View
219
Download
2
Category
Preview:
Citation preview
OSRC001– Segurança em Redes de Computadores Módulo 13: IDS–Intrusion Detection Systems,
IPS–Intrusion Prevention Systems,Honeypots&Honeynets
Prof. Charles Christian Mierse-mail: charles.miers@udesc.br
OSRC001– Segurança em Redes de Computadores 2
Segurança em Redes de Computadores
Classificação dos procedimentos e medidas Proteção Detecção Reação
Ferramentas para segurança de redes Ferramentas para controle de vulnerabilidades Ferramentas para controle de ameaças
OSRC001– Segurança em Redes de Computadores 3
Detecção de intrusão: Conceitos
Detecção de intrusão: Detecção de intrusão é uma técnica de detecção de acesso não
autorizado a um sistema de computador ou a uma rede de computadores
IDS x IPS: Uma intrusão em um sistema é uma tentativa feita por alguém de fora do
sistema para obter ilegalmente o acesso ao sistema Prevenção de intrusão, por outro lado, é a arte de prevenir o acesso não
autorizado dos recursos do sistema
Os dois processos estão relacionados no sentido de que enquanto a detecção de intrusão passivamente detecta intrusões de sistema, a prevenção de intrusão filtra ativamente o tráfego da rede para evitar tentativas de intrusão
OSRC001– Segurança em Redes de Computadores 4
Intrusão: definição
Uma intrusão é uma tentativa deliberada não autorizada, bem sucedida ou não, para invadir, acessar, manipular ou abusar de alguma propriedade valiosa O uso indevido desta propriedade pode resultar em tornar
a propriedade confiável em inutilizável ou comprometida
A entidade (pessoa ou bot) que que busca realizar invasões é considerada como intruso
OSRC001– Segurança em Redes de Computadores 5
Tipos de intrusões
Existem seis tipos: Tentativa de arrombamentos/ invasões, que são detectados pelos perfis
de comportamentos atípicos ou violações de restrições de segurança Ataques Masquerade, que são detectados pelos perfis de
comportamentos atípicos ou violações de restrições de segurança Penetrações do sistema de controle de segurança, que são detectados
pelo monitoramento de padrões específicos de atividade Dispersão, a qual é detectada através da utilização dos recursos do
sistema atípico Negação de serviço, que é detectado pelo uso atípico de recursos do
sistema O uso malicioso, que é detectada por perfis de comportamento atípico,
violações de restrições de segurança, ou uso de privilégios especiais
OSRC001– Segurança em Redes de Computadores 6
IDS: Intrusion Detection Systems Definição:
Os IDS ou Sistemas de Detecção de Intrusão são ferramentas que tem como principal finalidade a monitoração de computadores e redes afim de identificar possíveis ataques que possam ter ocorrido ou estejam ocorrendo
Ferramenta essencial no controle de ameaças técnicas
Utilizados para detectar e alertar em casos de eventos maliciosos Um sistema pode conter muitos sensores de IDS
diferentes, posicionados em lugares estratégicos da rede
OSRC001– Segurança em Redes de Computadores 7
IDS: Classificação
Comportamento na Detecção: Passivos Ativos Reativos
Tipos de IDS: Baseados em rede (NIDS) Baseados em host (HIDS) Híbridos
Modo de Detecção: Anomalias Uso Incorreto
Assinaturas
OSRC001– Segurança em Redes de Computadores 8
IDS Desempenho Inline IDS
Normalmente colocado atrás do firewall ou conjuntamente com um firewall e filtragem de tráfego Apenas é permitida a passagem ao “tráfego bom”
OSRC001– Segurança em Redes de Computadores 9
Modelos de IDS
