sistemas de detecção de intrusão

173
GSeg GSeg UFRGS UFRGS Sistemas de Detecção de Intrusão Rafael Campello e Raul Weber UFRGS – II – PPGC – GSeg Centro Universitário Franciscano Florianópolis, 23 Maio de 2001 XIX Simpósio Brasileiro de Redes de Computadores

Upload: elliando-dias

Post on 18-Dec-2014

6.444 views

Category:

Travel


1 download

DESCRIPTION

 

TRANSCRIPT

Page 1: Sistemas de Detecção de Intrusão

GSegGSegUFRGSUFRGS

Sistemas de Detecção deIntrusão

Rafael Campello e Raul Weber

UFRGS – II – PPGC – GSegCentro Universitário Franciscano

Florianópolis, 23 Maio de 2001

XIX Simpósio Brasileiro de Redes de Computadores

Page 2: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 2

GSegGSegUFRGSUFRGS

♦ Grupo de Segurança da UFRGS

♦ Pesquisas– Sistemas de Detecção de Intrusão (IDS)

– Controle de Integridade de Arquivos

– Injeção de Falhas (TCP/IP)

– Votação Eletrônica

– Dinheiro Digital

GSegGSegUFRGSUFRGS

Page 3: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 3

GSegGSegUFRGSUFRGS

Objetivos do Curso

♦ Apresentar os princípios de um sistema dedetecção de intrusão e seu uso comomecanismo de tolerância a falhas desegurança

♦ Abordar aspectos conceituais

♦ Tecer algumas considerações práticas

Page 4: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 4

GSegGSegUFRGSUFRGS

Público Alvo

♦ Estudantes de computação ou engenharia– noções de redes de computadores

– noções de sistemas operacionais

♦ Profissionais ligados à administração ou àgerência de segurança em redes decomputadores

Page 5: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 5

GSegGSegUFRGSUFRGS

Programa

♦ Fundamentos de segurança

♦ Sistemas de Detecção de Intrusão (IDSs)

♦ Exemplos de IDSs

♦ Considerações práticas

Page 6: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 6

GSegGSegUFRGSUFRGS

Fundamentos de Segurança

♦ Conceitos básicos

♦ Ameaças e ataques

♦ Mecanismos de proteção

Page 7: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 7

GSegGSegUFRGSUFRGS

Sistemas de Detecção de Intrusão

♦ Conceitos básicos

♦ Métodos de detecção de intrusão

♦ Arquiteturas de IDS

Page 8: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 8

GSegGSegUFRGSUFRGS

Exemplos de IDSs

♦ Snort

♦ Bro

♦ AAFID

♦ EMERALD

♦ RealSecure

♦ NFR

Page 9: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 9

GSegGSegUFRGSUFRGS

Considerações Práticas

♦ Seleção e implementação

♦ Vulnerabilidades conhecidas

♦ Aspectos legais

Page 10: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 10

GSegGSegUFRGSUFRGS

Cronograma

♦ Fundamentos de segurança

coffee-break (10h30min – 11h)

♦ Sistemas de Detecção de Intrusão

almoço (13h – 14h)

♦ Exemplos de IDS

♦ Considerações práticas

Page 11: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 11

GSegGSegUFRGSUFRGS

Regra número 1

FAÇA PERGUNTAS DURANTE AAPRESENTAÇÃO !!!

Page 12: Sistemas de Detecção de Intrusão

GSegGSegUFRGSUFRGS

Fundamentos de Segurança

Page 13: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 13

GSegGSegUFRGSUFRGS

Segurança: introdução

♦ Não começou como ciência nem como arte,mas como um instinto

♦ Maior interesse do homem, durante a suahistória– segurança própria, da família, dos bens, etc

♦ Matéria de sobrevivência– criada naturalmente p/ garantir a sobrevivência

das espécies

Page 14: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 14

GSegGSegUFRGSUFRGS

Segurança: introdução

♦ A vida seria melhor sem essaspreocupações– tranqüilidade/felicidade de décadas atrás

♦ Paradoxo:– busca-se algo que não é desejado

♦ Principal motivo do descaso e dodespreparo

Page 15: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 15

GSegGSegUFRGSUFRGS

Segurança: introdução

♦ Atitude mais cômoda e barata:– torcer para que nada aconteça– semelhante a esperar que sua casa não seja

roubada

♦ Atitude correta:– cercar-se de cuidados– preparar-se para lidar com os problemas– analogia: colocar um alarme e fazer um seguro

da casa

Page 16: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 16

GSegGSegUFRGSUFRGS

Segurança: introdução

♦ Por que ser negligente?– segurança é custo– segurança é perda na facilidade de uso– valor da informação, da reputação e dos

serviços da organização não são levados emconsideração

♦ Em suma:– custos com importância maximizada...– ...em detrimento de valores mais importantes

Page 17: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 17

GSegGSegUFRGSUFRGS

Segurança: evolução

♦ Estímulo para o desenvolvimento docomputador eletrônico

♦ Década de 40– Colossus (Primeiro Computador Eletrônico)

• Decifrar as mensagens na 2º Guerra Mundial

Page 18: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 18

GSegGSegUFRGSUFRGS

Segurança: evolução

♦ Fim da guerra: preocupações comsegurança focadas em problemas físicos

♦ Computadores não possibilitavam o acessodireto a seus usuários– Inviabiliza qualquer tipo de ação contra sua

segurança.

Page 19: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 19

GSegGSegUFRGSUFRGS

Segurança: evolução

♦ Novas ameaças– máquinas com acesso compartilhado (time-

sharing)

– Teleprocessamento

– Computadores pessoais

– Redes

Page 20: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 20

GSegGSegUFRGSUFRGS

Ameaças: exemplos

♦ Destruição de informação ou de outrorecurso

♦ Modificação ou deturpação da informação

♦ Roubo, remoção ou perda de informação

♦ Revelação de informação

♦ Interrupção de serviços

Page 21: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 21

GSegGSegUFRGSUFRGS

Atacantes

♦ Hacker/Cracker

♦ Script Kid, One-click hacker

♦ Espião

♦ Terrorista

♦ Atacante corporativo

♦ Vândalo

♦ Voyeur

Mitnick

Bart Simpson

Page 22: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 22

GSegGSegUFRGSUFRGS

Ameaças: evolução

♦ Década de 80 - ataques individuais eisolados– Escolha de boas senhas

– Prevenir o compartilhamento indiscriminado

– Eliminar os bugs de segurança de programas

Page 23: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 23

GSegGSegUFRGSUFRGS

Ameaças: evolução

♦ Década de 90 - ataques sofisticados– Sniffers capturam senhas e outras informações

