GSeg
UFRGS   XIX Simpósio Brasileiro de Redes de Computadores




        Sistemas de Detecção de
               Intrusão
...
GSeg
UFRGS

                           GSeg
                           UFRGS

        ♦ Grupo de Segurança da UFRGS

     ...
GSeg
UFRGS

               Objetivos do Curso
        ♦ Apresentar os princípios de um sistema de
          detecção de in...
GSeg
UFRGS

                    Público Alvo
        ♦ Estudantes de computação ou engenharia
          – noções de redes ...
GSeg
UFRGS

                      Programa
        ♦ Fundamentos de segurança

        ♦ Sistemas de Detecção de Intrusão ...
GSeg
UFRGS

          Fundamentos de Segurança
        ♦ Conceitos básicos

        ♦ Ameaças e ataques

        ♦ Mecanis...
GSeg
UFRGS

        Sistemas de Detecção de Intrusão
         ♦ Conceitos básicos

         ♦ Métodos de detecção de intru...
GSeg
UFRGS

                  Exemplos de IDSs
        ♦ Snort
        ♦ Bro
        ♦ AAFID
        ♦ EMERALD
        ♦ R...
GSeg
UFRGS

             Considerações Práticas
        ♦ Seleção e implementação

        ♦ Vulnerabilidades conhecidas

...
GSeg
UFRGS

                    Cronograma
        ♦ Fundamentos de segurança

             coffee-break (10h30min – 11h)
...
GSeg
UFRGS

            Regra número 1


        FAÇA PERGUNTAS DURANTE A
             APRESENTAÇÃO !!!




              ...
GSeg
UFRGS




        Fundamentos de Segurança
GSeg
UFRGS

              Segurança: introdução
        ♦ Não começou como ciência nem como arte,
          mas como um in...
GSeg
UFRGS

              Segurança: introdução
        ♦ A vida seria melhor sem essas
          preocupações
           ...
GSeg
UFRGS

              Segurança: introdução
        ♦ Atitude mais cômoda e barata:
          – torcer para que nada a...
GSeg
UFRGS

              Segurança: introdução
        ♦ Por que ser negligente?
           – segurança é custo
         ...
GSeg
UFRGS

               Segurança: evolução
        ♦ Estímulo para o desenvolvimento do
          computador eletrônic...
GSeg
UFRGS

               Segurança: evolução
        ♦ Fim da guerra: preocupações com
         segurança focadas em pro...
GSeg
UFRGS

               Segurança: evolução
        ♦ Novas ameaças
          – máquinas com acesso compartilhado (time...
GSeg
UFRGS

               Ameaças: exemplos
        ♦ Destruição de informação ou de outro
          recurso

        ♦ M...
GSeg
UFRGS

                        Atacantes
        ♦ Hacker/Cracker
        ♦ Script Kid, One-click hacker
        ♦ Es...
GSeg
UFRGS

               Ameaças: evolução
        ♦ Década de 80 - ataques individuais e
          isolados
          –...
GSeg
UFRGS

                Ameaças: evolução
        ♦ Década de 90 - ataques sofisticados
          – Sniffers capturam ...
GSeg
UFRGS

               Segurança: conceitos
        ♦ Tentativa de minimizar a vulnerabilidade
          de bens e rec...
GSeg
UFRGS

              Segurança: conceitos
        ♦ O que se quer proteger?
          – confiabilidade
          – di...
GSeg
UFRGS

                        Segurança: conceitos
                                      Permanentes
               ...
GSeg
UFRGS

               Segurança: conceitos
        ♦ Validação
          – remoção de falhas
          – previsão de ...
GSeg
UFRGS

                Segurança: conceitos
        ♦ Prevenção de falhas
           – ex.: firewalls, criptografia, ...
GSeg
UFRGS

        Exemplo 1: propriedade privada
        ♦ Prevenção
           – trancas em portas, grades nas janelas,...
GSeg
UFRGS

                  Exemplo 2: redes
        ♦ Prevenção
           – gerenciamento adequado, firewalls, proxies...
GSeg
UFRGS

               Segurança: conceitos
        ♦ Ameaça
        ♦ Incidente
           – atacante → ataque → obje...
GSeg
UFRGS

                            Segurança: conceitos        incidente
                                            ...
GSeg
UFRGS

                 Principais Ataques
        ♦ Engenharia social
        ♦ Coleta de informação
        ♦ Varre...
GSeg
UFRGS

                 Engenharia Social
        ♦ Método: enganar as vítimas, por conversa,
          telefone ou c...
GSeg
UFRGS

                 Engenharia Social
        ♦ Prevenção: educação e conscientização
           – não fornecer i...
GSeg
UFRGS

               Coleta de Informação
        ♦ Informações úteis (ao atacante)
           – domínio e servidore...
GSeg
UFRGS

               Coleta de Informação
        ♦ Problema: algumas informações devem ser
          públicas

    ...
GSeg
UFRGS

              Varredura (Scanning)
        ♦ Teste sistemático dos números IP de uma
          organização

  ...
GSeg
UFRGS

                 Negação de Serviço
        ♦ DoS ou denial-of-service
        ♦ Objetivo: impedir o uso legít...
GSeg
UFRGS

               Negação de Serviço
        ♦ Impedir DoS é quase impossível


        ♦ Distribuir os serviços ...
GSeg
UFRGS

                 Exploração de bugs
        ♦ Explorar “furos” de implementação para
          obter privilégi...
GSeg
UFRGS

                      Buffer Overflow

                            endend func 2
                             ...
GSeg
UFRGS

                Exploração de bugs
        ♦ Prevenção (em programas de terceiros)
           – verificar vuln...
GSeg
UFRGS

           Exploração de Protocolos
        ♦ Muitos são derivados de falhas no
          mecanismo de autenti...
GSeg
UFRGS

                           Sniffer
        ♦ sniffing - interface de rede que opera modo
          promíscuo, ...
GSeg
UFRGS

              Ataque do Dicionário
        ♦ Um dos arquivos mais cobiçados por
          atacantes é o de sen...
GSeg
UFRGS

              Ataque do Dicionário
        ♦ Pessoas utilizam senhas facilmente
          memorizáveis, como n...
GSeg
UFRGS

                  Ataque do Dicionário
        ♦ Vários programas disponíveis (Crack, etc)

        ♦ Ação pre...
GSeg
UFRGS

                  Código Malicioso
        ♦ Cavalos de Tróia (não se propagam)
          – falsa tela de Logi...
GSeg
UFRGS

                Código Malicioso
        ♦ Prevenção: Monitores

        ♦ Impossível tratamento exato e confi...
GSeg
UFRGS

                 Segurança: tipos
        ♦ Nenhuma segurança

        ♦ Segurança por obscuridade

        ♦ ...
GSeg
UFRGS

              Segurança: estratégias
        ♦ Atribuir privilégios mínimos
        ♦ Criar redundância de mec...
GSeg
UFRGS

               Segurança: posturas
        ♦ Postura padrão de negação (prudente)
           – especificar o q...
GSeg
UFRGS

              Medidas de segurança
        ♦ O que se está querendo proteger?
        ♦ O que é preciso para p...
GSeg
UFRGS

              Política de segurança
        ♦ Conjunto de leis regras e práticas que
          regulam (inform...
GSeg
UFRGS

              Política de segurança
        ♦ Define o que é e o que não é permitido no
          sistema


  ...
GSeg
UFRGS

          Mecanismos para segurança
        ♦ Wrappers

        ♦ Firewalls

        ♦ Criptografia

        ♦...
GSeg
UFRGS

                        Wrapers
        ♦ TCP Wrappers são um conjunto de
         programas que “encapsulam” ...
GSeg
UFRGS

                         Wrapers
        ♦ O wrapper não pode ser considerado uma
          ferramenta para se...
GSeg
UFRGS

                         Firewalls
        ♦ Conjunto de componentes colocados entre
          duas redes e qu...
GSeg
UFRGS

                         Firewalls
        ♦ Objetivo básico
          – defender a organização de ataques ext...
GSeg
UFRGS

                       Firewalls
        Internet




               DMZ                                Rede i...
GSeg
UFRGS

                          Firewalls
        ♦ Pode ser implementado utilizando dois
          mecanismos básic...
GSeg
UFRGS

                    Criptografia
        ♦ Não existe sistema absolutamente seguro

        ♦ Toda criptografi...
GSeg
UFRGS

                        Criptografia de chave única
                     Alice                                ...
GSeg
UFRGS

          Criptografia de chave única
        ♦ Única chave para cifragem e decifragem

        ♦ Substituição...
GSeg
UFRGS

                      Criptografia de chave pública
                     Alice                                ...
GSeg
UFRGS

         Criptografia de chave pública
        ♦ Duas chaves: uma pública e outra secreta


        ♦ Cifragem...
GSeg
UFRGS

         Criptografia de chave pública
        ♦ Privacidade: cifrar com chave pública;
          somente chav...
GSeg
UFRGS

                             Criptografia + Assinatura

                   Alice                              ...
GSeg
UFRGS

         Criptografia de chave pública
        ♦ Operação: funções aritméticas complexas

        ♦ Baixa velo...
GSeg
UFRGS

            Ferramentas de Análise
        ♦ COPS (Computer Oracle and Password
          Program)
        ♦ S...
GSeg
UFRGS

          Verificadores de Integridade
        ♦ Verificar se arquivos e configurações
          permanecem in...
GSeg
UFRGS

