Minicursoidsslidessbrc2001 1228580629507190 9

GSeg
GSeg
UFRGS
UFRGS
Sistemas de Deteco de
Intruso
Rafael Campello e Raul Weber
UFRGS II PPGC GSeg
Centro Universitrio Franciscano
Florianpolis, 23 Maio de 2001
XIX Simpsio Brasileiro de Redes de Computadores
Grupo de Segurana - UFRGS 2
GSeg
GSeg
UFRGS
UFRGS
Grupo de Segurana da UFRGS
Pesquisas
Sistemas de Deteco de Intruso (IDS)
Controle de Integridade de Arquivos
Injeo de Falhas (TCP/IP)
Votao Eletrnica
Dinheiro Digital
GSeg
GSeg
UFRGS
UFRGS
GSeg
GSeg
UFRGS
UFRGS
Objetivos do Curso
Apresentar os princpios de um sistema de
deteco de intruso e seu uso como
mecanismo de tolerncia a falhas de
segurana
Abordar aspectos conceituais
Tecer algumas consideraes prticas
GSeg
GSeg
UFRGS
UFRGS
Pblico Alvo
Estudantes de computao ou engenharia
noes de redes de computadores
noes de sistemas operacionais
Profissionais ligados administrao ou
gerncia de segurana em redes de
computadores
GSeg
GSeg
UFRGS
UFRGS
Programa
Fundamentos de segurana
Sistemas de Deteco de Intruso (IDSs)
Exemplos de IDSs
Consideraes prticas
GSeg
GSeg
UFRGS
UFRGS
Fundamentos de Segurana
Conceitos bsicos
Ameaas e ataques
Mecanismos de proteo
GSeg
GSeg
UFRGS
UFRGS
Sistemas de Deteco de Intruso
Conceitos bsicos
Mtodos de deteco de intruso
Arquiteturas de IDS
GSeg
GSeg
UFRGS
UFRGS
Exemplos de IDSs
Snort
Bro
AAFID
EMERALD
RealSecure
NFR
GSeg
GSeg
UFRGS
UFRGS
Consideraes Prticas
Seleo e implementao
Vulnerabilidades conhecidas
Aspectos legais
GSeg
GSeg
UFRGS
UFRGS
Cronograma
Fundamentos de segurana
coffee-break (10h30min 11h)
almoo (13h 14h)
Exemplos de IDS
Consideraes prticas
GSeg
GSeg
UFRGS
UFRGS
Regra nmero 1
FAA PERGUNTAS DURANTE A
APRESENTAO !!!
GSeg
GSeg
UFRGS
UFRGS
Fundamentos de Segurana
GSeg
GSeg
UFRGS
UFRGS
Segurana: introduo
No comeou como cincia nem como arte,
mas como um instinto
Maior interesse do homem, durante a sua
histria
segurana prpria, da famlia, dos bens, etc
Matria de sobrevivncia
criada naturalmente p/ garantir a sobrevivncia
das espcies
GSeg
GSeg
UFRGS
UFRGS
Segurana: introduo
A vida seria melhor sem essas
preocupaes
tranqilidade/felicidade de dcadas atrs
Paradoxo:
busca-se algo que no desejado
Principal motivo do descaso e do
despreparo
GSeg
GSeg
UFRGS
UFRGS
Segurana: introduo
Atitude mais cmoda e barata:
torcer para que nada acontea
semelhante a esperar que sua casa no seja
roubada
Atitude correta:
cercar-se de cuidados
preparar-se para lidar com os problemas
analogia: colocar um alarme e fazer um seguro
da casa
GSeg
GSeg
UFRGS
UFRGS
Segurana: introduo
Por que ser negligente?
segurana custo
segurana perda na facilidade de uso
valor da informao, da reputao e dos
servios da organizao no so levados em
considerao
Em suma:
custos com importncia maximizada...
...em detrimento de valores mais importantes
GSeg
GSeg
UFRGS
UFRGS
Segurana: evoluo
Estmulo para o desenvolvimento do
computador eletrnico
Dcada de 40
Colossus (Primeiro Computador Eletrnico)
Decifrar as mensagens na 2 Guerra Mundial
GSeg
GSeg
UFRGS
UFRGS
Segurana: evoluo
Fim da guerra: preocupaes com
segurana focadas em problemas fsicos
Computadores no possibilitavam o acesso
direto a seus usurios
Inviabiliza qualquer tipo de ao contra sua
segurana.
GSeg
GSeg
UFRGS
UFRGS
Segurana: evoluo
Novas ameaas
mquinas com acesso compartilhado (time-
sharing)
Teleprocessamento
Computadores pessoais
Redes
GSeg
GSeg
UFRGS
UFRGS
Ameaas: exemplos
Destruio de informao ou de outro
recurso
Modificao ou deturpao da informao
Roubo, remoo ou perda de informao
Revelao de informao
Interrupo de servios
GSeg
GSeg
UFRGS
UFRGS
Atacantes
Hacker/Cracker
Script Kid, One-click hacker
Espio
Terrorista
Atacante corporativo
Vndalo
Voyeur
Mitnick
Bart Simpson
GSeg
GSeg
UFRGS
UFRGS
Ameaas: evoluo
Dcada de 80 - ataques individuais e
isolados
Escolha de boas senhas
Prevenir o compartilhamento indiscriminado
Eliminar os bugs de segurana de programas
GSeg
GSeg
UFRGS
UFRGS
Ameaas: evoluo
Dcada de 90 - ataques sofisticados
Sniffers capturam senhas e outras informaes
Computadores so confundidos por IP
spoofing
Sesses so desviadas atravs de connection
hijacking
Dados so comprometidos via data spoofing
Atacantes na maioria amadores (One-click
hacker, Script Kid)
GSeg
GSeg
UFRGS
UFRGS
Segurana: conceitos
Tentativa de minimizar a vulnerabilidade
de bens e recursos
Mais abrangente: dotar os sistemas de:
confiabilidade integridade
disponibilidade autenticidade
privacidade
GSeg
GSeg
UFRGS
UFRGS
Segurana: conceitos
O que se quer proteger?
confiabilidade
disponibilidade
integridade
privacidade
autenticidade
GSeg
GSeg
UFRGS
UFRGS
Segurana: conceitos
Dependability
Meios
De validao
De realizao
Preveno
de falhas
Tolerncia a
falhas
Remoo de
falhas
Previso de
falhas
Deteco de erros
Confinamento e
avaliao de danos
Recuperao de erros
Tratamento de
falhas
Atributos
Confiabilidade
Disponibilidade
.