– Computadores são confundidos por IPspoofing

– Sessões são desviadas através de connectionhijacking

– Dados são comprometidos via data spoofing

– Atacantes na maioria amadores (One-clickhacker, Script Kid)

Page 24: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 24

GSegGSegUFRGSUFRGS

Segurança: conceitos

♦ Tentativa de minimizar a vulnerabilidadede bens e recursos

♦ Mais abrangente: dotar os sistemas de:– confiabilidade – integridade

– disponibilidade – autenticidade

– privacidade

Page 25: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 25

GSegGSegUFRGSUFRGS

Segurança: conceitos

♦ O que se quer proteger?– confiabilidade

– disponibilidade

– integridade

– privacidade

– autenticidade

Page 26: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 26

GSegGSegUFRGSUFRGS

Segurança: conceitos

Dependability

Meios

De validação

De realização

Prevençãode falhas

Tolerância afalhas

Remoção defalhas

Previsão defalhas

Detecção de erros

Confinamento eavaliação de danos

Recuperação de erros

Tratamento defalhas

Atributos

Confiabilidade

Disponibilidade

...

Falhas

Humanas

Interação

Projeto

Intermitentes

Transitórias

Intencionais

Não intencionais

Físicas

Temporárias

Permanentes

Dependability

Meios

De validação

De realização

Prevençãode falhas

Tolerância afalhas

Remoção defalhas

Previsão defalhas

Detecção de erros

Confinamento eavaliação de danos

Recuperação de erros

Tratamento defalhas

Atributos

Confiabilidade

Disponibilidade

...

Page 27: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 27

GSegGSegUFRGSUFRGS

Segurança: conceitos

♦ Validação– remoção de falhas– previsão de falhas

♦ Prevenção de falhas

♦ Tolerância a falhas– detecção de erros– confinamento e avaliação de danos– recuperação de erros– tratamento de falhas

Page 28: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 28

GSegGSegUFRGSUFRGS

Segurança: conceitos

♦ Prevenção de falhas– ex.: firewalls, criptografia, etc

♦ Detecção de falhas– ex.: sistemas de detecção de intrusão

♦ Resposta– ex.: reconfiguração de um firewall

Page 29: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 29

GSegGSegUFRGSUFRGS

Exemplo 1: propriedade privada

♦ Prevenção– trancas em portas, grades nas janelas, muros

ao redor da propriedade

♦ Detecção– perceber o desaparecimento de algum objeto,

usar alarmes e circuitos de TV

♦ Reação– chamar a polícia, reaver objetos roubados,

acionar o seguro

Page 30: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 30

GSegGSegUFRGSUFRGS

Exemplo 2: redes

♦ Prevenção– gerenciamento adequado, firewalls, proxies

♦ Detecção– perceber anomalias no tráfego ou interrupção

de serviços, auditoria, IDS

♦ Reação– relatar o incidente, reinstalar softwares,

redefinir políticas de segurança, demitir oresponsável

Page 31: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 31

GSegGSegUFRGSUFRGS

Segurança: conceitos

♦ Ameaça

♦ Incidente– atacante → ataque → objetivo

♦ Ataque– ferramenta → vulnerabilidade → evento →

resultado não autorizado

♦ Evento– ação → alvo

Page 32: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 32

GSegGSegUFRGSUFRGS

Segurança: conceitos

Hacker

Espião

Terrorista

AtacanteCorporativoCriminoso

Profissional

Vândalo

Voyeur

Atacantes

Ataquefísico

Troca deInformaçãoComandode UsuárioScript ouPrograma

AgenteAutônomo

Toolkit

FerramentaDistribuída

Ferramenta

Interceptação de dados

Projeto

Implementação

Configuração

Vulnerabilidade

Probe

Varredura

Flood

Autenticação

Desvio

Spoof

Leitura

Ação

Cópia

Conta

Processo

Dado

Componente

Computador

Rede

Inter-rede

Alvo

AcessoAmpliado

Revelação deInformaçãoInformaçãoCorrompidaNegação de

ServiçoRoubo deRecursos

Resultado ñAutorizado

Desafio,statusGanhoPolíticoGanho

Financeiro

Dano

Objetivos

Roubo

Modificação

Destruição

evento

ataque(s)

incidente

Page 33: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 33

GSegGSegUFRGSUFRGS

Principais Ataques

♦ Engenharia social

♦ Coleta de informação

♦ Varredura

♦ Negação de serviço (DoS)

♦ Exploração de bugs

♦ Exploração de protocolos

♦ Sniffers

♦ Ataque do dicionário

♦ Código malicioso

Page 34: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 34

GSegGSegUFRGSUFRGS

Engenharia Social

♦ Método: enganar as vítimas, por conversa,telefone ou correio eletrônico

♦ Objetivos:– obter informações valiosas

– obter privilégios

– convencer a vítima a executar ações indevidase perigosas

Page 35: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 35

GSegGSegUFRGSUFRGS

Engenharia Social

♦ Prevenção: educação e conscientização– não fornecer informações a estranhos

– exigir identificação

– escolher boas senhas

– não executar ações sem pensar (como executarum programa anexo à uma mensagem)

Page 36: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 36

GSegGSegUFRGSUFRGS

Coleta de Informação

♦ Informações úteis (ao atacante)– domínio e servidores (whois e nslookup)– números IP (nslookup e traceroute)– arquitetura das máquinas (CPU, sistema

operacional)– servidores (versões e plataforma)– serviços de proteção (firewall, VPNs, ACL)– acesso remoto (telefones, usuários

autorizados)– usuários (nomes, cargos, funções)

Page 37: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 37

GSegGSegUFRGSUFRGS

Coleta de Informação

♦ Problema: algumas informações devem serpúblicas

♦ Prevenção: evitar o fornecimento de informaçãodesnecessária

♦ Toda a informação vital para operação deve serobviamente fornecida, mas qualquer informaçãoadicional deve ser suprimida

Page 38: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 38

GSegGSegUFRGSUFRGS

Varredura (Scanning)

♦ Teste sistemático dos números IP de umaorganização

♦ Determinação dos serviços estão ativos(quais portas estão escutando)

♦ Prevenção: limitar o tráfego desnecessário(filtro de pacotes ou firewall)

Page 39: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 39

GSegGSegUFRGSUFRGS

Negação de Serviço

♦ DoS ou denial-of-service

♦ Objetivo: impedir o uso legítimo dosistema, ou “derrubar” a máquina

♦ Inúmeras formas– ping of death

– syn flood

– smurf attack

– UDP flood

Page 40: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 40

GSegGSegUFRGSUFRGS

Negação de Serviço

♦ Impedir DoS é quase impossível

♦ Distribuir os serviços para a maioriapermanecer operacional

♦ Manter-se atualizado sobre asvulnerabilidades apresentadas pela versãoatual do sistema