             Verificadores de Senhas
        ♦ Verificar se uma senha pode ser “quebrada”


           – Exemp...
GSeg
UFRGS

               Analisadores de Logs
        ♦ Facilitar a análise de arquivos de logs


        ♦ Realizar log...
GSeg
UFRGS

              Segurança (resumindo)
        ♦ Segurança é um atributo negativo
           – é fácil detectar p...
GSeg
UFRGS

              Segurança (resumindo)
        ♦ Segurança é um atributo global
           – envolve vários compo...
GSeg
UFRGS




        Sistemas de Detecção de
               Intrusão
GSeg
UFRGS

        Sistemas de Detecção de Intrusão
             ♦ Número crescente de ataques/incidentes
               ...
GSeg
UFRGS

        Sistemas de Detecção de Intrusão
         ♦ Prevenção não é suficiente


         ♦ Importância da div...
GSeg
UFRGS

        Sistemas de Detecção de Intrusão
         ♦ Detecção de intrusão:
           – tarefa de coletar e ana...
GSeg
UFRGS

        Sistemas de Detecção de Intrusão
         ♦ Detecção de intrusão X detecção de ataque
           – int...
GSeg
UFRGS

                   IDS X Auditoria
        ♦ Ferramentas de auditoria
           – prevenção
           – conf...
GSeg
UFRGS

                IDS: classificação
        ♦ Segundo os métodos de detecção usados


        ♦ Segundo a arqui...
GSeg
UFRGS

                 IDS: classificação
        ♦ Segundo o método de detecção
           – baseado em comportamen...
GSeg
UFRGS

              IDS: classificação
                                  Baseado em
               Método de        ...
GSeg
UFRGS

                     IDS: histórico
        ♦ Conceito surgido no início dos anos 80
        ♦ 1ª Geração
    ...
GSeg
UFRGS

                     IDS: histórico
        ♦ 3ª Geração
           – uso dos conceitos anteriores para sistem...
GSeg
UFRGS

                    IDS: estrutura
        ♦ Componentes funcionalmente semelhantes
          – independente d...
GSeg
UFRGS

                IDS: componentes
        ♦ Geradores de eventos

        ♦ Analisadores de eventos

        ♦ ...
GSeg
UFRGS

               IDS: padronização
        ♦ CIDF (Common Intrusion Detection
         Framework)

        ♦ IDW...
GSeg
UFRGS

                                IDS: IDWG

        Origem dos                                               Op...
GSeg
UFRGS

           IDS: métodos de detecção
        ♦ Responsáveis diretos na busca por indícios
          de intrusão...
GSeg
UFRGS

        IDS: baseado em comportamento
        ♦ Detecção por anomalia
        ♦ Caracteriza o comportamento do...
GSeg
UFRGS

        IDS: baseado em comportamento
        ♦ Compara o estado atual do sistema com o
          comportament...
GSeg
UFRGS

         IDS: baseado em assinaturas
        ♦ Também chamada de detecção por mau uso
        ♦ Divide as açõe...
GSeg
UFRGS

         IDS: baseado em assinaturas
        ♦ Compara as ações realizadas no sistema
          com uma base d...
GSeg
UFRGS

                   IDS: arquiteturas
        ♦ Diretamente ligado ao desempenho

        ♦ Segundo o alvo
    ...
GSeg
UFRGS

                       IDS: rede
        ♦ Dados analisados são retirados da rede

        ♦ Detecção de ataqu...
GSeg
UFRGS

                       IDS: host
        ♦ Dados obtidos na própria máquina

        ♦ Detecção de ataques rel...
GSeg
UFRGS

                    IDS: níveis

                    IDS baseado em aplicação

         Nível de
        abstr...
GSeg
UFRGS

                  IDS: centralizado
        ♦ Função como coleta, análise e gerência em
          um único com...
GSeg
UFRGS

                   IDS: hierárquico
        ♦ Funções distribuídas mas com fortes
          relações de hierar...
GSeg
UFRGS

                    IDS: distribuído
        ♦ Funções livremente distribuídas
             Máquina A


      ...
GSeg
UFRGS




        Métodos de Detecção
GSeg
UFRGS

              Métodos Tradicionais
        ♦ Busca “manual” por indícios de intrusão

        ♦ Realizada há b...
GSeg
UFRGS

               Métodos Tradicionais
        ♦ Análise de trilhas de auditoria
          – registrar principais...
GSeg
UFRGS

               Métodos Tradicionais
        ♦ Análise de dados de gerência de redes
          – uso de padrões...
GSeg
UFRGS

              Análise por assinaturas
        ♦ Método muito utilizado

        ♦ Dificuldade: correlacionar d...
GSeg
UFRGS

             Análise por assinaturas
        ♦ Vantagens
          – baixo nº de falsos positivos
          – ...
GSeg
UFRGS

             Análise por assinaturas
        ♦ Desvantagens
          – detecção só para ataques conhecidos
  ...
GSeg
UFRGS

          Análise por comportamento
        ♦ Comportamento estático X dinâmico

        ♦ Dificuldade: estabe...
GSeg
UFRGS

          Análise por comportamento
        ♦ Vantagens
          – detecção de ataques desconhecidos
        ...
GSeg
UFRGS

          Análise por comportamento
        ♦ Desvantagens
          – dificuldade de configuração
          –...
GSeg
UFRGS

               Métodos Avançados
        ♦ Estudo de novas formas de análise

        ♦ Complexos

        ♦ D...
GSeg
UFRGS

                Métodos Avançados
        ♦ Redes neurais
          – dificuldades no treinamento da rede
    ...
GSeg
UFRGS




        Arquiteturas
GSeg
UFRGS

                  Baseada em Host
        ♦ Precursora em IDS

        ♦ Permite determinar as operações
     ...
GSeg
UFRGS

                 Baseada em Host
        ♦ Vantagens
          – independência de rede
          – detecção de...
GSeg
UFRGS

                  Baseada em Host
        ♦ Desvantagens
          – dificuldade de instalação
          – dif...
GSeg
UFRGS

                  Baseada em Rede
        ♦ Tratar ataques à própria rede

        ♦ Permite determinar as ope...
GSeg
UFRGS

                 Baseada em Rede
        ♦ Vantagens
          – detecção de ataques externos
          – faci...
GSeg
UFRGS

                  Baseada em Rede
        ♦ Desvantagens
          – tratamento de redes de alta velocidade
  ...
GSeg
UFRGS

                     Centralizado
        ♦ Precursor em IDS
        ♦ Vantagens
          – simplicidade
    ...
GSeg
UFRGS

                      Distribuído
        ♦ Vantagens
          – robustez
          – crescimento modular
   ...
GSeg
UFRGS

                    Hierárquico
        ♦ Fortes relações de subordinação


        ♦ Maior facilidade de dese...
GSeg
UFRGS

                Soluções Híbridas
        ♦ Mesclar soluções


        ♦ Aproveitar vantagens de cada abordage...
GSeg
UFRGS




        Exemplos de IDSs
GSeg
UFRGS

                           Snort
        ♦ Um dos mais utilizados no momento

        ♦ Arquitetura centraliza...
GSeg
UFRGS

                           Snort
        ♦ Simplicidade e eficiência

        ♦ Base com milhares de assinatur...
GSeg
UFRGS

                             Snort
        ♦ Captura de pacotes de rede (libpcap)
          – uso de regras de...
GSeg
UFRGS

                              Snort: regras
          ♦ 1ª parte: ação a ser tomada
             – log, alert ...
GSeg
UFRGS

                              Snort
        ♦ Pré-processadores (v 1.5)
           – código executado antes da...
GSeg
UFRGS

                              Bro
        ♦ Desenvolvido pelo Lawrence Berkeley
          National Laboratory
...
GSeg
UFRGS

                               Bro
        ♦ Utiliza scripts

        ♦ Base com poucas assinaturas

        ♦...
GSeg
UFRGS

                           Bro: estrutura
          Script de políticas                     Alerta
           ...
GSeg
UFRGS

                               Bro: filtros
          ♦ Scripts semelhantes à linguagem C

        event finge...
GSeg
UFRGS

                         AAFID
        ♦ Autonomous Agents for Intrusion Detection

        ♦ Desenvolvido pel...
GSeg
UFRGS

                    AAFID: componentes
                                                                    a

...
GSeg
UFRGS

                          AAFID
        ♦ Escrito em Perl
          – fácil migração

        ♦ Pseudo-linguag...
GSeg
UFRGS

                     EMERALD
        ♦ Event Monitoring Enabling Response to
          Anomalous Live Disturba...
GSeg
UFRGS

                        EMERALD
        ♦ Análise baseada em conhecimento e em
          assinaturas

        ...
GSeg
UFRGS

                       EMERALD: domínios

                                           Monitor de Organização

 ...
GSeg
UFRGS

                       EMERALD: monitor

                          Analisador por   API do Monitor
           ...
GSeg
UFRGS

                     EMERALD
        ♦ Modularidade

        ♦ Independência de alvo

        ♦ Correlação de ...
GSeg
UFRGS

                     RealSecure
        ♦ Desenvolvido pela ISS (Internet Security
          System)

        ...
GSeg
UFRGS

                      RealSecure
        ♦ Sensores
           – rede
           – host
           – servidor
...
GSeg
UFRGS

