que estão no banco para detectar um padrão. Isso quer dizer que, na detecção baseada em assinatura, o administrador define previamente o que é o ataque e configura o IDS para procurar a assinatura.
  • 8. Técnicas – Detecção de Anomalias ✔ Analisa o tráfego da rede, atividades e comportamento a fim de identificar intrusões através de detecção de anomalias. Para fazer a detecção através de anomalias, o sistema reúne informações da atividade da rede e forma uma base de dados. A partir daí o sistema faz comparações das ocorrências da rede com essa base de dados e alerta sobre atividades que estão fora do que de costume, ou de normal acontece na rede. ✔ Nos IDS baseados em detecção de anomalia, o administrador define uma base para o que é comportamento normal; isso inclui estado de carga do tráfego da rede, protocolo e tamanho do pacote normal. Nesse caso, a detecção pode ser mais trabalhosa, e é aconselhado realizar a análise em intervalos. Por exemplo, realizar a análise no horário em que não houver expediente, ou em intervalos aleatórios durante o expediente.
  • 9. Classificação de IDS NIDS – Network Intrusion Detection System ✔ Sistema de Detecção de Intrusos em Rede ✔ Realiza captura e análise dos pacotes que trafegam na rede ✔ Opera em modo promíscuo para monitorar a rede ✔ Esse tipo de IDS detecta ataques pela captura e análise dos pacotes que trafegam na rede. Configurado para ouvir um segmento de rede ou um switch, o IDS pode monitorar o tráfego de rede onde através de uma base de dados faz comparações necessárias com os pacotes de rede (detecção de assinaturas) ou então faz a decodificação e verifica os protocolos de rede (detecção de anomalias).
  • 10. Classificação de IDS NIDS – Network Intrusion Detection System ✔ Um exemplo de uso para um NIDS... a rede começa a receber grande tráfego de conexões SYN. Uma conexão normal opera da seguinte forma: 1) O cliente envia um SYN 2) Servidor envia um SYN/ACK 3) Cliente envia um ACK e a conexão é estabelecida. ✔ Quando existe uma grande sequências de conexões SYN, pode ou ser um portscan, varrendo o servidor com o objetivo de testar se as portas estão abertas ou fechadas, ou então um ataque de SYN, onde o cliente mal- intencionado envia muitas requisições SYN, e o servidor não recebe o último ACK. ✔ O NIDS pode ser configurado para gerar alertas quando perceber esse tipo de conexão.
  • 11. Classificação de IDS NIDS – Network Intrusion Detection System Vantagens ✔ Bem configurados e colocados em pontos estratégicos, podem monitorar uma rede grande. ✔ Tem pouco impacto sobre a rede existente; geralmente IDS de rede são dispositivos passivos que somente escutam o tráfego sem interferir no funcionamento normal da rede. Desvantagens ✔ Dificuldade para processar dados em grandes redes ✔ Dificuldade para inspecionar pacotes contendo dados criptografados ✔ É necessário alinhar com organização o monitoramento do tráfego de rede
  • 12. Exemplo de arquitetura NIDS
  • 13. Classificação de IDS HIDS – Host Intrusion Detection System ✔ Sistema de Detecção de Intruso no Host. ✔ Instalado em determinada máquina para analisar o próprio host (não monitora outras máquinas). ✔ Realiza análise de eventos no sistema e do sistema de arquivos arquivos. ✔ Análise de eventos: busca por conexões abertas de rede e monitora portas do sistema. ✔ Análise de sistema de arquivos: analisa o sistema de arquivos e outros periféricos do sistema e cria uma base de dados. Essa base de dados é como uma foto do sistema original; se ocorrer uma mudança, o IDS gera um alerta ou registra a mudança.
  • 14. Classificação de IDS HIDS – Host Intrusion Detection System Exemplo do uso de HIDS ✔ Imagine que existe no servidor um arquivo que guarda senha em texto claro (um tomcat-user.xml por exemplo, que guarda os usuários do apache tomcat). Esse é um tipo de arquivo que não deve ser lido por todos usuários... Então, o administrador pode criar um script que vai checar as tentativas de leitura desse arquivo. Se alguém tentar ler, o HIDS manda um alerta. Ou então, um servidor que possui 2 placas de rede... se for colocada uma terceira placa, o HIDS gera um alerta também.
  • 15. Classificação de IDS HIDS – Host Intrusion Detection System Vantagens ✔ Instalado onde o tráfego de rede é criptografado, consegue enxergar os dados antes de serem criptografados ou quando são descriptografados no host destino. ✔ Fornece pistas para auditorias de sistema, detectando cavalos de tróia ou outros tipos de ataques que envolvem violação de integridade de software ou de arquivos. Desvantagens ✔ Requer que cada máquina seja configurada ✔ Não detecta ataques em outras estações ✔ Utilizam os recursos computacionais da máquina que estão monitorando, e isso pode causar perda de desempenho no sistema monitorado.