Geração de padrões preditivos Classificadores Fuzzy Redes neurais Máquinas de suporte a vetor Sistemas especialistas Árvores de decisão Monitoração de pontos chaves Análise da transição de estado Verificação de padrões/assinaturas Agentes autônomos
Detecção de Anomalias
Detecção de uso incorreto
OSRC001– Segurança em Redes de Computadores 10
IDS: Detecção por Anomalia
Detecta atividades que não seguem uma padrão normal (pré-estabelecido) de atividades
Depende da definição estatística do que é “normal”
Gera uma grande quantidade de falsos positivos, “ajustes” para redução
Prós: Caso implementado adequadamente, pode detectar ataques
desconhecidos Oferece baixo “overhead” (aprendizado X desenvolvimento)
Contras: Não é definitivo Definição de “normal” Alta taxa de falsos positivos
OSRC001– Segurança em Redes de Computadores 11
IDS: Detecção por Assinatura
Verifica padrões específicos dos eventos de ataques conhecidos
Necessita do conhecimento das assinaturas de ataque
Requer um método para comparar e verificar o comportamento com a assinatura
Subcategorias: Verificação de padrão Verificação de padrão completa (Statefull) Baseada em decodificação de protocolo Pode ser baseada em heurística
OSRC001– Segurança em Redes de Computadores 12
Padrões (Vulnerabilidades e Ameaças)
CVE (Common Vulnerabilities and Exposures) Nomes/Nomenclatura padronizada Interoperabilidade entre ferramentas Guia de comparação entre ferramentas
Compatível CVE Número de assinaturas (ataque ameaças)
IDMEF (Intrusion Detection Message Exchange Format)
14
Modelo Genérico de Arquitetura IDS
Sensor
Analyzer
Manager
Sensor
Administrator
Operator
Data SourceActivity
Security
Po
licy
Se
curi
ty P
olicy
Se
curity
Policy
Security
Po
licy
Notifications
Re
spo
nse
AlertsEvents
Even
ts
Fonte Dados
Sensor
Sensor
Analisador
Operador
Gerenciador
Administrador
Atividade
Eventos Alertas
Eve
nto
s
No
tific
aç õ
es
Res
po
sta
s
Po
lític
a d
eS
eg
ura
nç a
Po
lític
a d
eS
egu
ran
ç a
Po
lític
a d
eS
eg
ura
nç a
Po
lític
a d
eS
eg
ura
nç a
OSRC001– Segurança em Redes de Computadores 15
HIDS: Host Intrusion Detection System
Faz a detecção baseada em monitoração da atividade de rede do sistema, sistema de arquivo, arquivos de log e ações do usuário
Deve gerar um alerta quando detecta um procedimento suspeito como, por exemplo, um aumento de privilégios para uma conta de usuário no sistema
Permite um nível de controle maior sobre ao sistema por estar instalado localmente
OSRC001– Segurança em Redes de Computadores 16
HIDS - Host Intrusion Detection System (Cont.)
Principais ferramentas do mercado: Tripwire AIDE ISS BlackIce (voltado para estações) LogSentry ISS RealSecure Enterasys Dragon
OSRC001– Segurança em Redes de Computadores 17
HIDS - Host Intrusion Detection System (Cont.)
Pontos fortes: Menos falsos positivos Uso em ambientes onde largura de banda é crítica Qualidade da informação coletada
Pontos fracos: Dependem das capacidades do sistema São relativamente mais caros Visão localizada
OSRC001– Segurança em Redes de Computadores 18
NIDS - Network Intrusion Detection System
Um sistema de detecção de intrusão baseado em redes (NIDS) é projetado para examinar o tráfego de rede para identificar ameaças detectando varreduras, sondas, ataques, etc.
Pode ser posicionado de várias maneiras possíveis, principalmente: Entre o cliente e o servidor Entre o servidor e seus próprios funcionários Entre o firewall e a DMZ
Deve permitir uma análise mais minuciosa de um eventual ataque e de onde se originou
OSRC001– Segurança em Redes de Computadores 19
NIDS - Network Intrusion Detection System (Cont.)