                        RealSecure
        ♦ Políticas aplicadas através dos consoles

        ♦ Possível aute...
GSeg
UFRGS

                      RealSecure
        ♦ Permite a criação de scripts Tcl associados
          a assinaturas...
GSeg
UFRGS

                             NFR
        ♦ Network Flight Recorder

        ♦ Desenvolvida por Marcus Ranum (N...
GSeg
UFRGS

                            NFR
        ♦ Arquitetura centralizada/hierárquica

        ♦ Dados coletados na r...
GSeg
UFRGS

                               NFR: estrutura
               Sensor                                   Sensor
 ...
GSeg
UFRGS

                            NFR
        ♦ Base mantida por terceiros

        ♦ Regras escritas em linguagem p...
GSeg
UFRGS




        Considerações Práticas
GSeg
UFRGS

           Seleção e Implementação
        ♦ Escolha depende de cada caso

        ♦ Equívocos podem causar fa...
GSeg
UFRGS

            Seleção e Implementação
        ♦ Política de segurança
           – avaliar política existente
  ...
GSeg
UFRGS

            Seleção e Implementação
        ♦ Analisar detalhes técnicos
          – métodos de detecção e arq...
GSeg
UFRGS

           Seleção e Implementação
        ♦ Criar ambiente de testes


        ♦ Distribuir corretamente os s...
GSeg
UFRGS

        Distribuição de Sensores




              Grupo de Segurança - UFRGS   159
GSeg
UFRGS

            Distribuição de Sensores
        ♦ Atrás do firewall externo
          – ver ataques externos que ...
GSeg
UFRGS

            Distribuição de Sensores
        ♦ Nos backbones
          – monitorar grandes qtdes de tráfego
  ...
GSeg
UFRGS

               Sensores: problemas
        ♦ Tráfego criptografado


        ♦ Tráfego segmentado


        ♦ ...
GSeg
UFRGS

         Vulnerabilidades Conhecidas
        ♦ Falsos alarmes


        ♦ Negação de serviço (DoS)


        ♦...
GSeg
UFRGS

         Vulnerabilidades Conhecidas
        ♦ Desativação de ferramentas baseadas em
          host

        ...
GSeg
UFRGS

                 Subvertendo o IDS
        ♦ Procurando pela string “su root”.
           – e quanto à string ...
GSeg
UFRGS

                 Reconstruindo Fluxos
         ♦ Procurando pela string “USER root”. Basta
            procura...
GSeg
UFRGS

                   Mais Fragmentos
        Suponha o seguinte ataque:
              1.    HDR HDR US

        ...
GSeg
UFRGS

                        Mais Fragmentos
        1.      HDR HDR US                                 Seq. #

   ...
GSeg
UFRGS

                   Aspectos Legais
        ♦ Interceptação telemática
           – C.F. Artigo 5º parágrafo XI...
GSeg
UFRGS




        Conclusões
GSeg
UFRGS

                     Conclusões
        ♦ Aumento no nº de incidentes


        ♦ Despreparo dos profissionais...
GSeg
UFRGS

                    Conclusões
        ♦ IDS é mais um mecanismo útil


        ♦ Serve como suporte à tomada ...
GSeg
UFRGS

                      Contatos

                       Rafael Campello
                e-mail: campello@inf.uf...
Próximos SlideShares
Carregando em…5
×

Sistemas de Detecção de Intrusão

7.410 visualizações

Publicada em

Publicada em: Turismo, Tecnologia
0 comentários
7 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
7.410
No SlideShare
0
A partir de incorporações
0
Número de incorporações
64
Ações
Compartilhamentos
0
Downloads
557
Comentários
0
Gostaram
7
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Sistemas de Detecção de Intrusão

