sistemas de detecção de intrusão

GSegGSegUFRGSUFRGS

Sistemas de Detecção deIntrusão

Rafael Campello e Raul Weber

UFRGS – II – PPGC – GSegCentro Universitário Franciscano

Florianópolis, 23 Maio de 2001

XIX Simpósio Brasileiro de Redes de Computadores

Grupo de Segurança - UFRGS 2

GSegGSegUFRGSUFRGS

♦ Grupo de Segurança da UFRGS

♦ Pesquisas– Sistemas de Detecção de Intrusão (IDS)

– Controle de Integridade de Arquivos

– Injeção de Falhas (TCP/IP)

– Votação Eletrônica

– Dinheiro Digital

GSegGSegUFRGSUFRGS

Objetivos do Curso

♦ Apresentar os princípios de um sistema dedetecção de intrusão e seu uso comomecanismo de tolerância a falhas desegurança

♦ Abordar aspectos conceituais

♦ Tecer algumas considerações práticas

GSegGSegUFRGSUFRGS

Público Alvo

♦ Estudantes de computação ou engenharia– noções de redes de computadores

– noções de sistemas operacionais

♦ Profissionais ligados à administração ou àgerência de segurança em redes decomputadores

GSegGSegUFRGSUFRGS

Programa

♦ Fundamentos de segurança

♦ Sistemas de Detecção de Intrusão (IDSs)

♦ Exemplos de IDSs

♦ Considerações práticas

GSegGSegUFRGSUFRGS

Fundamentos de Segurança

♦ Conceitos básicos

♦ Ameaças e ataques

♦ Mecanismos de proteção

GSegGSegUFRGSUFRGS

Sistemas de Detecção de Intrusão

♦ Conceitos básicos

♦ Métodos de detecção de intrusão

♦ Arquiteturas de IDS

GSegGSegUFRGSUFRGS

Exemplos de IDSs

♦ Snort

♦ Bro

♦ AAFID

♦ EMERALD

♦ RealSecure

♦ NFR

GSegGSegUFRGSUFRGS

Considerações Práticas

♦ Seleção e implementação

♦ Vulnerabilidades conhecidas

♦ Aspectos legais

GSegGSegUFRGSUFRGS

Cronograma

♦ Fundamentos de segurança

coffee-break (10h30min – 11h)

♦ Sistemas de Detecção de Intrusão

almoço (13h – 14h)

♦ Exemplos de IDS

♦ Considerações práticas

GSegGSegUFRGSUFRGS

Regra número 1

FAÇA PERGUNTAS DURANTE AAPRESENTAÇÃO !!!

GSegGSegUFRGSUFRGS

Fundamentos de Segurança

GSegGSegUFRGSUFRGS

Segurança: introdução

♦ Não começou como ciência nem como arte,mas como um instinto

♦ Maior interesse do homem, durante a suahistória– segurança própria, da família, dos bens, etc

♦ Matéria de sobrevivência– criada naturalmente p/ garantir a sobrevivência

das espécies

GSegGSegUFRGSUFRGS

♦ A vida seria melhor sem essaspreocupações– tranqüilidade/felicidade de décadas atrás

♦ Paradoxo:– busca-se algo que não é desejado

♦ Principal motivo do descaso e dodespreparo

GSegGSegUFRGSUFRGS

♦ Atitude mais cômoda e barata:– torcer para que nada aconteça– semelhante a esperar que sua casa não seja

roubada

♦ Atitude correta:– cercar-se de cuidados– preparar-se para lidar com os problemas– analogia: colocar um alarme e fazer um seguro

da casa

GSegGSegUFRGSUFRGS

♦ Por que ser negligente?– segurança é custo– segurança é perda na facilidade de uso– valor da informação, da reputação e dos

serviços da organização não são levados emconsideração

♦ Em suma:– custos com importância maximizada...– ...em detrimento de valores mais importantes

GSegGSegUFRGSUFRGS

Segurança: evolução

♦ Estímulo para o desenvolvimento docomputador eletrônico

♦ Década de 40– Colossus (Primeiro Computador Eletrônico)

• Decifrar as mensagens na 2º Guerra Mundial

GSegGSegUFRGSUFRGS

♦ Fim da guerra: preocupações comsegurança focadas em problemas físicos

♦ Computadores não possibilitavam o acessodireto a seus usuários– Inviabiliza qualquer tipo de ação contra sua

segurança.

GSegGSegUFRGSUFRGS

♦ Novas ameaças– máquinas com acesso compartilhado (time-

sharing)

– Teleprocessamento

– Computadores pessoais

– Redes

GSegGSegUFRGSUFRGS

Ameaças: exemplos

♦ Destruição de informação ou de outrorecurso

♦ Modificação ou deturpação da informação

♦ Roubo, remoção ou perda de informação

♦ Revelação de informação

♦ Interrupção de serviços

GSegGSegUFRGSUFRGS

Atacantes

♦ Hacker/Cracker

♦ Script Kid, One-click hacker

♦ Espião

♦ Terrorista

♦ Atacante corporativo

♦ Vândalo

♦ Voyeur

Mitnick

Bart Simpson

GSegGSegUFRGSUFRGS

Ameaças: evolução

♦ Década de 80 - ataques individuais eisolados– Escolha de boas senhas

– Prevenir o compartilhamento indiscriminado

– Eliminar os bugs de segurança de programas

GSegGSegUFRGSUFRGS

Ameaças: evolução

♦ Década de 90 - ataques sofisticados– Sniffers capturam senhas e outras informações

– Computadores são confundidos por IPspoofing

– Sessões são desviadas através de connectionhijacking

– Dados são comprometidos via data spoofing

– Atacantes na maioria amadores (One-clickhacker, Script Kid)

