View
9
Download
2
Category
Preview:
Citation preview
Prof. Rodrigo Coutinho
Intrusion Detection Systems
IDS são uma “segunda camada” de proteção populares nos provedores“Alarme antifurto” dentro da rede ou hostIDS baseado em host
Coleta e analisa dados de determinado computadorBom para prevenção contra ataques internosDifícil escalabilidade
IDS baseado em redeColeta e analisa pacotes que trafegam na redePode detectar ataques antes que aconteçamEscalabilidade ruim em redes de alta velocidade (Gigabit)Não verifica tráfego criptografado
Intrusion Detection Systems
IDS - técnicas
Detecção de mau usoPadrões de intrusão conhecidosPadrões gravados >> monitoração da sequência de eventos >> reportar eventos matched
Detecção de anomaliaDesvio do padrão comumPerfil de comportamento normal >> Observar atividades correntes >> Reportar desvios
IDS – Detecção de mau uso
Também chamado de detecção baseada em regrasUtiliza comparações com padrões estabelecidos
Os dados coletados são comparados com as assinaturas conhecidasSe houver correspondência, uma intrusão foi detectada
Mecanismo mais utilizado na práticaAssinaturas são criadas para ataques conhecidos nos diversos sistemas operacionaisUm IDS (HW ou SW) normalmente já possui uma base de dados de assinaturas populadasA base é atualizada periodicamente
IDS – Detecção de anomalia
Testes estatísticos usados para determinar atividade anormalDados coletados de tráfego legítimo dos usuários em um determinado tempo
A partir desses dados, o comportamento normal é modeladoDesvios a esse comportamento são monitoradosParte do princípio que um ataque teria comportamento muito diferente de uma atividade normal
Intrusion Prevention System
IPS é um termo novoEm essência, é um equipamento ou software que exerce uma função de firewall com controle de acesso e IDS
Pode usar técnicas de análise profunda do pacote, com reconhecimento de assinaturas e inspeção stateful
Pode trabalhar de duas formasRate-basedContent-based
Intrusion Prevention System
IPS – Rate-based
Bloqueia tráfego baseado na quantidade:Pacotes demaisConexões demaisErros demais
VantagensImplementação simples
DesvantagensDificuldade de estimar um “overload”Necessidade de conhecer a infra-estrutura a fundo○ E.x. Saber o tráfego normal e quantas conexões o WWW aguentaRequerem constantes ajustes
IPS – Content-based
Bloqueia tráfego baseado em assinaturas e anomalias de protocoloPacotes TCP não usuais podem ser descartadosComportamentos suspeitos (e.g. port scan) levam o IPS a descartar tráfego parecido depoisOferecem uma série de técnicas para identificar e tratar conteúdo malicioso
Simplesmente descartar pacotesDescartar os futuros pacotes da mesma origemReportar e alertar os administradores
Podem ser usados dentro da rede
Honeypots
Um recurso que está sendo atacado ou comprometido na redeUsado para rastrear atividades hacker na redeSão estrategicamente montados para imitar serviços em produção, mas sem dados reaisNíveis de comprometimento
Baixo: Port listenersMédio: Serviços falsosAlto: Serviços reais
HoneynetsRede de honeypots. Provê cenário mais real e coleta mais dados
Honeypots
Criptografia
É a idéia de “camuflar” informações sigilosas de qualquer pessoa que não tenha autorização
Em outras palavras: Assegurar a confidencialidade da informação
Surgiu da Necessidade de usar meios não confiáveis (compartilhados ou não) para tráfego de informação sensível
Criptografia – Chaves
A informação é codificada com base em determinada função do texto normal, aliado a uma chaveExiste uma chave para codificação e outra para decodificação
Chave Simétrica – Code/Decode usa a mesma chaveChave Assimétrica – chaves são diferentes
Algoritmo criptográfico consiste em funções matemáticas
Chave Simétrica
A chave deve ser compartilhada pelas entidades que fazem a comunicaçãoDifícil gerenciamento com grande quantidade de chaves , exceto quando
Há compartilhamento de chave secreta com uma entidade de autenticaçãoA entidade de autenticação gera chaves quando necessário
Cifragem pode serFluxo – bits crifrados um a umBloco – cifrados conjuntos de bits○ Modelo mais comum. Blocos geralmente tem tamanho pré-
determinado
Chave Simétrica
Chave Simétrica – vantagens e desvantagens
VantagensVelocidade, por causa da simplicidade dos algoritmosChaves pequenas e relativamente simples – cifradores são robustosConfidencialidade é assegurada
DesvantagensGerência difícil da chave, que deve ser compartilhadaNão permite autenticação do remetenteUso de padding, quando o tamanho dos dados não é múltiplo do tamanho dos quadros - overhead
Chave Assimétrica
O algoritmo é composto por duas chaves distintasChave públicaChave privada (ou secreta)As chaves são relacionadas através de um processo matemático, usando funções unidirecionais.