  1. 1. GSeg UFRGS XIX Simpósio Brasileiro de Redes de Computadores Sistemas de Detecção de Intrusão Rafael Campello e Raul Weber UFRGS – II – PPGC – GSeg Centro Universitário Franciscano Florianópolis, 23 Maio de 2001
  2. 2. GSeg UFRGS GSeg UFRGS ♦ Grupo de Segurança da UFRGS ♦ Pesquisas – Sistemas de Detecção de Intrusão (IDS) – Controle de Integridade de Arquivos – Injeção de Falhas (TCP/IP) – Votação Eletrônica – Dinheiro Digital Grupo de Segurança - UFRGS 2
  3. 3. GSeg UFRGS Objetivos do Curso ♦ Apresentar os princípios de um sistema de detecção de intrusão e seu uso como mecanismo de tolerância a falhas de segurança ♦ Abordar aspectos conceituais ♦ Tecer algumas considerações práticas Grupo de Segurança - UFRGS 3
  4. 4. GSeg UFRGS Público Alvo ♦ Estudantes de computação ou engenharia – noções de redes de computadores – noções de sistemas operacionais ♦ Profissionais ligados à administração ou à gerência de segurança em redes de computadores Grupo de Segurança - UFRGS 4
  5. 5. GSeg UFRGS Programa ♦ Fundamentos de segurança ♦ Sistemas de Detecção de Intrusão (IDSs) ♦ Exemplos de IDSs ♦ Considerações práticas Grupo de Segurança - UFRGS 5
  6. 6. GSeg UFRGS Fundamentos de Segurança ♦ Conceitos básicos ♦ Ameaças e ataques ♦ Mecanismos de proteção Grupo de Segurança - UFRGS 6
  7. 7. GSeg UFRGS Sistemas de Detecção de Intrusão ♦ Conceitos básicos ♦ Métodos de detecção de intrusão ♦ Arquiteturas de IDS Grupo de Segurança - UFRGS 7
  8. 8. GSeg UFRGS Exemplos de IDSs ♦ Snort ♦ Bro ♦ AAFID ♦ EMERALD ♦ RealSecure ♦ NFR Grupo de Segurança - UFRGS 8
  9. 9. GSeg UFRGS Considerações Práticas ♦ Seleção e implementação ♦ Vulnerabilidades conhecidas ♦ Aspectos legais Grupo de Segurança - UFRGS 9
  10. 10. GSeg UFRGS Cronograma ♦ Fundamentos de segurança coffee-break (10h30min – 11h) ♦ Sistemas de Detecção de Intrusão almoço (13h – 14h) ♦ Exemplos de IDS ♦ Considerações práticas Grupo de Segurança - UFRGS 10
  11. 11. GSeg UFRGS Regra número 1 FAÇA PERGUNTAS DURANTE A APRESENTAÇÃO !!! Grupo de Segurança - UFRGS 11
  12. 12. GSeg UFRGS Fundamentos de Segurança
  13. 13. GSeg UFRGS Segurança: introdução ♦ Não começou como ciência nem como arte, mas como um instinto ♦ Maior interesse do homem, durante a sua história – segurança própria, da família, dos bens, etc ♦ Matéria de sobrevivência – criada naturalmente p/ garantir a sobrevivência das espécies Grupo de Segurança - UFRGS 13
  14. 14. GSeg UFRGS Segurança: introdução ♦ A vida seria melhor sem essas preocupações – tranqüilidade/felicidade de décadas atrás ♦ Paradoxo: – busca-se algo que não é desejado ♦ Principal motivo do descaso e do despreparo Grupo de Segurança - UFRGS 14
  15. 15. GSeg UFRGS Segurança: introdução ♦ Atitude mais cômoda e barata: – torcer para que nada aconteça – semelhante a esperar que sua casa não seja roubada ♦ Atitude correta: – cercar-se de cuidados – preparar-se para lidar com os problemas – analogia: colocar um alarme e fazer um seguro da casa Grupo de Segurança - UFRGS 15
  16. 16. GSeg UFRGS Segurança: introdução ♦ Por que ser negligente? – segurança é custo – segurança é perda na facilidade de uso – valor da informação, da reputação e dos serviços da organização não são levados em consideração ♦ Em suma: – custos com importância maximizada... – ...em detrimento de valores mais importantes Grupo de Segurança - UFRGS 16
  17. 17. GSeg UFRGS Segurança: evolução ♦ Estímulo para o desenvolvimento do computador eletrônico ♦ Década de 40 – Colossus (Primeiro Computador Eletrônico) • Decifrar as mensagens na 2º Guerra Mundial Grupo de Segurança - UFRGS 17
  18. 18. GSeg UFRGS Segurança: evolução ♦ Fim da guerra: preocupações com segurança focadas em problemas físicos ♦ Computadores não possibilitavam o acesso direto a seus usuários – Inviabiliza qualquer tipo de ação contra sua segurança. Grupo de Segurança - UFRGS 18
  19. 19. GSeg UFRGS Segurança: evolução ♦ Novas ameaças – máquinas com acesso compartilhado (time- sharing) – Teleprocessamento – Computadores pessoais – Redes Grupo de Segurança - UFRGS 19
  20. 20. GSeg UFRGS Ameaças: exemplos ♦ Destruição de informação ou de outro recurso ♦ Modificação ou deturpação da informação ♦ Roubo, remoção ou perda de informação ♦ Revelação de informação ♦ Interrupção de serviços Grupo de Segurança - UFRGS 20
  21. 21. GSeg UFRGS Atacantes ♦ Hacker/Cracker ♦ Script Kid, One-click hacker ♦ Espião ♦ Terrorista Mitnick ♦ Atacante corporativo ♦ Vândalo ♦ Voyeur Bart Simpson Grupo de Segurança - UFRGS 21
  22. 22. GSeg UFRGS Ameaças: evolução ♦ Década de 80 - ataques individuais e isolados – Escolha de boas senhas – Prevenir o compartilhamento indiscriminado – Eliminar os bugs de segurança de programas Grupo de Segurança - UFRGS 22
  23. 23. GSeg UFRGS Ameaças: evolução ♦ Década de 90 - ataques sofisticados – Sniffers capturam senhas e outras informações – Computadores são confundidos por IP spoofing – Sessões são desviadas através de connection hijacking – Dados são comprometidos via data spoofing – Atacantes na maioria amadores (One-click hacker, Script Kid) Grupo de Segurança - UFRGS 23
  24. 24. GSeg UFRGS Segurança: conceitos ♦ Tentativa de minimizar a vulnerabilidade de bens e recursos ♦ Mais abrangente: dotar os sistemas de: – confiabilidade – integridade – disponibilidade – autenticidade – privacidade Grupo de Segurança - UFRGS 24
  25. 25. GSeg UFRGS Segurança: conceitos ♦ O que se quer proteger? – confiabilidade – disponibilidade – integridade – privacidade – autenticidade Grupo de Segurança - UFRGS 25
  26. 26. GSeg UFRGS Segurança: conceitos Permanentes Confiabilidade . . Atributos . Físicas Disponibilidade Intermitentes Temporárias Transitórias Dependability Falhas Prevenção Detecção de erros de falhas Confinamento e DeProjeto realização Tolerância a avaliação de danos falhas Recuperação de erros Humanas Meios Tratamento de Remoção de Intencionais falhas falhas DeInteração validação Previsão de Não intencionais falhas Grupo de Segurança - UFRGS 26
  27. 27. GSeg UFRGS Segurança: conceitos ♦ Validação – remoção de falhas – previsão de falhas ♦ Prevenção de falhas ♦ Tolerância a falhas – detecção de erros – confinamento e avaliação de danos – recuperação de erros – tratamento de falhas Grupo de Segurança - UFRGS 27
  28. 28. GSeg UFRGS Segurança: conceitos ♦ Prevenção de falhas – ex.: firewalls, criptografia, etc ♦ Detecção de falhas – ex.: sistemas de detecção de intrusão ♦ Resposta – ex.: reconfiguração de um firewall Grupo de Segurança - UFRGS 28
  29. 29. GSeg UFRGS Exemplo 1: propriedade privada ♦ Prevenção – trancas em portas, grades nas janelas, muros ao redor da propriedade ♦ Detecção – perceber o desaparecimento de algum objeto, usar alarmes e circuitos de TV ♦ Reação – chamar a polícia, reaver objetos roubados, acionar o seguro Grupo de Segurança - UFRGS 29
  30. 30. GSeg UFRGS Exemplo 2: redes ♦ Prevenção – gerenciamento adequado, firewalls, proxies ♦ Detecção – perceber anomalias no tráfego ou interrupção de serviços, auditoria, IDS ♦ Reação – relatar o incidente, reinstalar softwares, redefinir políticas de segurança, demitir o responsável Grupo de Segurança - UFRGS 30
  31. 31. GSeg UFRGS Segurança: conceitos ♦ Ameaça ♦ Incidente – atacante → ataque → objetivo ♦ Ataque – ferramenta → vulnerabilidade → evento → resultado não autorizado ♦ Evento – ação → alvo Grupo de Segurança - UFRGS 31
  32. 32. GSeg UFRGS Segurança: conceitos incidente ataque(s) evento Atacantes Ferramenta Vulnerabilidade Ação Alvo Resultado ñ Objetivos Autorizado Hacker Ataque Projeto Probe Conta Acesso Desafio, físico Ampliado status Espião Troca de Implementação Varredura Processo Revelação de Ganho Informação Informação Político Terrorista Comando Configuração Flood Dado Informação Ganho de Usuário Corrompida Financeiro Atacante Script ou Autenticação Componente Negação de Dano Corporativo Programa Serviço Criminoso Agente Desvio Computador Roubo de Profissional Autônomo Recursos Vândalo Toolkit Spoof Rede Voyeur Ferramenta Leitura Inter-rede Distribuída Interceptaçã Cópia o de dados Roubo Modificação Destruição Grupo de Segurança - UFRGS 32
  33. 33. GSeg UFRGS Principais Ataques ♦ Engenharia social ♦ Coleta de informação ♦ Varredura ♦ Negação de serviço (DoS) ♦ Exploração de bugs ♦ Exploração de protocolos ♦ Sniffers ♦ Ataque do dicionário ♦ Código malicioso Grupo de Segurança - UFRGS 33
  34. 34. GSeg UFRGS Engenharia Social ♦ Método: enganar as vítimas, por conversa, telefone ou correio eletrônico ♦ Objetivos: – obter informações valiosas – obter privilégios – convencer a vítima a executar ações indevidas e perigosas Grupo de Segurança - UFRGS 34
