Segurança de Redes

Sistemas Detectores de Intrusão

Processos de Segurança

IDS
Prevenção de Falhas
• Firewalls
• Criptografia
Ricardo Kléber M. Galvão
• Política de Segurança
Security Officer
Superintendência de Informática/UFRN
Detecção de Falhas
rk@ufrnet.br
• Análise de logs
www.dimap.ufrn.br/~rk
• Análise de Integridade
• Sistemas de Detecção de Intrusões (IDS)

Resposta
Ricardo Kléber
Carlos Gustavo • Notificação aos administradores da rede origem
• Restrições de acesso (firewall)

Processos de Segurança
Processos de Segurança
incidente
ataque(s) 25000
evento 21756
Atacantes Ferramenta Vulnerabilidade Ação Alvo Resultado ñ Objetivos
Autorizado 20000
Incidentes Reportados

Hacker Ataque Projeto Probe Conta Acesso Desafio,

físico Ampliado status
Espião Troca de Implementação Varredura Processo Revelação de Ganho
Informação Informação Político 15000
Terrorista Comando Configuração Flood Dado Informação Ganho
de Usuário Corrompida Financeiro
Atacante Script ou Autenticação Componente Negação de Dano 9859
Corporativo Programa Serviço 10000
Criminoso Agente Desvio Computador Roubo de
Profissional Autônomo Recursos
Vândalo Toolkit Spoof Rede
5000 3734
Voyeur Ferramenta Leitura Inter-rede 2340 2412 2573 2134
1334
132 252 406 773
Distribuída
Interceptaçã Cópia
o de dados 0
Roubo
89

90

91

92

93

94

95

96

97

98

99

00
Modificação
19

19

19

19

19

19

19

19

19

19

19

20
Destruição

Sistema de Detecção de Intrusões Tipos de IDS (segundo a arquitetura)

Detecção de Intrusão Baseado em Rede

Tarefa de coletar e analisar eventos, buscando Colocado estrategicamente em segmentos de rede
sinais de intrusão e/ou de mau-uso, gerando para capturar o tráfego com destino a
“alertas” quando estes sinais são encontrados determinados alvos e interpretá-los segundo o
método implementado
Intrusão
Baseado em Host
• uso inapropriado de um sistema de informação
Instalado diretamente nas máquinas que se deseja
• ações tomadas para comprometer a
investigar, analisando, também, integridade de
privacidade, integridade ou a disponibilidade de
arquivos e conteúdo de logs
dados em um host ou rede de computadores

1
Intrusion Detection Systems Host-
Host-based IDS (HIDS)

Network- Server Farm

Network-based IDS (NIDS) Mail Web FTP
Server Server Server

HIDS HIDS HIDS

Incorporado Incorporado Incorporado

Firewall
Rede Pacotes Rede

Interna Externa

Rede
Pacotes Rede
Interna
Externa

Firewall

Tipos de IDS (segundo o método) IDS Baseados em Comportamento

Baseado em Comportamento Vantagens

– detecção de ataques desconhecidos
Analisa funcionamento anormal em determinadas
– usado na criação de novas bases de assinaturas
situações, baseado em estatísticas de cenários
– facilita a detecção de abusos de privilégios
anteriores (baseado no funcionamento normal)

Desvantagens
Baseado em Assinaturas
– dificuldade de configuração
Compara os pacotes que captura com padrões – maior nº de falsos positivos
pré-estabelecidos gerando os alertas no – relatórios de difícil análise
“casamento” de padrões – menor desempenho (cálculos complexos)
– dificuldade de lidar com mudanças normais de
comportamento

IDS Baseados por Assinaturas Exemplos de IDS

Vantagens Snort
– baixo nº de falsos positivos
Bro
– possibilita adoção de contra-medidas imediatas
– redução na quantidade de informação tratada
Real Secure
– melhor desempenho
– possibilidade de criação de novas
Dragon
Desvantagens
– detecção só para ataques conhecidos
– necessidade de manutenção contínua
– falsa sensação de segurança (novos ataques)

2
Snort IDS Snort IDS

9 Atualmente um dos mais utilizados Exemplos de assinaturas

9 Dados coletados na rede (NIDS) alert udp any any <-> $HTTP_SERVERS 2002
(msg:"BACKDOOR Possible Apache/OpenSSL worm backdoor";
classtype: attempted-admin;)
9 Análise baseada em assinaturas

9 Simples e eficiente alert tcp $EXTERNAL_NET 80 -> $HOME_NET any

(msg:"PORN free XXX"; content:"FREE XXX";
classtype:kickass-porn; sid:1310;)
9 Base com milhares de assinaturas

9 Plataformas Unix e Windows alert tcp $EXTERNAL_NET any -> $HOME_NET 53

(msg:"DNS zone transfer"; content: "|00 00 FC|";
classtype:attempted-recon; sid:255;)
9 Distribuição livre (www.snort.org)

Snort IDS Snort IDS

Exemplos de logs gerados Arquivo de configuração

– /etc/snort/snort.conf
[**] BACKDOOR Possible Apache/OpenSSL worm backdoor [**]
[Classification: Attempted Administrator Privilege Gain] Daemon (stop/start no Snort)
[Priority: 1]
– /etc/rc.d/init.d/snortd (stop/start)
18/12-16:11:33 xx.yy.zz.ww:53 -> 200.aa.bb.cc:2002
UDP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:96 DF Len: 76 Registro de logs de alertas
– /var/log/snort/alert
[**] spp_portscan: PORTSCAN DETECTED from 200.19.175.9
(THRESHOLD 4 connections exceeded in 7 seconds) [**] Base de assinaturas
18/12-16:16:09.754837
– /etc/snort/<conjunto_de_regras>.rules
– Ex: backdoor.rules

ACID
Analysis Console for Intrusion Databases

9 Ferramenta de apoio ao Snort

9 Analisa os logs gerados pelo Snort

9 Apresentação gráfica (Web)

9 Scripts PHP + Banco MySQL

9 Gratuito (http://www.cert.org/kb/acid/)

9 Buscas personalizadas

3
 Segurança de Redes
Novas Implementações de IDS Sistemas Detectores de Intrusão

Redes Neurais IDS

– dificuldades no treinamento da rede Ricardo Kléber M. Galvão
– mais usado na detecção de anomalias Security Officer
Superintendência de Informática/UFRN

Sistema Imunológico rk@ufrnet.br

www.info.ufrn.br/~rk
– baseia-se na procura por “corpos estranhos”
– Deve-se definir o comportamento do sistema
– Ex.: seqüências de chamadas de sistema
Mais
Informações