1

ANÁLISE E IMPLEMENTAÇÃO DE UM SISTEMA DE DETECÇÃO E

PREVENÇÃO DE INTRUSÃO UTILIZANDO A FERRAMENTA IPS-1.

Sarah Milani1

,

Andersown Becher2

1

RESUMO

Como componente meramente essencial em uma rede de computadores, o firewall atua na

grande maioria das vezes como filtro de pacotes, limitando-se a bloquear apenas conexões

em portas e endereços IP definidos. Diante da necessidade de reforçar a segurança da

informação, este artigo apresenta a implementação e análise da ferramenta IPS-1. Trata-se

de uma solução inovadora software blade para detecção e prevenção de intrusos, que

compõe a arquitetura de segurança dos produtos Check Point® Software Technologies Ltd,

empresa líder mundial em segurança corporativa. Para validar a performance do IPS-1

quanto a funcionalidade de detecção e prevenção de ataques, será realizado um estudo de

caso onde é apresentada toda a configuração do ambiente de teste, a seleção das

ferramentas necessárias, seleção das categorias de ataques, geração do tráfego de ataque,

bem como os resultados obtidos para cada classe de ataque gerado.

Palavras-chave: IPS-1, IPS, ataque, segurança da informação.

ABSTRACT

As a mere essential component in a computer network, the firewall works mainly as a

package filter. It has to block just definite connections in ports and IP addresses. Due to the

necessity of strengthening the information security, this paper presents the implementation

and analysis of tool titled IPS-1. It is an innovative solution software blade for detention

and prevention of intruders that composes the security architecture of the products Check

Point® Software Technologies Ltd, a world-wide leader company in corporative security.

In order to validate the performance of the IPS-1 related to the functionality of detention

and prevention of attacks, it was carried out a case study where the whole test

configuration environment, the election of the necessary tools, the election of the attack

categories, the generation of the traffic attack, as well as the results obtained for each

category of generated attack are presented.

Keywords: IPS-1, IPS, attack, information security.

1. INTRODUÇÃO

Em virtude do crescimento exponencial da Internet nos últimos anos, a utilização desta

incrível ferramenta em ambientes corporativos tornou-se uma necessidade e não mais um

mero diferencial no mercado. Entretanto, casos de empresas que já foram vítimas de algum

1

Centro de Processamento de Dados de Mato Grosso - Cepromat. sarah.milani@gmail.com 2

Prof. Andersown Becher Paes de Barros – ICE, andersown@gmail.com

2

tipo de ataque à segurança da informação, bem como os prejuízos imensuráveis associado

a esses incidentes, se tornam cada vez mais freqüentes.

Visando manter um ambiente computacional seguro, tendo como base os princípios da

segurança da informação, o administrador de rede deve estar não apenas ciente dos riscos

que a sua empresa pode estar exposta, mas também estar preparado para desenvolver e

implementar estratégias de segurança que visem minimizar e controlar os riscos e impactos

proporcionados.

Atualmente, o administrador de rede carrega uma cruz. Não basta apenas aplicar

patches de correções, manter o software atualizado, ou implementar regras de firewall. Há

a necessidade de algo que alerte em tempo real as tentativas de invasão. (ORTALE, 2001,

p.01)

Ferramentas como sistemas de antivírus e firewall atualmente são imprescindíveis,

porém deixam lacunas que quando bem exploradas expõe as corporações a grandes riscos

como invasão de sistemas, roubo, alteração e destruição de informações. Muitas vezes tais

incidentes só são identificados quando o mesmo encontra-se indisponível para acesso, o

que pode ser tarde demais e já ter gerado grandes prejuízos.

Neste contexto, a monitoração contra ataques e intrusões, tornou-se um dos pontos

chave na estrutura de segurança de uma rede de computadores, auxiliando o administrador

de rede a prevenir ataques e a agir quando o mesmo é iniciado ou detectado.

Este estudo tem como objetivo apresentar uma solução alternativa para reforçar a

segurança de rede através da implementação do IPS-1, sistema de detecção e prevenção de

intrusão da Check Point.

2. IDS, IPS e IDPS

Diante da necessidade de complementar e reforçar a segurança da informação surgem

os sistemas de detecção de intrusão (IDS2) e os sistemas de prevenção de intrusão (IPS

3).

Silva (2007, p. 57) define detecção de intrusão como o processo de monitoração de

eventos em sistemas computacionais em rede ou no tráfego de rede, onde a verificação

destes objetiva-se em encontrar traços de intrusões, ataques, mau uso, ou ações que violem

a política de segurança da organização.

Existem diversos tipos de ferramentas IDS para diferentes plataformas, porém as

ferramentas IDS trabalham basicamente de modo parecido, ou seja, analisando os pacotes

que trafegam na rede e comparando-os com assinaturas já prontas de ataques,

identificando-os de forma fácil e precisa qualquer tipo de anomalia ou ataque que possa vir

a ocorrer em sua rede/computador. As correspondências de ataques são descobertas através

da comparação dos dados do pacote com assinaturas de ataques armazenadas em banco de

dados.

Atualmente, o termo IPS tem sido utilizado para representar um conjunto de

ferramentas que além de detectar o ataque também é capaz de bloquear o tráfego deste,

impedindo sua continuidade e prevenindo danos subseqüentes. Como complemento do

IDS, o IPS tem a capacidade de identificar uma intrusão, fazer a análise da relevância do

evento e bloquear determinados eventos, fortalecendo assim a tradicional técnica de

detecção de intrusos. Desta forma, um IPS poderia agir localmente sobre uma tentativa de

intrusão impedindo que ela atinja seus objetivos e minimizando os possíveis danos.

