Upload
elliando-dias
View
6.445
Download
1
Embed Size (px)
DESCRIPTION
Citation preview
GSegGSegUFRGSUFRGS
Sistemas de Detecção deIntrusão
Rafael Campello e Raul Weber
UFRGS – II – PPGC – GSegCentro Universitário Franciscano
Florianópolis, 23 Maio de 2001
XIX Simpósio Brasileiro de Redes de Computadores
Grupo de Segurança - UFRGS 2
GSegGSegUFRGSUFRGS
♦ Grupo de Segurança da UFRGS
♦ Pesquisas– Sistemas de Detecção de Intrusão (IDS)
– Controle de Integridade de Arquivos
– Injeção de Falhas (TCP/IP)
– Votação Eletrônica
– Dinheiro Digital
GSegGSegUFRGSUFRGS
Grupo de Segurança - UFRGS 3
GSegGSegUFRGSUFRGS
Objetivos do Curso
♦ Apresentar os princípios de um sistema dedetecção de intrusão e seu uso comomecanismo de tolerância a falhas desegurança
♦ Abordar aspectos conceituais
♦ Tecer algumas considerações práticas
Grupo de Segurança - UFRGS 4
GSegGSegUFRGSUFRGS
Público Alvo
♦ Estudantes de computação ou engenharia– noções de redes de computadores
– noções de sistemas operacionais
♦ Profissionais ligados à administração ou àgerência de segurança em redes decomputadores
Grupo de Segurança - UFRGS 5
GSegGSegUFRGSUFRGS
Programa
♦ Fundamentos de segurança
♦ Sistemas de Detecção de Intrusão (IDSs)
♦ Exemplos de IDSs
♦ Considerações práticas
Grupo de Segurança - UFRGS 6
GSegGSegUFRGSUFRGS
Fundamentos de Segurança
♦ Conceitos básicos
♦ Ameaças e ataques
♦ Mecanismos de proteção
Grupo de Segurança - UFRGS 7
GSegGSegUFRGSUFRGS
Sistemas de Detecção de Intrusão
♦ Conceitos básicos
♦ Métodos de detecção de intrusão
♦ Arquiteturas de IDS
Grupo de Segurança - UFRGS 8
GSegGSegUFRGSUFRGS
Exemplos de IDSs
♦ Snort
♦ Bro
♦ AAFID
♦ EMERALD
♦ RealSecure
♦ NFR
Grupo de Segurança - UFRGS 9
GSegGSegUFRGSUFRGS
Considerações Práticas
♦ Seleção e implementação
♦ Vulnerabilidades conhecidas
♦ Aspectos legais
Grupo de Segurança - UFRGS 10
GSegGSegUFRGSUFRGS
Cronograma
♦ Fundamentos de segurança
coffee-break (10h30min – 11h)
♦ Sistemas de Detecção de Intrusão
almoço (13h – 14h)
♦ Exemplos de IDS
♦ Considerações práticas
Grupo de Segurança - UFRGS 11
GSegGSegUFRGSUFRGS
Regra número 1
FAÇA PERGUNTAS DURANTE AAPRESENTAÇÃO !!!
GSegGSegUFRGSUFRGS
Fundamentos de Segurança
Grupo de Segurança - UFRGS 13
GSegGSegUFRGSUFRGS
Segurança: introdução
♦ Não começou como ciência nem como arte,mas como um instinto
♦ Maior interesse do homem, durante a suahistória– segurança própria, da família, dos bens, etc
♦ Matéria de sobrevivência– criada naturalmente p/ garantir a sobrevivência
das espécies
Grupo de Segurança - UFRGS 14
GSegGSegUFRGSUFRGS
Segurança: introdução
♦ A vida seria melhor sem essaspreocupações– tranqüilidade/felicidade de décadas atrás
♦ Paradoxo:– busca-se algo que não é desejado
♦ Principal motivo do descaso e dodespreparo
Grupo de Segurança - UFRGS 15
GSegGSegUFRGSUFRGS
Segurança: introdução
♦ Atitude mais cômoda e barata:– torcer para que nada aconteça– semelhante a esperar que sua casa não seja
roubada
♦ Atitude correta:– cercar-se de cuidados– preparar-se para lidar com os problemas– analogia: colocar um alarme e fazer um seguro
da casa
Grupo de Segurança - UFRGS 16
GSegGSegUFRGSUFRGS
Segurança: introdução
♦ Por que ser negligente?– segurança é custo– segurança é perda na facilidade de uso– valor da informação, da reputação e dos
serviços da organização não são levados emconsideração
♦ Em suma:– custos com importância maximizada...– ...em detrimento de valores mais importantes
Grupo de Segurança - UFRGS 17
GSegGSegUFRGSUFRGS
Segurança: evolução
♦ Estímulo para o desenvolvimento docomputador eletrônico
♦ Década de 40– Colossus (Primeiro Computador Eletrônico)
• Decifrar as mensagens na 2º Guerra Mundial
Grupo de Segurança - UFRGS 18
GSegGSegUFRGSUFRGS
Segurança: evolução
♦ Fim da guerra: preocupações comsegurança focadas em problemas físicos
♦ Computadores não possibilitavam o acessodireto a seus usuários– Inviabiliza qualquer tipo de ação contra sua
segurança.
Grupo de Segurança - UFRGS 19
GSegGSegUFRGSUFRGS
Segurança: evolução
♦ Novas ameaças– máquinas com acesso compartilhado (time-
sharing)
– Teleprocessamento
– Computadores pessoais
– Redes
Grupo de Segurança - UFRGS 20
GSegGSegUFRGSUFRGS
Ameaças: exemplos
♦ Destruição de informação ou de outrorecurso
♦ Modificação ou deturpação da informação
♦ Roubo, remoção ou perda de informação
♦ Revelação de informação
♦ Interrupção de serviços
Grupo de Segurança - UFRGS 21
GSegGSegUFRGSUFRGS
Atacantes
♦ Hacker/Cracker
♦ Script Kid, One-click hacker
♦ Espião
♦ Terrorista
♦ Atacante corporativo
♦ Vândalo
♦ Voyeur
Mitnick
Bart Simpson
Grupo de Segurança - UFRGS 22
GSegGSegUFRGSUFRGS
Ameaças: evolução
♦ Década de 80 - ataques individuais eisolados– Escolha de boas senhas
– Prevenir o compartilhamento indiscriminado
– Eliminar os bugs de segurança de programas
Grupo de Segurança - UFRGS 23
GSegGSegUFRGSUFRGS
Ameaças: evolução
♦ Década de 90 - ataques sofisticados– Sniffers capturam senhas e outras informações
– Computadores são confundidos por IPspoofing
– Sessões são desviadas através de connectionhijacking
– Dados são comprometidos via data spoofing
– Atacantes na maioria amadores (One-clickhacker, Script Kid)
Grupo de Segurança - UFRGS 24
GSegGSegUFRGSUFRGS
Segurança: conceitos
♦ Tentativa de minimizar a vulnerabilidadede bens e recursos
♦ Mais abrangente: dotar os sistemas de:– confiabilidade – integridade
– disponibilidade – autenticidade
– privacidade
Grupo de Segurança - UFRGS 25
GSegGSegUFRGSUFRGS
Segurança: conceitos
♦ O que se quer proteger?– confiabilidade
– disponibilidade
– integridade
– privacidade
– autenticidade
Grupo de Segurança - UFRGS 26
GSegGSegUFRGSUFRGS
Segurança: conceitos
Dependability
Meios
De validação
De realização
Prevençãode falhas
Tolerância afalhas
Remoção defalhas
Previsão defalhas
Detecção de erros
Confinamento eavaliação de danos
Recuperação de erros
Tratamento defalhas
Atributos
Confiabilidade
Disponibilidade
...
