View
215
Download
0
Category
Preview:
Citation preview
TOCI08–Segurança em Redes de Computadores Módulo 13: IDS–Intrusion Detection Systems,
IPS–Intrusion Prevention Systems,Honeypots&Honeynets
Prof. M.Sc. Charles Christian Mierse-mail: charles@joinville.udesc.br
TOCI08 Segurança em Redes de Computadores 2
Posicionamento das soluções de segurança
Gerenciamento Gerenciamento De Segurança &De Segurança &VulnerabilidadesVulnerabilidades
Identificação & Identificação & Gerência de Gerência de Acesso (IAM)Acesso (IAM)
Fonte: IDC
Gerenciamento Gerenciamento de Segurançade SegurançaDe ConteúdoDe Conteúdo
GerenciamentoGerenciamentode Ameaçasde Ameaças
Outros SoftwaresOutros Softwaresde Segurançade Segurança
Hardware deHardware deAutenticaçãoAutenticação
SecuritySecurityAppliancesAppliances
SegurançaSegurançaFísicaFísica
Segurança emSegurança emHardwareHardware
Segurança emSegurança emSoftwareSoftware
Serviços deServiços deSegurançaSegurança
Segurança em TISegurança em TI
• Biometria
• Tokens
• Smart Cards
• FW/VPN
• SCM
• IDS&IPS
• Integração
• Outros
• Gerência de & Configurações & Sistemas
• Gerência de Vulnerabilidades
• Patching/Correções
• Forense
• Políticas & Conformidade
• Antivírus/Código Malicioso
• Filtros Web
• Segurança de Mensagens
• SpyWare
• Outros
• Firewall
• VPN
• IDS
• IPS
TOCI08 Segurança em Redes de Computadores 3
Segurança em Redes de Computadores
Classificação dos procedimentos e medidas Proteção Detecção Reação
Ferramentas para segurança de redes Ferramentas para controle de vulnerabilidades Ferramentas para controle de ameaças
TOCI08 Segurança em Redes de Computadores 4
IDS: Intrusion Detection Systems Definição:
Os IDS ou Sistemas de Detecção de Intrusão são ferramentas que tem como principal finalidade a monitoração de computadores e redes afim de identificar possíveis ataques que possam ter ocorrido ou estejam ocorrendo
Ferramenta essencial no controle de ameaças técnicas Utilizados para detectar e alertar em casos de eventos
maliciosos. O sistema pode conter muitos sensores de IDS diferentes, posicionados em lugares estratégicos da rede
TOCI08 Segurança em Redes de Computadores 5
IDS: Classificação
Tipos de IDS: Baseados em rede (NIDS) Baseados em host (HIDS) Híbridos
Modo de Detecção: Anomalias Uso Incorreto
Assinaturas Comportamento na Detecção:
Passivos Ativos Reativos
TOCI08 Segurança em Redes de Computadores 6
IDS Performance Inline IDS
Normalmente colocado atrás do firewall ou conjuntamente com um firewall e filtragem de tráfego Apenas é permitida a passagem ao “tráfego bom”
TOCI08 Segurança em Redes de Computadores 7
Modelos de IDS
Geração de padrões preditivos Classificadores Fuzzy Redes neurais Máquinas de suporte a vetor Sistemas especialistas Árvores de decisão Monitoração de pontos chaves Análise da transição de estado Verificação de padrões/assinaturas Agentes autônomos
Detecção de Anomalias
Detecção de uso incorreto
TOCI08 Segurança em Redes de Computadores 8
IDS: Detecção por Anomalia
Detecta atividades que não seguem uma padrão normal (pré-estabelecido) de atividades
Depende da definição estatística do que é “normal”
Gera uma grande quantidade de falsos positivos, “ajustes” para redução
Prós: Caso implementado adequadamente, pode detectar ataques
desconhecidos Oferece baixo “overhead” (aprendizado X desenvolvimento)
Contras: Não é definitivo Definição de “normal” Alta taxa de falsos positivos
TOCI08 Segurança em Redes de Computadores 9
IDS: Detecção por Assinatura
Verifica padrões específicos dos eventos de ataques conhecidos
Necessita do conhecimento das assinaturas de ataque Requer um método para comparar e verificar o comportamento
com a assinatura Subcategorias:
Verificação de padrão Verificação de padrão completa (Statefull) Baseada em decodificação de protocolo Pode ser baseada em heurística
TOCI08 Segurança em Redes de Computadores 10
Padrões (Vulnerabilidades e Ameaças)
