Prof. Rodrigo Coutinho

Intrusion Detection Systems

IDS são uma “segunda camada” de proteção populares nos provedores“Alarme antifurto” dentro da rede ou hostIDS baseado em host

Coleta e analisa dados de determinado computadorBom para prevenção contra ataques internosDifícil escalabilidade

IDS baseado em redeColeta e analisa pacotes que trafegam na redePode detectar ataques antes que aconteçamEscalabilidade ruim em redes de alta velocidade (Gigabit)Não verifica tráfego criptografado

Intrusion Detection Systems

IDS - técnicas

Detecção de mau usoPadrões de intrusão conhecidosPadrões gravados >> monitoração da sequência de eventos >> reportar eventos matched

Detecção de anomaliaDesvio do padrão comumPerfil de comportamento normal >> Observar atividades correntes >> Reportar desvios

IDS – Detecção de mau uso

Também chamado de detecção baseada em regrasUtiliza comparações com padrões estabelecidos

Os dados coletados são comparados com as assinaturas conhecidasSe houver correspondência, uma intrusão foi detectada

Mecanismo mais utilizado na práticaAssinaturas são criadas para ataques conhecidos nos diversos sistemas operacionaisUm IDS (HW ou SW) normalmente já possui uma base de dados de assinaturas populadasA base é atualizada periodicamente

IDS – Detecção de anomalia

Testes estatísticos usados para determinar atividade anormalDados coletados de tráfego legítimo dos usuários em um determinado tempo

A partir desses dados, o comportamento normal é modeladoDesvios a esse comportamento são monitoradosParte do princípio que um ataque teria comportamento muito diferente de uma atividade normal

Intrusion Prevention System

IPS é um termo novoEm essência, é um equipamento ou software que exerce uma função de firewall com controle de acesso e IDS

Pode usar técnicas de análise profunda do pacote, com reconhecimento de assinaturas e inspeção stateful

Pode trabalhar de duas formasRate-basedContent-based

Intrusion Prevention System

IPS – Rate-based

Bloqueia tráfego baseado na quantidade:Pacotes demaisConexões demaisErros demais

VantagensImplementação simples

DesvantagensDificuldade de estimar um “overload”Necessidade de conhecer a infra-estrutura a fundo○ E.x. Saber o tráfego normal e quantas conexões o WWW aguentaRequerem constantes ajustes

IPS – Content-based

Bloqueia tráfego baseado em assinaturas e anomalias de protocoloPacotes TCP não usuais podem ser descartadosComportamentos suspeitos (e.g. port scan) levam o IPS a descartar tráfego parecido depoisOferecem uma série de técnicas para identificar e tratar conteúdo malicioso

Simplesmente descartar pacotesDescartar os futuros pacotes da mesma origemReportar e alertar os administradores

Podem ser usados dentro da rede

Honeypots

Um recurso que está sendo atacado ou comprometido na redeUsado para rastrear atividades hacker na redeSão estrategicamente montados para imitar serviços em produção, mas sem dados reaisNíveis de comprometimento

Baixo: Port listenersMédio: Serviços falsosAlto: Serviços reais

HoneynetsRede de honeypots. Provê cenário mais real e coleta mais dados

Honeypots

Criptografia

É a idéia de “camuflar” informações sigilosas de qualquer pessoa que não tenha autorização

Em outras palavras: Assegurar a confidencialidade da informação

Surgiu da Necessidade de usar meios não confiáveis (compartilhados ou não) para tráfego de informação sensível

Criptografia – Chaves

A informação é codificada com base em determinada função do texto normal, aliado a uma chaveExiste uma chave para codificação e outra para decodificação

Chave Simétrica – Code/Decode usa a mesma chaveChave Assimétrica – chaves são diferentes

Algoritmo criptográfico consiste em funções matemáticas

Chave Simétrica

A chave deve ser compartilhada pelas entidades que fazem a comunicaçãoDifícil gerenciamento com grande quantidade de chaves , exceto quando

Há compartilhamento de chave secreta com uma entidade de autenticaçãoA entidade de autenticação gera chaves quando necessário

Cifragem pode serFluxo – bits crifrados um a umBloco – cifrados conjuntos de bits○ Modelo mais comum. Blocos geralmente tem tamanho pré-

determinado

Chave Simétrica

Chave Simétrica – vantagens e desvantagens

VantagensVelocidade, por causa da simplicidade dos algoritmosChaves pequenas e relativamente simples – cifradores são robustosConfidencialidade é assegurada

DesvantagensGerência difícil da chave, que deve ser compartilhadaNão permite autenticação do remetenteUso de padding, quando o tamanho dos dados não é múltiplo do tamanho dos quadros - overhead

Chave Assimétrica

O algoritmo é composto por duas chaves distintasChave públicaChave privada (ou secreta)As chaves são relacionadas através de um processo matemático, usando funções unidirecionais.