GSegGSegUFRGSUFRGS

Segurança: conceitos

♦ Tentativa de minimizar a vulnerabilidadede bens e recursos

♦ Mais abrangente: dotar os sistemas de:– confiabilidade – integridade

– disponibilidade – autenticidade

– privacidade

GSegGSegUFRGSUFRGS

♦ O que se quer proteger?– confiabilidade

– disponibilidade

– integridade

– privacidade

– autenticidade

GSegGSegUFRGSUFRGS

Dependability

De validação

De realização

Prevençãode falhas

Tolerância afalhas

Remoção defalhas

Previsão defalhas

Detecção de erros

Confinamento eavaliação de danos

Recuperação de erros

Tratamento defalhas

Atributos

Confiabilidade

Disponibilidade

Falhas

Humanas

Interação

Projeto

Intermitentes

Transitórias

Intencionais

Não intencionais

Físicas

Temporárias

Permanentes

Dependability

De validação

De realização

Prevençãode falhas

Tolerância afalhas

Remoção defalhas

Previsão defalhas

Detecção de erros

Confinamento eavaliação de danos

Recuperação de erros

Tratamento defalhas

Atributos

Confiabilidade

Disponibilidade

GSegGSegUFRGSUFRGS

♦ Validação– remoção de falhas– previsão de falhas

♦ Prevenção de falhas

♦ Tolerância a falhas– detecção de erros– confinamento e avaliação de danos– recuperação de erros– tratamento de falhas

GSegGSegUFRGSUFRGS

♦ Prevenção de falhas– ex.: firewalls, criptografia, etc

♦ Detecção de falhas– ex.: sistemas de detecção de intrusão

♦ Resposta– ex.: reconfiguração de um firewall

GSegGSegUFRGSUFRGS

Exemplo 1: propriedade privada

♦ Prevenção– trancas em portas, grades nas janelas, muros

ao redor da propriedade

♦ Detecção– perceber o desaparecimento de algum objeto,

usar alarmes e circuitos de TV

♦ Reação– chamar a polícia, reaver objetos roubados,

acionar o seguro

GSegGSegUFRGSUFRGS

Exemplo 2: redes

♦ Prevenção– gerenciamento adequado, firewalls, proxies

♦ Detecção– perceber anomalias no tráfego ou interrupção

de serviços, auditoria, IDS

♦ Reação– relatar o incidente, reinstalar softwares,

redefinir políticas de segurança, demitir oresponsável

GSegGSegUFRGSUFRGS

♦ Ameaça

♦ Incidente– atacante → ataque → objetivo

♦ Ataque– ferramenta → vulnerabilidade → evento →

resultado não autorizado

♦ Evento– ação → alvo

GSegGSegUFRGSUFRGS

Hacker

Espião

Terrorista

AtacanteCorporativoCriminoso

Profissional

Vândalo

Voyeur

Atacantes

Ataquefísico

Troca deInformaçãoComandode UsuárioScript ouPrograma

AgenteAutônomo

Toolkit

FerramentaDistribuída

Ferramenta

Interceptação de dados

Projeto

Implementação

Configuração

Vulnerabilidade

Varredura

Autenticação

Desvio

Leitura

Ação

Cópia

Processo

Componente

Computador

Inter-rede

AcessoAmpliado

Revelação deInformaçãoInformaçãoCorrompidaNegação de

ServiçoRoubo deRecursos

Resultado ñAutorizado

Desafio,statusGanhoPolíticoGanho

Financeiro

Objetivos

Modificação

Destruição

evento

ataque(s)

incidente

GSegGSegUFRGSUFRGS

Principais Ataques

♦ Engenharia social

♦ Coleta de informação

♦ Varredura

♦ Negação de serviço (DoS)

♦ Exploração de bugs

♦ Exploração de protocolos

♦ Sniffers

♦ Ataque do dicionário

♦ Código malicioso

GSegGSegUFRGSUFRGS

Engenharia Social

♦ Método: enganar as vítimas, por conversa,telefone ou correio eletrônico

♦ Objetivos:– obter informações valiosas

– obter privilégios

– convencer a vítima a executar ações indevidase perigosas

GSegGSegUFRGSUFRGS

Engenharia Social

♦ Prevenção: educação e conscientização– não fornecer informações a estranhos

– exigir identificação

– escolher boas senhas

– não executar ações sem pensar (como executarum programa anexo à uma mensagem)

GSegGSegUFRGSUFRGS

Coleta de Informação

♦ Informações úteis (ao atacante)– domínio e servidores (whois e nslookup)– números IP (nslookup e traceroute)– arquitetura das máquinas (CPU, sistema

operacional)– servidores (versões e plataforma)– serviços de proteção (firewall, VPNs, ACL)– acesso remoto (telefones, usuários

autorizados)– usuários (nomes, cargos, funções)

GSegGSegUFRGSUFRGS

Coleta de Informação

♦ Problema: algumas informações devem serpúblicas

♦ Prevenção: evitar o fornecimento de informaçãodesnecessária

♦ Toda a informação vital para operação deve serobviamente fornecida, mas qualquer informaçãoadicional deve ser suprimida

GSegGSegUFRGSUFRGS

Varredura (Scanning)

♦ Teste sistemático dos números IP de umaorganização

♦ Determinação dos serviços estão ativos(quais portas estão escutando)

♦ Prevenção: limitar o tráfego desnecessário(filtro de pacotes ou firewall)

GSegGSegUFRGSUFRGS

Negação de Serviço

♦ DoS ou denial-of-service

♦ Objetivo: impedir o uso legítimo dosistema, ou “derrubar” a máquina

♦ Inúmeras formas– ping of death

– syn flood

– smurf attack

– UDP flood

GSegGSegUFRGSUFRGS

Negação de Serviço

♦ Impedir DoS é quase impossível

♦ Distribuir os serviços para a maioriapermanecer operacional

♦ Manter-se atualizado sobre asvulnerabilidades apresentadas pela versãoatual do sistema

