minicursoidsslidessbrc2001-1228580629507190-9

8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9

1/173

GSegGSegUFRGSUFRGS

Sistemas de Deteco deIntruso

Rafael Campello e Raul Weber

UFRGS II PPGC GSegCentro Universitrio Franciscano

Florianpolis, 23 Maio de 2001

XIX Simpsio Brasileiro de Redes de Computadores


2/173

Grupo de Segurana - UFRGS 2

GSegGSegUFRGSUFRGS

Grupo de Segurana da UFRGS

Pesquisas

Sistemas de Deteco de Intruso (IDS) Controle de Integridade de Arquivos

Injeo de Falhas (TCP/IP)

Votao Eletrnica

Dinheiro Digital

GSegGSegUFRGSUFRGS


3/173


GSegGSegUFRGSUFRGS

Objetivos do CursoApresentar os princpios de um sistema de

deteco de intruso e seu uso comomecanismo de tolerncia a falhas desegurana

Abordar aspectos conceituais

Tecer algumas consideraes prticas


4/173Grupo de Segurana - UFRGS 4

GSegGSegUFRGSUFRGS

Pblico AlvoEstudantes de computao ou engenharia

noes de redes de computadores noes de sistemas operacionais

Profissionais ligados administrao ou gerncia de segurana em redes de

computadores



GSegGSegUFRGSUFRGS

ProgramaFundamentos de segurana

Sistemas de Deteco de Intruso (IDSs)

Exemplos de IDSs

Consideraes prticas



GSegGSegUFRGSUFRGS

Fundamentos de SeguranaConceitos bsicos

Ameaas e ataques

Mecanismos de proteo



GSegGSegUFRGSUFRGS

Sistemas de Deteco de IntrusoConceitos bsicos

Mtodos de deteco de intruso

Arquiteturas de IDS



GSegGSegUFRGSUFRGS

Exemplos de IDSsSnort

BroAAFID

EMERALDRealSecure

NFR



GSegGSegUFRGSUFRGS

Consideraes Prticas

Seleo e implementao

Vulnerabilidades conhecidas

Aspectos legais

GSGS



GSegGSegUFRGSUFRGS

Cronograma

Fundamentos de segurana

coffee-break (10h30min 11h)

Sistemas de Deteco de Intrusoalmoo (13h 14h)

Exemplos de IDS

Consideraes prticas

GSGS



GSegGSegUFRGSUFRGS

Regra nmero 1

FAA PERGUNTAS DURANTE A

APRESENTAO !!!

GSGS


12/173

GSegGSegUFRGSUFRGS

Fundamentos de Segurana

GSGSeg


13/173


GSegGSegUFRGSUFRGS

Segurana: introduo

No comeou como cincia nem como arte,

mas como um instinto

Maior interesse do homem, durante a sua

histria segurana prpria, da famlia, dos bens, etc

Matria de sobrevivncia criada naturalmente p/ garantir a sobrevivncia

das espcies

GSegGSeg


14/173


GSegGSegUFRGSUFRGS

Segurana: introduo

A vida seria melhor sem essas

preocupaes tranqilidade/felicidade de dcadas atrs

Paradoxo: busca-se algo que no desejado

Principal motivo do descaso e do

despreparo

GSegGSeg


15/173


GSegGSegUFRGSUFRGS

Segurana: introduo

Atitude mais cmoda e barata:

torcer para que nada acontea semelhante a esperar que sua casa no sejaroubada

Atitude correta:

cercar-se de cuidados preparar-se para lidar com os problemas analogia: colocar um alarme e fazer um seguro

da casa

GSegGSeg


16/173


GSegGSegUFRGSUFRGS

Segurana: introduo

Por que ser negligente?

segurana custo segurana perda na facilidade de uso valor da informao, da reputao e dos

servios da organizao no so levados emconsiderao

Em suma: custos com importncia maximizada...

...em detrimento de valores mais importantes

GSegGSeg


17/173


GSegGSegUFRGSUFRGS

Segurana: evoluo

Estmulo para o desenvolvimento do

computador eletrnico

Dcada de 40 Colossus (Primeiro Computador Eletrnico)

Decifrar as mensagens na 2 Guerra Mundial

GSegGSeg


18/173


GSegGSegUFRGSUFRGS

Segurana: evoluo

Fim da guerra: preocupaes com

segurana focadas em problemas fsicos

Computadores no possibilitavam o acessodireto a seus usurios Inviabiliza qualquer tipo de ao contra sua

segurana.