Um texto cifrado com a chave pública de X deve ser decifrado com a chave privada de X
Vice-versa
O conhecimento de uma das chaves não auxilia a encontrar a outra chave
A chave pública, como o nome diz, é de conhecimento e acesso irrestrito
Chave Pública
A distribuição de chaves públicas é feita através de uma infra-estrutura de chaves públicas (PKI)PKI é responsável por:
Associar as chaves aos respectivos proprietáriosValidação em entidade de confiança
Chave Pública
Chave Pública – Vantagens e Desvantagens
VantagensA chave secreta não é compartilhadaProvê autenticação do remetente, confidencialidade, integridade dos dados e o não-repúdioArquitetura escalável
DesvantagensAlgoritmos mais intensivos computacionalmente (lentidão)Requer autoridade certificadora
As criptografias se completam; há vantagens e limitações em cada método
Criptografia – Algoritmos
Algoritmo criptográfico consiste em funções matemáticasDES – data Encryption Standard
Método simétricoAdotado pelo governo americanoCodifica blocos de 64 bitsChave possui 56 bitsQuebrado por brute-force em 1997TripleDES – variação que usa 3 ciframentos em sequência, com chaves de 112 ou 168 bits.
Criptografia – Algoritmos
IDEA – International Data Encryption AlgorithmMesmo conceito do DES, mas execução mais rápida
AES (Advanced Encryption Standard)Padrão atual recomendado pelo NIST/EUAChaves de 128, 192 e 256 bitsSimétrico
RC6Última versão do Rivest (RC2 até 5)Utiliza fluxo de chaves
Criptografia – Algoritmos
RSA – Rivest-Shamir-AdelmanMétodo assimétricoBaseia-ne na dificuldade de fatorar números grandes, com 100 a 200 dígitosChave pode ter 512,1024,2048.... bits
DSADiffie-Hellman
Hash
Funções de Hash (conhecidas também por Digest ou Fingerprint) consistem em um resumo matematico de um conjunto de bitsEntrada: Conjunto variável de bitsSaída: Resultado de tamanho fixoFunção versátil: utilizado em criptografia; autenticação e assinaturas digitaisExemplos: MD5; SHA-1
Certificação Digital
Tentativa de garantir identidade de determinada pessoa no mundo digitalTraz a realidade do mundo de negócios real para o virtual
Empresas fazem transações online
PKIs organizam a emissão de certificados digitais“Garante e dá fé”, validade, direito de uso, etcBaseada em Autoridade Registradora (RA) e de Certificação (CA)Principais Cas no Brasil: CEF; Serpro; Certisign; Unicert
Gerenciamento de senhas
Primeira linha de defesa contra invasoresUsuários utilizam login e senha para acessar sistemas
Senhas normalmente armazenadas criptografadasArquivos de senha normalmente protegidos
Estudos indicam que usuários normalmente escolhem senhas de fácil adivinhaçãoPara diminuir essas ocorrências, algumas medidas são usadas para incentivar usuários a usar senhas mais fortes
Gerenciamento de senhas
Guias para senhas segurasTer um tamanho mínimo (geralmente 6 ou 8 caracteres)Usar sempre letras maiúsculas, minúsculas e númerosNão usar palavras comunsNão usar datas de nascimento
Maneiras de assegurar o uso de senhas segurasEducação dos usuários – pouco eficazGeração por computador – baixa aceitação de usuários; difícil de decorarVerificação reativa – rodar ferramentas periodicamente para verificar se há senhas inseguras na rede. Pouco práticoVerificação proativa – Sistema verifica aceitabilidade; próprio usuário escolhe a senha.
