minicursoidsslidessbrc2001-1228580629507190-9
TRANSCRIPT
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
1/173
GSegGSegUFRGSUFRGS
Sistemas de Deteco deIntruso
Rafael Campello e Raul Weber
UFRGS II PPGC GSegCentro Universitrio Franciscano
Florianpolis, 23 Maio de 2001
XIX Simpsio Brasileiro de Redes de Computadores
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
2/173
Grupo de Segurana - UFRGS 2
GSegGSegUFRGSUFRGS
Grupo de Segurana da UFRGS
Pesquisas
Sistemas de Deteco de Intruso (IDS) Controle de Integridade de Arquivos
Injeo de Falhas (TCP/IP)
Votao Eletrnica
Dinheiro Digital
GSegGSegUFRGSUFRGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
3/173
Grupo de Segurana - UFRGS 3
GSegGSegUFRGSUFRGS
Objetivos do CursoApresentar os princpios de um sistema de
deteco de intruso e seu uso comomecanismo de tolerncia a falhas desegurana
Abordar aspectos conceituais
Tecer algumas consideraes prticas
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
4/173Grupo de Segurana - UFRGS 4
GSegGSegUFRGSUFRGS
Pblico AlvoEstudantes de computao ou engenharia
noes de redes de computadores noes de sistemas operacionais
Profissionais ligados administrao ou gerncia de segurana em redes de
computadores
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
5/173Grupo de Segurana - UFRGS 5
GSegGSegUFRGSUFRGS
ProgramaFundamentos de segurana
Sistemas de Deteco de Intruso (IDSs)
Exemplos de IDSs
Consideraes prticas
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
6/173Grupo de Segurana - UFRGS 6
GSegGSegUFRGSUFRGS
Fundamentos de SeguranaConceitos bsicos
Ameaas e ataques
Mecanismos de proteo
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
7/173Grupo de Segurana - UFRGS 7
GSegGSegUFRGSUFRGS
Sistemas de Deteco de IntrusoConceitos bsicos
Mtodos de deteco de intruso
Arquiteturas de IDS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
8/173Grupo de Segurana - UFRGS 8
GSegGSegUFRGSUFRGS
Exemplos de IDSsSnort
BroAAFID
EMERALDRealSecure
NFR
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
9/173Grupo de Segurana - UFRGS 9
GSegGSegUFRGSUFRGS
Consideraes Prticas
Seleo e implementao
Vulnerabilidades conhecidas
Aspectos legais
GSGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
10/173Grupo de Segurana - UFRGS 10
GSegGSegUFRGSUFRGS
Cronograma
Fundamentos de segurana
coffee-break (10h30min 11h)
Sistemas de Deteco de Intrusoalmoo (13h 14h)
Exemplos de IDS
Consideraes prticas
GSGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
11/173Grupo de Segurana - UFRGS 11
GSegGSegUFRGSUFRGS
Regra nmero 1
FAA PERGUNTAS DURANTE A
APRESENTAO !!!
GSGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
12/173
GSegGSegUFRGSUFRGS
Fundamentos de Segurana
GSGSeg
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
13/173
Grupo de Segurana - UFRGS 13
GSegGSegUFRGSUFRGS
Segurana: introduo
No comeou como cincia nem como arte,
mas como um instinto
Maior interesse do homem, durante a sua
histria segurana prpria, da famlia, dos bens, etc
Matria de sobrevivncia criada naturalmente p/ garantir a sobrevivncia
das espcies
GSegGSeg
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
14/173
Grupo de Segurana - UFRGS 14
GSegGSegUFRGSUFRGS
Segurana: introduo
A vida seria melhor sem essas
preocupaes tranqilidade/felicidade de dcadas atrs
Paradoxo: busca-se algo que no desejado
Principal motivo do descaso e do
despreparo
GSegGSeg
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
15/173
Grupo de Segurana - UFRGS 15
GSegGSegUFRGSUFRGS
Segurana: introduo
Atitude mais cmoda e barata:
torcer para que nada acontea semelhante a esperar que sua casa no sejaroubada
Atitude correta:
cercar-se de cuidados preparar-se para lidar com os problemas analogia: colocar um alarme e fazer um seguro
da casa
GSegGSeg
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
16/173
Grupo de Segurana - UFRGS 16
GSegGSegUFRGSUFRGS
Segurana: introduo
Por que ser negligente?
segurana custo segurana perda na facilidade de uso valor da informao, da reputao e dos
servios da organizao no so levados emconsiderao
Em suma: custos com importncia maximizada...
...em detrimento de valores mais importantes
GSegGSeg
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
17/173
Grupo de Segurana - UFRGS 17
GSegGSegUFRGSUFRGS
Segurana: evoluo
Estmulo para o desenvolvimento do
computador eletrnico
Dcada de 40 Colossus (Primeiro Computador Eletrnico)
Decifrar as mensagens na 2 Guerra Mundial
GSegGSeg
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
18/173
Grupo de Segurana - UFRGS 18
GSegGSegUFRGSUFRGS
Segurana: evoluo
Fim da guerra: preocupaes com
segurana focadas em problemas fsicos
Computadores no possibilitavam o acessodireto a seus usurios Inviabiliza qualquer tipo de ao contra sua
segurana.
