Carregar apresentação
A apresentação está carregando. Por favor, espere
PublicouJennifer Danca Alterado mais de 9 anos atrás
2
Seminário: Network Defense Tools Osmany Barros de Freitas obf@cin.ufpe.br
3
Motivação Tipos de Defesa Prevenção de Intrusos – Firewall – Traffic Shaping Detecção de Intrusos –Tripwire –HijackThis –Nessus Referências Roteiro
4
Devido ao grande alarme de ataques e invasões de vândalos, muitas pessoas receiam deixar seus computadores diretamente ligados à internet Motivação Administrar uma rede segura nunca foi tão desafiador
5
Defesas Externas –IPS, IDS Proteger a rede e os hosts Manter ameaças externas longe da rede interna Defesas Internas –Anti-Vírus, Anti-Spyware Proteger os hosts Tipos de Defesas
6
IDS Sistema de Detecção de Intruso ( Passivo) –Sistema utilizado para manipular tráfegos maliciosos que não são detectados por um firewall convencional. Vulnerabilidades no sistema Elevação de privilégios Login não autorizado Malware
7
Sistema de Prevenção de Intruso(Reativo) –Sistema que pratica o controle de acesso protegendo computadores de exploração. Bastante similar ao IDS, mas além de detectar tráfego suspeito, é capaz de tratá-lo. –Os IPS´s são usados para compor os sistemas de Firewall IPS
8
Sistema de Detecção de Intruso –Apenas grava logs registrando atividades suspeitas Sistema de Prevenção de Intruso –Reage mediante uma situação adversa Ou seja...
9
Prevenção de Intrusos
10
Firewall Sistema que aplica políticas de segurança para restringir passagem apenas de tráfego autorizado Cria um perímetro de defesa para proteger a rede interna
11
Funcionamento Básico Age como uma barreira que controla o tráfego entre duas redes. Firewall Rede LocalInternet
12
Permite criar um ponto de controle único, impedindo acessos não autorizados e recusando serviços e dados vulneráveis saiam da rede Monitorar a rede, alertas de invasão em apenas um ponto da rede Firewall - Vantagens
13
Manipulação maliciosa de dados por usuários internos Não impede proliferação de vírus Ataques acionados por dados que são recebidos via e-mail, por exemplo, onde sua execução dispara alterações em arquivos de segurança do sistema, tornando-o vulnerável Firewall - Limitações
14
Firewall - Windows http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php
15
Symantec Security Check –http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym Audit My PC Firewall Test –http://www.auditmypc.com/firewall-test.asp Gibson Research Corporation-Internet Vulnerability Test –https://www.grc.com/x/ne.dll?bh0bkyd2 PC Flank's tests –http://www.pcflank.com/about.htm HackerWatch firewall tests –http://www.hackerwatch.org/probe/ Hacker Whacker free tests –http://theta.hackerwhacker.com/freetools.php Look 'n' Stop - Internet security Test –http://www.soft4ever.com/security_test/En/ Firewall - Testes na Web
16
Técnica para controlar o tráfego na rede provendo otimização e garantia de performance Bastante utilizado por provedores de acesso para melhoria de seus serviços Traffic Shaping
17
O Firewall –Libera ou bloquea o tráfego Traffic Shaping –Limita, condiciona o tráfego Classificação Filas Políticas de esforço QoS Traffic Shaping
18
Como controlar o tráfego de compartilhadores P2P ?
19
Clasifica e analiza o tráfego –Classificando IP e porta Controla Tráfego –Selecionando faixas de banda para classes Monitora performance da rede –Coleta dados e aplica políticas Traffic Shaping
20
Exemplo: Firewall – Traffic Shaping
21
O Linux possui um Framework em seu Kernel funcionalidades de controle de pacotes que permitem a configuração de Firewall. Nas versões até 2.2 do Kernel é chamado de ipchains, mas a partir da 2.4 é chamado de Netfilter (iptables ) Firewall - Linux
22
Vamos mostrar como é possível configurar um Firewall utilizando as linhas de comando para configurar os módulos do Kernel Exemplo - Firewall
23
Os tipos de tráfego permitidos serão agrupados em 4 grupos: Exemplo: Firewall Linux ICMP DNS TCP ( tráfego comum ) Email P2P WWW ( http ) Grupo 1 Grupo 2 Grupo 3 Grupo 4
24
Alterando as configurações do kernel do linux, é possível, com poucas instruções, configurar seu firewall e aplicar técnicas de Traffic Shaping. Para isso utilizamos algumas linhas de comando para montar um script que descreve a configuração do nosso firewall Exemplo: Firewall Linux
25