  35. 35. GSeg UFRGS Engenharia Social ♦ Prevenção: educação e conscientização – não fornecer informações a estranhos – exigir identificação – escolher boas senhas – não executar ações sem pensar (como executar um programa anexo à uma mensagem) Grupo de Segurança - UFRGS 35
  36. 36. GSeg UFRGS Coleta de Informação ♦ Informações úteis (ao atacante) – domínio e servidores (whois e nslookup) – números IP (nslookup e traceroute) – arquitetura das máquinas (CPU, sistema operacional) – servidores (versões e plataforma) – serviços de proteção (firewall, VPNs, ACL) – acesso remoto (telefones, usuários autorizados) – usuários (nomes, cargos, funções) Grupo de Segurança - UFRGS 36
  37. 37. GSeg UFRGS Coleta de Informação ♦ Problema: algumas informações devem ser públicas ♦ Prevenção: evitar o fornecimento de informação desnecessária ♦ Toda a informação vital para operação deve ser obviamente fornecida, mas qualquer informação adicional deve ser suprimida Grupo de Segurança - UFRGS 37
  38. 38. GSeg UFRGS Varredura (Scanning) ♦ Teste sistemático dos números IP de uma organização ♦ Determinação dos serviços estão ativos (quais portas estão escutando) ♦ Prevenção: limitar o tráfego desnecessário (filtro de pacotes ou firewall) Grupo de Segurança - UFRGS 38
  39. 39. GSeg UFRGS Negação de Serviço ♦ DoS ou denial-of-service ♦ Objetivo: impedir o uso legítimo do sistema, ou “derrubar” a máquina ♦ Inúmeras formas – ping of death – syn flood – smurf attack – UDP flood Grupo de Segurança - UFRGS 39
  40. 40. GSeg UFRGS Negação de Serviço ♦ Impedir DoS é quase impossível ♦ Distribuir os serviços para a maioria permanecer operacional ♦ Manter-se atualizado sobre as vulnerabilidades apresentadas pela versão atual do sistema Grupo de Segurança - UFRGS 40
  41. 41. GSeg UFRGS Exploração de bugs ♦ Explorar “furos” de implementação para obter privilégios ♦ Prevenção (em programas próprios) – boas práticas de engenharia de software – verificar erros comuns (estouros de buffers) – verificar as entradas – lei do menor privilégio Grupo de Segurança - UFRGS 41
  42. 42. GSeg UFRGS Buffer Overflow endend func 2 da do buf end da func 1 buf evil_assembly_code() c, d a, b func_3() func_2() func_1() { { { char buf[100]; int c, d; int a, b; read_user_input(buf); func_3(); func_2(); } } } Grupo de Segurança - UFRGS 42
  43. 43. GSeg UFRGS Exploração de bugs ♦ Prevenção (em programas de terceiros) – verificar vulnerabilidades conhecidas – aplicar os patches disponíveis – manter-se informado e atualizado ♦ Nenhum sistema é seguro ♦ Nenhum patch é perfeito ♦ Mas a maioria dos atacantes só sabe explorar bugs, e não criá-los Grupo de Segurança - UFRGS 43
  44. 44. GSeg UFRGS Exploração de Protocolos ♦ Muitos são derivados de falhas no mecanismo de autenticação – IP spoofing: utilizar um endereço IP confiável – DNS spoofing: subverter o servidor de nomes – Source Routing: utilizar os mecanismos de roteamento – Ataque RIP: enviar informações de roteamento falsas – Ataque ICMP: explorar msgs como redirect e destination unreachable Grupo de Segurança - UFRGS 44
  45. 45. GSeg UFRGS Sniffer ♦ sniffing - interface de rede que opera modo promíscuo, capturando todos os pacotes ♦ É fácil para um programa sniffer obter username e password dos usuários ♦ Utilização de sniffer é difícil de ser detectada Grupo de Segurança - UFRGS 45
  46. 46. GSeg UFRGS Ataque do Dicionário ♦ Um dos arquivos mais cobiçados por atacantes é o de senhas – Unix: /etc/passwd – Windows: *.pwl – Windows NT: SAM ♦ Senhas cifradas Grupo de Segurança - UFRGS 46
  47. 47. GSeg UFRGS Ataque do Dicionário ♦ Pessoas utilizam senhas facilmente memorizáveis, como nomes próprios ou palavras de uso corriqueiro ♦ Atacante compõe um dicionário e experimenta todas as palavras deste dicionário contra a cifra armazenada no arquivo de senhas Grupo de Segurança - UFRGS 47
  48. 48. GSeg UFRGS Ataque do Dicionário ♦ Vários programas disponíveis (Crack, etc) ♦ Ação preventiva: atacar o próprio arquivo de senhas ♦ Não utilizar senhas derivadas de palavras e nomes ♦ Utilizar letras iniciais de frases ou palavras com erros Grupo de Segurança - UFRGS 48
  49. 49. GSeg UFRGS Código Malicioso ♦ Cavalos de Tróia (não se propagam) – falsa tela de Login – falsa Operação ♦ Vírus ♦ Backdoors ♦ Controle Remoto (Netbus, Back Orifice) Grupo de Segurança - UFRGS 49
  50. 50. GSeg UFRGS Código Malicioso ♦ Prevenção: Monitores ♦ Impossível tratamento exato e confiável ♦ Manter anti-vírus atualizado ♦ Preparar procedimento de emergência Grupo de Segurança - UFRGS 50
  51. 51. GSeg UFRGS Segurança: tipos ♦ Nenhuma segurança ♦ Segurança por obscuridade ♦ Segurança baseada em máquina ♦ Segurança baseada em rede ♦ Combinação de mecanismos Grupo de Segurança - UFRGS 51
  52. 52. GSeg UFRGS Segurança: estratégias ♦ Atribuir privilégios mínimos ♦ Criar redundância de mecanismos ♦ Criar ponto único de acesso ♦ Determinar os pontos mais fracos ♦ Tornar o sistema livre de falhas (fail-safe) ♦ Incentivar a participação universal ♦ Investir na diversidade de defesa ♦ Prezar a simplicidade Grupo de Segurança - UFRGS 52
  53. 53. GSeg UFRGS Segurança: posturas ♦ Postura padrão de negação (prudente) – especificar o que é permitido – proibir o resto ♦ Postura padrão de permissão (permissiva) – especificar o que é proibido – permitir o resto Grupo de Segurança - UFRGS 53
  54. 54. GSeg UFRGS Medidas de segurança ♦ O que se está querendo proteger? ♦ O que é preciso para proteger? ♦ Qual a probabilidade de um ataque? ♦ Qual o prejuízo se o ataque for bem sucedido? ♦ Implementar procedimentos de segurança irá ser vantajoso no ponto de vista custo- benefício? Grupo de Segurança - UFRGS 54
  55. 55. GSeg UFRGS Política de segurança ♦ Conjunto de leis regras e práticas que regulam (informações e recursos): – como gerenciar – como proteger – como distribuir ♦ Sistema seguro = sistema que garante o cumprimento da política de segurança traçada Grupo de Segurança - UFRGS 55
  56. 56. GSeg UFRGS Política de segurança ♦ Define o que é e o que não é permitido no sistema ♦ Define o comportamento autorizado para os indivíduos que interagem com o sistema Grupo de Segurança - UFRGS 56
  57. 57. GSeg UFRGS Mecanismos para segurança ♦ Wrappers ♦ Firewalls ♦ Criptografia ♦ Redes Privadas (VPNs) ♦ Ferramentas de verificação Grupo de Segurança - UFRGS 57
  58. 58. GSeg UFRGS Wrapers ♦ TCP Wrappers são um conjunto de programas que “encapsulam” os daemons dos serviços de rede visando aumentar sua segurança ♦ Funcionam como um filtro e estendem o serviço original Grupo de Segurança - UFRGS 58
  59. 59. GSeg UFRGS Wrapers ♦ O wrapper não pode ser considerado uma ferramenta para segurança total ♦ Visa suprir deficiências dos servidores atuais e aumentar o controle sobre sua utilização ♦ Ótima ferramenta para registro (log) Grupo de Segurança - UFRGS 59
  60. 60. GSeg UFRGS Firewalls ♦ Conjunto de componentes colocados entre duas redes e que coletivamente implementam uma barreira de segurança ♦ Finalidade – retardar os efeitos de um ataque até que medidas administrativas contrárias sejam executadas Grupo de Segurança - UFRGS 60
  61. 61. GSeg UFRGS Firewalls ♦ Objetivo básico – defender a organização de ataques externos ♦ Efeito secundário – pode ser utilizado para regular o uso de recursos externos pelos usuários internos Grupo de Segurança - UFRGS 61
  62. 62. GSeg UFRGS Firewalls Internet DMZ Rede interna Grupo de Segurança - UFRGS 62
  63. 63. GSeg UFRGS Firewalls ♦ Pode ser implementado utilizando dois mecanismos básicos: – filtragem de pacotes • análise dos pacotes que passam pelo firewall – servidores proxy • análise dos serviços sendo utilizados Grupo de Segurança - UFRGS 63
  64. 64. GSeg UFRGS Criptografia ♦ Não existe sistema absolutamente seguro ♦ Toda criptografia pode ser “quebrada” ♦ Complexidade temporal ♦ Complexidade econômica ♦ Segurança “computacional” Grupo de Segurança - UFRGS 64
  65. 65. GSeg UFRGS Criptografia de chave única Alice Bob Única Única Esta mensagem é fsdfsdgfdghdgkdhf fsdfsdgfdghdgkdhf Esta mensagem é secreta, pois gkdshgksdfghkdsh gkdshgksdfghkdsh secreta, pois contém dados da gfksdfghkfdsgiuer gfksdfghkfdsgiuer contém dados da mais alta bdhbkdbskfbhkbsl bdhbkdbskfbhkbsl mais alta importância para dbhdfskbhdksfbhk dbhdfskbhdksfbhk importância para a nossa empresa. dbhdbfkhsdkbhdfk dbhdbfkhsdkbhdfk a nossa empresa. DECIFRAGEM TRANSMISSÃO CIFRAGEM Grupo de Segurança - UFRGS 65
