Você está na página 1de 173

GSegGSeg

UFRGSUFRGS

XIX Simpósio Brasileiro de Redes de Computadores

Sistemas de Detecção de Intrusão

Rafael Campello e Raul Weber

UFRGS – II – PPGC – GSeg Centro Universitário Franciscano

Florianópolis, 23 Maio de 2001

GSegGSeg

UFRGSUFRGS

GSegGSeg

UFRGSUFRGS

Grupo de Segurança da UFRGS

Pesquisas

– Sistemas de Detecção de Intrusão (IDS)

– Controle de Integridade de Arquivos

– Injeção de Falhas (TCP/IP)

– Votação Eletrônica

– Dinheiro Digital

GSegGSeg

UFRGSUFRGS

Objetivos do Curso

Apresentar os princípios de um sistema de detecção de intrusão e seu uso como mecanismo de tolerância a falhas de segurança

Abordar aspectos conceituais

Tecer algumas considerações práticas

GSegGSeg

UFRGSUFRGS

Público Alvo

Estudantes de computação ou engenharia

– noções de redes de computadores

– noções de sistemas operacionais

Profissionais ligados à administração ou à gerência de segurança em redes de computadores

GSegGSeg

UFRGSUFRGS

Programa

Fundamentos de segurança

Sistemas de Detecção de Intrusão (IDSs)

Exemplos de IDSs

Considerações práticas

GSegGSeg

UFRGSUFRGS

Fundamentos de Segurança

Conceitos básicos

Ameaças e ataques

Mecanismos de proteção

GSegGSeg

UFRGSUFRGS

Sistemas de Detecção de Intrusão

Conceitos básicos

Métodos de detecção de intrusão

Arquiteturas de IDS

GSegGSeg

UFRGSUFRGS

Exemplos de IDSs

Snort

Bro

AAFID

EMERALD

RealSecure NFR

GSegGSeg

UFRGSUFRGS

Considerações Práticas

Seleção e implementação

Vulnerabilidades conhecidas

Aspectos legais

GSegGSeg

UFRGSUFRGS

Cronograma

Fundamentos de segurança

coffee-break (10h30min – 11h)

Sistemas de Detecção de Intrusão

almoço (13h – 14h)

Exemplos de IDS

Considerações práticas

Intrusão almoço (13h – 14h) ♦ Exemplos de IDS ♦ Considerações práticas Grupo de Segurança -

GSegGSeg

UFRGSUFRGS

Regra número 1

FAÇA PERGUNTAS DURANTE A APRESENTAÇÃO !!!

GSegGSeg

UFRGSUFRGS

Fundamentos de Segurança

GSegGSeg

UFRGSUFRGS

Segurança: introdução

Não começou como ciência nem como arte, mas como um instinto

Maior interesse do homem, durante a sua história

– segurança própria, da família, dos bens, etc

Matéria de sobrevivência

– criada naturalmente p/ garantir a sobrevivência das espécies

GSegGSeg

UFRGSUFRGS

Segurança: introdução

A vida seria melhor sem essas preocupações

– tranqüilidade/felicidade de décadas atrás

Paradoxo:

– busca-se algo que não é desejado

Principal motivo do descaso e do despreparo

GSegGSeg

UFRGSUFRGS

Segurança: introdução

Atitude mais cômoda e barata:

– torcer para que nada aconteça

– semelhante a esperar que sua casa não seja roubada

Atitude correta:

– cercar-se de cuidados

– preparar-se para lidar com os problemas

– analogia: colocar um alarme e fazer um seguro da casa

GSegGSeg

UFRGSUFRGS

Segurança: introdução

Por que ser negligente?

Segurança: introdução ♦ Por que ser negligente? – segurança é custo – segurança é perda na

– segurança é custo

– segurança é perda na facilidade de uso

– valor da informação, da reputação e dos serviços da organização não são levados em consideração

Em suma:

– custos com importância maximizada

– em

detrimento de valores mais importantes

GSegGSeg

UFRGSUFRGS

Segurança: evolução

Estímulo para o desenvolvimento do computador eletrônico

Década de 40

– Colossus (Primeiro Computador Eletrônico)

• Decifrar as mensagens na 2º Guerra Mundial

GSegGSeg

UFRGSUFRGS

Segurança: evolução

Fim da guerra: preocupações com segurança focadas em problemas físicos

Computadores não possibilitavam o acesso direto a seus usuários

– Inviabiliza qualquer tipo de ação contra sua segurança.

GSegGSeg

UFRGSUFRGS

Segurança: evolução

Novas ameaças

– máquinas com acesso compartilhado (time- sharing)

– Teleprocessamento

– Computadores pessoais

– Redes

( time- sharing ) – Teleprocessamento – Computadores pessoais – Redes Grupo de Segurança - UFRGS

GSegGSeg

UFRGSUFRGS

Ameaças: exemplos

Destruição de informação ou de outro recurso

Modificação ou deturpação da informação

Roubo, remoção ou perda de informação

Revelação de informação

Interrupção de serviços

GSegGSeg

UFRGSUFRGS

Atacantes

Hacker/Cracker

Script Kid, One-click hacker

Espião

Terrorista

Atacante corporativo

Vândalo

Voyeur

Terrorista ♦ Atacante corporativo ♦ Vândalo ♦ Voyeur Mitnick Bart Simpson Grupo de Segurança - UFRGS
Terrorista ♦ Atacante corporativo ♦ Vândalo ♦ Voyeur Mitnick Bart Simpson Grupo de Segurança - UFRGS

