sistema de detecção de intrusão (ids) alunos: fábio furtado leite rian rosário 1

Sistema de Sistema de Detecção de IntrusãoDetecção de Intrusão

(IDS)(IDS)

Alunos: Alunos: Fábio Furtado LeiteFábio Furtado Leite

Rian RosárioRian Rosário 1

A todo momento, um grande número de computadores são A todo momento, um grande número de computadores são atacados ou invadidos. atacados ou invadidos. (Estimativas -> Em média: 1 site ou 1 computador a cada 10 minutos nos EUA)(Estimativas -> Em média: 1 site ou 1 computador a cada 10 minutos nos EUA)

Existe uma enorme necessidade em rastrear e identificar estes Existe uma enorme necessidade em rastrear e identificar estes ataques.ataques.O sistema que possui esta capacidade é conhecido como IDS O sistema que possui esta capacidade é conhecido como IDS (Sistema de Detecção de Intrusão).(Sistema de Detecção de Intrusão).

INTRODUÇÃOINTRODUÇÃO

2

IDS - Sistema de Detecção de Intrusão: Sistema composto de hardware e software que trabalham juntos para identificar eventos inesperados, capaz de antecipar a ocorrência de ataques.

Detecção de Intrusão: É o processo de identificar e relatar atividade maliciosa agindo em computadores e recursos da rede.

INTRODUÇÃOINTRODUÇÃO

3

Ataque: Ataque: é uma ação inteligente que ameaça a segurança de um sistema. Um ataque pode ter sucesso ou não e estará explorando uma vulnerabilidade no sistema alvo.Um ataque bem sucedido pode caracterizar uma invasão ou até mesmo a negação de serviços no sistema alvo (DoS - Denial of Service).

Obs.: Ao longo do texto será utilizado o termo IDS para caracterizar sistemas baseados em rede ou em host. Para os IDS baseados em rede utiliza-se também o acrônimo NIDS (Network Intrusion Detection System).

ALGUMAS DEFINIÇÕESALGUMAS DEFINIÇÕES

6

Necessidade de um IDS Seguro: São alvo de ataques.O que é melhor? Segurança por obscuridade ou não?Depende de conhecimento, tempo, dinheiro...Deve-se optar pela flexibilidade associada à segurança.

Falsos positivos: Pacotes normais confundidos com tentativa de ataque.Falsos negativos: Deixa de alertar tentativas autênticas.

CONCEITOS BÁSICOS E DEFINIÇÕES CONCEITOS BÁSICOS E DEFINIÇÕES

7

Vulnerabilidade: É uma falha no S.O., protocolo, serviços ou quaisquer outros componentes no sistema que permitem acesso ou intervenção de pessoas não autorizadas. A vulnerabilidade independe do ataque ou do tempo de observação.

Sensor: Agente principal de um IDS. Monitora um host ou rede a fim de identificar intrusões, gravar logs e gerar mensagens alertando tais eventos. Estas mensagens podem ou não serem enviadas a uma estação de gerenciamento.


8

Estação de gerenciamento: É uma estação encarregada de administrar um ou mais sensores espalhados pela rede, o software utilizado deve ter uma interface gráfica que permita configuração e monitoração dos agentes (Sensores IDS).

Evento: Ocorrência na fonte de dados que é detectada pelo sensor, a qual pode resultar num alerta sendo transmitido ou gravado.


9

Respostas ou contramedidas: São ações que podem ser programadas na ocorrência de um determinado evento. Ex.: aviso por e-mail, o fechamento da sessão que gerou o evento, o bloqueio de um usuário, a reconfiguração de um filtro de pacotes ou firewall.

Assinatura: É a regra usada pelo analisador de eventos (parte do sensor IDS) para identificar os tipos de atividade suspeita, o mecanismo de análise de assinaturas é o mais utilizado pelos IDS.

DEFINIÇÕES E CONCEITOS BÁSICOSDEFINIÇÕES E CONCEITOS BÁSICOS

10

Classifica-se os IDSs quanto a(o):• Funcionamento: Aviso antes, durante e depois;

•Tecnologia utilizada: Análise de Ass., estatist., Sist. adapt.

• Sistema a ser monitorado: Baseado em rede, host e verificador de integridade de arquivo.

TIPOS DE IDSTIPOS DE IDS

11

IDS baseados em rede (NIDS)Sensores / Estações de Gerenciamento.

IDS baseados em hostAnalisam sinais de instrução na máquina

Verificador de Integridade de ArquivosExaminam arquivos baseados em funções de hash.