Page 41: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 41

GSegGSegUFRGSUFRGS

Exploração de bugs

♦ Explorar “furos” de implementação paraobter privilégios

♦ Prevenção (em programas próprios)– boas práticas de engenharia de software

– verificar erros comuns (estouros de buffers)

– verificar as entradas

– lei do menor privilégio

Page 42: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 42

GSegGSegUFRGSUFRGS

Buffer Overflow

func_1(){ int a, b;

func_2();}

a, bc, d

func_2(){ int c, d;

func_3();}

end da func 1

buf

func_3(){ char buf[100];

read_user_input(buf);}

end da func 2

evil_assembly_code()

end do buf

Page 43: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 43

GSegGSegUFRGSUFRGS

Exploração de bugs

♦ Prevenção (em programas de terceiros)– verificar vulnerabilidades conhecidas

– aplicar os patches disponíveis

– manter-se informado e atualizado

♦ Nenhum sistema é seguro

♦ Nenhum patch é perfeito

♦ Mas a maioria dos atacantes só sabeexplorar bugs, e não criá-los

Page 44: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 44

GSegGSegUFRGSUFRGS

Exploração de Protocolos

♦ Muitos são derivados de falhas nomecanismo de autenticação– IP spoofing: utilizar um endereço IP confiável– DNS spoofing: subverter o servidor de nomes– Source Routing: utilizar os mecanismos de

roteamento– Ataque RIP: enviar informações de

roteamento falsas– Ataque ICMP: explorar msgs como redirect e

destination unreachable

Page 45: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 45

GSegGSegUFRGSUFRGS

Sniffer

♦ sniffing - interface de rede que opera modopromíscuo, capturando todos os pacotes

♦ É fácil para um programa sniffer obterusername e password dos usuários

♦ Utilização de sniffer é difícil de serdetectada

Page 46: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 46

GSegGSegUFRGSUFRGS

Ataque do Dicionário

♦ Um dos arquivos mais cobiçados poratacantes é o de senhas– Unix: /etc/passwd

– Windows: *.pwl

– Windows NT: SAM

♦ Senhas cifradas

Page 47: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 47

GSegGSegUFRGSUFRGS

Ataque do Dicionário

♦ Pessoas utilizam senhas facilmentememorizáveis, como nomes próprios oupalavras de uso corriqueiro

♦ Atacante compõe um dicionário eexperimenta todas as palavras destedicionário contra a cifra armazenada noarquivo de senhas

Page 48: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 48

GSegGSegUFRGSUFRGS

Ataque do Dicionário

♦ Vários programas disponíveis (Crack, etc)

♦ Ação preventiva: atacar o próprio arquivo desenhas

♦ Não utilizar senhas derivadas de palavras enomes

♦ Utilizar letras iniciais de frases ou palavras comerros

Page 49: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 49

GSegGSegUFRGSUFRGS

Código Malicioso

♦ Cavalos de Tróia (não se propagam)– falsa tela de Login

– falsa Operação

♦ Vírus

♦ Backdoors

♦ Controle Remoto (Netbus, Back Orifice)

Page 50: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 50

GSegGSegUFRGSUFRGS

Código Malicioso

♦ Prevenção: Monitores

♦ Impossível tratamento exato e confiável

♦ Manter anti-vírus atualizado

♦ Preparar procedimento de emergência

Page 51: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 51

GSegGSegUFRGSUFRGS

Segurança: tipos

♦ Nenhuma segurança

♦ Segurança por obscuridade

♦ Segurança baseada em máquina

♦ Segurança baseada em rede

♦ Combinação de mecanismos

Page 52: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 52

GSegGSegUFRGSUFRGS

Segurança: estratégias

♦ Atribuir privilégios mínimos

♦ Criar redundância de mecanismos

♦ Criar ponto único de acesso

♦ Determinar os pontos mais fracos

♦ Tornar o sistema livre de falhas (fail-safe)

♦ Incentivar a participação universal

♦ Investir na diversidade de defesa

♦ Prezar a simplicidade

Page 53: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 53

GSegGSegUFRGSUFRGS

Segurança: posturas

♦ Postura padrão de negação (prudente)– especificar o que é permitido

– proibir o resto

♦ Postura padrão de permissão (permissiva)– especificar o que é proibido

– permitir o resto

Page 54: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 54

GSegGSegUFRGSUFRGS

Medidas de segurança

♦ O que se está querendo proteger?

♦ O que é preciso para proteger?

♦ Qual a probabilidade de um ataque?

♦ Qual o prejuízo se o ataque for bemsucedido?

♦ Implementar procedimentos de segurançairá ser vantajoso no ponto de vista custo-benefício?

Page 55: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 55

GSegGSegUFRGSUFRGS

Política de segurança

♦ Conjunto de leis regras e práticas queregulam (informações e recursos):

– como gerenciar

– como proteger

– como distribuir

♦ Sistema seguro = sistema que garante ocumprimento da política de segurançatraçada

Page 56: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 56

GSegGSegUFRGSUFRGS

Política de segurança

♦ Define o que é e o que não é permitido nosistema

♦ Define o comportamento autorizado paraos indivíduos que interagem com o sistema

Page 57: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 57

GSegGSegUFRGSUFRGS

Mecanismos para segurança

♦ Wrappers

♦ Firewalls

♦ Criptografia

♦ Redes Privadas (VPNs)

♦ Ferramentas de verificação

Page 58: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 58

GSegGSegUFRGSUFRGS

Wrapers

♦ TCP Wrappers são um conjunto deprogramas que “encapsulam” os daemonsdos serviços de rede visando aumentar suasegurança

♦ Funcionam como um filtro e estendem oserviço original

Page 59: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 59

GSegGSegUFRGSUFRGS

Wrapers

♦ O wrapper não pode ser considerado umaferramenta para segurança total

♦ Visa suprir deficiências dos servidoresatuais e aumentar o controle sobre suautilização

♦ Ótima ferramenta para registro (log)

Page 60: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 60

GSegGSegUFRGSUFRGS

Firewalls

♦ Conjunto de componentes colocados entreduas redes e que coletivamenteimplementam uma barreira de segurança