Mitnick

Bart Simpson

GSegGSeg

UFRGSUFRGS

Ameaças: evolução

Década de 80 - ataques individuais e isolados

– Escolha de boas senhas

– Prevenir o compartilhamento indiscriminado

– Eliminar os bugs de segurança de programas

GSegGSeg

UFRGSUFRGS

Ameaças: evolução

Década de 90 - ataques sofisticados

Sniffers capturam senhas e outras informações

– Computadores são confundidos por IP spoofing

– Sessões são desviadas através de connection hijacking

– Dados são comprometidos via data spoofing

– Atacantes na maioria amadores (One-click hacker, Script Kid)

via data spoofing – Atacantes na maioria amadores ( One-click hacker , Script Kid ) Grupo

GSegGSeg

UFRGSUFRGS

Segurança: conceitos

Tentativa de minimizar a vulnerabilidade de bens e recursos

Mais abrangente: dotar os sistemas de:

– confiabilidade

– disponibilidade

– privacidade

– integridade – autenticidade

GSegGSeg

UFRGSUFRGS

Segurança: conceitos

O que se quer proteger?

– confiabilidade

– disponibilidade

– integridade

– privacidade

– autenticidade

GSegGSeg

UFRGSUFRGS

G S e g G S e g UFRGS UFRGS Segurança: conceitos Dependability Dependability Falhas Atributos

Segurança: conceitos

Dependability

Dependability

Falhas

Segurança: conceitos Dependability Dependability Falhas Atributos Atributos Físicas Permanentes Confiabilidade
Segurança: conceitos Dependability Dependability Falhas Atributos Atributos Físicas Permanentes Confiabilidade
Segurança: conceitos Dependability Dependability Falhas Atributos Atributos Físicas Permanentes Confiabilidade
Segurança: conceitos Dependability Dependability Falhas Atributos Atributos Físicas Permanentes Confiabilidade

Atributos

Atributos

Físicas

Permanentes

Confiabilidade

Confiabilidade

.

.

.

.

.

.

Disponibilidade

Disponibilidade

Intermitentes

Temporárias

Transitórias

Disponibilidade Intermitentes Temporárias Transitórias De realização De realização Projeto Humanas Meios Meios
Disponibilidade Intermitentes Temporárias Transitórias De realização De realização Projeto Humanas Meios Meios
Disponibilidade Intermitentes Temporárias Transitórias De realização De realização Projeto Humanas Meios Meios

De realização

De realização

Projeto

Humanas

Meios

Meios

De validação

De validação

Interação

Prevenção

Prevenção

de falhas

de falhas

Tolerância a

Tolerância a

falhas

falhas

Remoção de

Remoção de

Intencionais

falhas

falhas

Detecção de erros

Detecção de erros

Confinamento e

Confinamento e

avaliação de danos

avaliação de danos

Recuperação de erros

Recuperação de erros

Tratamento de

Tratamento de

falhas

falhas

Previsão de

Previsão de

Não intencionais

falhas

falhas

GSegGSeg

UFRGSUFRGS

Segurança: conceitos

Validação

– remoção de falhas

– previsão de falhas

Prevenção de falhas Tolerância a falhas

– detecção de erros

– confinamento e avaliação de danos

– recuperação de erros

– tratamento de falhas

GSegGSeg

UFRGSUFRGS

Segurança: conceitos

Prevenção de falhas

– ex.: firewalls, criptografia, etc

Detecção de falhas

– ex.: sistemas de detecção de intrusão

Resposta

– ex.: reconfiguração de um firewall

GSegGSeg

UFRGSUFRGS

Exemplo 1: propriedade privada

Prevenção

– trancas em portas, grades nas janelas, muros ao redor da propriedade

Detecção

– perceber o desaparecimento de algum objeto, usar alarmes e circuitos de TV

Reação

– chamar a polícia, reaver objetos roubados, acionar o seguro

GSegGSeg

UFRGSUFRGS

Exemplo 2: redes

Prevenção

– gerenciamento adequado, firewalls, proxies

Detecção

– perceber anomalias no tráfego ou interrupção de serviços, auditoria, IDS

Reação

– relatar o incidente, reinstalar softwares, redefinir políticas de segurança, demitir o responsável

reinstalar softwares, redefinir políticas de segurança, demitir o responsável Grupo de Segurança - UFRGS 30

GSegGSeg

UFRGSUFRGS

Segurança: conceitos

Ameaça

Incidente

– atacante ataque objetivo

Ataque

– ferramenta vulnerabilidade evento resultado não autorizado

Evento

– ação alvo

GSegGSeg

UFRGSUFRGS

Segurança: conceitos

incidente ataque(s) evento
incidente
ataque(s)
evento

Atacantes

Hacker

Espião

Terrorista

Atacante

Corporativo

Criminoso

Profissional

Vândalo

Voyeur

Resultado ñ Ferramenta Vulnerabilidade Ação Alvo Autorizado Ataque Acesso Projeto Probe Conta físico
Resultado ñ
Ferramenta
Vulnerabilidade
Ação
Alvo
Autorizado
Ataque
Acesso
Projeto
Probe
Conta
físico
Ampliado
Troca de
Revelação de
Implementação
Varredura
Processo
Informação
Informação
Comando
Informação
Configuração
Flood
Dado
de Usuário
Corrompida
Script ou
Negação de
Autenticação
Componente
Programa
Serviço
Agente
Roubo de
Desvio
Computador
Autônomo
Recursos
Toolkit
Spoof
Rede
Ferramenta
Leitura
Inter-rede
Distribuída
Interceptaçã
o de dados
Cópia
Roubo
Modificação
Destruição