VPN
Virtual Private NetworkConexão segura, com uso de criptografia, para trafegar dados sensíveis através de redes de terceiros
Redes inseguras ou Internet
VPNs usamCriptografiaAutenticaçãoTunelamento
Permite interligação de escritórios fisicamente dispersos sem uso de rede proprietária
VPN - funcionamento
A VPN pode ser implementada em diversas camadasA segurança da rede depende da camada aplicadaEx. se a VPN for realizada na camada 2, não haverá proteção ao número IP
Tipos de VPNNodo-a-nodo – Cada nó encripta e decripta a informaçãoFim-a-fim – A informação trafega criptografada por toda a extensão da rede e só é decriptografada no destino.
A VPN funciona como um “túnel” seguro em uma rede insegura
VPN
VPN - Protocolos
PPTP – Point-to-point Tunneling ProtocolL2TP – Layer 2 Tunneling ProtocolIPSecSOCKSSSL/TLS
PPTP
Implementação Microsoft de tunelamento dentro do protocolo PPPPermite criação de túneis de frames PPP sobre pacotes IPUtiliza VPN nodo-a-nodoCriptografia é feita na camada de enlaceSegurança baseada no algoritmo MD4
Pouco segura para os dias atuaisHá programas maliciosos que descobrem o tráfego PPTP
Usa 2 conexões: Controle e Túnel
L2TP
Combinação do protocolo Cisco Layer-2 forwarding com o PPTPTambém é extensão do PPPTambém usa VPN nodo-a-nodoTodos os roteadores rede precisam suportar para funcionamento corretoNão provê, por si, encriptação ou autenticação
Outros protocolos são usados para tal
IPSec
Protocolo de segurança que opera na camada 3Provê segurança para redes baseadas em IPProtege os dados:
Integridade, confidencialidade, autenticidade
Usa um Security Association e uma chaveCriptografia simétrica DES, 3DES ou AESA chave é automaticamente estabelecida e gerenciada por hosts Ipsec usando IKE – Internet Key ExchangeAntes do estabelecimento de uma chave, o IKE autentica○ IKE usa chave pública e chave privade
IPSec
Ipsec pode funcionar de duas formasAH (Authentication Header)○ Assegura o remetente dos dados (autenticação)○ Encripta o hash○ Detecta alterações (hash encriptado)○ Protege integridade e autenticidade do pacote (mas não a
confidencialidade)Criptografia: ESP (Encapsulating Security Payload)○ Também encripta o hash○ Provê autenticação○ Encripta os dados trafegados○ Protege integridade, autenticidade e confidencialidade
IPSec – Modos de operaçãoModo de transporte - Fim a fim e sujeito a análise de tráfego○ ESP – encripta e opcionalmente autentica o payload. Header
intacto○ AH – Autentica o payload e alguns campos do headerModo de túnel – Criptografa todo o pacote IP○ Novo cabeçalho IP esconde endereços de origem e destino = mais
segurança○ ESP - encripta e opcionalmente autentica todo o pacote IP○ AH – Autentica todo o pacote e alguns campos do novo cabeçalho○ Nó-a-nó – protege da análise de tráfego mas é menos flexível
Base de dados Security Association (SA)Param: end. de destino, protocolo, chave, seq number, etc..Cada pacote tem um SA único
IPSec - IKE
IKE provê modos de negociação de chaves para comunicação via IpsecPodem ser usadas chaves estáticas (pouco comum)Usa PKI (chave pública e privada)Ocorre em 2 fases
Fase 1 – Negociar um canal seguro entre 2 nós (SA, chaves e autenticação)○ Relação bidirecionalFase 2 – Comunicação já está segura
IPSec
Socks
Usado para tráfego TCP através de um proxyProvê serviços básicos de firewalls, como NATEvita a análise de tráfego, pois o endereço IP verdadeiro é mascarado pelo NATSó pode ser usado com um proxy
SSL
Protocolo usado no HTTPS, para transferência Web de páginas seguras (transações, em geral)Utiliza autenticação e criptografia
Baseada em chave pública e chave privada
Não é considerado um protocolo VPN, pois comunica apenas 2 entidadesÉ usado também no SSH para comunicação terminal seguraUsa criptografia simétrica DES, 3-DES ou AES
VPN – Vantagens e desvantagens
VantagensSegurança – uso de autenticação e criptografiaVelocidade de deploy – não é necessário esperar novo linkCusto/benefício – Uso de linhas existentes/compartilhadas
