toci08–segurança em redes de computadores módulo 13: … · toci08 segurança em redes de...
TRANSCRIPT
![Page 1: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/1.jpg)
TOCI08–Segurança em Redes de Computadores Módulo 13: IDS–Intrusion Detection Systems,
IPS–Intrusion Prevention Systems,Honeypots&Honeynets
Prof. M.Sc. Charles Christian Mierse-mail: [email protected]
![Page 2: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/2.jpg)
TOCI08 Segurança em Redes de Computadores 2
Posicionamento das soluções de segurança
Gerenciamento Gerenciamento De Segurança &De Segurança &VulnerabilidadesVulnerabilidades
Identificação & Identificação & Gerência de Gerência de Acesso (IAM)Acesso (IAM)
Fonte: IDC
Gerenciamento Gerenciamento de Segurançade SegurançaDe ConteúdoDe Conteúdo
GerenciamentoGerenciamentode Ameaçasde Ameaças
Outros SoftwaresOutros Softwaresde Segurançade Segurança
Hardware deHardware deAutenticaçãoAutenticação
SecuritySecurityAppliancesAppliances
SegurançaSegurançaFísicaFísica
Segurança emSegurança emHardwareHardware
Segurança emSegurança emSoftwareSoftware
Serviços deServiços deSegurançaSegurança
Segurança em TISegurança em TI
• Biometria
• Tokens
• Smart Cards
• FW/VPN
• SCM
• IDS&IPS
• Integração
• Outros
• Gerência de & Configurações & Sistemas
• Gerência de Vulnerabilidades
• Patching/Correções
• Forense
• Políticas & Conformidade
• Antivírus/Código Malicioso
• Filtros Web
• Segurança de Mensagens
• SpyWare
• Outros
• Firewall
• VPN
• IDS
• IPS
![Page 3: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/3.jpg)
TOCI08 Segurança em Redes de Computadores 3
Segurança em Redes de Computadores
Classificação dos procedimentos e medidas Proteção Detecção Reação
Ferramentas para segurança de redes Ferramentas para controle de vulnerabilidades Ferramentas para controle de ameaças
![Page 4: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/4.jpg)
TOCI08 Segurança em Redes de Computadores 4
IDS: Intrusion Detection Systems Definição:
Os IDS ou Sistemas de Detecção de Intrusão são ferramentas que tem como principal finalidade a monitoração de computadores e redes afim de identificar possíveis ataques que possam ter ocorrido ou estejam ocorrendo
Ferramenta essencial no controle de ameaças técnicas Utilizados para detectar e alertar em casos de eventos
maliciosos. O sistema pode conter muitos sensores de IDS diferentes, posicionados em lugares estratégicos da rede
![Page 5: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/5.jpg)
TOCI08 Segurança em Redes de Computadores 5
IDS: Classificação
Tipos de IDS: Baseados em rede (NIDS) Baseados em host (HIDS) Híbridos
Modo de Detecção: Anomalias Uso Incorreto
Assinaturas Comportamento na Detecção:
Passivos Ativos Reativos
![Page 6: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/6.jpg)
TOCI08 Segurança em Redes de Computadores 6
IDS Performance Inline IDS
Normalmente colocado atrás do firewall ou conjuntamente com um firewall e filtragem de tráfego Apenas é permitida a passagem ao “tráfego bom”
![Page 7: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/7.jpg)
TOCI08 Segurança em Redes de Computadores 7
Modelos de IDS
Geração de padrões preditivos Classificadores Fuzzy Redes neurais Máquinas de suporte a vetor Sistemas especialistas Árvores de decisão Monitoração de pontos chaves Análise da transição de estado Verificação de padrões/assinaturas Agentes autônomos
Detecção de Anomalias
Detecção de uso incorreto
![Page 8: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/8.jpg)
TOCI08 Segurança em Redes de Computadores 8
IDS: Detecção por Anomalia
Detecta atividades que não seguem uma padrão normal (pré-estabelecido) de atividades
Depende da definição estatística do que é “normal”