♦ Finalidade– retardar os efeitos de um ataque até que

medidas administrativas contrárias sejamexecutadas

Page 61: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 61

GSegGSegUFRGSUFRGS

Firewalls

♦ Objetivo básico– defender a organização de ataques externos

♦ Efeito secundário– pode ser utilizado para regular o uso de

recursos externos pelos usuários internos

Page 62: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 62

GSegGSegUFRGSUFRGS

Firewalls

DMZ

Internet

Rede interna

Page 63: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 63

GSegGSegUFRGSUFRGS

Firewalls

♦ Pode ser implementado utilizando doismecanismos básicos:– filtragem de pacotes

• análise dos pacotes que passam pelo firewall

– servidores proxy• análise dos serviços sendo utilizados

Page 64: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 64

GSegGSegUFRGSUFRGS

Criptografia

♦ Não existe sistema absolutamente seguro

♦ Toda criptografia pode ser “quebrada”

♦ Complexidade temporal

♦ Complexidade econômica

♦ Segurança “computacional”

Page 65: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 65

GSegGSegUFRGSUFRGS

Criptografia de chave única

Única

Esta mensagem ésecreta, poiscontém dados damais altaimportância paraa nossa empresa.

fsdfsdgfdghdgkdhfgkdshgksdfghkdshgfksdfghkfdsgiuerbdhbkdbskfbhkbsldbhdfskbhdksfbhkdbhdbfkhsdkbhdfk

fsdfsdgfdghdgkdhfgkdshgksdfghkdshgfksdfghkfdsgiuerbdhbkdbskfbhkbsldbhdfskbhdksfbhkdbhdbfkhsdkbhdfk

CIFRAGEM

Esta mensagem ésecreta, poiscontém dados damais altaimportância paraa nossa empresa.

DECIFRAGEM TRANSMISSÃO

Alice Bob

Única

Page 66: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 66

GSegGSegUFRGSUFRGS

Criptografia de chave única

♦ Única chave para cifragem e decifragem

♦ Substituição, permutação, operaçõesalgébricas

♦ Alta velocidade

♦ Problemas na distribuição de chaves

Page 67: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 67

GSegGSegUFRGSUFRGS

Criptografia de chave pública

PubPub Priv

Esta mensagem ésecreta, poiscontém dados damais altaimportância paraa nossa empresa.

fsdfsdgfdghdgkdhfgkdshgksdfghkdshgfksdfghkfdsgiuerbdhbkdbskfbhkbsldbhdfskbhdksfbhkdbhdbfkhsdkbhdfk

fsdfsdgfdghdgkdhfgkdshgksdfghkdshgfksdfghkfdsgiuerbdhbkdbskfbhkbsldbhdfskbhdksfbhkdbhdbfkhsdkbhdfk

CIFRAGEM

Esta mensagem ésecreta, poiscontém dados damais altaimportância paraa nossa empresa.

DECIFRAGEM TRANSMISSÃO

Alice Bob

Page 68: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 68

GSegGSegUFRGSUFRGS

Criptografia de chave pública

♦ Duas chaves: uma pública e outra secreta

♦ Cifragem com uma chave somente édecifrada com a outra chave

Page 69: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 69

GSegGSegUFRGSUFRGS

Criptografia de chave pública

♦ Privacidade: cifrar com chave pública;somente chave secreta pode decifrar

♦ Assinatura: cifrar com chave secreta; chavepública decifra e identifica usuário

Page 70: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 70

GSegGSegUFRGSUFRGS

Criptografia + Assinatura

Fsdjfljgljdlgjdlgjldgjldjgldjgldjfgljdfljlvbkjn;x923q8508hugdkbnmsbn5y9[6590mnkpmjfw44n50b0okythp;jguent039oktrpgerjhgwunpt058bngnwug09u6buyhjoireueyu848ybnuyue98

Pub

Bob

Pub Priv

Esta mensagem ésecreta, poiscontém dados damais altaimportância paraa nossa empresa.

h25c924fed23

Pub Priv

Alice

Pub

Fsdjfljgljdlgjdlgjldgjldjgldjgldjfgljdfljlvbkjn;x923q8508hugdkbnmsbn5y9[6590mnkpmjfw44n50b0okythp;jguent039oktrpgerjhgwunpt058bngnwug09u6buyhjoireueyu848ybnuyue98

Esta mensagem ésecreta, poiscontém dados damais altaimportância paraa nossa empresa.

4932uvf9vbd8bbfgbfg 4932uvf9vbd8bbfgbfgh25c924fed23

Page 71: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 71

GSegGSegUFRGSUFRGS

Criptografia de chave pública

♦ Operação: funções aritméticas complexas

♦ Baixa velocidade, fácil distribuição dechaves

♦ Exemplos: RSA, DSS, DH, El Gamal (512a 2048 bits)

Page 72: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 72

GSegGSegUFRGSUFRGS

Ferramentas de Análise

♦ COPS (Computer Oracle and PasswordProgram)

♦ SATAN (Security Analysis Tool forAuditing Network)

♦ ISS (Internet Security Scanner)

♦ SAINT (Security Administrator’sIntegrated Network Tool)

♦ Nessus (um dos mais atuais)

Page 73: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 73

GSegGSegUFRGSUFRGS

Verificadores de Integridade

♦ Verificar se arquivos e configuraçõespermanecem inalterados

♦ Compara a situação atual com a situação inicial

♦ Utiliza funções de checksum e hash

♦ Hash a nível criptográfico: MD5, SHA

♦ Exemplo: Tripwire, Soffic (UFRGS)

Page 74: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 74

GSegGSegUFRGSUFRGS

Verificadores de Senhas

♦ Verificar se uma senha pode ser “quebrada”

– Exemplo: Crack

♦ Verificar se uma senha é “fácil”

– Exemplos: npasswd, passwd+

Page 75: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 75

GSegGSegUFRGSUFRGS

Analisadores de Logs

♦ Facilitar a análise de arquivos de logs

♦ Realizar logs mais detalhados (além de um grep)

♦ Exemplos:– Swatch (Simple Watcher)

– Netlog

– LogSurfer

Page 76: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 76

GSegGSegUFRGSUFRGS

Segurança (resumindo)

♦ Segurança é um atributo negativo– é fácil detectar pontos inseguros

– é difícil (impossível ?!?) provar segurança

♦ Segurança por obscuridade não ésegurança– não adianta se esconder

– não adianta ser otimista

– esteja preparado

Page 77: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 77

GSegGSegUFRGSUFRGS

Segurança (resumindo)