Principais ferramentas no mercado: Snort Shadow Prelude Dragon Enterasys ISS - RealSecure
OSRC001– Segurança em Redes de Computadores 20
NIDS: Network Intrusion Detection System (Cont.) Pontos fortes:
Cobertura abrangente Desempenho em alta velocidade Fácil instalação (Sensores) Operação transparente Tende a ser mais independente
Pontos fracos: Monitora um segmento de rede,necessita ter acesso ao tráfego
(necessidade de HUBs, portas de eco em switches, etc..) Inadequado para tratar ataques mais complexos Grandes quantidades de dados trafegam entre os agentes e
estações de gerência Falsos Positivos / Falsos Negativos Ataques de DoS e DDoS
OSRC001– Segurança em Redes de Computadores 21
EMAILALERT/
LOG
DETECÇÃO DOATAQUE
REGISTROS DA SESSÃO
SESSÃOTERMINADA
RECONFIGURARFIREWALL
Usuário Interno
DETECTARATAQUE
REGISTRODA SESSÃO
23
IDS: Arquitetura
HIDS1. Trabalhará instalado no firewall para que o mesmo além de proteger a rede toda, proteja o firewall de um possível ataque contra ele, que pode surgir tanto da rede interna da VPN ou da Internet
NIDS1. O NIDS irá detectar todas as tentativas de que a rede interna sofrerá até as tentativas que não teriam efeito algum Localização traz uma rica fonte de
informações sobre que tipos de ataques que a rede pode sofrer
NIDS2. Estará monitorando todo o segmento, que é a DMZ, o qual engloba o servidor de e-mail, FTP e web alertando sobre uma possível invasão
OSRC001– Segurança em Redes de Computadores 24
IDS – Arquitetura (Cont.)
NIDS3. Da mesma forma que o NIDS2, este irá proteger a rede se servidores a qual engloba o Banco de Dados e o servidor ICP
NIDS4. Este IDS monitorará toda as ações da rede interna, caso haja algum comportamento suspeito contra os servidores da organização
NIDS5. Nesta posição, este IDS irá monitorar todas as ações suspeitas que podem vir partir da VPN contra o firewall e toda a rede de computadores
OSRC001– Segurança em Redes de Computadores 25
Considerações sobre IDS
IDS comerciais estão na fase juvenil Muito trabalho a ser feito (pesquisa/comercial) Aumento na importância da detecção por anomalia Será que algum dia os IDSs serão criados eventualmente para
cada tipo de aplicação ou dispositivo de rede? IDSs não são um tipo de solução que irá parar todos os tipos de
ameaças de uma organização IDS é uma parte relevante de uma estratégia de
segurança (Política de segurança como orientador) se bem distribuídos e gerenciados
Uma boa configuração de política do IDS faz toda a diferença! Planejamento futuro e cuidado em considerar todos os
elementos constituem uma boa configuração de política do IDS IDS, Forense, e outras políticas de rede/segurança precisam se
relacionar bem para serem realmente efetivas
OSRC001– Segurança em Redes de Computadores 27
IPS: Intrusion Prevention Systems
Considera-se mais uma evolução do IDS do quê um novo conceito
Incorpora outros dispositivos de rede (roteadores, switches, etc.)
Definição: Consiste no uso coordenado e integrado de ferramentas
de segurança, em especial similares a IDS para prevenir ataques de modo pró-ativo Mudança de postura: Passiva Detecção Ativa Mecanismos de defesa pró-ativos Objetiva parar o tráfego ofensivo antes de causar danos
OSRC001– Segurança em Redes de Computadores 28
IPS: Tipos
Host IPS: Instalação direta no sistema a ser protegido Conexões diretas ao núcleo para interceptar chamadas de
sistema (system calls), objetivando auditoria Não é muito propenso a atualizações (mudança de controles,
disponibilidade, etc.)
