Вы находитесь на странице: 1из 124

Segurana de Redes II

Ivo de Carvalho Peixinho


Segurana de Redes II

Intrusion Detection Systems IDS

IDS
Ferramenta capaz de detectar atividade maliciosa
Componentes
Sensores
Engines
Console
Classificaes
Misuse vs Anomaly
Network vs Host
Passive vs Reactive

Faculdade Ruy Barbosa


Segurana de Redes II

IDS

Classificao
Detectores de anomalias
(anomaly)
Perfil de atividade normal
Funes estatsticas/Redes
Neurais
Intruso = Variao da
atividade normal
Thresholds
evitar falsos positivos e
falsos negativos

Faculdade Ruy Barbosa


Segurana de Redes II

IDS

Classificao dos IDS


Detectores de mal-uso
(misuse - assinaturas)
Uso de padres ou
assinaturas
Tecnologia parecida com a
dos antivrus
Pouco eficiente para
ataques desconhecidos
Tecnologia mais usada
atualmente

Faculdade Ruy Barbosa


Segurana de Redes II

IDS

Classificao dos IDS


Host based IDS (HIDS)
Agem em uma estao/servidor especfico
Ficam em background procurando atividade suspeita
System calls, logs de aplicao, modificaes em arquivos, etc
Network based IDS (NIDS)
Agem em algum segmento da rede
Hbrido
Combina as duas abordagens

Faculdade Ruy Barbosa


Segurana de Redes II

IDS

Classificao dos IDS


Passivo
Apenas informa aos responsveis
Reativo
Capaz de reprogramar um firewall, ou encerrar a conexo

IPS (Intrusion Prevention Systems)


Ativo
Capaz de impedir que um ataque chegue ao destino

Faculdade Ruy Barbosa


Segurana de Redes II

Objetivo

Sistema de deteco de intrusos (IDS)


Network based (NIDS)
Reativo
Baseado em assinaturas
Auto atualizvel (assinaturas)
Funcional
Falsos negativos e falsos positivos
Ferramentas
Snort - NIDS
Oinkmaster Gerenciamento de regras
Guardian Reao com firewall

Faculdade Ruy Barbosa


Segurana de Redes II

Snort

Network Intrusion Detection System (NIDS)


Baseado em assinaturas (misuse)
Considerado o 3o melhor IDS do mercado
Network Computing
Open Source
Altamente customizvel
Extensvel
Multiplataforma
Funcionalidades de IPS (snort_inline)
Utiliza a biblioteca PCAP (http://www.tcpdump.org/)
Flexresp (reativo)

Faculdade Ruy Barbosa


Segurana de Redes II

Snort - Arquitetura

Faculdade Ruy Barbosa


Segurana de Redes II

Snort Arquitetura

Packet Decoder
Obter pacotes das interfaces de rede
Preprocessors
Normalizao
Detection Engine
Compila as regras
Testa o pacote contra as regras
Logging and Alerting System
Gerencia logs e alertas
Output Modules
Envia informaes para arquivos, syslog, sgdb, etc.

Faculdade Ruy Barbosa


Segurana de Redes II

Snort Instalao

Pr-requisitos
Libpcap (http://www.tcpdump.org)
Libpcre (http://www.pcre.org)
Mtodos de instalao
Fontes
Binrios (.exe, rpm, deb)
Instalao pelos fontes
Obteno dos fontes compactados (http://www.snort.org)
tar zxvf snort-x.y.z.tar.gz
cd snort-x.y.z
./configure -prefix=/diretorio/de/instalacao
make
make install
Outras opes no configure (./configure -help)

Faculdade Ruy Barbosa


Segurana de Redes II

Snort Instalao

Regras
SourceFire VRT Certified (http://www.snort.org/rules/
Regras oficiais do snort.org
Testadas rigorosamente
Inscrio (US$ 195/ms)
Registro (5 dias de atraso)
Verso esttica nos fontes do Snort
Bleeding Snort (http://www.bleedingsnort.org/)
Regras up-to-the-minute
Prov assinaturas rapidamente (preferncia em velocidade a qualidade)
Podem gerar maior quantidade de falsos-positivos/falsos-negativos
Community Rules
Regras submetidas pela comunidade
Avaliao bsica pelo VRT (Vulnerability Research Team)
Local Rules
Arquivo local.rules
Regras personalizadas/locais

Faculdade Ruy Barbosa


Segurana de Redes II

Snort Instalao

Instalando regras VRT


Registro no site https://www.snort.org/pub-bin/register.cgi
Envio de senha por e-mail
Download do conjunto de regras registered user
Obteno do oink code
User Preferences
Copiando as regras para o diretrio do Snort
cd /diretorio/do/snort
tar zxvf snortrules-snapshot-CURRENT.tar.gz

Faculdade Ruy Barbosa


Segurana de Redes II

Faculdade Ruy Barbosa


Segurana de Redes II

Faculdade Ruy Barbosa


Segurana de Redes II

Date: Wed, 21 Sep 2005 15:40:30 -0400 (EDT)


From: registration@snort.org
To: ivocarv@cais.rnp.br
Subject: Snort.org Registration Information

Thank you for registering at www.snort.org.


Your Snort account has been successfully created.
Please use the information below to login at www.snort.org.

User Name: ivocarv@cais.rnp.br


Password: xxxxxxxxxxxx

This password was randomly generated so, for security purposes,


we recommend that you change it when you first login. You can
do this at https://www.snort.org/reg-bin/userprefs.cgi

Please enable cookies in your web browser as they are required


for logging into Snort.org.

If you have any trouble logging in, please e-mail snort-site@sourcefire.com.