  66. 66. GSeg UFRGS Criptografia de chave única ♦ Única chave para cifragem e decifragem ♦ Substituição, permutação, operações algébricas ♦ Alta velocidade ♦ Problemas na distribuição de chaves Grupo de Segurança - UFRGS 66
  67. 67. GSeg UFRGS Criptografia de chave pública Alice Bob Pub Priv Pub Esta mensagem é fsdfsdgfdghdgkdhf fsdfsdgfdghdgkdhf Esta mensagem é secreta, pois gkdshgksdfghkdsh gkdshgksdfghkdsh secreta, pois contém dados da gfksdfghkfdsgiuer gfksdfghkfdsgiuer contém dados da mais alta bdhbkdbskfbhkbsl bdhbkdbskfbhkbsl mais alta importância para dbhdfskbhdksfbhk dbhdfskbhdksfbhk importância para a nossa empresa. dbhdbfkhsdkbhdfk dbhdbfkhsdkbhdfk a nossa empresa. DECIFRAGEM TRANSMISSÃO CIFRAGEM Grupo de Segurança - UFRGS 67
  68. 68. GSeg UFRGS Criptografia de chave pública ♦ Duas chaves: uma pública e outra secreta ♦ Cifragem com uma chave somente é decifrada com a outra chave Grupo de Segurança - UFRGS 68
  69. 69. GSeg UFRGS Criptografia de chave pública ♦ Privacidade: cifrar com chave pública; somente chave secreta pode decifrar ♦ Assinatura: cifrar com chave secreta; chave pública decifra e identifica usuário Grupo de Segurança - UFRGS 69
  70. 70. GSeg UFRGS Criptografia + Assinatura Alice Bob Pub Pub Priv Pub Pub Priv Fsdjfljgljdlgjdlgjldgjld Fsdjfljgljdlgjdlgjldgjld Esta mensagem é jgldjgldjfgljdfljlvbkjn; jgldjgldjfgljdfljlvbkjn; Esta mensagem é secreta, pois x923q8508hugdkbn x923q8508hugdkbn secreta, pois contém dados da msbn5y9[6590mnkp msbn5y9[6590mnkp contém dados da mais alta mjfw44n50b0okythp; mjfw44n50b0okythp; mais alta importância para jguent039oktrpgerjh jguent039oktrpgerjh importância para a nossa empresa. gwunpt058bngnwug0 gwunpt058bngnwug0 a nossa empresa. 9u6buyhjoireueyu84 9u6buyhjoireueyu84 8ybnuyue98 8ybnuyue98 4932uvf9vbd8bbfgbfg h25c924fed23 4932uvf9vbd8bbfgbfg h25c924fed23 Grupo de Segurança - UFRGS 70
  71. 71. GSeg UFRGS Criptografia de chave pública ♦ Operação: funções aritméticas complexas ♦ Baixa velocidade, fácil distribuição de chaves ♦ Exemplos: RSA, DSS, DH, El Gamal (512 a 2048 bits) Grupo de Segurança - UFRGS 71
  72. 72. GSeg UFRGS Ferramentas de Análise ♦ COPS (Computer Oracle and Password Program) ♦ SATAN (Security Analysis Tool for Auditing Network) ♦ ISS (Internet Security Scanner) ♦ SAINT (Security Administrator’s Integrated Network Tool) ♦ Nessus (um dos mais atuais) Grupo de Segurança - UFRGS 72
  73. 73. GSeg UFRGS Verificadores de Integridade ♦ Verificar se arquivos e configurações permanecem inalterados ♦ Compara a situação atual com a situação inicial ♦ Utiliza funções de checksum e hash ♦ Hash a nível criptográfico: MD5, SHA ♦ Exemplo: Tripwire, Soffic (UFRGS) Grupo de Segurança - UFRGS 73
  74. 74. GSeg UFRGS Verificadores de Senhas ♦ Verificar se uma senha pode ser “quebrada” – Exemplo: Crack ♦ Verificar se uma senha é “fácil” – Exemplos: npasswd, passwd+ Grupo de Segurança - UFRGS 74
  75. 75. GSeg UFRGS Analisadores de Logs ♦ Facilitar a análise de arquivos de logs ♦ Realizar logs mais detalhados (além de um grep) ♦ Exemplos: – Swatch (Simple Watcher) – Netlog – LogSurfer Grupo de Segurança - UFRGS 75
  76. 76. GSeg UFRGS Segurança (resumindo) ♦ Segurança é um atributo negativo – é fácil detectar pontos inseguros – é difícil (impossível ?!?) provar segurança ♦ Segurança por obscuridade não é segurança – não adianta se esconder – não adianta ser otimista – esteja preparado Grupo de Segurança - UFRGS 76
  77. 77. GSeg UFRGS Segurança (resumindo) ♦ Segurança é um atributo global – envolve vários componentes do sistema – envolve vários mecanismos – analogia: poucos confiam apenas nas trancas de seus carros ♦ Falsa sensação de segurança pode ser pior do que a falta de cuidados Grupo de Segurança - UFRGS 77
  78. 78. GSeg UFRGS Sistemas de Detecção de Intrusão
  79. 79. GSeg UFRGS Sistemas de Detecção de Intrusão ♦ Número crescente de ataques/incidentes 25000 21756 ♦20000 Complexidade crescente Incidentes Reportados 15000 ♦10000 Ferramentas de ataque cada vez mais 9859 eficientes 3734 5000 2340 2412 2573 2134 1334 132 252 406 773 0 ♦ Tempos de recuperação proibitivos 89 90 91 92 93 94 95 96 97 98 99 00 19 19 19 19 19 19 19 19 19 19 19 20 Grupo de Segurança - UFRGS 79
  80. 80. GSeg UFRGS Sistemas de Detecção de Intrusão ♦ Prevenção não é suficiente ♦ Importância da diversidade de defesa ♦ Solução: Detecção de Intrusão – garantir comportamento livre de falhas Grupo de Segurança - UFRGS 80
  81. 81. GSeg UFRGS Sistemas de Detecção de Intrusão ♦ Detecção de intrusão: – tarefa de coletar e analisar eventos, buscando sinais de intrusão e de mau-uso ♦ Intrusão: – uso inapropriado de um sistema de informação – ações tomadas para comprometer a privacidade, integridade ou a disponibilidade Grupo de Segurança - UFRGS 81
  82. 82. GSeg UFRGS Sistemas de Detecção de Intrusão ♦ Detecção de intrusão X detecção de ataque – intrusão: ação já concretizada – ataque: ação maliciosa que gera um resultado não autorizado ♦ Reação? Grupo de Segurança - UFRGS 82
  83. 83. GSeg UFRGS IDS X Auditoria ♦ Ferramentas de auditoria – prevenção – confinamento e avaliação de danos – tratamento de falhas – Analogia: consultores e/ou peritos criminais ♦ IDSs – detecção – analogia: vigia noturno Grupo de Segurança - UFRGS 83
  84. 84. GSeg UFRGS IDS: classificação ♦ Segundo os métodos de detecção usados ♦ Segundo a arquitetura adotada – alvo – localização Grupo de Segurança - UFRGS 84
  85. 85. GSeg UFRGS IDS: classificação ♦ Segundo o método de detecção – baseado em comportamento – baseado em assinaturas ♦ Segundo a arquitetura – alvo – localização • baseado em rede • centralizado • baseado em host • hierárquico • híbrido • distribuído Grupo de Segurança - UFRGS 85
  86. 86. GSeg UFRGS IDS: classificação Baseado em Método de Comportamento Detecção Baseado em Rede Baseado em Assinaturas Baseado em Host Segundo o alvo Híbrido Arquitetura Segundo a Centralizado IDS localização Hierárquico Passivo Distribuído Comportam. pós-detecção Ativo Monitoramento Freqüência de contínuo uso Análise periódica Grupo de Segurança - UFRGS 86
  87. 87. GSeg UFRGS IDS: histórico ♦ Conceito surgido no início dos anos 80 ♦ 1ª Geração – registros de auditoria eram processados offline – surgimento dos métodos baseados em comportamento e em assinaturas ♦ 2ª Geração – processamento estatisticamente + sofisticado – mais medidas de comportamento monitoradas – alertas em “tempo real” tornaram-se possíveis Grupo de Segurança - UFRGS 87
  88. 88. GSeg UFRGS IDS: histórico ♦ 3ª Geração – uso dos conceitos anteriores para sistemas em rede/sistemas distribuídos – uso de novas técnicas para detecção (sistemas especialistas, redes neurais, data mining, etc) – surgimento dos primeiros IDSs comerciais Grupo de Segurança - UFRGS 88
  89. 89. GSeg UFRGS IDS: estrutura ♦ Componentes funcionalmente semelhantes – independente da arquitetura/método adotados ♦ Muitas vezes agrupados ♦ Modularidade importante na aplicação e no desenvolvimento de novos IDS Grupo de Segurança - UFRGS 89
  90. 90. GSeg UFRGS IDS: componentes ♦ Geradores de eventos ♦ Analisadores de eventos ♦ Bases de dados de eventos ♦ Unidades de resposta Grupo de Segurança - UFRGS 90
  91. 91. GSeg UFRGS IDS: padronização ♦ CIDF (Common Intrusion Detection Framework) ♦ IDWG (Intrusion Detection Working Group) Grupo de Segurança - UFRGS 91
  92. 92. GSeg UFRGS IDS: IDWG Origem dos Operador Dados Atividade IDS Notificação Sensor Evento Resposta Analisador Política de Alerta Segurança Administrador Gerente Grupo de Segurança - UFRGS 92
  93. 93. GSeg UFRGS IDS: métodos de detecção ♦ Responsáveis diretos na busca por indícios de intrusão ♦ Dois grandes grupos: – técnicas baseadas em comportamento – técnicas baseadas em assinaturas Grupo de Segurança - UFRGS 93
  94. 94. GSeg UFRGS IDS: baseado em comportamento ♦ Detecção por anomalia ♦ Caracteriza o comportamento do sistema em normal e anômalo ♦ Habilidade de distinguir o comportamento normal de um anômalo Anômalo Normal Intrusão Comportamento Normal Grupo de Segurança - UFRGS 94
  95. 95. GSeg UFRGS IDS: baseado em comportamento ♦ Compara o estado atual do sistema com o comportamento considerado normal ♦ Desvios são considerados intrusões ♦ Ex.: conexões externas em horários incomuns, padrão de digitação ♦ Outros exemplos ??? Grupo de Segurança - UFRGS 95
  96. 96. GSeg UFRGS IDS: baseado em assinaturas ♦ Também chamada de detecção por mau uso ♦ Divide as ações do sistema em aceitáveis e não aceitáveis ♦ Habilidade de encontrar tentativas de exploração de vulnerabilidades conhecidas Não aceitável Aceitável Intrusão Ação Normal Grupo de Segurança - UFRGS 96