Network IPS: Combina IDS, IPS e firewalls IDS in-line ou IDS de Gateway Descarta pacotes maliciosos Incapaz de competir com a velocidade de redes mais rápidas
(Gbps, por exemplo)
OSRC001– Segurança em Redes de Computadores 29
IPS: ExemploCliente
VMSTrendLabs
Servers
IPS SignatureUpdate Server
IPS 4200Series
Catalyst 6500IPS Blade
NM-CIDSRouter Blade
ASA 5500SSM Blade
Cisco IncidentControl Center
(CICC)
CISCO TREND MICRO
Policy (coarse filter)
Regular AVSignatures
Regular IPSSignatures
Regular IPSSignatures IPS
EngineeringSignature
Integration
IOS IPSc83x-c7xxx
Signature (fine filter)
Policy (coarse filter)
Signtaure (fine filter)
Epidemiacód. malicioso
OSRC001– Segurança em Redes de Computadores 31
Honeypot
Definição: Mecanismo de detecção de intrusão com a finalidade de atrair
crackers/hackers
Não fazem nenhum tipo de prevenção
Fazem uma forte avaliação e registros das táticas e técnicas do seu invasor (quantitativa e qualitativamente)
Não estão limitados a um único problema
Podem servir tanto como “iscas” como coletores de dados
OSRC001– Segurança em Redes de Computadores 32
Classificação pelo Nível de Interação
Baixa Interatividade Sistemas montados para coleta de informações de ataques
conhecidos Possui respostas limitadas às interações do atacante
Média Interatividade Sistemas montados para coleta de informações de vários
ataques conhecidos e coleta básica de informações
Alta Interatividade Sistemas reais preparados para serem comprometidos Coletam informações de ataques conhecidos ou não
OSRC001– Segurança em Redes de Computadores 33
Tipos de Honeypots
Honeypots de Produção: Aumentar a segurança e mitigar os riscos
Honeypots de Pesquisa: Levantar informações sobre atividades maliciosas
OSRC001– Segurança em Redes de Computadores 34
Frente do Firewall Dentro da Rede InternaDentro da DMZ
Localização dos Honeypots
OSRC001– Segurança em Redes de Computadores 35
Ferramentas Honeypots Ferramentas de código aberto
Desenvolvidas por pesquisadores independentes, universidades e também com o auxílio de empresas
Plataforma GNU/Linux e BSD, na sua maioria Dependendo da licença podem ser modificadas e redistribuídas
Ferramentas proprietárias (EULA) Software licenciado (normalmente por IPs ou quantidade de
instalações) Normalmente possuem interfaces mais facilitadas (gráficas) Fáceis de configurar Para administradores experientes pode limitar o uso em decorrência
do código fechado e licenciamento
OSRC001– Segurança em Redes de Computadores 36
DTK
HONEYD
BACKOFFICE FRIENDLY
Ferramentas de Código Aberto
OSRC001– Segurança em Redes de Computadores 37
MANTRAP
SPECTER
KFSENSOR
Ferramentas de Proprietárias
OSRC001– Segurança em Redes de Computadores 38
Honeynet
Definição: Ferramenta de pesquisa com a finalidade de estudar
atacantes Consistem na construção de uma rede similar às
encontradas nas organizações Podem descobrir ataques e ameaças conhecidos ou não Requer grande quantidade de recursos e tempo para
construir, implementar e manter Qualquer tráfego enviado para uma Honeynet é suspeito Controles:
Captura de Dados Controle de Dados
OSRC001– Segurança em Redes de Computadores 39
Honeynets: Classificação
Honeynets clássicas: Sistemas de produção real em um ambiente controlado
Honeynets virtuais: Auto-suficientes Híbridas
OSRC001– Segurança em Redes de Computadores 41
QEMU HONEYNET DE HONEYPOTS
Principais Ferramentas (Cont.)
OSRC001– Segurança em Redes de Computadores 45
Projeto Honeynet.BR: Centralizadores
Cert.BR: Identifica atividades maliciosas e notifica os responsáveis pelas redes que estão envolvidas nestas atividades
INPE: Procura determinar as vulnerabilidades que estão sendo exploradas, as ferramentas utilizadas para efetivar os ataques e quem são os responsáveis (origem) pelos ataques que vem ocorrendo
OSRC001– Segurança em Redes de Computadores 47
Honeypot: Ferramentas
Sistema Operacional: OpenBSDFerramenta de Honeypot: Honeyd
OSRC001– Segurança em Redes de Computadores 48
Honeypot: OpenBSD
Sistema operacional estável e seguro que provê um ambiente controlado, capaz de suportar a interação com atividades maliciosas
Características: Segurança:
Emprego de técnicas de criptografia em várias partes do sistema
Utilizado na construção de firewalls, IDS e servidores de diversos propósitos
Código sofre um forte processo de auditoria
OSRC001– Segurança em Redes de Computadores 49
Características (Cont.): Portabilidade:
Garantir sua utilização em computadores pessoais e em modelos largamente utilizados
Poder: Pode ser suportado por hardware de até dez anos atrás Disponibiliza o maior espaço de processamento possível para
as aplicações dos usuários Documentação:
Preocupação com documentação específica, manuais falhos levam a sérios problemas de segurança
Manuais precisos para garantir a correta configuração do sistema operacional
Honeypot: OpenBSD (Cont.)