  • 16. Exemplo de arquitetura HIDS
  • 17. Classificação de IDS DIDS – Distributed Intrusion Detection System ✔ Sistema distribuído para detecção de intrusos. ✔ Composto por vários IDSs (podem ser HIDS ou NIDS) espalhados pela rede e se comunicam com um servidor central. ✔ A comunicação entre os sensores e o gerenciador pode ser feita através de uma rede privada ou através da própria rede existente. ✔ Os uploads dos eventos de ataque podem ser feitos através da estação de gerenciamento e armazenados em um banco de dados central. O download de assinaturas de ataque são feitos pelos próprios sensores, que podem ter regras específicas para atender suas necessidades. ✔ Para a comunicação, é recomendado utilizar criptografia ou uma VPN - Virtual Private Network.
  • 18. Classificação de IDS DIDS – Distributed Intrusion Detection System Vantagens ✔ Centralização de logs e de assinaturas de ataques facilitam a manutenção de regras. ✔ A comunicação é feita utilizando a rede existente ou uma VPN para aumentar a segurança. Desvantagens ✔ Considerado complexo, pois a combinação de sensores podem ser HIDS, NIDS ou uma combinação de ambos. ✔ Configuração da placa de rede para modo promíscuo ou não promíscuo depende do fabricante e da política da organização.
  • 19. Exemplo de arquitetura DIDS
  • 20. Modelo conceitual para mecanismos de detecção de intrusos Devido à grande existência de ferramentas para detecção de intrusos, foi proposto o CIDF - Common Intrusion Detection Framework, que agrupa um conjunto de itens que definem um IDS: ✔ E-boxes - Event generators ou Geradores de Eventos ✔ A-boxes - Event analysers ou Analisador de Eventos ✔ R-boxes - Response units ou Unidade de Resposta ✔ D-boxes - Event databases ou Banco de Dados de Eventos
  • 21. Visão da arquitetura CIDF E-box (Backbone de de rede) ✔ Obtém os eventos a partir do meio externo ao CIDF, ou seja, "produz" os eventos mas não os processa, isso fica a cargo do componente especializado na função de processamento, que, por sua vez, após analisar os eventos (violação de política, anomalias, intrusão) envia os resultados para outros componentes. A-box (Pré-processador) ✔ Este componente, basicamente, recebe as informações de outros componentes, as analisa e as envia de forma resumida para outros componentes, ou seja, recebe os dados de forma bruta, faz um refinamento e envia para outros.
  • 22. Visão da arquitetura CIDF D-box (Mecanismo de detecção) ✔ A função deste componente é armazenar os eventos e/ou resultados para uma necessidade futura. R-box (Alertas/Registro) ✔ Este componente é responsável pelas ações, ou seja, matar o processo, reinicializar a conexão, alterar a permissão de arquivos, notificar as estações de gerência, etc.
  • 23. Visão da arquitetura CIDF S N I PRE MECANISMO BACKBONE ALERTAS F PROCESSADOR DE DE REGISTRO F DETECÇÃO REDE E R ARQUIVOS DE LOG BANCO DE DADOS CONJUNTO PLUGINS DE REGRAS Beale(2003)
  • 24. IPS - Intrusion Prevention System ✔ Sistema de Prevenção de Intrusos ✔ Evolução do IDS, trabalha de forma pró-ativa ✔ Utiliza assinaturas ou conjunto de regras como metodologia para prevenir ataques ✔ Pode ser baseado em host (HIPS – Host Intrusion Prevention System) ou baseado em rede (NIPS – Network Intrusion Prevent System) ✔ IPS pode ser um hardware, software, ou a combinação de ambos que realiza alguma ação quando o IDS detecta uma atividade não autorizada e gera um alerta. ✔ Utiliza assinaturas ou conjunto de regras como métodos para prevenir ataques, assim como um IDS faz. A diferença no caso, é que o IPS irá tomar a ação de bloquear o tráfego; por isso é considerado uma evolução do IDS e 'primeira linha de defesa'. ✔ Não substitui um firewall.
