A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Seminário: Network Defense Tools Osmany Barros de Freitas

PublicouJennifer Danca Alterado mais de 9 anos atrás

Apresentações semelhantes

Apresentação em tema: "Seminário: Network Defense Tools Osmany Barros de Freitas"— Transcrição da apresentação:

1

2 Seminário: Network Defense Tools Osmany Barros de Freitas obf@cin.ufpe.br

3 Motivação Tipos de Defesa Prevenção de Intrusos – Firewall – Traffic Shaping Detecção de Intrusos –Tripwire –HijackThis –Nessus Referências Roteiro

4 Devido ao grande alarme de ataques e invasões de vândalos, muitas pessoas receiam deixar seus computadores diretamente ligados à internet Motivação Administrar uma rede segura nunca foi tão desafiador

5 Defesas Externas –IPS, IDS Proteger a rede e os hosts Manter ameaças externas longe da rede interna Defesas Internas –Anti-Vírus, Anti-Spyware Proteger os hosts Tipos de Defesas

6 IDS Sistema de Detecção de Intruso ( Passivo) –Sistema utilizado para manipular tráfegos maliciosos que não são detectados por um firewall convencional. Vulnerabilidades no sistema Elevação de privilégios Login não autorizado Malware

7 Sistema de Prevenção de Intruso(Reativo) –Sistema que pratica o controle de acesso protegendo computadores de exploração. Bastante similar ao IDS, mas além de detectar tráfego suspeito, é capaz de tratá-lo. –Os IPS´s são usados para compor os sistemas de Firewall IPS

8 Sistema de Detecção de Intruso –Apenas grava logs registrando atividades suspeitas Sistema de Prevenção de Intruso –Reage mediante uma situação adversa Ou seja...

9 Prevenção de Intrusos

10 Firewall Sistema que aplica políticas de segurança para restringir passagem apenas de tráfego autorizado Cria um perímetro de defesa para proteger a rede interna

11 Funcionamento Básico Age como uma barreira que controla o tráfego entre duas redes. Firewall Rede LocalInternet

12 Permite criar um ponto de controle único, impedindo acessos não autorizados e recusando serviços e dados vulneráveis saiam da rede Monitorar a rede, alertas de invasão em apenas um ponto da rede Firewall - Vantagens

13 Manipulação maliciosa de dados por usuários internos Não impede proliferação de vírus Ataques acionados por dados que são recebidos via e-mail, por exemplo, onde sua execução dispara alterações em arquivos de segurança do sistema, tornando-o vulnerável Firewall - Limitações

14 Firewall - Windows http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php

15 Symantec Security Check –http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym Audit My PC Firewall Test –http://www.auditmypc.com/firewall-test.asp Gibson Research Corporation-Internet Vulnerability Test –https://www.grc.com/x/ne.dll?bh0bkyd2 PC Flank's tests –http://www.pcflank.com/about.htm HackerWatch firewall tests –http://www.hackerwatch.org/probe/ Hacker Whacker free tests –http://theta.hackerwhacker.com/freetools.php Look 'n' Stop - Internet security Test –http://www.soft4ever.com/security_test/En/ Firewall - Testes na Web

16 Técnica para controlar o tráfego na rede provendo otimização e garantia de performance Bastante utilizado por provedores de acesso para melhoria de seus serviços Traffic Shaping

17 O Firewall –Libera ou bloquea o tráfego Traffic Shaping –Limita, condiciona o tráfego Classificação Filas Políticas de esforço QoS Traffic Shaping

18 Como controlar o tráfego de compartilhadores P2P ?

19 Clasifica e analiza o tráfego –Classificando IP e porta Controla Tráfego –Selecionando faixas de banda para classes Monitora performance da rede –Coleta dados e aplica políticas Traffic Shaping

20 Exemplo: Firewall – Traffic Shaping

21 O Linux possui um Framework em seu Kernel funcionalidades de controle de pacotes que permitem a configuração de Firewall. Nas versões até 2.2 do Kernel é chamado de ipchains, mas a partir da 2.4 é chamado de Netfilter (iptables ) Firewall - Linux

22 Vamos mostrar como é possível configurar um Firewall utilizando as linhas de comando para configurar os módulos do Kernel Exemplo - Firewall