Falhas
Humanas
Interação
Projeto
Intermitentes
Transitórias
Intencionais
Não intencionais
Físicas
Temporárias
Permanentes
Dependability
Meios
De validação
De realização
Prevençãode falhas
Tolerância afalhas
Remoção defalhas
Previsão defalhas
Detecção de erros
Confinamento eavaliação de danos
Recuperação de erros
Tratamento defalhas
Atributos
Confiabilidade
Disponibilidade
...
Grupo de Segurança - UFRGS 27
GSegGSegUFRGSUFRGS
Segurança: conceitos
♦ Validação– remoção de falhas– previsão de falhas
♦ Prevenção de falhas
♦ Tolerância a falhas– detecção de erros– confinamento e avaliação de danos– recuperação de erros– tratamento de falhas
Grupo de Segurança - UFRGS 28
GSegGSegUFRGSUFRGS
Segurança: conceitos
♦ Prevenção de falhas– ex.: firewalls, criptografia, etc
♦ Detecção de falhas– ex.: sistemas de detecção de intrusão
♦ Resposta– ex.: reconfiguração de um firewall
Grupo de Segurança - UFRGS 29
GSegGSegUFRGSUFRGS
Exemplo 1: propriedade privada
♦ Prevenção– trancas em portas, grades nas janelas, muros
ao redor da propriedade
♦ Detecção– perceber o desaparecimento de algum objeto,
usar alarmes e circuitos de TV
♦ Reação– chamar a polícia, reaver objetos roubados,
acionar o seguro
Grupo de Segurança - UFRGS 30
GSegGSegUFRGSUFRGS
Exemplo 2: redes
♦ Prevenção– gerenciamento adequado, firewalls, proxies
♦ Detecção– perceber anomalias no tráfego ou interrupção
de serviços, auditoria, IDS
♦ Reação– relatar o incidente, reinstalar softwares,
redefinir políticas de segurança, demitir oresponsável
Grupo de Segurança - UFRGS 31
GSegGSegUFRGSUFRGS
Segurança: conceitos
♦ Ameaça
♦ Incidente– atacante → ataque → objetivo
♦ Ataque– ferramenta → vulnerabilidade → evento →
resultado não autorizado
♦ Evento– ação → alvo
Grupo de Segurança - UFRGS 32
GSegGSegUFRGSUFRGS
Segurança: conceitos
Hacker
Espião
Terrorista
AtacanteCorporativoCriminoso
Profissional
Vândalo
Voyeur
Atacantes
Ataquefísico
Troca deInformaçãoComandode UsuárioScript ouPrograma
AgenteAutônomo
Toolkit
FerramentaDistribuída
Ferramenta
Interceptação de dados
Projeto
Implementação
Configuração
Vulnerabilidade
Probe
Varredura
Flood
Autenticação
Desvio
Spoof
Leitura
Ação
Cópia
Conta
Processo
Dado
Componente
Computador
Rede
Inter-rede
Alvo
AcessoAmpliado
Revelação deInformaçãoInformaçãoCorrompidaNegação de
ServiçoRoubo deRecursos
Resultado ñAutorizado
Desafio,statusGanhoPolíticoGanho
Financeiro
Dano
Objetivos
Roubo
Modificação
Destruição
evento
ataque(s)
incidente
Grupo de Segurança - UFRGS 33
GSegGSegUFRGSUFRGS
Principais Ataques
♦ Engenharia social
♦ Coleta de informação
♦ Varredura
♦ Negação de serviço (DoS)
♦ Exploração de bugs
♦ Exploração de protocolos
♦ Sniffers
♦ Ataque do dicionário
♦ Código malicioso
Grupo de Segurança - UFRGS 34
GSegGSegUFRGSUFRGS
Engenharia Social
♦ Método: enganar as vítimas, por conversa,telefone ou correio eletrônico
♦ Objetivos:– obter informações valiosas
– obter privilégios
– convencer a vítima a executar ações indevidase perigosas
Grupo de Segurança - UFRGS 35
GSegGSegUFRGSUFRGS
Engenharia Social
♦ Prevenção: educação e conscientização– não fornecer informações a estranhos
– exigir identificação
– escolher boas senhas
– não executar ações sem pensar (como executarum programa anexo à uma mensagem)
Grupo de Segurança - UFRGS 36
GSegGSegUFRGSUFRGS
Coleta de Informação
♦ Informações úteis (ao atacante)– domínio e servidores (whois e nslookup)– números IP (nslookup e traceroute)– arquitetura das máquinas (CPU, sistema
operacional)– servidores (versões e plataforma)– serviços de proteção (firewall, VPNs, ACL)– acesso remoto (telefones, usuários
autorizados)– usuários (nomes, cargos, funções)
Grupo de Segurança - UFRGS 37
GSegGSegUFRGSUFRGS
Coleta de Informação
♦ Problema: algumas informações devem serpúblicas
♦ Prevenção: evitar o fornecimento de informaçãodesnecessária
♦ Toda a informação vital para operação deve serobviamente fornecida, mas qualquer informaçãoadicional deve ser suprimida
Grupo de Segurança - UFRGS 38
GSegGSegUFRGSUFRGS
Varredura (Scanning)
♦ Teste sistemático dos números IP de umaorganização
♦ Determinação dos serviços estão ativos(quais portas estão escutando)
♦ Prevenção: limitar o tráfego desnecessário(filtro de pacotes ou firewall)
Grupo de Segurança - UFRGS 39
GSegGSegUFRGSUFRGS
Negação de Serviço
♦ DoS ou denial-of-service
♦ Objetivo: impedir o uso legítimo dosistema, ou “derrubar” a máquina
♦ Inúmeras formas– ping of death
– syn flood
– smurf attack
– UDP flood
Grupo de Segurança - UFRGS 40
GSegGSegUFRGSUFRGS
Negação de Serviço
♦ Impedir DoS é quase impossível
♦ Distribuir os serviços para a maioriapermanecer operacional
♦ Manter-se atualizado sobre asvulnerabilidades apresentadas pela versãoatual do sistema
Grupo de Segurança - UFRGS 41
GSegGSegUFRGSUFRGS
Exploração de bugs
♦ Explorar “furos” de implementação paraobter privilégios
♦ Prevenção (em programas próprios)– boas práticas de engenharia de software
– verificar erros comuns (estouros de buffers)
– verificar as entradas
– lei do menor privilégio
Grupo de Segurança - UFRGS 42
GSegGSegUFRGSUFRGS
Buffer Overflow
func_1(){ int a, b;
func_2();}
a, bc, d
func_2(){ int c, d;
func_3();}
end da func 1
buf
func_3(){ char buf[100];
read_user_input(buf);}
end da func 2
evil_assembly_code()
end do buf
Grupo de Segurança - UFRGS 43
GSegGSegUFRGSUFRGS
Exploração de bugs
♦ Prevenção (em programas de terceiros)– verificar vulnerabilidades conhecidas
– aplicar os patches disponíveis
– manter-se informado e atualizado