Um texto cifrado com a chave pública de X deve ser decifrado com a chave privada de X

Vice-versa

O conhecimento de uma das chaves não auxilia a encontrar a outra chave

A chave pública, como o nome diz, é de conhecimento e acesso irrestrito

Chave Pública

A distribuição de chaves públicas é feita através de uma infra-estrutura de chaves públicas (PKI)PKI é responsável por:

Associar as chaves aos respectivos proprietáriosValidação em entidade de confiança

Chave Pública

Chave Pública – Vantagens e Desvantagens

VantagensA chave secreta não é compartilhadaProvê autenticação do remetente, confidencialidade, integridade dos dados e o não-repúdioArquitetura escalável

DesvantagensAlgoritmos mais intensivos computacionalmente (lentidão)Requer autoridade certificadora

As criptografias se completam; há vantagens e limitações em cada método

Criptografia – Algoritmos

Algoritmo criptográfico consiste em funções matemáticasDES – data Encryption Standard

Método simétricoAdotado pelo governo americanoCodifica blocos de 64 bitsChave possui 56 bitsQuebrado por brute-force em 1997TripleDES – variação que usa 3 ciframentos em sequência, com chaves de 112 ou 168 bits.

Criptografia – Algoritmos

IDEA – International Data Encryption AlgorithmMesmo conceito do DES, mas execução mais rápida

AES (Advanced Encryption Standard)Padrão atual recomendado pelo NIST/EUAChaves de 128, 192 e 256 bitsSimétrico

RC6Última versão do Rivest (RC2 até 5)Utiliza fluxo de chaves

Criptografia – Algoritmos

RSA – Rivest-Shamir-AdelmanMétodo assimétricoBaseia-ne na dificuldade de fatorar números grandes, com 100 a 200 dígitosChave pode ter 512,1024,2048.... bits

DSADiffie-Hellman

Hash

Funções de Hash (conhecidas também por Digest ou Fingerprint) consistem em um resumo matematico de um conjunto de bitsEntrada: Conjunto variável de bitsSaída: Resultado de tamanho fixoFunção versátil: utilizado em criptografia; autenticação e assinaturas digitaisExemplos: MD5; SHA-1

Certificação Digital

Tentativa de garantir identidade de determinada pessoa no mundo digitalTraz a realidade do mundo de negócios real para o virtual

Empresas fazem transações online

PKIs organizam a emissão de certificados digitais“Garante e dá fé”, validade, direito de uso, etcBaseada em Autoridade Registradora (RA) e de Certificação (CA)Principais Cas no Brasil: CEF; Serpro; Certisign; Unicert

Gerenciamento de senhas

Primeira linha de defesa contra invasoresUsuários utilizam login e senha para acessar sistemas

Senhas normalmente armazenadas criptografadasArquivos de senha normalmente protegidos

Estudos indicam que usuários normalmente escolhem senhas de fácil adivinhaçãoPara diminuir essas ocorrências, algumas medidas são usadas para incentivar usuários a usar senhas mais fortes

Gerenciamento de senhas

Guias para senhas segurasTer um tamanho mínimo (geralmente 6 ou 8 caracteres)Usar sempre letras maiúsculas, minúsculas e númerosNão usar palavras comunsNão usar datas de nascimento

Maneiras de assegurar o uso de senhas segurasEducação dos usuários – pouco eficazGeração por computador – baixa aceitação de usuários; difícil de decorarVerificação reativa – rodar ferramentas periodicamente para verificar se há senhas inseguras na rede. Pouco práticoVerificação proativa – Sistema verifica aceitabilidade; próprio usuário escolhe a senha.

