osrc001 - segurança em redes de computadores · vpn contra o firewall e toda a rede de...

OSRC001– Segurança em Redes de Computadores Módulo 13: IDS–Intrusion Detection Systems,

IPS–Intrusion Prevention Systems,Honeypots&Honeynets

Prof. Charles Christian Mierse-mail: [email protected]

OSRC001– Segurança em Redes de Computadores 2

Segurança em Redes de Computadores

Classificação dos procedimentos e medidas Proteção Detecção Reação

Ferramentas para segurança de redes Ferramentas para controle de vulnerabilidades Ferramentas para controle de ameaças


Detecção de intrusão: Conceitos

Detecção de intrusão: Detecção de intrusão é uma técnica de detecção de acesso não

autorizado a um sistema de computador ou a uma rede de computadores

IDS x IPS: Uma intrusão em um sistema é uma tentativa feita por alguém de fora do

sistema para obter ilegalmente o acesso ao sistema Prevenção de intrusão, por outro lado, é a arte de prevenir o acesso não

autorizado dos recursos do sistema

Os dois processos estão relacionados no sentido de que enquanto a detecção de intrusão passivamente detecta intrusões de sistema, a prevenção de intrusão filtra ativamente o tráfego da rede para evitar tentativas de intrusão


Intrusão: definição

Uma intrusão é uma tentativa deliberada não autorizada, bem sucedida ou não, para invadir, acessar, manipular ou abusar de alguma propriedade valiosa O uso indevido desta propriedade pode resultar em tornar

a propriedade confiável em inutilizável ou comprometida

A entidade (pessoa ou bot) que que busca realizar invasões é considerada como intruso


Tipos de intrusões

Existem seis tipos: Tentativa de arrombamentos/ invasões, que são detectados pelos perfis

de comportamentos atípicos ou violações de restrições de segurança Ataques Masquerade, que são detectados pelos perfis de

comportamentos atípicos ou violações de restrições de segurança Penetrações do sistema de controle de segurança, que são detectados

pelo monitoramento de padrões específicos de atividade Dispersão, a qual é detectada através da utilização dos recursos do

sistema atípico Negação de serviço, que é detectado pelo uso atípico de recursos do

sistema O uso malicioso, que é detectada por perfis de comportamento atípico,

violações de restrições de segurança, ou uso de privilégios especiais


IDS: Intrusion Detection Systems Definição:

Os IDS ou Sistemas de Detecção de Intrusão são ferramentas que tem como principal finalidade a monitoração de computadores e redes afim de identificar possíveis ataques que possam ter ocorrido ou estejam ocorrendo

Ferramenta essencial no controle de ameaças técnicas

Utilizados para detectar e alertar em casos de eventos maliciosos Um sistema pode conter muitos sensores de IDS

diferentes, posicionados em lugares estratégicos da rede


IDS: Classificação

Comportamento na Detecção: Passivos Ativos Reativos

Tipos de IDS: Baseados em rede (NIDS) Baseados em host (HIDS) Híbridos

Modo de Detecção: Anomalias Uso Incorreto

Assinaturas


IDS Desempenho Inline IDS

Normalmente colocado atrás do firewall ou conjuntamente com um firewall e filtragem de tráfego Apenas é permitida a passagem ao “tráfego bom”


Modelos de IDS

Geração de padrões preditivos Classificadores Fuzzy Redes neurais Máquinas de suporte a vetor Sistemas especialistas Árvores de decisão Monitoração de pontos chaves Análise da transição de estado Verificação de padrões/assinaturas Agentes autônomos

Detecção de Anomalias

Detecção de uso incorreto


IDS: Detecção por Anomalia

Detecta atividades que não seguem uma padrão normal (pré-estabelecido) de atividades

Depende da definição estatística do que é “normal”

Gera uma grande quantidade de falsos positivos, “ajustes” para redução

Prós: Caso implementado adequadamente, pode detectar ataques

desconhecidos Oferece baixo “overhead” (aprendizado X desenvolvimento)

Contras: Não é definitivo Definição de “normal” Alta taxa de falsos positivos


IDS: Detecção por Assinatura

Verifica padrões específicos dos eventos de ataques conhecidos

Necessita do conhecimento das assinaturas de ataque

Requer um método para comparar e verificar o comportamento com a assinatura

Subcategorias: Verificação de padrão Verificação de padrão completa (Statefull) Baseada em decodificação de protocolo Pode ser baseada em heurística


Padrões (Vulnerabilidades e Ameaças)

CVE (Common Vulnerabilities and Exposures) Nomes/Nomenclatura padronizada Interoperabilidade entre ferramentas Guia de comparação entre ferramentas