Gera uma grande quantidade de falsos positivos, “ajustes” para redução
Prós: Caso implementado adequadamente, pode detectar ataques
desconhecidos Oferece baixo “overhead” (aprendizado X desenvolvimento)
Contras: Não é definitivo Definição de “normal” Alta taxa de falsos positivos
![Page 9: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/9.jpg)
TOCI08 Segurança em Redes de Computadores 9
IDS: Detecção por Assinatura
Verifica padrões específicos dos eventos de ataques conhecidos
Necessita do conhecimento das assinaturas de ataque Requer um método para comparar e verificar o comportamento
com a assinatura Subcategorias:
Verificação de padrão Verificação de padrão completa (Statefull) Baseada em decodificação de protocolo Pode ser baseada em heurística
![Page 10: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/10.jpg)
TOCI08 Segurança em Redes de Computadores 10
Padrões (Vulnerabilidades e Ameaças)
CVE (Common Vulnerabilities and Exposures) Nomes/Nomenclatura padronizada Interoperabilidade entre ferramentas Guia de comparação entre ferramentas
Compatível CVE Número de assinaturas (ataque ameaças)
IDMEF (Intrusion Detection Message Exchange Format)
![Page 11: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/11.jpg)
11
![Page 12: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/12.jpg)
12
Modelo Genérico de Arquitetura IDS
Sensor
Analyzer
Manager
Sensor
Administrator
Operator
Data SourceActivity
Se
cu
rity
Po
licy
Se
cu
rity
Po
licy
Se
cu
rity
Po
licy
Se
cu
rity
Po
licy
No
tifica
tio
ns
Re
sp
on
se
AlertsEvents
Eve
nts
Fonte Dados
Sensor
Sensor
Analisador
Operador
Gerenciador
Administrador
Atividade
Eventos Alertas
Eve
ntos
Not
ifica
ções
Res
post
as
Pol
ítica
de
Seg
uran
ça
Pol
ítica
de
Seg
uran
ça
Pol
ítica
de
Seg
uran
ça
Pol
ítica
de
Seg
uran
ça
![Page 13: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/13.jpg)
TOCI08 Segurança em Redes de Computadores 13
HIDS: Host Intrusion Detection System
Faz a detecção baseada em monitoração da atividade de rede do sistema, sistema de arquivo, arquivos de log e ações do usuário
Deve gerar um alerta quando detecta um procedimento suspeito como, por exemplo, um aumento de privilégios para uma conta de usuário no sistema
Permite um nível de controle maior sobre ao sistema por estar instalado localmente
![Page 14: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/14.jpg)
TOCI08 Segurança em Redes de Computadores 14
HIDS - Host Intrusion Detection System (Cont.)
Principais Ferramentas do Mercado: Tripwire AIDE ISS BlackIce (voltado para estações) LogSentry ISS RealSecure Enterasys Dragon
![Page 15: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/15.jpg)
TOCI08 Segurança em Redes de Computadores 15
HIDS - Host Intrusion Detection System (Cont.)
Pontos fortes: Menos falsos positivos Uso em ambientes onde largura de banda é crítica Qualidade da informação coletada
Pontos Fracos: Dependem das capacidades do sistema São relativamente mais caros Visão localizada
![Page 16: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/16.jpg)
TOCI08 Segurança em Redes de Computadores 16
NIDS - Network Intrusion Detection System
Um sistema de detecção de intrusão baseado em redes (NIDS) é projetado para examinar o tráfego de rede para identificar ameaças detectando varreduras, sondas, ataques, etc.
Pode ser posicionado de várias maneiras possíveis, principalmente: Entre o cliente e o servidor Entre o servidor e seus próprios funcionários Entre o firewall e a DMZ
Deve permitir uma análise mais minuciosa de um eventual ataque e de onde se originou
![Page 17: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/17.jpg)
TOCI08 Segurança em Redes de Computadores 17
NIDS - Network Intrusion Detection System (Cont.)