Thank you,
The Snort Team
www.snort.org

Faculdade Ruy Barbosa


Segurana de Redes II

Snort Instalao

Regras bleedingsnort
http://www.bleedingsnort.com/bleeding.rules.tar.gz
cd /caminho/do/snort
tar zxvf bleedind.rules.tar.gz
Configurao mnima
Cpia do arquivo de configurao inicial
cp snort.conf unicode.map *.config /caminho/do/snort
Separa configurao de regras
Parmetros a serem verificados/alterados
RULE_PATH # Colocar caminho completo
Regras bleeding
include $RULE_PATH/bleeding*.rules # um arquivo por linha
Recomendados
bleeding.rules
bleeding-exploit.rules
bleeding-web.rules
bleeding-attack_response.rules
bleeding-dos.rules
bleeding-scan.rules
Faculdade Ruy Barbosa
Prtica 1 Instalao e configurao
mnima do Snort
Segurana de Redes II

Snort Comandos bsicos

Modo sniffer
snort v # mostra headers IP/UDP/ICMP
snort vd # mostra dados de aplicao
snort vde # mostra data link layers
Modo de registro de pacotes
snort vde K ascii l <diretrio de log> # armazena no diretrio
indicado
Subdiretrios por IP
-K ascii (verso 2.4)
snort vde K ascii l <log> -h <home net> # especifica a rede
local ex: 192.168.1.1/32
snort l <log> -b # registro em modo binrio (tcpdump)
No necessita de -vbe (registra tudo no modo binrio)

Faculdade Ruy Barbosa


Segurana de Redes II

Snort Comandos bsicos

Arquivos binrios (pcap/tcpdump)


Contm informaes completas sobre o pacote
Leitura
tcpdump n X r <arquivo>
snort dve r <arquivo>
Formato
snort.log.<UNIX time> # Data de criao do arquivo
-L <nome do arquivo>
UNIX time
Ex: 1127490021 (snort.log. 1127490021)
Segundos desde o epoch (1970-01-01T00:00:00Z)
Convertendo UNIX time para o formato human readable
perl -e '$temp=localtime <unix time>; print "$temp\n"
http://www.onlineconversion.com/unix_time.htm

Faculdade Ruy Barbosa


Segurana de Redes II

Snort Comandos bsicos

Modo NIDS
snort dev l <log> -c snort.conf
Logar pacotes texto desempenho
-v desnecessrio (verbose/display)
Home net definido no arquivo de configurao
snort D c snort.conf i <interface> -l <log> -b L bpf.log
-D modo deamon
-L nome do arquivo contendo os pacotes
-i <int> interface de captura
Executar no boot (rc.local, bootmisc.sh, init.d)
Modo Inline
Integrao com iptables QUEUE (IPS)
Opes extras
-A <tipo> # Formato dos alertas
full (padro), fast, unsock, none, console, cmg
-s # enviar alertas pro syslog

Faculdade Ruy Barbosa


Segurana de Redes II

Snort Testando o funcionamento

Nmap
http://www.insecure.org/nmap
Ferramenta de portscan
nmap sT sU O P0 <IP> # Realiza um portscan TCP e UDP na
mquina
Idswakeup
http://www.hsc.fr/ressources/outils/idswakeup/index.html.en
Ferramenta de teste de IDS
idswakeup src dst nb TTL &
IP Origem
IP Destino
Nmero de testes
TTL dos pacotes

Faculdade Ruy Barbosa


Segurana de Redes II

Snort Alertas

Coincidncia de um pacote com uma regra especfica ou


condio anormal indicada por algum preprocessador
Indicativo que algo pode estar errado
Falsos positivos
Informa: (formato full)
Regra/preprocessador coincidente
Classificao da regra/prioridade
Timestamp (data e hora)
Endereos e portas de origem e destino
Informaes diversas sobre protocolo de rede e transporte
TTL do pacote, tamanho do pacote, tamanho do cabealho IP, Flags
TCP, nmeros de sequncia e acknowledge, Tamanho da janela,
Tamanho do cabealho de transporte, etc.
Referncias para obter maiores informaes
CVE, securityfocus, whitehats, etc.

Faculdade Ruy Barbosa


Segurana de Redes II

Snort Alertas Descrio do alerta


+ Classificao +
Reviso (Revision) prioridade
Timestamp +
IP + portas
[**] [1:2001669:2] BLEEDING-EDGE Web Proxy GET Request [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
09/22-04:09:54.944632 192.168.1.1:64570 -> 192.168.2.33:80
TCP TTL:108 TOS:0x0 ID:17008 IpLen:20 DgmLen:454 DF
***AP*** Seq: 0x478A75AC Ack: 0x4F338167 Win: 0x40B0 TcpLen: 20
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2000-0951]
[Xref => http://www.securityfocus.com/bid/1756]
[Xref => http://www.whitehats.com/info/IDS474]
Cdigo da regra (SID) Referncias
Gerador da regra >2000000 = Bleeding
(GID)

Parmetros de rede Como enviar alertas via email?


e transporte

Faculdade Ruy Barbosa


Segurana de Redes II

Snort GID

rules_subsystem 1 # Sistema de regras do snort


tag_subsystem 2 # Pacotes marcados
portscan 100 # Detector de portscan
http_decode 102 # Decodificador de HTTP
bo 105 # Preprocessador Back Orifice
rpc_decode 106 # Preprocessador de RPC
telnet_neg 109 # Decodificador de opes de telnet
unidecode 110 # Decodificador de Unicode
stream4 111 # Preprocessador stream4 (stateful inspection)
arpspoof 112 # Detector de arp spoof
frag2 113 # Preprocessador de fragmentao
decode 116 # Decodificador interno do snort
scan2 117 # Detector de portscan (2)
conversation 118 # Conversao
http_inspect 119 # Preprocessador de inspeo de HTTP
120
flow-portscan 121 # Preprocessador Flow (portscan)
portscan 122

Arquivo generators (/caminho/para/o/snort/rules/generators)

Faculdade Ruy Barbosa


Prtica 2 Execuo do Snort em modo
daemon, incluso no boot do sistema e
testes de funcionamento
Segurana de Redes II

Automatizando atualizao das regras Oinkmaster

http://oinkmaster.sourceforge.net/
Script em linguagem perl
Funcionalidades
Atualizao automtica de regras (VRT,Bleeding e Community)
Desabilitar/Habilitar regras e manter aps atualizaes
Modificaes arbitrrias em regras
Prevenir regras de atualizao (regras locais)
Backup das regras antigas
Etc.
Requisitos
Mdulos do perl
Archive::Tar
IO::Zlib
LWP::UserAgent
perl MCPAN e shell
install Archive::Tar
install IO::Zlib
Install LWP::UserAgent