VPN

Virtual Private NetworkConexão segura, com uso de criptografia, para trafegar dados sensíveis através de redes de terceiros

Redes inseguras ou Internet

VPNs usamCriptografiaAutenticaçãoTunelamento

Permite interligação de escritórios fisicamente dispersos sem uso de rede proprietária

VPN - funcionamento

A VPN pode ser implementada em diversas camadasA segurança da rede depende da camada aplicadaEx. se a VPN for realizada na camada 2, não haverá proteção ao número IP

Tipos de VPNNodo-a-nodo – Cada nó encripta e decripta a informaçãoFim-a-fim – A informação trafega criptografada por toda a extensão da rede e só é decriptografada no destino.

A VPN funciona como um “túnel” seguro em uma rede insegura

VPN

VPN - Protocolos

PPTP – Point-to-point Tunneling ProtocolL2TP – Layer 2 Tunneling ProtocolIPSecSOCKSSSL/TLS

PPTP

Implementação Microsoft de tunelamento dentro do protocolo PPPPermite criação de túneis de frames PPP sobre pacotes IPUtiliza VPN nodo-a-nodoCriptografia é feita na camada de enlaceSegurança baseada no algoritmo MD4

Pouco segura para os dias atuaisHá programas maliciosos que descobrem o tráfego PPTP

Usa 2 conexões: Controle e Túnel

L2TP

Combinação do protocolo Cisco Layer-2 forwarding com o PPTPTambém é extensão do PPPTambém usa VPN nodo-a-nodoTodos os roteadores rede precisam suportar para funcionamento corretoNão provê, por si, encriptação ou autenticação

Outros protocolos são usados para tal

IPSec

Protocolo de segurança que opera na camada 3Provê segurança para redes baseadas em IPProtege os dados:

Integridade, confidencialidade, autenticidade

Usa um Security Association e uma chaveCriptografia simétrica DES, 3DES ou AESA chave é automaticamente estabelecida e gerenciada por hosts Ipsec usando IKE – Internet Key ExchangeAntes do estabelecimento de uma chave, o IKE autentica○ IKE usa chave pública e chave privade

IPSec

Ipsec pode funcionar de duas formasAH (Authentication Header)○ Assegura o remetente dos dados (autenticação)○ Encripta o hash○ Detecta alterações (hash encriptado)○ Protege integridade e autenticidade do pacote (mas não a

confidencialidade)Criptografia: ESP (Encapsulating Security Payload)○ Também encripta o hash○ Provê autenticação○ Encripta os dados trafegados○ Protege integridade, autenticidade e confidencialidade

IPSec – Modos de operaçãoModo de transporte - Fim a fim e sujeito a análise de tráfego○ ESP – encripta e opcionalmente autentica o payload. Header

intacto○ AH – Autentica o payload e alguns campos do headerModo de túnel – Criptografa todo o pacote IP○ Novo cabeçalho IP esconde endereços de origem e destino = mais

segurança○ ESP - encripta e opcionalmente autentica todo o pacote IP○ AH – Autentica todo o pacote e alguns campos do novo cabeçalho○ Nó-a-nó – protege da análise de tráfego mas é menos flexível

Base de dados Security Association (SA)Param: end. de destino, protocolo, chave, seq number, etc..Cada pacote tem um SA único

IPSec - IKE

IKE provê modos de negociação de chaves para comunicação via IpsecPodem ser usadas chaves estáticas (pouco comum)Usa PKI (chave pública e privada)Ocorre em 2 fases

Fase 1 – Negociar um canal seguro entre 2 nós (SA, chaves e autenticação)○ Relação bidirecionalFase 2 – Comunicação já está segura

IPSec

Socks

Usado para tráfego TCP através de um proxyProvê serviços básicos de firewalls, como NATEvita a análise de tráfego, pois o endereço IP verdadeiro é mascarado pelo NATSó pode ser usado com um proxy

SSL

Protocolo usado no HTTPS, para transferência Web de páginas seguras (transações, em geral)Utiliza autenticação e criptografia

Baseada em chave pública e chave privada

Não é considerado um protocolo VPN, pois comunica apenas 2 entidadesÉ usado também no SSH para comunicação terminal seguraUsa criptografia simétrica DES, 3-DES ou AES