GSegGSeg
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
19/173
Grupo de Segurana - UFRGS 19
GSegGSegUFRGSUFRGS
Segurana: evoluo
Novas ameaas
mquinas com acesso compartilhado (time-sharing)
Teleprocessamento
Computadores pessoais
Redes
GSegGSeg
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
20/173
Grupo de Segurana - UFRGS 20
GSegGSegUFRGSUFRGS
Ameaas: exemplos
Destruio de informao ou de outro
recursoModificao ou deturpao da informao
Roubo, remoo ou perda de informao
Revelao de informao
Interrupo de servios
GSegGSeg
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
21/173
Grupo de Segurana - UFRGS 21
GSegGSegUFRGSUFRGS
Atacantes
Hacker/Cracker
Script Kid, One-click hackerEspio
TerroristaAtacante corporativo
VndaloVoyeur
Mitnick
Bart Simpson
GSegGSeg
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
22/173
Grupo de Segurana - UFRGS 22
GSegGSegUFRGSUFRGS
Ameaas: evoluo
Dcada de 80 - ataques individuais e
isolados Escolha de boas senhas
Prevenir o compartilhamento indiscriminado
Eliminar os bugs de segurana de programas
GSegGSeg
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
23/173
Grupo de Segurana - UFRGS 23
GSegGSegUFRGSUFRGS
Ameaas: evoluo
Dcada de 90 - ataques sofisticados
Sniffers capturam senhas e outras informaes Computadores so confundidos por IP
spoofing
Sesses so desviadas atravs de connectionhijacking
Dados so comprometidos via data spoofing Atacantes na maioria amadores (One-click
hacker, Script Kid)
GSegGSeg
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
24/173
Grupo de Segurana - UFRGS 24
GSegGSegUFRGSUFRGS
Segurana: conceitos
Tentativa de minimizar a vulnerabilidade
de bens e recursos
Mais abrangente: dotar os sistemas de: confiabilidade integridade
disponibilidade autenticidade privacidade
GSegGSeg
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
25/173
Grupo de Segurana - UFRGS 25
GSeggUFRGSUFRGS
Segurana: conceitos
O que se quer proteger?
confiabilidade disponibilidade
integridade
privacidade
autenticidade
GSegGSegGSUFRGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
26/173
Grupo de Segurana - UFRGS 26
ggUFRGSUFRGS
Segurana: conceitos
Dependability
Meios
De validao
De realizao
Preveno
de falhas
Tolerncia a
falhas
Remoo de
falhas
Previso de
falhas
Deteco de erros
Confinamento e
avaliao de danos
Recuperao de erros
Tratamento de
falhas
Atributos
Confiabilidade
Disponibilidade
.
.
.
Falhas
Humanas
Interao
Projeto
Intermitentes
Transitrias
Intencionais
No intencionais
Fsicas
Temporrias
Permanentes
Dependability
Meios
De validao
De realizao
Preveno
de falhas
Tolerncia a
falhas
Remoo de
falhas
Previso de
falhas
Deteco de erros
Confinamento e
avaliao de danos
Recuperao de erros
Tratamento de
falhas
Atributos
Confiabilidade
Disponibilidade
.
.
.
GSegGSegUFRGSUFRGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
27/173
Grupo de Segurana - UFRGS 27
ggUFRGSUFRGS
Segurana: conceitos
Validao
remoo de falhas previso de falhas
Preveno de falhas
Tolerncia a falhas deteco de erros
confinamento e avaliao de danos recuperao de erros
tratamento de falhas
GSegGSegUFRGSUFRGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
28/173
Grupo de Segurana - UFRGS 28
ggUFRGSUFRGS
Segurana: conceitos
Preveno de falhas
ex.: firewalls, criptografia, etc
Deteco de falhas ex.: sistemas de deteco de intruso
Resposta ex.: reconfigurao de um firewall
GSegGSegUFRGSUFRGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
29/173
Grupo de Segurana - UFRGS 29
gUFRGSUFRGS
Exemplo 1: propriedade privada
Preveno
trancas em portas, grades nas janelas, murosao redor da propriedade
Deteco perceber o desaparecimento de algum objeto,
usar alarmes e circuitos de TV
Reao chamar a polcia, reaver objetos roubados,
acionar o seguro
GSegGSegUFRGSUFRGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
30/173
Grupo de Segurana - UFRGS 30
UFRGSUFRGS
Exemplo 2: redes
Preveno
gerenciamento adequado,firewalls,proxiesDeteco
perceber anomalias no trfego ou interrupode servios, auditoria, IDS
Reao relatar o incidente, reinstalar softwares,redefinir polticas de segurana, demitir o
responsvel
GSegGSegUFRGSUFRGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
31/173
Grupo de Segurana - UFRGS 31
UFRGSUFRGS
Segurana: conceitos
Ameaa
Incidente atacante ataque objetivo
Ataque ferramenta vulnerabilidade eventoresultado no autorizado
Evento ao alvo
GSegGSegUFRGSUFRGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
32/173
Grupo de Segurana - UFRGS 32
UFRGSUFRGS
Segurana: conceitos
Hacker
Espio
Terrorista
AtacanteCorporativo
Criminoso
Profissional
Vndalo
Voyeur
Atacantes
Ataque
fsico
Troca de
Informao
Comando
de Usurio
Script ouPrograma
Agente
Autnomo
Toolkit
FerramentaDistribuda
Ferramenta
Intercepta
o de dados
Projeto
Implementao
Configurao
Vulnerabilidade
Probe
Varredura
Flood
Autenticao
Desvio
Spoof
Leitura
Ao
Cpia
Conta
Processo
Dado
Componente
Computador
Rede
Inter-rede
Alvo
Acesso
Ampliado
Revelao de
Informao
Informao
Corrompida
Negao deServio
Roubo de
Recursos
Resultado
Autorizado Desafio,
status
Ganho
Poltico
Ganho
Financeiro
Dano
Objetivos
Roubo
Modificao
Destruio
evento
ataque(s)
incidente
GSegGSegUFRGSUFRGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
33/173
Grupo de Segurana - UFRGS 33
UFRGSUFRGS
Principais Ataques
Engenharia social
Coleta de informao Varredura
Negao de servio (DoS)
Explorao de bugs
Explorao de protocolos
Sniffers
Ataque do dicionrio
Cdigo malicioso
GSegGSegUFRGSUFRGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
34/173
Grupo de Segurana - UFRGS 34
UFRGS
Engenharia Social
Mtodo: enganar as vtimas, por conversa,
telefone ou correio eletrnico
Objetivos: obter informaes valiosas obter privilgios
convencer a vtima a executar aes indevidase perigosas
GSegGSegUFRGSUFRGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
35/173
Grupo de Segurana - UFRGS 35
Engenharia Social
Preveno: educao e conscientizao
no fornecer informaes a estranhos exigir identificao
escolher boas senhas
no executar aes sem pensar (como executarum programa anexo uma mensagem)
GSegGSegUFRGSUFRGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
36/173
Grupo de Segurana - UFRGS 36
Coleta de Informao
Informaes teis (ao atacante)
domnio e servidores (whois e nslookup) nmeros IP (nslookup e traceroute) arquitetura das mquinas (CPU, sistema
operacional) servidores (verses e plataforma) servios de proteo (firewall, VPNs, ACL) acesso remoto (telefones, usurios
autorizados)
usurios (nomes, cargos, funes)
GSegGSegUFRGSUFRGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
37/173
Grupo de Segurana - UFRGS 37
Coleta de Informao
Problema: algumas informaes devem serpblicas
Preveno: evitar o fornecimento de informao
desnecessria
Toda a informao vital para operao deve serobviamente fornecida, mas qualquer informaoadicional deve ser suprimida
GSegGSegUFRGSUFRGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
38/173
Grupo de Segurana - UFRGS 38
Varredura (Scanning)
Teste sistemtico dos nmeros IP de uma
organizao
Determinao dos servios esto ativos(quais portas esto escutando)
Preveno: limitar o trfego desnecessrio(filtro de pacotes ou firewall)
GSegGSegUFRGSUFRGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
39/173
Grupo de Segurana - UFRGS 39
Negao de Servio
DoS ou denial-of-service
Objetivo: impedir o uso legtimo dosistema, ou derrubar a mquina
Inmeras formasping of deathsyn flood
smurf attack
UDP flood
GSegGSegUFRGSUFRGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
40/173
Grupo de Segurana - UFRGS 40
Negao de Servio
Impedir DoS quase impossvel
Distribuir os servios para a maioria
permanecer operacional
Manter-se atualizado sobre asvulnerabilidades apresentadas pela versoatual do sistema
GSegGSegUFRGSUFRGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
41/173
Grupo de Segurana - UFRGS 41
Explorao de bugs
Explorar furos de implementao para
obter privilgios
Preveno (em programas prprios) boas prticas de engenharia de software
verificar erros comuns (estouros de buffers)
verificar as entradas lei do menor privilgio
GSegGSegUFRGSUFRGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
42/173
Grupo de Segurana - UFRGS 42
Buffer Overflow
func_1(){
int a, b;
func_2();}
a, bc, d
func_2(){
int c, d;
func_3();}
end da func 1buf
func_3(){
char buf[100];
read_user_input(buf);}
end da func 2
evil_assembly_code()
end do buf
GSegGSegUFRGSUFRGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
43/173
Grupo de Segurana - UFRGS 43
Explorao de bugs
Preveno (em programas de terceiros)
verificar vulnerabilidades conhecidas aplicar os patches disponveis
manter-se informado e atualizado
Nenhum sistema seguro
Nenhumpatch perfeito
Mas a maioria dos atacantes s sabeexplorar bugs, e no cri-los
GSegGSegUFRGSUFRGS
l d l
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
44/173
Grupo de Segurana - UFRGS 44
Explorao de Protocolos
Muitos so derivados de falhas nomecanismo de autenticao IPspoofing: utilizar um endereo IP confivel DNSspoofing: subverter o servidor de nomes
Source Routing: utilizar os mecanismos deroteamento Ataque RIP: enviar informaes de
roteamento falsas Ataque ICMP: explorar msgs como redirecte
destination unreachable
GSegGSegUFRGSUFRGS
S ff
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
45/173
Grupo de Segurana - UFRGS 45
Sniffer
sniffing- interface de rede que opera modo
promscuo, capturando todos os pacotes
fcil para um programa sniffer obterusername epassworddos usurios
Utilizao de sniffer difcil de serdetectada
GSegGSegUFRGSUFRGS
A d Di i i
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
46/173
Grupo de Segurana - UFRGS 46
Ataque do Dicionrio
Um dos arquivos mais cobiados por
atacantes o de senhas Unix: /etc/passwd Windows: *.pwl
Windows NT: SAM
Senhas cifradas
GSegGSegUFRGSUFRGS
At d Di i i
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
47/173
Grupo de Segurana - UFRGS 47
Ataque do Dicionrio
Pessoas utilizam senhas facilmente
memorizveis, como nomes prprios oupalavras de uso corriqueiro
Atacante compe um dicionrio eexperimenta todas as palavras deste
dicionrio contra a cifra armazenada noarquivo de senhas
GSegGSegUFRGSUFRGS
At d Di i i
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
48/173
Grupo de Segurana - UFRGS 48
Ataque do Dicionrio
Vrios programas disponveis (Crack, etc)
Ao preventiva: atacar o prprio arquivo desenhas
No utilizar senhas derivadas de palavras enomes
Utilizar letras iniciais de frases ou palavras comerros
GSegGSegUFRGSUFRGS
Cdi M li i
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
49/173
Grupo de Segurana - UFRGS 49
Cdigo Malicioso
Cavalos de Tria (no se propagam)
falsa tela de Login falsa Operao
Vrus
Backdoors
Controle Remoto (Netbus,Back Orifice)
GSegGSegUFRGSUFRGS
Cdi M li i
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
50/173
Grupo de Segurana - UFRGS 50
Cdigo Malicioso
Preveno: Monitores
Impossvel tratamento exato e confivel
Manter anti-vrus atualizado
Preparar procedimento de emergncia
GSegGSegUFRGSUFRGS
Seg rana: tipos
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
51/173
Grupo de Segurana - UFRGS 51
Segurana: tipos
Nenhuma segurana
Segurana por obscuridade
Segurana baseada em mquina
Segurana baseada em rede
Combinao de mecanismos
GSegGSegUFRGSUFRGS
Segurana: estratgias
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
52/173
Grupo de Segurana - UFRGS 52
Segurana: estratgias
Atribuir privilgios mnimos
Criar redundncia de mecanismosCriar ponto nico de acesso
Determinar os pontos mais fracosTornar o sistema livre de falhas (fail-safe)
Incentivar a participao universal Investir na diversidade de defesa
Prezar a simplicidade
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
53/173
GSegGSegUFRGSUFRGS
Medidas de segurana
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
54/173
Grupo de Segurana - UFRGS 54
Medidas de segurana
O que se est querendo proteger?
O que preciso para proteger?Qual a probabilidade de um ataque?
Qual o prejuzo se o ataque for bemsucedido?
Implementar procedimentos de seguranair ser vantajoso no ponto de vista custo-
benefcio?