  • 25. HIPS Host Intrusion Prevention System ✔ Funcionamento similar ao HIDS ✔ Monitora de perto as aplicações. Por exemplo, pode monitorar um editor de textos, ou ainda, fazer análise de todo fluxo de dados em busca de ataques em potencial. ✔ Não tem problemas com conteúdo criptografado, pois o processo de criptografia e descriptografia ocorre no host que está sendo monitorado. ✔ Modificação no sistema: controla alteração de permissões no sistema de arquivos, usuários, remoção de vírus e worm e reconfiguração do conjunto de regras do firewall local após o ataque. ✔ Mecanismos do kernel: O sistema chama mecanismos de interceptações e de MAC fortalecidos por aplicações de prevenção de kernel, a partir de recursos comprometidos, o sistema utilizado por um atacante durante e após tê-lo comprometido é finalizado usando os serviços providos pelo kernel. ✔ Prevenção de buffer overflow: medidas de uso de tempo de compilação e tempo de execução.
  • 26. NIPS Network Intrusion Prevention System ✔ Funcionamento similar ao NIDS ✔ Dispositivo inline* ou software configurado para detectar e impedir ataques ✔ Posicionado no caminho que os pacotes passam para chegar na rede Um NIPS pode prover contramedidas nas seguintes camadas: ✔ Enlace ✔ Rede ✔ Transporte ✔ Aplicação *Dispositivo inline: dispositivo que se situa diretamente no trajeto que os pacotes fazem quando atravessam a rede.
  • 27. NIPS Network Intrusion Prevention System ✔ Camada de enlace: Administrativamente shutdown na porta do switch que está saindo o ataque. Essa atitude só é praticável para ataques que são gerados de um sistema local. Ter a possibilidade de parar a porta é importante, desde que não seja um shutdown indefinido. ✔ Camada de rede: Interagir com o firewall externo ou roteador, para adicionar uma regra geral para bloquear todas as comunicações de endereço IP individual ou a rede inteira. Um IPS inline pode realizar a mesma coisa sem ter que apelar para um dispositivo externo, desde que pacotes de um IP específico possa ser simplesmente bloqueado depois que um ataque foi detectado. Similar a respostas da camada de enlace, os timeouts são importantes na camada de rede, desde que as modificações nas regras do firewall ou nas ACLs dos roteadores possam ser removidas.
  • 28. NIPS Network Intrusion Prevention System ✔ Camada de transporte: Gerar pacotes TCP RST para derrubar sessões TCP maliciosas ou emitir algum pacote ICMP de erro, dos diversos disponíveis para responder a um tráfego UDP malicioso. Os timeouts, não são aplicáveis aqui, porque as bases de contramedidas são dribladas pelo atacante a cada sessão ou a cada pacote. ✔ Camada de aplicação: Alertas de dados maliciosos na camada de aplicação não podem causar danos antes de alcançar o sistema alvo. Essa contramedida requer que o IPS esteja inline, no caminho da comunicação. Previamente calculado o checksum na camada de transporte deve ser recalculado nessa camada. Similar a camada de rede, timeouts não são aplicáveis. Desde que os efeitos da troca de dados na camada de aplicação sejam transitórios e não desapareçam uma vez que os pacotes alterados são encaminhados através do IPS.
  • 29. Desafios para os mecanismos de detecção e prevenção de intrusos ✔ Criptografia – Os mecanismos de detecção e prevença de intrusos fazem monitorações tanto nos cabeçalhos dos pacotes quanto nos campos de dados. Porém, com a necessidade de sigilo e proteção dos dados que transitam pela rede se torna necessário o uso de criptografia, o que dificulta a utilização desses mecanismos. Dados que antes seriam analisados pelos mecanismos e que poderiam estar sendo alvos de ataques podem vir a ser escondidos devido ao uso da criptografia. ✔ Falsos positivos – Alerta gerado devido à identificação de uma situação que não é uma atividade de intrusão. Para evitar os falsos positivos, deve-se modificar e ajustar diferentes regras padrão. Em alguns casos, pode ser necessário desabilitar algumas das regras. ✔ Falsos negativos – Ocorre numa situação que é uma atividade de intrusão e por não haver assinatura que a identifique, nenhum alerta é gerado. Para evitar estas situações, deve-se manter as regras e assinaturas atualizadas ou gerar novas assinaturas e regras.
  • 30. Desafios para os mecanismos de detecção e prevenção de intrusos ✔ Frequentes updates – Há necessidade de que todo o sistema esteja atualizado para que seja feita a proteção adequada da infra-estrutura da rede. ✔ Rede com switches – O switch envia os dados provenientes da origem apenas para a porta onde se encontra ligada o dispositivo de destino, não replicando assim os dados para as outras como o hub. Isso impossibilita o uso de IDS, pois só seria monitorado o tráfego destinado à máquina onde o IDS está instalado. ✔ Redes de alta velocidade – As redes de alta velocidade se tornam um problema devido à dificuldade para monitoração. Outro problema é o tamanho dos pacotes, pois influencia diretamente na análise pelo IDS.