VPN – Vantagens e desvantagens

VantagensSegurança – uso de autenticação e criptografiaVelocidade de deploy – não é necessário esperar novo linkCusto/benefício – Uso de linhas existentes/compartilhadas

DesvantagensOverhead – Processamento dos pacotes e encapsulamentoImplementação – Deve ser integrado aos ambientes de rede já existentes – Endereços, MTU, firewalls, etcPacotes encriptados não podem ser examinados (troubleshooting, filtragem de pacotes)

VLANs

Virtual LANs separam as portas físicas dos switches em agrupamentos “virtuais”Mais oportunidade para gerenciamento do fluxo de dados e redução de broadcastNa maioria dos switches com muitas portas, não há capacidade para throughput caso todas as portas ativem transmissão simultaneamente

O Switch então agrupa as conexões, criando as VlansO tráfego vai sendo encaminhado usando TDM, caso a capacidade esteja no máximoLogo, ele não fará transmissão simultânea, mas receberá o tráfego e encaminhará o mais rápido possível

VLANs - Vantagens

Permite segmentação lógica ao invés de físicaTráfego de broadcast é limitado apenas àquela VLAN

Considere um campus inteiro com apenas 1 switch central; o tráfego de broadcast seria intensoLogo, cada VLAN é um domínio de broadcast separado

Podem ser criadas e gerenciadas dinamicamente, sem limitações físicasPodem ser usadas para balancear tráfego por grupoO isolamento por VLANs aumenta a segurança da rede

VLANs - Características

Máquinas de uma mesma VLAN podem estar em vários switches

Da mesma forma, um switch pode estar ligado a várias VLANsCada porta do SW pode estar atribuída a apenas uma VLAN em determinado instante

Não elimina a necessidade do roteadorFiltragem de tráfego WANEncaminhamento de tráfego em redes separadasPara cada VLAN, é necessário ter ligação com o roteador, para encaminhamento dos pacotes

VLANs - Características

Tipos de ligaçãoAccess link – a porta é utilizada por uma VLANTrunk link – liga dois switches. Permite tráfego de várias lans

Tipos de configuraçãoEstática – configurada manualmente pelo administradorDinâmica – Portas são capazes de obter dinamicamente sua configuração○ Utiliza aplicação que faz mapeamento MAC para VLANFrame tagging – método que permite encaminhamento de pacotes entre switches até o destino○ Usa padrão 802.1q

VLANs - Características

VLANs - Tipos

VLANs – camada 1Operam em camada física para formar o grupo de Vlans

Por isso, são também conhecidas por VLANs baseadas em portas

Parte do princípio que os computadores mais próximos estarão sempre em portas próximas dos switches

Approach bastante tradicional em LANsNem sempre é o mais efetivo

VLANs - Tipos

VLANs – camada 2Operam em camada de enlace para formar o grupo de Vlans

Logo, usam o endereçamento MAC

Pode-se atribuir grupos por endereços MAC, independentemente da porta de conexão

Facilidade de gerenciamento, quando, por exemplo, da mudança de lugar físico da estação

VLANs - Tipos

VLANs – camada 3Operam em camada de rede para formar o grupo de Vlans

Logo, usam o endereçamento IP

Como as redes modernas são geralmente baseadas em IP, reduz mais ainda o tempo de gerenciamentoVLANs – camada 4Operam na camada de transporte

Alocação ainda mais precisa da banda de rede

VLANs - VTP

VLANs Trunking ProtocolUsado para simplificar a configuração de uma VLAN em uma rede com vários switchesPropaga as alterações aos demais switches

Modos de configuraçãoServer – É o switch utilizado para efetuar as alterações de configuração da VLANClient – Recebe as alterações de um serverTransparent – Não recebe alterações de configuração de outro switch (alterações serão apenas locais)Padrão – switch configurado no modo server

Exercícios – Aula 8(TCU/07 – Cespe) Roteadores de borda, firewalls, IDSs, IPSs e VPNs são alguns dos principais elementos do perímetro de segurança da rede.(MPE-AM/08 – Cespe ) Os IDS podem ser embasados em rede ou em host. No primeiro caso, inspecionam o tráfego de rede para detectar atividade maliciosa; no outro, residem no host e, tipicamente, atuam com o objetivo de deter ataques, sem que seja necessária a intervenção do administrador.** Os IPS detectam anomalias na operação da rede e reportam-nas aos administradores para análise e ação posterior.(TER-TO/07 – Cespe) Firewalls e IDS de rede diferem quanto à inspeção de tráfego que realizam: os primeiros analisam o conteúdo dos dados, enquanto os últimos se concentram nos cabeçalhos.

