Você está na página 1de 48

Seminrio: Network Defense Tools

Osmany Barros de Freitas obf@cin.ufpe.br

Roteiro
Motivao Tipos de Defesa Preveno de Intrusos
Firewall Traffic Shaping

Deteco de Intrusos
Tripwire HijackThis Nessus

Referncias

Motivao
Devido ao grande alarme de ataques e invases de vndalos, muitas pessoas receiam deixar seus computadores diretamente ligados internet Administrar uma rede segura nunca foi to desafiador

Tipos de Defesas
Defesas Externas
IPS, IDS
Proteger a rede e os hosts Manter ameaas externas longe da rede interna

Defesas Internas
Anti-Vrus, Anti-Spyware
Proteger os hosts

IDS
Sistema de Deteco de Intruso ( Passivo)
Sistema utilizado para manipular trfegos maliciosos que no so detectados por um firewall convencional.
Vulnerabilidades no sistema Elevao de privilgios Login no autorizado Malware

IPS
Sistema de Preveno de Intruso(Reativo)
Sistema que pratica o controle de acesso protegendo computadores de explorao. Bastante similar ao IDS, mas alm de detectar trfego suspeito, capaz de trat-lo. Os IPSs so usados para compor os sistemas de Firewall

Ou seja...
Sistema de Deteco de Intruso
Apenas grava logs registrando atividades suspeitas

Sistema de Preveno de Intruso


Reage mediante uma situao adversa

Preveno de Intrusos

Firewall
Sistema que aplica polticas de segurana para restringir passagem apenas de trfego autorizado Cria um permetro de defesa para proteger a rede interna

Firewall
Funcionamento Bsico
Rede Local

Firewall

Internet

Age como uma barreira que controla o trfego entre duas redes.

Firewall - Vantagens
Permite criar um ponto de controle nico, impedindo acessos no autorizados e recusando servios e dados vulnerveis saiam da rede Monitorar a rede, alertas de invaso em apenas um ponto da rede

Firewall - Limitaes
Manipulao maliciosa de dados por usurios internos

No impede proliferao de vrus


Ataques acionados por dados que so recebidos via e-mail, por exemplo, onde sua execuo dispara alteraes em arquivos de segurana do sistema, tornando-o vulnervel

Firewall - Windows

http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php

Firewall - Testes na Web


Symantec Security Check
http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym http://www.auditmypc.com/firewall-test.asp https://www.grc.com/x/ne.dll?bh0bkyd2 http://www.pcflank.com/about.htm http://www.hackerwatch.org/probe/ http://theta.hackerwhacker.com/freetools.php http://www.soft4ever.com/security_test/En/

Audit My PC Firewall Test Gibson Research Corporation-Internet Vulnerability Test PC Flank's tests HackerWatch firewall tests Hacker Whacker free tests Look 'n' Stop - Internet security Test

Traffic Shaping
Tcnica para controlar o trfego na rede provendo otimizao e garantia de performance Bastante utilizado por provedores de acesso para melhoria de seus servios

Traffic Shaping
O Firewall
Libera ou bloquea o trfego

Traffic Shaping
Limita, condiciona o trfego
Classificao Filas Polticas de esforo QoS

Traffic Shaping
Como controlar o trfego de compartilhadores P2P ?

Traffic Shaping
Clasifica e analiza o trfego
Classificando IP e porta

Controla Trfego
Selecionando faixas de banda para classes

Monitora performance da rede


Coleta dados e aplica polticas

Exemplo: Firewall Traffic Shaping

Firewall - Linux
O Linux possui um Framework em seu Kernel funcionalidades de controle de pacotes que permitem a configurao de Firewall. Nas verses at 2.2 do Kernel chamado de ipchains, mas a partir da 2.4 chamado de Netfilter (iptables )

Exemplo - Firewall
Vamos mostrar como possvel configurar um Firewall utilizando as linhas de comando para configurar os mdulos do Kernel

Exemplo: Firewall Linux


Os tipos de trfego permitidos sero agrupados em 4 grupos:
Grupo 1 Grupo 2 Grupo 3 Grupo 4 ICMP DNS TCP ( trfego comum ) Email P2P WWW ( http )

Exemplo: Firewall Linux


Alterando as configuraes do kernel do linux, possvel, com poucas instrues, configurar seu firewall e aplicar tcnicas de Traffic Shaping. Para isso utilizamos algumas linhas de comando para montar um script que descreve a configurao do nosso firewall

Exemplo: Firewall Linux


# Limpa as regras anteriores /sbin/ipchains -F input /sbin/ipchains -F output /sbin/ipchains -F forward # Bloquea todo acesso /sbin/ipchains -P input DENY /sbin/ipchains -P output DENY /sbin/ipchains -P forward DENY # Permite trfego icmp e marca como grupo 1 /sbin/ipchains -A input -p ICMP -i ppp+ -j ACCEPT -m 1 /sbin/ipchains -A output -p ICMP -i ppp+ -j ACCEPT -m 1 /sbin/ipchains -A input -y -p tcp -i ppp+ -j ACCEPT -m 1 # Libera trfego de email e marca como grupo 2 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 smtp -d 0/0 j ACCEPT -m 2 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 pop3 -d 0/0 j ACCEPT -m 2 # Configura acesso p2p na porta 6699 e marca como grupo 3 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 6699 -d 0/0 j ACCEPT -m 3 /sbin/ipchains -A input -p tcp -i ppp+ -s 0/0 -d 0/0 6699 j ACCEPT -m 3 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 nntp -d 0/0 j ACCEPT -m 3 # Permite acesso www e https como grupo 4 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 www -d 0/0 j ACCEPT -m 4 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 https -d 0/0 j ACCEPT -m 4

