toci08–segurança em redes de computadores módulo 13: … · toci08 segurança em redes de...

TOCI08–Segurança em Redes de Computadores Módulo 13: IDS–Intrusion Detection Systems,

IPS–Intrusion Prevention Systems,Honeypots&Honeynets

Prof. M.Sc. Charles Christian Mierse-mail: [email protected]

mailto:[email protected]

TOCI08 Segurança em Redes de Computadores 2

Posicionamento das soluções de segurança

Gerenciamento Gerenciamento De Segurança &De Segurança &VulnerabilidadesVulnerabilidades

Identificação & Identificação & Gerência de Gerência de Acesso (IAM)Acesso (IAM)

Fonte: IDC

Gerenciamento Gerenciamento de Segurançade SegurançaDe ConteúdoDe Conteúdo

GerenciamentoGerenciamentode Ameaçasde Ameaças

Outros SoftwaresOutros Softwaresde Segurançade Segurança

Hardware deHardware deAutenticaçãoAutenticação

SecuritySecurityAppliancesAppliances

SegurançaSegurançaFísicaFísica

Segurança emSegurança emHardwareHardware

Segurança emSegurança emSoftwareSoftware

Serviços deServiços deSegurançaSegurança

Segurança em TISegurança em TI

• Biometria

• Tokens

• Smart Cards

• FW/VPN

• SCM

• IDS&IPS

• Integração

• Outros

• Gerência de & Configurações & Sistemas

• Gerência de Vulnerabilidades

• Patching/Correções

• Forense

• Políticas & Conformidade

• Antivírus/Código Malicioso

• Filtros Web

• Segurança de Mensagens

• SpyWare

• Outros

• Firewall

• VPN

• IDS

• IPS


Segurança em Redes de Computadores

Classificação dos procedimentos e medidas Proteção Detecção Reação

Ferramentas para segurança de redes Ferramentas para controle de vulnerabilidades Ferramentas para controle de ameaças


IDS: Intrusion Detection Systems Definição:

Os IDS ou Sistemas de Detecção de Intrusão são ferramentas que tem como principal finalidade a monitoração de computadores e redes afim de identificar possíveis ataques que possam ter ocorrido ou estejam ocorrendo

Ferramenta essencial no controle de ameaças técnicas Utilizados para detectar e alertar em casos de eventos

maliciosos. O sistema pode conter muitos sensores de IDS diferentes, posicionados em lugares estratégicos da rede


IDS: Classificação

Tipos de IDS: Baseados em rede (NIDS) Baseados em host (HIDS) Híbridos

Modo de Detecção: Anomalias Uso Incorreto

Assinaturas Comportamento na Detecção:

Passivos Ativos Reativos


IDS Performance Inline IDS

Normalmente colocado atrás do firewall ou conjuntamente com um firewall e filtragem de tráfego Apenas é permitida a passagem ao “tráfego bom”


Modelos de IDS

Geração de padrões preditivos Classificadores Fuzzy Redes neurais Máquinas de suporte a vetor Sistemas especialistas Árvores de decisão Monitoração de pontos chaves Análise da transição de estado Verificação de padrões/assinaturas Agentes autônomos

Detecção de Anomalias

Detecção de uso incorreto


IDS: Detecção por Anomalia

Detecta atividades que não seguem uma padrão normal (pré-estabelecido) de atividades

Depende da definição estatística do que é “normal”

Gera uma grande quantidade de falsos positivos, “ajustes” para redução

Prós: Caso implementado adequadamente, pode detectar ataques

desconhecidos Oferece baixo “overhead” (aprendizado X desenvolvimento)

Contras: Não é definitivo Definição de “normal” Alta taxa de falsos positivos


IDS: Detecção por Assinatura

Verifica padrões específicos dos eventos de ataques conhecidos

Necessita do conhecimento das assinaturas de ataque Requer um método para comparar e verificar o comportamento

com a assinatura Subcategorias:

Verificação de padrão Verificação de padrão completa (Statefull) Baseada em decodificação de protocolo Pode ser baseada em heurística


Padrões (Vulnerabilidades e Ameaças)

CVE (Common Vulnerabilities and Exposures) Nomes/Nomenclatura padronizada Interoperabilidade entre ferramentas Guia de comparação entre ferramentas

Compatível CVE Número de assinaturas (ataque ameaças)

IDMEF (Intrusion Detection Message Exchange Format)