♦ Nenhum sistema é seguro
♦ Nenhum patch é perfeito
♦ Mas a maioria dos atacantes só sabeexplorar bugs, e não criá-los
Grupo de Segurança - UFRGS 44
GSegGSegUFRGSUFRGS
Exploração de Protocolos
♦ Muitos são derivados de falhas nomecanismo de autenticação– IP spoofing: utilizar um endereço IP confiável– DNS spoofing: subverter o servidor de nomes– Source Routing: utilizar os mecanismos de
roteamento– Ataque RIP: enviar informações de
roteamento falsas– Ataque ICMP: explorar msgs como redirect e
destination unreachable
Grupo de Segurança - UFRGS 45
GSegGSegUFRGSUFRGS
Sniffer
♦ sniffing - interface de rede que opera modopromíscuo, capturando todos os pacotes
♦ É fácil para um programa sniffer obterusername e password dos usuários
♦ Utilização de sniffer é difícil de serdetectada
Grupo de Segurança - UFRGS 46
GSegGSegUFRGSUFRGS
Ataque do Dicionário
♦ Um dos arquivos mais cobiçados poratacantes é o de senhas– Unix: /etc/passwd
– Windows: *.pwl
– Windows NT: SAM
♦ Senhas cifradas
Grupo de Segurança - UFRGS 47
GSegGSegUFRGSUFRGS
Ataque do Dicionário
♦ Pessoas utilizam senhas facilmentememorizáveis, como nomes próprios oupalavras de uso corriqueiro
♦ Atacante compõe um dicionário eexperimenta todas as palavras destedicionário contra a cifra armazenada noarquivo de senhas
Grupo de Segurança - UFRGS 48
GSegGSegUFRGSUFRGS
Ataque do Dicionário
♦ Vários programas disponíveis (Crack, etc)
♦ Ação preventiva: atacar o próprio arquivo desenhas
♦ Não utilizar senhas derivadas de palavras enomes
♦ Utilizar letras iniciais de frases ou palavras comerros
Grupo de Segurança - UFRGS 49
GSegGSegUFRGSUFRGS
Código Malicioso
♦ Cavalos de Tróia (não se propagam)– falsa tela de Login
– falsa Operação
♦ Vírus
♦ Backdoors
♦ Controle Remoto (Netbus, Back Orifice)
Grupo de Segurança - UFRGS 50
GSegGSegUFRGSUFRGS
Código Malicioso
♦ Prevenção: Monitores
♦ Impossível tratamento exato e confiável
♦ Manter anti-vírus atualizado
♦ Preparar procedimento de emergência
Grupo de Segurança - UFRGS 51
GSegGSegUFRGSUFRGS
Segurança: tipos
♦ Nenhuma segurança
♦ Segurança por obscuridade
♦ Segurança baseada em máquina
♦ Segurança baseada em rede
♦ Combinação de mecanismos
Grupo de Segurança - UFRGS 52
GSegGSegUFRGSUFRGS
Segurança: estratégias
♦ Atribuir privilégios mínimos
♦ Criar redundância de mecanismos
♦ Criar ponto único de acesso
♦ Determinar os pontos mais fracos
♦ Tornar o sistema livre de falhas (fail-safe)
♦ Incentivar a participação universal
♦ Investir na diversidade de defesa
♦ Prezar a simplicidade
Grupo de Segurança - UFRGS 53
GSegGSegUFRGSUFRGS
Segurança: posturas
♦ Postura padrão de negação (prudente)– especificar o que é permitido
– proibir o resto
♦ Postura padrão de permissão (permissiva)– especificar o que é proibido
– permitir o resto
Grupo de Segurança - UFRGS 54
GSegGSegUFRGSUFRGS
Medidas de segurança
♦ O que se está querendo proteger?
♦ O que é preciso para proteger?
♦ Qual a probabilidade de um ataque?
♦ Qual o prejuízo se o ataque for bemsucedido?
♦ Implementar procedimentos de segurançairá ser vantajoso no ponto de vista custo-benefício?
Grupo de Segurança - UFRGS 55
GSegGSegUFRGSUFRGS
Política de segurança
♦ Conjunto de leis regras e práticas queregulam (informações e recursos):
– como gerenciar
– como proteger
– como distribuir
♦ Sistema seguro = sistema que garante ocumprimento da política de segurançatraçada
Grupo de Segurança - UFRGS 56
GSegGSegUFRGSUFRGS
Política de segurança
♦ Define o que é e o que não é permitido nosistema
♦ Define o comportamento autorizado paraos indivíduos que interagem com o sistema
Grupo de Segurança - UFRGS 57
GSegGSegUFRGSUFRGS
Mecanismos para segurança
♦ Wrappers
♦ Firewalls
♦ Criptografia
♦ Redes Privadas (VPNs)
♦ Ferramentas de verificação
Grupo de Segurança - UFRGS 58
GSegGSegUFRGSUFRGS
Wrapers
♦ TCP Wrappers são um conjunto deprogramas que “encapsulam” os daemonsdos serviços de rede visando aumentar suasegurança
♦ Funcionam como um filtro e estendem oserviço original
Grupo de Segurança - UFRGS 59
GSegGSegUFRGSUFRGS
Wrapers
♦ O wrapper não pode ser considerado umaferramenta para segurança total
♦ Visa suprir deficiências dos servidoresatuais e aumentar o controle sobre suautilização
♦ Ótima ferramenta para registro (log)
Grupo de Segurança - UFRGS 60
GSegGSegUFRGSUFRGS
Firewalls
♦ Conjunto de componentes colocados entreduas redes e que coletivamenteimplementam uma barreira de segurança
♦ Finalidade– retardar os efeitos de um ataque até que
medidas administrativas contrárias sejamexecutadas
Grupo de Segurança - UFRGS 61
GSegGSegUFRGSUFRGS
Firewalls
♦ Objetivo básico– defender a organização de ataques externos
♦ Efeito secundário– pode ser utilizado para regular o uso de
recursos externos pelos usuários internos
Grupo de Segurança - UFRGS 62
GSegGSegUFRGSUFRGS
Firewalls
DMZ
Internet
Rede interna
Grupo de Segurança - UFRGS 63
GSegGSegUFRGSUFRGS
Firewalls
♦ Pode ser implementado utilizando doismecanismos básicos:– filtragem de pacotes
• análise dos pacotes que passam pelo firewall
– servidores proxy• análise dos serviços sendo utilizados
Grupo de Segurança - UFRGS 64
GSegGSegUFRGSUFRGS
Criptografia
♦ Não existe sistema absolutamente seguro
♦ Toda criptografia pode ser “quebrada”
♦ Complexidade temporal
♦ Complexidade econômica
♦ Segurança “computacional”
Grupo de Segurança - UFRGS 65
GSegGSegUFRGSUFRGS
Criptografia de chave única
Única
Esta mensagem ésecreta, poiscontém dados damais altaimportância paraa nossa empresa.