2 IDS - Intrusion Detection System.

3 IPS - Intrusion Prevention System.

3

Existem algumas controvérsias quanto ao uso do conceito de IPS para representar uma

nova classe de ferramentas. Alguns autores salientam que agregar apenas a função de

reação aos sistemas de detecção de intrusão não justifica a criação de uma nova

terminologia. Outros, entretanto, entendem que a execução de medidas pró-ativas de

bloqueio no próprio sistema já é suficiente para classificá-lo de outra forma.

Para resolver estas controvérsias, este trabalho usará as terminologias adotadas por

Scarfone e Mell (2007, p. 2-1) e abordará a categoria IDPS4. Algumas soluções IDS e IPS

oferecem muitas vezes as mesmas capacidades, permitindo que os administradores

desabilitem as funções gerais dos sistemas de prevenção de intrusos, fazendo com que

estes funcionem e atuem apenas como IDS.

O software escolhido para implementação e análise neste artigo, oferece

funcionalidades tanto de sistemas de detecção de intrusos quanto de sistemas de prevenção

de intrusos. Assim, podemos classificá-lo como uma solução IDPS.

3. IPS-1

A arquitetura “Software Blade” trata-se de um conceito revolucionário introduzido pela

Check Point em 2009, que permite consolidar funções de segurança em um único sistema.

Oferece através desta, gerenciamento centralizado a uma plataforma integrada e flexível

composta por vários módulos de segurança independentes, denominados softwares blades.

A solução IPS-1 faz parte do conjunto de softwares blades oferecidos pela Check Point

(CHECK POINT, 2009).

A vantagem desta arquitetura se dá a partir da simplicidade de configuração,

permitindo adicionar soluções através da simples ativação de funcionalidades no gateway.

Outro ponto favorável é a flexibilidade dos recursos e configurações, sendo possível

migrar softwares de um sistema para outro, consolidar diversos softwares em uma única

plataforma, e ainda definir níveis de acesso aos recursos de hardware por software blade.

O IPS-1 está disponível em dois métodos de implantação:

IPS-1 Software Blade – integra-se a solução Check Point Security Gateway para

fornecer uma camada de segurança para além da tecnologia de firewall Check

Point.

IPS-1 Sensor - instalado sem o Check Point Firewall e dedicado a proteger o

segmento de rede contra tentativas de intrusão.

Neste trabalho será apresentada as fases de implementação e análise para o módulo “IPS-1

Software Blade”. O nível de proteção da solução IPS-1 inclui as seguintes funcionalidades

(CHECK POINT, 2010):

Detecção e prevenção de vulnerabilidades conhecidas.

Detecção e prevenção de falhas, como por exemplo, proteção contra CVE’s5

específicos. 4 IDPS - Intrusion Detection and Prevention Systems.

5Common Vulnerabilities and Exposures: Define-se como um padrão no tratamento e divulgação de

informações sobre vulnerabilidades reportadas. O CVE (Common Vulnerabilities and Exposures) é um banco

de dados público em que todos interessados possam obter acesso a informações sobre vulnerabilidades.

4

Detecção e prevenção do uso indevido de protocolo, que em muitos casos indica

que atividade maliciosa ou ameaça em potencial. Exemplos de protocolos

geralmente manipulados em ataques: HTTP, SMTP, POP e IMAP.

Detecção e prevenção de comunicação de saída de malware.

Detecção e prevenção de tentativas de tunelamento. Estas tentativas podem indicar

o vazamento de dados ou de tentativas para contornar as medidas de segurança, tais

como filtragem web.

Detecção, prevenção ou restrição de certas aplicações que, em muitos casos,

consomem a largura de banda podendo provocar ameaças à segurança da rede, tais

como aplicações Peer to Peer e Instant Messaging.

Detecção e prevenção de tipos de ataque genérico, sem qualquer assinatura pré-

definida.

4. ESTUDO DE CASO

Para validar as funcionalidades de prevenção e detecção apresentadas anteriormente,

foi necessário definir e configurar os cenários para gerar o tráfego de ataques.

Nesta seção serão abordadas todas as configurações e especificações realizadas para

montar o ambiente de testes, bem como as ferramentas utilizadas, a rotina de ataques

programada e os demais procedimentos envolvidos na fase de validação das

funcionalidades do software IPS-1.

A metodologia proposta neste estudo de caso é composta pelas seguintes etapas:

1. Definição do ambiente de simulação;

2. Seleção das ferramentas utilizadas;

3. Classificação dos ataques;

4. Ataques propostos;

5. Geração do tráfego de ataques.

A seguir serão apresentas todas as fases listadas bem como, todas as operações nelas

executadas.

4.1 Definição do ambiente de teste

O escopo desta etapa do trabalho foi modelar um ambiente de testes que se

identificasse o máximo possível a um ambiente de rede sob ataque real, através do qual

serão feitas análises do tráfego durante a realização das simulações de ataques. Dessa

forma, o ambiente proposto para o desenvolvimento dos testes buscou simular uma

pequena rede corporativa, segmentada em três cenários:

Rede externa de ataque (10.0.0.0/8) - composta pela maquina “Attacker”;

Rede interna (11.0.0.0/8) - representada pelo host “Target”, como alvo de destino

dos ataques;

Rede de Gerência (192.168.42.0/24) – configurada para gerenciamento do

software IPS-1.

O ambiente de teste configurado para implementar e validar o software IPS-1, foi

baseado em máquinas virtuais, conforme apresentado na topologia a seguir.

5

Figura 1 – Topologia do Ambiente de teste configurado para validar a solução IPS-1

Na Figura 1, observa-se entre a rede “Alvo” e a rede “Ataque”, encontra-se

configurado o host “KillBill”, maquina virtual rodando o IPS-1 integrado à solução de

firewall FW-1, atuando também como gateway da rede. Ambas soluções (FW-1/IPS-1)

fazem parte da arquitetura de software Blade da Checkpoint, versão R71. O host “Console

R71” é a máquina física onde estão instaladas as VMs. A partir dela serão acessados todos

os consoles de gerenciamento e monitoramento do software IPS-1, por isso encontra-se na

rede “Gerência” - 192.168.42.0.