GSegGSeg


19/173


GSegGSegUFRGSUFRGS

Segurana: evoluo

Novas ameaas

mquinas com acesso compartilhado (time-sharing)

Teleprocessamento

Computadores pessoais

Redes

GSegGSeg


20/173


GSegGSegUFRGSUFRGS

Ameaas: exemplos

Destruio de informao ou de outro

recursoModificao ou deturpao da informao

Roubo, remoo ou perda de informao

Revelao de informao

Interrupo de servios

GSegGSeg


21/173


GSegGSegUFRGSUFRGS

Atacantes

Hacker/Cracker

Script Kid, One-click hackerEspio

TerroristaAtacante corporativo

VndaloVoyeur

Mitnick

Bart Simpson

GSegGSeg


22/173


GSegGSegUFRGSUFRGS

Ameaas: evoluo

Dcada de 80 - ataques individuais e

isolados Escolha de boas senhas

Prevenir o compartilhamento indiscriminado

Eliminar os bugs de segurana de programas

GSegGSeg


23/173


GSegGSegUFRGSUFRGS

Ameaas: evoluo

Dcada de 90 - ataques sofisticados

Sniffers capturam senhas e outras informaes Computadores so confundidos por IP

spoofing

Sesses so desviadas atravs de connectionhijacking

Dados so comprometidos via data spoofing Atacantes na maioria amadores (One-click

hacker, Script Kid)

GSegGSeg


24/173


GSegGSegUFRGSUFRGS

Segurana: conceitos

Tentativa de minimizar a vulnerabilidade

de bens e recursos

Mais abrangente: dotar os sistemas de: confiabilidade integridade

disponibilidade autenticidade privacidade

GSegGSeg


25/173


GSeggUFRGSUFRGS

Segurana: conceitos

O que se quer proteger?

confiabilidade disponibilidade

integridade

privacidade

autenticidade

GSegGSegGSUFRGS


26/173


ggUFRGSUFRGS

Segurana: conceitos

Dependability

Meios

De validao

De realizao

Preveno

de falhas

Tolerncia a

falhas

Remoo de

falhas

Previso de

falhas

Deteco de erros

Confinamento e

avaliao de danos

Recuperao de erros

Tratamento de

falhas

Atributos

Confiabilidade

Disponibilidade

.

.

.

Falhas

Humanas

Interao

Projeto

Intermitentes

Transitrias

Intencionais

No intencionais

Fsicas

Temporrias

Permanentes

Dependability

Meios

De validao

De realizao

Preveno

de falhas

Tolerncia a

falhas

Remoo de

falhas

Previso de

falhas

Deteco de erros

Confinamento e

avaliao de danos

Recuperao de erros

Tratamento de

falhas

Atributos

Confiabilidade

Disponibilidade

.

.

.

GSegGSegUFRGSUFRGS


27/173


ggUFRGSUFRGS

Segurana: conceitos

Validao

remoo de falhas previso de falhas

Preveno de falhas

Tolerncia a falhas deteco de erros

confinamento e avaliao de danos recuperao de erros

tratamento de falhas

GSegGSegUFRGSUFRGS


28/173


ggUFRGSUFRGS

Segurana: conceitos

Preveno de falhas

ex.: firewalls, criptografia, etc

Deteco de falhas ex.: sistemas de deteco de intruso

Resposta ex.: reconfigurao de um firewall

GSegGSegUFRGSUFRGS


29/173


gUFRGSUFRGS

Exemplo 1: propriedade privada

Preveno

trancas em portas, grades nas janelas, murosao redor da propriedade

Deteco perceber o desaparecimento de algum objeto,

usar alarmes e circuitos de TV

Reao chamar a polcia, reaver objetos roubados,

acionar o seguro

GSegGSegUFRGSUFRGS


30/173


UFRGSUFRGS

Exemplo 2: redes

Preveno

gerenciamento adequado,firewalls,proxiesDeteco

perceber anomalias no trfego ou interrupode servios, auditoria, IDS

Reao relatar o incidente, reinstalar softwares,redefinir polticas de segurana, demitir o

responsvel

GSegGSegUFRGSUFRGS


31/173


UFRGSUFRGS

Segurana: conceitos

Ameaa

Incidente atacante ataque objetivo

Ataque ferramenta vulnerabilidade eventoresultado no autorizado

Evento ao alvo

GSegGSegUFRGSUFRGS


32/173


UFRGSUFRGS

Segurana: conceitos

Hacker

Espio

Terrorista

AtacanteCorporativo

Criminoso

Profissional

Vndalo

Voyeur

Atacantes

Ataque

fsico

Troca de

Informao

Comando

de Usurio

Script ouPrograma

Agente

Autnomo

Toolkit

FerramentaDistribuda

Ferramenta

Intercepta

o de dados

Projeto

Implementao

Configurao

Vulnerabilidade

Probe

Varredura

Flood

Autenticao

Desvio

Spoof

Leitura

Ao

Cpia

Conta

Processo

Dado

Componente

Computador

Rede

Inter-rede

Alvo

Acesso

Ampliado

Revelao de

Informao

Informao

Corrompida

Negao deServio

Roubo de

Recursos

Resultado

Autorizado Desafio,

status

Ganho

Poltico

Ganho

Financeiro

Dano

Objetivos

Roubo

Modificao

Destruio

evento

ataque(s)

incidente

GSegGSegUFRGSUFRGS


33/173


UFRGSUFRGS

Principais Ataques

Engenharia social

Coleta de informao Varredura

Negao de servio (DoS)