DesvantagensOverhead – Processamento dos pacotes e encapsulamentoImplementação – Deve ser integrado aos ambientes de rede já existentes – Endereços, MTU, firewalls, etcPacotes encriptados não podem ser examinados (troubleshooting, filtragem de pacotes)
VLANs
Virtual LANs separam as portas físicas dos switches em agrupamentos “virtuais”Mais oportunidade para gerenciamento do fluxo de dados e redução de broadcastNa maioria dos switches com muitas portas, não há capacidade para throughput caso todas as portas ativem transmissão simultaneamente
O Switch então agrupa as conexões, criando as VlansO tráfego vai sendo encaminhado usando TDM, caso a capacidade esteja no máximoLogo, ele não fará transmissão simultânea, mas receberá o tráfego e encaminhará o mais rápido possível
VLANs - Vantagens
Permite segmentação lógica ao invés de físicaTráfego de broadcast é limitado apenas àquela VLAN
Considere um campus inteiro com apenas 1 switch central; o tráfego de broadcast seria intensoLogo, cada VLAN é um domínio de broadcast separado
Podem ser criadas e gerenciadas dinamicamente, sem limitações físicasPodem ser usadas para balancear tráfego por grupoO isolamento por VLANs aumenta a segurança da rede
VLANs - Características
Máquinas de uma mesma VLAN podem estar em vários switches
Da mesma forma, um switch pode estar ligado a várias VLANsCada porta do SW pode estar atribuída a apenas uma VLAN em determinado instante
Não elimina a necessidade do roteadorFiltragem de tráfego WANEncaminhamento de tráfego em redes separadasPara cada VLAN, é necessário ter ligação com o roteador, para encaminhamento dos pacotes
VLANs - Características
Tipos de ligaçãoAccess link – a porta é utilizada por uma VLANTrunk link – liga dois switches. Permite tráfego de várias lans
Tipos de configuraçãoEstática – configurada manualmente pelo administradorDinâmica – Portas são capazes de obter dinamicamente sua configuração○ Utiliza aplicação que faz mapeamento MAC para VLANFrame tagging – método que permite encaminhamento de pacotes entre switches até o destino○ Usa padrão 802.1q
VLANs - Características
VLANs - Tipos
VLANs – camada 1Operam em camada física para formar o grupo de Vlans
Por isso, são também conhecidas por VLANs baseadas em portas
Parte do princípio que os computadores mais próximos estarão sempre em portas próximas dos switches
Approach bastante tradicional em LANsNem sempre é o mais efetivo
VLANs - Tipos
VLANs – camada 2Operam em camada de enlace para formar o grupo de Vlans
Logo, usam o endereçamento MAC
Pode-se atribuir grupos por endereços MAC, independentemente da porta de conexão
Facilidade de gerenciamento, quando, por exemplo, da mudança de lugar físico da estação
VLANs - Tipos
VLANs – camada 3Operam em camada de rede para formar o grupo de Vlans
Logo, usam o endereçamento IP
Como as redes modernas são geralmente baseadas em IP, reduz mais ainda o tempo de gerenciamentoVLANs – camada 4Operam na camada de transporte
Alocação ainda mais precisa da banda de rede
VLANs - VTP
VLANs Trunking ProtocolUsado para simplificar a configuração de uma VLAN em uma rede com vários switchesPropaga as alterações aos demais switches
Modos de configuraçãoServer – É o switch utilizado para efetuar as alterações de configuração da VLANClient – Recebe as alterações de um serverTransparent – Não recebe alterações de configuração de outro switch (alterações serão apenas locais)Padrão – switch configurado no modo server
Exercícios – Aula 8(TCU/07 – Cespe) Roteadores de borda, firewalls, IDSs, IPSs e VPNs são alguns dos principais elementos do perímetro de segurança da rede.(MPE-AM/08 – Cespe ) Os IDS podem ser embasados em rede ou em host. No primeiro caso, inspecionam o tráfego de rede para detectar atividade maliciosa; no outro, residem no host e, tipicamente, atuam com o objetivo de deter ataques, sem que seja necessária a intervenção do administrador.** Os IPS detectam anomalias na operação da rede e reportam-nas aos administradores para análise e ação posterior.(TER-TO/07 – Cespe) Firewalls e IDS de rede diferem quanto à inspeção de tráfego que realizam: os primeiros analisam o conteúdo dos dados, enquanto os últimos se concentram nos cabeçalhos.