GSegGSegUFRGSUFRGS

Exploração de bugs

♦ Explorar “furos” de implementação paraobter privilégios

♦ Prevenção (em programas próprios)– boas práticas de engenharia de software

– verificar erros comuns (estouros de buffers)

– verificar as entradas

– lei do menor privilégio

GSegGSegUFRGSUFRGS

Buffer Overflow

func_1(){ int a, b;

func_2();}

a, bc, d

func_2(){ int c, d;

func_3();}

end da func 1

func_3(){ char buf[100];

read_user_input(buf);}

end da func 2

evil_assembly_code()

end do buf

GSegGSegUFRGSUFRGS

Exploração de bugs

♦ Prevenção (em programas de terceiros)– verificar vulnerabilidades conhecidas

– aplicar os patches disponíveis

– manter-se informado e atualizado

♦ Nenhum sistema é seguro

♦ Nenhum patch é perfeito

♦ Mas a maioria dos atacantes só sabeexplorar bugs, e não criá-los

GSegGSegUFRGSUFRGS

Exploração de Protocolos

♦ Muitos são derivados de falhas nomecanismo de autenticação– IP spoofing: utilizar um endereço IP confiável– DNS spoofing: subverter o servidor de nomes– Source Routing: utilizar os mecanismos de

roteamento– Ataque RIP: enviar informações de

roteamento falsas– Ataque ICMP: explorar msgs como redirect e

destination unreachable

GSegGSegUFRGSUFRGS

Sniffer

♦ sniffing - interface de rede que opera modopromíscuo, capturando todos os pacotes

♦ É fácil para um programa sniffer obterusername e password dos usuários

♦ Utilização de sniffer é difícil de serdetectada

GSegGSegUFRGSUFRGS

Ataque do Dicionário

♦ Um dos arquivos mais cobiçados poratacantes é o de senhas– Unix: /etc/passwd

– Windows: *.pwl

– Windows NT: SAM

♦ Senhas cifradas

GSegGSegUFRGSUFRGS

♦ Pessoas utilizam senhas facilmentememorizáveis, como nomes próprios oupalavras de uso corriqueiro

♦ Atacante compõe um dicionário eexperimenta todas as palavras destedicionário contra a cifra armazenada noarquivo de senhas

GSegGSegUFRGSUFRGS

♦ Vários programas disponíveis (Crack, etc)

♦ Ação preventiva: atacar o próprio arquivo desenhas

♦ Não utilizar senhas derivadas de palavras enomes

♦ Utilizar letras iniciais de frases ou palavras comerros

GSegGSegUFRGSUFRGS

Código Malicioso

♦ Cavalos de Tróia (não se propagam)– falsa tela de Login

– falsa Operação

♦ Vírus

♦ Backdoors

♦ Controle Remoto (Netbus, Back Orifice)

GSegGSegUFRGSUFRGS

Código Malicioso

♦ Prevenção: Monitores

♦ Impossível tratamento exato e confiável

♦ Manter anti-vírus atualizado

♦ Preparar procedimento de emergência

GSegGSegUFRGSUFRGS

Segurança: tipos

♦ Nenhuma segurança

♦ Segurança por obscuridade

♦ Segurança baseada em máquina

♦ Segurança baseada em rede

♦ Combinação de mecanismos

GSegGSegUFRGSUFRGS

Segurança: estratégias

♦ Atribuir privilégios mínimos

♦ Criar redundância de mecanismos

♦ Criar ponto único de acesso

♦ Determinar os pontos mais fracos

♦ Tornar o sistema livre de falhas (fail-safe)

♦ Incentivar a participação universal

♦ Investir na diversidade de defesa

♦ Prezar a simplicidade

GSegGSegUFRGSUFRGS

Segurança: posturas

♦ Postura padrão de negação (prudente)– especificar o que é permitido

– proibir o resto

♦ Postura padrão de permissão (permissiva)– especificar o que é proibido

– permitir o resto

GSegGSegUFRGSUFRGS

Medidas de segurança

♦ O que se está querendo proteger?

♦ O que é preciso para proteger?

♦ Qual a probabilidade de um ataque?

♦ Qual o prejuízo se o ataque for bemsucedido?

♦ Implementar procedimentos de segurançairá ser vantajoso no ponto de vista custo-benefício?

GSegGSegUFRGSUFRGS

Política de segurança

♦ Conjunto de leis regras e práticas queregulam (informações e recursos):

– como gerenciar

– como proteger

– como distribuir

♦ Sistema seguro = sistema que garante ocumprimento da política de segurançatraçada

GSegGSegUFRGSUFRGS

Política de segurança

♦ Define o que é e o que não é permitido nosistema

♦ Define o comportamento autorizado paraos indivíduos que interagem com o sistema

GSegGSegUFRGSUFRGS

Mecanismos para segurança

♦ Wrappers

♦ Firewalls

♦ Criptografia

♦ Redes Privadas (VPNs)

♦ Ferramentas de verificação

GSegGSegUFRGSUFRGS

Wrapers

♦ TCP Wrappers são um conjunto deprogramas que “encapsulam” os daemonsdos serviços de rede visando aumentar suasegurança

♦ Funcionam como um filtro e estendem oserviço original

GSegGSegUFRGSUFRGS

Wrapers

♦ O wrapper não pode ser considerado umaferramenta para segurança total

♦ Visa suprir deficiências dos servidoresatuais e aumentar o controle sobre suautilização

♦ Ótima ferramenta para registro (log)

GSegGSegUFRGSUFRGS

Firewalls

♦ Conjunto de componentes colocados entreduas redes e que coletivamenteimplementam uma barreira de segurança