Principais Ferramentas do Mercado: Snort Shadow Prelude Dragon Enterasys ISS - RealSecure
![Page 18: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/18.jpg)
TOCI08 Segurança em Redes de Computadores 18
NIDS: Network Intrusion Detection System (Cont.)
Pontos fortes: Cobertura abrangente Desempenho em alta velocidade Fácil instalação (Sensores) Operação transparente Tende a ser mais independente
Pontos Fracos: Monitora um segmento de rede,necessita ter acesso ao tráfego
(necessidade de HUBs, portas de eco em switches, etc..) Inadequado para tratar ataques mais complexos Grandes quantidades de dados trafegam entre os agentes e
estações de gerência Falsos Positivos / Falsos Negativos Ataques de DoS e DDoS
![Page 19: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/19.jpg)
TOCI08 Segurança em Redes de Computadores 19
EMAILALERT/
LOG
DETECÇÃO DOATAQUE
REGISTROS DA SESSÃO
SESSÃOTERMINADA
RECONFIGURARFIREWALL
Usuário Interno
DETECTARATAQUE
REGISTRODA SESSÃO
![Page 20: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/20.jpg)
TOCI08 Segurança em Redes de Computadores 20
Posicionamento de IDS e Arquitetura
![Page 21: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/21.jpg)
21
IDS: Arquitetura
HIDS1. Este HIDS trabalhará instalado no firewall para que o mesmo além de proteger a rede toda, proteja o firewall de um possível ataque contra ele, que pode surgir tanto da rede interna da VPN ou da Internet
NIDS1. Nesta situação, o NIDS irá detectar todas as tentativas de que a rede interna sofrerá até as tentativas que não teriam efeito algum. Esta localização traz uma rica fonte de informações sobre que tipos de ataques que a rede pode sofrer
NIDS2. Este NIDS estará monitorando todo o segmento, que é a DMZ, o qual engloba o servidor de e-mail, FTP e Web alertando sobre uma possível invasão
![Page 22: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/22.jpg)
TOCI08 Segurança em Redes de Computadores 22
IDS – Arquitetura (Cont.)
NIDS3. Da mesma forma que o NIDS2, este irá proteger a rede se servidores a qual engloba o Banco de Dados e o servidor ICP
NIDS4. Este IDS monitorará toda as ações da rede interna, caso haja algum comportamento suspeito contra os servidores da organização
NIDS5. Nesta posição, este IDS irá monitorar todas as ações suspeitas que podem vir partir da VPN contra o firewall e toda a rede de computadores
![Page 23: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/23.jpg)
TOCI08 Segurança em Redes de Computadores 23
Considerações sobre IDS
IDS comerciais estão na fase juvenil Muito trabalho a ser feito (pesquisa/comercial) Aumento na importância da detecção por anomalia Será que algum dia os IDSs serão criados eventualmente para
cada tipo de aplicação ou dispositivo de rede? IDSs não são um tipo de solução que irá parar todos os tipos de
ameaças de uma organização
IDSs são parte relevante de uma estratégia de segurança (Política de segurança como orientador) se bem distribuídos e gerenciados
Uma boa configuração de política do IDS faz toda a diferença! Planejamento futuro e cuidado em considerar todos os
elementos constituem uma boa configuração de política do IDS IDS, Forense, e outras políticas de rede/segurança precisam se
relacionar bem para serem realmente efetivas
![Page 24: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/24.jpg)
IPS – Intrusion Prevention Systems
![Page 25: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/25.jpg)
TOCI08 Segurança em Redes de Computadores 25
IPS: Intrusion Prevention Systems
Considera-se mais uma evolução do IDS do quê um novo conceito
Incorpora outros dispositivos de rede (roteadores, switches, etc.)