fsdfsdgfdghdgkdhfgkdshgksdfghkdshgfksdfghkfdsgiuerbdhbkdbskfbhkbsldbhdfskbhdksfbhkdbhdbfkhsdkbhdfk
fsdfsdgfdghdgkdhfgkdshgksdfghkdshgfksdfghkfdsgiuerbdhbkdbskfbhkbsldbhdfskbhdksfbhkdbhdbfkhsdkbhdfk
CIFRAGEM
Esta mensagem ésecreta, poiscontém dados damais altaimportância paraa nossa empresa.
DECIFRAGEM TRANSMISSÃO
Alice Bob
Única
Grupo de Segurança - UFRGS 66
GSegGSegUFRGSUFRGS
Criptografia de chave única
♦ Única chave para cifragem e decifragem
♦ Substituição, permutação, operaçõesalgébricas
♦ Alta velocidade
♦ Problemas na distribuição de chaves
Grupo de Segurança - UFRGS 67
GSegGSegUFRGSUFRGS
Criptografia de chave pública
PubPub Priv
Esta mensagem ésecreta, poiscontém dados damais altaimportância paraa nossa empresa.
fsdfsdgfdghdgkdhfgkdshgksdfghkdshgfksdfghkfdsgiuerbdhbkdbskfbhkbsldbhdfskbhdksfbhkdbhdbfkhsdkbhdfk
fsdfsdgfdghdgkdhfgkdshgksdfghkdshgfksdfghkfdsgiuerbdhbkdbskfbhkbsldbhdfskbhdksfbhkdbhdbfkhsdkbhdfk
CIFRAGEM
Esta mensagem ésecreta, poiscontém dados damais altaimportância paraa nossa empresa.
DECIFRAGEM TRANSMISSÃO
Alice Bob
Grupo de Segurança - UFRGS 68
GSegGSegUFRGSUFRGS
Criptografia de chave pública
♦ Duas chaves: uma pública e outra secreta
♦ Cifragem com uma chave somente édecifrada com a outra chave
Grupo de Segurança - UFRGS 69
GSegGSegUFRGSUFRGS
Criptografia de chave pública
♦ Privacidade: cifrar com chave pública;somente chave secreta pode decifrar
♦ Assinatura: cifrar com chave secreta; chavepública decifra e identifica usuário
Grupo de Segurança - UFRGS 70
GSegGSegUFRGSUFRGS
Criptografia + Assinatura
Fsdjfljgljdlgjdlgjldgjldjgldjgldjfgljdfljlvbkjn;x923q8508hugdkbnmsbn5y9[6590mnkpmjfw44n50b0okythp;jguent039oktrpgerjhgwunpt058bngnwug09u6buyhjoireueyu848ybnuyue98
Pub
Bob
Pub Priv
Esta mensagem ésecreta, poiscontém dados damais altaimportância paraa nossa empresa.
h25c924fed23
Pub Priv
Alice
Pub
Fsdjfljgljdlgjdlgjldgjldjgldjgldjfgljdfljlvbkjn;x923q8508hugdkbnmsbn5y9[6590mnkpmjfw44n50b0okythp;jguent039oktrpgerjhgwunpt058bngnwug09u6buyhjoireueyu848ybnuyue98
Esta mensagem ésecreta, poiscontém dados damais altaimportância paraa nossa empresa.
4932uvf9vbd8bbfgbfg 4932uvf9vbd8bbfgbfgh25c924fed23
Grupo de Segurança - UFRGS 71
GSegGSegUFRGSUFRGS
Criptografia de chave pública
♦ Operação: funções aritméticas complexas
♦ Baixa velocidade, fácil distribuição dechaves
♦ Exemplos: RSA, DSS, DH, El Gamal (512a 2048 bits)
Grupo de Segurança - UFRGS 72
GSegGSegUFRGSUFRGS
Ferramentas de Análise
♦ COPS (Computer Oracle and PasswordProgram)
♦ SATAN (Security Analysis Tool forAuditing Network)
♦ ISS (Internet Security Scanner)
♦ SAINT (Security Administrator’sIntegrated Network Tool)
♦ Nessus (um dos mais atuais)
Grupo de Segurança - UFRGS 73
GSegGSegUFRGSUFRGS
Verificadores de Integridade
♦ Verificar se arquivos e configuraçõespermanecem inalterados
♦ Compara a situação atual com a situação inicial
♦ Utiliza funções de checksum e hash
♦ Hash a nível criptográfico: MD5, SHA
♦ Exemplo: Tripwire, Soffic (UFRGS)
Grupo de Segurança - UFRGS 74
GSegGSegUFRGSUFRGS
Verificadores de Senhas
♦ Verificar se uma senha pode ser “quebrada”
– Exemplo: Crack
♦ Verificar se uma senha é “fácil”
– Exemplos: npasswd, passwd+
Grupo de Segurança - UFRGS 75
GSegGSegUFRGSUFRGS
Analisadores de Logs
♦ Facilitar a análise de arquivos de logs
♦ Realizar logs mais detalhados (além de um grep)
♦ Exemplos:– Swatch (Simple Watcher)
– Netlog
– LogSurfer
Grupo de Segurança - UFRGS 76
GSegGSegUFRGSUFRGS
Segurança (resumindo)
♦ Segurança é um atributo negativo– é fácil detectar pontos inseguros
– é difícil (impossível ?!?) provar segurança
♦ Segurança por obscuridade não ésegurança– não adianta se esconder
– não adianta ser otimista
– esteja preparado
Grupo de Segurança - UFRGS 77
GSegGSegUFRGSUFRGS
Segurança (resumindo)
♦ Segurança é um atributo global– envolve vários componentes do sistema
– envolve vários mecanismos
– analogia: poucos confiam apenas nas trancasde seus carros
♦ Falsa sensação de segurança pode ser piordo que a falta de cuidados
GSegGSegUFRGSUFRGS
Sistemas de Detecção deIntrusão
Grupo de Segurança - UFRGS 79
GSegGSegUFRGSUFRGS
Sistemas de Detecção de Intrusão
♦ Número crescente de ataques/incidentes
132 252 406 773 13342340 2412 2573 2134
3734
9859
21756
0
5000
10000
15000
20000
25000
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
Inci
de
nte
s R
ep
ort
ad
os♦ Complexidade crescente
♦ Ferramentas de ataque cada vez maiseficientes
♦ Tempos de recuperação proibitivos
Grupo de Segurança - UFRGS 80
GSegGSegUFRGSUFRGS
Sistemas de Detecção de Intrusão
♦ Prevenção não é suficiente
♦ Importância da diversidade de defesa
♦ Solução: Detecção de Intrusão– garantir comportamento livre de falhas
Grupo de Segurança - UFRGS 81
GSegGSegUFRGSUFRGS
Sistemas de Detecção de Intrusão
♦ Detecção de intrusão:– tarefa de coletar e analisar eventos, buscando
sinais de intrusão e de mau-uso
♦ Intrusão:– uso inapropriado de um sistema de informação
– ações tomadas para comprometer aprivacidade, integridade ou a disponibilidade
Grupo de Segurança - UFRGS 82
GSegGSegUFRGSUFRGS
Sistemas de Detecção de Intrusão
♦ Detecção de intrusão X detecção de ataque– intrusão: ação já concretizada
– ataque: ação maliciosa que gera um resultadonão autorizado
♦ Reação?