12

Modelo Genérico de Arquitetura IDS

Sensor

Analyzer

Manager

Sensor

Administrator

Operator

Data SourceActivity

Se

cu

rity

Po

licy

Se

cu

rity

Po

licy

Se

cu

rity

Po

licy

Se

cu

rity

Po

licy

No

tifica

tio

ns

Re

sp

on

se

AlertsEvents

Eve

nts

Fonte Dados

Sensor

Sensor

Analisador

Operador

Gerenciador

Administrador

Atividade

Eventos Alertas

Eve

ntos

Not

ifica

ções

Res

post

as

Pol

ítica

de

Seg

uran

ça

Pol

ítica

de

Seg

uran

ça

Pol

ítica

de

Seg

uran

ça

Pol

ítica

de

Seg

uran

ça


HIDS: Host Intrusion Detection System

Faz a detecção baseada em monitoração da atividade de rede do sistema, sistema de arquivo, arquivos de log e ações do usuário

Deve gerar um alerta quando detecta um procedimento suspeito como, por exemplo, um aumento de privilégios para uma conta de usuário no sistema

Permite um nível de controle maior sobre ao sistema por estar instalado localmente


HIDS - Host Intrusion Detection System (Cont.)

Principais Ferramentas do Mercado: Tripwire AIDE ISS BlackIce (voltado para estações) LogSentry ISS RealSecure Enterasys Dragon


HIDS - Host Intrusion Detection System (Cont.)

Pontos fortes: Menos falsos positivos Uso em ambientes onde largura de banda é crítica Qualidade da informação coletada

Pontos Fracos: Dependem das capacidades do sistema São relativamente mais caros Visão localizada


NIDS - Network Intrusion Detection System

Um sistema de detecção de intrusão baseado em redes (NIDS) é projetado para examinar o tráfego de rede para identificar ameaças detectando varreduras, sondas, ataques, etc.

Pode ser posicionado de várias maneiras possíveis, principalmente: Entre o cliente e o servidor Entre o servidor e seus próprios funcionários Entre o firewall e a DMZ

Deve permitir uma análise mais minuciosa de um eventual ataque e de onde se originou


NIDS - Network Intrusion Detection System (Cont.)

Principais Ferramentas do Mercado: Snort Shadow Prelude Dragon Enterasys ISS - RealSecure


NIDS: Network Intrusion Detection System (Cont.)

Pontos fortes: Cobertura abrangente Desempenho em alta velocidade Fácil instalação (Sensores) Operação transparente Tende a ser mais independente

Pontos Fracos: Monitora um segmento de rede,necessita ter acesso ao tráfego

(necessidade de HUBs, portas de eco em switches, etc..) Inadequado para tratar ataques mais complexos Grandes quantidades de dados trafegam entre os agentes e

estações de gerência Falsos Positivos / Falsos Negativos Ataques de DoS e DDoS


EMAILALERT/

LOG

DETECÇÃO DOATAQUE

REGISTROS DA SESSÃO

SESSÃOTERMINADA

RECONFIGURARFIREWALL

Usuário Interno

DETECTARATAQUE

REGISTRODA SESSÃO


Posicionamento de IDS e Arquitetura

21

IDS: Arquitetura

HIDS1. Este HIDS trabalhará instalado no firewall para que o mesmo além de proteger a rede toda, proteja o firewall de um possível ataque contra ele, que pode surgir tanto da rede interna da VPN ou da Internet

NIDS1. Nesta situação, o NIDS irá detectar todas as tentativas de que a rede interna sofrerá até as tentativas que não teriam efeito algum. Esta localização traz uma rica fonte de informações sobre que tipos de ataques que a rede pode sofrer

NIDS2. Este NIDS estará monitorando todo o segmento, que é a DMZ, o qual engloba o servidor de e-mail, FTP e Web alertando sobre uma possível invasão


IDS – Arquitetura (Cont.)

NIDS3. Da mesma forma que o NIDS2, este irá proteger a rede se servidores a qual engloba o Banco de Dados e o servidor ICP

NIDS4. Este IDS monitorará toda as ações da rede interna, caso haja algum comportamento suspeito contra os servidores da organização

NIDS5. Nesta posição, este IDS irá monitorar todas as ações suspeitas que podem vir partir da VPN contra o firewall e toda a rede de computadores


Considerações sobre IDS

IDS comerciais estão na fase juvenil Muito trabalho a ser feito (pesquisa/comercial) Aumento na importância da detecção por anomalia Será que algum dia os IDSs serão criados eventualmente para

cada tipo de aplicação ou dispositivo de rede? IDSs não são um tipo de solução que irá parar todos os tipos de

ameaças de uma organização

IDSs são parte relevante de uma estratégia de segurança (Política de segurança como orientador) se bem distribuídos e gerenciados

Uma boa configuração de política do IDS faz toda a diferença! Planejamento futuro e cuidado em considerar todos os

elementos constituem uma boa configuração de política do IDS IDS, Forense, e outras políticas de rede/segurança precisam se

relacionar bem para serem realmente efetivas

IPS – Intrusion Prevention Systems


IPS: Intrusion Prevention Systems

Considera-se mais uma evolução do IDS do quê um novo conceito

Incorpora outros dispositivos de rede (roteadores, switches, etc.)