GSegGSegUFRGSUFRGS
Poltica de segurana
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
55/173
Grupo de Segurana - UFRGS 55
Poltica de segurana
Conjunto de leis regras e prticas queregulam (informaes e recursos):
como gerenciar
como proteger
como distribuir
Sistema seguro = sistema que garante ocumprimento da poltica de seguranatraada
GSegGSegUFRGSUFRGS
Poltica de segurana
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
56/173
Grupo de Segurana - UFRGS 56
Poltica de segurana
Define o que e o que no permitido no
sistema
Define o comportamento autorizado paraos indivduos que interagem com o sistema
GSegGSegUFRGSUFRGS
Mecanismos para segurana
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
57/173
Grupo de Segurana - UFRGS 57
Mecanismos para segurana
Wrappers
Firewalls
Criptografia
Redes Privadas (VPNs)
Ferramentas de verificao
GSegGSegUFRGSUFRGS
Wrapers
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
58/173
Grupo de Segurana - UFRGS 58
Wrapers
TCP Wrappers so um conjunto de
programas que encapsulam os daemonsdos servios de rede visando aumentar suasegurana
Funcionam como um filtro e estendem o
servio original
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
59/173
GSegGSegUFRGSUFRGS
Firewalls
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
60/173
Grupo de Segurana - UFRGS 60
Firewalls
Conjunto de componentes colocados entre
duas redes e que coletivamenteimplementam uma barreira de segurana
Finalidade
retardar os efeitos de um ataque at quemedidas administrativas contrrias sejamexecutadas
GSegGSegUFRGSUFRGS
Firewalls
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
61/173
Grupo de Segurana - UFRGS 61
Firewalls
Objetivo bsico
defender a organizao de ataques externos
Efeito secundrio pode ser utilizado para regular o uso de
recursos externos pelos usurios internos
GSegGSegUFRGSUFRGS
Firewalls
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
62/173
Grupo de Segurana - UFRGS 62
Firewalls
DMZ
Internet
Rede interna
GSegGSegUFRGSUFRGS
Firewalls
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
63/173
Grupo de Segurana - UFRGS 63
Firewalls
Pode ser implementado utilizando dois
mecanismos bsicos: filtragem de pacotes anlise dos pacotes que passam pelo firewall
servidores proxy
anlise dos servios sendo utilizados
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
64/173
GSegGSegUFRGSUFRGS
Criptografia de chave nica
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
65/173
Grupo de Segurana - UFRGS 65
Criptografia de chave nica
nica
Esta mensagem secreta, poiscontm dados damais altaimportncia paraa nossa empresa.
fsdfsdgfdghdgkdhfgkdshgksdfghkdshgfksdfghkfdsgiuerbdhbkdbskfbhkbsldbhdfskbhdksfbhkdbhdbfkhsdkbhdfk
fsdfsdgfdghdgkdhfgkdshgksdfghkdshgfksdfghkfdsgiuerbdhbkdbskfbhkbsldbhdfskbhdksfbhkdbhdbfkhsdkbhdfk
CIFRAGEM
Esta mensagem secreta, poiscontm dados damais altaimportncia paraa nossa empresa.
DECIFRAGEM TRANSMISSO
Alice Bob
nica
GSegGSegUFRGSUFRGS
Criptografia de chave nica
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
66/173
Grupo de Segurana - UFRGS 66
C p og de c ve c
nica chave para cifragem e decifragem
Substituio, permutao, operaesalgbricas
Alta velocidade
Problemas na distribuio de chaves
GSegGSegUFRGSUFRGS
Criptografia de chave pblica
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
67/173
Grupo de Segurana - UFRGS 67
p g p
PubPub Priv
Esta mensagem secreta, poiscontm dados damais altaimportncia paraa nossa empresa.
fsdfsdgfdghdgkdhfgkdshgksdfghkdshgfksdfghkfdsgiuerbdhbkdbskfbhkbsldbhdfskbhdksfbhkdbhdbfkhsdkbhdfk
fsdfsdgfdghdgkdhfgkdshgksdfghkdshgfksdfghkfdsgiuerbdhbkdbskfbhkbsldbhdfskbhdksfbhkdbhdbfkhsdkbhdfk
CIFRAGEM
Esta mensagem secreta, poiscontm dados damais altaimportncia paraa nossa empresa.
DECIFRAGEM TRANSMISSO
Alice Bob
GSegGSegUFRGSUFRGS
Criptografia de chave pblica
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
68/173
Grupo de Segurana - UFRGS 68
p g p
Duas chaves: uma pblica e outra secreta
Cifragem com uma chave somente decifrada com a outra chave
GSegGSegUFRGSUFRGS
Criptografia de chave pblica
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
69/173
Grupo de Segurana - UFRGS 69
p g p
Privacidade: cifrar com chave pblica;somente chave secreta pode decifrar
Assinatura: cifrar com chave secreta; chavepblica decifra e identifica usurio
GSegGSegUFRGSUFRGS
Criptografia + Assinatura
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
70/173
Grupo de Segurana - UFRGS 70
p g
Fsdjfljgljdlgjdlgjldgjldjgldjgldjfgljdfljlvbkjn;x923q8508hugdkbnmsbn5y9[6590mnkpmjfw44n50b0okythp;
jguent039oktrpgerjhgwunpt058bngnwug09u6buyhjoireueyu848ybnuyue98
Pub
Bob
Pub Priv
Esta mensagem secreta, poiscontm dados damais altaimportncia paraa nossa empresa.
h25c924fed23
Pub Priv
Alice
Pub
Fsdjfljgljdlgjdlgjldgjldjgldjgldjfgljdfljlvbkjn;x923q8508hugdkbnmsbn5y9[6590mnkpmjfw44n50b0okythp;
jguent039oktrpgerjhgwunpt058bngnwug09u6buyhjoireueyu848ybnuyue98
Esta mensagem secreta, poiscontm dados damais altaimportncia paraa nossa empresa.