CVE (Common Vulnerabilities and Exposures) Nomes/Nomenclatura padronizada Interoperabilidade entre ferramentas Guia de comparação entre ferramentas
Compatível CVE Número de assinaturas (ataque ameaças)
IDMEF (Intrusion Detection Message Exchange Format)
11
12
Modelo Genérico de Arquitetura IDS
Sensor
Analyzer
Manager
Sensor
Administrator
Operator
Data SourceActivity
Se
cu
rity
Po
licy
Se
cu
rity
Po
licy
Se
cu
rity
Po
licy
Se
cu
rity
Po
licy
No
tifica
tio
ns
Re
sp
on
se
AlertsEvents
Eve
nts
Fonte Dados
Sensor
Sensor
Analisador
Operador
Gerenciador
Administrador
Atividade
Eventos Alertas
Eve
ntos
Not
ifica
ções
Res
post
as
Pol
ítica
de
Seg
uran
ça
Pol
ítica
de
Seg
uran
ça
Pol
ítica
de
Seg
uran
ça
Pol
ítica
de
Seg
uran
ça
TOCI08 Segurança em Redes de Computadores 13
HIDS: Host Intrusion Detection System
Faz a detecção baseada em monitoração da atividade de rede do sistema, sistema de arquivo, arquivos de log e ações do usuário
Deve gerar um alerta quando detecta um procedimento suspeito como, por exemplo, um aumento de privilégios para uma conta de usuário no sistema
Permite um nível de controle maior sobre ao sistema por estar instalado localmente
TOCI08 Segurança em Redes de Computadores 14
HIDS - Host Intrusion Detection System (Cont.)
Principais Ferramentas do Mercado: Tripwire AIDE ISS BlackIce (voltado para estações) LogSentry ISS RealSecure Enterasys Dragon
TOCI08 Segurança em Redes de Computadores 15
HIDS - Host Intrusion Detection System (Cont.)
Pontos fortes: Menos falsos positivos Uso em ambientes onde largura de banda é crítica Qualidade da informação coletada
Pontos Fracos: Dependem das capacidades do sistema São relativamente mais caros Visão localizada
TOCI08 Segurança em Redes de Computadores 16
NIDS - Network Intrusion Detection System
Um sistema de detecção de intrusão baseado em redes (NIDS) é projetado para examinar o tráfego de rede para identificar ameaças detectando varreduras, sondas, ataques, etc.
Pode ser posicionado de várias maneiras possíveis, principalmente: Entre o cliente e o servidor Entre o servidor e seus próprios funcionários Entre o firewall e a DMZ
Deve permitir uma análise mais minuciosa de um eventual ataque e de onde se originou
TOCI08 Segurança em Redes de Computadores 17
NIDS - Network Intrusion Detection System (Cont.)
Principais Ferramentas do Mercado: Snort Shadow Prelude Dragon Enterasys ISS - RealSecure
TOCI08 Segurança em Redes de Computadores 18
NIDS: Network Intrusion Detection System (Cont.)
Pontos fortes: Cobertura abrangente Desempenho em alta velocidade Fácil instalação (Sensores) Operação transparente Tende a ser mais independente
Pontos Fracos: Monitora um segmento de rede,necessita ter acesso ao tráfego
(necessidade de HUBs, portas de eco em switches, etc..) Inadequado para tratar ataques mais complexos Grandes quantidades de dados trafegam entre os agentes e
estações de gerência Falsos Positivos / Falsos Negativos Ataques de DoS e DDoS
TOCI08 Segurança em Redes de Computadores 19
EMAILALERT/
LOG
DETECÇÃO DOATAQUE
REGISTROS DA SESSÃO
SESSÃOTERMINADA
RECONFIGURARFIREWALL
Usuário Interno
DETECTARATAQUE
REGISTRODA SESSÃO
TOCI08 Segurança em Redes de Computadores 20
Posicionamento de IDS e Arquitetura
21
IDS: Arquitetura
HIDS1. Este HIDS trabalhará instalado no firewall para que o mesmo além de proteger a rede toda, proteja o firewall de um possível ataque contra ele, que pode surgir tanto da rede interna da VPN ou da Internet
NIDS1. Nesta situação, o NIDS irá detectar todas as tentativas de que a rede interna sofrerá até as tentativas que não teriam efeito algum. Esta localização traz uma rica fonte de informações sobre que tipos de ataques que a rede pode sofrer
NIDS2. Este NIDS estará monitorando todo o segmento, que é a DMZ, o qual engloba o servidor de e-mail, FTP e Web alertando sobre uma possível invasão
TOCI08 Segurança em Redes de Computadores 22
IDS – Arquitetura (Cont.)