Grupo de Segurança - UFRGS 83
GSegGSegUFRGSUFRGS
IDS X Auditoria
♦ Ferramentas de auditoria– prevenção
– confinamento e avaliação de danos
– tratamento de falhas
– Analogia: consultores e/ou peritos criminais
♦ IDSs– detecção
– analogia: vigia noturno
Grupo de Segurança - UFRGS 84
GSegGSegUFRGSUFRGS
IDS: classificação
♦ Segundo os métodos de detecção usados
♦ Segundo a arquitetura adotada– alvo
– localização
Grupo de Segurança - UFRGS 85
GSegGSegUFRGSUFRGS
IDS: classificação
♦ Segundo o método de detecção– baseado em comportamento
– baseado em assinaturas
♦ Segundo a arquitetura– alvo
• baseado em rede
• baseado em host
• híbrido
– localização• centralizado
• hierárquico
• distribuído
Grupo de Segurança - UFRGS 86
GSegGSegUFRGSUFRGS
IDS: classificação
IDS
Arquitetura
Comportam.pós-detecção
Freqüência deuso
Método deDetecção
Baseado emComportamento
Baseado emAssinaturas
Passivo
Ativo
Monitoramentocontínuo
Análise periódica
Segundo o alvo
Segundo alocalização
Centralizado
Hierárquico
Distribuído
Baseado em Rede
Baseado em Host
Híbrido
Grupo de Segurança - UFRGS 87
GSegGSegUFRGSUFRGS
IDS: histórico
♦ Conceito surgido no início dos anos 80♦ 1ª Geração
– registros de auditoria eram processados offline– surgimento dos métodos baseados em
comportamento e em assinaturas
♦ 2ª Geração– processamento estatisticamente + sofisticado– mais medidas de comportamento monitoradas– alertas em “tempo real” tornaram-se possíveis
Grupo de Segurança - UFRGS 88
GSegGSegUFRGSUFRGS
IDS: histórico
♦ 3ª Geração– uso dos conceitos anteriores para sistemas em
rede/sistemas distribuídos
– uso de novas técnicas para detecção (sistemasespecialistas, redes neurais, data mining, etc)
– surgimento dos primeiros IDSs comerciais
Grupo de Segurança - UFRGS 89
GSegGSegUFRGSUFRGS
IDS: estrutura
♦ Componentes funcionalmente semelhantes– independente da arquitetura/método adotados
♦ Muitas vezes agrupados
♦ Modularidade importante na aplicação e nodesenvolvimento de novos IDS
Grupo de Segurança - UFRGS 90
GSegGSegUFRGSUFRGS
IDS: componentes
♦ Geradores de eventos
♦ Analisadores de eventos
♦ Bases de dados de eventos
♦ Unidades de resposta
Grupo de Segurança - UFRGS 91
GSegGSegUFRGSUFRGS
IDS: padronização
♦ CIDF (Common Intrusion DetectionFramework)
♦ IDWG (Intrusion Detection WorkingGroup)
Grupo de Segurança - UFRGS 92
GSegGSegUFRGSUFRGS
IDS: IDWG
IDS
Origem dosDados
Sensor
Analisador
Operador
GerenteAdministrador
Atividade
Evento
AlertaPolítica deSegurança
Notificação
Resposta
Grupo de Segurança - UFRGS 93
GSegGSegUFRGSUFRGS
IDS: métodos de detecção
♦ Responsáveis diretos na busca por indíciosde intrusão
♦ Dois grandes grupos:– técnicas baseadas em comportamento
– técnicas baseadas em assinaturas
Grupo de Segurança - UFRGS 94
GSegGSegUFRGSUFRGS
IDS: baseado em comportamento
♦ Detecção por anomalia
♦ Caracteriza o comportamento do sistemaem normal e anômalo
♦ Habilidade de distinguir o comportamentonormal de um anômalo
Anômalo Normal
Intrusão ComportamentoNormal
Grupo de Segurança - UFRGS 95
GSegGSegUFRGSUFRGS
IDS: baseado em comportamento
♦ Compara o estado atual do sistema com ocomportamento considerado normal
♦ Desvios são considerados intrusões
♦ Ex.: conexões externas em horáriosincomuns, padrão de digitação
♦ Outros exemplos ???
Grupo de Segurança - UFRGS 96
GSegGSegUFRGSUFRGS
IDS: baseado em assinaturas
♦ Também chamada de detecção por mau uso
♦ Divide as ações do sistema em aceitáveis enão aceitáveis
♦ Habilidade de encontrar tentativas deexploração de vulnerabilidades conhecidas
Não aceitável Aceitável
Intrusão AçãoNormal
Grupo de Segurança - UFRGS 97
GSegGSegUFRGSUFRGS
IDS: baseado em assinaturas
♦ Compara as ações realizadas no sistemacom uma base de assinaturas de ataques
♦ Ex.: cópia do arquivo de senhas(/etc/passwd)
♦ Outros exemplos ???
Grupo de Segurança - UFRGS 98
GSegGSegUFRGSUFRGS
IDS: arquiteturas
♦ Diretamente ligado ao desempenho
♦ Segundo o alvo– baseado em rede– baseado em host– híbrido
♦ Segundo a localização– centralizado– hierárquico– distribuído
Grupo de Segurança - UFRGS 99
GSegGSegUFRGSUFRGS
IDS: rede
♦ Dados analisados são retirados da rede
♦ Detecção de ataques relacionados aotráfego de rede
♦ Ex: captura de pacotes, estatísticas detráfego
♦ Outros exemplos ???