♦ Finalidade– retardar os efeitos de um ataque até que

medidas administrativas contrárias sejamexecutadas

GSegGSegUFRGSUFRGS

Firewalls

♦ Objetivo básico– defender a organização de ataques externos

♦ Efeito secundário– pode ser utilizado para regular o uso de

recursos externos pelos usuários internos

GSegGSegUFRGSUFRGS

Firewalls

Internet

Rede interna

GSegGSegUFRGSUFRGS

Firewalls

♦ Pode ser implementado utilizando doismecanismos básicos:– filtragem de pacotes

• análise dos pacotes que passam pelo firewall

– servidores proxy• análise dos serviços sendo utilizados

GSegGSegUFRGSUFRGS

Criptografia

♦ Não existe sistema absolutamente seguro

♦ Toda criptografia pode ser “quebrada”

♦ Complexidade temporal

♦ Complexidade econômica

♦ Segurança “computacional”

GSegGSegUFRGSUFRGS

Criptografia de chave única

Única

Esta mensagem ésecreta, poiscontém dados damais altaimportância paraa nossa empresa.

fsdfsdgfdghdgkdhfgkdshgksdfghkdshgfksdfghkfdsgiuerbdhbkdbskfbhkbsldbhdfskbhdksfbhkdbhdbfkhsdkbhdfk

CIFRAGEM

DECIFRAGEM TRANSMISSÃO

Alice Bob

Única

GSegGSegUFRGSUFRGS

Criptografia de chave única

♦ Única chave para cifragem e decifragem

♦ Substituição, permutação, operaçõesalgébricas

♦ Alta velocidade

♦ Problemas na distribuição de chaves

GSegGSegUFRGSUFRGS

Criptografia de chave pública

PubPub Priv

fsdfsdgfdghdgkdhfgkdshgksdfghkdshgfksdfghkfdsgiuerbdhbkdbskfbhkbsldbhdfskbhdksfbhkdbhdbfkhsdkbhdfk

CIFRAGEM

DECIFRAGEM TRANSMISSÃO

Alice Bob

GSegGSegUFRGSUFRGS

♦ Duas chaves: uma pública e outra secreta

♦ Cifragem com uma chave somente édecifrada com a outra chave

GSegGSegUFRGSUFRGS

♦ Privacidade: cifrar com chave pública;somente chave secreta pode decifrar

♦ Assinatura: cifrar com chave secreta; chavepública decifra e identifica usuário

GSegGSegUFRGSUFRGS

Criptografia + Assinatura

Fsdjfljgljdlgjdlgjldgjldjgldjgldjfgljdfljlvbkjn;x923q8508hugdkbnmsbn5y9[6590mnkpmjfw44n50b0okythp;jguent039oktrpgerjhgwunpt058bngnwug09u6buyhjoireueyu848ybnuyue98

Pub Priv

h25c924fed23

Pub Priv

Fsdjfljgljdlgjdlgjldgjldjgldjgldjfgljdfljlvbkjn;x923q8508hugdkbnmsbn5y9[6590mnkpmjfw44n50b0okythp;jguent039oktrpgerjhgwunpt058bngnwug09u6buyhjoireueyu848ybnuyue98

4932uvf9vbd8bbfgbfg 4932uvf9vbd8bbfgbfgh25c924fed23

GSegGSegUFRGSUFRGS

♦ Operação: funções aritméticas complexas

♦ Baixa velocidade, fácil distribuição dechaves

♦ Exemplos: RSA, DSS, DH, El Gamal (512a 2048 bits)

GSegGSegUFRGSUFRGS

Ferramentas de Análise

♦ COPS (Computer Oracle and PasswordProgram)

♦ SATAN (Security Analysis Tool forAuditing Network)

♦ ISS (Internet Security Scanner)

♦ SAINT (Security Administrator’sIntegrated Network Tool)

♦ Nessus (um dos mais atuais)

GSegGSegUFRGSUFRGS

Verificadores de Integridade

♦ Verificar se arquivos e configuraçõespermanecem inalterados

♦ Compara a situação atual com a situação inicial

♦ Utiliza funções de checksum e hash

♦ Hash a nível criptográfico: MD5, SHA

♦ Exemplo: Tripwire, Soffic (UFRGS)

GSegGSegUFRGSUFRGS

Verificadores de Senhas

♦ Verificar se uma senha pode ser “quebrada”

– Exemplo: Crack

♦ Verificar se uma senha é “fácil”

– Exemplos: npasswd, passwd+

GSegGSegUFRGSUFRGS

Analisadores de Logs

♦ Facilitar a análise de arquivos de logs

♦ Realizar logs mais detalhados (além de um grep)

♦ Exemplos:– Swatch (Simple Watcher)

– Netlog

– LogSurfer

GSegGSegUFRGSUFRGS

Segurança (resumindo)

♦ Segurança é um atributo negativo– é fácil detectar pontos inseguros

– é difícil (impossível ?!?) provar segurança

♦ Segurança por obscuridade não ésegurança– não adianta se esconder

– não adianta ser otimista

– esteja preparado

GSegGSegUFRGSUFRGS

Segurança (resumindo)

♦ Segurança é um atributo global– envolve vários componentes do sistema

– envolve vários mecanismos

– analogia: poucos confiam apenas nas trancasde seus carros

♦ Falsa sensação de segurança pode ser piordo que a falta de cuidados

GSegGSegUFRGSUFRGS

Sistemas de Detecção deIntrusão

GSegGSegUFRGSUFRGS

♦ Número crescente de ataques/incidentes

132 252 406 773 13342340 2412 2573 2134

os♦ Complexidade crescente

♦ Ferramentas de ataque cada vez maiseficientes

♦ Tempos de recuperação proibitivos

GSegGSegUFRGSUFRGS

♦ Prevenção não é suficiente

♦ Importância da diversidade de defesa

♦ Solução: Detecção de Intrusão– garantir comportamento livre de falhas

GSegGSegUFRGSUFRGS

♦ Detecção de intrusão:– tarefa de coletar e analisar eventos, buscando

sinais de intrusão e de mau-uso

♦ Intrusão:– uso inapropriado de um sistema de informação

– ações tomadas para comprometer aprivacidade, integridade ou a disponibilidade

GSegGSegUFRGSUFRGS

♦ Detecção de intrusão X detecção de ataque– intrusão: ação já concretizada

– ataque: ação maliciosa que gera um resultadonão autorizado

♦ Reação?