Exemplo: Traffic Shaping


Normalmente o TCP/IP no Linux tenta dividir a largura de banda com todas as conexes existentes.
Significa que se houver 49 conexes P2P e 1 para web, esta ter apenas 2% da banda.

Com Traffic Shaping podemos organizar essa distribuio do TCP/IP

Exemplo: Traffic Shaping


Esse controle concede proteo contra ataques DoS, uma vez que firewall simples no protege contra SYN floods e ICMP floods.
Importante: Esse controle no evita que o ataque seja efetuado, mas diminui os estragos provocados pelo mesmo

Exemplo: Traffic Shaping


A figura ilustra o comportamento que queremos definir no nosso exemplo:

70% HTTP/HTTPS 20% SMTP/POP3 5% P2P 5% ICMP/TCP-SYN

Exemplo: Traffic Shaping


Primeiro Grupo: ICMP, TCP-SYN, DNS receber 5% da banda total (64*0.05=3.2):
add_class 10:1 10:100 3.2kbit 0.32kbit 1 bounded

Segundo grupo SMTP,POP3 utilizar 20% do total da banda


add_class 10:1 10:200 12.8kbit 1.28kbit 2

Terceiro grupo: P2P ter direito a 5% da banda


add_class 10:1 10:300 3.2kbit 0.32kbit 3

Finalmente o quarto grupo: Http / Https receber 70% de banda


add_class 10:1 10:400 44.8kbit 4.48kbit 4

Traffic Shaping - Firewall


Muitos programas grficos para Linux transcrevem em comandos, como os mostrados no exemplo, a configurao definida pelo usurio via interface

Deteco de Intrusos

Deteco de Instrusos
Analisam os pacotes da rede comparando-os com assinaturas j prontas de ataque Monitoram arquivos dos sistema em busca de modificaes suspeitas capaz de trazer informaes da rede como:
Quantas tentativas de ataques sofremos por dia; Qual tipo de ataque foi usado; Qual a origem dos ataques;

Classificao de IDS
NIDS - Sistemas de Deteco de Intruso de Rede
Os ataques so capturados e analisados atravs de pacotes da rede Monitoram mltiplas estaes atravs de sensores espalhados pela rede

Dificuldade pra processar dados em grandes redes e dados criptografados

Classificao de IDS
HIDS - Sistemas de Deteco de Intruso de Host
Operam sobre informaes coletadas em computadores individuais Por operar diretamente nas estaes, capaz de ver as conseqncias do ataque Porm requer que cada mquina seja configurada e no detecta ataques em outras estaes

Ataque Padro
O invasor:
Obtm acesso ao sistema Adquire acesso root Modifica o sistema pra instalar backdoor Usa o backdoor para futuras atividades Apaga rastros ( possivelmente )

Tripwire
Basea-se em guardar informaes sobre a estrutura dos arquivos no sistema. Realiza comparaes com uma base de dados e reporta problemas se houver diferenas

Tripwire

Hijack This
Programa que verifica processos ativos e entradas suspeitas no Windows, ajudando a identificar malwares em geral Atravs dele gerado um log que possibilita identificar

Hijack This
Inicialmente o usurio roda a aplicao realizando um scan

Hijack This
O log gerado e salvo num arquivo:

Hijack This
Analizador de logs gratuito no site do programa:

http://hijackthis.de

Hijack This
Trecho do resultado da anlise do log:

Observe que qualquer processo suspeito imediatamente avisado ao usurio

Nessus
Programa de verificao de falhas/vulnerabilidades de segurana. Composto por um cliente e servidor ( este serve para realizar o scan no cliente ) Ele realiza uma varredura de portas, detectando servidores ativos e simulando invases para detectar vulnerabilidades

Nessus
H 3 nveis de alerta:
O mais grave indica que h uma brecha de segurana em um servidor ativo da mquina. O segundo informa que h um servio potencialmente inseguro numa determinada porta O ltimo nvel apenas aviso mostrando que h um servidor ativo e que est sem falha de segurana

Nessus
O nessus:
Aponta as falhas
Oferece uma descrio detalhada da vulnerabilidade Aponta uma soluo

Nessus
1- Resultado da avaliao

2- Descrio do problema

3- Soluo

Referncias
http://en.wikipedia.org/wiki/Main_Page http://linhadefensiva.uol.com.br/forum http://www.forum-invasao.com.br http://www.securityfocus.com/infocus/1285 http://crypto.stanford.edu/cs155/IDSpaper.pdf http://www.hijackthis.de

http://www.nessus.org

Obrigado