  97. 97. GSeg UFRGS IDS: baseado em assinaturas ♦ Compara as ações realizadas no sistema com uma base de assinaturas de ataques ♦ Ex.: cópia do arquivo de senhas (/etc/passwd) ♦ Outros exemplos ??? Grupo de Segurança - UFRGS 97
  98. 98. GSeg UFRGS IDS: arquiteturas ♦ Diretamente ligado ao desempenho ♦ Segundo o alvo – baseado em rede – baseado em host – híbrido ♦ Segundo a localização – centralizado – hierárquico – distribuído Grupo de Segurança - UFRGS 98
  99. 99. GSeg UFRGS IDS: rede ♦ Dados analisados são retirados da rede ♦ Detecção de ataques relacionados ao tráfego de rede ♦ Ex: captura de pacotes, estatísticas de tráfego ♦ Outros exemplos ??? Grupo de Segurança - UFRGS 99
  100. 100. GSeg UFRGS IDS: host ♦ Dados obtidos na própria máquina ♦ Detecção de ataques relacionados a ações locais ♦ Ex: trilhas de auditoria, cópias de arquivos ♦ IDSs baseados em aplicação: outra classe Grupo de Segurança - UFRGS 100
  101. 101. GSeg UFRGS IDS: níveis IDS baseado em aplicação Nível de abstração IDS baseado em host IDS baseado em rede Grupo de Segurança - UFRGS 101
  102. 102. GSeg UFRGS IDS: centralizado ♦ Função como coleta, análise e gerência em um único componente Máquina A Gerente Máquina B Máquina C Analisador Gerente Coletor Gerente Analisador Analisador Coletor Coletor Grupo de Segurança - UFRGS 102
  103. 103. GSeg UFRGS IDS: hierárquico ♦ Funções distribuídas mas com fortes relações de hierarquia Máquina A Gerente Máquina B Analisador Coletor Coletor Coletor Máquina C Máquina D Máquina E Grupo de Segurança - UFRGS 103
  104. 104. GSeg UFRGS IDS: distribuído ♦ Funções livremente distribuídas Máquina A Gerente Máquina B Analisador Analisador Coletor Coletor Máquina C Máquina D Máquina E Grupo de Segurança - UFRGS 104
  105. 105. GSeg UFRGS Métodos de Detecção
  106. 106. GSeg UFRGS Métodos Tradicionais ♦ Busca “manual” por indícios de intrusão ♦ Realizada há bastante tempo (empírica) ♦ Técnicas de auditoria de sistemas ♦ Técnicas de gerência de redes Grupo de Segurança - UFRGS 106
  107. 107. GSeg UFRGS Métodos Tradicionais ♦ Análise de trilhas de auditoria – registrar principais eventos – selecionar eventos importantes – buscar por indícios de intrusão (offline) ♦ Problemas – manipulação de grandes qtdes de informação – tamanho das trilhas (armazenamento) – dificuldade de correlação de eventos Grupo de Segurança - UFRGS 107
  108. 108. GSeg UFRGS Métodos Tradicionais ♦ Análise de dados de gerência de redes – uso de padrões como SNMP e RMON – captura de pacotes (TCPdump, Ethereal) – buscar por indícios de intrusão (tráfego estranho, pacotes mau formados) ♦ Problemas – manipulação de grandes qtdes de informação – grande experiência em redes – baixa eficiência Grupo de Segurança - UFRGS 108
  109. 109. GSeg UFRGS Análise por assinaturas ♦ Método muito utilizado ♦ Dificuldade: correlacionar dados coletados com as assinaturas existentes ♦ Principais técnicas: – Filtros de pacotes – Sistemas especialistas – Redes de Petri Grupo de Segurança - UFRGS 109
  110. 110. GSeg UFRGS Análise por assinaturas ♦ Vantagens – baixo nº de falsos positivos – adoção de contra-medidas imediatas – redução na quantidade de informação tratada – melhor desempenho Grupo de Segurança - UFRGS 110
  111. 111. GSeg UFRGS Análise por assinaturas ♦ Desvantagens – detecção só para ataques conhecidos – dificuldade de manutenção – base de assinaturas pode ser usada em novos ataques – difícil detecção de abusos de privilégios Grupo de Segurança - UFRGS 111
  112. 112. GSeg UFRGS Análise por comportamento ♦ Comportamento estático X dinâmico ♦ Dificuldade: estabelecer comportamento padrão ♦ Principais técnicas: – análise estatística – sistemas especialistas Grupo de Segurança - UFRGS 112
  113. 113. GSeg UFRGS Análise por comportamento ♦ Vantagens – detecção de ataques desconhecidos – usado na criação de novas bases de assinaturas – esforço de manutenção reduzido – menos dependente de plataforma – facilita a detecção de abusos de privilégios Grupo de Segurança - UFRGS 113
  114. 114. GSeg UFRGS Análise por comportamento ♦ Desvantagens – dificuldade de configuração – maior nº de falsos positivos – relatórios de difícil análise – menor desempenho (cálculos complexos) – dificuldade de lidar com mudanças normais de comportamento Grupo de Segurança - UFRGS 114
  115. 115. GSeg UFRGS Métodos Avançados ♦ Estudo de novas formas de análise ♦ Complexos ♦ Desempenho reduzido ♦ Implantação e manutenção dificultadas ♦ Incipientes e não aplicados em larga escala Grupo de Segurança - UFRGS 115
  116. 116. GSeg UFRGS Métodos Avançados ♦ Redes neurais – dificuldades no treinamento da rede – mais usado na detecção de anomalias ♦ Sistema imunológico – determinar o que pertence ao sistema – procurar “corpos estranhos” – Ex.: seqüências de chamadas de sistema ♦ Data minning e recuperação de informação Grupo de Segurança - UFRGS 116
  117. 117. GSeg UFRGS Arquiteturas
  118. 118. GSeg UFRGS Baseada em Host ♦ Precursora em IDS ♦ Permite determinar as operações desencadeadas no sistema ♦ Informações como: – trilhas de auditoria – carga de CPU – programas executados – integridade de arquivos Grupo de Segurança - UFRGS 118
  119. 119. GSeg UFRGS Baseada em Host ♦ Vantagens – independência de rede – detecção de ataques internos / abusos de privilégios – maior capacidade de confinamento/avaliação de danos e de recuperação de erros Grupo de Segurança - UFRGS 119
  120. 120. GSeg UFRGS Baseada em Host ♦ Desvantagens – dificuldade de instalação – dificuldade de manutenção – ataques ao próprio IDS – dificuldade de tratar ataques de rede – interferência no desempenho do sistema – dependência de plataforma Grupo de Segurança - UFRGS 120
  121. 121. GSeg UFRGS Baseada em Rede ♦ Tratar ataques à própria rede ♦ Permite determinar as operações desencadeadas através da rede ♦ Informações como: – pacotes de rede (cabeçalhos e dados) – estatísticas de tráfego – SNMP Grupo de Segurança - UFRGS 121
  122. 122. GSeg UFRGS Baseada em Rede ♦ Vantagens – detecção de ataques externos – facilidade de instalação – facilidade de manutenção – interferência mínima (nula) no desempenho – independência de plataforma Grupo de Segurança - UFRGS 122
  123. 123. GSeg UFRGS Baseada em Rede ♦ Desvantagens – tratamento de redes de alta velocidade – dependência de rede – dificuldade de reação Grupo de Segurança - UFRGS 123
  124. 124. GSeg UFRGS Centralizado ♦ Precursor em IDS ♦ Vantagens – simplicidade – interferência mínima (nula) na rede – imunidade a problemas de autenticidade ♦ Desvantagens – ponto único de falha – instalação/manutenção em grandes redes – crescimento modular dificultado Grupo de Segurança - UFRGS 124
  125. 125. GSeg UFRGS Distribuído ♦ Vantagens – robustez – crescimento modular – distribuição de tarefas – abrangência de detecção ♦ Desvantagens – complexidade – interferência no desempenho da rede – necessidade de autenticação Grupo de Segurança - UFRGS 125
  126. 126. GSeg UFRGS Hierárquico ♦ Fortes relações de subordinação ♦ Maior facilidade de desenvolvimento ♦ Pontos únicos de falha Grupo de Segurança - UFRGS 126
  127. 127. GSeg UFRGS Soluções Híbridas ♦ Mesclar soluções ♦ Aproveitar vantagens de cada abordagem ♦ Equilibrar necessidades e proibições Grupo de Segurança - UFRGS 127
  128. 128. GSeg UFRGS Exemplos de IDSs
  129. 129. GSeg UFRGS Snort ♦ Um dos mais utilizados no momento ♦ Arquitetura centralizada ♦ Dados coletados na rede ♦ Análise baseada em assinaturas Grupo de Segurança - UFRGS 129
  130. 130. GSeg UFRGS Snort ♦ Simplicidade e eficiência ♦ Base com milhares de assinaturas ♦ Plataforma UNIX ou Windows ♦ Distribuição livre (www.snort.org) Grupo de Segurança - UFRGS 130
  131. 131. GSeg UFRGS Snort ♦ Captura de pacotes de rede (libpcap) – uso de regras de filtragem (TCPdump) ♦ Analisador simples – baseado em regras – trata cabeçalhos e dados ♦ Ações: registrar, alertar ou descartar Grupo de Segurança - UFRGS 131
  132. 132. GSeg UFRGS Snort: regras ♦ 1ª parte: ação a ser tomada – log, alert ou pass ♦ 2ª parte: padrão procurado – cabeçalho ou conteúdo alert TCP $HOME_NET 146 -> !$HOME_NET 1024: (msg:quot;IDS315 - BACKDOOR- ACTIVITY - Infector.1.xquot;; content: quot;WHATISITquot;; ) alert TCP $HOME_NET 21 -> !$HOME_NET any (msg:quot;FTP-NT-bad-loginquot;; content: quot;Login failed.quot;; ) Grupo de Segurança - UFRGS 132
  133. 133. GSeg UFRGS Snort ♦ Pré-processadores (v 1.5) – código executado antes da análise – portscan, eliminação de caracteres, etc ♦ Módulos de saída (v 1.6) – código executado quando um alerta ou registro é feito (após a análise) – syslog, postgresql, reação, etc Grupo de Segurança - UFRGS 133