Faculdade Ruy Barbosa


Segurana de Redes II

Instalando o Oinkmaster

Download dos fontes


http://ufpr.dl.sourceforge.net/sourceforge/oinkmaster/oinkmaster
-1.2.tar.gz
Mirror do sourceforge
Descompactando em um diretrio temporrio
Copiar oinkmaster.pl para o diretrio de binrios do snort
Copiar oinkmaster.conf para o diretrio de configurao do
snort
Parmetros no oinkmaster.conf
url = http://www.snort.org/pub-bin/oinkmaster.cgi/<oink
code>/snortrules-snapshot-2.4.tar.gz # VRT
url = http://www.bleedingsnort.com/bleeding.rules.tar.gz #
Bleeding
OBS: Oinkmaster > 1.2 permite especificar mais de um url

Faculdade Ruy Barbosa


Segurana de Redes II

Oinkmaster Instalao

Testando o funcionamento
Fazer backup das regras (por garantia)
Criar diretrio de backup (ex: rules-backup)
oinkmaster C /caminho/oinkmaster.conf o /caminho/do/snort/rules b
/caminho/do/snort/rules-backup

Loading /usr/local/snort/oinkmaster.conf
Downloading file from http://www.snort.org/pub-bin/oinkmaster.cgi/xxx/snortrules-
snapshot-2.4.tar.gz... done.
Archive successfully downloaded, unpacking... done.
Downloading file from http://www.bleedingsnort.com/bleeding.rules.tar.gz... done.
Archive successfully downloaded, unpacking... done.
Setting up rules structures... done.
Processing downloaded rules... disabled 0, enabled 0, modified 0, total=4828
Setting up rules structures... done.
Comparing new files to the old ones... done.
Creating backup of old rules... saved as rules-backup/rules-backup-20050923-
131044.tar.gz.
Updating rules... done.

Faculdade Ruy Barbosa


Segurana de Redes II

Oinkmaster Instalao

Automatizando o processo:
Rodar o oinkmaster
Testar as regras (snort T)
Reiniciar o snort
Shell script no crontab (oinkmaster.sh)
crontab e
0 8 * * * sh /caminho/do/script/oinkmaster.sh
Todo dia 8h da manh

Faculdade Ruy Barbosa


Segurana de Redes II

Exemplo de Script - Oinkmaster

#!/bin/sh

INTERFACE=eth0
SNORT_BIN=/usr/local/snort/bin/snort
SNORT_CONF=/usr/local/snort/snort.conf
SNORT_LOG=/usr/local/snort/log
OINKMASTER_BIN=/usr/local/snort/bin/oinkmaster.pl
OINKMASTER_CONF=/usr/local/snort/oinkmaster.conf
RULES_PATH=/usr/local/snort/rules
BACKUP_PATH=/usr/local/snort/rules-backup

$OINKMASTER_BIN -C $OINKMASTER_CONF -o $RULES_PATH -b $BACKUP_PATH


/bin/kill -TERM `cat /var/run/snort_$INTERFACE.pid`
/bin/sleep 2
$SNORT_BIN D c $SNORT_CONF i $INTERFACE -l $SNORT_LOG -b L bpf.log

Como enviar o resultado por email?

Faculdade Ruy Barbosa


Prtica 3 Instalao e configurao
mnima do oinkmaster
Segurana de Redes II

Resposta ativa em IDS

Mecanismos de resposta ativa em IDS


Session Sniping
Envio de um pacote TCP RESET para a origem e destino
Necessita conhecer o nmero de seqncia TCP atual
Resposta pode ser tarde demais
Pode ser burlado por um atacante avanado (timing attacks)
Snort FlexResp
Firewall Update
Reconfigurao de um firewall para bloqueio do endereo IP originador
do ataque por um tempo determinado
Tentativa de impedir ataques subsequentes
Necessita conhecer o firewall interface
Resposta pode ser tarde demais
Pode causar problemas no caso de spoofing (DoS attack)

http://online.securityfocus.com/print/infocus/1540

Faculdade Ruy Barbosa


Segurana de Redes II

Resposta ativa em IDS Ferramentas

Guardian
Snort_inline (IPS)
SnortSam (http://www.snortsam.net/)
Snort FlexResp
NetSQUID (http://netsquid.tamu.edu/)

Faculdade Ruy Barbosa


Segurana de Redes II

Reatividade Guardian

http://www.snort.org/dl/contrib/other_tools/guardian/
Integra snort com alguns firewalls
Ipchains
Iptables (netfilter)
Ipfw (freebsd)
Vantagens
Fcil de instalar e configurar
Extensvel (linguagem perl e shell scripts)
No necessita alterar regras (flexresp)
Permite configurar IPs a serem ignorados
No necessita alterar a sada do snort (arquivo alert)
Desvantagens
Firewall update (DoS)
Pode bloquear hosts legtimos (falsos positivos)
No permite selecionar quais regras causaro bloqueio
No guarda o estado no caso de reincio do processo
Necessita rodar snort na mesma mquina do firewall

Use por sua conta e risco! (you have been warned!)


Faculdade Ruy Barbosa
Segurana de Redes II

Instalando o Guardian

Download dos fontes


Descompactao (tar zxvf)
Copiar guardian.pl para o diretrio de binrios
Copiar guardian.conf para o diretrio de arquivos de configurao
Criar scripts guardian_block.sh e guardian_unblock.sh em um
diretrio de binrios no PATH (ex: /usr/bin)
Exemplos no diretrio scripts
chmod +x <scripts>
Criar arquivo de log definido (ex: guardian.log)
Editar guardian.conf
HostGatewayByte
LogFile
AlertFile
IgnoreFile
TimeLimit (segundos)

Faculdade Ruy Barbosa


Segurana de Redes II

Guardian Scripts (exemplos)

guardian_block.sh

#!/bin/sh
source=$1
interface=$2
admin=root@dominio.org
/sbin/iptables -I INPUT -s $source -i $interface -j DROP
echo "`whois $1`" | /usr/bin/mail -s "$1 blocked" $admin

guardian_unblock.sh

#!/bin/sh
source=$1
interface=$2
admin=root@dominio.org
/sbin/iptables -D INPUT -s $source -i $interface -j DROP
echo "`whois $1`" | /usr/bin/mail -s "$1 unblocked" $admin