Exercícios – Aula 8(Pref. RB/07 – Cespe) O algoritmo de encriptação DES (data encryption standard) é um algoritmo de encriptação simétrico. O DES foi desenvolvido para competir com o RSA e utiliza chaves de 512 bits.O algoritmo de encriptação RSA (Rivest, Shamir, Adleman) possui um tempo de processamento superior aos algoritmos de encriptação simétricos devido ao tamanho das chaves usadas.Um sistema antriintrusão (IDS) pode utilizar várias técnicas para a detecção de intrusão. Dessas técnicas, a mais usada é a assinatura, na qual o sistema analisa o tráfego da rede e procura por padrões (assinaturas) conhecidos que possam representar um ataque à rede.Em resposta a uma identificação de ataque, um sistema IDS sofisticado pode direcionar o atacante para uma honeypot em que o atacante é monitorado e analisado e as informações podem ser utilizadas pelo IDS.

Exercícios – Aula 8(MPE-RR/08– Cespe) Tanto a criptografia simétrica quanto a assimétrica oferecem sigilo e integridade.A criptografia assimétrica utiliza duas chaves, uma pública e outra privada. Quando uma delas é usada para cifrar a outra é usada para decifrar(TCU/07 – Cespe) Atualmente, os sistemas criptográficos utilizados são incondicionalmente seguros por se basearem na dificuldade de resolução de problemas matemáticos específicos ou em limitações na tecnologia computacional vigente.Em geral, um sistema criptográfico impede que dados sejam deletados, ou que o programa que o implementa seja comprometido.Enquanto a criptografia simétrica utiliza apenas uma chave para cifração e decifração, a assimétrica usa duas.A criptografia assimétrica requer menor esforço computacional que a simétrica.

Exercícios – Aula 8(Serpro/05– Cespe) A formação de redes virtuais privadas (VPN) entre sistemas firewall pode ser feita com o uso do protocolo IPSec, que tem por objetivo o estabelecimento de túneis criptográficos entre sítios confiáveis, com uso exclusivo de criptografia assimétrica.(Pref. Vitoria/07 – Cespe) Os servidores Windows Server 2003 podem ser usados em redes virtuais privadas (VPN). Uma desvantagem das VPN que utilizam esses servidores é que os dados são transferidos nessas redes sem ser criptografados.Certificado digital é um documento eletrônico que permite acesso a serviços online com garantias de autenticidade, integridade, não-repúdio, além de concessão e restrição de acesso. Certificados digitais podem ser emitidos apenas para pessoas físicas.

Exercícios – Aula 8(TJDF/08 – Cespe) O protocolo de autenticação de cabeçalho AH (authentication header) do protocolo de segurança IPSec emprega um campo de autenticação de dados que contém um resumo, protegido por assinatura digital, do datagrama original.(TSE/06 – Cespe) O IPSec garante o sigilo, a autenticidade e a integridade dos dados nos pacotes IP. Para isso, usa informações de dois cabeçalhos, chamados Authentication Header e Encapsulating Security Payload.Em um algoritmo criptográfico embasado em chave privada, a segurança dos dados depende da segurança da chave. Se a chave for descoberta, a segurança é comprometida, pois os dados podem ser decifrados.

Exercícios – Aula 8(TJPE/07 – FCC) Uma VPN é uma rede(A) privada com múltiplas localizações interligadas por meio de uma rede pública.(B) privada com múltiplas localizações interligadas por links privados.(C) pública com múltiplas localizações interligadas por links privados.(D) pública com múltiplas localizações interligadas por links públicos.(E) pública com múltiplas redes privadas nela interligadas.(Câmara/07 – FCC) VLAN abertas e/ou fechadas normalmente são implementadas no modelo OSI, por dispositivos que operam na camada(A) física.(B) de rede.(C) de enlace.(D) de transporte.(E) de aplicação.