GSegGSegUFRGSUFRGS

IDS X Auditoria

♦ Ferramentas de auditoria– prevenção

– confinamento e avaliação de danos

– tratamento de falhas

– Analogia: consultores e/ou peritos criminais

♦ IDSs– detecção

– analogia: vigia noturno

GSegGSegUFRGSUFRGS

IDS: classificação

♦ Segundo os métodos de detecção usados

♦ Segundo a arquitetura adotada– alvo

– localização

GSegGSegUFRGSUFRGS

♦ Segundo o método de detecção– baseado em comportamento

– baseado em assinaturas

♦ Segundo a arquitetura– alvo

• baseado em rede

• baseado em host

• híbrido

– localização• centralizado

• hierárquico

• distribuído

GSegGSegUFRGSUFRGS

Arquitetura

Comportam.pós-detecção

Freqüência deuso

Método deDetecção

Baseado emComportamento

Baseado emAssinaturas

Passivo

Monitoramentocontínuo

Análise periódica

Segundo o alvo

Segundo alocalização

Centralizado

Hierárquico

Distribuído

Baseado em Rede

Baseado em Host

Híbrido

GSegGSegUFRGSUFRGS

IDS: histórico

♦ Conceito surgido no início dos anos 80♦ 1ª Geração

– registros de auditoria eram processados offline– surgimento dos métodos baseados em

comportamento e em assinaturas

♦ 2ª Geração– processamento estatisticamente + sofisticado– mais medidas de comportamento monitoradas– alertas em “tempo real” tornaram-se possíveis

GSegGSegUFRGSUFRGS

IDS: histórico

♦ 3ª Geração– uso dos conceitos anteriores para sistemas em

rede/sistemas distribuídos

– uso de novas técnicas para detecção (sistemasespecialistas, redes neurais, data mining, etc)

– surgimento dos primeiros IDSs comerciais

GSegGSegUFRGSUFRGS

IDS: estrutura

♦ Componentes funcionalmente semelhantes– independente da arquitetura/método adotados

♦ Muitas vezes agrupados

♦ Modularidade importante na aplicação e nodesenvolvimento de novos IDS

GSegGSegUFRGSUFRGS

IDS: componentes

♦ Geradores de eventos

♦ Analisadores de eventos

♦ Bases de dados de eventos

♦ Unidades de resposta

GSegGSegUFRGSUFRGS

IDS: padronização

♦ CIDF (Common Intrusion DetectionFramework)

♦ IDWG (Intrusion Detection WorkingGroup)

GSegGSegUFRGSUFRGS

IDS: IDWG

Origem dosDados

Sensor

Analisador

Operador

GerenteAdministrador

Atividade

Evento

AlertaPolítica deSegurança

Notificação

Resposta

GSegGSegUFRGSUFRGS

IDS: métodos de detecção

♦ Responsáveis diretos na busca por indíciosde intrusão

♦ Dois grandes grupos:– técnicas baseadas em comportamento

– técnicas baseadas em assinaturas

GSegGSegUFRGSUFRGS

IDS: baseado em comportamento

♦ Detecção por anomalia

♦ Caracteriza o comportamento do sistemaem normal e anômalo

♦ Habilidade de distinguir o comportamentonormal de um anômalo

Anômalo Normal

Intrusão ComportamentoNormal

GSegGSegUFRGSUFRGS

IDS: baseado em comportamento

♦ Compara o estado atual do sistema com ocomportamento considerado normal

♦ Desvios são considerados intrusões

♦ Ex.: conexões externas em horáriosincomuns, padrão de digitação

♦ Outros exemplos ???

GSegGSegUFRGSUFRGS

IDS: baseado em assinaturas

♦ Também chamada de detecção por mau uso

♦ Divide as ações do sistema em aceitáveis enão aceitáveis

♦ Habilidade de encontrar tentativas deexploração de vulnerabilidades conhecidas

Não aceitável Aceitável

Intrusão AçãoNormal

GSegGSegUFRGSUFRGS

IDS: baseado em assinaturas

♦ Compara as ações realizadas no sistemacom uma base de assinaturas de ataques

♦ Ex.: cópia do arquivo de senhas(/etc/passwd)

GSegGSegUFRGSUFRGS

IDS: arquiteturas

♦ Diretamente ligado ao desempenho

♦ Segundo o alvo– baseado em rede– baseado em host– híbrido

♦ Segundo a localização– centralizado– hierárquico– distribuído

GSegGSegUFRGSUFRGS

IDS: rede

♦ Dados analisados são retirados da rede

♦ Detecção de ataques relacionados aotráfego de rede

♦ Ex: captura de pacotes, estatísticas detráfego

GSegGSegUFRGSUFRGS

IDS: host

♦ Dados obtidos na própria máquina

♦ Detecção de ataques relacionados a açõeslocais

♦ Ex: trilhas de auditoria, cópias de arquivos

♦ IDSs baseados em aplicação: outra classe

GSegGSegUFRGSUFRGS

IDS: níveis

IDS baseado em rede

IDS baseado em host

IDS baseado em aplicação

Nível deabstração

GSegGSegUFRGSUFRGS

IDS: centralizado

♦ Função como coleta, análise e gerência emum único componente

Coletor

Analisador

Gerente

Máquina A

Coletor

Analisador

Gerente

Máquina B

Coletor

Analisador

Gerente

Máquina C

GSegGSegUFRGSUFRGS

IDS: hierárquico

♦ Funções distribuídas mas com fortesrelações de hierarquia

Analisador

Máquina B

Coletor

Máquina C

Coletor

Máquina D

Coletor

Máquina E

Gerente

Máquina A

GSegGSegUFRGSUFRGS

IDS: distribuído

♦ Funções livremente distribuídas

Analisador

Máquina B

Analisador

Máquina C

Coletor

Máquina D

Coletor

Máquina E

Gerente

Máquina A

GSegGSegUFRGSUFRGS

Métodos de Detecção

GSegGSegUFRGSUFRGS

Métodos Tradicionais

♦ Busca “manual” por indícios de intrusão

♦ Realizada há bastante tempo (empírica)