Objetivos

Desafio,

status

Ganho

Político

Ganho

Financeiro

Dano

GSegGSeg

UFRGSUFRGS

Principais Ataques

Engenharia social

Coleta de informação

Varredura

Negação de serviço (DoS)

Exploração de bugs

Exploração de protocolos

Sniffers

Ataque do dicionário

Código malicioso

GSegGSeg

UFRGSUFRGS

Engenharia Social

Método: enganar as vítimas, por conversa, telefone ou correio eletrônico

Objetivos:

– obter informações valiosas

– obter privilégios

– convencer a vítima a executar ações indevidas e perigosas

GSegGSeg

UFRGSUFRGS

Engenharia Social

Prevenção: educação e conscientização

– não fornecer informações a estranhos

– exigir identificação

– escolher boas senhas

– não executar ações sem pensar (como executar um programa anexo à uma mensagem)

GSegGSeg

UFRGSUFRGS

Coleta de Informação

Informações úteis (ao atacante)

– domínio e servidores (whois e nslookup)

– números IP (nslookup e traceroute)

– arquitetura das máquinas (CPU, sistema operacional)

– servidores (versões e plataforma)

– serviços de proteção (firewall, VPNs, ACL)

– acesso remoto (telefones, usuários autorizados)

– usuários (nomes, cargos, funções)

GSegGSeg

UFRGSUFRGS

Coleta de Informação

Problema: algumas informações devem ser públicas

Prevenção: evitar o fornecimento de informação desnecessária

Toda a informação vital para operação deve ser obviamente fornecida, mas qualquer informação adicional deve ser suprimida

GSegGSeg

UFRGSUFRGS

Varredura (Scanning)

Teste sistemático dos números IP de uma organização

Determinação dos serviços estão ativos (quais portas estão escutando)

Prevenção: limitar o tráfego desnecessário (filtro de pacotes ou firewall)

GSegGSeg

UFRGSUFRGS

Negação de Serviço

DoS ou denial-of-service Objetivo: impedir o uso legítimo do sistema, ou “derrubar” a máquina Inúmeras formas

ping of death

syn flood

smurf attack UDP flood

Inúmeras formas – ping of death – syn flood – smurf attack – UDP flood Grupo

GSegGSeg

UFRGSUFRGS

Negação de Serviço

Impedir DoS é quase impossível

Distribuir os serviços para a maioria permanecer operacional

Manter-se atualizado sobre as vulnerabilidades apresentadas pela versão atual do sistema

GSegGSeg

UFRGSUFRGS

Exploração de bugs

Explorar “furos” de implementação para obter privilégios

Prevenção (em programas próprios)

– boas práticas de engenharia de software

– verificar erros comuns (estouros de buffers)

– verificar as entradas

– lei do menor privilégio

GSegGSeg

UFRGSUFRGS

Buffer Overflow

end end da func do buf 2

end da func 1

evil_assembly_code() buf

evil_assembly_code() buf

c, d

c, d

a, b

func_3()

{ char buf[100];

read_user_input(buf);

}

func_2()

func_1()

{

{

int c, d;

int a, b;

func_3();

func_2();

}

}

GSegGSeg

UFRGSUFRGS

Exploração de bugs

Prevenção (em programas de terceiros)

– verificar vulnerabilidades conhecidas

– aplicar os patches disponíveis

– manter-se informado e atualizado

Nenhum sistema é seguro

Nenhum patch é perfeito

Mas a maioria dos atacantes só sabe explorar bugs, e não criá-los

GSegGSeg

UFRGSUFRGS

Exploração de Protocolos

Muitos são derivados de falhas no mecanismo de autenticação

– IP spoofing: utilizar um endereço IP confiável

– DNS spoofing: subverter o servidor de nomes

Source Routing: utilizar os mecanismos de roteamento

– Ataque RIP: enviar informações de roteamento falsas

– Ataque ICMP: explorar msgs como redirect e destination unreachable

GSegGSeg

UFRGSUFRGS

Sniffer

sniffing - interface de rede que opera modo promíscuo, capturando todos os pacotes

É fácil para um programa sniffer obter username e password dos usuários

Utilização de sniffer é difícil de ser detectada

GSegGSeg

UFRGSUFRGS

Ataque do Dicionário

Um dos arquivos mais cobiçados por atacantes é o de senhas

– Unix: /etc/passwd

– Windows: *.pwl

– Windows NT: SAM

Senhas cifradas

GSegGSeg

UFRGSUFRGS

Ataque do Dicionário

Pessoas utilizam senhas facilmente memorizáveis, como nomes próprios ou palavras de uso corriqueiro

Atacante compõe um dicionário e experimenta todas as palavras deste dicionário contra a cifra armazenada no arquivo de senhas

GSegGSeg

UFRGSUFRGS

Ataque do Dicionário

Vários programas disponíveis (Crack, etc)

Ação preventiva: atacar o próprio arquivo de senhas

Não utilizar senhas derivadas de palavras e nomes

Utilizar letras iniciais de frases ou palavras com erros

GSegGSeg

UFRGSUFRGS

Código Malicioso

Cavalos de Tróia (não se propagam)

– falsa tela de Login

– falsa Operação

Vírus

Backdoors

Controle Remoto (Netbus, Back Orifice)

GSegGSeg

UFRGSUFRGS

Código Malicioso

Prevenção: Monitores

Impossível tratamento exato e confiável

Manter anti-vírus atualizado

Preparar procedimento de emergência

♦ Manter anti-vírus atualizado ♦ Preparar procedimento de emergência Grupo de Segurança - UFRGS 50

