Вы находитесь на странице: 1из 30

Estudo de caso: Ataques via

Internet e o Ambiente de
Datacenters/ISP

Artur Renato Araujo da Silva


DH&C Outsourccing
E-mail: artur@dh-c.com.br
PGP ID: 0xE6C1BCE0

Agenda
O Ambiente
As Ameaas
A Coleta de Dados
Deteco de Ataques
Mtodos de bloqueio
Tendncias

Ambiente Multi-homed
2 upstreams
Vrios peers
Estrutura IP compartilhada para os
clientes
Redundncia de equipamentos
4 blocos CIDRs (/20)

O Ambiente

O Ambiente

Agenda
O Ambiente
As Ameaas
A Coleta de Dados
Deteco de Ataques
Mtodos de bloqueio
Tendncias

Ataque aplicao

X
As Ameas

Ataque DoS - DDoS

X
As Ameas

Agenda
O Ambiente
As Ameaas
A Coleta de Dados
Deteco de Ataques
Mtodos de bloqueio
Tendncias

A Coleta de Dados

SNORT + ACID
Gerao de relatrios On-line
Interface ACID Administradores
Interface Prpria Clientes
Gerao dos relatrios baseados nos dados
da base Mysql
Relatrios individuais

A Coleta de Dados

Problema Volume de Alarmes


Conjunto default de regras
1 dia 256232 alertas
6 dias 1550811 alertas

Conjunto customizado de regras


1 dia aprox. 50.000 alertas

Origem distinta de ataques por dia: 27684


A Coleta de Dados

Soluo
Clientes
Relatrios On-line dirios
Resumos guardados como histrico
permanente

Administradores
Relatrios On-line por uma semana
Backup em disco por um ms
A Coleta de Dados

A Coleta de Dados

Netflow V5 - Juniper / Cisco


Flow-tools + flowscan (JKflow)
Rate 1:1
Armazenados por 30 dias
Grficos on-line
Pacotes/segundo
Fluxos/segundo
Bits/segundo
Por cliente e por aplicao
A Coleta de Dados

Agenda
O Ambiente
As Ameaas
A Coleta de Dados
Deteco de Ataques
Mtodos de bloqueio
Tendncias

Ataques aplicao
Alertas via SNORT

Ataques infraestrutura (DoS e


DDos)
Observao dos padres (grficos)
Scripts de threashold!
Anlise do perfil de trfego
Gerao de alertas via e-mail
Deteco em 2 minutos

Deteco de Ataques

Origem e destino dos ataques


Portas e protocolos
Registro de todas as conexes
auditoria
TOP 10 (fluxos, bits, packets)
1dia = 4 Gbytes de dados

Deteco de Ataques

Identifcao de scan

Deteco de Ataques

Identifcao de worms e vrus

Deteco de Ataques

Identificao de DoS

Deteco de Ataques

Identificao de DDos

Deteco de Ataques

Cisco:
Router# show ip cache flow | inc M|K

Juniper
admin@Router> show services accounting
flow-detail order bytes
admin@Router> show services accounting
flow-detail order packets

Deteco de Ataques

Agenda
O Ambiente
As Ameaas
A Coleta de Dados
Deteco de Ataques
Mtodos de bloqueio
Tendncias

Access-list / RPF

Mtodos de Bloqueio

Black Hole (1/2)

Mtodos de Bloqueio - DoS

Black Hole (2/2)

Mtodos de Bloqueio - DoS

Agenda
O Ambiente
As Ameaas
A Coleta de Dados
Deteco de Ataques
Mtodos de bloqueio
Tendncias

Deteco por assinatura x anomalia


Deteco por anomalia
Protocolos
Ex. Binrios em header HTML

Perfil de rede
Perodo de aprendizagem

IPS
Ataques aplicao
Ataques DoS e DDoS

Tendncias

Agradecimento

Gustavo R. Ramos

Perguntas?

artur@dh-c.com.br