Faculdade Ruy Barbosa


Segurana de Redes II

Guardian Instalao

Arquivo guardian.ignore
Endereos que sero ignorados nos bloqueios
Um IP por linha
Colocar no mnimo o loopback (127.0.0.1) e o IP local da mquina
Executando o guardian
guardian.pl c guardian.conf
Testando
nmap / idswakeup
iptables L n (list)
iptables F (flush)
Executando na inicializao
bootmisc.sh, rc.local, init.d

Faculdade Ruy Barbosa


Prtica 4 Instalao, configurao
mnima e testes do Guardian
Segurana de Redes II

Snort Avanado Falsos positivos

Alertas gerados em cima de trfego legtimo


Necessita interveno manual
Reatividade pode bloquear conexes legtimas
Como identificar falsos positivos?
Informao do alerta
Regra do Snort associada
Log do pacote associado ao alerta
Conhecimento do administrador
Referncias do alerta
Reproduo da situao
Outros

Faculdade Ruy Barbosa


Segurana de Redes II

Snort Regras

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS


(msg:"WEB-PHP directory.php access"; flow:to_server,established;
uricontent:"/directory.php"; reference:bugtraq,4278;
reference:cve,2002-0434; classtype:misc-attack; sid:1816; rev:3;)

Uma regra por linha (mltiplas linhas usando \)


Formato: cabealho (opes)
Cabealho
Ao protocolo IP_origem porta direo IP_destino porta
Opes
Meta-data
Msg, reference, sid, rev, classtype, priority
Payload
Content, uricontent, etc.
Non-payload
Fragoffset, ttl, tos, flow, etc.
Post-detection
Logto, resp, react, etc.

Snort Users Manual 2.4.0

Faculdade Ruy Barbosa


Segurana de Redes II

Snort Regras

alert udp $HOME_NET any -> $EXTERNAL_NET 8998 (msg: "BLEEDING-


EDGE VIRUS Sobig.E-F Trojan Site Download Request"; dsize: 8;
content:"|5c bf 01 29 ca 62 eb f1|"; classtype: trojan-activity;
reference:url,securityresponse.symantec.com/avcenter/venc/data/w3
2.sobig.e@mm.html; sid: 2001547; rev:5; )

alert tcp $EXTERNAL_NET 22 -> $HOME_NET any (msg:"EXPLOIT SSH


server banner overflow"; flow:established,from_server;
content:"SSH-"; nocase; isdataat:200,relative; pcre:"/^SSH-
\s[^\n]{200}/ism"; reference:bugtraq,5287; reference:cve,2002-
1059; classtype:misc-attack; sid:1838; rev:8;)

alert tcp any any -> $HTTP_SERVERS $HTTP_PORTS (msg: "BLEEDING-


EDGE Web Proxy GET Request"; flow: to_server,established;
content:"GET http\://"; nocase; depth: 11; classtype: bad-unknown;
sid: 2001669; rev:2; )

Faculdade Ruy Barbosa


Segurana de Redes II

Snort Identificando falsos positivos

Onde est o pacote correspondente a um alerta?


snort.log.<timestamp>
Data de criao dos arquivos
tcpdump nXr <arquivo> | more
Mas... no tem um jeito mais fcil?
Desenvolver um script para obter o pacote automaticamente

Faculdade Ruy Barbosa


Segurana de Redes II

Identificando falsos positivos - Exemplo

08:14:29.847901 IP 217.69.189.241.62398 > 203.223.38.35.80: P 2095186669:2095186984(315) ack


931030808 win 5840 <nop,nop,timestamp 541747490 4135462>
0x0000: 4500 016f 6a36 4000 3206 5419 d945 bdf1 E..oj6@.2.T..E..
0x0010: cbdf 2623 f3be 0050 7ce2 02ed 377e 6718 ..&#...P|...7~g.
0x0020: 8018 16d0 9685 0000 0101 080a 204a 6922 .............Ji"
0x0030: 003f 1a26 4745 5420 2f72 6f62 6f74 732e .?.&GET./robots.
0x0040: 7478 7420 4854 5450 2f31 2e31 0d0a 5573 txt.HTTP/1.1..Us
0x0050: 6572 2d41 6765 6e74 3a20 4d6f 7a69 6c6c er-Agent:.Mozill
0x0060: 612f 342e 3020 2863 6f6d 7061 7469 626c a/4.0.(compatibl
0x0070: 653b 204d 5349 4520 352e 303b 2057 696e e;.MSIE.5.0;.Win
0x0080: 646f 7773 2039 3529 2056 6f69 6c61 426f dows.95).VoilaBo
0x0090: 7420 4245 5441 2031 2e32 2028 6874 7470 t.BETA.1.2.(http
0x00a0: 3a2f 2f77 7777 2e76 6f69 6c61 2e63 6f6d ://www.voila.com
0x00b0: 2f29 0d0a 486f 7374 3a20 7777 772e 7878 /)..Host:.www.xx
0x00c0: 7878 2e6f 7267 2e62 720d 0a41 6363 6570 xx.org.br..Accep
0x00d0: 743a 202a 2f2a 0d0a 4163 6365 7074 2d43 t:.*/*..Accept-C
0x00e0: 6861 7273 6574 3a20 7769 6e64 6f77 732d harset:.windows-
0x00f0: 3132 3532 3b71 3d31 2e30 2c20 7574 662d 1252;q=1.0,.utf-
0x0100: 383b 713d 312e 302c 2075 7466 2d31 363b 8;q=1.0,.utf-16;
0x0110: 713d 312e 302c 2069 736f 2d38 3835 392d q=1.0,.iso-8859-
0x0120: 313b 713d 302e 362c 202a 3b71 3d30 2e31 1;q=0.6,.*;q=0.1
0x0130: 0d0a 4163 6365 7074 2d45 6e63 6f64 696e ..Accept-Encodin
0x0140: 673a 2067 7a69 702c 2069 6465 6e74 6974 g:.gzip,.identit
0x0150: 792c 202a 3b71 3d30 0d0a 436f 6e6e 6563 y,.*;q=0..Connec
0x0160: 7469 6f6e 3a20 436c 6f73 650d 0a0d 0a tion:.Close....