GSegGSeg

UFRGSUFRGS

Segurança: tipos

Nenhuma segurança

Segurança por obscuridade

♦ Nenhuma segurança ♦ Segurança por obscuridade ♦ Segurança baseada em máquina ♦ Segurança

Segurança baseada em máquina

Segurança baseada em rede

Combinação de mecanismos

GSegGSeg

UFRGSUFRGS

Segurança: estratégias

Atribuir privilégios mínimos

Criar redundância de mecanismos

Criar ponto único de acesso

Determinar os pontos mais fracos

Tornar o sistema livre de falhas (fail-safe)

Incentivar a participação universal

Investir na diversidade de defesa

Prezar a simplicidade

GSegGSeg

UFRGSUFRGS

Segurança: posturas

Postura padrão de negação (prudente)

– especificar o que é permitido

– proibir o resto

Postura padrão de permissão (permissiva)

– especificar o que é proibido

– permitir o resto

GSegGSeg

UFRGSUFRGS

Medidas de segurança

O que se está querendo proteger?

O que é preciso para proteger?

Qual a probabilidade de um ataque?

Qual o prejuízo se o ataque for bem sucedido?

Implementar procedimentos de segurança irá ser vantajoso no ponto de vista custo- benefício?

GSegGSeg

UFRGSUFRGS

Política de segurança

Conjunto de leis regras e práticas que regulam (informações e recursos):

– como gerenciar

– como proteger

– como distribuir

– como gerenciar – como proteger – como distribuir ♦ Sistema seguro = sistema que garante

Sistema seguro = sistema que garante o cumprimento da política de segurança traçada

GSegGSeg

UFRGSUFRGS

Política de segurança

Define o que é e o que não é permitido no sistema

Define o comportamento autorizado para os indivíduos que interagem com o sistema

GSegGSeg

UFRGSUFRGS

Mecanismos para segurança

Wrappers

Firewalls

Criptografia

Redes Privadas (VPNs)

Ferramentas de verificação

GSegGSeg

UFRGSUFRGS

Wrapers

TCP Wrappers são um conjunto de programas que “encapsulam” os daemons dos serviços de rede visando aumentar sua segurança

Funcionam como um filtro e estendem o serviço original

GSegGSeg

UFRGSUFRGS

Wrapers

O wrapper não pode ser considerado uma ferramenta para segurança total

Visa suprir deficiências dos servidores atuais e aumentar o controle sobre sua utilização

Ótima ferramenta para registro (log)

GSegGSeg

UFRGSUFRGS

Firewalls

Conjunto de componentes colocados entre duas redes e que coletivamente implementam uma barreira de segurança

e que coletivamente implementam uma barreira de segurança ♦ Finalidade – retardar os efeitos de um

Finalidade

– retardar os efeitos de um ataque até que medidas administrativas contrárias sejam executadas

GSegGSeg

UFRGSUFRGS

Firewalls

Objetivo básico

– defender a organização de ataques externos

Efeito secundário

– pode ser utilizado para regular o uso de recursos externos pelos usuários internos

GSegGSeg

UFRGSUFRGS

Firewalls

Internet DMZ Rede interna
Internet
DMZ
Rede interna

GSegGSeg

UFRGSUFRGS

Firewalls

Pode ser implementado utilizando dois mecanismos básicos:

– filtragem de pacotes

• análise dos pacotes que passam pelo firewall

– servidores proxy

• análise dos serviços sendo utilizados

GSegGSeg

UFRGSUFRGS

Criptografia

Não existe sistema absolutamente seguro

Toda criptografia pode ser “quebrada”

Complexidade temporal

Complexidade econômica

Segurança “computacional”

GSegGSeg

UFRGSUFRGS

Criptografia de chave única

S e g G S e g UFRGS UFRGS Criptografia de chave única Alice Única Esta

Alice

Única
Única
Esta mensagem é secreta, pois contém dados da mais alta importância para a nossa empresa.
Esta mensagem é
secreta, pois
contém dados da
mais alta
importância para
a nossa empresa.
fsdfsdgfdghdgkdhf
gkdshgksdfghkdsh
gfksdfghkfdsgiuer
bdhbkdbskfbhkbsl
dbhdfskbhdksfbhk
dbhdbfkhsdkbhdfk

DECIFRAGEM

dbhdfskbhdksfbhk dbhdbfkhsdkbhdfk DECIFRAGEM Bob TRANSMISSÃO Única Esta mensagem é secreta, pois

Bob

TRANSMISSÃO

dbhdbfkhsdkbhdfk DECIFRAGEM Bob TRANSMISSÃO Única Esta mensagem é secreta, pois contém dados da mais
Única
Única

Esta mensagem é secreta, pois contém dados da mais alta importância para a nossa empresa.

fsdfsdgfdghdgkdhf

gkdshgksdfghkdsh

gfksdfghkfdsgiuer

bdhbkdbskfbhkbsl

dbhdfskbhdksfbhk

dbhdbfkhsdkbhdfk

gfksdfghkfdsgiuer bdhbkdbskfbhkbsl dbhdfskbhdksfbhk dbhdbfkhsdkbhdfk CIFRAGEM Grupo de Segurança - UFRGS 65

CIFRAGEM

GSegGSeg

UFRGSUFRGS

Criptografia de chave única

Única chave para cifragem e decifragem

Substituição, permutação, operações algébricas

Alta velocidade

Problemas na distribuição de chaves

GSegGSeg

UFRGSUFRGS

Criptografia de chave pública

e g G S e g UFRGS UFRGS Criptografia de chave pública Alice Pub Bob TRANSMISSÃO
Alice Pub
Alice
Pub

Bob

g UFRGS UFRGS Criptografia de chave pública Alice Pub Bob TRANSMISSÃO Priv Pub Esta mensagem é

TRANSMISSÃO

Criptografia de chave pública Alice Pub Bob TRANSMISSÃO Priv Pub Esta mensagem é secreta, pois contém
Priv
Priv
Pub
Pub

Esta mensagem é secreta, pois contém dados da mais alta importância para a nossa empresa.