Definição: Consiste no uso coordenado e integrado de ferramentas

de segurança, em especial similares a IDS para prevenir ataques de modo pró-ativo Mudança de postura: Passiva Detecção Ativa Mecanismos de defesa pró-ativos Objetiva parar o tráfego ofensivo antes de causar danos


IPS: Tipos

Host IPS Instalação direta no sistema a ser protegido Conexões diretas ao núcleo para interceptar chamadas de

sistema (system calls), objetivando auditoria Não é muito propenso a atualizações (mudança de controles,

disponibilidade, etc.) Network IPS

Combina IDS, IPS e firewalls IDS in-line ou IDS de Gateway Descarta pacotes maliciosos Incapaz de competir com a velocidade de redes mais rápidas

(Gbps, por exemplo)


IPS: ExemploCliente

VMSTrendLabs

Servers

IPS SignatureUpdate Server

IPS 4200Series

Catalyst 6500IPS Blade

NM-CIDSRouter Blade

ASA 5500SSM Blade

Cisco IncidentControl Center

(CICC)

CISCO TREND MICRO

Policy (coarse filter)

Regular AVSignatures

Regular IPSSignatures

Regular IPSSignatures IPS

EngineeringSignature

Integration

IOS IPSc83x-c7xxx

Signature (fine filter)

Policy (coarse filter)

Signtaure (fine filter)

MalwareOutbreak!

Honeypots/Honeynets


Honeypot

Definição: Mecanismo de detecção de intrusão com a finalidade de

atrair crackers/hackers Não fazem nenhum tipo de prevenção Fazem uma forte avaliação e registros das táticas e

técnicas do seu invasor (quantitativa e qualitativamente) Não estão limitados a um único problema Podem servir tanto como “iscas” como coletores de dados


Classificação pelo Nível de Interação

Baixa Interatividade

Média Interatividade

Alta Interatividade


Tipos de Honeypots

Honeypots de Produção: Aumentar a segurança e mitigar os riscos

Honeypots de Pesquisa: Levantar informações sobre atividades maliciosas


Frente do Firewall Dentro da Rede InternaDentro da DMZ

Localização dos Honeypots


Ferramentas Honeypots Ferramentas de código aberto

Desenvolvidas por pesquisadores independentes, universidades e também com o auxílio de empresas

Plataforma GNU/Linux e BSD, na sua maioria Dependendo da licença podem ser modificadas e redistribuídas

Ferramentas proprietárias (EULA) Software licenciado (normalmente por IPs ou quantidade de

instalações) Normalmente possuem interfaces mais facilitadas (gráficas) Fáceis de configurar Para administradores experientes pode limitar o uso em

decorrência do código fechado e licenciamento


DTK

HONEYD

BACKOFFICE FRIENDLY

Ferramentas de Código Aberto


MANTRAP

SPECTER

KFSENSOR

Ferramentas de Proprietárias


Honeynet

Definição: Ferramenta de pesquisa com a finalidade de estudar

atacantes Consistem na construção de uma rede similar às

encontradas nas organizações Podem descobrir ataques e ameaças conhecidos ou não Requer grande quantidade de recursos e tempo para

construir, implementar e manter Qualquer tráfego enviado para uma Honeynet é suspeito Controles:

Captura de Dados Controle de Dados


Honeynets: Classificação

Honeynets clássicas: Sistemas de produção real em um ambiente controlado

Honeynets virtuais: Auto-suficientes Híbridas


VMWARE UML

Principais Ferramentas


QEMU HONEYNET DE HONEYPOTS

Principais Ferramentas (Cont.)


Projeto Honeynet.BR

Em1999 uma equipe de pesquisadores, formada por 30 profissionais da área de segurança, desenvolveu o Honeynet Project

Lance Spitzer foi, essencialmente, o principal fundador do projeto, cujo objetivo é implementar honeynets com o intuito de avaliar as informações levantadas durante o seu comprometimento, de forma a identificar as ferramentas, táticas e motivações dos atacantes


Projeto Honeynet.BR (Cont.)