Para que a solução de firewall não interfira no processo de avaliação dos ataques

analisados pelo IPS-1, foi adicionada e aplicada apenas uma regra no firewall, permitindo

o acesso de qualquer origem para qualquer destino em qualquer porta.

4.2 Seleção de Ferramentas

Essa etapa foi dedicada à obtenção de ferramentas que permitissem reproduzir o

cenário de avaliação proposta na topologia do ambiente de teste, apresentada anteriormente

na Figura 1.

4.2.1 IPS Demo Toolkit

Nos hosts “Attacker” e “Target” foram instalados a distribuição IPS Demo Toolkit,

trata-se de uma distribuição de um sistema operacional proprietário desenvolvido pela

Check Point. Através do IPS Demo Toolkit é possível simular vários tipos de ataques, bem

como configurar um ambiente honeypot, este segundo processo será descrito mais adiante.

Reúne diversas técnicas para realização de testes de intrusão, estes foram subdivididos em

categorias distintas de acordo com as características e alvo de ataque. Entre os scripts

disponíveis do IPS Demo Toolkit, podemos encontrar os mais diversos tipos de ataques,

entre eles: ataque Syn, Ping of death, ataques da camada de aplicação como o FTP bounce,

6

dentre outros. Quando determinado tipo de ataque é selecionado, é executado um script

pré-configurado para atacar a maquina alvo (Target).

Na máquina Target, nosso alvo de intrusões nessa arquitetura, foi configurado um

Honeypot. Segundo Spitzner (2002, p.6) Honeypots são sistemas criados para atraírem e

serem comprometidos por um atacante, gerando um registro histórico de todas as ações

feitas neste ataque. Após o comprometimento dos sistemas é possível extrair informações

que auxiliam na implementação de um mecanismo de defesa ou até mesmo para gerar

alertas de invasão. Shirey (2007, p. 142) define Honeypot como um sistema (servidor web,

por exemplo) ou recurso de sistema (um arquivo em um servidor) que é projetado para

atrair crackers e intrusos em potencial, como uma armadilha.

As máquinas Honeypot executam serviços falsos, que respondem como seus originais,

mas na verdade estão fazendo outras operações totalmente diferentes.

4.2.2 BACKTRACK

BackTrack é atualmente uma das melhores distribuições Linux com foco em

ferramentas de segurança e testes de penetração (PenTest). Pode ser usado diretamente do

CDROM (Live CD), possui interface gráfica (KDE, Flux Box, etc), e em minutos, pode

disponibilizar um conjunto de aplicações específicas para: obtenção de informações e

reconhecimento (Footprinting); enumeração e scanning; testes em Web Servers; testes em

redes wireless; exploit e obtenção de acesso; elevação de privilégios, manutenção de

acessos e dentre outras operações. A versão utilizada neste trabalho, BackTrack 4, surgiu a

partir da fusão de duas distribuições bem difundidas - Whax e Auditor Security

Collectione. A versão 4 - codename pwnsauce, adota um sistema baseado nas distribuições

Debian e Ubuntu (8.10 i386 32 bits) com o seu próprio repositório, oferecendo uma vasta

gama de software gerenciável através do gestor de pacotes APT (BACKTRACK, 2010).

4.3 Classificação dos Ataques

A classificação dos ataques no processo de avaliação de sistemas de detecção e

prevenção de intrusão permite descrever aspectos relevantes quanto ao contexto dos mais

diferentes ataques, isto é, entender a seqüência de passos e ações executadas para a

realização de atividades não autorizadas e que de alguma forma coloquem em risco a

estabilidade da rede e de seus serviços.

O conhecimento do contexto de um ataque permite a realização de uma série de

medidas para minimizar a probabilidade de que tais eventos sejam bem sucedidos.

Nessa etapa o objetivo é selecionar um conjunto de ataques que explore características

técnicas únicas entre si. Ao invés de simplesmente reunir um conjunto de ataques, esta

etapa do estudo de caso limitou-se em selecionar ataques cuja detecção seja possível a

partir diferentes mecanismos de detecção existentes no IPS-1. Dessa forma, os ataques

selecionados nessa etapa, representam um conjunto de características ímpares que

permitem avaliar as diferentes capacidades de detecção e não simplesmente a base de

assinaturas dessas ferramentas.

A seleção da rotina de ataques foi dividida em duas categorias: Network Security e

Application Intelligence.

4.3.1 Network Security

7

Os ataques desta seleção são direcionados ao nível de segurança do protocolo

TCP/IP visando comprometer a integridade das conexões da camada de rede. Engloba todo

e qualquer ataque que altere de alguma forma a legitimidade e a estrutura do pacote IP.

Como por exemplo, ataques de IP Fragments, Max Ping Size, Null Payload ICMP.

4.3.2 Application Intelligence

Muitas das mais sérias ameaças da Internet vêm de ataques que tentam explorar as

vulnerabilidades de aplicativos. Como os ataques orientados à aplicações tendem a ser

mais sofisticados, os mecanismos de defesa devem ser igualmente sofisticados e eficaz

para detectar os mesmos.

Nesta seção, serão encontrados ataques que exploram as vulnerabilidades da

camada de Aplicação. Nessas categorias serão encontrados desde ataques a banco de dados

MS-SQL até ataques de aplicativos peer to peer, como por exemplo, Kaaza, eMule e

BitTorrent.

4.4 Ataques Propostos

Depois de definir as categorias das rotinas de ataques conforme o objeto alvo e

demais características técnicas, será elaborada a seleção de ataques utilizados na fase de

avaliação do software IPS-1.

Dando continuidade a sequência das etapas definidas anteriormente, esta seção

apresenta os ataques que irão compor o cenário de validação do sistema de detecção e

prevenção IPS-1. Assim, foram escolhidos aleatoriamente ataques que explorem

vulnerabilidades distintas, tendo como objetivo validar os diferentes mecanismos de

detecção e prevenção do software IPS-1.