TIPOS DE IDSTIPOS DE IDS

12

PRINCIPAIS IDSs COMERCIAISPRINCIPAIS IDSs COMERCIAIS

13

CIDF - Common Intrusion Detection Framework

Interoperabilidade de IDS

CISL - Common Intrusion Specification Language

Transferência de informação por identif. semânticos

IAP - Internet Intrusion AlertProtocolo para troca de dados

TENTATIVAS DE PADRONIZAÇÃOTENTATIVAS DE PADRONIZAÇÃO

14

Características: Lista contendo assinaturas de ataque e o respectivo alerta a ser enviado.

Exemplos de regras para IDS:alert tcp any any -> 10.1.1.0/24 80 (content: “/cgi-bin/phf”; msg:“Este é um teste do bug PHF”;)

Tipos de logs e alertas (Snort): Ex.: Alert.txt, WinPopup

ANÁLISE DE ASSINATURASANÁLISE DE ASSINATURAS

15

IP Spoofing

Inserção

Evasão

Denial of Service – DoS

Defesa contra os ataques aos IDS

VULNERABILIDADE DOSVULNERABILIDADE DOS SISTEMAS DE DETECÇÃO DE INTRUSÃOSISTEMAS DE DETECÇÃO DE INTRUSÃO

16

Para redes com Switch

Para Denial of Service no IDS

Para IDS em modo Stealth (Invisível)

ALGUMAS SOLUÇÕES ENCONTRADASALGUMAS SOLUÇÕES ENCONTRADAS

17

Características:Faz a análise dos arquivos de log.

Componentes do sistema:Snortwat.pl e snortwat_cf.pl

SnortWAT (Snort Web Administration Tool)SnortWAT (Snort Web Administration Tool)SISTEMA DE GERÊNCIA PARA UM IDSSISTEMA DE GERÊNCIA PARA UM IDS

18

Este sistema permite a gerência de um sensor Snort, pela Web, com sessões encriptadas usando SSL.


19

Arquitetura do Sistema: As estações de gerências se comunicam com o SnortWAT via programa stunnel (gratuito) gerando a interface SSL.O stunnel aciona diretamente o SnortWAT pois está rodando no inetd, cnhecido como super-server ou super-deamon em sistemas UNIX.O SnortWAT analisa os arquivos de log e configuração do IDS, as informações para o stunnel e deste para o browser. É utilizado o mecanismo de autenticação provido pelo protocolo HTTP.


20

Funcionalidades:• Ativa e desativa o IDS;• Exibe o arquivo de assinaturas (número de linhas);• Exibe o log de todos os pacotes (número de linhas);• Exibe o log por IP específico;• Remove e compacta arquivos de logs;• Resolve IPs e realiza traceroute nos mesmos;


21

Novos conceitos vem motivando a integração e gerência de Sistemas de Detecção de Intrusão e Firewalls.A simplificação gradativa dos sistemas de gerência de IDS farão desta tarefa uma tarefa cada vez mais eficiente e automática. Para que isso ocorra:

• Os IDS devem estar configurados, ou se comportar de forma mais próxima possível dos sistemas monitorados;• Os IDS devem ter mecanismos de proteção contra ataques, principalmente DoS;

CONCLUSÃOCONCLUSÃO

22

• Os IDS devem ter mecanismos para intercomunicação com outros agentes no sistema;• Os IDS devem ter interfaces fáceis, práticas e intuitivas de configuração e análise de eventos;• IDS e firewalls são fundamentais, mas de nada adianta se estes não estiverem configurados adequadamente. As interfaces de admin. justificam-se principalmente por facilitar a configuração dos sistemas IDS.

CONCLUSÃOCONCLUSÃO

23

• Potencialidade de detecção;• Descrição técnica do ataque;• Escalabilidade;• Baixa taxa de falsos positivos;• Boa usabilidade no ambiente de testes e resultados.

UM BOM “IDS” DEVE POSSUIRUM BOM “IDS” DEVE POSSUIRAS SEGUINTES CARACTERÍSTICASAS SEGUINTES CARACTERÍSTICAS

24

T. H. Ptacek, T. N. Newsham, “Insertion, Evasion, and Denial of Service: EludingNetwork Intrusion Detection”, Secure Networks, Inc, January, 1999.M. Roesch “Snort – Lightweight Intrusion Detection for Networks”, Stanford Telecommunications,Inc, November, 2004.Y. Fyodor, “Snortnet – A Distributed Detection System”, Kyrgyz Russian SlavicUniversity, June 26, 2005SecurityFocus – http://www.securityfocus.comOpenSSL - http://www.openssl.comRFC2828 - Internet Security GlossaryRFC2196 - Site Security HandbookRavel - COPPE/UFRJ 10 de dezembro, 2000 44IETF - Internet Engineering Task Force - – http://www.ietf.orgArachNIDS - http://www.whitehats.com

REFERÊNCIAS BIBLIOGRÁFICASREFERÊNCIAS BIBLIOGRÁFICAS

25

FIMFIM

sistema de detecção de intrusão (ids) alunos: fábio furtado leite rian rosário 1

Documents