Outra contribuição do Honeynet Project é a formação de uma Aliança de Pesquisa (Research Alliance): vários grupos de especialistas em segurança da informação se organizam em diferentes países para constituir grupos de estudo e avaliação de honeynets

No Brasil, o projeto Honeynet.BR é o projeto que responde pelo estudo e avaliação de honeynets a nível nacional. O Honeynet.BR é membro participante da Honeynet Research Alliance


Projeto Honeynet.BR: Distribuição


Projeto Honeynet.BR: Centralizadores

Cert.BR: Identifica atividades maliciosas e notifica os responsáveis pelas redes que estão envolvidas nestas atividades

INPE: Procura determinar as vulnerabilidades que estão sendo exploradas, as ferramentas utilizadas para efetivar os ataques e quem são os responsáveis (origem) pelos ataques que vem ocorrendo


Projeto Honeynet.BR: Topologia


Honeypot: Ferramentas

Sistema Operacional: OpenBSDFerramenta de Honeypot: Honeyd


Honeypot: OpenBSD

Sistema operacional estável e seguro que provê um ambiente controlado, capaz de suportar a interação com atividades maliciosas

Características: Segurança:

Emprego de técnicas de criptografia em várias partes do sistema

Utilizado na construção de firewalls, IDS e servidores de diversos propósitos

Código sofre um forte processo de auditoria


Características (Cont.): Portabilidade:

Garantir sua utilização em computadores pessoais e em modelos largamente utilizados

Poder: Pode ser suportado por hardware de até dez anos atrás Disponibiliza o maior espaço de processamento possível para

as aplicações dos usuários Documentação:

Preocupação com documentação específica, manuais falhos levam a sérios problemas de segurança

Manuais precisos para garantir a correta configuração do sistema operacional

Honeypot: OpenBSD (Cont.)


Características (Cont.): Corretude:

Para implementar soluções o mais corretas possíveis, os desenvolvedores do OpenBSD são guiados por padrões UNIX tais como POSIX e ANSI

Isto é respeitado para se obter como resultado final um sistema fidedigno, seguro e previsível

Código Aberto: Permite realizar alterações no código fonte Personalizar ou corrigir eventuais problemas

Honeypot: OpenBSD (Cont.)


Honeypot: Honeyd

Atua como um servidor, capaz de gerar diversas máquinas virtuais que possam ser conectadas de forma a criar uma rede virtual de computadores

Características: Configuração de serviços arbitrários através de simples arquivos

de configuração (personalidades) Atribuição de diferentes endereçamentos IP para as máquinas

pertencentes a rede virtual Simulação de topologias arbitrárias (descarte de pacotes, rotas,

latência, entre outros) Simulação de sistemas operacionais a nível de pilha TCP/IP

(Internamente trabalha como uma máquina de estados)


Características (Cont.): Virtualização de subsistemas. Possibilita:

Simular a ligação de portas de comunicação dinâmicas em um espaço de endereçamento IP virtual

Estabelecimento de conexões a partir da rede Iniciar conexões TCP e UDP dentro do espaço de

endereçamento IP virtual, entre outros Segurança. Pode ser configurado para executar com baixo

privilégio e permite a utilização de systrace Software Livre e de código aberto

Honeypot: Honeyd (Cont.)


Listeners



Listeners – Serviço Emulado Desconhecido



Não apresentam falsos positivosNão apresentam falsos positivos

Relativamente complexos de seremadministrados

Relativamente fáceis de seremAdministrados

São, essencialmente, ferramentas deAlta interatividade

Podem ter três níveis de interação

São, essencialmente, ferramentas depesquisa

Podem ser ferramentas de pesquisaou produção

Possuem mecanismos de controle dedados e alerta de eventos

Apenas arquivam as informações decomprometimento em servidores de log

Possuem mecanismos robustosde contenção como Firewalls e IDS

Não possuem mecanismosrobustos de contenção

Rede de Computadores Simulandomúltiplos serviços e Aplicações

Um único Sistema Computador simulandomúltiplos serviços e Aplicações

HoneynetsHoneypots

Comparativo: Honeypots X Honeynets


Questões Éticas

IDS reativos, a política de “olho por olho” pode ser aplicada ? De acordo com o governo: não Mas quantos fazem isso ? Provavelmente vários

Honeypots/Honeynets internos podem ser uma forma de induzir o usuário a ações indevidas ?


Leitura Recomendada:

Cert.Br: http://www.cert.br/docs/seg-adm-redes/

Norma NBR-ISO/IEC 17799. Versão 1.0

SANS.org: http://www.sans.org/resources/idfaq/ /

Stallings, Willian. Network Security Essentials. 2a Edição. Editora Prentice-Hall. 2003. Capítulo 9

SPITZNER, Lance. Honeypots: Tracking Hackers. Boston, MA/EUA. Pearson Education. 2002.

http://www.cert.br/docs/seg-adm-redes/

http://www.sans.org/resources/idfaq/

http://www.sans.org/resources/malwarefaq/

toci08–segurança em redes de computadores módulo 13: … · toci08 segurança em redes de...

Documents