OSRC001– Segurança em Redes de Computadores 50
Características (Cont.): Corretude:
Para implementar soluções o mais corretas possíveis, os desenvolvedores do OpenBSD são guiados por padrões UNIX tais como POSIX e ANSI
Isto é respeitado para se obter como resultado final um sistema fidedigno, seguro e previsível
Código Aberto: Permite realizar alterações no código fonte Personalizar ou corrigir eventuais problemas
Honeypot: OpenBSD (Cont.)
OSRC001– Segurança em Redes de Computadores 51
Honeypot: Honeyd
Atua como um servidor, capaz de gerar diversas máquinas virtuais que possam ser conectadas de forma a criar uma rede virtual de computadores
Características: Configuração de serviços arbitrários através de simples arquivos
de configuração (personalidades) Atribuição de diferentes endereçamentos IP para as máquinas
pertencentes a rede virtual Simulação de topologias arbitrárias (descarte de pacotes, rotas,
latência, entre outros) Simulação de sistemas operacionais a nível de pilha TCP/IP
(Internamente trabalha como uma máquina de estados)
OSRC001– Segurança em Redes de Computadores 52
Características (Cont.): Virtualização de subsistemas. Possibilita:
Simular a ligação de portas de comunicação dinâmicas em um espaço de endereçamento IP virtual
Estabelecimento de conexões a partir da rede Iniciar conexões TCP e UDP dentro do espaço de
endereçamento IP virtual, entre outros Segurança. Pode ser configurado para executar com baixo
privilégio e permite a utilização de systrace Software Livre e de código aberto
Honeypot: Honeyd (Cont.)
OSRC001– Segurança em Redes de Computadores 54
Listeners – Serviço Emulado Desconhecido
Honeypot: Honeyd (Cont.)
OSRC001– Segurança em Redes de Computadores 55
Não apresentam falsos positivosNão apresentam falsos positivos
Relativamente complexos de seremadministrados
Relativamente fáceis de seremAdministrados
São, essencialmente, ferramentas deAlta interatividade
Podem ter três níveis de interação
São, essencialmente, ferramentas depesquisa
Podem ser ferramentas de pesquisaou produção
Possuem mecanismos de controle dedados e alerta de eventos
Apenas arquivam as informações decomprometimento em servidores de log
Possuem mecanismos robustosde contenção como Firewalls e IDS
Não possuem mecanismosrobustos de contenção
Rede de Computadores Simulandomúltiplos serviços e Aplicações
Um único Sistema Computador simulandomúltiplos serviços e Aplicações
HoneynetsHoneypots
Comparativo: Honeypots X Honeynets
OSRC001– Segurança em Redes de Computadores 56
Questões Éticas
IDS reativos, a política de “olho por olho” pode ser aplicada ? De acordo com o governo: não Mas quantos fazem isso ? Provavelmente vários
Honeypots/Honeynets internos podem ser uma forma de induzir o usuário a ações indevidas ?
OSRC001– Segurança em Redes de Computadores 58
Leitura Recomendada:
Cert.Br: http://www.cert.br/docs/seg-adm-redes/
Norma NBR-ISO/IEC 17799. Versão 2.0
SANS.org: http://www.sans.org/resources/idfaq/ /
Stallings, Willian. Network Security Essentials. 2a Edição. Editora Prentice-Hall. 2003. Capítulo 9
SPITZNER, Lance. Honeypots: Tracking Hackers. Boston, MA/EUA. Pearson Education. 2002.
Recommended