Compatível CVE Número de assinaturas (ataque ameaças)

IDMEF (Intrusion Detection Message Exchange Format)

14

Modelo Genérico de Arquitetura IDS

Sensor

Analyzer

Manager

Sensor

Administrator

Operator

Data SourceActivity

Security

Po

licy

Se

curi

ty P

olicy

Se

curity

Policy

Security

Po

licy

Notifications

Re

spo

nse

AlertsEvents

Even

ts

Fonte Dados

Sensor

Sensor

Analisador

Operador

Gerenciador

Administrador

Atividade

Eventos Alertas

Eve

nto

s

No

tific

aç õ

es

Res

po

sta

s

Po

lític

a d

eS

eg

ura

nç a

Po

lític

a d

eS

egu

ran

ç a

Po

lític

a d

eS

eg

ura

nç a

Po

lític

a d

eS

eg

ura

nç a


HIDS: Host Intrusion Detection System

Faz a detecção baseada em monitoração da atividade de rede do sistema, sistema de arquivo, arquivos de log e ações do usuário

Deve gerar um alerta quando detecta um procedimento suspeito como, por exemplo, um aumento de privilégios para uma conta de usuário no sistema

Permite um nível de controle maior sobre ao sistema por estar instalado localmente


HIDS - Host Intrusion Detection System (Cont.)

Principais ferramentas do mercado: Tripwire AIDE ISS BlackIce (voltado para estações) LogSentry ISS RealSecure Enterasys Dragon


HIDS - Host Intrusion Detection System (Cont.)

Pontos fortes: Menos falsos positivos Uso em ambientes onde largura de banda é crítica Qualidade da informação coletada

Pontos fracos: Dependem das capacidades do sistema São relativamente mais caros Visão localizada


NIDS - Network Intrusion Detection System

Um sistema de detecção de intrusão baseado em redes (NIDS) é projetado para examinar o tráfego de rede para identificar ameaças detectando varreduras, sondas, ataques, etc.

Pode ser posicionado de várias maneiras possíveis, principalmente: Entre o cliente e o servidor Entre o servidor e seus próprios funcionários Entre o firewall e a DMZ

Deve permitir uma análise mais minuciosa de um eventual ataque e de onde se originou


NIDS - Network Intrusion Detection System (Cont.)

Principais ferramentas no mercado: Snort Shadow Prelude Dragon Enterasys ISS - RealSecure


NIDS: Network Intrusion Detection System (Cont.) Pontos fortes:

Cobertura abrangente Desempenho em alta velocidade Fácil instalação (Sensores) Operação transparente Tende a ser mais independente

Pontos fracos: Monitora um segmento de rede,necessita ter acesso ao tráfego

(necessidade de HUBs, portas de eco em switches, etc..) Inadequado para tratar ataques mais complexos Grandes quantidades de dados trafegam entre os agentes e

estações de gerência Falsos Positivos / Falsos Negativos Ataques de DoS e DDoS


EMAILALERT/

LOG

DETECÇÃO DOATAQUE

REGISTROS DA SESSÃO

SESSÃOTERMINADA

RECONFIGURARFIREWALL

Usuário Interno

DETECTARATAQUE

REGISTRODA SESSÃO


Posicionamento de IDS e Arquitetura

23

IDS: Arquitetura

HIDS1. Trabalhará instalado no firewall para que o mesmo além de proteger a rede toda, proteja o firewall de um possível ataque contra ele, que pode surgir tanto da rede interna da VPN ou da Internet

NIDS1. O NIDS irá detectar todas as tentativas de que a rede interna sofrerá até as tentativas que não teriam efeito algum Localização traz uma rica fonte de

informações sobre que tipos de ataques que a rede pode sofrer

NIDS2. Estará monitorando todo o segmento, que é a DMZ, o qual engloba o servidor de e-mail, FTP e web alertando sobre uma possível invasão


IDS – Arquitetura (Cont.)

