Você está na página 1de 18

Segurana de Redes

carlos.rocha@ifrn.edu.br
Intrusion Detection System
Carlos Gustavo A. da Rocha
Segurana de Redes
carlos.rocha@ifrn.edu.br
Deteco de Intruso
o processo de detectar, analisar, e reportar
atividades ou trfegos no autorizados ou danosos
Segurana de Redes
carlos.rocha@ifrn.edu.br

As atividades de um computador podem ser

Normais

Anormais, porm no maliciosas

Maliciosas

Sistemas de deteco de intruso podem


analisar

Trfego de rede, processos, arquivos etc


Deteco de Intruso
Segurana de Redes
carlos.rocha@ifrn.edu.br

O trfego pode ser analisado por um IDS de


rede Network Intrusion Detection System
(NIDS)

Sistemas operacionais por Host Intrusion


Detection System (HIDS)

Sistemas hbridos podem realizar as duas


tarefas

NIDS so mais fceis de manter, mas um HIDS


pode detectar mais eventos
Deteco de Intruso
Segurana de Redes
carlos.rocha@ifrn.edu.br

IDS de rede

Analisa o trfego direcionado a uma rede ou host

necessrio capturar o trfego para realizar a deteco


de intruso, idealmente em modo promscuo

Possui as mesmas caractersticas e limitaes da


instalao de um analisador de trfego

O local onde o detector de intruso ser colocado


primordial para a qualidade da deteco
Deteco de Intruso
Segurana de Redes
carlos.rocha@ifrn.edu.br

Snort NIDS

IDS de Rede

Utiliza uma srie de regras como assinaturas de


anomalias

Atualizveis como em um anti-vrus

um dos NIDS mais utilizado atualmente

Considerado um padro de fato para a industria

O software SNORT gratuito e de cdigo aberto


Deteco de Intruso
Segurana de Redes
carlos.rocha@ifrn.edu.br

Snort base de assinaturas

Existem duas formas obter a base de assinaturas

Subscribers: receive real-time rules updates as they are


available

$29.99 (personal), $499 (business) / year

Registered users: can access rule updates 30 days after


release to subscription users

Free
Deteco de Intruso
Segurana de Redes
carlos.rocha@ifrn.edu.br

Snort configurao

/etc/snort

Configurao e arquivos de regras

/var/log/snort

logs
Deteco de Intruso
Segurana de Redes
carlos.rocha@ifrn.edu.br

Snort configurao

/etc/snort/snort.conf

Arquivo de configurao principal do SNORT

Vem com uma srie de opes padres, contudo a


personalizao ir melhorar em muito a deteco

Um arquivo padro pode ter pode gerar uma


quantidade grande de falso-positivos

Contudo, um arquivo de configurao muito limitado


pode provocar falso-negativos
Deteco de Intruso
Segurana de Redes
carlos.rocha@ifrn.edu.br