Definição: Consiste no uso coordenado e integrado de ferramentas
de segurança, em especial similares a IDS para prevenir ataques de modo pró-ativo Mudança de postura: Passiva Detecção Ativa Mecanismos de defesa pró-ativos Objetiva parar o tráfego ofensivo antes de causar danos
![Page 26: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/26.jpg)
TOCI08 Segurança em Redes de Computadores 26
IPS: Tipos
Host IPS Instalação direta no sistema a ser protegido Conexões diretas ao núcleo para interceptar chamadas de
sistema (system calls), objetivando auditoria Não é muito propenso a atualizações (mudança de controles,
disponibilidade, etc.) Network IPS
Combina IDS, IPS e firewalls IDS in-line ou IDS de Gateway Descarta pacotes maliciosos Incapaz de competir com a velocidade de redes mais rápidas
(Gbps, por exemplo)
![Page 27: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/27.jpg)
TOCI08 Segurança em Redes de Computadores 27
IPS: ExemploCliente
VMSTrendLabs
Servers
IPS SignatureUpdate Server
IPS 4200Series
Catalyst 6500IPS Blade
NM-CIDSRouter Blade
ASA 5500SSM Blade
Cisco IncidentControl Center
(CICC)
CISCO TREND MICRO
Policy (coarse filter)
Regular AVSignatures
Regular IPSSignatures
Regular IPSSignatures IPS
EngineeringSignature
Integration
IOS IPSc83x-c7xxx
Signature (fine filter)
Policy (coarse filter)
Signtaure (fine filter)
MalwareOutbreak!
![Page 28: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/28.jpg)
Honeypots/Honeynets
![Page 29: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/29.jpg)
TOCI08 Segurança em Redes de Computadores 29
Honeypot
Definição: Mecanismo de detecção de intrusão com a finalidade de
atrair crackers/hackers Não fazem nenhum tipo de prevenção Fazem uma forte avaliação e registros das táticas e
técnicas do seu invasor (quantitativa e qualitativamente) Não estão limitados a um único problema Podem servir tanto como “iscas” como coletores de dados
![Page 30: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/30.jpg)
TOCI08 Segurança em Redes de Computadores 30
Classificação pelo Nível de Interação
Baixa Interatividade
Média Interatividade
Alta Interatividade
![Page 31: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/31.jpg)
TOCI08 Segurança em Redes de Computadores 31
Tipos de Honeypots
Honeypots de Produção: Aumentar a segurança e mitigar os riscos
Honeypots de Pesquisa: Levantar informações sobre atividades maliciosas
![Page 32: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/32.jpg)
TOCI08 Segurança em Redes de Computadores 32
Frente do Firewall Dentro da Rede InternaDentro da DMZ
Localização dos Honeypots
![Page 33: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/33.jpg)
TOCI08 Segurança em Redes de Computadores 33
Ferramentas Honeypots Ferramentas de código aberto
Desenvolvidas por pesquisadores independentes, universidades e também com o auxílio de empresas
Plataforma GNU/Linux e BSD, na sua maioria Dependendo da licença podem ser modificadas e redistribuídas
Ferramentas proprietárias (EULA) Software licenciado (normalmente por IPs ou quantidade de
instalações) Normalmente possuem interfaces mais facilitadas (gráficas) Fáceis de configurar Para administradores experientes pode limitar o uso em
decorrência do código fechado e licenciamento
![Page 34: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/34.jpg)
TOCI08 Segurança em Redes de Computadores 34
DTK
HONEYD
BACKOFFICE FRIENDLY
Ferramentas de Código Aberto
![Page 35: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/35.jpg)
TOCI08 Segurança em Redes de Computadores 35
MANTRAP
SPECTER
KFSENSOR
Ferramentas de Proprietárias
![Page 36: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/36.jpg)
TOCI08 Segurança em Redes de Computadores 36
Honeynet
Definição: Ferramenta de pesquisa com a finalidade de estudar
atacantes Consistem na construção de uma rede similar às
encontradas nas organizações Podem descobrir ataques e ameaças conhecidos ou não Requer grande quantidade de recursos e tempo para
construir, implementar e manter Qualquer tráfego enviado para uma Honeynet é suspeito Controles:
Captura de Dados Controle de Dados
![Page 37: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/37.jpg)
TOCI08 Segurança em Redes de Computadores 37
Honeynets: Classificação
Honeynets clássicas: Sistemas de produção real em um ambiente controlado
Honeynets virtuais: Auto-suficientes Híbridas
![Page 38: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/38.jpg)
TOCI08 Segurança em Redes de Computadores 38
VMWARE UML
Principais Ferramentas
![Page 39: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/39.jpg)
TOCI08 Segurança em Redes de Computadores 39
QEMU HONEYNET DE HONEYPOTS
Principais Ferramentas (Cont.)