NIDS3. Da mesma forma que o NIDS2, este irá proteger a rede se servidores a qual engloba o Banco de Dados e o servidor ICP

NIDS4. Este IDS monitorará toda as ações da rede interna, caso haja algum comportamento suspeito contra os servidores da organização

NIDS5. Nesta posição, este IDS irá monitorar todas as ações suspeitas que podem vir partir da VPN contra o firewall e toda a rede de computadores


Considerações sobre IDS

IDS comerciais estão na fase juvenil Muito trabalho a ser feito (pesquisa/comercial) Aumento na importância da detecção por anomalia Será que algum dia os IDSs serão criados eventualmente para

cada tipo de aplicação ou dispositivo de rede? IDSs não são um tipo de solução que irá parar todos os tipos de

ameaças de uma organização IDS é uma parte relevante de uma estratégia de

segurança (Política de segurança como orientador) se bem distribuídos e gerenciados

Uma boa configuração de política do IDS faz toda a diferença! Planejamento futuro e cuidado em considerar todos os

elementos constituem uma boa configuração de política do IDS IDS, Forense, e outras políticas de rede/segurança precisam se

relacionar bem para serem realmente efetivas

IPS – Intrusion Prevention Systems


IPS: Intrusion Prevention Systems

Considera-se mais uma evolução do IDS do quê um novo conceito

Incorpora outros dispositivos de rede (roteadores, switches, etc.)

Definição: Consiste no uso coordenado e integrado de ferramentas

de segurança, em especial similares a IDS para prevenir ataques de modo pró-ativo Mudança de postura: Passiva Detecção Ativa Mecanismos de defesa pró-ativos Objetiva parar o tráfego ofensivo antes de causar danos


IPS: Tipos

Host IPS: Instalação direta no sistema a ser protegido Conexões diretas ao núcleo para interceptar chamadas de

sistema (system calls), objetivando auditoria Não é muito propenso a atualizações (mudança de controles,

disponibilidade, etc.)

Network IPS: Combina IDS, IPS e firewalls IDS in-line ou IDS de Gateway Descarta pacotes maliciosos Incapaz de competir com a velocidade de redes mais rápidas

(Gbps, por exemplo)


IPS: ExemploCliente

VMSTrendLabs

Servers

IPS SignatureUpdate Server

IPS 4200Series

Catalyst 6500IPS Blade

NM-CIDSRouter Blade

ASA 5500SSM Blade

Cisco IncidentControl Center

(CICC)

CISCO TREND MICRO

Policy (coarse filter)

Regular AVSignatures

Regular IPSSignatures

Regular IPSSignatures IPS

EngineeringSignature

Integration

IOS IPSc83x-c7xxx

Signature (fine filter)

Policy (coarse filter)

Signtaure (fine filter)

Epidemiacód. malicioso

Honeypots/Honeynets


Honeypot

Definição: Mecanismo de detecção de intrusão com a finalidade de atrair

crackers/hackers

Não fazem nenhum tipo de prevenção

Fazem uma forte avaliação e registros das táticas e técnicas do seu invasor (quantitativa e qualitativamente)

Não estão limitados a um único problema

Podem servir tanto como “iscas” como coletores de dados


Classificação pelo Nível de Interação

Baixa Interatividade Sistemas montados para coleta de informações de ataques

conhecidos Possui respostas limitadas às interações do atacante

Média Interatividade Sistemas montados para coleta de informações de vários

ataques conhecidos e coleta básica de informações

Alta Interatividade Sistemas reais preparados para serem comprometidos Coletam informações de ataques conhecidos ou não


Tipos de Honeypots

Honeypots de Produção: Aumentar a segurança e mitigar os riscos

Honeypots de Pesquisa: Levantar informações sobre atividades maliciosas


Frente do Firewall Dentro da Rede InternaDentro da DMZ

Localização dos Honeypots


Ferramentas Honeypots Ferramentas de código aberto

Desenvolvidas por pesquisadores independentes, universidades e também com o auxílio de empresas

Plataforma GNU/Linux e BSD, na sua maioria Dependendo da licença podem ser modificadas e redistribuídas

Ferramentas proprietárias (EULA) Software licenciado (normalmente por IPs ou quantidade de

instalações) Normalmente possuem interfaces mais facilitadas (gráficas) Fáceis de configurar Para administradores experientes pode limitar o uso em decorrência

do código fechado e licenciamento


DTK

HONEYD

BACKOFFICE FRIENDLY

Ferramentas de Código Aberto


MANTRAP

SPECTER

KFSENSOR

Ferramentas de Proprietárias


Honeynet

Definição: Ferramenta de pesquisa com a finalidade de estudar

atacantes Consistem na construção de uma rede similar às

encontradas nas organizações Podem descobrir ataques e ameaças conhecidos ou não Requer grande quantidade de recursos e tempo para

construir, implementar e manter Qualquer tráfego enviado para uma Honeynet é suspeito Controles:

Captura de Dados Controle de Dados


Honeynets: Classificação

Honeynets clássicas: Sistemas de produção real em um ambiente controlado

Honeynets virtuais: Auto-suficientes Híbridas


VMWARE UML

Principais Ferramentas


QEMU HONEYNET DE HONEYPOTS

Principais Ferramentas (Cont.)