Faculdade Ruy Barbosa


Segurana de Redes II

Identificando falsos positivos

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS


(msg:"WEB-MISC robots.txt access"; flow:to_server,established;
uricontent:"/robots.txt"; nocase; reference:nessus,10302;
classtype:web-application-activity; sid:1852; rev:3;)

[**] [1:1852:3] WEB-MISC robots.txt access [**]


[Classification: access to a potentially vulnerable web application] [Priority: 2]
09/01-11:08:14:29.847901 217.69.189.241:62398 -> 203.223.38.35:80
TCP TTL:52 TOS:0x10 ID:48946 IpLen:20 DgmLen:229 DF
***AP*** Seq: 0x516D8522 Ack: 0xEF056211 Win: 0x5840 TcpLen: 32
TCP Options (3) => NOP NOP TS: 137640487 0
[Xref => http://cgi.nessus.org/plugins/dump.php3?id=10302]

Faculdade Ruy Barbosa


Segurana de Redes II

Faculdade Ruy Barbosa


Prtica 5 Identificao de falsos
positivos
Segurana de Redes II

Configurao Avanada

Minimizando falsos positivos


Desabilitando regras
Configurando variveis do snort (Ex: Home net)
Colocando o IDS atrs do firewall
Tratamento manual (j visto)
Melhorando a segurana do IDS
Interfaces stealth
Configurao chroot e usurio no privilegiado (-t e u)
Rotao de logs
Configurao dos preprocessadores
Alertas via email/pager/sms/interface web, etc.
Alertas e pacotes em SGDB

Faculdade Ruy Barbosa


Segurana de Redes II

Snort Variveis

Arquivo snort.conf
Variveis
var HOME_NET any
var EXTERNAL_NET any
var DNS_SERVERS $HOME_NET
var SMTP_SERVERS $HOME_NET
var HTTP_SERVERS $HOME_NET
var SQL_SERVERS $HOME_NET
var TELNET_SERVERS $HOME_NET
var SNMP_SERVERS $HOME_NET
var HTTP_PORTS 80
var SHELLCODE_PORTS !80
var ORACLE_PORTS 1521
var AIM_SERVERS
[64.12.24.0/23,64.12.28.0/23,64.12.161.0/24,64.12.163.0/24,64.12.200.0
/24,205.188.3.0/24,205.188.5.0/24,205.188.7.0/24,205.188.9.0/24,205.1
88.153.0/24,205.188.179.0/24,205.188.248.0/24]
var RULE_PATH /usr/local/snort/rules

Faculdade Ruy Barbosa


Segurana de Redes II

Oinkmaster Gerenciando regras

Arquivo oinkmaster.conf
modifysid
modifysid SID "replacethis" | "withthis"
modifysid SID1, SID2, SID3, ... "replacethis" | "withthis"
modifysid file "replacethis" | "withthis"
modifysid * "replacethis" | "withthis"
modifysid 302 "\$EXTERNAL_NET" | "\$HOME_NET
localsid
localsid SID1, SID2, SID3, ...
localsid 1325
enablesid
enablesid SID1, SID2, SID3, ...
enablesid 1325
disablesid
disablesid SID1, SID2, SID3, ...
disablesid 1
No comentar as regras diretamente (atualizao automtica)

Faculdade Ruy Barbosa


Segurana de Redes II

IDS Posicionamento

IDS antes do firewall


Observa TODO o trfego
Maior necessidade de desempenho
Maior possibilidade de falsos positivos
Maior visibilidade da rede (trfego)
Pode detectar ataques ao firewall
Maior quantidade de registros (log)
IDS aps o firewall
Menor quantidade de falsos positivos
Observa apenas o trfego no filtrado pelo firewall
Menor quantidade de registros
Menor necessidade de desempenho
Menor visibilidade da rede (trfego)

Faculdade Ruy Barbosa


Segurana de Redes II

Snort Interfaces stealth

ifconfig <int> up
Ex: ifconfig eth0 up
Interface sem endereo IP
Dificulta o acesso ao IDS
Tentativa de evaso/invaso
Impede o acesso remoto dos admins
Interface de gerenciamento
Receive-only ethernet cable
http://www.snort.org/docs/faq/1Q05/node31.html

Faculdade Ruy Barbosa


Segurana de Redes II

Interfaces e consoles para Snort

BASE
http://sourceforge.net/projects/secureideas/
ACID
http://acidlab.sourceforge.net/
http://www.cert.org/kb/acid/
SnortCenter
http://users.pandora.be/larc/
IDS Policy Manager
http://www.activeworx.org/programs/idspm/index.htm
IDScenter
http://www.engagesecurity.com/

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia
O que Criptografia:
Encriptao de dados
Segurana na transmisso
Autenticao
Chave
Segredo utilizado para codificar ou decodificar mensagens
Algoritmo
Funo matemtica usada para criptografar e
decriptografar a informao, baseado numa chave.
Tipos
Criptografia de chave assimtrica (RSA)
Criptografia de chave simtrica (DES)
Funes hash one-way

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Criptografia
Cincia de gerar e ler mensagens codificadas
(encriptadas).
Prov mecanismos de:
Autenticao Estabelecer a identidade do remetente
e destinatrio da informao.
Integridade Garantir a no alterao dos dados.
Confidencialidade Garantir que ninguem alm do
remetente e do destinatrio so capazes de entender a
informao.