4932uvf9vbd8bbfgbfg 4932uvf9vbd8bbfgbfgh25c924fed23
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
71/173
GSegGSegUFRGSUFRGS
Ferramentas de Anlise
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
72/173
Grupo de Segurana - UFRGS 72
COPS (Computer Oracle and PasswordProgram)
SATAN (Security Analysis Tool forAuditing Network)
ISS (Internet Security Scanner)
SAINT (Security Administrators
Integrated Network Tool)Nessus (um dos mais atuais)
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
73/173
GSegGSegUFRGSUFRGS
Verificadores de Senhas
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
74/173
Grupo de Segurana - UFRGS 74
Verificar se uma senha pode ser quebrada
Exemplo: Crack
Verificar se uma senha fcil
Exemplos: npasswd, passwd+
GSegGSegUFRGSUFRGS
Analisadores de Logs
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
75/173
Grupo de Segurana - UFRGS 75
Facilitar a anlise de arquivos de logs
Realizar logs mais detalhados (alm de um grep)
Exemplos: Swatch (Simple Watcher)
Netlog
LogSurfer
GSegGSegUFRGSUFRGS
Segurana (resumindo)
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
76/173
Grupo de Segurana - UFRGS 76
Segurana um atributo negativo
fcil detectar pontos inseguros difcil (impossvel ?!?) provar segurana
Segurana por obscuridade no segurana
no adianta se esconder no adianta ser otimista
esteja preparado
GSegGSegUFRGSUFRGS
Segurana (resumindo)
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
77/173
Grupo de Segurana - UFRGS 77
Segurana um atributo global
envolve vrios componentes do sistema envolve vrios mecanismos
analogia: poucos confiam apenas nas trancas
de seus carros
Falsa sensao de segurana pode ser piordo que a falta de cuidados
GSegGSegUFRGSUFRGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
78/173
Sistemas de Deteco deIntruso
GSegGSegUFRGSUFRGS
Sistemas de Deteco de Intruso
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
79/173
Grupo de Segurana - UFRGS 79
Nmero crescente de ataques/incidentes
132 252 406 7731334
2340 2412 2573 2134 3734
9859
21756
0
5000
10000
15000
20000
25000
198
9
199
0
199
1
199
2
199
3
199
4
199
5
199
6
199
7
199
8
199
9
200
0
In
cidentesReportadosComplexidade crescente
Ferramentas de ataque cada vez maiseficientes
Tempos de recuperao proibitivos
GSegGSegUFRGSUFRGS
Sistemas de Deteco de Intruso
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
80/173
Grupo de Segurana - UFRGS 80
Preveno no suficiente
Importncia da diversidade de defesa
Soluo: Deteco de Intruso garantir comportamento livre de falhas
GSegGSegUFRGSUFRGS
Sistemas de Deteco de Intruso
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
81/173
Grupo de Segurana - UFRGS 81
Deteco de intruso: tarefa de coletar e analisar eventos, buscando
sinais de intruso e de mau-uso
Intruso: uso inapropriado de um sistema de informao
aes tomadas para comprometer aprivacidade, integridade ou a disponibilidade
GSegGSegUFRGSUFRGS
Sistemas de Deteco de Intruso
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
82/173
Grupo de Segurana - UFRGS 82
Deteco de intruso X deteco de ataque intruso: ao j concretizada
ataque: ao maliciosa que gera um resultadono autorizado
Reao?
GSegGSegUFRGSUFRGS
IDS X Auditoria
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
83/173
Grupo de Segurana - UFRGS 83
Ferramentas de auditoria preveno
confinamento e avaliao de danos
tratamento de falhas
Analogia: consultores e/ou peritos criminais
IDSs deteco
analogia: vigia noturno
GSegGSegUFRGSUFRGS
IDS: classificao
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
84/173
Grupo de Segurana - UFRGS 84
Segundo os mtodos de deteco usados
Segundo a arquitetura adotada alvo
localizao
GSegGSegUFRGSUFRGS
IDS: classificao
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
85/173
Grupo de Segurana - UFRGS 85
Segundo o mtodo de deteco baseado em comportamento
baseado em assinaturas
Segundo a arquitetura alvo
baseado em rede
baseado em host hbrido
localizao centralizado
hierrquico distribudo
GSegGSegUFRGSUFRGS
IDS: classificao
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
86/173
Grupo de Segurana - UFRGS 86
IDS
Arquitetura
Comportam.
ps-deteco
Freqncia de
uso
Mtodo de
Deteco
Baseado em
Comportamento
Baseado em
Assinaturas
Passivo
Ativo
Monitoramento
contnuo
Anlise peridica
Segundo o alvo
Segundo a
localizaoCentralizado
Hierrquico
Distribudo
Baseado em Rede
Baseado em Host
Hbrido
GSegGSegUFRGSUFRGS
IDS: histrico
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
87/173
Grupo de Segurana - UFRGS 87
Conceito surgido no incio dos anos 80 1 Gerao
registros de auditoria eram processados offline surgimento dos mtodos baseados em
comportamento e em assinaturas 2 Gerao
processamento estatisticamente + sofisticado
mais medidas de comportamento monitoradas alertas em tempo real tornaram-se possveis
GSegGSegUFRGSUFRGS
IDS: histrico
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
88/173
Grupo de Segurana - UFRGS 88
3 Gerao uso dos conceitos anteriores para sistemas em
rede/sistemas distribudos
uso de novas tcnicas para deteco (sistemas
especialistas, redes neurais, data mining, etc) surgimento dos primeiros IDSs comerciais
GSegGSegUFRGSUFRGS
IDS: estrutura
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
89/173
Grupo de Segurana - UFRGS 89
Componentes funcionalmente semelhantes independente da arquitetura/mtodo adotados
Muitas vezes agrupados
Modularidade importante na aplicao e no
desenvolvimento de novos IDS
GSegGSegUFRGSUFRGS
IDS: componentes
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
90/173
Grupo de Segurana - UFRGS 90
Geradores de eventos
Analisadores de eventos
Bases de dados de eventos
Unidades de resposta
GSegGSegUFRGSUFRGS
IDS: padronizao
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
91/173
Grupo de Segurana - UFRGS 91
CIDF (Common Intrusion DetectionFramework)
IDWG (Intrusion Detection WorkingGroup)
GSegGSegUFRGSUFRGS
IDS: IDWG
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
92/173
Grupo de Segurana - UFRGS 92
IDS
Origem dos
Dados
Sensor
Analisador
Operador
GerenteAdministrador
Atividade
Evento
AlertaPoltica de
Segurana
Notificao
Resposta
GSegGSegUFRGSUFRGS
IDS: mtodos de deteco
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
93/173
Grupo de Segurana - UFRGS 93
Responsveis diretos na busca por indciosde intruso
Dois grandes grupos: tcnicas baseadas em comportamento
tcnicas baseadas em assinaturas
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
94/173
GSegGSegUFRGSUFRGS
IDS: baseado em comportamento
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
95/173
Grupo de Segurana - UFRGS 95
Compara o estado atual do sistema com ocomportamento considerado normal
Desvios so considerados intruses
Ex.: conexes externas em horriosincomuns, padro de digitao
Outros exemplos ???