Explorao de bugs

Explorao de protocolos

Sniffers

Ataque do dicionrio

Cdigo malicioso

GSegGSegUFRGSUFRGS


34/173


UFRGS

Engenharia Social

Mtodo: enganar as vtimas, por conversa,

telefone ou correio eletrnico

Objetivos: obter informaes valiosas obter privilgios

convencer a vtima a executar aes indevidase perigosas

GSegGSegUFRGSUFRGS


35/173


Engenharia Social

Preveno: educao e conscientizao

no fornecer informaes a estranhos exigir identificao

escolher boas senhas

no executar aes sem pensar (como executarum programa anexo uma mensagem)

GSegGSegUFRGSUFRGS


36/173


Coleta de Informao

Informaes teis (ao atacante)

domnio e servidores (whois e nslookup) nmeros IP (nslookup e traceroute) arquitetura das mquinas (CPU, sistema

operacional) servidores (verses e plataforma) servios de proteo (firewall, VPNs, ACL) acesso remoto (telefones, usurios

autorizados)

usurios (nomes, cargos, funes)

GSegGSegUFRGSUFRGS


37/173


Coleta de Informao

Problema: algumas informaes devem serpblicas

Preveno: evitar o fornecimento de informao

desnecessria

Toda a informao vital para operao deve serobviamente fornecida, mas qualquer informaoadicional deve ser suprimida

GSegGSegUFRGSUFRGS


38/173


Varredura (Scanning)

Teste sistemtico dos nmeros IP de uma

organizao

Determinao dos servios esto ativos(quais portas esto escutando)

Preveno: limitar o trfego desnecessrio(filtro de pacotes ou firewall)

GSegGSegUFRGSUFRGS


39/173


Negao de Servio

DoS ou denial-of-service

Objetivo: impedir o uso legtimo dosistema, ou derrubar a mquina

Inmeras formasping of deathsyn flood

smurf attack

UDP flood

GSegGSegUFRGSUFRGS


40/173


Negao de Servio

Impedir DoS quase impossvel

Distribuir os servios para a maioria

permanecer operacional

Manter-se atualizado sobre asvulnerabilidades apresentadas pela versoatual do sistema

GSegGSegUFRGSUFRGS


41/173


Explorao de bugs

Explorar furos de implementao para

obter privilgios

Preveno (em programas prprios) boas prticas de engenharia de software

verificar erros comuns (estouros de buffers)

verificar as entradas lei do menor privilgio

GSegGSegUFRGSUFRGS


42/173


Buffer Overflow

func_1(){

int a, b;

func_2();}

a, bc, d

func_2(){

int c, d;

func_3();}

end da func 1buf

func_3(){

char buf[100];

read_user_input(buf);}

end da func 2

evil_assembly_code()

end do buf

GSegGSegUFRGSUFRGS


43/173


Explorao de bugs

Preveno (em programas de terceiros)

verificar vulnerabilidades conhecidas aplicar os patches disponveis

manter-se informado e atualizado

Nenhum sistema seguro

Nenhumpatch perfeito

Mas a maioria dos atacantes s sabeexplorar bugs, e no cri-los

GSegGSegUFRGSUFRGS

l d l


44/173


Explorao de Protocolos

Muitos so derivados de falhas nomecanismo de autenticao IPspoofing: utilizar um endereo IP confivel DNSspoofing: subverter o servidor de nomes

Source Routing: utilizar os mecanismos deroteamento Ataque RIP: enviar informaes de

roteamento falsas Ataque ICMP: explorar msgs como redirecte

destination unreachable

GSegGSegUFRGSUFRGS

S ff


45/173


Sniffer

sniffing- interface de rede que opera modo

promscuo, capturando todos os pacotes

fcil para um programa sniffer obterusername epassworddos usurios

Utilizao de sniffer difcil de serdetectada

GSegGSegUFRGSUFRGS

A d Di i i


46/173


Ataque do Dicionrio

Um dos arquivos mais cobiados por

atacantes o de senhas Unix: /etc/passwd Windows: *.pwl

Windows NT: SAM

Senhas cifradas

GSegGSegUFRGSUFRGS

At d Di i i


47/173


Ataque do Dicionrio

Pessoas utilizam senhas facilmente

memorizveis, como nomes prprios oupalavras de uso corriqueiro

Atacante compe um dicionrio eexperimenta todas as palavras deste

dicionrio contra a cifra armazenada noarquivo de senhas

GSegGSegUFRGSUFRGS

At d Di i i


48/173


Ataque do Dicionrio

Vrios programas disponveis (Crack, etc)

Ao preventiva: atacar o prprio arquivo desenhas

No utilizar senhas derivadas de palavras enomes

Utilizar letras iniciais de frases ou palavras comerros

GSegGSegUFRGSUFRGS

Cdi M li i


49/173


Cdigo Malicioso

Cavalos de Tria (no se propagam)

falsa tela de Login falsa Operao

Vrus

Backdoors

Controle Remoto (Netbus,Back Orifice)

GSegGSegUFRGSUFRGS

Cdi M li i


50/173


Cdigo Malicioso

Preveno: Monitores

Impossvel tratamento exato e confivel

Manter anti-vrus atualizado

Preparar procedimento de emergncia

GSegGSegUFRGSUFRGS

Seg rana: tipos


51/173


Segurana: tipos

Nenhuma segurana

Segurana por obscuridade

Segurana baseada em mquina

Segurana baseada em rede

Combinao de mecanismos

GSegGSegUFRGSUFRGS

Segurana: estratgias


52/173


Segurana: estratgias

Atribuir privilgios mnimos

Criar redundncia de mecanismosCriar ponto nico de acesso

Determinar os pontos mais fracosTornar o sistema livre de falhas (fail-safe)

Incentivar a participao universal Investir na diversidade de defesa

Prezar a simplicidade


53/173

GSegGSegUFRGSUFRGS

Medidas de segurana


54/173


Medidas de segurana

O que se est querendo proteger?