.
.
Falhas
Humanas
Interao
Projeto
Intermitentes
Transitrias
Intencionais
No intencionais
Fsicas
Temporrias
Permanentes
Dependability
Meios
De validao
De realizao
Preveno
de falhas
Tolerncia a
falhas
Remoo de
falhas
Previso de
falhas
Deteco de erros
Confinamento e
avaliao de danos
Recuperao de erros
Tratamento de
falhas
Atributos
Confiabilidade
Disponibilidade
.
.
.
GSeg
GSeg
UFRGS
UFRGS
Segurana: conceitos
Validao
remoo de falhas
previso de falhas
Preveno de falhas
Tolerncia a falhas
deteco de erros
confinamento e avaliao de danos
recuperao de erros
tratamento de falhas
GSeg
GSeg
UFRGS
UFRGS
Segurana: conceitos
Preveno de falhas
ex.: firewalls, criptografia, etc
Deteco de falhas
ex.: sistemas de deteco de intruso
Resposta
ex.: reconfigurao de um firewall
GSeg
GSeg
UFRGS
UFRGS
Exemplo 1: propriedade privada
Preveno
trancas em portas, grades nas janelas, muros
ao redor da propriedade
Deteco
perceber o desaparecimento de algum objeto,
usar alarmes e circuitos de TV
Reao
chamar a polcia, reaver objetos roubados,
acionar o seguro
GSeg
GSeg
UFRGS
UFRGS
Exemplo 2: redes
Preveno
gerenciamento adequado, firewalls, proxies
Deteco
perceber anomalias no trfego ou interrupo
de servios, auditoria, IDS
Reao
relatar o incidente, reinstalar softwares,
redefinir polticas de segurana, demitir o
responsvel
GSeg
GSeg
UFRGS
UFRGS
Segurana: conceitos
Ameaa
Incidente
atacante ataque objetivo
Ataque
ferramenta vulnerabilidade evento
resultado no autorizado
Evento
ao alvo
GSeg
GSeg
UFRGS
UFRGS
Segurana: conceitos
Hacker
Espio
Terrorista
Atacante
Corporativo
Criminoso
Profissional
Vndalo
Voyeur
Atacantes
Ataque
fsico
Troca de
Informao
Comando
de Usurio
Script ou
Programa
Agente
Autnomo
Toolkit
Ferramenta
Distribuda
Ferramenta
Intercepta
o de dados
Projeto
Implementao
Configurao
Vulnerabilidade
Probe
Varredura
Flood
Autenticao
Desvio
Spoof
Leitura
Ao
Cpia
Conta
Processo
Dado
Componente
Computador
Rede
Inter-rede
Alvo
Acesso
Ampliado
Revelao de
Informao
Informao
Corrompida
Negao de
Servio
Roubo de
Recursos
Resultado
Autorizado
Desafio,
status
Ganho
Poltico
Ganho
Financeiro
Dano
Objetivos
Roubo
Modificao
Destruio
evento
ataque(s)
incidente
GSeg
GSeg
UFRGS
UFRGS
Principais Ataques
Engenharia social
Coleta de informao
Varredura
Negao de servio (DoS)
Explorao de bugs
Explorao de protocolos
Sniffers
Ataque do dicionrio
Cdigo malicioso
GSeg
GSeg
UFRGS
UFRGS
Engenharia Social
Mtodo: enganar as vtimas, por conversa,
telefone ou correio eletrnico
Objetivos:
obter informaes valiosas
obter privilgios
convencer a vtima a executar aes indevidas
e perigosas
GSeg
GSeg
UFRGS
UFRGS
Engenharia Social
Preveno: educao e conscientizao
no fornecer informaes a estranhos
exigir identificao
escolher boas senhas
no executar aes sem pensar (como executar
um programa anexo uma mensagem)
GSeg
GSeg
UFRGS
UFRGS
Coleta de Informao
Informaes teis (ao atacante)
domnio e servidores (whois e nslookup)
nmeros IP (nslookup e traceroute)
arquitetura das mquinas (CPU, sistema
operacional)
servidores (verses e plataforma)
servios de proteo (firewall, VPNs, ACL)
acesso remoto (telefones, usurios
autorizados)
usurios (nomes, cargos, funes)
GSeg
GSeg
UFRGS
UFRGS
Coleta de Informao
Problema: algumas informaes devem ser
pblicas
Preveno: evitar o fornecimento de informao
desnecessria
Toda a informao vital para operao deve ser
obviamente fornecida, mas qualquer informao
adicional deve ser suprimida
GSeg
GSeg
UFRGS
UFRGS
Varredura (Scanning)
Teste sistemtico dos nmeros IP de uma
organizao
Determinao dos servios esto ativos
(quais portas esto escutando)
Preveno: limitar o trfego desnecessrio
(filtro de pacotes ou firewall)
GSeg
GSeg
UFRGS
UFRGS
Negao de Servio
DoS ou denial-of-service
Objetivo: impedir o uso legtimo do
sistema, ou derrubar a mquina
Inmeras formas
ping of death
syn flood
smurf attack
UDP flood
GSeg
GSeg
UFRGS
UFRGS
Negao de Servio
Impedir DoS quase impossvel
Distribuir os servios para a maioria
permanecer operacional
Manter-se atualizado sobre as
vulnerabilidades apresentadas pela verso
atual do sistema
GSeg
GSeg
UFRGS
UFRGS
Explorao de bugs
Explorar furos de implementao para
obter privilgios
Preveno (em programas prprios)
boas prticas de engenharia de software
verificar erros comuns (estouros de buffers)
verificar as entradas
lei do menor privilgio
GSeg
GSeg
UFRGS
UFRGS
Buffer Overflow
func_1()
{
int a, b;
func_2();
}
a, b
c, d
func_2()
{
int c, d;
func_3();
}
end da func 1
buf
func_3()
{
char buf[100];
read_user_input(buf);
}
end da func 2
evil_assembly_code()
end do buf
GSeg
GSeg
UFRGS
UFRGS
Explorao de bugs
Preveno (em programas de terceiros)
verificar vulnerabilidades conhecidas