♦ Técnicas de auditoria de sistemas

♦ Técnicas de gerência de redes

GSegGSegUFRGSUFRGS

♦ Análise de trilhas de auditoria– registrar principais eventos

– selecionar eventos importantes

– buscar por indícios de intrusão (offline)

♦ Problemas– manipulação de grandes qtdes de informação

– tamanho das trilhas (armazenamento)

– dificuldade de correlação de eventos

GSegGSegUFRGSUFRGS

♦ Análise de dados de gerência de redes– uso de padrões como SNMP e RMON

– captura de pacotes (TCPdump, Ethereal)

– buscar por indícios de intrusão (tráfegoestranho, pacotes mau formados)

♦ Problemas– manipulação de grandes qtdes de informação

– grande experiência em redes

– baixa eficiência

GSegGSegUFRGSUFRGS

Análise por assinaturas

♦ Método muito utilizado

♦ Dificuldade: correlacionar dados coletadoscom as assinaturas existentes

♦ Principais técnicas:– Filtros de pacotes– Sistemas especialistas– Redes de Petri

GSegGSegUFRGSUFRGS

♦ Vantagens– baixo nº de falsos positivos

– adoção de contra-medidas imediatas

– redução na quantidade de informação tratada

– melhor desempenho

GSegGSegUFRGSUFRGS

♦ Desvantagens– detecção só para ataques conhecidos

– dificuldade de manutenção

– base de assinaturas pode ser usada em novosataques

– difícil detecção de abusos de privilégios

GSegGSegUFRGSUFRGS

Análise por comportamento

♦ Comportamento estático X dinâmico

♦ Dificuldade: estabelecer comportamentopadrão

♦ Principais técnicas:– análise estatística

– sistemas especialistas

GSegGSegUFRGSUFRGS

♦ Vantagens– detecção de ataques desconhecidos

– usado na criação de novas bases de assinaturas

– esforço de manutenção reduzido

– menos dependente de plataforma

– facilita a detecção de abusos de privilégios

GSegGSegUFRGSUFRGS

♦ Desvantagens– dificuldade de configuração

– maior nº de falsos positivos

– relatórios de difícil análise

– menor desempenho (cálculos complexos)

– dificuldade de lidar com mudanças normais decomportamento

GSegGSegUFRGSUFRGS

Métodos Avançados

♦ Estudo de novas formas de análise

♦ Complexos

♦ Desempenho reduzido

♦ Implantação e manutenção dificultadas

♦ Incipientes e não aplicados em larga escala

GSegGSegUFRGSUFRGS

Métodos Avançados

♦ Redes neurais– dificuldades no treinamento da rede

– mais usado na detecção de anomalias

♦ Sistema imunológico– determinar o que pertence ao sistema

– procurar “corpos estranhos”

– Ex.: seqüências de chamadas de sistema

♦ Data minning e recuperação de informação

GSegGSegUFRGSUFRGS

Arquiteturas

GSegGSegUFRGSUFRGS

Baseada em Host

♦ Precursora em IDS

♦ Permite determinar as operaçõesdesencadeadas no sistema

♦ Informações como:– trilhas de auditoria– carga de CPU– programas executados– integridade de arquivos

GSegGSegUFRGSUFRGS

Baseada em Host

♦ Vantagens– independência de rede

– detecção de ataques internos / abusos deprivilégios

– maior capacidade de confinamento/avaliaçãode danos e de recuperação de erros

GSegGSegUFRGSUFRGS

Baseada em Host

♦ Desvantagens– dificuldade de instalação

– dificuldade de manutenção

– ataques ao próprio IDS

– dificuldade de tratar ataques de rede

– interferência no desempenho do sistema

– dependência de plataforma

GSegGSegUFRGSUFRGS

Baseada em Rede

♦ Tratar ataques à própria rede

♦ Permite determinar as operaçõesdesencadeadas através da rede

♦ Informações como:– pacotes de rede (cabeçalhos e dados)

– estatísticas de tráfego

– SNMP

GSegGSegUFRGSUFRGS

Baseada em Rede

♦ Vantagens– detecção de ataques externos

– facilidade de instalação

– facilidade de manutenção

– interferência mínima (nula) no desempenho

– independência de plataforma

GSegGSegUFRGSUFRGS

Baseada em Rede

♦ Desvantagens– tratamento de redes de alta velocidade

– dependência de rede

– dificuldade de reação

GSegGSegUFRGSUFRGS

Centralizado

♦ Precursor em IDS

♦ Vantagens– simplicidade

– interferência mínima (nula) na rede

– imunidade a problemas de autenticidade

♦ Desvantagens– ponto único de falha

– instalação/manutenção em grandes redes

– crescimento modular dificultado

GSegGSegUFRGSUFRGS

Distribuído

♦ Vantagens– robustez

– crescimento modular

– distribuição de tarefas

– abrangência de detecção

♦ Desvantagens– complexidade

– interferência no desempenho da rede

– necessidade de autenticação

GSegGSegUFRGSUFRGS

Hierárquico

♦ Fortes relações de subordinação

♦ Maior facilidade de desenvolvimento

♦ Pontos únicos de falha

GSegGSegUFRGSUFRGS

Soluções Híbridas

♦ Mesclar soluções

♦ Aproveitar vantagens de cada abordagem

♦ Equilibrar necessidades e proibições

GSegGSegUFRGSUFRGS

Exemplos de IDSs

GSegGSegUFRGSUFRGS

♦ Um dos mais utilizados no momento

♦ Arquitetura centralizada

♦ Dados coletados na rede

♦ Análise baseada em assinaturas

GSegGSegUFRGSUFRGS

♦ Simplicidade e eficiência

♦ Base com milhares de assinaturas

♦ Plataforma UNIX ou Windows

♦ Distribuição livre (www.snort.org)