O que preciso para proteger?Qual a probabilidade de um ataque?

Qual o prejuzo se o ataque for bemsucedido?

Implementar procedimentos de seguranair ser vantajoso no ponto de vista custo-

benefcio?

GSegGSegUFRGSUFRGS

Poltica de segurana


55/173


Poltica de segurana

Conjunto de leis regras e prticas queregulam (informaes e recursos):

como gerenciar

como proteger

como distribuir

Sistema seguro = sistema que garante ocumprimento da poltica de seguranatraada

GSegGSegUFRGSUFRGS

Poltica de segurana


56/173


Poltica de segurana

Define o que e o que no permitido no

sistema

Define o comportamento autorizado paraos indivduos que interagem com o sistema

GSegGSegUFRGSUFRGS

Mecanismos para segurana


57/173


Mecanismos para segurana

Wrappers

Firewalls

Criptografia

Redes Privadas (VPNs)

Ferramentas de verificao

GSegGSegUFRGSUFRGS

Wrapers


58/173


Wrapers

TCP Wrappers so um conjunto de

programas que encapsulam os daemonsdos servios de rede visando aumentar suasegurana

Funcionam como um filtro e estendem o

servio original


59/173

GSegGSegUFRGSUFRGS

Firewalls


60/173


Firewalls

Conjunto de componentes colocados entre

duas redes e que coletivamenteimplementam uma barreira de segurana

Finalidade

retardar os efeitos de um ataque at quemedidas administrativas contrrias sejamexecutadas

GSegGSegUFRGSUFRGS

Firewalls


61/173


Firewalls

Objetivo bsico

defender a organizao de ataques externos

Efeito secundrio pode ser utilizado para regular o uso de

recursos externos pelos usurios internos

GSegGSegUFRGSUFRGS

Firewalls


62/173


Firewalls

DMZ

Internet

Rede interna

GSegGSegUFRGSUFRGS

Firewalls


63/173


Firewalls

Pode ser implementado utilizando dois

mecanismos bsicos: filtragem de pacotes anlise dos pacotes que passam pelo firewall

servidores proxy

anlise dos servios sendo utilizados


64/173

GSegGSegUFRGSUFRGS

Criptografia de chave nica


65/173



nica

Esta mensagem secreta, poiscontm dados damais altaimportncia paraa nossa empresa.

fsdfsdgfdghdgkdhfgkdshgksdfghkdshgfksdfghkfdsgiuerbdhbkdbskfbhkbsldbhdfskbhdksfbhkdbhdbfkhsdkbhdfk


CIFRAGEM


DECIFRAGEM TRANSMISSO

Alice Bob

nica

GSegGSegUFRGSUFRGS



66/173


C p og de c ve c

nica chave para cifragem e decifragem

Substituio, permutao, operaesalgbricas

Alta velocidade

Problemas na distribuio de chaves

GSegGSegUFRGSUFRGS

Criptografia de chave pblica


67/173


p g p

PubPub Priv




CIFRAGEM


DECIFRAGEM TRANSMISSO

Alice Bob

GSegGSegUFRGSUFRGS



68/173


p g p

Duas chaves: uma pblica e outra secreta

Cifragem com uma chave somente decifrada com a outra chave

GSegGSegUFRGSUFRGS



69/173


p g p

Privacidade: cifrar com chave pblica;somente chave secreta pode decifrar

Assinatura: cifrar com chave secreta; chavepblica decifra e identifica usurio

GSegGSegUFRGSUFRGS

Criptografia + Assinatura


70/173


p g

Fsdjfljgljdlgjdlgjldgjldjgldjgldjfgljdfljlvbkjn;x923q8508hugdkbnmsbn5y9[6590mnkpmjfw44n50b0okythp;

jguent039oktrpgerjhgwunpt058bngnwug09u6buyhjoireueyu848ybnuyue98

Pub

Bob

Pub Priv


h25c924fed23

Pub Priv

Alice

Pub

Fsdjfljgljdlgjdlgjldgjldjgldjgldjfgljdfljlvbkjn;x923q8508hugdkbnmsbn5y9[6590mnkpmjfw44n50b0okythp;

jguent039oktrpgerjhgwunpt058bngnwug09u6buyhjoireueyu848ybnuyue98


4932uvf9vbd8bbfgbfg 4932uvf9vbd8bbfgbfgh25c924fed23


71/173

GSegGSegUFRGSUFRGS

Ferramentas de Anlise


72/173


COPS (Computer Oracle and PasswordProgram)

SATAN (Security Analysis Tool forAuditing Network)

ISS (Internet Security Scanner)