Snort regras

So bastante flexveis, fceis de criar ou alterar

Um exemplo de regra mostrado a seguir

Antes dos (): Rule Header

Dentro dos (): Rule Options


alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg:"WEB-PHP /_admin access"; flow:to_server,established;
uricontent:"/_admin/"; nocase; reference:bugtraq,9537;
reference:nessus,12032; classtype:web-application-activity;
sid:2393; rev:1;)
Deteco de Intruso
Segurana de Redes
carlos.rocha@ifrn.edu.br
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg:"WEB-PHP /_admin access"; flow:to_server,established;
uricontent:"/_admin/"; nocase; reference:bugtraq,9537;
reference:nessus,12032; classtype:web-application-activity;
sid:2393; rev:1;)
alert: Ao a tomar (gerar um alerta)
tcp: Protocolo (udp, icmp, ip)
$EXTERNAL_NET any: Origem do trfego (IP e porta)
->: Direo (<>, <-)
$HTTP_SERVERS $HTTP_PORTS: Destino do trfego (IP e porta)
Deteco de Intruso
Segurana de Redes
carlos.rocha@ifrn.edu.br
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg:"WEB-PHP /_admin access"; flow:to_server,established;
uricontent:"/_admin/"; nocase; reference:bugtraq,9537;
reference:nessus,12032; classtype:web-application-activity;
sid:2393; rev:1;)
msg:"WEB-PHP /_admin access": Mensagem para aparecer no LOG
flow:to_server,established: Conexo deve estar estabelecida
uricontent:"/_admin/": Este o contedo que gera o alerta
nocase: Insensvel ao case (maisculas ou minsculas)
reference:bugtraq,9537; reference:nessus,12032: Referncias
Deteco de Intruso
Segurana de Redes
carlos.rocha@ifrn.edu.br
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg:"WEB-PHP /_admin access"; flow:to_server,established;
uricontent:"/_admin/"; nocase; reference:bugtraq,9537;
reference:nessus,12032; classtype:web-application-activity;
sid:2393; rev:1;)
classtype:web-application-activity: classe da assinatura
sid:2393: Identificador da assinatura
rev:1: Reviso da regra
Deteco de Intruso
Segurana de Redes
carlos.rocha@ifrn.edu.br
Deteco de Intruso

Snort conjuntos de regras padres


attack-responses.rules community-mail-client.rules community-web-iis.rules
imap.rules pop3.rules web-cgi.rules backdoor.rules community-misc.rules
community-web-misc.rules info.rules porn.rules web-client.rules bad-
traffic.rules community-nntp.rules community-web-php.rules local.rules
rpc.rules web-coldfusion.ruleschat.rules community-oracle.rules ddos.rules
misc.rules rservices.rules web-frontpage.rules community-bot.rules
community-policy.rules deleted.rules multimedia.rules scan.rules web-
iis.rulescommunity-deleted.rules community-sip.rules dns.rules mysql.rules
shellcode.rules web-misc.rulescommunity-dos.rules community-smtp.rules
dos.rules netbios.rules smtp.rules web-php.rules community-exploit.rules
community-sql-injection.rules experimental.rules nntp.rules snmp.rules
x11.rules community-ftp.rules community-virus.rules exploit.rules
oracle.rules sql.rules community-game.rules community-web-attacks.rules
finger.rules other-ids.rules telnet.rules community-icmp.rules community-
web-cgi.rules ftp.rules p2p.rules tftp.rules community-imap.rules community-
web-client.rules icmp-info.rules policy.rules virus.rules community-
inappropriate.rules community-web-dos.rules icmp.rules pop2.rules web-
attacks.rules
Segurana de Redes
carlos.rocha@ifrn.edu.br
Deteco de Intruso

Snort operao

Alm do snort.conf uma srie de opes


pode ser passada pela linha de comando

Boa parte so opes gerais de funcionamento

Interface de rede, tipo de log, permisses etc

Opes passadas na linha de comando


sobrescrevem aquelas do snort.conf
Segurana de Redes
carlos.rocha@ifrn.edu.br

Snort principais opes


snort [options] <filter>
-b Logar pacotes no formato tcpdump
-c <rules> Usar o arquivo de regras <rules>
-D Executa o SNORT em background
-i <if> Escuta na interface <if>
-l <logdird> armazenar logs no diretrio <logdir>
-u <uname> Executa o snort como usurio <uname>
<Filter> Trfego a ser capturado, sintaxe libpcap
Deteco de Intruso
Segurana de Redes
carlos.rocha@ifrn.edu.br

IDS de host

Analisa uma srie de caractersticas de uma


mquina e gera alertas com base em eventos
considerados anormais

Processos em execuo, alteraes em arquivos de


configurao ou executveis, eventos inesperados etc

Para o SO windows, a grosso modo, podemos


considerar que softwares antivrus, antispyware
etc so HIDS
Deteco de Intruso
Segurana de Redes
carlos.rocha@ifrn.edu.br

IDS de host (2)

Para o SO Linux, existem alguns softwares com


caractersticas de um HIDS, sendo bastante
prximos s ferramentas de verificao de
integridade

OSSEC

Tripwire / AIDE
Deteco de Intruso