23 Os tipos de tráfego permitidos serão agrupados em 4 grupos: Exemplo: Firewall Linux ICMP DNS TCP ( tráfego comum ) Email P2P WWW ( http ) Grupo 1 Grupo 2 Grupo 3 Grupo 4

24 Alterando as configurações do kernel do linux, é possível, com poucas instruções, configurar seu firewall e aplicar técnicas de Traffic Shaping. Para isso utilizamos algumas linhas de comando para montar um script que descreve a configuração do nosso firewall Exemplo: Firewall Linux

25 # Limpa as regras anteriores /sbin/ipchains -F input /sbin/ipchains -F output /sbin/ipchains -F forward # Bloquea todo acesso /sbin/ipchains -P input DENY /sbin/ipchains -P output DENY /sbin/ipchains -P forward DENY # Permite tráfego icmp e marca como grupo 1 /sbin/ipchains -A input -p ICMP -i ppp+ -j ACCEPT -m 1 /sbin/ipchains -A output -p ICMP -i ppp+ -j ACCEPT -m 1 /sbin/ipchains -A input -y -p tcp -i ppp+ -j ACCEPT -m 1 # Libera tráfego de email e marca como grupo 2 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 smtp -d 0/0 –j ACCEPT -m 2 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 pop3 -d 0/0 –j ACCEPT -m 2 # Configura acesso p2p na porta 6699 e marca como grupo 3 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 6699 -d 0/0 –j ACCEPT -m 3 /sbin/ipchains -A input -p tcp -i ppp+ -s 0/0 -d 0/0 6699 –j ACCEPT -m 3 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 nntp -d 0/0 –j ACCEPT -m 3 # Permite acesso www e https como grupo 4 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 www -d 0/0 –j ACCEPT -m 4 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 https -d 0/0 –j ACCEPT -m 4 Exemplo: Firewall Linux

26 Normalmente o TCP/IP no Linux tenta dividir a largura de banda com todas as conexões existentes. –Significa que se houver 49 conexões P2P e 1 para web, esta terá apenas 2% da banda. Com Traffic Shaping podemos organizar essa distribuição do TCP/IP Exemplo: Traffic Shaping

27 Esse controle concede proteção contra ataques DoS, uma vez que firewall simples não protege contra SYN floods e ICMP floods. Importante: Esse controle não evita que o ataque seja efetuado, mas diminui os estragos provocados pelo mesmo Exemplo: Traffic Shaping

28 70% HTTP/HTTPS 20% SMTP/POP3 5% P2P 5% ICMP/TCP-SYN A figura ilustra o comportamento que queremos definir no nosso exemplo:

29 Primeiro Grupo: ICMP, TCP-SYN, DNS receberá 5% da banda total (64*0.05=3.2): add_class 10:1 10:100 3.2kbit 0.32kbit 1 bounded Segundo grupo SMTP,POP3 utilizará 20% do total da banda add_class 10:1 10:200 12.8kbit 1.28kbit 2 Terceiro grupo: P2P terá direito a 5% da banda add_class 10:1 10:300 3.2kbit 0.32kbit 3 Finalmente o quarto grupo: Http / Https receberá 70% de banda add_class 10:1 10:400 44.8kbit 4.48kbit 4 Exemplo: Traffic Shaping

30 Traffic Shaping - Firewall Muitos programas gráficos para Linux transcrevem em comandos, como os mostrados no exemplo, a configuração definida pelo usuário via interface

31 Detecção de Intrusos

32 Detecção de Instrusos Analisam os pacotes da rede comparando-os com assinaturas já prontas de ataque Monitoram arquivos dos sistema em busca de modificações suspeitas É capaz de trazer informações da rede como: – Quantas tentativas de ataques sofremos por dia; – Qual tipo de ataque foi usado; – Qual a origem dos ataques;

33 Classificação de IDS NIDS - Sistemas de Detecção de Intrusão de Rede –Os ataques são capturados e analisados através de pacotes da rede –Monitoram múltiplas estações através de sensores espalhados pela rede –Dificuldade pra processar dados em grandes redes e dados criptografados

34 Classificação de IDS HIDS - Sistemas de Detecção de Intrusão de Host –Operam sobre informações coletadas em computadores individuais –Por operar diretamente nas estações, é capaz de ver as conseqüências do ataque –Porém requer que cada máquina seja configurada e não detecta ataques em outras estações