![Page 40: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/40.jpg)
TOCI08 Segurança em Redes de Computadores 40
Projeto Honeynet.BR
Em1999 uma equipe de pesquisadores, formada por 30 profissionais da área de segurança, desenvolveu o Honeynet Project
Lance Spitzer foi, essencialmente, o principal fundador do projeto, cujo objetivo é implementar honeynets com o intuito de avaliar as informações levantadas durante o seu comprometimento, de forma a identificar as ferramentas, táticas e motivações dos atacantes
![Page 41: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/41.jpg)
TOCI08 Segurança em Redes de Computadores 41
Projeto Honeynet.BR (Cont.)
Outra contribuição do Honeynet Project é a formação de uma Aliança de Pesquisa (Research Alliance): vários grupos de especialistas em segurança da informação se organizam em diferentes países para constituir grupos de estudo e avaliação de honeynets
No Brasil, o projeto Honeynet.BR é o projeto que responde pelo estudo e avaliação de honeynets a nível nacional. O Honeynet.BR é membro participante da Honeynet Research Alliance
![Page 42: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/42.jpg)
TOCI08 Segurança em Redes de Computadores 42
Projeto Honeynet.BR: Distribuição
![Page 43: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/43.jpg)
TOCI08 Segurança em Redes de Computadores 43
Projeto Honeynet.BR: Centralizadores
Cert.BR: Identifica atividades maliciosas e notifica os responsáveis pelas redes que estão envolvidas nestas atividades
INPE: Procura determinar as vulnerabilidades que estão sendo exploradas, as ferramentas utilizadas para efetivar os ataques e quem são os responsáveis (origem) pelos ataques que vem ocorrendo
![Page 44: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/44.jpg)
TOCI08 Segurança em Redes de Computadores 44
Projeto Honeynet.BR: Topologia
![Page 45: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/45.jpg)
TOCI08 Segurança em Redes de Computadores 45
Honeypot: Ferramentas
Sistema Operacional: OpenBSDFerramenta de Honeypot: Honeyd
![Page 46: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/46.jpg)
TOCI08 Segurança em Redes de Computadores 46
Honeypot: OpenBSD
Sistema operacional estável e seguro que provê um ambiente controlado, capaz de suportar a interação com atividades maliciosas
Características: Segurança:
Emprego de técnicas de criptografia em várias partes do sistema
Utilizado na construção de firewalls, IDS e servidores de diversos propósitos
Código sofre um forte processo de auditoria
![Page 47: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/47.jpg)
TOCI08 Segurança em Redes de Computadores 47
Características (Cont.): Portabilidade:
Garantir sua utilização em computadores pessoais e em modelos largamente utilizados
Poder: Pode ser suportado por hardware de até dez anos atrás Disponibiliza o maior espaço de processamento possível para
as aplicações dos usuários Documentação:
Preocupação com documentação específica, manuais falhos levam a sérios problemas de segurança
Manuais precisos para garantir a correta configuração do sistema operacional
Honeypot: OpenBSD (Cont.)
![Page 48: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/48.jpg)
TOCI08 Segurança em Redes de Computadores 48
Características (Cont.): Corretude:
Para implementar soluções o mais corretas possíveis, os desenvolvedores do OpenBSD são guiados por padrões UNIX tais como POSIX e ANSI
Isto é respeitado para se obter como resultado final um sistema fidedigno, seguro e previsível
Código Aberto: Permite realizar alterações no código fonte Personalizar ou corrigir eventuais problemas
Honeypot: OpenBSD (Cont.)