GSegGSegUFRGSUFRGS
IDS: baseado em assinaturas
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
96/173
Grupo de Segurana - UFRGS 96
Tambm chamada de deteco por mau uso
Divide as aes do sistema em aceitveis eno aceitveis
Habilidade de encontrar tentativas de
explorao de vulnerabilidades conhecidas
No aceitvel Aceitvel
Intruso Ao
Normal
GSegGSegUFRGSUFRGS
IDS: baseado em assinaturas
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
97/173
Grupo de Segurana - UFRGS 97
Compara as aes realizadas no sistemacom uma base de assinaturas de ataques
Ex.: cpia do arquivo de senhas
(/etc/passwd)
Outros exemplos ???
GSegGSegUFRGSUFRGS
IDS: arquiteturas
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
98/173
Grupo de Segurana - UFRGS 98
Diretamente ligado ao desempenho
Segundo o alvo baseado em rede baseado em host
hbrido
Segundo a localizao
centralizado hierrquico distribudo
GSegGSegUFRGSUFRGS
IDS: rede
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
99/173
Grupo de Segurana - UFRGS 99
Dados analisados so retirados da rede
Deteco de ataques relacionados aotrfego de rede
Ex: captura de pacotes, estatsticas detrfego
Outros exemplos ???
GSegGSegUFRGSUFRGS
IDS: host
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
100/173
Grupo de Segurana - UFRGS 100
Dados obtidos na prpria mquina
Deteco de ataques relacionados a aeslocais
Ex: trilhas de auditoria, cpias de arquivos
IDSs baseados em aplicao: outra classe
GSegGSegUFRGSUFRGS
IDS: nveis
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
101/173
Grupo de Segurana - UFRGS 101
IDS baseado em rede
IDS baseado em host
IDS baseado em aplicao
Nvel de
abstrao
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
102/173
GSegGSegUFRGSUFRGS
IDS: hierrquico
di ib d f
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
103/173
Grupo de Segurana - UFRGS 103
Funes distribudas mas com fortesrelaes de hierarquia
Analisador
Mquina B
Coletor
Mquina C
Coletor
Mquina D
Coletor
Mquina E
Gerente
Mquina A
GSegGSegUFRGSUFRGS
IDS: distribudo
F li di ib d
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
104/173
Grupo de Segurana - UFRGS 104
Funes livremente distribudas
Analisador
Mquina B
Analisador
Mquina C
Coletor
Mquina D
Coletor
Mquina E
Gerente
Mquina A
GSegGSegUFRGSUFRGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
105/173
Mtodos de Deteco
GSegGSegUFRGSUFRGS
Mtodos Tradicionais
B l i d i d i t
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
106/173
Grupo de Segurana - UFRGS 106
Busca manual por indcios de intruso
Realizada h bastante tempo (emprica)
Tcnicas de auditoria de sistemas
Tcnicas de gerncia de redes
GSegGSegUFRGSUFRGS
Mtodos Tradicionais
A li d t ilh d dit i
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
107/173
Grupo de Segurana - UFRGS 107
Anlise de trilhas de auditoria registrar principais eventos
selecionar eventos importantes
buscar por indcios de intruso (offline)
Problemas manipulao de grandes qtdes de informao
tamanho das trilhas (armazenamento) dificuldade de correlao de eventos
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
108/173
GSegGSegUFRGSUFRGS
Anlise por assinaturas
Mtodo muito utilizado
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
109/173
Grupo de Segurana - UFRGS 109
Mtodo muito utilizado
Dificuldade: correlacionar dados coletadoscom as assinaturas existentes
Principais tcnicas: Filtros de pacotes
Sistemas especialistas Redes de Petri
GSegGSegUFRGSUFRGS
Anlise por assinaturas
Vantagens
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
110/173
Grupo de Segurana - UFRGS 110
Vantagens baixo n de falsos positivos
adoo de contra-medidas imediatas
reduo na quantidade de informao tratada
melhor desempenho
GSegGSegUFRGSUFRGS
Anlise por assinaturas
Desvantagens
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
111/173
Grupo de Segurana - UFRGS 111
Desvantagens deteco s para ataques conhecidos
dificuldade de manuteno
base de assinaturas pode ser usada em novos
ataques difcil deteco de abusos de privilgios
GSegGSegUFRGSUFRGS
Anlise por comportamento
Comportamento esttico X dinmico
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
112/173
Grupo de Segurana - UFRGS 112
Comportamento esttico X dinmico
Dificuldade: estabelecer comportamentopadro
Principais tcnicas:
anlise estatstica sistemas especialistas
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
113/173
GSegGSegUFRGSUFRGS
Anlise por comportamento
Desvantagens
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
114/173
Grupo de Segurana - UFRGS 114
Desvantagens dificuldade de configurao
maior n de falsos positivos
relatrios de difcil anlise
menor desempenho (clculos complexos) dificuldade de lidar com mudanas normais de
comportamento
GSegGSegUFRGSUFRGS
Mtodos Avanados
Estudo de novas formas de anlise
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
115/173
Grupo de Segurana - UFRGS 115
Estudo de novas formas de anlise
Complexos
Desempenho reduzido Implantao e manuteno dificultadas
Incipientes e no aplicados em larga escala
GSegGSegUFRGSUFRGS
Mtodos Avanados
Redes neurais
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
116/173
Grupo de Segurana - UFRGS 116
Redes neurais dificuldades no treinamento da rede
mais usado na deteco de anomalias
Sistema imunolgico
determinar o que pertence ao sistema procurar corpos estranhos
Ex.: seqncias de chamadas de sistemaData minninge recuperao de informao
GSegGSegUFRGSUFRGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
117/173
Arquiteturas
GSegGSegUFRGSUFRGS
Baseada em Host
Precursora em IDS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
118/173
Grupo de Segurana - UFRGS 118
Permite determinar as operaesdesencadeadas no sistema
Informaes como: trilhas de auditoria
carga de CPU programas executados integridade de arquivos
GSegGSegUFRGSUFRGS