Grupo de Segurança - UFRGS 100
GSegGSegUFRGSUFRGS
IDS: host
♦ Dados obtidos na própria máquina
♦ Detecção de ataques relacionados a açõeslocais
♦ Ex: trilhas de auditoria, cópias de arquivos
♦ IDSs baseados em aplicação: outra classe
Grupo de Segurança - UFRGS 101
GSegGSegUFRGSUFRGS
IDS: níveis
IDS baseado em rede
IDS baseado em host
IDS baseado em aplicação
Nível deabstração
Grupo de Segurança - UFRGS 102
GSegGSegUFRGSUFRGS
IDS: centralizado
♦ Função como coleta, análise e gerência emum único componente
Coletor
Analisador
Gerente
Máquina A
Coletor
Analisador
Gerente
Máquina B
Coletor
Analisador
Gerente
Máquina C
Grupo de Segurança - UFRGS 103
GSegGSegUFRGSUFRGS
IDS: hierárquico
♦ Funções distribuídas mas com fortesrelações de hierarquia
Analisador
Máquina B
Coletor
Máquina C
Coletor
Máquina D
Coletor
Máquina E
Gerente
Máquina A
Grupo de Segurança - UFRGS 104
GSegGSegUFRGSUFRGS
IDS: distribuído
♦ Funções livremente distribuídas
Analisador
Máquina B
Analisador
Máquina C
Coletor
Máquina D
Coletor
Máquina E
Gerente
Máquina A
GSegGSegUFRGSUFRGS
Métodos de Detecção
Grupo de Segurança - UFRGS 106
GSegGSegUFRGSUFRGS
Métodos Tradicionais
♦ Busca “manual” por indícios de intrusão
♦ Realizada há bastante tempo (empírica)
♦ Técnicas de auditoria de sistemas
♦ Técnicas de gerência de redes
Grupo de Segurança - UFRGS 107
GSegGSegUFRGSUFRGS
Métodos Tradicionais
♦ Análise de trilhas de auditoria– registrar principais eventos
– selecionar eventos importantes
– buscar por indícios de intrusão (offline)
♦ Problemas– manipulação de grandes qtdes de informação
– tamanho das trilhas (armazenamento)
– dificuldade de correlação de eventos
Grupo de Segurança - UFRGS 108
GSegGSegUFRGSUFRGS
Métodos Tradicionais
♦ Análise de dados de gerência de redes– uso de padrões como SNMP e RMON
– captura de pacotes (TCPdump, Ethereal)
– buscar por indícios de intrusão (tráfegoestranho, pacotes mau formados)
♦ Problemas– manipulação de grandes qtdes de informação
– grande experiência em redes
– baixa eficiência
Grupo de Segurança - UFRGS 109
GSegGSegUFRGSUFRGS
Análise por assinaturas
♦ Método muito utilizado
♦ Dificuldade: correlacionar dados coletadoscom as assinaturas existentes
♦ Principais técnicas:– Filtros de pacotes– Sistemas especialistas– Redes de Petri
Grupo de Segurança - UFRGS 110
GSegGSegUFRGSUFRGS
Análise por assinaturas
♦ Vantagens– baixo nº de falsos positivos
– adoção de contra-medidas imediatas
– redução na quantidade de informação tratada
– melhor desempenho
Grupo de Segurança - UFRGS 111
GSegGSegUFRGSUFRGS
Análise por assinaturas
♦ Desvantagens– detecção só para ataques conhecidos
– dificuldade de manutenção
– base de assinaturas pode ser usada em novosataques
– difícil detecção de abusos de privilégios
Grupo de Segurança - UFRGS 112
GSegGSegUFRGSUFRGS
Análise por comportamento
♦ Comportamento estático X dinâmico
♦ Dificuldade: estabelecer comportamentopadrão
♦ Principais técnicas:– análise estatística
– sistemas especialistas
Grupo de Segurança - UFRGS 113
GSegGSegUFRGSUFRGS
Análise por comportamento
♦ Vantagens– detecção de ataques desconhecidos
– usado na criação de novas bases de assinaturas
– esforço de manutenção reduzido
– menos dependente de plataforma
– facilita a detecção de abusos de privilégios
Grupo de Segurança - UFRGS 114
GSegGSegUFRGSUFRGS
Análise por comportamento
♦ Desvantagens– dificuldade de configuração
– maior nº de falsos positivos
– relatórios de difícil análise
– menor desempenho (cálculos complexos)
– dificuldade de lidar com mudanças normais decomportamento
Grupo de Segurança - UFRGS 115
GSegGSegUFRGSUFRGS
Métodos Avançados
♦ Estudo de novas formas de análise
♦ Complexos
♦ Desempenho reduzido
♦ Implantação e manutenção dificultadas
♦ Incipientes e não aplicados em larga escala
Grupo de Segurança - UFRGS 116
GSegGSegUFRGSUFRGS
Métodos Avançados
♦ Redes neurais– dificuldades no treinamento da rede
– mais usado na detecção de anomalias
♦ Sistema imunológico– determinar o que pertence ao sistema
– procurar “corpos estranhos”
– Ex.: seqüências de chamadas de sistema
♦ Data minning e recuperação de informação
GSegGSegUFRGSUFRGS
Arquiteturas
Grupo de Segurança - UFRGS 118
GSegGSegUFRGSUFRGS
Baseada em Host
♦ Precursora em IDS
♦ Permite determinar as operaçõesdesencadeadas no sistema
♦ Informações como:– trilhas de auditoria– carga de CPU– programas executados– integridade de arquivos
Grupo de Segurança - UFRGS 119
GSegGSegUFRGSUFRGS
Baseada em Host
♦ Vantagens– independência de rede
– detecção de ataques internos / abusos deprivilégios
– maior capacidade de confinamento/avaliaçãode danos e de recuperação de erros
Grupo de Segurança - UFRGS 120
GSegGSegUFRGSUFRGS
Baseada em Host
♦ Desvantagens– dificuldade de instalação
– dificuldade de manutenção
– ataques ao próprio IDS
– dificuldade de tratar ataques de rede
– interferência no desempenho do sistema
– dependência de plataforma
Grupo de Segurança - UFRGS 121
GSegGSegUFRGSUFRGS
Baseada em Rede
♦ Tratar ataques à própria rede
♦ Permite determinar as operaçõesdesencadeadas através da rede
♦ Informações como:– pacotes de rede (cabeçalhos e dados)
– estatísticas de tráfego
– SNMP
Grupo de Segurança - UFRGS 122
GSegGSegUFRGSUFRGS
Baseada em Rede
♦ Vantagens– detecção de ataques externos
– facilidade de instalação
– facilidade de manutenção
– interferência mínima (nula) no desempenho
– independência de plataforma
Grupo de Segurança - UFRGS 123
GSegGSegUFRGSUFRGS
Baseada em Rede
♦ Desvantagens– tratamento de redes de alta velocidade
– dependência de rede
– dificuldade de reação
Grupo de Segurança - UFRGS 124
GSegGSegUFRGSUFRGS
Centralizado
♦ Precursor em IDS
♦ Vantagens– simplicidade
– interferência mínima (nula) na rede
– imunidade a problemas de autenticidade
♦ Desvantagens– ponto único de falha
– instalação/manutenção em grandes redes
– crescimento modular dificultado
Grupo de Segurança - UFRGS 125
GSegGSegUFRGSUFRGS
Distribuído