NIDS3. Da mesma forma que o NIDS2, este irá proteger a rede se servidores a qual engloba o Banco de Dados e o servidor ICP
NIDS4. Este IDS monitorará toda as ações da rede interna, caso haja algum comportamento suspeito contra os servidores da organização
NIDS5. Nesta posição, este IDS irá monitorar todas as ações suspeitas que podem vir partir da VPN contra o firewall e toda a rede de computadores
TOCI08 Segurança em Redes de Computadores 23
Considerações sobre IDS
IDS comerciais estão na fase juvenil Muito trabalho a ser feito (pesquisa/comercial) Aumento na importância da detecção por anomalia Será que algum dia os IDSs serão criados eventualmente para
cada tipo de aplicação ou dispositivo de rede? IDSs não são um tipo de solução que irá parar todos os tipos de
ameaças de uma organização
IDSs são parte relevante de uma estratégia de segurança (Política de segurança como orientador) se bem distribuídos e gerenciados
Uma boa configuração de política do IDS faz toda a diferença! Planejamento futuro e cuidado em considerar todos os
elementos constituem uma boa configuração de política do IDS IDS, Forense, e outras políticas de rede/segurança precisam se
relacionar bem para serem realmente efetivas
IPS – Intrusion Prevention Systems
TOCI08 Segurança em Redes de Computadores 25
IPS: Intrusion Prevention Systems
Considera-se mais uma evolução do IDS do quê um novo conceito
Incorpora outros dispositivos de rede (roteadores, switches, etc.)
Definição: Consiste no uso coordenado e integrado de ferramentas
de segurança, em especial similares a IDS para prevenir ataques de modo pró-ativo Mudança de postura: Passiva Detecção Ativa Mecanismos de defesa pró-ativos Objetiva parar o tráfego ofensivo antes de causar danos
TOCI08 Segurança em Redes de Computadores 26
IPS: Tipos
Host IPS Instalação direta no sistema a ser protegido Conexões diretas ao núcleo para interceptar chamadas de
sistema (system calls), objetivando auditoria Não é muito propenso a atualizações (mudança de controles,
disponibilidade, etc.) Network IPS
Combina IDS, IPS e firewalls IDS in-line ou IDS de Gateway Descarta pacotes maliciosos Incapaz de competir com a velocidade de redes mais rápidas
(Gbps, por exemplo)
TOCI08 Segurança em Redes de Computadores 27
IPS: ExemploCliente
VMSTrendLabs
Servers
IPS SignatureUpdate Server
IPS 4200Series
Catalyst 6500IPS Blade
NM-CIDSRouter Blade
ASA 5500SSM Blade
Cisco IncidentControl Center
(CICC)
CISCO TREND MICRO
Policy (coarse filter)
Regular AVSignatures
Regular IPSSignatures
Regular IPSSignatures IPS
EngineeringSignature
Integration
IOS IPSc83x-c7xxx
Signature (fine filter)
Policy (coarse filter)
Signtaure (fine filter)
MalwareOutbreak!