Baseada em Host
Vantagens
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
119/173
Grupo de Segurana - UFRGS 119
Vantagens independncia de rede
deteco de ataques internos / abusos deprivilgios
maior capacidade de confinamento/avaliaode danos e de recuperao de erros
GSegGSegUFRGSUFRGS
Baseada em Host
Desvantagens
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
120/173
Grupo de Segurana - UFRGS 120
g dificuldade de instalao
dificuldade de manuteno
ataques ao prprio IDS
dificuldade de tratar ataques de rede interferncia no desempenho do sistema
dependncia de plataforma
GSegGSegUFRGSUFRGS
Baseada em Rede
Tratar ataques prpria rede
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
121/173
Grupo de Segurana - UFRGS 121
q p p
Permite determinar as operaesdesencadeadas atravs da rede
Informaes como:
pacotes de rede (cabealhos e dados) estatsticas de trfego
SNMP
GSegGSegUFRGSUFRGS
Baseada em Rede
Vantagens
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
122/173
Grupo de Segurana - UFRGS 122
g deteco de ataques externos
facilidade de instalao
facilidade de manuteno
interferncia mnima (nula) no desempenho independncia de plataforma
GSegGSegUFRGSUFRGS
Baseada em Rede
Desvantagens
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
123/173
Grupo de Segurana - UFRGS 123
g tratamento de redes de alta velocidade
dependncia de rede
dificuldade de reao
GSegGSegUFRGSUFRGS
Centralizado
Precursor em IDS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
124/173
Grupo de Segurana - UFRGS 124
Vantagens simplicidade
interferncia mnima (nula) na rede
imunidade a problemas de autenticidadeDesvantagens
ponto nico de falha instalao/manuteno em grandes redes
crescimento modular dificultado
GSegGSegUFRGSUFRGS
Distribudo
Vantagens
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
125/173
Grupo de Segurana - UFRGS 125
robustez
crescimento modular
distribuio de tarefas
abrangncia de detecoDesvantagens
complexidade interferncia no desempenho da rede
necessidade de autenticao
GSegGSegUFRGSUFRGS
Hierrquico
Fortes relaes de subordinao
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
126/173
Grupo de Segurana - UFRGS 126
Maior facilidade de desenvolvimento
Pontos nicos de falha
GSegGSegUFRGSUFRGS
Solues Hbridas
Mesclar solues
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
127/173
Grupo de Segurana - UFRGS 127
Aproveitar vantagens de cada abordagem
Equilibrar necessidades e proibies
GSegGSegUFRGSUFRGS
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
128/173
Exemplos de IDSs
GSegGSegUFRGSUFRGS
Snort
Um dos mais utilizados no momento
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
129/173
Grupo de Segurana - UFRGS 129
Arquitetura centralizada
Dados coletados na rede
Anlise baseada em assinaturas
GSegGSegUFRGSUFRGS
Snort
Simplicidade e eficincia
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
130/173
Grupo de Segurana - UFRGS 130
Base com milhares de assinaturas
Plataforma UNIX ou Windows
Distribuio livre (www.snort.org)
GSegGSegUFRGSUFRGS
Snort
Captura de pacotes de rede (libpcap)
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
131/173
Grupo de Segurana - UFRGS 131
uso de regras de filtragem (TCPdump)
Analisador simples
baseado em regras trata cabealhos e dados
Aes: registrar, alertar ou descartar
GSegGSegUFRGSUFRGS
Snort: regras
1 parte: ao a ser tomada
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
132/173
Grupo de Segurana - UFRGS 132
log, alertoupass
2 parte: padro procurado
cabealho ou contedoalert TCP $HOME_NET 146 -> !$HOME_NET 1024: (msg:"IDS315 - BACKDOOR-
ACTIVITY - Infector.1.x"; content: "WHATISIT"; )
alert TCP $HOME_NET 21 -> !$HOME_NET any (msg:"FTP-NT-bad-login";
content: "Login failed."; )
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
133/173
GSegGSegUFRGSUFRGS
Bro
Desenvolvido peloLawrence BerkeleyN i l L b
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
134/173
Grupo de Segurana - UFRGS 134
National Laboratory
Arquitetura centralizada
Dados coletados na rede
Anlise baseada em assinaturas
GSegGSegUFRGSUFRGS
Bro
Utilizascripts
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
135/173
Grupo de Segurana - UFRGS 135
Base com poucas assinaturas
Implementaes em DecUnix, FreeBSD,Solaris, SunOS e Linux
Distribuio livre (www-nrg.ee.lbl.gov)
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
136/173
GSegGSegUFRGSUFRGS
Bro: filtros
Scripts semelhantes linguagem C
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
137/173
Grupo de Segurana - UFRGS 137
event finger_request(c:connection, request: string, full: bool)
{
if ( request in hot_names )
++c$hot;
if ( c$hot > 0 )
log fmt("finger: %s", msg);
print finger_log, fmt("%.6f %s", c$start_time, msg);
c$addl = c$addl == "" ? req : fmt("*%s, %s", c$addl, req);
}
GSegGSegUFRGSUFRGS
AAFID
Autonomous Agents for Intrusion Detection
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
138/173
Grupo de Segurana - UFRGS 138
Desenvolvido pelo CERIAS
Arquitetura hierrquicaDados coletados na rede e no host
Anlise de acordo com os agentes
GSegGSegUFRGSUFRGS
AAFID: componentes
a
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
139/173
Grupo de Segurana - UFRGS 139
a
a
a
a
a
a
a
a
M
M
Interface
TT
T
T
M
aTransceiver
Monitor
Agente
Fluxo deControle
Fluxo de
Dados
GSegGSegUFRGSUFRGS
AAFID
Escrito em Perlf il i
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
140/173
Grupo de Segurana - UFRGS 140
fcil migrao
Pseudo-linguagem (AAS) para
especificao de agentesComponentes de execuo independente
Monitores usam execuo remota (ssh)
GSegGSegUFRGSUFRGS
EMERALD
Event Monitoring Enabling Response to
Anomalous Live Disturbance)
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
141/173
Grupo de Segurana - UFRGS 141
Anomalous Live Disturbance)
Desenvolvido pela SRI International