SAINT (Security Administrators

Integrated Network Tool)Nessus (um dos mais atuais)


73/173

GSegGSegUFRGSUFRGS

Verificadores de Senhas


74/173


Verificar se uma senha pode ser quebrada

Exemplo: Crack

Verificar se uma senha fcil

Exemplos: npasswd, passwd+

GSegGSegUFRGSUFRGS

Analisadores de Logs


75/173


Facilitar a anlise de arquivos de logs

Realizar logs mais detalhados (alm de um grep)

Exemplos: Swatch (Simple Watcher)

Netlog

LogSurfer

GSegGSegUFRGSUFRGS

Segurana (resumindo)


76/173


Segurana um atributo negativo

fcil detectar pontos inseguros difcil (impossvel ?!?) provar segurana

Segurana por obscuridade no segurana

no adianta se esconder no adianta ser otimista

esteja preparado

GSegGSegUFRGSUFRGS

Segurana (resumindo)


77/173


Segurana um atributo global

envolve vrios componentes do sistema envolve vrios mecanismos

analogia: poucos confiam apenas nas trancas

de seus carros

Falsa sensao de segurana pode ser piordo que a falta de cuidados

GSegGSegUFRGSUFRGS


78/173

Sistemas de Deteco deIntruso

GSegGSegUFRGSUFRGS

Sistemas de Deteco de Intruso


79/173


Nmero crescente de ataques/incidentes

132 252 406 7731334

2340 2412 2573 2134 3734

9859

21756

0

5000

10000

15000

20000

25000

198

9

199

0

199

1

199

2

199

3

199

4

199

5

199

6

199

7

199

8

199

9

200

0

In

cidentesReportadosComplexidade crescente

Ferramentas de ataque cada vez maiseficientes

Tempos de recuperao proibitivos

GSegGSegUFRGSUFRGS



80/173


Preveno no suficiente

Importncia da diversidade de defesa

Soluo: Deteco de Intruso garantir comportamento livre de falhas

GSegGSegUFRGSUFRGS



81/173


Deteco de intruso: tarefa de coletar e analisar eventos, buscando

sinais de intruso e de mau-uso

Intruso: uso inapropriado de um sistema de informao

aes tomadas para comprometer aprivacidade, integridade ou a disponibilidade

GSegGSegUFRGSUFRGS



82/173


Deteco de intruso X deteco de ataque intruso: ao j concretizada

ataque: ao maliciosa que gera um resultadono autorizado

Reao?

GSegGSegUFRGSUFRGS

IDS X Auditoria


83/173


Ferramentas de auditoria preveno

confinamento e avaliao de danos

tratamento de falhas

Analogia: consultores e/ou peritos criminais

IDSs deteco

analogia: vigia noturno

GSegGSegUFRGSUFRGS

IDS: classificao


84/173


Segundo os mtodos de deteco usados

Segundo a arquitetura adotada alvo

localizao

GSegGSegUFRGSUFRGS

IDS: classificao


85/173


Segundo o mtodo de deteco baseado em comportamento

baseado em assinaturas

Segundo a arquitetura alvo

baseado em rede

baseado em host hbrido

localizao centralizado

hierrquico distribudo

GSegGSegUFRGSUFRGS

IDS: classificao


86/173


IDS

Arquitetura

Comportam.

ps-deteco

Freqncia de

uso

Mtodo de

Deteco

Baseado em

Comportamento

Baseado em

Assinaturas

Passivo

Ativo

Monitoramento

contnuo

Anlise peridica

Segundo o alvo

Segundo a

localizaoCentralizado

Hierrquico

Distribudo

Baseado em Rede

Baseado em Host

Hbrido

GSegGSegUFRGSUFRGS

IDS: histrico


87/173


Conceito surgido no incio dos anos 80 1 Gerao

registros de auditoria eram processados offline surgimento dos mtodos baseados em

comportamento e em assinaturas 2 Gerao

processamento estatisticamente + sofisticado

mais medidas de comportamento monitoradas alertas em tempo real tornaram-se possveis

GSegGSegUFRGSUFRGS

IDS: histrico


88/173


3 Gerao uso dos conceitos anteriores para sistemas em

rede/sistemas distribudos

uso de novas tcnicas para deteco (sistemas

especialistas, redes neurais, data mining, etc) surgimento dos primeiros IDSs comerciais

GSegGSegUFRGSUFRGS

IDS: estrutura


89/173


Componentes funcionalmente semelhantes independente da arquitetura/mtodo adotados

Muitas vezes agrupados

Modularidade importante na aplicao e no

desenvolvimento de novos IDS

GSegGSegUFRGSUFRGS

IDS: componentes


90/173


Geradores de eventos

Analisadores de eventos

Bases de dados de eventos

Unidades de resposta

GSegGSegUFRGSUFRGS

IDS: padronizao


91/173


CIDF (Common Intrusion DetectionFramework)

IDWG (Intrusion Detection WorkingGroup)

GSegGSegUFRGSUFRGS

IDS: IDWG


92/173


IDS

Origem dos

Dados

Sensor

Analisador

Operador

GerenteAdministrador

Atividade

Evento

AlertaPoltica de

Segurana

Notificao

Resposta

GSegGSegUFRGSUFRGS

IDS: mtodos de deteco


93/173


Responsveis diretos na busca por indciosde intruso

Dois grandes grupos: tcnicas baseadas em comportamento

tcnicas baseadas em assinaturas


94/173

GSegGSegUFRGSUFRGS

IDS: baseado em comportamento


95/173


Compara o estado atual do sistema com ocomportamento considerado normal

Desvios so considerados intruses

Ex.: conexes externas em horriosincomuns, padro de digitao

Outros exemplos ???