Esta mensagem é secreta, pois contém dados da mais alta importância para a nossa empresa.
Esta mensagem é
secreta, pois
contém dados da
mais alta
importância para
a nossa empresa.
fsdfsdgfdghdgkdhf
gkdshgksdfghkdsh
gfksdfghkfdsgiuer
bdhbkdbskfbhkbsl
dbhdfskbhdksfbhk
dbhdbfkhsdkbhdfk

DECIFRAGEM

fsdfsdgfdghdgkdhf

gkdshgksdfghkdsh

gfksdfghkfdsgiuer

bdhbkdbskfbhkbsl

dbhdfskbhdksfbhk

dbhdbfkhsdkbhdfk

gfksdfghkfdsgiuer bdhbkdbskfbhkbsl dbhdfskbhdksfbhk dbhdbfkhsdkbhdfk CIFRAGEM Grupo de Segurança - UFRGS 67

CIFRAGEM

GSegGSeg

UFRGSUFRGS

Criptografia de chave pública

Duas chaves: uma pública e outra secreta

Cifragem com uma chave somente é decifrada com a outra chave

GSegGSeg

UFRGSUFRGS

Criptografia de chave pública

Privacidade: cifrar com chave pública; somente chave secreta pode decifrar

Assinatura: cifrar com chave secreta; chave pública decifra e identifica usuário

GSegGSeg

UFRGSUFRGS

Criptografia + Assinatura

Pub
Pub
Alice Pub
Alice
Pub
S e g UFRGS UFRGS Criptografia + Assinatura Pub Alice Pub Esta mensagem é secreta, pois

Esta mensagem é secreta, pois contém dados da mais alta importância para a nossa empresa.

dados da mais alta importância para a nossa empresa. h25c924fed23 4932uvf9vbd8bbfgbfg Priv

h25c924fed23

4932uvf9vbd8bbfgbfg

Priv
Priv

Fsdjfljgljdlgjdlgjldgjld jgldjgldjfgljdfljlvbkjn;

x923q8508hugdkbn

msbn5y9[6590mnkp

mjfw44n50b0okythp;

jguent039oktrpgerjh

gwunpt058bngnwug0

9u6buyhjoireueyu84

8ybnuyue98

gwunpt058bngnwug0 9u6buyhjoireueyu84 8ybnuyue98 Pub Bob Pub Priv Fsdjfljgljdlgjdlgjldgjld
gwunpt058bngnwug0 9u6buyhjoireueyu84 8ybnuyue98 Pub Bob Pub Priv Fsdjfljgljdlgjdlgjldgjld

Pub

Bob Pub
Bob
Pub
Priv
Priv

Fsdjfljgljdlgjdlgjldgjld jgldjgldjfgljdfljlvbkjn;

x923q8508hugdkbn

msbn5y9[6590mnkp

mjfw44n50b0okythp;

jguent039oktrpgerjh

gwunpt058bngnwug0

9u6buyhjoireueyu84

8ybnuyue98

Esta mensagem é secreta, pois contém dados da mais alta importância para a nossa empresa.
Esta mensagem é
secreta, pois
contém dados da
mais alta
importância para
a nossa empresa.
4932uvf9vbd8bbfgbfg
h25c924fed23

GSegGSeg

UFRGSUFRGS

Criptografia de chave pública

Operação: funções aritméticas complexas

Baixa velocidade, fácil distribuição de chaves

Exemplos: RSA, DSS, DH, El Gamal (512 a 2048 bits)

GSegGSeg

UFRGSUFRGS

Ferramentas de Análise

COPS (Computer Oracle and Password Program)

SATAN (Security Analysis Tool for Auditing Network)

ISS (Internet Security Scanner)

SAINT (Security Administrator’s Integrated Network Tool)

Nessus (um dos mais atuais)

GSegGSeg

UFRGSUFRGS

Verificadores de Integridade

Verificar se arquivos e configurações permanecem inalterados

Compara a situação atual com a situação inicial

Utiliza funções de checksum e hash

Hash a nível criptográfico: MD5, SHA

Exemplo: Tripwire, Soffic (UFRGS)

GSegGSeg

UFRGSUFRGS

Verificadores de Senhas

Verificar se uma senha pode ser “quebrada”

– Exemplo: Crack

Verificar se uma senha é “fácil”

– Exemplos: npasswd, passwd+

GSegGSeg

UFRGSUFRGS

Analisadores de Logs

Facilitar a análise de arquivos de logs

Realizar logs mais detalhados (além de um grep)

Exemplos:

– Swatch (Simple Watcher)

– Netlog

– LogSurfer

(além de um grep) ♦ Exemplos: – Swatch (Simple Watcher) – Netlog – LogSurfer Grupo de

GSegGSeg

UFRGSUFRGS

Segurança (resumindo)

Segurança é um atributo negativo

– é fácil detectar pontos inseguros

– é difícil (impossível ?!?) provar segurança

Segurança por obscuridade não é segurança

– não adianta se esconder

– não adianta ser otimista

– esteja preparado

– não adianta se esconder – não adianta ser otimista – esteja preparado Grupo de Segurança