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Chaves
Conjunto de bits usado pelo algoritmo de criptografia.
Seu tamanho determina a segurana.
Possibilidade de brute force attacks

Tamanho da chave (bits) Nmero de combinaes

40 240=1.099.511.627.776
56 256=7,205759403793*1016
64 264=1,844674407371*1019

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Chaves
Tamanho da chave
Quanto maior, mais seguro
Quanto maior, menor performance
Determinando o tamanho certo
O custo de quebrar a chave tem que ser maior
que o valor da informao protegida

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia
Possibilidades
Assinatura digital
Digital timestamp
Dinheiro eletrnico
Provar o conhecimento de uma informao sem revel-la
Compartilhamento de pedaos de uma chave de forma que
seja necessrio um nmero mnimo de partes para
codificar/decodificar uma mensagem

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Algoritmos de criptografia simtricos


Mais simples
Utilizam a mesma chave para encriptar/decriptar
(chave simtrica)
Processo computacional envolvido simples e rpido
Para haver comunicao criptografada, um algoritmo
comum e uma chave so suficientes

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Criptografia de Csar
Algoritmo de chave simtrica
Bastante simplista, utilizado na Roma antiga
Funcionamento:
Utiliza uma chave numrica n.
Para cada letra da mensagem, deslocar de n para
frente no alfabeto, a partir da letra em questo
Substituir a letra anterior pela deslocada
Para reverter, basta deslocar para trs
Algoritmo fcil de ser quebrado por tentativa e
erro

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Algoritmos simtricos
Data Encryption Standard (DES)
3DES (Triple DES)
Rivest Cipher 4 (RC-4)
International Data Encryption Algorithm (IDEA)

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Data Encryption Standard (DES)


Algoritmo mais usado para criptografia simtrica
Opera em blocos de mensagem de 64 bits
Utiliza normalmente chaves de 64bits
56 bits randmicos
8 bits de paridade (um para cada 7 bits)
Normalmente adiciona elementos randmicos nas mensagens

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

3DES Triple DES


Variao do algoritmo DES
Torna ataques forca bruta mais difceis
Utiliza duas ou trs chaves diferentes para dificultar a quebra da
chave
Assim como o DES, o 3DES de domnio pblico

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

IDEA
Desenvolvido para substituir o DES
Opera em blocos de 64 bits
Utiliza chaves de 128 bits
Desenvolvido para ser eficiente tanto em implementaes de
software e de hardware
Algoritmo patenteado
Requer licena para uso comercial

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Algoritmos simtricos
Vantagens
Rapidez
Possibilidade de ser implementado via hardware
Otimizado para criptografar grandes quantidades de dados
Problemas
Gerao segura de chaves
Distribuio segura de chaves
Mudana peridica de chaves

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Algoritmos assimtricos
Utilizam o conceito de par de chaves
Uma chave pblica, disponvel para outros usurios
Uma chave privada, disponvel apenas para o dono do par de chaves
Prov formas de:
Integridade dos dados
Confidencialidade dos dados
Autenticao do remetente

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Algoritmos assimtricos
Ron Rivest, Adi Shamir e Leonard Adleman (RSA)
El Gamal

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Funes HASH
Funes que transformam uma mensagem de tamanho
arbitrrio em uma sada de tamanho fixo.
Caractersticas
Consistncia a mesma entrada sempre causa a mesma
sada
Randmico impossibilidade de deduzir a mensagem original
nico duas mensagens diferentes produzem sadas
diferentes
One-way A sada no reversvel

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Funes HASH
Message Digest 4 (MD4)
Desenvolvido por Ron Rivest do MIT
Message Digest 5 (MD5)
Desenvolvido por Ron Rivest do MIT
Baseado no MD4
Processa a entrada em blocos de 512 bits e produz uma sada
de 128 bits.

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Funes HASH
Secure Hash Algorithm (SHA)
Criado pelo National Institute of Standards and Technology
(NIST)
Processa a entrada em blocos de 512 e produz uma sada de
160 bits
Necessita de maior processamento que o MD5

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Assinaturas digitais
Utiliza os princpios da criptografia assimtrica e hash
Garante a origem e a integridade de um documento
No garante confidencialidade de um documento

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Assinaturas Digitais
RSA
Algoritmo de criptografia assimtrica estendido para
suportar assinaturas digitais
DSS
Proposto pelo NIST e baseado no algoritmo El Gamal
Mais rpido que o RSA para gerao de chaves, porm
mais lento para verificao de assinaturas

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Possibilidades
Assinatura digital
Digital timestamp
Dinheiro eletrnico
Provar o conhecimento de uma informao sem
revel-la
Compartilhamento de pedaos de uma chave de
forma que seja necessrio um nmero mnimo de
partes para codificar/decodificar uma mensagem

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Autenticao
A deseja ter certeza de que fala com B
A->B MSG
B->A {MSG} Chave Priv. B
B pode estar criptografando algo que permita a A descobrir
a sua chave privada
Uso de uma funo hash para computar um digest
Ex: MD5
Difcil de reverter
Dificil de achar outra mensagem que resulte no mesmo
digest

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Autenticao
Mtodo revisado
A->B MSG
B->A {Digest(MSG)} Chave Priv. B
Ainda assim B est criptografando dados gerados por A
A->B (B voce ?)
B->A (Sim eu sou B){Digest(Sim eu sou B)} Chave Priv. B
Qualquer um pode dizer que B bastando ter um par
de chaves

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Autenticao
Certificados
Nome da entidade certificadora
Nome do sujeito certificado
Chave pblica do sujeito
Mtodo com certificado
A->B (B voce ?)
B->A (Sim eu sou B), certificado de B
A->B (Ento prove !!!)
B->A (Sim eu sou B){Digest(Sim eu sou B)} Chave Priv. B

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Usando um algoritmo simtrico


Maior eficincia
A->B {segredo} Chave Publ. B
B->A {MSG} Chave Secreta
Man in the Middle
Pode alterar mensagens mesmo sem conhecimento das
chaves
MAC - Message Authentication Code
MAC := Digest[ mensagem, segredo]
Chances de 1 em 18,446,744,073,709,551,616

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Protocolo Revisado
A->B (B voce ?)
B->A (Sim eu sou B), certificado de B
A->B (Ento prove !!!)
B->A (Sim eu sou B){Digest(Sim eu sou B)} Chave Priv. B
A->B {segredo} Chave Publ. B
B->A {MSG,MAC} Chave Secreta
Ainda assim alguem pode gravar e repetir
Introduo de elementos randomicos

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Gerenciamento de chaves
Questo crtica para comunicao segura
Depende de fator humano
Guardar as chaves privadas
Algoritmos robustos para distribuio de
chaves
Podem ser quebrados pelo fator humano

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Criao e distribuio de chaves simtricas


Criadas dinamicamente no estabelecimento da
sesso
Necessidade de mtodo seguro para distribuio
Distribuio centralizada por Key Distribution Centers
(KDC)
Ainda existe a necessidade de comunicao segura
entre o cliente e o KDC
Mtodos fsicos