Exercícios – Aula 8(Pref. RB/07 – Cespe) O algoritmo de encriptação DES (data encryption standard) é um algoritmo de encriptação simétrico. O DES foi desenvolvido para competir com o RSA e utiliza chaves de 512 bits.O algoritmo de encriptação RSA (Rivest, Shamir, Adleman) possui um tempo de processamento superior aos algoritmos de encriptação simétricos devido ao tamanho das chaves usadas.Um sistema antriintrusão (IDS) pode utilizar várias técnicas para a detecção de intrusão. Dessas técnicas, a mais usada é a assinatura, na qual o sistema analisa o tráfego da rede e procura por padrões (assinaturas) conhecidos que possam representar um ataque à rede.Em resposta a uma identificação de ataque, um sistema IDS sofisticado pode direcionar o atacante para uma honeypot em que o atacante é monitorado e analisado e as informações podem ser utilizadas pelo IDS.
Exercícios – Aula 8(MPE-RR/08– Cespe) Tanto a criptografia simétrica quanto a assimétrica oferecem sigilo e integridade.A criptografia assimétrica utiliza duas chaves, uma pública e outra privada. Quando uma delas é usada para cifrar a outra é usada para decifrar(TCU/07 – Cespe) Atualmente, os sistemas criptográficos utilizados são incondicionalmente seguros por se basearem na dificuldade de resolução de problemas matemáticos específicos ou em limitações na tecnologia computacional vigente.Em geral, um sistema criptográfico impede que dados sejam deletados, ou que o programa que o implementa seja comprometido.Enquanto a criptografia simétrica utiliza apenas uma chave para cifração e decifração, a assimétrica usa duas.A criptografia assimétrica requer menor esforço computacional que a simétrica.
Exercícios – Aula 8(Serpro/05– Cespe) A formação de redes virtuais privadas (VPN) entre sistemas firewall pode ser feita com o uso do protocolo IPSec, que tem por objetivo o estabelecimento de túneis criptográficos entre sítios confiáveis, com uso exclusivo de criptografia assimétrica.(Pref. Vitoria/07 – Cespe) Os servidores Windows Server 2003 podem ser usados em redes virtuais privadas (VPN). Uma desvantagem das VPN que utilizam esses servidores é que os dados são transferidos nessas redes sem ser criptografados.Certificado digital é um documento eletrônico que permite acesso a serviços online com garantias de autenticidade, integridade, não-repúdio, além de concessão e restrição de acesso. Certificados digitais podem ser emitidos apenas para pessoas físicas.
Exercícios – Aula 8(TJDF/08 – Cespe) O protocolo de autenticação de cabeçalho AH (authentication header) do protocolo de segurança IPSec emprega um campo de autenticação de dados que contém um resumo, protegido por assinatura digital, do datagrama original.(TSE/06 – Cespe) O IPSec garante o sigilo, a autenticidade e a integridade dos dados nos pacotes IP. Para isso, usa informações de dois cabeçalhos, chamados Authentication Header e Encapsulating Security Payload.Em um algoritmo criptográfico embasado em chave privada, a segurança dos dados depende da segurança da chave. Se a chave for descoberta, a segurança é comprometida, pois os dados podem ser decifrados.
Exercícios – Aula 8(TJPE/07 – FCC) Uma VPN é uma rede(A) privada com múltiplas localizações interligadas por meio de uma rede pública.(B) privada com múltiplas localizações interligadas por links privados.(C) pública com múltiplas localizações interligadas por links privados.(D) pública com múltiplas localizações interligadas por links públicos.(E) pública com múltiplas redes privadas nela interligadas.(Câmara/07 – FCC) VLAN abertas e/ou fechadas normalmente são implementadas no modelo OSI, por dispositivos que operam na camada(A) física.(B) de rede.(C) de enlace.(D) de transporte.(E) de aplicação.
Recommended