♦ Vantagens– robustez
– crescimento modular
– distribuição de tarefas
– abrangência de detecção
♦ Desvantagens– complexidade
– interferência no desempenho da rede
– necessidade de autenticação
Grupo de Segurança - UFRGS 126
GSegGSegUFRGSUFRGS
Hierárquico
♦ Fortes relações de subordinação
♦ Maior facilidade de desenvolvimento
♦ Pontos únicos de falha
Grupo de Segurança - UFRGS 127
GSegGSegUFRGSUFRGS
Soluções Híbridas
♦ Mesclar soluções
♦ Aproveitar vantagens de cada abordagem
♦ Equilibrar necessidades e proibições
GSegGSegUFRGSUFRGS
Exemplos de IDSs
Grupo de Segurança - UFRGS 129
GSegGSegUFRGSUFRGS
Snort
♦ Um dos mais utilizados no momento
♦ Arquitetura centralizada
♦ Dados coletados na rede
♦ Análise baseada em assinaturas
Grupo de Segurança - UFRGS 130
GSegGSegUFRGSUFRGS
Snort
♦ Simplicidade e eficiência
♦ Base com milhares de assinaturas
♦ Plataforma UNIX ou Windows
♦ Distribuição livre (www.snort.org)
Grupo de Segurança - UFRGS 131
GSegGSegUFRGSUFRGS
Snort
♦ Captura de pacotes de rede (libpcap)– uso de regras de filtragem (TCPdump)
♦ Analisador simples– baseado em regras
– trata cabeçalhos e dados
♦ Ações: registrar, alertar ou descartar
Grupo de Segurança - UFRGS 132
GSegGSegUFRGSUFRGS
Snort: regras
♦ 1ª parte: ação a ser tomada– log, alert ou pass
♦ 2ª parte: padrão procurado– cabeçalho ou conteúdo
alert TCP $HOME_NET 146 -> !$HOME_NET 1024: (msg:"IDS315 - BACKDOOR-ACTIVITY - Infector.1.x"; content: "WHATISIT"; )
alert TCP $HOME_NET 21 -> !$HOME_NET any (msg:"FTP-NT-bad-login";content: "Login failed."; )
Grupo de Segurança - UFRGS 133
GSegGSegUFRGSUFRGS
Snort
♦ Pré-processadores (v 1.5)– código executado antes da análise
– portscan, eliminação de caracteres, etc
♦ Módulos de saída (v 1.6)– código executado quando um alerta ou registro
é feito (após a análise)
– syslog, postgresql, reação, etc
Grupo de Segurança - UFRGS 134
GSegGSegUFRGSUFRGS
Bro
♦ Desenvolvido pelo Lawrence BerkeleyNational Laboratory
♦ Arquitetura centralizada
♦ Dados coletados na rede
♦ Análise baseada em assinaturas
Grupo de Segurança - UFRGS 135
GSegGSegUFRGSUFRGS
Bro
♦ Utiliza scripts
♦ Base com poucas assinaturas
♦ Implementações em DecUnix, FreeBSD,Solaris, SunOS e Linux
♦ Distribuição livre (www-nrg.ee.lbl.gov)
Grupo de Segurança - UFRGS 136
GSegGSegUFRGSUFRGS
Bro: estrutura
Rede
libpcap
Máquina de eventos
Interpretador de scripts
Alerta
Fluxo de pacotes
Fluxo de pacotes filtrados
Fluxo de eventos
Script de políticas
Controle de eventos
Filtro TCPdump
Grupo de Segurança - UFRGS 137
GSegGSegUFRGSUFRGS
Bro: filtros
♦ Scripts semelhantes à linguagem C
event finger_request(c:connection, request: string, full: bool){if ( request in hot_names ) ++c$hot; if ( c$hot > 0 ) log fmt("finger: %s", msg);print finger_log, fmt("%.6f %s", c$start_time, msg);c$addl = c$addl == "" ? req : fmt("*%s, %s", c$addl, req);}
Grupo de Segurança - UFRGS 138
GSegGSegUFRGSUFRGS
AAFID
♦ Autonomous Agents for Intrusion Detection
♦ Desenvolvido pelo CERIAS
♦ Arquitetura hierárquica
♦ Dados coletados na rede e no host
♦ Análise de acordo com os agentes
Grupo de Segurança - UFRGS 139
GSegGSegUFRGSUFRGS
AAFID: componentes
a
aa
a
a
a
a
a
a
M
M
Interface
TT
T
T
M
aTransceiver
Monitor
Agente
Fluxo deControle
Fluxo deDados
Grupo de Segurança - UFRGS 140
GSegGSegUFRGSUFRGS
AAFID
♦ Escrito em Perl– fácil migração
♦ Pseudo-linguagem (AAS) paraespecificação de agentes
♦ Componentes de execução independente
♦ Monitores usam execução remota (ssh)
Grupo de Segurança - UFRGS 141
GSegGSegUFRGSUFRGS
EMERALD
♦ Event Monitoring Enabling Response toAnomalous Live Disturbance)
♦ Desenvolvido pela SRI International
♦ Arquitetura distribuída
♦ Dados coletados no host e na rede
Grupo de Segurança - UFRGS 142
GSegGSegUFRGSUFRGS
EMERALD
♦ Análise baseada em conhecimento e emassinaturas
♦ Projeto sucessor do IDES e NIDES
♦ Projetado para redes de larga escala
♦ Conceito de monitores/domínios
Grupo de Segurança - UFRGS 143
GSegGSegUFRGSUFRGS
EMERALD: domínios
Monitor de Serviço Monitor de Serviço Monitor de Serviço Monitor de Serviço
Monitor de Domínio Monitor de Domínio
Monitor de Organização
Domínio A Domínio B
Grupo de Segurança - UFRGS 144
GSegGSegUFRGSUFRGS
EMERALD: monitor
API
API do Monitor
Recursos para osistema alvo
API do Monitor
Elemento dedecisão
Analisador porassinaturas
Analisador porcomportamento
API Outros monitoresSistema alvo
Grupo de Segurança - UFRGS 145
GSegGSegUFRGSUFRGS
EMERALD
♦ Modularidade
♦ Independência de alvo
♦ Correlação de alertas
♦ Possível integração com outrosmecanismos
Grupo de Segurança - UFRGS 146
GSegGSegUFRGSUFRGS
RealSecure
♦ Desenvolvido pela ISS (Internet SecuritySystem)
♦ Grande aceitação no mercado
♦ Arquitetura hierárquica
♦ Dados coletados na rede e no host
♦ Análise baseada em assinaturas
Grupo de Segurança - UFRGS 147
GSegGSegUFRGSUFRGS
RealSecure
♦ Sensores– rede
– host
– servidor
– plataformas: WinNT, AIX, Solaris, HP-UX
♦ Console– master controller ou não
– plataforma: WinNT
Grupo de Segurança - UFRGS 148
GSegGSegUFRGSUFRGS
RealSecure
♦ Políticas aplicadas através dos consoles
♦ Possível autenticação entresensores/consoles
♦ Reação– firecell signatures (firewall local)– reconfiguração de firewalls– encerramento de sessão– etc
Grupo de Segurança - UFRGS 149
GSegGSegUFRGSUFRGS
RealSecure
♦ Permite a criação de scripts Tcl associadosa assinaturas (SecureLogic)
♦ Permite a definição de assinaturas dousuário
♦ Permite a criação de filtros
Grupo de Segurança - UFRGS 150
GSegGSegUFRGSUFRGS
NFR
♦ Network Flight Recorder
♦ Desenvolvida por Marcus Ranum (NFRSecurity)
♦ Ferramenta para análise de tráfego eposterior registro
♦ Versão comercial (completa) e de domíniopúblico (reduzida)
Grupo de Segurança - UFRGS 151
GSegGSegUFRGSUFRGS
NFR
♦ Arquitetura centralizada/hierárquica
♦ Dados coletados na rede
♦ Análise baseada em assinaturas e emconhecimento
Grupo de Segurança - UFRGS 152
GSegGSegUFRGSUFRGS
NFR: estrutura
...