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Algoritmo Diffie-Hellman
Mtodo largamente utilizado para
distribuio de chaves simtricas
Prov mtodos para troca de chaves,
mesmo em canais inseguros
Utilizado por algoritmos simtricos para
troca segura de chaves

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Criao e distribuio de chaves pblicas


Gerao do par de chaves feito pelo prprio usurio
Garantia de privacidade da chave privada
Distribuio da chave pblica para outros usurios
Problema: Atestar a autenticidade da chave

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Soluo: Certificados digitais


Mensagem assinada digitalmente que atesta a validade de
uma chave pblica
Baseados no padro X.509 do ITU-T
Necessitam de um elemento de confiana conhecido como
entidade certificadora

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Certificados digitais
Formato do certificado X.509
Verso
Nmero serial
Algoritmos usados
Identidade do certificador
Validade
Nome do dono da chave
Informao da chave
Assinatura

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Certificados Digitais
Entidades certificadoras (CAs)
Entidades confiveis que atestam a validade de um
certificado
responsvel por gerar, distribuir e invalidar
certificados
Assina o certificado com uma chave privada da
entidade, cuja chave pblica largamente difundida

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Certificados digitais
Funcionamento
Elemento B pede certificado digital de A para a entidade
certificadora
A entidade envia o certificado de A, assinado com a chave
privada da CA
Elemento B recebe o certificado e verifica a assinatura usando
a chave pblica da CA
Elemento B agora possui uma chave pblica confivel do
elemento A

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Certificados digitais
O esquema depende da distribuio confivel da
chave pblica da CA
Utilizao de meios out-of-band
Criao de entidades certificadoras
Empresas de confiana

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia
PKI (Public Key Infrastructure)
Estrutura para armazenamento e gerenciamento de
certificados
Conjunto de Hardware, software, pessoal, polticas e
procedimentos necessrios para criar, gerenciar, guardar,
distribuir e invalidar certificados baseados na criptografia
chave-pblica

Autoridade de Registro (AR)


identificao de usurios
validao de requisies de emisso
submisso AC adequada

Autoridade Certificadora (AC):


emisso, manuteno e revogao de certificados
gerncia da Lista de Certificados Revogados (LCR)
gerenciamento seguro das chaves privadas
Faculdade Ruy Barbosa
Segurana de Redes II

Criptografia

Usos prticos
Pretty Good Privacy PGP
Criptografia pessoal
SSL Secure Sockets Layer
Criptografia TCP/IP
Servidores WEB
Ipsec
Criptografia IP
VPNs

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Secure Socket Layer (SSL)


Protocolo situado entre os protocolos de aplicao e o
TCP/IP
Encriptao de dados
Integridade das mensagens
Autenticao do servidor
Autenticao do cliente
Cria um canal de comunicao seguro entre as partes
Padro aberto submetido ao W3 Consortium

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

SSL e Firewalls
SSL no pode ser utilizado com Application Level
Proxies
Impede a existncia do man-in-the-middle
Utilizar filtros de pacotes
Utilizar Circuit Level Proxies

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Adicionando criptografia a servios existentes


SSH - Secure Shell
Substituto para rsh, rlogin, rcp e telnet
Autenticao por senha tradicional, ou por chave RSA
Possibilita criao de tneis criptografados
Possui X11 Forwarding

Faculdade Ruy Barbosa


Segurana de Redes II

Criptografia

Stunnel
Tunnel SSL para diversos servios
Suporte a POP3 e IMAP
Clientes com suporte a POP3 e IMAP sobre SSL
Netscape mail
Outlook Express
Resolve um dos grandes problemas de provedores de
acesso

Faculdade Ruy Barbosa


Segurana de Redes II

PGP

Pretty Good Privacy


Software de encriptao pblico, desenvolvido por Phil
Zimmermann
Disponvel para diversas plataformas
Windows, UNIX, MS-DOS, OS/2, Macintosh, Amiga e Atari
Utiliza o conceito de par de chaves
Chave pblica e chave privada
Atualmente na verso 9.0

Faculdade Ruy Barbosa


Prtica 6 Adicionando Criptografia
Segurana de Redes II

PGP

Funcionamento do PGP (http://www.pgpi.org/doc/pgpintro)


Usurio gera um par de chaves usando um dos algoritmos
disponveis (DH, RSA, etc)
A chave pblica distribuda livremente, de modo a pessoas
enviarem mensagens para o usurio
A chave privada secreta e pertence apenas ao usurio que
gerou o par

Faculdade Ruy Barbosa


Segurana de Redes II

PGP

Criptografando textos

Faculdade Ruy Barbosa


Segurana de Redes II

PGP

Criptografando textos
O PGP gera uma chave de sesso simtrica e randmica
O texto criptografado com esta chave
A chave simtrica criptografada com a chave pblica do usurio
O conjunto (texto + chaves) enviado ao usurio

Faculdade Ruy Barbosa


Segurana de Redes II

PGP

Decriptografando textos

Faculdade Ruy Barbosa


Segurana de Redes II

PGP

Decriptografando textos
Usurio recebe o conjunto texto+chaves
Utiliza sua chave privada para decriptografar a chave simtrica
Utiliza a chave simtrica para decriptografar o texto

Faculdade Ruy Barbosa


Segurana de Redes II

PGP
Chaves
Utilizam algoritmos de criptografia
Chaves simtricas
Mesma chave para criptografar e decriptografar
Chaves assimtricas (pblicas e privadas)
Conceito de par de chaves
texto criptografado com a chave pblica decriptografado com a
privada e vice-versa
Derivar a chave privada a partir da pblica invivel
computacionalmente

Faculdade Ruy Barbosa


Segurana de Redes II

PGP
Chaves
Preocupar-se com o tamanho da chave
Quanto maior, mais difcil de quebrar, porm mais lento para
criptografar/decriptografar
buscar um meio termo
Chave privada criptografada com uma chave simtrica
Necessita saber uma passphrase para usar
Maior segurana no caso de roubo de chaves
Esqueceu a passphrase, s outra chave