aplicar os patches disponveis
manter-se informado e atualizado
Nenhum sistema seguro
Nenhum patch perfeito
Mas a maioria dos atacantes s sabe
explorar bugs, e no cri-los
GSeg
GSeg
UFRGS
UFRGS
Explorao de Protocolos
Muitos so derivados de falhas no
mecanismo de autenticao
IP spoofing: utilizar um endereo IP confivel
DNS spoofing: subverter o servidor de nomes
Source Routing: utilizar os mecanismos de
roteamento
Ataque RIP: enviar informaes de
roteamento falsas
Ataque ICMP: explorar msgs como redirect e
destination unreachable
GSeg
GSeg
UFRGS
UFRGS
Sniffer
sniffing - interface de rede que opera modo
promscuo, capturando todos os pacotes
fcil para um programa sniffer obter
username e password dos usurios
Utilizao de sniffer difcil de ser
detectada
GSeg
GSeg
UFRGS
UFRGS
Ataque do Dicionrio
Um dos arquivos mais cobiados por
atacantes o de senhas
Unix: /etc/passwd
Windows: *.pwl
Windows NT: SAM
Senhas cifradas
GSeg
GSeg
UFRGS
UFRGS
Ataque do Dicionrio
Pessoas utilizam senhas facilmente
memorizveis, como nomes prprios ou
palavras de uso corriqueiro
Atacante compe um dicionrio e
experimenta todas as palavras deste
dicionrio contra a cifra armazenada no
arquivo de senhas
GSeg
GSeg
UFRGS
UFRGS
Ataque do Dicionrio
Vrios programas disponveis (Crack, etc)
Ao preventiva: atacar o prprio arquivo de
senhas
No utilizar senhas derivadas de palavras e
nomes
Utilizar letras iniciais de frases ou palavras com
erros
GSeg
GSeg
UFRGS
UFRGS
Cdigo Malicioso
Cavalos de Tria (no se propagam)
falsa tela de Login
falsa Operao
Vrus
Backdoors
Controle Remoto (Netbus, Back Orifice)
GSeg
GSeg
UFRGS
UFRGS
Cdigo Malicioso
Preveno: Monitores
Impossvel tratamento exato e confivel
Manter anti-vrus atualizado
Preparar procedimento de emergncia
GSeg
GSeg
UFRGS
UFRGS
Segurana: tipos
Nenhuma segurana
Segurana por obscuridade
Segurana baseada em mquina
Segurana baseada em rede
Combinao de mecanismos
GSeg
GSeg
UFRGS
UFRGS
Segurana: estratgias
Atribuir privilgios mnimos
Criar redundncia de mecanismos
Criar ponto nico de acesso
Determinar os pontos mais fracos
Tornar o sistema livre de falhas (fail-safe)
Incentivar a participao universal
Investir na diversidade de defesa
Prezar a simplicidade
GSeg
GSeg
UFRGS
UFRGS
Segurana: posturas
Postura padro de negao (prudente)
especificar o que permitido
proibir o resto
Postura padro de permisso (permissiva)
especificar o que proibido
permitir o resto
GSeg
GSeg
UFRGS
UFRGS
Medidas de segurana
O que se est querendo proteger?
O que preciso para proteger?
Qual a probabilidade de um ataque?
Qual o prejuzo se o ataque for bem
sucedido?
Implementar procedimentos de segurana
ir ser vantajoso no ponto de vista custo-
benefcio?
GSeg
GSeg
UFRGS
UFRGS
Poltica de segurana
Conjunto de leis regras e prticas que
regulam (informaes e recursos):
como gerenciar
como proteger
como distribuir
Sistema seguro = sistema que garante o
cumprimento da poltica de segurana
traada
GSeg
GSeg
UFRGS
UFRGS
Poltica de segurana
Define o que e o que no permitido no
sistema
Define o comportamento autorizado para
os indivduos que interagem com o sistema
GSeg
GSeg
UFRGS
UFRGS
Mecanismos para segurana
Wrappers
Firewalls
Criptografia
Redes Privadas (VPNs)
Ferramentas de verificao
GSeg
GSeg
UFRGS
UFRGS
Wrapers
TCP Wrappers so um conjunto de
programas que encapsulam os daemons
dos servios de rede visando aumentar sua
segurana
Funcionam como um filtro e estendem o
servio original
GSeg
GSeg
UFRGS
UFRGS
Wrapers
O wrapper no pode ser considerado uma
ferramenta para segurana total
Visa suprir deficincias dos servidores
atuais e aumentar o controle sobre sua
utilizao
tima ferramenta para registro (log)
GSeg
GSeg
UFRGS
UFRGS
Firewalls
Conjunto de componentes colocados entre
duas redes e que coletivamente
implementam uma barreira de segurana
Finalidade
retardar os efeitos de um ataque at que
medidas administrativas contrrias sejam
executadas
GSeg
GSeg
UFRGS
UFRGS
Firewalls
Objetivo bsico
defender a organizao de ataques externos
Efeito secundrio
pode ser utilizado para regular o uso de
recursos externos pelos usurios internos
GSeg
GSeg
UFRGS
UFRGS
Firewalls
DMZ
Internet
Rede interna
GSeg
GSeg
UFRGS
UFRGS
Firewalls
Pode ser implementado utilizando dois
mecanismos bsicos:
filtragem de pacotes
anlise dos pacotes que passam pelo firewall
servidores proxy
anlise dos servios sendo utilizados
GSeg
GSeg
UFRGS
UFRGS
Criptografia
No existe sistema absolutamente seguro
Toda criptografia pode ser quebrada
Complexidade temporal
Complexidade econmica
Segurana computacional
GSeg
GSeg
UFRGS
UFRGS
Criptografia de chave nica
nica
Esta mensagem
secreta, pois
contm dados da
mais alta
importncia para
a nossa empresa.