GSegGSeg

UFRGSUFRGS

Segurança (resumindo)

Segurança é um atributo global

– envolve vários componentes do sistema

– envolve vários mecanismos

– analogia: poucos confiam apenas nas trancas de seus carros

Falsa sensação de segurança pode ser pior do que a falta de cuidados

GSegGSeg

UFRGSUFRGS

Sistemas de Detecção de Intrusão

1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000

GSegGSeg

UFRGSUFRGS

Sistemas de Detecção de Intrusão

♦ Número crescente de ataques/incidentes 25000 21756 ♦ Complexidade crescente 20000 15000 ♦ Ferramentas de
♦ Número crescente de ataques/incidentes
25000
21756
Complexidade crescente
20000
15000
Ferramentas de ataque cada vez mais
9859
10000
eficientes
3734
5000
773 1334 2340 2412 2573 2134
132
252
406
0
Incidentes Reportados

Tempos de recuperação proibitivos

GSegGSeg

UFRGSUFRGS

Sistemas de Detecção de Intrusão

Prevenção não é suficiente

Importância da diversidade de defesa

Solução: Detecção de Intrusão

– garantir comportamento livre de falhas

GSegGSeg

UFRGSUFRGS

Sistemas de Detecção de Intrusão

Detecção de intrusão:

– tarefa de coletar e analisar eventos, buscando sinais de intrusão e de mau-uso

Intrusão:

– uso inapropriado de um sistema de informação

– ações tomadas para comprometer a privacidade, integridade ou a disponibilidade

GSegGSeg

UFRGSUFRGS

Sistemas de Detecção de Intrusão

Detecção de intrusão X detecção de ataque

– intrusão: ação já concretizada

– ataque: ação maliciosa que gera um resultado não autorizado

Reação?

GSegGSeg

UFRGSUFRGS

IDS X Auditoria

Ferramentas de auditoria

– prevenção

– confinamento e avaliação de danos

– tratamento de falhas

– Analogia: consultores e/ou peritos criminais

IDSs

– detecção

– analogia: vigia noturno

GSegGSeg

UFRGSUFRGS

IDS: classificação

Segundo os métodos de detecção usados

Segundo a arquitetura adotada

– alvo

– localização

GSegGSeg

UFRGSUFRGS

IDS: classificação

Segundo o método de detecção

– baseado em comportamento

– baseado em assinaturas

Segundo a arquitetura

– alvo

• baseado em rede

• baseado em host

• híbrido

– localização

• centralizado

• hierárquico

• distribuído

GSegGSeg

UFRGSUFRGS

G S e g G S e g UFRGS UFRGS IDS: classificação IDS Assinaturas localização Baseado

IDS: classificação

IDS
IDS
G S e g G S e g UFRGS UFRGS IDS: classificação IDS Assinaturas localização Baseado

Assinaturas

G S e g UFRGS UFRGS IDS: classificação IDS Assinaturas localização Baseado em Comportamento Baseado em

localização

UFRGS IDS: classificação IDS Assinaturas localização Baseado em Comportamento Baseado em Método de
UFRGS IDS: classificação IDS Assinaturas localização Baseado em Comportamento Baseado em Método de

Baseado em Comportamento Comportamento

Baseado emIDS Assinaturas localização Baseado em Comportamento Método de Detecção Baseado em Rede Baseado em Host

Método de

Detecção

em Comportamento Baseado em Método de Detecção Baseado em Rede Baseado em Host Híbrido Segundo o

Baseado em Rede

Baseado em Método de Detecção Baseado em Rede Baseado em Host Híbrido Segundo o alvo Segundo

Baseado em Host Baseado em Método de Detecção Baseado em Rede Híbrido Segundo o alvo Segundo a Arquitetura Centralizado

Híbrido

de Detecção Baseado em Rede Baseado em Host Híbrido Segundo o alvo Segundo a Arquitetura Centralizado

Segundo o alvo de Detecção Baseado em Rede Baseado em Host Híbrido Segundo a Arquitetura Centralizado Hierárquico Distribuído

Segundo aBaseado em Rede Baseado em Host Híbrido Segundo o alvo Arquitetura Centralizado Hierárquico Distribuído Passivo

Arquitetura

Centralizado em Host Híbrido Segundo o alvo Segundo a Arquitetura Hierárquico Distribuído Passivo Ativo Comportam.

Híbrido Segundo o alvo Segundo a Arquitetura Centralizado Hierárquico Distribuído Passivo Ativo Comportam.

Hierárquico

Distribuído

Passivo Segundo a Arquitetura Centralizado Hierárquico Distribuído Ativo Comportam. pós-detecção Monitoramento contínuo

Ativoa Arquitetura Centralizado Hierárquico Distribuído Passivo Comportam. pós-detecção Monitoramento contínuo

Comportam.

pós-detecção

Monitoramento

contínuoPassivo Ativo Comportam. pós-detecção Monitoramento Análise periódica Freqüência de uso Grupo de Segurança

Análise periódicaPassivo Ativo Comportam. pós-detecção Monitoramento contínuo Freqüência de uso Grupo de Segurança - UFRGS 86

pós-detecção Monitoramento contínuo Análise periódica Freqüência de uso Grupo de Segurança - UFRGS 86

Freqüência de uso

GSegGSeg

UFRGSUFRGS

IDS: histórico

Conceito surgido no início dos anos 80 1ª Geração

– registros de auditoria eram processados offline

– surgimento dos métodos baseados em comportamento e em assinaturas

2ª Geração

– processamento estatisticamente + sofisticado

– mais medidas de comportamento monitoradas

– alertas em “tempo real” tornaram-se possíveis

GSegGSeg

UFRGSUFRGS

IDS: histórico

3ª Geração

– uso dos conceitos anteriores para sistemas em rede/sistemas distribuídos

– uso de novas técnicas para detecção (sistemas especialistas, redes neurais, data mining, etc)