Honeypots/Honeynets
TOCI08 Segurança em Redes de Computadores 29
Honeypot
Definição: Mecanismo de detecção de intrusão com a finalidade de
atrair crackers/hackers Não fazem nenhum tipo de prevenção Fazem uma forte avaliação e registros das táticas e
técnicas do seu invasor (quantitativa e qualitativamente) Não estão limitados a um único problema Podem servir tanto como “iscas” como coletores de dados
TOCI08 Segurança em Redes de Computadores 30
Classificação pelo Nível de Interação
Baixa Interatividade
Média Interatividade
Alta Interatividade
TOCI08 Segurança em Redes de Computadores 31
Tipos de Honeypots
Honeypots de Produção: Aumentar a segurança e mitigar os riscos
Honeypots de Pesquisa: Levantar informações sobre atividades maliciosas
TOCI08 Segurança em Redes de Computadores 32
Frente do Firewall Dentro da Rede InternaDentro da DMZ
Localização dos Honeypots
TOCI08 Segurança em Redes de Computadores 33
Ferramentas Honeypots Ferramentas de código aberto
Desenvolvidas por pesquisadores independentes, universidades e também com o auxílio de empresas
Plataforma GNU/Linux e BSD, na sua maioria Dependendo da licença podem ser modificadas e redistribuídas
Ferramentas proprietárias (EULA) Software licenciado (normalmente por IPs ou quantidade de
instalações) Normalmente possuem interfaces mais facilitadas (gráficas) Fáceis de configurar Para administradores experientes pode limitar o uso em
decorrência do código fechado e licenciamento
TOCI08 Segurança em Redes de Computadores 34
DTK
HONEYD
BACKOFFICE FRIENDLY
Ferramentas de Código Aberto
TOCI08 Segurança em Redes de Computadores 35
MANTRAP
SPECTER
KFSENSOR
Ferramentas de Proprietárias
TOCI08 Segurança em Redes de Computadores 36
Honeynet
Definição: Ferramenta de pesquisa com a finalidade de estudar
atacantes Consistem na construção de uma rede similar às
encontradas nas organizações Podem descobrir ataques e ameaças conhecidos ou não Requer grande quantidade de recursos e tempo para
construir, implementar e manter Qualquer tráfego enviado para uma Honeynet é suspeito Controles:
Captura de Dados Controle de Dados
TOCI08 Segurança em Redes de Computadores 37
Honeynets: Classificação
Honeynets clássicas: Sistemas de produção real em um ambiente controlado
Honeynets virtuais: Auto-suficientes Híbridas
TOCI08 Segurança em Redes de Computadores 38
VMWARE UML
Principais Ferramentas
TOCI08 Segurança em Redes de Computadores 39
QEMU HONEYNET DE HONEYPOTS
Principais Ferramentas (Cont.)
TOCI08 Segurança em Redes de Computadores 40
Projeto Honeynet.BR
Em1999 uma equipe de pesquisadores, formada por 30 profissionais da área de segurança, desenvolveu o Honeynet Project
Lance Spitzer foi, essencialmente, o principal fundador do projeto, cujo objetivo é implementar honeynets com o intuito de avaliar as informações levantadas durante o seu comprometimento, de forma a identificar as ferramentas, táticas e motivações dos atacantes
TOCI08 Segurança em Redes de Computadores 41
Projeto Honeynet.BR (Cont.)
Outra contribuição do Honeynet Project é a formação de uma Aliança de Pesquisa (Research Alliance): vários grupos de especialistas em segurança da informação se organizam em diferentes países para constituir grupos de estudo e avaliação de honeynets
No Brasil, o projeto Honeynet.BR é o projeto que responde pelo estudo e avaliação de honeynets a nível nacional. O Honeynet.BR é membro participante da Honeynet Research Alliance
TOCI08 Segurança em Redes de Computadores 42
Projeto Honeynet.BR: Distribuição
TOCI08 Segurança em Redes de Computadores 43
Projeto Honeynet.BR: Centralizadores
Cert.BR: Identifica atividades maliciosas e notifica os responsáveis pelas redes que estão envolvidas nestas atividades
INPE: Procura determinar as vulnerabilidades que estão sendo exploradas, as ferramentas utilizadas para efetivar os ataques e quem são os responsáveis (origem) pelos ataques que vem ocorrendo
TOCI08 Segurança em Redes de Computadores 44
Projeto Honeynet.BR: Topologia
TOCI08 Segurança em Redes de Computadores 45
Honeypot: Ferramentas
Sistema Operacional: OpenBSDFerramenta de Honeypot: Honeyd
TOCI08 Segurança em Redes de Computadores 46
Honeypot: OpenBSD
Sistema operacional estável e seguro que provê um ambiente controlado, capaz de suportar a interação com atividades maliciosas
Características: Segurança:
Emprego de técnicas de criptografia em várias partes do sistema
Utilizado na construção de firewalls, IDS e servidores de diversos propósitos
Código sofre um forte processo de auditoria
TOCI08 Segurança em Redes de Computadores 47
Características (Cont.): Portabilidade:
Garantir sua utilização em computadores pessoais e em modelos largamente utilizados
Poder: Pode ser suportado por hardware de até dez anos atrás Disponibiliza o maior espaço de processamento possível para
as aplicações dos usuários Documentação:
Preocupação com documentação específica, manuais falhos levam a sérios problemas de segurança
Manuais precisos para garantir a correta configuração do sistema operacional
Honeypot: OpenBSD (Cont.)