A Tabela 1 apresenta a classificação dos ataques escolhidos de acordo com suas

respectivas categorias e as ferramentas utilizadas para simular determinado tráfego de

ataque.

Categorias Ataques Ferramentas

Network Security

Ping of Death IPS Demo Toolkit

TCP Syn Flood BackTrack 4

Teardrop IPS Demo Toolkit

LAND IPS Demo Toolkit

Application Control

IMAP Buffer Overflow IPS Demo Toolkit

FTP Bounce IPS Demo Toolkit

FTP Brute Force BackTrack 4

Bit Torrent IPS Demo Toolkit

Squid DoS IPS Demo Toolkit

Wins Replication IPS Demo Toolkit

MS SQL Scanner BackTrack 4 Tabela 1 – Classificação e Seleção da rotina de ataques propostos.

A fim de proporcionar uma melhor compreensão diante dos resultados obtidos, a

seguir será realizada uma breve descrição técnica do funcionamento dos ataques

selecionados.

4.4.1 Network Security

8

Ping of Death

A RFC 791 específica que o tamanho máximo de um pacote IP é 65.535 bytes. Um

ataque Ping of Death consiste em enviar um pacote IP com um tamanho maior de bytes

para o host que se deseja atacar. Um datagrama IP de 65,536 bytes, por exemplo,

corresponderia a um pacote IP inválido, e isso é possível devido à forma como o pacote é

fragmentado (dividido em blocos para transmissão) (JUNIPER, 2010, p.55).

TCP SYN Flood

Um ataque SYN Flood ocorre quando um host torna-se sobrecarregado devido à várias

solicitações de conexões incompletas realizadas por pacotes SYN, passando a não mais

responder à solicitações de conexões legítimas. Assim, ao inundar um computador com

conexões TCP incompletas, o atacante finalmente preenche o buffer de memória da vítima.

Uma vez que este buffer está cheio, o servidor atacado não pode mais processar novas

conexões TCP. Este ataque pode danificar o sistema operacional do host atacado, e de

qualquer maneira, desativa suas operações normais (JUNIPER, 2010, p. 40).

Teardrop

Ataque Teardrop explora as falhas de fragmentação e remontagem de pacotes IP. O

cabeçalho IP contém campos de controle necessários para lidar como problemas de

fragmentação. Cada fragmento se parece com o pacote IP original, entretanto o campo

offset especifica a posição correta dos fragmentos no pacote desfragmentado original. Um

ataque Teardrop cria uma série de fragmentos IP que sobrepõem os campos offset

(JUNIPER, 2010, p.56).

Land

Este ataque explora a função spoofing e ataque SYN. Basicamente, consiste em enviar

para a máquina alvo um pacote com SYN (pedido de conexão) usando o endereço desta

máquina como endereços de origem e destino e um mesmo número de porta nas portas de

origem e destino. O sistema receptor responde enviando um pacote SYN-ACK para si,

criando uma conexão vazia que permance ativo enquanto o tempo limite não é atingido,

gerando um loop. Este ataque pode sobrecarregar o sistema, provocando uma negação de

serviço (JUNIPER, 2010, p. 54).

4.4.2 Application Intelligence

IMAP Buffer Overflow

O IMAP6 trata-se de um protocolo padrão para acessar emails, fornecendo funções de

gerenciamento de mensagens recebidas a partir de um servidor remoto. Ataques do tipo

“Buffer Overflow” podem ser gerados através da alteração dos argumentos repassados por

comandos, por exemplo, “EXAMINE” e “SELECT” quanto durante o processo de login.

6 IMAP - Internet Message Access Protocol.

9

Esta vulnerabilidade pode ser explorada remotamente pelo atacante, podendo comprometer

a disponibilidade do serviço.

FTP Bounce

Hosts executando serviços desatualizados de FTP podem retransmitir numerosos ataques

TCP, incluindo o port scanning. Há uma falha no modo como muitos servidores FTP lidam

com conexões através do comando PORT, que permite que dados possam ser enviados

para hosts e portas especificados pelo usuário (MCNAB, 2008, p. 56).

Assim, este ataque permite que um servidor seja utilizado como um "proxy" entre o

atacante e o host alvo, atuando como ponto de acesso a outras conexões. Dessa forma, o

atacante pode mascarar a sua origem, pois para a máquina alvo o ataque origina-se do

servidor FTP.

FTP Brute Force

Em ataques do tipo força bruta, o atacante busca se autenticar através de métodos

exaustivos de tentativa e erro, testando várias combinações de usuários e senhas. Utiliza

como base de pesquisa listas com diversas palavras e combinações alfa-numérico,

disponíveis para download na Internet. Quanto maior a wordlist, maior a probabilidade de

conseguir quebrar a autenticação de determinado serviço. Nesse caso o objeto alvo de

ataque será o serviço de FTP.

Bit Torrent Attack

BitTorrent é uma arquitetura para redes Peer-to-Peer (P2P) cujo foco principal é a

distribuição eficiente de conteúdos. Para entender como age um ataque BitTorrent,

primeiramente será descrito como funciona sua arquitetura.

Segundo Erman et al., (2005) a obtenção de dados em uma rede BitTorrent pode ser

dividida em fases, conforme ilustra a Figura 2.

A primeira fase corresponde à obtenção do arquivo de metadados que representa um

determinado conteúdo. Na segunda fase, uma entidade centralizada, denominada tracker, é

utilizada como ponto de encontro. A última etapa compreende a troca de peças visando a

obtenção de todas as partes do conteúdo (KONRATH, 2007).

Ataques de BitTorrent exploram a facilidade em obter identidades e "envenenam" o

tracker (fase 2) para, em seguida, disseminar ações maliciosas (fase 3). Um atacante,

portanto, pode valer-se desta vulnerabilidade e criar várias identidades (KONRATH 2007).