  134. 134. GSeg UFRGS Bro ♦ Desenvolvido pelo Lawrence Berkeley National Laboratory ♦ Arquitetura centralizada ♦ Dados coletados na rede ♦ Análise baseada em assinaturas Grupo de Segurança - UFRGS 134
  135. 135. GSeg UFRGS Bro ♦ Utiliza scripts ♦ Base com poucas assinaturas ♦ Implementações em DecUnix, FreeBSD, Solaris, SunOS e Linux ♦ Distribuição livre (www-nrg.ee.lbl.gov) Grupo de Segurança - UFRGS 135
  136. 136. GSeg UFRGS Bro: estrutura Script de políticas Alerta Interpretador de scripts Controle de eventos Fluxo de eventos Máquina de eventos Filtro TCPdump Fluxo de pacotes filtrados libpcap Fluxo de pacotes Rede Grupo de Segurança - UFRGS 136
  137. 137. GSeg UFRGS Bro: filtros ♦ Scripts semelhantes à linguagem C event finger_request(c:connection, request: string, full: bool) { if ( request in hot_names ) ++c$hot; if ( c$hot > 0 ) log fmt(quot;finger: %squot;, msg); print finger_log, fmt(quot;%.6f %squot;, c$start_time, msg); c$addl = c$addl == quot;quot; ? req : fmt(quot;*%s, %squot;, c$addl, req); } Grupo de Segurança - UFRGS 137
  138. 138. GSeg UFRGS AAFID ♦ Autonomous Agents for Intrusion Detection ♦ Desenvolvido pelo CERIAS ♦ Arquitetura hierárquica ♦ Dados coletados na rede e no host ♦ Análise de acordo com os agentes Grupo de Segurança - UFRGS 138
  139. 139. GSeg UFRGS AAFID: componentes a a T T a a M a T M Interface a Agente T Transceiver a a Fluxo de a a Controle M Monitor Fluxo de Dados Grupo de Segurança - UFRGS 139
  140. 140. GSeg UFRGS AAFID ♦ Escrito em Perl – fácil migração ♦ Pseudo-linguagem (AAS) para especificação de agentes ♦ Componentes de execução independente ♦ Monitores usam execução remota (ssh) Grupo de Segurança - UFRGS 140
  141. 141. GSeg UFRGS EMERALD ♦ Event Monitoring Enabling Response to Anomalous Live Disturbance) ♦ Desenvolvido pela SRI International ♦ Arquitetura distribuída ♦ Dados coletados no host e na rede Grupo de Segurança - UFRGS 141
  142. 142. GSeg UFRGS EMERALD ♦ Análise baseada em conhecimento e em assinaturas ♦ Projeto sucessor do IDES e NIDES ♦ Projetado para redes de larga escala ♦ Conceito de monitores/domínios Grupo de Segurança - UFRGS 142
  143. 143. GSeg UFRGS EMERALD: domínios Monitor de Organização Domínio A Domínio B Monitor de Domínio Monitor de Domínio Monitor de Serviço Monitor de Serviço Monitor de Serviço Monitor de Serviço Grupo de Segurança - UFRGS 143
  144. 144. GSeg UFRGS EMERALD: monitor Analisador por API do Monitor A assinaturas A P Recursos para o Elemento de P Sistema alvo I Analisador sistema alvo decisão I Outros monitores por comportamento API do Monitor Grupo de Segurança - UFRGS 144
  145. 145. GSeg UFRGS EMERALD ♦ Modularidade ♦ Independência de alvo ♦ Correlação de alertas ♦ Possível integração com outros mecanismos Grupo de Segurança - UFRGS 145
  146. 146. GSeg UFRGS RealSecure ♦ Desenvolvido pela ISS (Internet Security System) ♦ Grande aceitação no mercado ♦ Arquitetura hierárquica ♦ Dados coletados na rede e no host ♦ Análise baseada em assinaturas Grupo de Segurança - UFRGS 146
  147. 147. GSeg UFRGS RealSecure ♦ Sensores – rede – host – servidor – plataformas: WinNT, AIX, Solaris, HP-UX ♦ Console – master controller ou não – plataforma: WinNT Grupo de Segurança - UFRGS 147
  148. 148. GSeg UFRGS RealSecure ♦ Políticas aplicadas através dos consoles ♦ Possível autenticação entre sensores/consoles ♦ Reação – firecell signatures (firewall local) – reconfiguração de firewalls – encerramento de sessão – etc Grupo de Segurança - UFRGS 148
  149. 149. GSeg UFRGS RealSecure ♦ Permite a criação de scripts Tcl associados a assinaturas (SecureLogic) ♦ Permite a definição de assinaturas do usuário ♦ Permite a criação de filtros Grupo de Segurança - UFRGS 149
  150. 150. GSeg UFRGS NFR ♦ Network Flight Recorder ♦ Desenvolvida por Marcus Ranum (NFR Security) ♦ Ferramenta para análise de tráfego e posterior registro ♦ Versão comercial (completa) e de domínio público (reduzida) Grupo de Segurança - UFRGS 150
  151. 151. GSeg UFRGS NFR ♦ Arquitetura centralizada/hierárquica ♦ Dados coletados na rede ♦ Análise baseada em assinaturas e em conhecimento Grupo de Segurança - UFRGS 151
  152. 152. GSeg UFRGS NFR: estrutura Sensor Sensor NFR NFR Backend Backend Analisador Backend Analisador Backend Interface ... de Backend Backend Administração (AI) Gravador Gravador Servidor Central de Gerenciamento (CMS) Grupo de Segurança - UFRGS 152
  153. 153. GSeg UFRGS NFR ♦ Base mantida por terceiros ♦ Regras escritas em linguagem proprietária (N-Code), semelhante à C ♦ Geração de byte-codes ♦ Distribuição através de pacotes Grupo de Segurança - UFRGS 153
  154. 154. GSeg UFRGS Considerações Práticas
  155. 155. GSeg UFRGS Seleção e Implementação ♦ Escolha depende de cada caso ♦ Equívocos podem causar falsa sensação de segurança ♦ Importante o mapeamento da realidade computacional da organização Grupo de Segurança - UFRGS 155
  156. 156. GSeg UFRGS Seleção e Implementação ♦ Política de segurança – avaliar política existente – (re)definir política ♦ Integrar mecanismos de prevenção e detecção – firewalls – autenticação – recuperação – verificação Grupo de Segurança - UFRGS 156
  157. 157. GSeg UFRGS Seleção e Implementação ♦ Analisar detalhes técnicos – métodos de detecção e arquitetura – testes realizados por terceiros – nível de conhecimento para operação – possibilidade de expansão – suporte – integração com outros mecanismos – plataformas disponíveis – custo Grupo de Segurança - UFRGS 157
  158. 158. GSeg UFRGS Seleção e Implementação ♦ Criar ambiente de testes ♦ Distribuir corretamente os sensores de rede ♦ Instalar sensores de host Grupo de Segurança - UFRGS 158
  159. 159. GSeg UFRGS Distribuição de Sensores Grupo de Segurança - UFRGS 159
  160. 160. GSeg UFRGS Distribuição de Sensores ♦ Atrás do firewall externo – ver ataques externos que passaram do firewall – ver ataques direcionados à DMZ – analisar o tráfego de saída ♦ Depois do firewall externo – ver ataques direcionados à rede Grupo de Segurança - UFRGS 160
  161. 161. GSeg UFRGS Distribuição de Sensores ♦ Nos backbones – monitorar grandes qtdes de tráfego – detectar ataques internos ♦ Nas redes críticas – detectar ataques aos recursos críticos – permitir o foco nos recursos de maior valor Grupo de Segurança - UFRGS 161
  162. 162. GSeg UFRGS Sensores: problemas ♦ Tráfego criptografado ♦ Tráfego segmentado ♦ Tráfego de alta velocidade Grupo de Segurança - UFRGS 162
  163. 163. GSeg UFRGS Vulnerabilidades Conhecidas ♦ Falsos alarmes ♦ Negação de serviço (DoS) ♦ Tolerância a falhas ♦ Autenticação Grupo de Segurança - UFRGS 163
  164. 164. GSeg UFRGS Vulnerabilidades Conhecidas ♦ Desativação de ferramentas baseadas em host ♦ Inserção de tráfego – pacotes descartados pelo sistema alvo ♦ Evasão de tráfego – pacotes descartados pelo IDS Grupo de Segurança - UFRGS 164
  165. 165. GSeg UFRGS Subvertendo o IDS ♦ Procurando pela string “su root”. – e quanto à string “su me^H^Hroot” ? – e quanto à string “su<telnet option> root” ? – e quanto à string “alias blammo su”, e depois “blammo root” ? Grupo de Segurança - UFRGS 165
  166. 166. GSeg UFRGS Reconstruindo Fluxos ♦ Procurando pela string “USER root”. Basta procurar na porção de dados de pacotes TCP? USER root TCP: HDR USER HDR root IP: HDR HDR US HDR ER HDR HDR ro HDR ot É necessário remontar fragmentos e colocá-los em seqüência Grupo de Segurança - UFRGS 166
  167. 167. GSeg UFRGS Mais Fragmentos Suponha o seguinte ataque: 1. HDR HDR US 2. HDR ER 3. 1,000,000 fragmentos sem relação c/ o ataque 4. HDR HDR ro 5. HDR ot Grupo de Segurança - UFRGS 167
  168. 168. GSeg UFRGS Mais Fragmentos 1. HDR HDR US Seq. # 2. HDR ER Time 3a. HDR HDR ro 3b. HDR HDR fo 4. HDR ot O que considerar ( “USER root” ou “USER foot”)? Qual decisão será tomada pelo SO? Grupo de Segurança - UFRGS 168
  169. 169. GSeg UFRGS Aspectos Legais ♦ Interceptação telemática – C.F. Artigo 5º parágrafo XII ♦ Privacidade ♦ Documentar políticas Grupo de Segurança - UFRGS 169
  170. 170. GSeg UFRGS Conclusões
  171. 171. GSeg UFRGS Conclusões ♦ Aumento no nº de incidentes ♦ Despreparo dos profissionais da área ♦ Não existe segurança 100% ♦ Não existe solução completa Grupo de Segurança - UFRGS 171
  172. 172. GSeg UFRGS Conclusões ♦ IDS é mais um mecanismo útil ♦ Serve como suporte à tomada de decisões ♦ Vasto campo para novas pesquisas Grupo de Segurança - UFRGS 172
  173. 173. GSeg UFRGS Contatos Rafael Campello e-mail: campello@inf.ufrgs.br Raul Weber e-mail: weber@inf.ufrgs.br GSeg UFRGS e-mail: gseg@inf.ufrgs.br página: www.inf.ufrgs.br/~gseg Grupo de Segurança - UFRGS 173

×