GSegGSegUFRGSUFRGS

♦ Captura de pacotes de rede (libpcap)– uso de regras de filtragem (TCPdump)

♦ Analisador simples– baseado em regras

– trata cabeçalhos e dados

♦ Ações: registrar, alertar ou descartar

GSegGSegUFRGSUFRGS

Snort: regras

♦ 1ª parte: ação a ser tomada– log, alert ou pass

♦ 2ª parte: padrão procurado– cabeçalho ou conteúdo

alert TCP $HOME_NET 146 -> !$HOME_NET 1024: (msg:"IDS315 - BACKDOOR-ACTIVITY - Infector.1.x"; content: "WHATISIT"; )

alert TCP $HOME_NET 21 -> !$HOME_NET any (msg:"FTP-NT-bad-login";content: "Login failed."; )

GSegGSegUFRGSUFRGS

♦ Pré-processadores (v 1.5)– código executado antes da análise

– portscan, eliminação de caracteres, etc

♦ Módulos de saída (v 1.6)– código executado quando um alerta ou registro

é feito (após a análise)

– syslog, postgresql, reação, etc

GSegGSegUFRGSUFRGS

♦ Desenvolvido pelo Lawrence BerkeleyNational Laboratory

♦ Arquitetura centralizada

GSegGSegUFRGSUFRGS

♦ Utiliza scripts

♦ Base com poucas assinaturas

♦ Implementações em DecUnix, FreeBSD,Solaris, SunOS e Linux

♦ Distribuição livre (www-nrg.ee.lbl.gov)

GSegGSegUFRGSUFRGS

Bro: estrutura

libpcap

Máquina de eventos

Interpretador de scripts

Alerta

Fluxo de pacotes

Fluxo de pacotes filtrados

Fluxo de eventos

Script de políticas

Controle de eventos

Filtro TCPdump

GSegGSegUFRGSUFRGS

Bro: filtros

♦ Scripts semelhantes à linguagem C

event finger_request(c:connection, request: string, full: bool){if ( request in hot_names ) ++c$hot; if ( c$hot > 0 ) log fmt("finger: %s", msg);print finger_log, fmt("%.6f %s", c$start_time, msg);c$addl = c$addl == "" ? req : fmt("*%s, %s", c$addl, req);}

GSegGSegUFRGSUFRGS

♦ Autonomous Agents for Intrusion Detection

♦ Desenvolvido pelo CERIAS

♦ Arquitetura hierárquica

♦ Dados coletados na rede e no host

♦ Análise de acordo com os agentes

GSegGSegUFRGSUFRGS

AAFID: componentes

Interface

aTransceiver

Monitor

Agente

Fluxo deControle

Fluxo deDados

GSegGSegUFRGSUFRGS

♦ Escrito em Perl– fácil migração

♦ Pseudo-linguagem (AAS) paraespecificação de agentes

♦ Componentes de execução independente

♦ Monitores usam execução remota (ssh)

GSegGSegUFRGSUFRGS

EMERALD

♦ Event Monitoring Enabling Response toAnomalous Live Disturbance)

♦ Desenvolvido pela SRI International

♦ Arquitetura distribuída

♦ Dados coletados no host e na rede

GSegGSegUFRGSUFRGS

EMERALD

♦ Análise baseada em conhecimento e emassinaturas

♦ Projeto sucessor do IDES e NIDES

♦ Projetado para redes de larga escala

♦ Conceito de monitores/domínios

GSegGSegUFRGSUFRGS

EMERALD: domínios

Monitor de Serviço Monitor de Serviço Monitor de Serviço Monitor de Serviço

Monitor de Domínio Monitor de Domínio

Monitor de Organização

Domínio A Domínio B

GSegGSegUFRGSUFRGS

EMERALD: monitor

API do Monitor

Recursos para osistema alvo

API do Monitor

Elemento dedecisão

Analisador porassinaturas

Analisador porcomportamento

API Outros monitoresSistema alvo

GSegGSegUFRGSUFRGS

EMERALD

♦ Modularidade

♦ Independência de alvo

♦ Correlação de alertas

♦ Possível integração com outrosmecanismos

GSegGSegUFRGSUFRGS

RealSecure

♦ Desenvolvido pela ISS (Internet SecuritySystem)

♦ Grande aceitação no mercado

♦ Arquitetura hierárquica

♦ Dados coletados na rede e no host

GSegGSegUFRGSUFRGS

RealSecure

♦ Sensores– rede

– host

– servidor

– plataformas: WinNT, AIX, Solaris, HP-UX

♦ Console– master controller ou não

– plataforma: WinNT

GSegGSegUFRGSUFRGS

RealSecure

♦ Políticas aplicadas através dos consoles

♦ Possível autenticação entresensores/consoles

♦ Reação– firecell signatures (firewall local)– reconfiguração de firewalls– encerramento de sessão– etc

GSegGSegUFRGSUFRGS

RealSecure

♦ Permite a criação de scripts Tcl associadosa assinaturas (SecureLogic)

♦ Permite a definição de assinaturas dousuário

♦ Permite a criação de filtros

GSegGSegUFRGSUFRGS

♦ Network Flight Recorder

♦ Desenvolvida por Marcus Ranum (NFRSecurity)

♦ Ferramenta para análise de tráfego eposterior registro

♦ Versão comercial (completa) e de domíniopúblico (reduzida)

GSegGSegUFRGSUFRGS

♦ Arquitetura centralizada/hierárquica

♦ Análise baseada em assinaturas e emconhecimento

GSegGSegUFRGSUFRGS

NFR: estrutura

Servidor Central de Gerenciamento (CMS)