Figura 2 – Fases de um download através do BitTorrent. Fonte: (KONRATH, 2007)

Squid DoS Attack

10

Recentemente foi lançada uma notificação de atualização de segurança para o Proxy

Squid, devido ao processo de validação de dados incorretos. Assim, o Squid foi dado como

uma aplicação vulnerável a ataques de negação de serviço durante o processamento de

determinados pacotes de solicitação DNS e diante do método TRACE (SQUID CACHE,

2010).

Diante desta vulnerabilidade, serão realizados ataques de negação de serviço, tendo

como principal objetivo tornar indisponível o servidor de Proxy.

Wins Replication Attack

O serviço WINS7 é responsável por desempenhar as funções de registro de nome e

resolução de nome Netbios associado ao endereço IP em redes internas. O boletim de

segurança lançado pela Microsoft em alerta para a descoberta de uma vulnerabilidade de

execução remota de códigos no WINS devido à forma como ele lida com a validação de

nome no computador. Um invasor pode explorar a vulnerabilidade construindo um pacote

de rede mal-intencionado capaz de permitir a execução remota de códigos em um sistema

afetado. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle

total de um sistema afetado, comprometendo a integridade e disponibilidade deste serviço

(MICROSOFT 2009).

SQL Scan

A busca por vulnerabilidades é um dos passos iniciais na anatomia de um ataque, e o

mesmo acontece com o uso de scanner, que através da emissão de pacotes e a suas

respectivas respostas compõem um quadro de vulnerabilidade do alvo em questão. Para

simular este ataque será realizado um scanner que busca vulnerabilidades relacionadas ao

sistema gerenciador de banco de dados, MS SQL.

4.5 Geração do tráfego de ataques

Depois de selecionado e classificado os ataques em suas respectivas categorias, será

necessário reproduzir o tráfego destes ataques no ambiente de simulação. Para que isso

fosse possível, algumas operações foram realizadas:

Ativação do Ambiente HoneyPot

Como já foi descrito anteriormente, a máquina “Target” representa nosso alvo de

intrusão. Para que o ambiente esteja habilitado para receber a rotina de ataques é

necessário ativar a configuração de HoneyPot neste host, selecionando a opção “1 – Start

HoneyPot “. Ao selecionar esta função, vários serviços falsos serão iniciados na máquina

Target com o objetivo de simular serviços reais sendo executados em portas de conexão

padrão.

Configuração das proteções do IPS-1

7 WINS - WindowsInternet Name Services.

11

Para habilitar as ações de inspeção do IPS-1 diante de determinado tráfego de ataque é

necessário setar as configurações de suas proteções. Estas proteções podem ser

configuradas manualmente de acordo com as necessidades de cada ambiente.

A solução IPS-1, classificada como um IDPS, permite configurar, por proteção, o

modo de atuação como “Prevent” (atuando como IPS) ou “Detect” (atuando como IDS).

Como estaremos avaliando as funcionalidades de prevenção do IPS-1, as seguintes

proteções foram habilitadas como “Prevent”:

- Ping of Death;

- Teardrop;

- LAND;

- IMAP Servers Overly Long Commands Buffer overflow;

- FTP Bounce;

- Bit Torrent;

- Squid Proxy TRACE Request Remote Denial of Service;

- Microsoft WINS Replication Attack;

- Network Quota;

- MS SQL Monitor Protocol;

Coleta do Log de tráfego de Ataque

A ferramenta “SmartView Tracker”, aplicativo que compõe o box de soluções de

segurança dos produtos Check Point, permite coletar e visualizar informações detalhadas

de todas as conexões da sua rede em tempo real. Através deste é possível realizar uma

auditoria do tráfego de rede, customizar filtros de log de conexão e exportá-los em

arquivos de texto ou para um banco de dados externo.

Neste caso, esta ferramenta será utilizada para visualização dos logs de conexões e

ações do IPS-1. Assim, deverá ser iniciado antes de ser gerado o tráfego de ataque, para

que seja possível acompanhar em tempo real as conexões logadas.

4.6 Reprodução do tráfego de ataque

Para facilitar o entendimento da metodologia abordada neste trabalho, as rotinas de

ataques foram divididas em dois cenários.

4.6.1 Cenário 1: Ataques gerados pelo IPS Demo Toolkit

Este cenário é composto pelo host “Attacker” (IP: 10.0.0.2) atuando como host atacante

através da opção número 2 do menu do IPS Demo Toolkit – “Start Attack Tool”.

Conforme foi descrito anteriormente, a ferramenta IPS Demo Toolkit é composta por

vários scripts de ataques pré-configurados. Para que o tráfego seja gerado é necessário

apenas selecionar determinado tipo de ataque e este já será direcionado para a maquina

“Target” (IP: 11.0.0.2).

Para simular os ataques da categoria “Network Security” foi utilizado o script

“Targa2”. Este script é composto por diversas funções e métodos de ataque, foi utilizado

para gerar o tráfego dos seguintes ataques da classe “Network Security”: ping of death,

teardrop e land. Para executar o ataque ping of death foi utilizada função de ataque “jolt

attack” que compõe o script targa2. Trata-se de um simples script escrito em C capaz de

gerar pacotes IP com tamanho superior à 65,535 bytes. O script completo encontra-se

disponível em: http://mixter.void.ru/targa2.c.

12

Já os ataques da categoria Application Intelligence, foram reproduzidos a partir da

função Replay. Trata-se de uma forma particular de ataque em que parte de uma

transmissão de rede é gravada e reproduzida posteriormente. O fluxo armazenado é

composto por uma coleção de pacotes onde cada pacote representa um segmento do fluxo,

que pode ser repetido por qualquer cliente ou servidor (WHELLER, 2008).