Projeto Honeynet.BR: Distribuição


Projeto Honeynet.BR: Centralizadores

Cert.BR: Identifica atividades maliciosas e notifica os responsáveis pelas redes que estão envolvidas nestas atividades

INPE: Procura determinar as vulnerabilidades que estão sendo exploradas, as ferramentas utilizadas para efetivar os ataques e quem são os responsáveis (origem) pelos ataques que vem ocorrendo


Projeto Honeynet.BR: Topologia


Honeypot: Ferramentas

Sistema Operacional: OpenBSDFerramenta de Honeypot: Honeyd


Honeypot: OpenBSD

Sistema operacional estável e seguro que provê um ambiente controlado, capaz de suportar a interação com atividades maliciosas

Características: Segurança:

Emprego de técnicas de criptografia em várias partes do sistema

Utilizado na construção de firewalls, IDS e servidores de diversos propósitos

Código sofre um forte processo de auditoria


Características (Cont.): Portabilidade:

Garantir sua utilização em computadores pessoais e em modelos largamente utilizados

Poder: Pode ser suportado por hardware de até dez anos atrás Disponibiliza o maior espaço de processamento possível para

as aplicações dos usuários Documentação:

Preocupação com documentação específica, manuais falhos levam a sérios problemas de segurança

Manuais precisos para garantir a correta configuração do sistema operacional

Honeypot: OpenBSD (Cont.)


Características (Cont.): Corretude:

Para implementar soluções o mais corretas possíveis, os desenvolvedores do OpenBSD são guiados por padrões UNIX tais como POSIX e ANSI

Isto é respeitado para se obter como resultado final um sistema fidedigno, seguro e previsível

Código Aberto: Permite realizar alterações no código fonte Personalizar ou corrigir eventuais problemas

Honeypot: OpenBSD (Cont.)


Honeypot: Honeyd

Atua como um servidor, capaz de gerar diversas máquinas virtuais que possam ser conectadas de forma a criar uma rede virtual de computadores

Características: Configuração de serviços arbitrários através de simples arquivos

de configuração (personalidades) Atribuição de diferentes endereçamentos IP para as máquinas

pertencentes a rede virtual Simulação de topologias arbitrárias (descarte de pacotes, rotas,

latência, entre outros) Simulação de sistemas operacionais a nível de pilha TCP/IP

(Internamente trabalha como uma máquina de estados)


Características (Cont.): Virtualização de subsistemas. Possibilita:

Simular a ligação de portas de comunicação dinâmicas em um espaço de endereçamento IP virtual

Estabelecimento de conexões a partir da rede Iniciar conexões TCP e UDP dentro do espaço de

endereçamento IP virtual, entre outros Segurança. Pode ser configurado para executar com baixo

privilégio e permite a utilização de systrace Software Livre e de código aberto

Honeypot: Honeyd (Cont.)


Listeners



Listeners – Serviço Emulado Desconhecido



Não apresentam falsos positivosNão apresentam falsos positivos

Relativamente complexos de seremadministrados

Relativamente fáceis de seremAdministrados

São, essencialmente, ferramentas deAlta interatividade

Podem ter três níveis de interação

São, essencialmente, ferramentas depesquisa

Podem ser ferramentas de pesquisaou produção

Possuem mecanismos de controle dedados e alerta de eventos

Apenas arquivam as informações decomprometimento em servidores de log

Possuem mecanismos robustosde contenção como Firewalls e IDS

Não possuem mecanismosrobustos de contenção

Rede de Computadores Simulandomúltiplos serviços e Aplicações

Um único Sistema Computador simulandomúltiplos serviços e Aplicações

HoneynetsHoneypots

Comparativo: Honeypots X Honeynets


Questões Éticas

IDS reativos, a política de “olho por olho” pode ser aplicada ? De acordo com o governo: não Mas quantos fazem isso ? Provavelmente vários

Honeypots/Honeynets internos podem ser uma forma de induzir o usuário a ações indevidas ?


Leitura Recomendada:

Cert.Br: http://www.cert.br/docs/seg-adm-redes/

Norma NBR-ISO/IEC 17799. Versão 2.0

SANS.org: http://www.sans.org/resources/idfaq/ /

Stallings, Willian. Network Security Essentials. 2a Edição. Editora Prentice-Hall. 2003. Capítulo 9

SPITZNER, Lance. Honeypots: Tracking Hackers. Boston, MA/EUA. Pearson Education. 2002.

osrc001 - segurança em redes de computadores · vpn contra o firewall e toda a rede de...

Documents