fsdfsdgfdghdgkdhf
gkdshgksdfghkdsh
gfksdfghkfdsgiuer
bdhbkdbskfbhkbsl
dbhdfskbhdksfbhk
dbhdbfkhsdkbhdfk
fsdfsdgfdghdgkdhf
gkdshgksdfghkdsh
gfksdfghkfdsgiuer
bdhbkdbskfbhkbsl
dbhdfskbhdksfbhk
dbhdbfkhsdkbhdfk
CIFRAGEM
Esta mensagem
secreta, pois
contm dados da
mais alta
importncia para
a nossa empresa.
DECIFRAGEM TRANSMISSO
Alice Bob
nica
GSeg
GSeg
UFRGS
UFRGS
Criptografia de chave nica
nica chave para cifragem e decifragem
Substituio, permutao, operaes
algbricas
Alta velocidade
Problemas na distribuio de chaves
GSeg
GSeg
UFRGS
UFRGS
Criptografia de chave pblica
Pub Pub Priv
Esta mensagem
secreta, pois
contm dados da
mais alta
importncia para
a nossa empresa.
fsdfsdgfdghdgkdhf
gkdshgksdfghkdsh
gfksdfghkfdsgiuer
bdhbkdbskfbhkbsl
dbhdfskbhdksfbhk
dbhdbfkhsdkbhdfk
fsdfsdgfdghdgkdhf
gkdshgksdfghkdsh
gfksdfghkfdsgiuer
bdhbkdbskfbhkbsl
dbhdfskbhdksfbhk
dbhdbfkhsdkbhdfk
CIFRAGEM
Esta mensagem
secreta, pois
contm dados da
mais alta
importncia para
a nossa empresa.
DECIFRAGEM TRANSMISSO
Alice Bob
GSeg
GSeg
UFRGS
UFRGS
Duas chaves: uma pblica e outra secreta
Cifragem com uma chave somente
decifrada com a outra chave
GSeg
GSeg
UFRGS
UFRGS
Privacidade: cifrar com chave pblica;
somente chave secreta pode decifrar
Assinatura: cifrar com chave secreta; chave
pblica decifra e identifica usurio
GSeg
GSeg
UFRGS
UFRGS
Criptografia + Assinatura
Fsdjfljgljdlgjdlgjldgjld
jgldjgldjfgljdfljlvbkjn;
x923q8508hugdkbn
msbn5y9[6590mnkp
mjfw44n50b0okythp;
jguent039oktrpgerjh
gwunpt058bngnwug0
9u6buyhjoireueyu84
8ybnuyue98
Pub
Bob
Pub Priv
Esta mensagem
secreta, pois
contm dados da
mais alta
importncia para
a nossa empresa.
h25c924fed23
Pub Priv
Alice
Pub
Fsdjfljgljdlgjdlgjldgjld
jgldjgldjfgljdfljlvbkjn;
x923q8508hugdkbn
msbn5y9[6590mnkp
mjfw44n50b0okythp;
jguent039oktrpgerjh
gwunpt058bngnwug0
9u6buyhjoireueyu84
8ybnuyue98
Esta mensagem
secreta, pois
contm dados da
mais alta
importncia para
a nossa empresa.
4932uvf9vbd8bbfgbfg 4932uvf9vbd8bbfgbfg h25c924fed23
GSeg
GSeg
UFRGS
UFRGS
Operao: funes aritmticas complexas
Baixa velocidade, fcil distribuio de
chaves
Exemplos: RSA, DSS, DH, El Gamal (512
a 2048 bits)
GSeg
GSeg
UFRGS
UFRGS
Ferramentas de Anlise
COPS (Computer Oracle and Password
Program)
SATAN (Security Analysis Tool for
Auditing Network)
ISS (Internet Security Scanner)
SAINT (Security Administrators
Integrated Network Tool)
Nessus (um dos mais atuais)
GSeg
GSeg
UFRGS
UFRGS
Verificadores de Integridade
Verificar se arquivos e configuraes
permanecem inalterados
Compara a situao atual com a situao inicial
Utiliza funes de checksum e hash
Hash a nvel criptogrfico: MD5, SHA
Exemplo: Tripwire, Soffic (UFRGS)
GSeg
GSeg
UFRGS
UFRGS
Verificadores de Senhas
Verificar se uma senha pode ser quebrada
Exemplo: Crack
Verificar se uma senha fcil
Exemplos: npasswd, passwd+
GSeg
GSeg
UFRGS
UFRGS
Analisadores de Logs
Facilitar a anlise de arquivos de logs
Realizar logs mais detalhados (alm de um grep)
Exemplos:
Swatch (Simple Watcher)
Netlog
LogSurfer
GSeg
GSeg
UFRGS
UFRGS
Segurana (resumindo)
Segurana um atributo negativo
fcil detectar pontos inseguros
difcil (impossvel ?!?) provar segurana
Segurana por obscuridade no
segurana
no adianta se esconder
no adianta ser otimista
esteja preparado
GSeg
GSeg
UFRGS
UFRGS
Segurana (resumindo)
Segurana um atributo global
envolve vrios componentes do sistema
envolve vrios mecanismos
analogia: poucos confiam apenas nas trancas
de seus carros
Falsa sensao de segurana pode ser pior
do que a falta de cuidados
GSeg
GSeg
UFRGS
UFRGS
Sistemas de Deteco de
Intruso
GSeg
GSeg
UFRGS
UFRGS
Nmero crescente de ataques/incidentes
132
252
406
773
1334
2340 2412
2573
2134
3734
9859
21756
0
5000
10000
15000
20000
25000
1
9
8
9
1
9
9
0
1
9
9
1
1
9
9
2
1
9
9
3
1
9
9
4
1
9
9
5
1
9
9
6
1
9
9
7
1
9
9
8
1
9
9
9
2
0
0
0
I
n
c
i
d
e
n
t
e
s

R
e
p
o
r
t
a
d
o
s
Complexidade crescente
Ferramentas de ataque cada vez mais
eficientes
Tempos de recuperao proibitivos
GSeg
GSeg
UFRGS
UFRGS
Preveno no suficiente
Importncia da diversidade de defesa
Soluo: Deteco de Intruso
garantir comportamento livre de falhas
GSeg
GSeg
UFRGS
UFRGS
Deteco de intruso:
tarefa de coletar e analisar eventos, buscando
sinais de intruso e de mau-uso
Intruso:
uso inapropriado de um sistema de informao
aes tomadas para comprometer a
privacidade, integridade ou a disponibilidade
GSeg
GSeg
UFRGS
UFRGS
Deteco de intruso X deteco de ataque
intruso: ao j concretizada
ataque: ao maliciosa que gera um resultado
no autorizado
Reao?