Todos os pacotes contendo informações coletadas de tráfego malicioso estão

disponíveis em /morphix/IPS/cap nos hosts rodando o IPS Demo Toolkit.

A sintaxe da função “replay” utilizada para gerar o tráfego malicioso segue o

mesmo padrão para todos os ataques, diferenciando apenas na referencias dos arquivos

*.replay e portas de conexão utilizadas. Veja a seguir os comandos e os parâmetros

processados para os ataques IMAP Buffer Overflow, FTP Bounce, Bit Torrent, Squid DoS

e Wins Replication, respectivamente.

- replay-client.pl –t 15 –m –c 11.0.0.2 –p 143 –f cap/IMAP-

Block_SELECT_CMD_BO.replay –s 65000

- replay-client.pl –t 15 –m –c 11.0.0.2 –p 21 –f

cap/ftp_bouce.replay –s 65000

- replay-client.pl –t 15 –m –c 11.0.0.2 –p 2240 –f

cap/bittorrent.replay –s 65000

- replay-client.pl –t 15 –m –c 11.0.0.2 –p 3128 –f

cap/Squid_Proxy_TRACE_Request_Vulnerability.replay –s 65000

- replay-client.pl –t 15 –m –c 11.0.0.2 –p 42 –f

cap/wins.replay –s 65000

4.6.2 Cenário 2: Ataques gerados pelo Back Track

Para executar o ataque SYN Flood, da categoria “Network Security” foi utilizado o

módulo “TCP SYN Flooder”, um dos módulos disponíveis na ferramenta Metasploit

Framework 3. Este aplicativo encontra-se disponível na coleção de exploits e ferramentas

auxiliares da distribuição Back Track.

A Figura 3 apresenta a configuração realizada para gerar 1000 conexões SYN com

destino ao host Target (IP:11.0.0.2) na porta 80 (HTTP).

13

Figura 3 – Configuração do Módulo TCP SYN Flooder no Back Track, para gerar o tráfego do ataque “SYN

Flood”

O ataque consiste em enviar várias solicitações de conexão do endereço de origem

forjado. Como resultado, os usuários legítimos ficam impedidos de fazer uso dos serviços

prestados pelo host alvo.

Para simular os ataques “FTP Brute Force” e “MS SQL Scanner”, ambos da categoria

“Application Intelligence”, foi utilizado o softwares Hydra e a função mssqlscan,

respectivamente.

Através do software Hydra é possível efetuar ataques de brute force nos protocolos

TELNET, FTP, HTTP, HTTPS, HTTP-PROXY, SMB, SMBNT, MS-SQL, MYSQL,

REXEC, RSH, RLOGIN, CVS, SNMP, SMTP-AUTH, SOCKS5, VNC, POP3, IMAP,

NNTP, PCNFS, ICQ, SAP/R3, LDAP2, LDAP3, Postgres, Teamspeak, Cisco auth, Cisco

enable, LDAP2, Cisco AAA. Neste caso, foi escolhido o protocolo FTP do host Target –

11.0.0.2.

Para isso, foi necessário realizar o download de uma “wordlist”, as palavras desta lista

foram utilizadas nas combinações de senhas durante as tentativas de ataques brute force. O

ataque realizado validou combinações de senhas para o usuário “root”. O seguinte

comando foi utilizado para realizar este ataque:

# hydra –l root –P wordlist.lst –f –V 11.0.0.2 ftp

Para executar o trafego MS SQL Scanner foi utilizado o script mssqlscan.sh,

disponível em /pentest/database/mssqlscan. Esta pequena ferramenta faz uma varredura de

servidores MS SQL em determinado local de destino. O comando foi submetido a partir da

seguinte sintaxe:

# mssqlscan -t 11.0.0.2 -o <output to file>

5. COLETA E ANÁLISE DOS RESULTADOS

A metodologia de validação abordada neste trabalho tem como objetivo avaliar a

capacidade de detecção e prevenção da ferramenta IPS-1, bem como analisar a exatidão em

relação à identificação do tráfego de ataque diante da sua base de proteções.

5.1 Identificação do Tráfego de Ataque

14

Para facilitar a compreensão dos resultados obtidos, as análises serão apresentadas

conforme foi definido no item “Reprodução do Tráfego de Ataque”, descrito

anteriormente. Portanto, o processo de identificação do tráfego de ataque segue a mesma

classificação de cenários.

5.1.1 Cenário 1: Resultados obtidos para ataques gerados pelo IPS Demo Toolkit

Categoria: Network Security

Depois de executado o ataque “Ping of Death” com destino ao host “Target”

(11.0.0.2), o tráfego detectado pelo console de log do Tracker Checkpoint mostra o

bloqueio de vários pacotes ICMP enviados a maquina alvo, como pode ser visto na Figura

4.

Pode-se observar, nesta mesma figura, que para apenas um tráfego gerado, foram

detectadas duas formas de ataques, IP Fragments e Ping of Death, ambas utilizando o

mesmo tipo de proteção, por assinatura. Ao analisar a descrição da ameaça nas

propriedades das respectivas assinaturas, identificou-se que ambas as proteções referem-se

à manipulação de fragmentação IP.

Figura 4 - Bloqueio do tráfego de ataque "Ping of Death"

É importante ressaltar que primeiramente o ataque foi identificado pelo mecanismo da

proteção “IP Fragments” e foi posteriormente registrado como “Ping of Death”, como foi

apresentado no log do Tracker. Assim, podemos concluir que o mecanismo de detecção e

prevenção do IPS-1, registrou o ataque em duas fases. A primeira fase acionou a proteção

“IP Fragments, pois neste momento o ataque gerado executou o processo de fragmentação

dos pacotes. A segunda fase reconheceu o ataque como “Ping of Death”, pois após os

pacotes serem remontados, verificou-se que o tamanho excedia o padrão normal de um

pacote IP.