Interfacede

Administração(AI)

Analisador

Backend

Gravador

SensorNFR

Analisador

Backend

Gravador

SensorNFR

GSegGSegUFRGSUFRGS

♦ Base mantida por terceiros

♦ Regras escritas em linguagem proprietária(N-Code), semelhante à C

♦ Geração de byte-codes

♦ Distribuição através de pacotes

GSegGSegUFRGSUFRGS

Considerações Práticas

GSegGSegUFRGSUFRGS

Seleção e Implementação

♦ Escolha depende de cada caso

♦ Equívocos podem causar falsa sensação desegurança

♦ Importante o mapeamento da realidadecomputacional da organização

GSegGSegUFRGSUFRGS

♦ Política de segurança– avaliar política existente– (re)definir política

♦ Integrar mecanismos de prevenção edetecção– firewalls– autenticação– recuperação– verificação

GSegGSegUFRGSUFRGS

♦ Analisar detalhes técnicos– métodos de detecção e arquitetura

– testes realizados por terceiros

– nível de conhecimento para operação

– possibilidade de expansão

– suporte

– integração com outros mecanismos

– plataformas disponíveis

– custo

GSegGSegUFRGSUFRGS

♦ Criar ambiente de testes

♦ Distribuir corretamente os sensores de rede

♦ Instalar sensores de host

GSegGSegUFRGSUFRGS

Distribuição de Sensores

GSegGSegUFRGSUFRGS

♦ Atrás do firewall externo– ver ataques externos que passaram do firewall

– ver ataques direcionados à DMZ

– analisar o tráfego de saída

♦ Depois do firewall externo– ver ataques direcionados à rede

GSegGSegUFRGSUFRGS

♦ Nos backbones– monitorar grandes qtdes de tráfego

– detectar ataques internos

♦ Nas redes críticas– detectar ataques aos recursos críticos

– permitir o foco nos recursos de maior valor

GSegGSegUFRGSUFRGS

Sensores: problemas

♦ Tráfego criptografado

♦ Tráfego segmentado

♦ Tráfego de alta velocidade

GSegGSegUFRGSUFRGS

Vulnerabilidades Conhecidas

♦ Falsos alarmes

♦ Negação de serviço (DoS)

♦ Tolerância a falhas

♦ Autenticação

GSegGSegUFRGSUFRGS

Vulnerabilidades Conhecidas

♦ Desativação de ferramentas baseadas emhost

♦ Inserção de tráfego– pacotes descartados pelo sistema alvo

♦ Evasão de tráfego– pacotes descartados pelo IDS

GSegGSegUFRGSUFRGS

Subvertendo o IDS

♦ Procurando pela string “su root”.– e quanto à string “su me^H^Hroot” ?

– e quanto à string “su<telnet option> root” ?

– e quanto à string “alias blammo su”, e depois“blammo root” ?

GSegGSegUFRGSUFRGS

Reconstruindo Fluxos

♦ Procurando pela string “USER root”. Bastaprocurar na porção de dados de pacotesTCP?

USER root

HDR USERTCP: HDR root

HDR USHDR ERHDR HDR HDR ro HDR otIP:

É necessário remontar fragmentos e colocá-los em seqüência

GSegGSegUFRGSUFRGS

Mais Fragmentos

HDR USHDR

HDR HDR ro

HDR ot

3. 1,000,000 fragmentos sem relação c/ o ataque

Suponha o seguinte ataque:

GSegGSegUFRGSUFRGS

Mais Fragmentos

HDR USHDR

HDR HDR ro

HDR ot

O que considerar ( “USER root” ou “USER foot”)?Qual decisão será tomada pelo SO?

HDR HDR fo

Seq. #

GSegGSegUFRGSUFRGS

Aspectos Legais

♦ Interceptação telemática– C.F. Artigo 5º parágrafo XII

♦ Privacidade

♦ Documentar políticas

GSegGSegUFRGSUFRGS

Conclusões

GSegGSegUFRGSUFRGS

Conclusões

♦ Aumento no nº de incidentes

♦ Despreparo dos profissionais da área

♦ Não existe segurança 100%

♦ Não existe solução completa

GSegGSegUFRGSUFRGS

Conclusões

♦ IDS é mais um mecanismo útil

♦ Serve como suporte à tomada de decisões

♦ Vasto campo para novas pesquisas

GSegGSegUFRGSUFRGS

Contatos

Rafael Campelloe-mail: campello@inf.ufrgs.br

Raul Webere-mail: weber@inf.ufrgs.br

GSegGSegUFRGSUFRGS

e-mail: gseg@inf.ufrgs.brpágina: www.inf.ufrgs.br/~gseg

sistemas de detecção de intrusão

Travel

sistemas de detecção de intrusão pedro figueiredo

detecção de intrusão em redes de computadores usando...

avaliação do sia-di - sistema de detecção de intrusão...

detecÇÃo da intrusÃo utilizando classificaÇÃo...

sistemas de detecção de intrusão. estratégias de...

uma abordagem simplificada de detecção de intrusão...

ids - sistemas de detecção de intrusão (intrusion...

estudo de viabilidade de sistemas de detecção e intrusão...

vault enterprise sistema integrado de controle de acesso...

documento n. 996-203-007-2, revisão 02 manual de...

ids (intrusion detection system) sistemas de detecção de...

um método para detecção de intrusão em grades...

sistemas de detecção de intrusão

sistemas de detecção de intrusão por fibra Ótica ·...

sistema de detecção e prevenção de intrusão

gama completa para protecção de vidas e bens - … ·...

sistemas de detecÇÃo de intrusÃo com tÉcnicas de...

sistema de detecção de intrusão leonardo machado rômulo...

instalação e utilização de um sistema de detecção de...

marcelino antero loreno feitosa wagner porto paulo eduardo...