GSeg
GSeg
UFRGS
UFRGS
IDS X Auditoria
Ferramentas de auditoria
preveno
confinamento e avaliao de danos
tratamento de falhas
Analogia: consultores e/ou peritos criminais
IDSs
deteco
analogia: vigia noturno
GSeg
GSeg
UFRGS
UFRGS
IDS: classificao
Segundo os mtodos de deteco usados
Segundo a arquitetura adotada
alvo
localizao
GSeg
GSeg
UFRGS
UFRGS
IDS: classificao
Segundo o mtodo de deteco
baseado em comportamento
baseado em assinaturas
Segundo a arquitetura
alvo
baseado em rede
baseado em host
hbrido
localizao
centralizado
hierrquico
distribudo
GSeg
GSeg
UFRGS
UFRGS
IDS: classificao
IDS
Arquitetura
Comportam.
ps-deteco
Freqncia de
uso
Mtodo de
Deteco
Baseado em
Comportamento
Baseado em
Assinaturas
Passivo
Ativo
Monitoramento
contnuo
Anlise peridica
Segundo o alvo
Segundo a
localizao
Centralizado
Hierrquico
Distribudo
Baseado em Rede
Baseado em Host
Hbrido
GSeg
GSeg
UFRGS
UFRGS
IDS: histrico
Conceito surgido no incio dos anos 80
1 Gerao
registros de auditoria eram processados offline
surgimento dos mtodos baseados em
comportamento e em assinaturas
2 Gerao
processamento estatisticamente + sofisticado
mais medidas de comportamento monitoradas
alertas em tempo real tornaram-se possveis
GSeg
GSeg
UFRGS
UFRGS
IDS: histrico
3 Gerao
uso dos conceitos anteriores para sistemas em
rede/sistemas distribudos
uso de novas tcnicas para deteco (sistemas
especialistas, redes neurais, data mining, etc)
surgimento dos primeiros IDSs comerciais
GSeg
GSeg
UFRGS
UFRGS
IDS: estrutura
Componentes funcionalmente semelhantes
independente da arquitetura/mtodo adotados
Muitas vezes agrupados
Modularidade importante na aplicao e no
desenvolvimento de novos IDS
GSeg
GSeg
UFRGS
UFRGS
IDS: componentes
Geradores de eventos
Analisadores de eventos
Bases de dados de eventos
Unidades de resposta
GSeg
GSeg
UFRGS
UFRGS
IDS: padronizao
CIDF (Common Intrusion Detection
Framework)
IDWG (Intrusion Detection Working
Group)
GSeg
GSeg
UFRGS
UFRGS
IDS: IDWG
IDS
Origem dos
Dados
Sensor
Analisador
Operador
Gerente Administrador
Atividade
Evento
Alerta
Poltica de
Segurana
Notificao
Resposta
GSeg
GSeg
UFRGS
UFRGS
IDS: mtodos de deteco
Responsveis diretos na busca por indcios
de intruso
Dois grandes grupos:
tcnicas baseadas em comportamento
tcnicas baseadas em assinaturas
GSeg
GSeg
UFRGS
UFRGS
IDS: baseado em comportamento
Deteco por anomalia
Caracteriza o comportamento do sistema
em normal e anmalo
Habilidade de distinguir o comportamento
normal de um anmalo
Anmalo Normal
Intruso Comportamento
Normal
GSeg
GSeg
UFRGS
UFRGS
IDS: baseado em comportamento
Compara o estado atual do sistema com o
comportamento considerado normal
Desvios so considerados intruses
Ex.: conexes externas em horrios
incomuns, padro de digitao
Outros exemplos ???
GSeg
GSeg
UFRGS
UFRGS
IDS: baseado em assinaturas
Tambm chamada de deteco por mau uso
Divide as aes do sistema em aceitveis e
no aceitveis
Habilidade de encontrar tentativas de
explorao de vulnerabilidades conhecidas
No aceitvel Aceitvel
Intruso Ao
Normal
GSeg
GSeg
UFRGS
UFRGS
IDS: baseado em assinaturas
Compara as aes realizadas no sistema
com uma base de assinaturas de ataques
Ex.: cpia do arquivo de senhas
(/etc/passwd)
Outros exemplos ???
GSeg
GSeg
UFRGS
UFRGS
IDS: arquiteturas
Diretamente ligado ao desempenho
Segundo o alvo
baseado em rede
baseado em host
hbrido
Segundo a localizao
centralizado
hierrquico
distribudo
GSeg
GSeg
UFRGS
UFRGS
IDS: rede
Dados analisados so retirados da rede
Deteco de ataques relacionados ao
trfego de rede
Ex: captura de pacotes, estatsticas de
trfego
Outros exemplos ???