Faculdade Ruy Barbosa


Segurana de Redes II

PGP

Assinaturas digitais
Permite atestar a autenticidade de um documento ou arquivo
Utiliza o mesmo conceito de chaves pblicas e privadas
Utiliza funes hash, para acelerar o processo

Faculdade Ruy Barbosa


Segurana de Redes II

PGP
Assinando documentos

Faculdade Ruy Barbosa


Segurana de Redes II

PGP
Assinando documentos
O PGP gera um hash do texto original
O hash criptografado(assinado) com a chave privada do usurio
O texto e a assinatura so enviados para o destinatrio
O destinatrio usa a chave pblica do usurio para decriptar o
hash
O PGP calcula de novo o hash e compara os dois. Se forem
iguais a assinatura confere

Faculdade Ruy Barbosa


Segurana de Redes II

PGP

Certificados digitais
Como certificar que a chave pblica realmente de quem diz ser?
Man-in-the-middle
Terceiros criando chaves e afirmando serem outras pessoas
Servidores pblicos de chaves
Qualquer um pode publicar chaves como se fosse outra pessoa

Faculdade Ruy Barbosa


Segurana de Redes II

PGP

Certificados digitais
Credencial de uma fonte confivel, que afirma que um
determinado par de chaves de um usurio especfico
Consiste em:
Uma chave pblica
Informaes (Identificao, user ID, etc)
Uma ou mais assinaturas digitais

Faculdade Ruy Barbosa


Segurana de Redes II

PGP

Certificados digitais
A eficincia do certificado depende da confiana de quem assina o
certificado
Distribudos em Certificate Servers ou em PKI (Public Key
Infrastructure)

Faculdade Ruy Barbosa


Segurana de Redes II

PGP
PKI (Public Key Infrastructure)
Estrutura para armazenamento e gerenciamento de certificados
Introduo das Certification Authoritys (CAs)
Empresas ou grupos que possuem autorizao para emitir certificados
Cria certificados e assina com a chave privada do CA
Pea chave no PKI, pois um elemento confivel (chave pblica
conhecida)

Faculdade Ruy Barbosa


Segurana de Redes II

PGP

Formatos de certificados
PGP
Verso do PGP
Chave pblica do usurio
Informao do usurio
Assinatura digital do usurio - auto-assinatura
perodo de validade
Algoritmo simtrico preferido
CAST, IDEA ou 3-DES

Faculdade Ruy Barbosa


Segurana de Redes II

PGP
Certificado PGP

Faculdade Ruy Barbosa


Segurana de Redes II

PGP

X.509
Padro internacional do ITU (ITU-T X.509)
Teoricamente portvel, porm extenses foram criadas pelas
empresas, o que dificulta a compatibilidade
Os certificados X.509 s podem ser validados por uma entidade
certificadora (CA)

Faculdade Ruy Barbosa


Segurana de Redes II

PGP
Formato do X.509:
verso do X.509
chave pblica do usurio
nmero serial do certificado - definido pela CA
identificador nico do usurio (DN)
CN = Common Name, OU = Organizational unit, O = Organization, C =
Country
Perodo de validade
Identificao nica da CA
Assinatura digital da CA
Algoritmo de assinatura usado

Faculdade Ruy Barbosa


Segurana de Redes II

Certificado X.509

Faculdade Ruy Barbosa


Segurana de Redes II

PGP

Diferenas entre certificados PGP e X.509


Certificados PGP podem ser criados por qualquer um. Os X.509
somente por entidades certificadoras
X.509 suporta apenas um nome para o dono da chave
X.509 suporta apenas uma assinatura digital para validar a
autenticidade da chave

Faculdade Ruy Barbosa


Segurana de Redes II

PGP
Validade e confiana
Garantia que um certificado pertence ao suposto dono
No PGP possvel um usurio assinar uma chave, como prova que
seu certificado foi checado como vlido
No modelo X.509, a CA uma entidade em que todo mundo
confia. Nenhum certificado vlido se no for assinado por uma
CA de confiana

Faculdade Ruy Barbosa


Segurana de Redes II

PGP

Checando a validade
Fingerprints
hash do certificado que pode ser conferido (por telefone, por exemplo)
Confiana na CA
CA garante que validou o certificado
Verificar validade do certificado e se ele no foi revogado

Faculdade Ruy Barbosa


Segurana de Redes II

PGP

Estabelecendo confiana
meta-introducers
Delega autoridade de confiana para terceiros (trusted introducers)
Conhecidos como root-CAs no modelo X.509
trusted introducers
So capazes de validar chaves
No so capazes de delegar confiana
Conhecidos como subordinate CAs no X.509

Faculdade Ruy Barbosa


PGP
Segurana de Redes II

Estabelecendo confiana

Faculdade Ruy Barbosa


Segurana de Redes II

PGP

Revogao de certificados
Os certificados no valem para sempre, normalmente eles
possuem tempo de vida restrito
Em casos especiais, necessrio invalidar um certificado por
algum motivo
Nestes casos, a CA pode revogar o certificado
As CAs mantm uma lista de certificados Revogados

Faculdade Ruy Barbosa


Prtica 8 - PGP
Segurana de Redes II

Referncias

Livros
Practical Unix & Internet Security
Simson Garfinkel and Gene Spafford
OReilly & Associates
Building Internet Firewalls
D. Brent Chapman and Elizabeth D. Zwicky
OReilly & Associates
Designing Network Security
Merike Kaeo
Cisco Press
Applied Cryptography: Protocols, Algorithms, and Source Code in
C
Bruce Schneier

Faculdade Ruy Barbosa


Segurana de Redes II

Referncias

URLs
Snort: http://www.snort.org

Bleeding-snort: http://www.bleedingsnort.com/

Oinkmaster: http://oinkmaster.sourceforge.net/

Tcpdump/Libpcap: http://www.tcpdump.org/

Nmap: http://www.insecure.org/nmap

Idswakeup:
http://www.hsc.fr/ressources/outils/idswakeup/index.html.en

Snort Users Manual 2.4.0

Faculdade Ruy Barbosa


Segurana de Redes II

Referncias

Understanding IDS Active Response Mechanism:


http://online.securityfocus.com/print/infocus/1540

Network Intrusion Detection An Analysts Handbook (ISBN 0-7357-


0868-1)

Faculdade Ruy Barbosa