Servidor Central de Gerenciamento (CMS)
Interfacede
Administração(AI)
Analisador
Backend
Backend
Backend
Gravador
SensorNFR
Analisador
Backend
Backend
Backend
Gravador
SensorNFR
Grupo de Segurança - UFRGS 153
GSegGSegUFRGSUFRGS
NFR
♦ Base mantida por terceiros
♦ Regras escritas em linguagem proprietária(N-Code), semelhante à C
♦ Geração de byte-codes
♦ Distribuição através de pacotes
GSegGSegUFRGSUFRGS
Considerações Práticas
Grupo de Segurança - UFRGS 155
GSegGSegUFRGSUFRGS
Seleção e Implementação
♦ Escolha depende de cada caso
♦ Equívocos podem causar falsa sensação desegurança
♦ Importante o mapeamento da realidadecomputacional da organização
Grupo de Segurança - UFRGS 156
GSegGSegUFRGSUFRGS
Seleção e Implementação
♦ Política de segurança– avaliar política existente– (re)definir política
♦ Integrar mecanismos de prevenção edetecção– firewalls– autenticação– recuperação– verificação
Grupo de Segurança - UFRGS 157
GSegGSegUFRGSUFRGS
Seleção e Implementação
♦ Analisar detalhes técnicos– métodos de detecção e arquitetura
– testes realizados por terceiros
– nível de conhecimento para operação
– possibilidade de expansão
– suporte
– integração com outros mecanismos
– plataformas disponíveis
– custo
Grupo de Segurança - UFRGS 158
GSegGSegUFRGSUFRGS
Seleção e Implementação
♦ Criar ambiente de testes
♦ Distribuir corretamente os sensores de rede
♦ Instalar sensores de host
Grupo de Segurança - UFRGS 159
GSegGSegUFRGSUFRGS
Distribuição de Sensores
Grupo de Segurança - UFRGS 160
GSegGSegUFRGSUFRGS
Distribuição de Sensores
♦ Atrás do firewall externo– ver ataques externos que passaram do firewall
– ver ataques direcionados à DMZ
– analisar o tráfego de saída
♦ Depois do firewall externo– ver ataques direcionados à rede
Grupo de Segurança - UFRGS 161
GSegGSegUFRGSUFRGS
Distribuição de Sensores
♦ Nos backbones– monitorar grandes qtdes de tráfego
– detectar ataques internos
♦ Nas redes críticas– detectar ataques aos recursos críticos
– permitir o foco nos recursos de maior valor
Grupo de Segurança - UFRGS 162
GSegGSegUFRGSUFRGS
Sensores: problemas
♦ Tráfego criptografado
♦ Tráfego segmentado
♦ Tráfego de alta velocidade
Grupo de Segurança - UFRGS 163
GSegGSegUFRGSUFRGS
Vulnerabilidades Conhecidas
♦ Falsos alarmes
♦ Negação de serviço (DoS)
♦ Tolerância a falhas
♦ Autenticação
Grupo de Segurança - UFRGS 164
GSegGSegUFRGSUFRGS
Vulnerabilidades Conhecidas
♦ Desativação de ferramentas baseadas emhost
♦ Inserção de tráfego– pacotes descartados pelo sistema alvo
♦ Evasão de tráfego– pacotes descartados pelo IDS
Grupo de Segurança - UFRGS 165
GSegGSegUFRGSUFRGS
Subvertendo o IDS
♦ Procurando pela string “su root”.– e quanto à string “su me^H^Hroot” ?
– e quanto à string “su<telnet option> root” ?
– e quanto à string “alias blammo su”, e depois“blammo root” ?
Grupo de Segurança - UFRGS 166
GSegGSegUFRGSUFRGS
Reconstruindo Fluxos
♦ Procurando pela string “USER root”. Bastaprocurar na porção de dados de pacotesTCP?
USER root
HDR USERTCP: HDR root
HDR USHDR ERHDR HDR HDR ro HDR otIP:
É necessário remontar fragmentos e colocá-los em seqüência
Grupo de Segurança - UFRGS 167
GSegGSegUFRGSUFRGS
Mais Fragmentos
HDR USHDR
ERHDR
HDR HDR ro
HDR ot
1.
2.
4.
5.
3. 1,000,000 fragmentos sem relação c/ o ataque
Suponha o seguinte ataque:
Grupo de Segurança - UFRGS 168
GSegGSegUFRGSUFRGS
Mais Fragmentos
HDR USHDR
ERHDR
HDR HDR ro
HDR ot
O que considerar ( “USER root” ou “USER foot”)?Qual decisão será tomada pelo SO?
1.
2.
3b.
4.
HDR HDR fo
3a.
Seq. #
Time
Grupo de Segurança - UFRGS 169
GSegGSegUFRGSUFRGS
Aspectos Legais
♦ Interceptação telemática– C.F. Artigo 5º parágrafo XII
♦ Privacidade
♦ Documentar políticas
GSegGSegUFRGSUFRGS
Conclusões
Grupo de Segurança - UFRGS 171
GSegGSegUFRGSUFRGS
Conclusões
♦ Aumento no nº de incidentes
♦ Despreparo dos profissionais da área
♦ Não existe segurança 100%
♦ Não existe solução completa
Grupo de Segurança - UFRGS 172
GSegGSegUFRGSUFRGS
Conclusões
♦ IDS é mais um mecanismo útil
♦ Serve como suporte à tomada de decisões
♦ Vasto campo para novas pesquisas
Grupo de Segurança - UFRGS 173
GSegGSegUFRGSUFRGS
Contatos
Rafael Campelloe-mail: [email protected]
Raul Webere-mail: [email protected]
GSegGSegUFRGSUFRGS
e-mail: [email protected]ágina: www.inf.ufrgs.br/~gseg