– surgimento dos primeiros IDSs comerciais

GSegGSeg

UFRGSUFRGS

IDS: estrutura

Componentes funcionalmente semelhantes

– independente da arquitetura/método adotados

Muitas vezes agrupados

Modularidade importante na aplicação e no desenvolvimento de novos IDS

GSegGSeg

UFRGSUFRGS

IDS: componentes

Geradores de eventos

Analisadores de eventos

Bases de dados de eventos

Unidades de resposta

GSegGSeg

UFRGSUFRGS

IDS: padronização

CIDF (Common Intrusion Detection Framework)

IDWG (Intrusion Detection Working Group)

GSegGSeg

UFRGSUFRGS

IDS: IDWG

Origem dos Dados Operador Atividade IDS Sensor Notificação Evento Analisador Política de Alerta Segurança
Origem dos
Dados
Operador
Atividade
IDS
Sensor
Notificação
Evento
Analisador
Política de
Alerta
Segurança
Administrador
Gerente

Resposta

GSegGSeg

UFRGSUFRGS

IDS: métodos de detecção

Responsáveis diretos na busca por indícios de intrusão

Dois grandes grupos:

– técnicas baseadas em comportamento

– técnicas baseadas em assinaturas

GSegGSeg

UFRGSUFRGS

IDS: baseado em comportamento

Detecção por anomalia Caracteriza o comportamento do sistema em normal e anômalo Habilidade de distinguir o comportamento normal de um anômalo

de distinguir o comportamento normal de um anômalo Anômalo Normal Intrusão Comportamento Normal Grupo de

Anômalo

Normal

o comportamento normal de um anômalo Anômalo Normal Intrusão Comportamento Normal Grupo de Segurança - UFRGS
o comportamento normal de um anômalo Anômalo Normal Intrusão Comportamento Normal Grupo de Segurança - UFRGS
o comportamento normal de um anômalo Anômalo Normal Intrusão Comportamento Normal Grupo de Segurança - UFRGS
o comportamento normal de um anômalo Anômalo Normal Intrusão Comportamento Normal Grupo de Segurança - UFRGS
o comportamento normal de um anômalo Anômalo Normal Intrusão Comportamento Normal Grupo de Segurança - UFRGS

Intrusão

Comportamento

Normal

o comportamento normal de um anômalo Anômalo Normal Intrusão Comportamento Normal Grupo de Segurança - UFRGS

GSegGSeg

UFRGSUFRGS

IDS: baseado em comportamento

Compara o estado atual do sistema com o comportamento considerado normal

Desvios são considerados intrusões

Ex.: conexões externas em horários incomuns, padrão de digitação

Outros exemplos ???

GSegGSeg

UFRGSUFRGS

IDS: baseado em assinaturas

Também chamada de detecção por mau uso Divide as ações do sistema em aceitáveis e não aceitáveis Habilidade de encontrar tentativas de exploração de vulnerabilidades conhecidas

Não aceitáveltentativas de exploração de vulnerabilidades conhecidas Aceitável Intrusão Ação Normal Grupo de Segurança -

Aceitável

de vulnerabilidades conhecidas Não aceitável Aceitável Intrusão Ação Normal Grupo de Segurança - UFRGS 96
de vulnerabilidades conhecidas Não aceitável Aceitável Intrusão Ação Normal Grupo de Segurança - UFRGS 96
de vulnerabilidades conhecidas Não aceitável Aceitável Intrusão Ação Normal Grupo de Segurança - UFRGS 96
de vulnerabilidades conhecidas Não aceitável Aceitável Intrusão Ação Normal Grupo de Segurança - UFRGS 96
de vulnerabilidades conhecidas Não aceitável Aceitável Intrusão Ação Normal Grupo de Segurança - UFRGS 96

Intrusão

Ação

Normal

de vulnerabilidades conhecidas Não aceitável Aceitável Intrusão Ação Normal Grupo de Segurança - UFRGS 96

GSegGSeg

UFRGSUFRGS

IDS: baseado em assinaturas

Compara as ações realizadas no sistema com uma base de assinaturas de ataques

Ex.: cópia do arquivo de senhas (/etc/passwd)

Outros exemplos ???

GSegGSeg

UFRGSUFRGS

IDS: arquiteturas

Diretamente ligado ao desempenho

Segundo o alvo

– baseado em rede

– baseado em host

– híbrido

Segundo a localização

– centralizado

– hierárquico

– distribuído

GSegGSeg

UFRGSUFRGS

IDS: rede

Dados analisados são retirados da rede

Detecção de ataques relacionados ao tráfego de rede

Ex: captura de pacotes, estatísticas de tráfego

Outros exemplos ???