GSeg
GSeg
UFRGS
UFRGS
IDS: host
Dados obtidos na prpria mquina
Deteco de ataques relacionados a aes
locais
Ex: trilhas de auditoria, cpias de arquivos
IDSs baseados em aplicao: outra classe
GSeg
GSeg
UFRGS
UFRGS
IDS: nveis
IDS baseado em rede
IDS baseado em host
IDS baseado em aplicao
Nvel de
abstrao
GSeg
GSeg
UFRGS
UFRGS
IDS: centralizado
Funo como coleta, anlise e gerncia em
um nico componente
Coletor
Analisador
Gerente
Mquina A
Coletor
Analisador
Gerente
Mquina B
Coletor
Analisador
Gerente
Mquina C
GSeg
GSeg
UFRGS
UFRGS
IDS: hierrquico
Funes distribudas mas com fortes
relaes de hierarquia
Analisador
Mquina B
Coletor
Mquina C
Coletor
Mquina D
Coletor
Mquina E
Gerente
Mquina A
GSeg
GSeg
UFRGS
UFRGS
IDS: distribudo
Funes livremente distribudas
Analisador
Mquina B
Analisador
Mquina C
Coletor
Mquina D
Coletor
Mquina E
Gerente
Mquina A
GSeg
GSeg
UFRGS
UFRGS
Mtodos de Deteco
GSeg
GSeg
UFRGS
UFRGS
Mtodos Tradicionais
Busca manual por indcios de intruso
Realizada h bastante tempo (emprica)
Tcnicas de auditoria de sistemas
Tcnicas de gerncia de redes
GSeg
GSeg
UFRGS
UFRGS
Mtodos Tradicionais
Anlise de trilhas de auditoria
registrar principais eventos
selecionar eventos importantes
buscar por indcios de intruso (offline)
Problemas
manipulao de grandes qtdes de informao
tamanho das trilhas (armazenamento)
dificuldade de correlao de eventos
GSeg
GSeg
UFRGS
UFRGS
Mtodos Tradicionais
Anlise de dados de gerncia de redes
uso de padres como SNMP e RMON
captura de pacotes (TCPdump, Ethereal)
buscar por indcios de intruso (trfego
estranho, pacotes mau formados)
Problemas
manipulao de grandes qtdes de informao
grande experincia em redes
baixa eficincia
GSeg
GSeg
UFRGS
UFRGS
Anlise por assinaturas
Mtodo muito utilizado
Dificuldade: correlacionar dados coletados
com as assinaturas existentes
Principais tcnicas:
Filtros de pacotes
Sistemas especialistas
Redes de Petri
GSeg
GSeg
UFRGS
UFRGS
Vantagens
baixo n de falsos positivos
adoo de contra-medidas imediatas
reduo na quantidade de informao tratada
melhor desempenho
GSeg
GSeg
UFRGS
UFRGS
Desvantagens
deteco s para ataques conhecidos
dificuldade de manuteno
base de assinaturas pode ser usada em novos
ataques
difcil deteco de abusos de privilgios
GSeg
GSeg
UFRGS
UFRGS
Anlise por comportamento
Comportamento esttico X dinmico
Dificuldade: estabelecer comportamento
padro
Principais tcnicas:
anlise estatstica
sistemas especialistas
GSeg
GSeg
UFRGS
UFRGS
Vantagens
deteco de ataques desconhecidos
usado na criao de novas bases de assinaturas
esforo de manuteno reduzido
menos dependente de plataforma
facilita a deteco de abusos de privilgios
GSeg
GSeg
UFRGS
UFRGS
Desvantagens
dificuldade de configurao
maior n de falsos positivos
relatrios de difcil anlise
menor desempenho (clculos complexos)
dificuldade de lidar com mudanas normais de
comportamento
GSeg
GSeg
UFRGS
UFRGS
Mtodos Avanados
Estudo de novas formas de anlise
Complexos
Desempenho reduzido
Implantao e manuteno dificultadas
Incipientes e no aplicados em larga escala
GSeg
GSeg
UFRGS
UFRGS
Mtodos Avanados
Redes neurais
dificuldades no treinamento da rede
mais usado na deteco de anomalias
Sistema imunolgico
determinar o que pertence ao sistema
procurar corpos estranhos
Ex.: seqncias de chamadas de sistema
Data minning e recuperao de informao
GSeg
GSeg
UFRGS
UFRGS
Arquiteturas
GSeg
GSeg
UFRGS
UFRGS
Baseada em Host
Precursora em IDS
Permite determinar as operaes
desencadeadas no sistema
Informaes como:
trilhas de auditoria
carga de CPU
programas executados
integridade de arquivos
GSeg
GSeg
UFRGS
UFRGS
Baseada em Host
Vantagens
independncia de rede
deteco de ataques internos / abusos de
privilgios
maior capacidade de confinamento/avaliao
de danos e de recuperao de erros
GSeg
GSeg
UFRGS
UFRGS
Baseada em Host
Desvantagens
dificuldade de instalao
dificuldade de manuteno
ataques ao prprio IDS
dificuldade de tratar ataques de rede
interferncia no desempenho do sistema
dependncia de plataforma
GSeg
GSeg
UFRGS
UFRGS
Baseada em Rede
Tratar ataques prpria rede
Permite determinar as operaes
desencadeadas atravs da rede
Informaes como:
pacotes de rede (cabealhos e dados)
estatsticas de trfego
SNMP
GSeg
GSeg
UFRGS
UFRGS
Baseada em Rede
Vantagens
deteco de ataques externos
facilidade de instalao
facilidade de manuteno
interferncia mnima (nula) no desempenho
independncia de plataforma
GSeg
GSeg
UFRGS
UFRGS
Baseada em Rede
Desvantagens
tratamento de redes de alta velocidade
dependncia de rede
dificuldade de reao
GSeg
GSeg
UFRGS
UFRGS
Centralizado
Precursor em IDS
Vantagens
simplicidade
interferncia mnima (nula) na rede
imunidade a problemas de autenticidade
Desvantagens
ponto nico de falha
instalao/manuteno em grandes redes
crescimento modular dificultado
GSeg
GSeg
UFRGS
UFRGS
Distribudo
Vantagens
robustez