Diante deste evento, é importante reconhecer a necessidade de entender como

determinados tipos de ataques ocorrem e a relação entre eles, contribuindo assim para uma

melhor compreensão e análise do evento de intrusão.

O tráfego de ataque “Teardrop” segue o mesmo evento descrito anteriormente,

entretanto dessa vez, o tráfego foi primeiramente identificado e bloqueado pela proteção

“Teardrop” e logo a seguir foi acionada também a proteção “IP Fragments”. Um ataque

Teardrop explora as falhas de fragmentação e remontagem de pacotes IP. Dessa forma, o

IPS-1 ao inspecionar as informações do pacote IP detectou falhas no processo de

remontagem dos pacotes, devido à sobreposição da ordem de montagem definida pelo

campo “offset”, acionando a proteção “Teardrop”. Por se tratar de um tráfego de ataque

15

onde existe o processo de fragmentação de IP, também foi ativada a proteção “IP

Fragments”.

O tráfego de ataque “Land” foi bloqueado pela proteção do tipo “Signature”,

denominada “Land”. Em ataques Land, é enviado para a máquina alvo um pacote SYN

ligado com o endereço IP de origem e destino idênticos, gerando um loop, como pode ser

visto na Figura 5.

Figura 5 – Tráfego de ataque Land com origem e destino idênticos, bloqueado pelo IPS-1

Outro fator relevante que deve ser observado em ataques Land é que não apenas os

endereços IPs (origem/destino) são idênticos, mas também as portas de conexão, esse

evento pode ser identificado ao visualizar as propriedades do tráfego capturado, como

mostra a Figura 6.

Figura 6 - Portas de conexão de origem e destino idênticas.

Categoria: Application Intelligence

O tráfego de ataque de buffer overflow para o protocolo IMAP foi bloqueado e

reconhecido como ataque “IMAP Protocol Violation”.

O campo “Attack Information”, apresentado na Figura 6, confirma a ação do tráfego de

ataque gerado: SELECT command buffer overflow, sendo preciso quanto ao processo de

identificação do ataque.

16

Figura 7 – Tráfego de ataque Buffer overflow bloqueado e identificado com ataque de violação ao protocolo

IMAP.

O tráfego de reprodução do ataque “FTP Bounce, foi detectado e bloqueado pela

proteção “FTP Bouce” do tipo “Protocol Anomaly”.

Ao acessar as propriedades do registro, verificou-se que o campo “Attack

Information” confirma a ocorrência de uma incompatibilidade no campo “PORT” do

tráfego gerado, alegando que a porta de conexão do cabeçalho IP é diferente,

caracterizando um legítimo ataque “FTP Bounce. A Figura 8 mostra a descrição desse

evento no campo “Attack Information”.

Figura 8 - Tráfego de Ataque FTP Bounce bloqueado por armazenar informações distintas na estrutura do

pacote

Ao ser reproduzido, o ataque da categoria de aplicações “peer-to-peer” - Bit Torrent,

foi detectado e bloqueado, pela proteção “Bit Torrent”. Quando o IPS inspeciona o tráfego

de conexões HTTP para aplicações peer-to-peer, não só as portas são validadas, mas

também toda conexão de solicitação e resposta HTTP.

O ataque “Squid Dos” foi detectado como “Proxy Server Enforcement” e bloqueado

pelo mecanismo de prevenção da proteção “Squid Proxy TRACE Request Remote Denial

of Service”. Ao visualizar as propriedades adicionais do tráfego capturado, foi observado

que o campo “Attack Information” confirma a execução de uma solicitação TRACE

manipulada para explorar falhas do serviço de Proxy (Squid).

Depois de executado o ataque de “Wins Replication”, a proteção “Microsoft WINS

Replication Attack” foi acionada, bloqueando o tráfego de ataque. A propriedade do

17

tráfego de ataque também confirma a operação maliciosa executada, informando: “Ataque

de Replicação do Protocolo Microsoft WINS por conexões TCP”.

5.1.2 Cenário 2: Resultados obtidos para ataques gerados pelo Back Track

Categoria: Network Security

O ataque “TCP SYN Flood”, configurado para gerar 1000 conexões SYN na porta 80

(HTTP), foi capturado pelo log do Smart View Tracker e bloqueado pela proteção

“Network Quota”. Através desta proteção é possível definir um número total de conexões,

excedendo este limite o tráfego é reconhecido como tráfego de ataque. Neste caso, o

número de conexões foi definido para 100, como mostra a Figura 9.

Figura 9 - Limitando número de conexões por segundo a partir da mesma origem através da proteção

Network Quota

Categoria: Application Intelligence

Ao reproduzir o tráfego de ataque “FTP Brute Force” através do software Hydra, todas

as tentativas de conexões foram bloqueadas pela proteção “Network Quota” e detectadas

pela proteção “Syn Attack”.

Como já havíamos configurado anteriormente a proteção Network Quota para bloquear

conexões que excedessem 100 conexões por segundo, este tráfego foi também foi barrado.

Já a proteção “Syn Attack” foi configurada apenas para “detectar”, monitorando apenas as

conexões. A Figura 10 mostra o log capturado desses eventos.

Figura 10 - O tráfego do ataque “FTP Brute Force” foi bloqueado e detectado por proteções distintas.

Deve-se ressaltar que essas configurações devem ser alteradas diante da estrutura e

necessidade de cada ambiente de rede. Para uma rede de pequeno porte, 50 conexões por

segundo pode configurar uma tentativa de ataque. Entretanto, ao analisarmos o tráfego

interno de uma rede de grande porte, para um mesmo intervalo de tempo, esta estatística

pode representar um tráfego provavelmente legítimo. Portanto, é necessário que essas

estatísticas sejam analisadas antes de configurar e habilitar determinadas proteções do IPS-

1.