♦ Segurança é um atributo global– envolve vários componentes do sistema

– envolve vários mecanismos

– analogia: poucos confiam apenas nas trancasde seus carros

♦ Falsa sensação de segurança pode ser piordo que a falta de cuidados

Page 78: Sistemas de Detecção de Intrusão

GSegGSegUFRGSUFRGS

Sistemas de Detecção deIntrusão

Page 79: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 79

GSegGSegUFRGSUFRGS

Sistemas de Detecção de Intrusão

♦ Número crescente de ataques/incidentes

132 252 406 773 13342340 2412 2573 2134

3734

9859

21756

0

5000

10000

15000

20000

25000

1989

1990

1991

1992

1993

1994

1995

1996

1997

1998

1999

2000

Inci

de

nte

s R

ep

ort

ad

os♦ Complexidade crescente

♦ Ferramentas de ataque cada vez maiseficientes

♦ Tempos de recuperação proibitivos

Page 80: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 80

GSegGSegUFRGSUFRGS

Sistemas de Detecção de Intrusão

♦ Prevenção não é suficiente

♦ Importância da diversidade de defesa

♦ Solução: Detecção de Intrusão– garantir comportamento livre de falhas

Page 81: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 81

GSegGSegUFRGSUFRGS

Sistemas de Detecção de Intrusão

♦ Detecção de intrusão:– tarefa de coletar e analisar eventos, buscando

sinais de intrusão e de mau-uso

♦ Intrusão:– uso inapropriado de um sistema de informação

– ações tomadas para comprometer aprivacidade, integridade ou a disponibilidade

Page 82: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 82

GSegGSegUFRGSUFRGS

Sistemas de Detecção de Intrusão

♦ Detecção de intrusão X detecção de ataque– intrusão: ação já concretizada

– ataque: ação maliciosa que gera um resultadonão autorizado

♦ Reação?

Page 83: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 83

GSegGSegUFRGSUFRGS

IDS X Auditoria

♦ Ferramentas de auditoria– prevenção

– confinamento e avaliação de danos

– tratamento de falhas

– Analogia: consultores e/ou peritos criminais

♦ IDSs– detecção

– analogia: vigia noturno

Page 84: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 84

GSegGSegUFRGSUFRGS

IDS: classificação

♦ Segundo os métodos de detecção usados

♦ Segundo a arquitetura adotada– alvo

– localização

Page 85: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 85

GSegGSegUFRGSUFRGS

IDS: classificação

♦ Segundo o método de detecção– baseado em comportamento

– baseado em assinaturas

♦ Segundo a arquitetura– alvo

• baseado em rede

• baseado em host

• híbrido

– localização• centralizado

• hierárquico

• distribuído

Page 86: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 86

GSegGSegUFRGSUFRGS

IDS: classificação

IDS

Arquitetura

Comportam.pós-detecção

Freqüência deuso

Método deDetecção

Baseado emComportamento

Baseado emAssinaturas

Passivo

Ativo

Monitoramentocontínuo

Análise periódica

Segundo o alvo

Segundo alocalização

Centralizado

Hierárquico

Distribuído

Baseado em Rede

Baseado em Host

Híbrido

Page 87: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 87

GSegGSegUFRGSUFRGS

IDS: histórico

♦ Conceito surgido no início dos anos 80♦ 1ª Geração

– registros de auditoria eram processados offline– surgimento dos métodos baseados em

comportamento e em assinaturas

♦ 2ª Geração– processamento estatisticamente + sofisticado– mais medidas de comportamento monitoradas– alertas em “tempo real” tornaram-se possíveis

Page 88: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 88

GSegGSegUFRGSUFRGS

IDS: histórico

♦ 3ª Geração– uso dos conceitos anteriores para sistemas em

rede/sistemas distribuídos

– uso de novas técnicas para detecção (sistemasespecialistas, redes neurais, data mining, etc)

– surgimento dos primeiros IDSs comerciais

Page 89: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 89

GSegGSegUFRGSUFRGS

IDS: estrutura

♦ Componentes funcionalmente semelhantes– independente da arquitetura/método adotados

♦ Muitas vezes agrupados

♦ Modularidade importante na aplicação e nodesenvolvimento de novos IDS

Page 90: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 90

GSegGSegUFRGSUFRGS

IDS: componentes

♦ Geradores de eventos

♦ Analisadores de eventos

♦ Bases de dados de eventos

♦ Unidades de resposta

Page 91: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 91

GSegGSegUFRGSUFRGS

IDS: padronização

♦ CIDF (Common Intrusion DetectionFramework)

♦ IDWG (Intrusion Detection WorkingGroup)

Page 92: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 92

GSegGSegUFRGSUFRGS

IDS: IDWG

IDS

Origem dosDados

Sensor

Analisador

Operador

GerenteAdministrador

Atividade

Evento

AlertaPolítica deSegurança

Notificação

Resposta

Page 93: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 93

GSegGSegUFRGSUFRGS

IDS: métodos de detecção

♦ Responsáveis diretos na busca por indíciosde intrusão

♦ Dois grandes grupos:– técnicas baseadas em comportamento

– técnicas baseadas em assinaturas

Page 94: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 94

GSegGSegUFRGSUFRGS

IDS: baseado em comportamento

♦ Detecção por anomalia

♦ Caracteriza o comportamento do sistemaem normal e anômalo

♦ Habilidade de distinguir o comportamentonormal de um anômalo

Anômalo Normal

Intrusão ComportamentoNormal

Page 95: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 95

GSegGSegUFRGSUFRGS

IDS: baseado em comportamento

♦ Compara o estado atual do sistema com ocomportamento considerado normal

♦ Desvios são considerados intrusões

♦ Ex.: conexões externas em horáriosincomuns, padrão de digitação

♦ Outros exemplos ???

Page 96: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 96

GSegGSegUFRGSUFRGS

IDS: baseado em assinaturas

♦ Também chamada de detecção por mau uso

♦ Divide as ações do sistema em aceitáveis enão aceitáveis

♦ Habilidade de encontrar tentativas deexploração de vulnerabilidades conhecidas

Não aceitável Aceitável

Intrusão AçãoNormal

Page 97: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 97

GSegGSegUFRGSUFRGS

IDS: baseado em assinaturas

♦ Compara as ações realizadas no sistemacom uma base de assinaturas de ataques

♦ Ex.: cópia do arquivo de senhas(/etc/passwd)

♦ Outros exemplos ???

Page 98: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 98

GSegGSegUFRGSUFRGS

IDS: arquiteturas

♦ Diretamente ligado ao desempenho

♦ Segundo o alvo– baseado em rede– baseado em host– híbrido

♦ Segundo a localização– centralizado– hierárquico– distribuído

Page 99: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 99

GSegGSegUFRGSUFRGS

IDS: rede

♦ Dados analisados são retirados da rede

♦ Detecção de ataques relacionados aotráfego de rede

♦ Ex: captura de pacotes, estatísticas detráfego

♦ Outros exemplos ???