GSegGSegUFRGSUFRGS

IDS: baseado em assinaturas


96/173


Tambm chamada de deteco por mau uso

Divide as aes do sistema em aceitveis eno aceitveis

Habilidade de encontrar tentativas de

explorao de vulnerabilidades conhecidas

No aceitvel Aceitvel

Intruso Ao

Normal

GSegGSegUFRGSUFRGS

IDS: baseado em assinaturas


97/173


Compara as aes realizadas no sistemacom uma base de assinaturas de ataques

Ex.: cpia do arquivo de senhas

(/etc/passwd)

Outros exemplos ???

GSegGSegUFRGSUFRGS

IDS: arquiteturas


98/173


Diretamente ligado ao desempenho

Segundo o alvo baseado em rede baseado em host

hbrido

Segundo a localizao

centralizado hierrquico distribudo

GSegGSegUFRGSUFRGS

IDS: rede


99/173


Dados analisados so retirados da rede

Deteco de ataques relacionados aotrfego de rede

Ex: captura de pacotes, estatsticas detrfego

Outros exemplos ???

GSegGSegUFRGSUFRGS

IDS: host


100/173


Dados obtidos na prpria mquina

Deteco de ataques relacionados a aeslocais

Ex: trilhas de auditoria, cpias de arquivos

IDSs baseados em aplicao: outra classe

GSegGSegUFRGSUFRGS

IDS: nveis


101/173


IDS baseado em rede

IDS baseado em host

IDS baseado em aplicao

Nvel de

abstrao


102/173

GSegGSegUFRGSUFRGS

IDS: hierrquico

di ib d f


103/173


Funes distribudas mas com fortesrelaes de hierarquia

Analisador

Mquina B

Coletor

Mquina C

Coletor

Mquina D

Coletor

Mquina E

Gerente

Mquina A

GSegGSegUFRGSUFRGS

IDS: distribudo

F li di ib d


104/173


Funes livremente distribudas

Analisador

Mquina B

Analisador

Mquina C

Coletor

Mquina D

Coletor

Mquina E

Gerente

Mquina A

GSegGSegUFRGSUFRGS


105/173

Mtodos de Deteco

GSegGSegUFRGSUFRGS

Mtodos Tradicionais

B l i d i d i t


106/173


Busca manual por indcios de intruso

Realizada h bastante tempo (emprica)

Tcnicas de auditoria de sistemas

Tcnicas de gerncia de redes

GSegGSegUFRGSUFRGS

Mtodos Tradicionais

A li d t ilh d dit i


107/173


Anlise de trilhas de auditoria registrar principais eventos

selecionar eventos importantes

buscar por indcios de intruso (offline)

Problemas manipulao de grandes qtdes de informao

tamanho das trilhas (armazenamento) dificuldade de correlao de eventos


108/173

GSegGSegUFRGSUFRGS

Anlise por assinaturas

Mtodo muito utilizado


109/173


Mtodo muito utilizado

Dificuldade: correlacionar dados coletadoscom as assinaturas existentes

Principais tcnicas: Filtros de pacotes

Sistemas especialistas Redes de Petri

GSegGSegUFRGSUFRGS


Vantagens


110/173


Vantagens baixo n de falsos positivos

adoo de contra-medidas imediatas

reduo na quantidade de informao tratada

melhor desempenho

GSegGSegUFRGSUFRGS


Desvantagens


111/173


Desvantagens deteco s para ataques conhecidos

dificuldade de manuteno

base de assinaturas pode ser usada em novos

ataques difcil deteco de abusos de privilgios

GSegGSegUFRGSUFRGS

Anlise por comportamento

Comportamento esttico X dinmico


112/173


Comportamento esttico X dinmico

Dificuldade: estabelecer comportamentopadro

Principais tcnicas:

anlise estatstica sistemas especialistas


113/173

GSegGSegUFRGSUFRGS

Anlise por comportamento

Desvantagens


114/173


Desvantagens dificuldade de configurao

maior n de falsos positivos

relatrios de difcil anlise

menor desempenho (clculos complexos) dificuldade de lidar com mudanas normais de

comportamento

GSegGSegUFRGSUFRGS

Mtodos Avanados

Estudo de novas formas de anlise


115/173


Estudo de novas formas de anlise

Complexos

Desempenho reduzido Implantao e manuteno dificultadas

Incipientes e no aplicados em larga escala

GSegGSegUFRGSUFRGS

Mtodos Avanados

Redes neurais


116/173


Redes neurais dificuldades no treinamento da rede

mais usado na deteco de anomalias

Sistema imunolgico

determinar o que pertence ao sistema procurar corpos estranhos

Ex.: seqncias de chamadas de sistemaData minninge recuperao de informao

GSegGSegUFRGSUFRGS


117/173

Arquiteturas

GSegGSegUFRGSUFRGS

Baseada em Host

Precursora em IDS


118/173


Permite determinar as operaesdesencadeadas no sistema

Informaes como: trilhas de auditoria

carga de CPU programas executados integridade de arquivos

GSegGSegUFRGSUFRGS

Baseada em Host

Vantagens


119/173


Vantagens independncia de rede

deteco de ataques internos / abusos deprivilgios

maior capacidade de confinamento/avaliaode danos e de recuperao de erros

GSegGSegUFRGSUFRGS

Baseada em Host

Desvantagens


120/173


g dificuldade de instalao

dificuldade de manuteno

ataques ao prprio IDS

dificuldade de tratar ataques de rede interferncia no desempenho do sistema

dependncia de plataforma

GSegGSegUFRGSUFRGS

Baseada em Rede

Tratar ataques prpria rede


121/173


q p p

Permite determinar as operaesdesencadeadas atravs da rede

Informaes como:

pacotes de rede (cabealhos e dados) estatsticas de trfego

SNMP

GSegGSegUFRGSUFRGS

Baseada em Rede

Vantagens


122/173


g deteco de ataques externos

facilidade de instalao

facilidade de manuteno

interferncia mnima (nula) no desempenho independncia de plataforma

GSegGSegUFRGSUFRGS

Baseada em Rede

Desvantagens


123/173


g tratamento de redes de alta velocidade

dependncia de rede

dificuldade de reao

GSegGSegUFRGSUFRGS

Centralizado

Precursor em IDS


124/173


Vantagens simplicidade

interferncia mnima (nula) na rede

imunidade a problemas de autenticidadeDesvantagens

ponto nico de falha instalao/manuteno em grandes redes

crescimento modular dificultado

GSegGSegUFRGSUFRGS

Distribudo

Vantagens


125/173


robustez

crescimento modular

distribuio de tarefas

abrangncia de detecoDesvantagens

complexidade interferncia no desempenho da rede

necessidade de autenticao

GSegGSegUFRGSUFRGS

Hierrquico

Fortes relaes de subordinao


126/173


Maior facilidade de desenvolvimento

Pontos nicos de falha

GSegGSegUFRGSUFRGS

Solues Hbridas

Mesclar solues


127/173


Aproveitar vantagens de cada abordagem

Equilibrar necessidades e proibies

GSegGSegUFRGSUFRGS


128/173

Exemplos de IDSs

GSegGSegUFRGSUFRGS

Snort

Um dos mais utilizados no momento


129/173


Arquitetura centralizada

Dados coletados na rede

Anlise baseada em assinaturas

GSegGSegUFRGSUFRGS

Snort

Simplicidade e eficincia


130/173


Base com milhares de assinaturas

Plataforma UNIX ou Windows

Distribuio livre (www.snort.org)

GSegGSegUFRGSUFRGS

Snort

Captura de pacotes de rede (libpcap)


131/173


uso de regras de filtragem (TCPdump)

Analisador simples

baseado em regras trata cabealhos e dados

Aes: registrar, alertar ou descartar

GSegGSegUFRGSUFRGS

Snort: regras

1 parte: ao a ser tomada


132/173


log, alertoupass

2 parte: padro procurado

cabealho ou contedoalert TCP $HOME_NET 146 -> !$HOME_NET 1024: (msg:"IDS315 - BACKDOOR-

ACTIVITY - Infector.1.x"; content: "WHATISIT"; )

alert TCP $HOME_NET 21 -> !$HOME_NET any (msg:"FTP-NT-bad-login";

content: "Login failed."; )


133/173

GSegGSegUFRGSUFRGS

Bro

Desenvolvido peloLawrence BerkeleyN i l L b


134/173


National Laboratory

Arquitetura centralizada

Dados coletados na rede


GSegGSegUFRGSUFRGS

Bro

Utilizascripts


135/173


Base com poucas assinaturas

Implementaes em DecUnix, FreeBSD,Solaris, SunOS e Linux

Distribuio livre (www-nrg.ee.lbl.gov)


136/173

GSegGSegUFRGSUFRGS

Bro: filtros

Scripts semelhantes linguagem C


137/173


event finger_request(c:connection, request: string, full: bool)

{

if ( request in hot_names )

++c$hot;

if ( c$hot > 0 )

log fmt("finger: %s", msg);

print finger_log, fmt("%.6f %s", c$start_time, msg);

c$addl = c$addl == "" ? req : fmt("*%s, %s", c$addl, req);

}

GSegGSegUFRGSUFRGS

AAFID

Autonomous Agents for Intrusion Detection


138/173


Desenvolvido pelo CERIAS

Arquitetura hierrquicaDados coletados na rede e no host

Anlise de acordo com os agentes

GSegGSegUFRGSUFRGS

AAFID: componentes

a


139/173


a

a

a

a

a

a

a

a

M

M

Interface

TT

T

T

M

aTransceiver

Monitor

Agente

Fluxo deControle

Fluxo de

Dados

GSegGSegUFRGSUFRGS

AAFID

Escrito em Perlf il i


140/173


fcil migrao

Pseudo-linguagem (AAS) para

especificao de agentesComponentes de execuo independente

Monitores usam execuo remota (ssh)