  • 31. Produtos IDS ✔ ISS RealSecure Network Sensor ✔ Snort ✔ AIDE ✔ Tripwire IPS ✔ IBM Security Network Intrusion Prevention System ✔ ISS Managed IDS/IPS Service ✔ Cisco Intrusion Prevention System Solutions ✔ Snort Inline
  • 32. Conclusão ✔ Verificando o gráfico de estatísticas de incidentes reportados ao CERT.br, podemos ter uma idéia dos diversos ataques ou ameaças, que ocorrem na forma mais variada possível; cada dia é um desafio garantir que uma estrutura computacional corporativa esteja completamente segura. ✔ Com sistemas como IDS e IPS podemos ser alertados para estes ataques e conseqüentemente, tomarmos uma atitude certa de forma eficaz e precisa, diminuindo cada vez o tempo de indisponibilidade. ✔ É importante saber o que na verdade está ameaçando nossa segurança, pois qualquer ferramenta será inútil caso esteja em local errado ou funcionando de maneira errada. ✔ Em resumo, o IDS e IPS são tecnologias que fornecem uma camada extra de proteção para o ambiente corporativo.
  • 33. Referências Advanced Network Security: Five major types of IDS http://advanced-network-security.blogspot.com/2008/04/three-major-types-of-ids.html – Acesso em Junho de 2010 An Introduction To Distributed Intrusion Detection Systems http://www.symantec.com/connect/articles/introduction-distributed-intrusion-detection-systems – Acesso em Junho de 2010 Assinaturas de Vírus - http://gtrh.tche.br/ovni/virus/modulo5.htm – Acesso em Junho de 2010 Beale, J., Foster, James C., Posluns, J. Snort 2 – Sistema de Detecção de Intruso Open Source. Rio de Janeiro: Editora Alta Books Ltda., 2003. Cisco Intrusion Prevention System Solutions - http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html - Acesso em Junho de 2010 Definição de Intrusão - http://www.dicionariodoaurelio.com/dicionario.php?P=Intrusao – Acesso em Junho de 2010 Detecção de intrusos (IDS), conceitos e implantação do SNORT - http://www.vivaolinux.com.br/artigo/Deteccao-de- intrusos-%28IDS%29-conceitos-e-implantacao-do-SNORT?pagina=1 - Acesso em Junho de 2010 Ferramentas de IDS - http://www.rnp.br/newsgen/9909/ids.html – Acesso em Junho de 2010 Freitas, Osmany B. Network Defense Tools Disponível em: http://www.cin.ufpe.br/~ruy/crypto/seguranca/Network-Defense-Tools.ppt - Acesso em Junho de 2010 IDS Ativo - http://www.brc.com.br/ – Acesso em Junho de 2010
  • 34. Referências Maia, Igor S. N., Rehem, Sandro H. P. Sistemas de Detecção de Intrusos baseado em Software Livre - Disponível em: http://www.scribd.com/doc/13224983/Sistemas-de-Prevencao-de-Intrusao-baseado-em-Software-Livre-Igor-Neiva-e- Sandro-Herman-UCB – Acesso em Junho de 2010 Internet Security Systems, Inc. Managed Intrusion Detection and Prevention Service (IDS/IPS) – Disponível em : http://documents.iss.net/literature/mss/IDS_datasheet.pdf - Acesso em Junho de 2010 Monteiro, G. Sistemas de Detecção de Intrusos: Introdução - Disponível em: http://www.thebugmagazine.org/magazine/bug01/0x02_introducao-IDS-IPS.txt – Acesso em Junho de 2010 Northcutt, Stephen Como detectar invasão em rede – um guia para analistas. Rio de Janeiro: Editora Ciência Moderna Ltda., 2000. Oliveira, Danilo M. Hogwash Light Brasil um Sistema de Prevenção de Intrusão Invisível para o Aumento da Segurança de Redes de Computadores - Disponível em: http://softwarelivre.org/danilomarques/hlbr/monografia-hlbr.pdf. Acesso em Junho/2010 Porras, P., Schnackenberg, D., Staniford-Chen, S., Stillman, M., Wu, F. The Common Intrusion Detection Framework Architecture – Disponível em: http://gost.isi.edu/cidf/drafts/architecture.txt – Acesso em Junho de 2010 Soluções de Prevenção de Intrusos - http://www.ibm.com/br/services/sps/iss/ips/index.phtml - Acesso em Junho de 2010 Tam, A. Intrusion Detection System - Disponível em: http://www.pisa.org.hk/download/seminar20010908-ids/ids.ppt. Acesso em Junho/2010