Page 100: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 100

GSegGSegUFRGSUFRGS

IDS: host

♦ Dados obtidos na própria máquina

♦ Detecção de ataques relacionados a açõeslocais

♦ Ex: trilhas de auditoria, cópias de arquivos

♦ IDSs baseados em aplicação: outra classe

Page 101: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 101

GSegGSegUFRGSUFRGS

IDS: níveis

IDS baseado em rede

IDS baseado em host

IDS baseado em aplicação

Nível deabstração

Page 102: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 102

GSegGSegUFRGSUFRGS

IDS: centralizado

♦ Função como coleta, análise e gerência emum único componente

Coletor

Analisador

Gerente

Máquina A

Coletor

Analisador

Gerente

Máquina B

Coletor

Analisador

Gerente

Máquina C

Page 103: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 103

GSegGSegUFRGSUFRGS

IDS: hierárquico

♦ Funções distribuídas mas com fortesrelações de hierarquia

Analisador

Máquina B

Coletor

Máquina C

Coletor

Máquina D

Coletor

Máquina E

Gerente

Máquina A

Page 104: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 104

GSegGSegUFRGSUFRGS

IDS: distribuído

♦ Funções livremente distribuídas

Analisador

Máquina B

Analisador

Máquina C

Coletor

Máquina D

Coletor

Máquina E

Gerente

Máquina A

Page 105: Sistemas de Detecção de Intrusão

GSegGSegUFRGSUFRGS

Métodos de Detecção

Page 106: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 106

GSegGSegUFRGSUFRGS

Métodos Tradicionais

♦ Busca “manual” por indícios de intrusão

♦ Realizada há bastante tempo (empírica)

♦ Técnicas de auditoria de sistemas

♦ Técnicas de gerência de redes

Page 107: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 107

GSegGSegUFRGSUFRGS

Métodos Tradicionais

♦ Análise de trilhas de auditoria– registrar principais eventos

– selecionar eventos importantes

– buscar por indícios de intrusão (offline)

♦ Problemas– manipulação de grandes qtdes de informação

– tamanho das trilhas (armazenamento)

– dificuldade de correlação de eventos

Page 108: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 108

GSegGSegUFRGSUFRGS

Métodos Tradicionais

♦ Análise de dados de gerência de redes– uso de padrões como SNMP e RMON

– captura de pacotes (TCPdump, Ethereal)

– buscar por indícios de intrusão (tráfegoestranho, pacotes mau formados)

♦ Problemas– manipulação de grandes qtdes de informação

– grande experiência em redes

– baixa eficiência

Page 109: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 109

GSegGSegUFRGSUFRGS

Análise por assinaturas

♦ Método muito utilizado

♦ Dificuldade: correlacionar dados coletadoscom as assinaturas existentes

♦ Principais técnicas:– Filtros de pacotes– Sistemas especialistas– Redes de Petri

Page 110: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 110

GSegGSegUFRGSUFRGS

Análise por assinaturas

♦ Vantagens– baixo nº de falsos positivos

– adoção de contra-medidas imediatas

– redução na quantidade de informação tratada

– melhor desempenho

Page 111: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 111

GSegGSegUFRGSUFRGS

Análise por assinaturas

♦ Desvantagens– detecção só para ataques conhecidos

– dificuldade de manutenção

– base de assinaturas pode ser usada em novosataques

– difícil detecção de abusos de privilégios

Page 112: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 112

GSegGSegUFRGSUFRGS

Análise por comportamento

♦ Comportamento estático X dinâmico

♦ Dificuldade: estabelecer comportamentopadrão

♦ Principais técnicas:– análise estatística

– sistemas especialistas

Page 113: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 113

GSegGSegUFRGSUFRGS

Análise por comportamento

♦ Vantagens– detecção de ataques desconhecidos

– usado na criação de novas bases de assinaturas

– esforço de manutenção reduzido

– menos dependente de plataforma

– facilita a detecção de abusos de privilégios

Page 114: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 114

GSegGSegUFRGSUFRGS

Análise por comportamento

♦ Desvantagens– dificuldade de configuração

– maior nº de falsos positivos

– relatórios de difícil análise

– menor desempenho (cálculos complexos)

– dificuldade de lidar com mudanças normais decomportamento

Page 115: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 115

GSegGSegUFRGSUFRGS

Métodos Avançados

♦ Estudo de novas formas de análise

♦ Complexos

♦ Desempenho reduzido

♦ Implantação e manutenção dificultadas

♦ Incipientes e não aplicados em larga escala

Page 116: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 116

GSegGSegUFRGSUFRGS

Métodos Avançados

♦ Redes neurais– dificuldades no treinamento da rede

– mais usado na detecção de anomalias

♦ Sistema imunológico– determinar o que pertence ao sistema

– procurar “corpos estranhos”

– Ex.: seqüências de chamadas de sistema

♦ Data minning e recuperação de informação

Page 117: Sistemas de Detecção de Intrusão

GSegGSegUFRGSUFRGS

Arquiteturas

Page 118: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 118

GSegGSegUFRGSUFRGS

Baseada em Host

♦ Precursora em IDS

♦ Permite determinar as operaçõesdesencadeadas no sistema

♦ Informações como:– trilhas de auditoria– carga de CPU– programas executados– integridade de arquivos

Page 119: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 119

GSegGSegUFRGSUFRGS

Baseada em Host

♦ Vantagens– independência de rede

– detecção de ataques internos / abusos deprivilégios

– maior capacidade de confinamento/avaliaçãode danos e de recuperação de erros

Page 120: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 120

GSegGSegUFRGSUFRGS

Baseada em Host

♦ Desvantagens– dificuldade de instalação

– dificuldade de manutenção

– ataques ao próprio IDS

– dificuldade de tratar ataques de rede

– interferência no desempenho do sistema

– dependência de plataforma

Page 121: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 121

GSegGSegUFRGSUFRGS

Baseada em Rede

♦ Tratar ataques à própria rede

♦ Permite determinar as operaçõesdesencadeadas através da rede

♦ Informações como:– pacotes de rede (cabeçalhos e dados)