GSegGSegUFRGSUFRGS

EMERALD

Event Monitoring Enabling Response to

Anomalous Live Disturbance)


141/173


Anomalous Live Disturbance)

Desenvolvido pela SRI International

Arquitetura distribuda

Dados coletados no host e na rede

GSegGSegUFRGSUFRGS

EMERALD

Anlise baseada em conhecimento e emassinaturas


142/173


assinaturas

Projeto sucessor do IDES e NIDES

Projetado para redes de larga escala

Conceito de monitores/domnios


143/173

GSegGSegUFRGSUFRGS

EMERALD: monitor


144/173


AP

I

API do Monitor

Recursos para o

sistema alvo

API do Monitor

Elemento dedeciso

Analisador por

assinaturas

Analisador por

comportamento

AP

I Outros monitoresSistema alvo


145/173

GSegGSegUFRGSUFRGS

RealSecure

Desenvolvido pela ISS (Internet SecuritySystem)


146/173


y )

Grande aceitao no mercado

Arquitetura hierrquica

Dados coletados na rede e no host



147/173

GSegGSegUFRGSUFRGS

RealSecure

Polticas aplicadas atravs dos consoles


148/173


Possvel autenticao entresensores/consoles

Reaofirecell signatures (firewalllocal)reconfigurao de firewallsencerramento de sessoetc

GSegGSegUFRGSUFRGS

RealSecure

Permite a criao de scripts Tcl associadosa assinaturas (SecureLogic)


149/173


( g )

Permite a definio de assinaturas do

usurio

Permite a criao de filtros

GSegGSegUFRGSUFRGS

NFR

Network Flight Recorder


150/173


Desenvolvida por Marcus Ranum (NFRSecurity)

Ferramenta para anlise de trfego eposterior registro

Verso comercial (completa) e de domniopblico (reduzida)


151/173

GSegGSegUFRGSUFRGS

NFR: estrutura

Backend

Sensor

NFR

Backend

Sensor

NFR


152/173


...

Servidor Central de Gerenciamento (CMS)

Interface

de

Administrao

(AI)

Analisador

Backend

Backend

Backend

Gravador

Analisador

Backend

Backend

Backend

Gravador

GSegGSegUFRGSUFRGS

NFR

Base mantida por terceiros


153/173


Regras escritas em linguagem proprietria(N-Code), semelhante C

Gerao de byte-codes

Distribuio atravs de pacotes


154/173


155/173


156/173

GSegGSegUFRGSUFRGS

Seleo e Implementao

Analisar detalhes tcnicos mtodos de deteco e arquitetura


157/173


testes realizados por terceiros nvel de conhecimento para operao

possibilidade de expanso suporte

integrao com outros mecanismos

plataformas disponveis

custo

GSegGSegUFRGSUFRGS

Seleo e Implementao

Criar ambiente de testes


158/173


Distribuir corretamente os sensores de rede

Instalar sensores de host


159/173


160/173

GSegGSegUFRGSUFRGS

Distribuio de Sensores

Nos backbones monitorar grandes qtdes de trfego


161/173


detectar ataques internos

Nas redes crticas detectar ataques aos recursos crticos

permitir o foco nos recursos de maior valor

GSegGSegUFRGSUFRGS

Sensores: problemas

Trfego criptografado


162/173


Trfego segmentado

Trfego de alta velocidade

GSegGSegUFRGSUFRGS

Vulnerabilidades Conhecidas

Falsos alarmes


163/173


Negao de servio (DoS)

Tolerncia a falhas

Autenticao


164/173

GSegGSegUFRGSUFRGS

Subvertendo o IDS

Procurando pela string su root. e quanto string su me^H^Hroot ?


165/173


e quanto string su root ? e quanto string alias blammo su, e depois

blammo root ?


166/173


167/173

GSegGSegUFRGSUFRGS

Mais Fragmentos

HDR USHDR

ERHDR

1.

2.

Seq. #

Time


168/173


HDR HDR ro

HDR ot

O que considerar ( USER root ou USER foot)?Qual deciso ser tomada pelo SO?

3b.

4.

HDR HDR fo

3a.

GSegGSegUFRGSUFRGS

Aspectos Legais

Interceptao telemtica C.F. Artigo 5 pargrafo XII


169/173


Privacidade

Documentar polticas


170/173

GSegGSegUFRGSUFRGS

Concluses

Aumento no n de incidentes


171/173


Despreparo dos profissionais da rea

No existe segurana 100%

No existe soluo completa


172/173

GSegGSegUFRGSUFRGS

Contatos

Rafael Campelloe-mail: [email protected]


173/173


Raul Webere-mail: [email protected]

GSegGSegUFRGSUFRGS

e-mail: [email protected]

pgina: www.inf.ufrgs.br/~gseg

minicursoidsslidessbrc2001-1228580629507190-9

Documents