18

Ao gerar uma rotina de scan para Bancos de Dados MSSQL no host de destino

(Target), o registro capturado é identificado como “MS-SQL Monitor Protocol

Enforcement Violation” pela proteção “MS-SQL Monitor Protocol”. Ao verificar os

registros adicionais do tráfego capturado, pode-se identificar no campo “Attack

Information” que foi detectado vazamento de informações de versão na conexão, evento

condizente às propriedades de uma rotina de atividades scan. Assim, todo o tráfego gerado

pelo MS SQL Scanner foi bloqueado.

6. CONSIDERAÇÕES FINAIS

No decorrer deste artigo foi apresentado todo o processo de implementação e análise da

ferramenta IPS-1, que permitiu adicionar uma camada adicional à segurança da informação

através de funcionalidades de detecção e prevenção de intrusão, atuando juntamente com a

solução de firewall.

A fim de validar estas funcionalidades, o software blade IPS-1 foi submetido a uma

seleção de rotinas de ataques. Durante a fase de seleção das rotinas de ataque, foram

definidos dois grupos: “Network Security” e “Application Intelligence”, com o intuito de

explorar funcionalidades distintas, possibilitando uma avaliação mais ampla e detalhada do

IPS-1.

Outro fator que intensificou o processo de validação foi a escolha de ferramentas

independentes para gerar o tráfego de ataque, sendo uma destas, solução proprietária da

Check Point (IPS Demo Toolkit), e a outra, uma das distribuições mais populares com foco

em testes de seguranças e testes de penetração (BackTrack).

A metodologia de avaliação proposta para este trabalho validou a capacidade de

detecção e prevenção do IPS-1, bem como a correlação entre o tráfego identificado e o

tráfego reproduzido. Deste modo, foi possível constatar diante dos registros de log

capturados, que o software blade IPS-1 detectou e bloqueou todos os tráfegos de ataques

gerados. Ao analisar os detalhes fornecidos em cada log, foi possível identificar um alto

nível de precisão entre o tráfego de ataque reproduzido e os eventos identificados pelo

mecanismo de detecção e prevenção do software. Dessa forma, o IPS-1 mostrou-se

eficiente diante dos requisitos avaliados.

Faz-se necessário lembrar que o processo de atualização da base de proteções do IPS-1,

como qualquer outra solução para este fim, deve ser configurado de modo que possa

manter-se constantemente atualizado.

Como proposta para trabalhos futuros, pretende-se ampliar a metodologia de validação

do IPS-1 incluindo uma nova classe na rotina de ataques, “Web Intelligence”. Esta

categoria adicional iria validar as proteções de servidores e clients web contra ataques de

Cross-Site Scripting e demais métodos como LDAP Injection, SQL Injection e Command

Injection.

REFERÊNCIAS

BACKTRACK. BackTrack Linux - Penetration Testing Distribution. 2010. Disponível

em: http://www.backtrack-linux.org/.

CHECK POINT. Check Point Software Technologies Ltd. Check Point - Software

Blades Architecture. 2009. Disponível em: http://www.checkpoint.com/.

19

CHECK POINT. Check Point Software Technologies Ltd. Check Point – Intrusion

Prevention System - IPS. 2010. Disponível em: http://www.checkpoint.com/.

ERMAN, D., ILIE, D., and POPESCU, A. Bittorrent session characteristics and models.

In Proceedings of the 3rd International Working Conference on Performance

Modelling and Evaluation of Heterogeneous Networks, pages P30/ 1-P30/10. 2005.

Disponível em: http://www.comp.brad.ac.uk/het-net/HET-

NETs05/ReadCamera05/P30.pdf

JUNIPER, Networks Inc. Attack Detection and Defense Mechanisms.Disponível em:

http://www.juniper.net/techpubs/software/screenos/screenos6.2.0/ce_v4.pdf.

KONRATH, Marlom. Estudo das Vulnerabilidades da Arquitetura Bit Torrent, Ataques

e Contramedidas Possíveis. 2007. Disponível em: http://bdtd.unisinos.br/

MCNAB, Chris. Network Security Assessment. 2nd Edtion. O’Reilly Books, 2008. 478 p.

MICROSOFT. Microsoft Security Bulletin MS09-039 – Critical Vulnerabilities in WINS

Could Allow Remote Code Execution. 2009. Disponível em: http://www.microsoft.com/technet/security/bulletin/ms09-039.mspx.

ORTALE, P. Snort IDS. 2001. Disponível em:

http://www.linuxsecurity.com.br/sections.php?op=viewarticle&artid=10.

RFC791. Postel, J., Information Sciences Institute University of Southern California,

Defense Advanced Research Projects Agency Information Processing Techniques

Office, Internet Protocol - DARPA Internet Protocol Specification, RFC 791, September

1981. Disponível em: http://www.ietf.org/rfc/rfc791.txt.

SCARFONE, K. MELL, P. Guide to Intrusion Detection and Prevention Systems

(IDPS), National Institute of Standards and Technology (NIST). Special Publication 800-

94, 2007.

SHIREY, R. Internet Security Glossary, Version 2 RFC 4949. Internet Engineering Task

Force, Network Working Group, 2007. Disponível em: http://www.ietf.org/rfc/rfc4949.

SILVA, S. L. Uma Metodologia para Detecção de Ataques no Tráfego de Redes Baseada

em Redes Neurais. Tese de Doutorado do Curso de Pós-Graduação em Computação

Aplicada. São José dos Campos SP. INPE, 2007. 256 p.

SPITZNER, L. Honeypot: Tracking Hackers. California, USA: Addison-Wesley Pub Co,

2002.

SQUID CACHE. Squid Proxy Cache Security Update Advisory SQUID-2010:1. 2010.

Disponível em: http://www.squid-cache.org/Advisories/SQUID-2010_1.txt.

WHELLER, E. Replay Attacks. 2008. Disponível em: http://www.sans.org/security-

resources/security_plus/replay_attack_sp08.php.