Curso Superior de Tecnologia em Redes de Computadores Projeto Integrador II Seminário final T iago Pasa SERVIÇO NACIONAL DE APRENDIZAGEM.

Apresentação em tema: "Curso Superior de Tecnologia em Redes de Computadores Projeto Integrador II Seminário final T iago Pasa SERVIÇO NACIONAL DE APRENDIZAGEM."— Transcrição da apresentação:

1 Curso Superior de Tecnologia em Redes de Computadores Projeto Integrador II Seminário final T iago Pasa tiagopasa@hotmail.com SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL FACULDADE DE TECNOLOGIA SENAC PELOTAS

2 IDS – Sistema de Detecção de Intrusão Sistema de Detecção de Intrusão - IDS Tiago Pasa 2

3 Sumário o Introdução oIncidentes o Objetivos o Projeto oIDS oTopologia oSegurança oTestes oResultados oConclusões o Referências Bibliográficas o Wiki o Anexos 3

4 Introdução Por que implementar um IDS? o Crescimento contínuo de incidentes relacionados à segurança da informação; o Detectar varreduras de portas e tentativas de acesso; o Manter a segurança, integridade e confidencialidade das informações; o Identificar acessos externos e internos não autorizados; o Monitoramento constante da rede e servidores que proveem serviços diversos. 4

5 Introdução oIncidentes de segurança 5

6 Objetivos o Testar softwares livres de detecção de intrusão em sistema operacional Linux; o Realizar testes em diferentes cenários; o Verificar a eficiência das ferramentas. 6

7 Projeto o OSSEC (HIDS - Host-based Intrusion Detection System) oOpen source; oBaseado em host; oPode trabalhar como cliente-servidor; oCapaz de monitorar integridade de arquivos, detectar rootkits, resposta automática de incidentes; oPlataformas Linux, Solaris, AIX, HP-UX, BSD, Windows, MacOS X e Vmware ESX. 7

8 Projeto o Snort (IDS/IPS - Network intrusion prevention and detection system). oOpen source; oBaseado em rede; oCapaz de detectar em tempo real quando um ataque está sendo realizado na rede; oPlataformas Linux,BSD, Windows, MacOS X. 8

9 Projeto o Todos cenários de testes foram idealizados sob ambiente virtualizado com VMWare. 9

10 Projeto oRelatórios e estatísticas oOSSEC – (Web User Interface) o BASE – (Basic Analysis and Security Engine) 10

11 Projeto 11 o Topologia do ambiente DROP Ports 25,587 forward output

12 Projeto o Segurança do ambiente oOVISLINK ROUTER; oIsolar a rede com dispositivos pessoais; oBloquear as portas 25, 587 para evitar envio de spam, a partir do servidor com OSSEC. 12

13 Testes o Cenário 1 OSSEC (HIDS - Host-based Intrusion Detection System ) oResposta ativa oVárias tentativas de autenticação via SSH, HTTP. oIntegridade oAlteração de arquivos de configuração do sistema e serviços. oAnormalidades no sistema oAlterado um usuário comum para id de root. 13

14 o Cenário 2 SNORT (IDS/IPS - Network intrusion prevention and detection system) oExecutando e monitorando a rede na interface eth0 oDetecção de scaneamento de portas oNmap oUDP flood oScript de flood oICMP Excessive oHping3 14 Testes SIP? Falso positivo!

15 Testes o Cenário 3 OSSEC (HIDS) + Snort (NIDS) oServidor OSSEC com função de honeypot; oServidor Snort com função monitorar a rede; oPortas abertas para internet oSSH: 22 oTELNET: 23 oAPACHE: 80, 8080 oFTP: 20, 21 oAlterado senha de root com senhas inadequadas para facilitar acesso de um atacante e posteriormente monitorá-lo. ouser: root password: root / 12345 / admin ouser: admin password: admin 15

16 Testes o Cenário 3 OSSEC (HIDS) + Snort (NIDS) oDuas semanas exposto na Internet; oAtaques de brute-force na porta do SSH. oOrigem dos ataques? oVários países, China, Estados Unidos e Turquia. oMadrugada terceira semana, sistema invadido! 16

17 Testes 17

18 Testes 18 o Cenário 3 oSistema invadido oComandos executados... oLogs? oHistory? oNada DROP Ports 25,587 forward output

19 Testes o Cenário 3 19

20 Testes 20

21 Testes o Cenário 3 21

22 Testes o Cenário 3 22

23 Resultados 23

24 24 Conclusões o O sistema OSSEC mostrou-se de grande eficiência nas funcionalides que a ferramenta se propõe. Conseguiu detectar diversos ataques e eventos no host que foi instalado. o O Snort também cumpriu seu papel, detectando pacotes UDP e ICMP anormais na rede gerados pelo script de flood e Hping3, identificou varreduras de portas realizadas com a ferramenta Nmap e port scans realizados pelos invasores tanto para rede local como para hosts externos.

25 25 Conclusões o Pode-se concluir que as duas ferramentas propostas para análise conseguiram realizar um trabalho em conjunto, detectando vários problemas e riscos relacionados à segurança de sistemas, que podem ocorrer em um ambiente corporativo. o Enquanto uma atuava verificando os eventos que estavam ocorrendo no host, a outra complementava, verificando o tráfego malicioso no perímetro de rede do ambiente de testes.

26 26 Conclusões Snort + OSSEC Quais BENEFÍCIOS das duas ferramentas? Tentativas de acesso não autorizados; Tentativa de brute-force em serviços SSH / Telnet; Monitorar acessos efetuados com sucesso; Mudança em arquivos de configuração dos sistema; Tentativa de fingerprint; Varredura de portas; Monitorar e detectar tentativas de ataques de Denial-of-Service (DoS Attack).

27 Referências Bibliográficas o CERT (2014). Disponível em: http://cartilha.cert.br/. Acesso em: 10 junho. 2014. o CTIR (2014). Disponível em: http://www.ctir.gov.br/. Acesso em: 10 junho. 2014. o DIÓGENES, Yuri. MAUSER, Daniel. Certificação Security+. Novaterra Editora Ltda. ISBN 978-8561893-03-3. o IPTABLES (2014). Disponível em: http://www.iptables.org/. Acesso em: 17 maio. 2014. o MORAES, Alexandre Fernandes de. Segurança em Redes: Fundamentos. Editora Érica Ltda, 2010. ISBN 978-85- 365-0325-7. o NAKAMURA, Emílio Tissato. GEUS, Paulo Lício de. Segurança de Redes em ambientes Cooperativos. Novatec Editora, 2007. ISBN 978-85-7522-136-5. o NETFILTER (2014). Disponível em: http://www.netfilter.org/. Acesso em: 17 maio. 2014. o OSSEC (2014). Disponível em: http://www.ossec.net/. Acesso em: 18 março 2014. o SNOOPY (2014). Disponível em: http://sourceforge.net/projects/snoopylogger/. Acesso em: 2 junho 2014. o SNORT (2014). Disponível em: http://www.snort.org/. Acesso em: 18 março 2014. o SYSLOG (2014). Disponível em: http://www.syslog-ng.org/. Acesso em: 3 junho 2014. 27

28 Wiki o Projeto Integrador II 2014-1 Projeto 03 (Link externo) Projeto Integrador II 2014-1 Projeto 03 o Projeto Integrador II 2014-1 Projeto 03 (Link interno) Projeto Integrador II 2014-1 Projeto 03 28

29 Anexos 29

30 Anexos 30

31 Anexos 31

32 Anexos 32

33 Anexos 33

34 Anexos 34

35 Anexos 35