# Limpa as regras anteriores /sbin/ipchains -F input /sbin/ipchains -F output /sbin/ipchains -F forward # Bloquea todo acesso /sbin/ipchains -P input DENY /sbin/ipchains -P output DENY /sbin/ipchains -P forward DENY # Permite tráfego icmp e marca como grupo 1 /sbin/ipchains -A input -p ICMP -i ppp+ -j ACCEPT -m 1 /sbin/ipchains -A output -p ICMP -i ppp+ -j ACCEPT -m 1 /sbin/ipchains -A input -y -p tcp -i ppp+ -j ACCEPT -m 1 # Libera tráfego de email e marca como grupo 2 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 smtp -d 0/0 –j ACCEPT -m 2 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 pop3 -d 0/0 –j ACCEPT -m 2 # Configura acesso p2p na porta 6699 e marca como grupo 3 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 6699 -d 0/0 –j ACCEPT -m 3 /sbin/ipchains -A input -p tcp -i ppp+ -s 0/0 -d 0/0 6699 –j ACCEPT -m 3 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 nntp -d 0/0 –j ACCEPT -m 3 # Permite acesso www e https como grupo 4 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 www -d 0/0 –j ACCEPT -m 4 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 https -d 0/0 –j ACCEPT -m 4 Exemplo: Firewall Linux
26
Normalmente o TCP/IP no Linux tenta dividir a largura de banda com todas as conexões existentes. –Significa que se houver 49 conexões P2P e 1 para web, esta terá apenas 2% da banda. Com Traffic Shaping podemos organizar essa distribuição do TCP/IP Exemplo: Traffic Shaping
27
Esse controle concede proteção contra ataques DoS, uma vez que firewall simples não protege contra SYN floods e ICMP floods. Importante: Esse controle não evita que o ataque seja efetuado, mas diminui os estragos provocados pelo mesmo Exemplo: Traffic Shaping
28
70% HTTP/HTTPS 20% SMTP/POP3 5% P2P 5% ICMP/TCP-SYN A figura ilustra o comportamento que queremos definir no nosso exemplo:
29
Primeiro Grupo: ICMP, TCP-SYN, DNS receberá 5% da banda total (64*0.05=3.2): add_class 10:1 10:100 3.2kbit 0.32kbit 1 bounded Segundo grupo SMTP,POP3 utilizará 20% do total da banda add_class 10:1 10:200 12.8kbit 1.28kbit 2 Terceiro grupo: P2P terá direito a 5% da banda add_class 10:1 10:300 3.2kbit 0.32kbit 3 Finalmente o quarto grupo: Http / Https receberá 70% de banda add_class 10:1 10:400 44.8kbit 4.48kbit 4 Exemplo: Traffic Shaping
30
Traffic Shaping - Firewall Muitos programas gráficos para Linux transcrevem em comandos, como os mostrados no exemplo, a configuração definida pelo usuário via interface
31
Detecção de Intrusos
32
Detecção de Instrusos Analisam os pacotes da rede comparando-os com assinaturas já prontas de ataque Monitoram arquivos dos sistema em busca de modificações suspeitas É capaz de trazer informações da rede como: – Quantas tentativas de ataques sofremos por dia; – Qual tipo de ataque foi usado; – Qual a origem dos ataques;
33
Classificação de IDS NIDS - Sistemas de Detecção de Intrusão de Rede –Os ataques são capturados e analisados através de pacotes da rede –Monitoram múltiplas estações através de sensores espalhados pela rede –Dificuldade pra processar dados em grandes redes e dados criptografados
34
Classificação de IDS HIDS - Sistemas de Detecção de Intrusão de Host –Operam sobre informações coletadas em computadores individuais –Por operar diretamente nas estações, é capaz de ver as conseqüências do ataque –Porém requer que cada máquina seja configurada e não detecta ataques em outras estações
35
Ataque Padrão O invasor: –Obtém acesso ao sistema –Adquire acesso root –Modifica o sistema pra instalar backdoor –Usa o backdoor para futuras atividades –Apaga rastros ( possivelmente )
36
Tripwire Basea-se em guardar informações sobre a estrutura dos arquivos no sistema. Realiza comparações com uma base de dados e reporta problemas se houver diferenças
37
Tripwire
38
Hijack This Programa que verifica processos ativos e entradas suspeitas no Windows, ajudando a identificar malwares em geral Através dele é gerado um log que possibilita identificar
39
Hijack This Inicialmente o usuário roda a aplicação realizando um scan
40
Hijack This O log é gerado e salvo num arquivo:
41
Hijack This Analizador de logs gratuito no site do programa: http://hijackthis.de
42
Hijack This Trecho do resultado da análise do log: Observe que qualquer processo suspeito é imediatamente avisado ao usuário
43
Nessus Programa de verificação de falhas/vulnerabilidades de segurança. Composto por um cliente e servidor ( este serve para realizar o scan no cliente ) Ele realiza uma varredura de portas, detectando servidores ativos e simulando invasões para detectar vulnerabilidades
44
Nessus Há 3 níveis de alerta: – O mais grave indica que há uma brecha de segurança em um servidor ativo da máquina. –O segundo informa que há um serviço potencialmente inseguro numa determinada porta –O último nível é apenas aviso mostrando que há um servidor ativo e que está sem falha de segurança
45
Nessus O nessus: –Aponta as falhas –Oferece uma descrição detalhada da vulnerabilidade –Aponta uma solução
46
Nessus 1- Resultado da avaliação 2- Descrição do problema 3- Solução
47
Referências http://en.wikipedia.org/wiki/Main_Page http://linhadefensiva.uol.com.br/forum http://www.forum-invasao.com.br http://www.securityfocus.com/infocus/1285 http://crypto.stanford.edu/cs155/IDSpaper.pdf http://www.hijackthis.de http://www.nessus.org
48
Obrigado
Apresentações semelhantes
© 2024 SlidePlayer.com.br Inc.
All rights reserved.