![Page 49: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/49.jpg)
TOCI08 Segurança em Redes de Computadores 49
Honeypot: Honeyd
Atua como um servidor, capaz de gerar diversas máquinas virtuais que possam ser conectadas de forma a criar uma rede virtual de computadores
Características: Configuração de serviços arbitrários através de simples arquivos
de configuração (personalidades) Atribuição de diferentes endereçamentos IP para as máquinas
pertencentes a rede virtual Simulação de topologias arbitrárias (descarte de pacotes, rotas,
latência, entre outros) Simulação de sistemas operacionais a nível de pilha TCP/IP
(Internamente trabalha como uma máquina de estados)
![Page 50: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/50.jpg)
TOCI08 Segurança em Redes de Computadores 50
Características (Cont.): Virtualização de subsistemas. Possibilita:
Simular a ligação de portas de comunicação dinâmicas em um espaço de endereçamento IP virtual
Estabelecimento de conexões a partir da rede Iniciar conexões TCP e UDP dentro do espaço de
endereçamento IP virtual, entre outros Segurança. Pode ser configurado para executar com baixo
privilégio e permite a utilização de systrace Software Livre e de código aberto
Honeypot: Honeyd (Cont.)
![Page 51: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/51.jpg)
TOCI08 Segurança em Redes de Computadores 51
Listeners
Honeypot: Honeyd (Cont.)
![Page 52: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/52.jpg)
TOCI08 Segurança em Redes de Computadores 52
Listeners – Serviço Emulado Desconhecido
Honeypot: Honeyd (Cont.)
![Page 53: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/53.jpg)
TOCI08 Segurança em Redes de Computadores 53
Não apresentam falsos positivosNão apresentam falsos positivos
Relativamente complexos de seremadministrados
Relativamente fáceis de seremAdministrados
São, essencialmente, ferramentas deAlta interatividade
Podem ter três níveis de interação
São, essencialmente, ferramentas depesquisa
Podem ser ferramentas de pesquisaou produção
Possuem mecanismos de controle dedados e alerta de eventos
Apenas arquivam as informações decomprometimento em servidores de log
Possuem mecanismos robustosde contenção como Firewalls e IDS
Não possuem mecanismosrobustos de contenção
Rede de Computadores Simulandomúltiplos serviços e Aplicações
Um único Sistema Computador simulandomúltiplos serviços e Aplicações
HoneynetsHoneypots
Comparativo: Honeypots X Honeynets
![Page 54: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/54.jpg)
TOCI08 Segurança em Redes de Computadores 54
Questões Éticas
IDS reativos, a política de “olho por olho” pode ser aplicada ? De acordo com o governo: não Mas quantos fazem isso ? Provavelmente vários
Honeypots/Honeynets internos podem ser uma forma de induzir o usuário a ações indevidas ?
![Page 55: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/55.jpg)
TOCI08 Segurança em Redes de Computadores 55
![Page 56: TOCI08–Segurança em Redes de Computadores Módulo 13: … · TOCI08 Segurança em Redes de Computadores 16 NIDS - Network Intrusion Detection System Um sistema de detecção de](https://reader031.vdocuments.mx/reader031/viewer/2022022709/5beb91a109d3f231188c57a2/html5/thumbnails/56.jpg)
TOCI08 Segurança em Redes de Computadores 56
Leitura Recomendada:
Cert.Br: http://www.cert.br/docs/seg-adm-redes/
Norma NBR-ISO/IEC 17799. Versão 1.0
SANS.org: http://www.sans.org/resources/idfaq/ /
Stallings, Willian. Network Security Essentials. 2a Edição. Editora Prentice-Hall. 2003. Capítulo 9
SPITZNER, Lance. Honeypots: Tracking Hackers. Boston, MA/EUA. Pearson Education. 2002.