35 Ataque Padrão O invasor: –Obtém acesso ao sistema –Adquire acesso root –Modifica o sistema pra instalar backdoor –Usa o backdoor para futuras atividades –Apaga rastros ( possivelmente )

36 Tripwire Basea-se em guardar informações sobre a estrutura dos arquivos no sistema. Realiza comparações com uma base de dados e reporta problemas se houver diferenças

37 Tripwire

38 Hijack This Programa que verifica processos ativos e entradas suspeitas no Windows, ajudando a identificar malwares em geral Através dele é gerado um log que possibilita identificar

39 Hijack This Inicialmente o usuário roda a aplicação realizando um scan

40 Hijack This O log é gerado e salvo num arquivo:

41 Hijack This Analizador de logs gratuito no site do programa: http://hijackthis.de

42 Hijack This Trecho do resultado da análise do log: Observe que qualquer processo suspeito é imediatamente avisado ao usuário

43 Nessus Programa de verificação de falhas/vulnerabilidades de segurança. Composto por um cliente e servidor ( este serve para realizar o scan no cliente ) Ele realiza uma varredura de portas, detectando servidores ativos e simulando invasões para detectar vulnerabilidades

44 Nessus Há 3 níveis de alerta: – O mais grave indica que há uma brecha de segurança em um servidor ativo da máquina. –O segundo informa que há um serviço potencialmente inseguro numa determinada porta –O último nível é apenas aviso mostrando que há um servidor ativo e que está sem falha de segurança

45 Nessus O nessus: –Aponta as falhas –Oferece uma descrição detalhada da vulnerabilidade –Aponta uma solução

46 Nessus 1- Resultado da avaliação 2- Descrição do problema 3- Solução

47 Referências http://en.wikipedia.org/wiki/Main_Page http://linhadefensiva.uol.com.br/forum http://www.forum-invasao.com.br http://www.securityfocus.com/infocus/1285 http://crypto.stanford.edu/cs155/IDSpaper.pdf http://www.hijackthis.de http://www.nessus.org

48 Obrigado

Carregar ppt "Seminário: Network Defense Tools Osmany Barros de Freitas"

Apresentações semelhantes

Disciplina deTópicos em Engenharia de Computação

Disciplina deTópicos em Engenharia de Computação
Pode ser uma máquina emulada ou uma máquina real na rede.

Pode ser uma máquina emulada ou uma máquina real na rede.
Firewalls IDS profa_samaris@yahoo.com.br.

Firewalls IDS
Sistema de Detecção de Intrusão.

Sistema de Detecção de Intrusão.
Ferramentas de Auditoria

Ferramentas de Auditoria
Firewall Campus Cachoeiro Curso Técnico em Informática

Firewall Campus Cachoeiro Curso Técnico em Informática
Professor: João Paulo de Brito Gonçalves Curso Técnico de Informática

Professor: João Paulo de Brito Gonçalves Curso Técnico de Informática
AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO

AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO
Mecanismo de Proteção (Prevenção e Detecção)

Mecanismo de Proteção (Prevenção e Detecção)
Segurança de Perímetro

Segurança de Perímetro
Sistemas de Detecção de Intrusão

Sistemas de Detecção de Intrusão
FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri

FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri
Segurança em Redes Elmar Melcher

Segurança em Redes Elmar Melcher
GERENCIAMENTO DE REDES

GERENCIAMENTO DE REDES
Curso Técnico em Manutenção e Suporte em Informática

Curso Técnico em Manutenção e Suporte em Informática
Internet e Intranet A Internet é um conglomerado de redes em escala mundial de milhões de computadores interligados pelo Protocolo de Internet que permite.

Internet e Intranet A Internet é um conglomerado de redes em escala mundial de milhões de computadores interligados pelo Protocolo de Internet que permite.
Desenvolvimento de estratégias de segurança e gerência

Desenvolvimento de estratégias de segurança e gerência
Firewall.

Firewall.
Segurança Completa, como nehuma outra solução tem.

Segurança Completa, como nehuma outra solução tem.
TCP/IP básico e outros protocolos

TCP/IP básico e outros protocolos

Apresentações semelhantes

Anúncios Google