– estatísticas de tráfego

– SNMP

Page 122: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 122

GSegGSegUFRGSUFRGS

Baseada em Rede

♦ Vantagens– detecção de ataques externos

– facilidade de instalação

– facilidade de manutenção

– interferência mínima (nula) no desempenho

– independência de plataforma

Page 123: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 123

GSegGSegUFRGSUFRGS

Baseada em Rede

♦ Desvantagens– tratamento de redes de alta velocidade

– dependência de rede

– dificuldade de reação

Page 124: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 124

GSegGSegUFRGSUFRGS

Centralizado

♦ Precursor em IDS

♦ Vantagens– simplicidade

– interferência mínima (nula) na rede

– imunidade a problemas de autenticidade

♦ Desvantagens– ponto único de falha

– instalação/manutenção em grandes redes

– crescimento modular dificultado

Page 125: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 125

GSegGSegUFRGSUFRGS

Distribuído

♦ Vantagens– robustez

– crescimento modular

– distribuição de tarefas

– abrangência de detecção

♦ Desvantagens– complexidade

– interferência no desempenho da rede

– necessidade de autenticação

Page 126: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 126

GSegGSegUFRGSUFRGS

Hierárquico

♦ Fortes relações de subordinação

♦ Maior facilidade de desenvolvimento

♦ Pontos únicos de falha

Page 127: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 127

GSegGSegUFRGSUFRGS

Soluções Híbridas

♦ Mesclar soluções

♦ Aproveitar vantagens de cada abordagem

♦ Equilibrar necessidades e proibições

Page 128: Sistemas de Detecção de Intrusão

GSegGSegUFRGSUFRGS

Exemplos de IDSs

Page 129: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 129

GSegGSegUFRGSUFRGS

Snort

♦ Um dos mais utilizados no momento

♦ Arquitetura centralizada

♦ Dados coletados na rede

♦ Análise baseada em assinaturas

Page 130: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 130

GSegGSegUFRGSUFRGS

Snort

♦ Simplicidade e eficiência

♦ Base com milhares de assinaturas

♦ Plataforma UNIX ou Windows

♦ Distribuição livre (www.snort.org)

Page 131: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 131

GSegGSegUFRGSUFRGS

Snort

♦ Captura de pacotes de rede (libpcap)– uso de regras de filtragem (TCPdump)

♦ Analisador simples– baseado em regras

– trata cabeçalhos e dados

♦ Ações: registrar, alertar ou descartar

Page 132: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 132

GSegGSegUFRGSUFRGS

Snort: regras

♦ 1ª parte: ação a ser tomada– log, alert ou pass

♦ 2ª parte: padrão procurado– cabeçalho ou conteúdo

alert TCP $HOME_NET 146 -> !$HOME_NET 1024: (msg:"IDS315 - BACKDOOR-ACTIVITY - Infector.1.x"; content: "WHATISIT"; )

alert TCP $HOME_NET 21 -> !$HOME_NET any (msg:"FTP-NT-bad-login";content: "Login failed."; )

Page 133: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 133

GSegGSegUFRGSUFRGS

Snort

♦ Pré-processadores (v 1.5)– código executado antes da análise

– portscan, eliminação de caracteres, etc

♦ Módulos de saída (v 1.6)– código executado quando um alerta ou registro

é feito (após a análise)

– syslog, postgresql, reação, etc

Page 134: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 134

GSegGSegUFRGSUFRGS

Bro

♦ Desenvolvido pelo Lawrence BerkeleyNational Laboratory

♦ Arquitetura centralizada

♦ Dados coletados na rede

♦ Análise baseada em assinaturas

Page 135: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 135

GSegGSegUFRGSUFRGS

Bro

♦ Utiliza scripts

♦ Base com poucas assinaturas

♦ Implementações em DecUnix, FreeBSD,Solaris, SunOS e Linux

♦ Distribuição livre (www-nrg.ee.lbl.gov)

Page 136: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 136

GSegGSegUFRGSUFRGS

Bro: estrutura

Rede

libpcap

Máquina de eventos

Interpretador de scripts

Alerta

Fluxo de pacotes

Fluxo de pacotes filtrados

Fluxo de eventos

Script de políticas

Controle de eventos

Filtro TCPdump

Page 137: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 137

GSegGSegUFRGSUFRGS

Bro: filtros

♦ Scripts semelhantes à linguagem C

event finger_request(c:connection, request: string, full: bool){if ( request in hot_names ) ++c$hot; if ( c$hot > 0 ) log fmt("finger: %s", msg);print finger_log, fmt("%.6f %s", c$start_time, msg);c$addl = c$addl == "" ? req : fmt("*%s, %s", c$addl, req);}

Page 138: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 138

GSegGSegUFRGSUFRGS

AAFID

♦ Autonomous Agents for Intrusion Detection

♦ Desenvolvido pelo CERIAS

♦ Arquitetura hierárquica

♦ Dados coletados na rede e no host

♦ Análise de acordo com os agentes

Page 139: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 139

GSegGSegUFRGSUFRGS

AAFID: componentes

a

aa

a

a

a

a

a

a

M

M

Interface

TT

T

T

M

aTransceiver

Monitor

Agente

Fluxo deControle

Fluxo deDados

Page 140: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 140

GSegGSegUFRGSUFRGS

AAFID

♦ Escrito em Perl– fácil migração

♦ Pseudo-linguagem (AAS) paraespecificação de agentes

♦ Componentes de execução independente

♦ Monitores usam execução remota (ssh)

Page 141: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 141

GSegGSegUFRGSUFRGS

EMERALD

♦ Event Monitoring Enabling Response toAnomalous Live Disturbance)

♦ Desenvolvido pela SRI International

♦ Arquitetura distribuída

♦ Dados coletados no host e na rede

Page 142: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 142

GSegGSegUFRGSUFRGS

EMERALD

♦ Análise baseada em conhecimento e emassinaturas

♦ Projeto sucessor do IDES e NIDES

♦ Projetado para redes de larga escala

♦ Conceito de monitores/domínios

Page 143: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 143

GSegGSegUFRGSUFRGS

EMERALD: domínios

Monitor de Serviço Monitor de Serviço Monitor de Serviço Monitor de Serviço

Monitor de Domínio Monitor de Domínio

Monitor de Organização

Domínio A Domínio B

Page 144: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 144

GSegGSegUFRGSUFRGS

EMERALD: monitor

API

API do Monitor

Recursos para osistema alvo

API do Monitor

Elemento dedecisão

Analisador porassinaturas

Analisador porcomportamento

API Outros monitoresSistema alvo

Page 145: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 145

GSegGSegUFRGSUFRGS

EMERALD

♦ Modularidade

♦ Independência de alvo

♦ Correlação de alertas

♦ Possível integração com outrosmecanismos

Page 146: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 146

GSegGSegUFRGSUFRGS

RealSecure

♦ Desenvolvido pela ISS (Internet SecuritySystem)

♦ Grande aceitação no mercado

♦ Arquitetura hierárquica

♦ Dados coletados na rede e no host

♦ Análise baseada em assinaturas

Page 147: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 147

GSegGSegUFRGSUFRGS

RealSecure

♦ Sensores– rede

– host

– servidor

– plataformas: WinNT, AIX, Solaris, HP-UX

♦ Console– master controller ou não

– plataforma: WinNT

Page 148: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 148

GSegGSegUFRGSUFRGS

RealSecure

♦ Políticas aplicadas através dos consoles

♦ Possível autenticação entresensores/consoles

♦ Reação– firecell signatures (firewall local)– reconfiguração de firewalls– encerramento de sessão– etc