GSegGSeg

UFRGSUFRGS

IDS: host

Dados obtidos na própria máquina

Detecção de ataques relacionados a ações locais

Ex: trilhas de auditoria, cópias de arquivos

IDSs baseados em aplicação: outra classe

GSegGSeg

UFRGSUFRGS

IDS: níveis

G S e g G S e g UFRGS UFRGS IDS: níveis IDS baseado em aplicação

IDS baseado em aplicação

IDS baseado em host

IDS baseado em rede

Nível de

abstração

GSegGSeg

UFRGSUFRGS

IDS: centralizado

Função como coleta, análise e gerência em um único componente

Máquina B Gerente Analisador Coletor
Máquina B
Gerente
Analisador
Coletor

Máquina A

Máquina C

GSegGSeg

UFRGSUFRGS

G S e g G S e g UFRGS UFRGS IDS: hierárquico ♦ Funções distribuídas mas

IDS: hierárquico

Funções distribuídas mas com fortes relações de hierarquia

Máquina A

Máquina B Coletor Máquina C Máquina D Máquina E
Máquina B
Coletor
Máquina C
Máquina D
Máquina E

GSegGSeg

UFRGSUFRGS

G S e g G S e g UFRGS UFRGS IDS: distribuído ♦ Funções livremente distribuídas

IDS: distribuído

Funções livremente distribuídas

Máquina A Gerente Máquina B Analisador Analisador Coletor Máquina C Máquina D Máquina E
Máquina A
Gerente
Máquina B
Analisador
Analisador
Coletor
Máquina C
Máquina D
Máquina E

GSegGSeg

UFRGSUFRGS

Métodos de Detecção

GSegGSeg

UFRGSUFRGS

Métodos Tradicionais

Busca “manual” por indícios de intrusão

Realizada há bastante tempo (empírica)

Técnicas de auditoria de sistemas

Técnicas de gerência de redes

GSegGSeg

UFRGSUFRGS

Métodos Tradicionais

Análise de trilhas de auditoria

– registrar principais eventos

– selecionar eventos importantes

– buscar por indícios de intrusão (offline)

Problemas

– manipulação de grandes qtdes de informação

– tamanho das trilhas (armazenamento)

– dificuldade de correlação de eventos

GSegGSeg

UFRGSUFRGS

Métodos Tradicionais

Análise de dados de gerência de redes

– uso de padrões como SNMP e RMON

– captura de pacotes (TCPdump, Ethereal)

– buscar por indícios de intrusão (tráfego estranho, pacotes mau formados)

Problemas

– manipulação de grandes qtdes de informação

– grande experiência em redes

– baixa eficiência

GSegGSeg

UFRGSUFRGS

Análise por assinaturas

Método muito utilizado

Dificuldade: correlacionar dados coletados com as assinaturas existentes

Principais técnicas:

– Filtros de pacotes

– Sistemas especialistas

– Redes de Petri

GSegGSeg

UFRGSUFRGS

Análise por assinaturas

Vantagens

– baixo nº de falsos positivos

– adoção de contra-medidas imediatas

– redução na quantidade de informação tratada

– melhor desempenho

GSegGSeg

UFRGSUFRGS

Análise por assinaturas

Desvantagens

– detecção só para ataques conhecidos

– dificuldade de manutenção

– base de assinaturas pode ser usada em novos ataques

– difícil detecção de abusos de privilégios

GSegGSeg

UFRGSUFRGS

Análise por comportamento

Comportamento estático X dinâmico

Dificuldade: estabelecer comportamento padrão

Principais técnicas:

– análise estatística

– sistemas especialistas

GSegGSeg

UFRGSUFRGS

Análise por comportamento

Vantagens

– detecção de ataques desconhecidos

– usado na criação de novas bases de assinaturas

– esforço de manutenção reduzido

– menos dependente de plataforma

– facilita a detecção de abusos de privilégios

GSegGSeg

UFRGSUFRGS

Análise por comportamento

Desvantagens

– dificuldade de configuração

– maior nº de falsos positivos

– relatórios de difícil análise

– menor desempenho (cálculos complexos)

– dificuldade de lidar com mudanças normais de comportamento

GSegGSeg

UFRGSUFRGS

Métodos Avançados

Estudo de novas formas de análise

Complexos

Desempenho reduzido

Implantação e manutenção dificultadas

Incipientes e não aplicados em larga escala

GSegGSeg

UFRGSUFRGS

Métodos Avançados

Redes neurais

– dificuldades no treinamento da rede

– mais usado na detecção de anomalias

Sistema imunológico

– determinar o que pertence ao sistema

– procurar “corpos estranhos”

– Ex.: seqüências de chamadas de sistema

Data minning e recuperação de informação

GSegGSeg

UFRGSUFRGS

Arquiteturas

GSegGSeg

UFRGSUFRGS

Baseada em Host

Precursora em IDS

Permite determinar as operações desencadeadas no sistema

Informações como:

– trilhas de auditoria

– carga de CPU

– programas executados

– integridade de arquivos

GSegGSeg

UFRGSUFRGS

Baseada em Host

Vantagens

– independência de rede

– detecção de ataques internos / abusos de privilégios

– maior capacidade de confinamento/avaliação de danos e de recuperação de erros

GSegGSeg

UFRGSUFRGS

Baseada em Host

Desvantagens

– dificuldade de instalação

– dificuldade de manutenção

– ataques ao próprio IDS

– dificuldade de tratar ataques de rede

– interferência no desempenho do sistema

– dependência de plataforma

GSegGSeg

UFRGSUFRGS

Baseada em Rede

Tratar ataques à própria rede

Permite determinar as operações desencadeadas através da rede

Informações como:

– pacotes de rede (cabeçalhos e dados)

– estatísticas de tráfego

– SNMP

GSegGSeg

UFRGSUFRGS

Baseada em Rede

Vantagens

– detecção de ataques externos

– facilidade de instalação

– facilidade de manutenção

– interferência mínima (nula) no desempenho

– independência de plataforma

GSegGSeg

UFRGSUFRGS

Baseada em Rede

Desvantagens

– tratamento de redes de alta velocidade

– dependência de rede

– dificuldade de reação