Arquitetura distribuda
Dados coletados no host e na rede
GSegGSegUFRGSUFRGS
EMERALD
Anlise baseada em conhecimento e emassinaturas
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
142/173
Grupo de Segurana - UFRGS 142
assinaturas
Projeto sucessor do IDES e NIDES
Projetado para redes de larga escala
Conceito de monitores/domnios
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
143/173
GSegGSegUFRGSUFRGS
EMERALD: monitor
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
144/173
Grupo de Segurana - UFRGS 144
AP
I
API do Monitor
Recursos para o
sistema alvo
API do Monitor
Elemento dedeciso
Analisador por
assinaturas
Analisador por
comportamento
AP
I Outros monitoresSistema alvo
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
145/173
GSegGSegUFRGSUFRGS
RealSecure
Desenvolvido pela ISS (Internet SecuritySystem)
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
146/173
Grupo de Segurana - UFRGS 146
y )
Grande aceitao no mercado
Arquitetura hierrquica
Dados coletados na rede e no host
Anlise baseada em assinaturas
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
147/173
GSegGSegUFRGSUFRGS
RealSecure
Polticas aplicadas atravs dos consoles
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
148/173
Grupo de Segurana - UFRGS 148
Possvel autenticao entresensores/consoles
Reaofirecell signatures (firewalllocal)reconfigurao de firewallsencerramento de sessoetc
GSegGSegUFRGSUFRGS
RealSecure
Permite a criao de scripts Tcl associadosa assinaturas (SecureLogic)
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
149/173
Grupo de Segurana - UFRGS 149
( g )
Permite a definio de assinaturas do
usurio
Permite a criao de filtros
GSegGSegUFRGSUFRGS
NFR
Network Flight Recorder
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
150/173
Grupo de Segurana - UFRGS 150
Desenvolvida por Marcus Ranum (NFRSecurity)
Ferramenta para anlise de trfego eposterior registro
Verso comercial (completa) e de domniopblico (reduzida)
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
151/173
GSegGSegUFRGSUFRGS
NFR: estrutura
Backend
Sensor
NFR
Backend
Sensor
NFR
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
152/173
Grupo de Segurana - UFRGS 152
...
Servidor Central de Gerenciamento (CMS)
Interface
de
Administrao
(AI)
Analisador
Backend
Backend
Backend
Gravador
Analisador
Backend
Backend
Backend
Gravador
GSegGSegUFRGSUFRGS
NFR
Base mantida por terceiros
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
153/173
Grupo de Segurana - UFRGS 153
Regras escritas em linguagem proprietria(N-Code), semelhante C
Gerao de byte-codes
Distribuio atravs de pacotes
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
154/173
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
155/173
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
156/173
GSegGSegUFRGSUFRGS
Seleo e Implementao
Analisar detalhes tcnicos mtodos de deteco e arquitetura
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
157/173
Grupo de Segurana - UFRGS 157
testes realizados por terceiros nvel de conhecimento para operao
possibilidade de expanso suporte
integrao com outros mecanismos
plataformas disponveis
custo
GSegGSegUFRGSUFRGS
Seleo e Implementao
Criar ambiente de testes
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
158/173
Grupo de Segurana - UFRGS 158
Distribuir corretamente os sensores de rede
Instalar sensores de host
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
159/173
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
160/173
GSegGSegUFRGSUFRGS
Distribuio de Sensores
Nos backbones monitorar grandes qtdes de trfego
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
161/173
Grupo de Segurana - UFRGS 161
detectar ataques internos
Nas redes crticas detectar ataques aos recursos crticos
permitir o foco nos recursos de maior valor
GSegGSegUFRGSUFRGS
Sensores: problemas
Trfego criptografado
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
162/173
Grupo de Segurana - UFRGS 162
Trfego segmentado
Trfego de alta velocidade
GSegGSegUFRGSUFRGS
Vulnerabilidades Conhecidas
Falsos alarmes
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
163/173
Grupo de Segurana - UFRGS 163
Negao de servio (DoS)
Tolerncia a falhas
Autenticao
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
164/173
GSegGSegUFRGSUFRGS
Subvertendo o IDS
Procurando pela string su root. e quanto string su me^H^Hroot ?
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
165/173
Grupo de Segurana - UFRGS 165
e quanto string su root ? e quanto string alias blammo su, e depois
blammo root ?
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
166/173
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
167/173
GSegGSegUFRGSUFRGS
Mais Fragmentos
HDR USHDR
ERHDR
1.
2.
Seq. #
Time
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
168/173
Grupo de Segurana - UFRGS 168
HDR HDR ro
HDR ot
O que considerar ( USER root ou USER foot)?Qual deciso ser tomada pelo SO?
3b.
4.
HDR HDR fo
3a.
GSegGSegUFRGSUFRGS
Aspectos Legais
Interceptao telemtica C.F. Artigo 5 pargrafo XII
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
169/173
Grupo de Segurana - UFRGS 169
Privacidade
Documentar polticas
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
170/173
GSegGSegUFRGSUFRGS
Concluses
Aumento no n de incidentes
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
171/173
Grupo de Segurana - UFRGS 171
Despreparo dos profissionais da rea
No existe segurana 100%
No existe soluo completa
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
172/173
GSegGSegUFRGSUFRGS
Contatos
Rafael Campelloe-mail: [email protected]
-
8/2/2019 minicursoidsslidessbrc2001-1228580629507190-9
173/173
Grupo de Segurana - UFRGS 173
Raul Webere-mail: [email protected]
GSegGSegUFRGSUFRGS
e-mail: [email protected]
pgina: www.inf.ufrgs.br/~gseg