Page 149: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 149

GSegGSegUFRGSUFRGS

RealSecure

♦ Permite a criação de scripts Tcl associadosa assinaturas (SecureLogic)

♦ Permite a definição de assinaturas dousuário

♦ Permite a criação de filtros

Page 150: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 150

GSegGSegUFRGSUFRGS

NFR

♦ Network Flight Recorder

♦ Desenvolvida por Marcus Ranum (NFRSecurity)

♦ Ferramenta para análise de tráfego eposterior registro

♦ Versão comercial (completa) e de domíniopúblico (reduzida)

Page 151: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 151

GSegGSegUFRGSUFRGS

NFR

♦ Arquitetura centralizada/hierárquica

♦ Dados coletados na rede

♦ Análise baseada em assinaturas e emconhecimento

Page 152: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 152

GSegGSegUFRGSUFRGS

NFR: estrutura

...

Servidor Central de Gerenciamento (CMS)

Interfacede

Administração(AI)

Analisador

Backend

Backend

Backend

Gravador

SensorNFR

Analisador

Backend

Backend

Backend

Gravador

SensorNFR

Page 153: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 153

GSegGSegUFRGSUFRGS

NFR

♦ Base mantida por terceiros

♦ Regras escritas em linguagem proprietária(N-Code), semelhante à C

♦ Geração de byte-codes

♦ Distribuição através de pacotes

Page 154: Sistemas de Detecção de Intrusão

GSegGSegUFRGSUFRGS

Considerações Práticas

Page 155: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 155

GSegGSegUFRGSUFRGS

Seleção e Implementação

♦ Escolha depende de cada caso

♦ Equívocos podem causar falsa sensação desegurança

♦ Importante o mapeamento da realidadecomputacional da organização

Page 156: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 156

GSegGSegUFRGSUFRGS

Seleção e Implementação

♦ Política de segurança– avaliar política existente– (re)definir política

♦ Integrar mecanismos de prevenção edetecção– firewalls– autenticação– recuperação– verificação

Page 157: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 157

GSegGSegUFRGSUFRGS

Seleção e Implementação

♦ Analisar detalhes técnicos– métodos de detecção e arquitetura

– testes realizados por terceiros

– nível de conhecimento para operação

– possibilidade de expansão

– suporte

– integração com outros mecanismos

– plataformas disponíveis

– custo

Page 158: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 158

GSegGSegUFRGSUFRGS

Seleção e Implementação

♦ Criar ambiente de testes

♦ Distribuir corretamente os sensores de rede

♦ Instalar sensores de host

Page 159: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 159

GSegGSegUFRGSUFRGS

Distribuição de Sensores

Page 160: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 160

GSegGSegUFRGSUFRGS

Distribuição de Sensores

♦ Atrás do firewall externo– ver ataques externos que passaram do firewall

– ver ataques direcionados à DMZ

– analisar o tráfego de saída

♦ Depois do firewall externo– ver ataques direcionados à rede

Page 161: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 161

GSegGSegUFRGSUFRGS

Distribuição de Sensores

♦ Nos backbones– monitorar grandes qtdes de tráfego

– detectar ataques internos

♦ Nas redes críticas– detectar ataques aos recursos críticos

– permitir o foco nos recursos de maior valor

Page 162: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 162

GSegGSegUFRGSUFRGS

Sensores: problemas

♦ Tráfego criptografado

♦ Tráfego segmentado

♦ Tráfego de alta velocidade

Page 163: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 163

GSegGSegUFRGSUFRGS

Vulnerabilidades Conhecidas

♦ Falsos alarmes

♦ Negação de serviço (DoS)

♦ Tolerância a falhas

♦ Autenticação

Page 164: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 164

GSegGSegUFRGSUFRGS

Vulnerabilidades Conhecidas

♦ Desativação de ferramentas baseadas emhost

♦ Inserção de tráfego– pacotes descartados pelo sistema alvo

♦ Evasão de tráfego– pacotes descartados pelo IDS

Page 165: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 165

GSegGSegUFRGSUFRGS

Subvertendo o IDS

♦ Procurando pela string “su root”.– e quanto à string “su me^H^Hroot” ?

– e quanto à string “su<telnet option> root” ?

– e quanto à string “alias blammo su”, e depois“blammo root” ?

Page 166: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 166

GSegGSegUFRGSUFRGS

Reconstruindo Fluxos

♦ Procurando pela string “USER root”. Bastaprocurar na porção de dados de pacotesTCP?

USER root

HDR USERTCP: HDR root

HDR USHDR ERHDR HDR HDR ro HDR otIP:

É necessário remontar fragmentos e colocá-los em seqüência

Page 167: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 167

GSegGSegUFRGSUFRGS

Mais Fragmentos

HDR USHDR

ERHDR

HDR HDR ro

HDR ot

1.

2.

4.

5.

3. 1,000,000 fragmentos sem relação c/ o ataque

Suponha o seguinte ataque:

Page 168: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 168

GSegGSegUFRGSUFRGS

Mais Fragmentos

HDR USHDR

ERHDR

HDR HDR ro

HDR ot

O que considerar ( “USER root” ou “USER foot”)?Qual decisão será tomada pelo SO?

1.

2.

3b.

4.

HDR HDR fo

3a.

Seq. #

Time

Page 169: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 169

GSegGSegUFRGSUFRGS

Aspectos Legais

♦ Interceptação telemática– C.F. Artigo 5º parágrafo XII

♦ Privacidade

♦ Documentar políticas

Page 170: Sistemas de Detecção de Intrusão

GSegGSegUFRGSUFRGS

Conclusões

Page 171: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 171

GSegGSegUFRGSUFRGS

Conclusões

♦ Aumento no nº de incidentes

♦ Despreparo dos profissionais da área

♦ Não existe segurança 100%

♦ Não existe solução completa

Page 172: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 172

GSegGSegUFRGSUFRGS

Conclusões

♦ IDS é mais um mecanismo útil

♦ Serve como suporte à tomada de decisões

♦ Vasto campo para novas pesquisas

Page 173: Sistemas de Detecção de Intrusão

Grupo de Segurança - UFRGS 173

GSegGSegUFRGSUFRGS

Contatos

Rafael Campelloe-mail: [email protected]

Raul Webere-mail: [email protected]

GSegGSegUFRGSUFRGS

e-mail: [email protected]ágina: www.inf.ufrgs.br/~gseg