crescimento modular
distribuio de tarefas
abrangncia de deteco
Desvantagens
complexidade
interferncia no desempenho da rede
necessidade de autenticao
GSeg
GSeg
UFRGS
UFRGS
Hierrquico
Fortes relaes de subordinao
Maior facilidade de desenvolvimento
Pontos nicos de falha
GSeg
GSeg
UFRGS
UFRGS
Solues Hbridas
Mesclar solues
Aproveitar vantagens de cada abordagem
Equilibrar necessidades e proibies
GSeg
GSeg
UFRGS
UFRGS
Exemplos de IDSs
GSeg
GSeg
UFRGS
UFRGS
Snort
Um dos mais utilizados no momento
Arquitetura centralizada
Dados coletados na rede
Anlise baseada em assinaturas
GSeg
GSeg
UFRGS
UFRGS
Snort
Simplicidade e eficincia
Base com milhares de assinaturas
Plataforma UNIX ou Windows
Distribuio livre (www.snort.org)
GSeg
GSeg
UFRGS
UFRGS
Snort
Captura de pacotes de rede (libpcap)
uso de regras de filtragem (TCPdump)
Analisador simples
baseado em regras
trata cabealhos e dados
Aes: registrar, alertar ou descartar
GSeg
GSeg
UFRGS
UFRGS
Snort: regras
1 parte: ao a ser tomada
log, alert ou pass
2 parte: padro procurado
cabealho ou contedo
alert TCP $HOME_NET 146 -> !$HOME_NET 1024: (msg:"IDS315 - BACKDOOR-
ACTIVITY - Infector.1.x"; content: "WHATISIT"; )
alert TCP $HOME_NET 21 -> !$HOME_NET any (msg:"FTP-NT-bad-login";
content: "Login failed."; )
GSeg
GSeg
UFRGS
UFRGS
Snort
Pr-processadores (v 1.5)
cdigo executado antes da anlise
portscan, eliminao de caracteres, etc
Mdulos de sada (v 1.6)
cdigo executado quando um alerta ou registro
feito (aps a anlise)
syslog, postgresql, reao, etc
GSeg
GSeg
UFRGS
UFRGS
Bro
Desenvolvido pelo Lawrence Berkeley
National Laboratory
Arquitetura centralizada
GSeg
GSeg
UFRGS
UFRGS
Bro
Utiliza scripts
Base com poucas assinaturas
Implementaes em DecUnix, FreeBSD,
Solaris, SunOS e Linux
Distribuio livre (www-nrg.ee.lbl.gov)
GSeg
GSeg
UFRGS
UFRGS
Bro: estrutura
Rede
libpcap
Mquina de eventos
Interpretador de scripts
Alerta
Fluxo de pacotes
Fluxo de pacotes filtrados
Fluxo de eventos
Script de polticas
Controle de eventos
Filtro TCPdump
GSeg
GSeg
UFRGS
UFRGS
Bro: filtros
Scripts semelhantes linguagem C
event finger_request(c:connection, request: string, full: bool)
{
if ( request in hot_names )
++c$hot;

if ( c$hot > 0 )
log fmt("finger: %s", msg);
print finger_log, fmt("%.6f %s", c$start_time, msg);
c$addl = c$addl == "" ? req : fmt("*%s, %s", c$addl, req);
}
GSeg
GSeg
UFRGS
UFRGS
AAFID
Autonomous Agents for Intrusion Detection
Desenvolvido pelo CERIAS
Arquitetura hierrquica
Dados coletados na rede e no host
Anlise de acordo com os agentes
GSeg
GSeg
UFRGS
UFRGS
AAFID: componentes
a
a
a
a
a
a
a
a
a
M
M
Interface
T
T
T
T
M
a
Transceiver
Monitor
Agente
Fluxo de
Controle
Fluxo de
Dados
GSeg
GSeg
UFRGS
UFRGS
AAFID
Escrito em Perl
fcil migrao
Pseudo-linguagem (AAS) para
especificao de agentes
Componentes de execuo independente
Monitores usam execuo remota (ssh)
GSeg
GSeg
UFRGS
UFRGS
EMERALD
Event Monitoring Enabling Response to
Anomalous Live Disturbance)
Desenvolvido pela SRI International
Arquitetura distribuda
Dados coletados no host e na rede
GSeg
GSeg
UFRGS
UFRGS
EMERALD
Anlise baseada em conhecimento e em
assinaturas
Projeto sucessor do IDES e NIDES
Projetado para redes de larga escala
Conceito de monitores/domnios
GSeg
GSeg
UFRGS
UFRGS
EMERALD: domnios
Monitor de Servio Monitor de Servio Monitor de Servio Monitor de Servio
Monitor de Domnio Monitor de Domnio
Monitor de Organizao
Domnio A Domnio B
GSeg
GSeg
UFRGS
UFRGS
EMERALD: monitor
A
P
I
API do Monitor
Recursos para o
sistema alvo
API do Monitor
Elemento de
deciso
Analisador por
assinaturas
Analisador por
comportamento
A
P
I
Outros monitores Sistema alvo
GSeg
GSeg
UFRGS
UFRGS
EMERALD
Modularidade
Independncia de alvo
Correlao de alertas
Possvel integrao com outros
mecanismos
GSeg
GSeg
UFRGS
UFRGS
RealSecure
Desenvolvido pela ISS (Internet Security
System)
Grande aceitao no mercado
Arquitetura hierrquica
Dados coletados na rede e no host
GSeg
GSeg
UFRGS
UFRGS
RealSecure
Sensores
rede
host
servidor
plataformas: WinNT, AIX, Solaris, HP-UX
Console
master controller ou no
plataforma: WinNT
GSeg
GSeg
UFRGS
UFRGS
RealSecure
Polticas aplicadas atravs dos consoles
Possvel autenticao entre
sensores/consoles
Reao
firecell signatures (firewall local)
reconfigurao de firewalls
encerramento de sesso
etc
GSeg
GSeg
UFRGS
UFRGS
RealSecure
Permite a criao de scripts Tcl associados
a assinaturas (SecureLogic)
Permite a definio de assinaturas do
usurio
Permite a criao de filtros
GSeg
GSeg
UFRGS
UFRGS
NFR
Network Flight Recorder
Desenvolvida por Marcus Ranum (NFR
Security)
Ferramenta para anlise de trfego e
posterior registro
Verso comercial (completa) e de domnio
pblico (reduzida)
GSeg
GSeg
UFRGS
UFRGS
NFR
Arquitetura centralizada/hierrquica
Anlise baseada em assinaturas e em
conhecimento
GSeg
GSeg
UFRGS
UFRGS
NFR: estrutura
...