TOCI08 Segurança em Redes de Computadores 48
Características (Cont.): Corretude:
Para implementar soluções o mais corretas possíveis, os desenvolvedores do OpenBSD são guiados por padrões UNIX tais como POSIX e ANSI
Isto é respeitado para se obter como resultado final um sistema fidedigno, seguro e previsível
Código Aberto: Permite realizar alterações no código fonte Personalizar ou corrigir eventuais problemas
Honeypot: OpenBSD (Cont.)
TOCI08 Segurança em Redes de Computadores 49
Honeypot: Honeyd
Atua como um servidor, capaz de gerar diversas máquinas virtuais que possam ser conectadas de forma a criar uma rede virtual de computadores
Características: Configuração de serviços arbitrários através de simples arquivos
de configuração (personalidades) Atribuição de diferentes endereçamentos IP para as máquinas
pertencentes a rede virtual Simulação de topologias arbitrárias (descarte de pacotes, rotas,
latência, entre outros) Simulação de sistemas operacionais a nível de pilha TCP/IP
(Internamente trabalha como uma máquina de estados)
TOCI08 Segurança em Redes de Computadores 50
Características (Cont.): Virtualização de subsistemas. Possibilita:
Simular a ligação de portas de comunicação dinâmicas em um espaço de endereçamento IP virtual
Estabelecimento de conexões a partir da rede Iniciar conexões TCP e UDP dentro do espaço de
endereçamento IP virtual, entre outros Segurança. Pode ser configurado para executar com baixo
privilégio e permite a utilização de systrace Software Livre e de código aberto
Honeypot: Honeyd (Cont.)
TOCI08 Segurança em Redes de Computadores 51
Listeners
Honeypot: Honeyd (Cont.)
TOCI08 Segurança em Redes de Computadores 52
Listeners – Serviço Emulado Desconhecido
Honeypot: Honeyd (Cont.)
TOCI08 Segurança em Redes de Computadores 53
Não apresentam falsos positivosNão apresentam falsos positivos
Relativamente complexos de seremadministrados
Relativamente fáceis de seremAdministrados
São, essencialmente, ferramentas deAlta interatividade
Podem ter três níveis de interação
São, essencialmente, ferramentas depesquisa
Podem ser ferramentas de pesquisaou produção
Possuem mecanismos de controle dedados e alerta de eventos
Apenas arquivam as informações decomprometimento em servidores de log
Possuem mecanismos robustosde contenção como Firewalls e IDS
Não possuem mecanismosrobustos de contenção
Rede de Computadores Simulandomúltiplos serviços e Aplicações
Um único Sistema Computador simulandomúltiplos serviços e Aplicações
HoneynetsHoneypots
Comparativo: Honeypots X Honeynets
TOCI08 Segurança em Redes de Computadores 54
Questões Éticas
IDS reativos, a política de “olho por olho” pode ser aplicada ? De acordo com o governo: não Mas quantos fazem isso ? Provavelmente vários
Honeypots/Honeynets internos podem ser uma forma de induzir o usuário a ações indevidas ?
TOCI08 Segurança em Redes de Computadores 55
TOCI08 Segurança em Redes de Computadores 56
Leitura Recomendada:
Cert.Br: http://www.cert.br/docs/seg-adm-redes/
Norma NBR-ISO/IEC 17799. Versão 1.0
SANS.org: http://www.sans.org/resources/idfaq/ /
Stallings, Willian. Network Security Essentials. 2a Edição. Editora Prentice-Hall. 2003. Capítulo 9
SPITZNER, Lance. Honeypots: Tracking Hackers. Boston, MA/EUA. Pearson Education. 2002.
Recommended