Servidor Central de Gerenciamento (CMS)
Interface
de
Administrao
(AI)
Analisador
Backend
Backend
Backend
Gravador
Sensor
NFR
Analisador
Backend
Backend
Backend
Gravador
Sensor
NFR
GSeg
GSeg
UFRGS
UFRGS
NFR
Base mantida por terceiros
Regras escritas em linguagem proprietria
(N-Code), semelhante C
Gerao de byte-codes
Distribuio atravs de pacotes
GSeg
GSeg
UFRGS
UFRGS
Consideraes Prticas
GSeg
GSeg
UFRGS
UFRGS
Seleo e Implementao
Escolha depende de cada caso
Equvocos podem causar falsa sensao de
segurana
Importante o mapeamento da realidade
computacional da organizao
GSeg
GSeg
UFRGS
UFRGS
Seleo e Implementao
Poltica de segurana
avaliar poltica existente
(re)definir poltica
Integrar mecanismos de preveno e
deteco
firewalls
autenticao
recuperao
verificao
GSeg
GSeg
UFRGS
UFRGS
Seleo e Implementao
Analisar detalhes tcnicos
mtodos de deteco e arquitetura
testes realizados por terceiros
nvel de conhecimento para operao
possibilidade de expanso
suporte
integrao com outros mecanismos
plataformas disponveis
custo
GSeg
GSeg
UFRGS
UFRGS
Seleo e Implementao
Criar ambiente de testes
Distribuir corretamente os sensores de rede
Instalar sensores de host
GSeg
GSeg
UFRGS
UFRGS
Distribuio de Sensores
GSeg
GSeg
UFRGS
UFRGS
Atrs do firewall externo
ver ataques externos que passaram do firewall
ver ataques direcionados DMZ
analisar o trfego de sada
Depois do firewall externo
ver ataques direcionados rede
GSeg
GSeg
UFRGS
UFRGS
Nos backbones
monitorar grandes qtdes de trfego
detectar ataques internos
Nas redes crticas
detectar ataques aos recursos crticos
permitir o foco nos recursos de maior valor
GSeg
GSeg
UFRGS
UFRGS
Sensores: problemas
Trfego criptografado
Trfego segmentado
Trfego de alta velocidade
GSeg
GSeg
UFRGS
UFRGS
Vulnerabilidades Conhecidas
Falsos alarmes
Negao de servio (DoS)
Tolerncia a falhas
Autenticao
GSeg
GSeg
UFRGS
UFRGS
Vulnerabilidades Conhecidas
Desativao de ferramentas baseadas em
host
Insero de trfego
pacotes descartados pelo sistema alvo
Evaso de trfego
pacotes descartados pelo IDS
GSeg
GSeg
UFRGS
UFRGS
Subvertendo o IDS
Procurando pela string su root.
e quanto string su me^H^Hroot ?
e quanto string su<telnet option> root ?
e quanto string alias blammo su, e depois
blammo root ?
GSeg
GSeg
UFRGS
UFRGS
Reconstruindo Fluxos
Procurando pela string USER root. Basta
procurar na poro de dados de pacotes
TCP?
USER root
HDR
USER
TCP:
HDR
root
HDR
US
HDR
ER
HDR HDR HDR
ro
HDR
ot
IP:
necessrio remontar fragmentos e coloc-los em seqncia
GSeg
GSeg
UFRGS
UFRGS
Mais Fragmentos
HDR
US
HDR
ER
HDR
HDR HDR
ro
HDR
ot
1.
2.
4.
5.
3. 1,000,000 fragmentos sem relao c/ o ataque
Suponha o seguinte ataque:
GSeg
GSeg
UFRGS
UFRGS
Mais Fragmentos
HDR
US
HDR
ER
HDR
HDR HDR
ro
HDR
ot
O que considerar ( USER root ou USER foot)?
Qual deciso ser tomada pelo SO?
1.
2.
3b.
4.
HDR HDR
fo
3a.
Seq. #
Time
GSeg
GSeg
UFRGS
UFRGS
Aspectos Legais
Interceptao telemtica
C.F. Artigo 5 pargrafo XII
Privacidade
Documentar polticas
GSeg
GSeg
UFRGS
UFRGS
Concluses
GSeg
GSeg
UFRGS
UFRGS
Concluses
Aumento no n de incidentes
Despreparo dos profissionais da rea
No existe segurana 100%
No existe soluo completa
GSeg
GSeg
UFRGS
UFRGS
Concluses
IDS mais um mecanismo til
Serve como suporte tomada de decises
Vasto campo para novas pesquisas
GSeg
GSeg
UFRGS
UFRGS
Contatos
Rafael Campello
e-mail: campello@inf.ufrgs.br
Raul Weber
e-mail: weber@inf.ufrgs.br
GSeg
GSeg
UFRGS
UFRGS
e-mail: gseg@inf.ufrgs.br
pgina: www.inf.ufrgs.br/~gseg

Minicursoidsslidessbrc2001 1228580629507190 9

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Minicursoidsslidessbrc2001 1228580629507190 9

Загружено:

Авторское право:

Доступные форматы

GSeg

Вам также может понравиться