A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Criptografia e Segurança de Redes Capítulo 18 4ª Edição por William Stallings Slides para palestra por Lawrie Brown Traduzido por Otavio Moreira.

Apresentações semelhantes


Apresentação em tema: "Criptografia e Segurança de Redes Capítulo 18 4ª Edição por William Stallings Slides para palestra por Lawrie Brown Traduzido por Otavio Moreira."— Transcrição da apresentação:

1 Criptografia e Segurança de Redes Capítulo 18 4ª Edição por William Stallings Slides para palestra por Lawrie Brown Traduzido por Otavio Moreira

2 Capítulo 18 – Intrusos Eles concordaram que Graham deveria definir o teste para Charles Mabledene. Nada mais, nada menos do que Dragon deveria obter o código de Stern. Se ele tivesse a entrada em Utting, que afirmou ter, isso deveria ser possível, e somente a lealdade a Central de Moscou impediria isso. Se ele tivesse a chave para o código, provaria sua lealdade à Central de Londres sem sombra de dúvida. Talking to Strange Men, Ruth RendellTalking to Strange Men, Ruth Rendell

3 Intrusos Uma questão importante para sistemas em rede são acessos hostis ou indesejados Uma questão importante para sistemas em rede são acessos hostis ou indesejados Seja via rede ou local Seja via rede ou local Podemos indentificar os intrusos por classes: Podemos indentificar os intrusos por classes: Mascarado (masquerader) Mascarado (masquerader) Infrator (misfeasor) Infrator (misfeasor) Usuário clandestino (clandestine user) Usuário clandestino (clandestine user) Com níveis de competência diferentes Com níveis de competência diferentes

4 Intrusos Claramente um problema com publicidade crescente Claramente um problema com publicidade crescente de Wily Hacker em 1986/87 de Wily Hacker em 1986/87 to clearly escalating CERT stats to clearly escalating CERT stats Podem ser benignos, mas continuam consumindo recursos Podem ser benignos, mas continuam consumindo recursos Podem utilizar sistema comprometido para lançar outros ataques Podem utilizar sistema comprometido para lançar outros ataques Consciência dos invasores levou ao desenvolvimento da CERT Consciência dos invasores levou ao desenvolvimento da CERT

5 Técnicas de Intrusão O objetivo é obter acesso e/ou aumentar privilégios em um sistema O objetivo é obter acesso e/ou aumentar privilégios em um sistema Metodologia básica de ataque Metodologia básica de ataque Adquiri um alvo e recolher informações Adquiri um alvo e recolher informações Acesso inicial Acesso inicial Aumentar os privilégios Aumentar os privilégios covering tracks (cobrindo faixas?) covering tracks (cobrindo faixas?) O objetivo principal é,geralmente, a aquisição de senhas. O objetivo principal é,geralmente, a aquisição de senhas. Então exerce o direito do proprietário Então exerce o direito do proprietário

6 Adivinhando Senhas Um dos ataques mais comuns Um dos ataques mais comuns Invasor conhece um login (de /web page etc) Invasor conhece um login (de /web page etc) Depois tenta adivinhar uma senha para ele Depois tenta adivinhar uma senha para ele defaults, palavras pequenas, palavras muito procuradas defaults, palavras pequenas, palavras muito procuradas Informações do usuário (variações no nome, aniversário, telefone, interesses/palavras comuns) Informações do usuário (variações no nome, aniversário, telefone, interesses/palavras comuns) Tentar exaustivamente todas as senhas possíveis Tentar exaustivamente todas as senhas possíveis Checar pelo login ou contra arquivos de senha roubados Checar pelo login ou contra arquivos de senha roubados Sucesso depende da senha escolhida pelo usuário Sucesso depende da senha escolhida pelo usuário Inquéritos mostram que muitos usuários escolhem mal Inquéritos mostram que muitos usuários escolhem mal

7 Capturando Senha Outro ataque envolve captura de senha Outro ataque envolve captura de senha Fazer verificação de tráfico pra ver quando a senha é digitada Fazer verificação de tráfico pra ver quando a senha é digitada Usar um programa cavalo de tróia para coletar Usar um programa cavalo de tróia para coletar Monitorar uma rede insegura de login Monitorar uma rede insegura de login ex. telnet, FTP, web, ex. telnet, FTP, web, Extrair informações gravadas depois de obter êxito no login (histórico da web/cache, último número discado etc) Extrair informações gravadas depois de obter êxito no login (histórico da web/cache, último número discado etc) Usando login/senha válidos podemos fingir ser um usuário Usando login/senha válidos podemos fingir ser um usuário Usuários precisam ser educados a utilizar precauções adequadas Usuários precisam ser educados a utilizar precauções adequadas

8 Detecção de Intrusão Inevitavelmente haverá falhas de seguraça Inevitavelmente haverá falhas de seguraça Por isso precisamos também detectar as intrusões então podemos: Por isso precisamos também detectar as intrusões então podemos: Bloquear se a detecção for rápida Bloquear se a detecção for rápida Agir como uma proteção Agir como uma proteção Coletar informações para aperfeiçoar a segurança Coletar informações para aperfeiçoar a segurança Presumir que o intruso terá o comportamento diferente do usuário legítimo Presumir que o intruso terá o comportamento diferente do usuário legítimo Mas haveria distinção imperfeita entre eles(?) Mas haveria distinção imperfeita entre eles(?)

9 Abordagens para Detecção de Intrusão Detecção estatística de anomalia Detecção estatística de anomalia Detecção de limiar Detecção de limiar Baseada em perfil Baseada em perfil Detecção baseada em regras Detecção baseada em regras Detecção de anomalia Detecção de anomalia Identificação de penetração Identificação de penetração

10 Registros de Auditoria Ferramenta fundamental para a Detecção de Intrusão Ferramenta fundamental para a Detecção de Intrusão Registros de auditoria navitos Registros de auditoria navitos Parte de todo SO multiusuário comum Parte de todo SO multiusuário comum Já presente para uso Já presente para uso Talvez não tenha a informação requerida em um formato conveniente Talvez não tenha a informação requerida em um formato conveniente Registros de auditoria específicos para detecção Registros de auditoria específicos para detecção Criado especificamente para coletar informações requeridas Criado especificamente para coletar informações requeridas Custo de um overhead extra no sistema Custo de um overhead extra no sistema

11 Detecção Estatística de Anomalia Análise de limiar Análise de limiar Conta ocorrências de um evento específico ao longo do tempo Conta ocorrências de um evento específico ao longo do tempo Se exceder um valor razoável supõe-se que seja intrusão Se exceder um valor razoável supõe-se que seja intrusão Sozinho é um detector imperfeito e ineficaz Sozinho é um detector imperfeito e ineficaz Baseada em perfil Baseada em perfil Caracterizado no comportamento passado dos usuários Caracterizado no comportamento passado dos usuários Detectar desvios significativos a partir destes Detectar desvios significativos a partir destes Perfil normalmente possui multiparâmetros Perfil normalmente possui multiparâmetros

12 Análise dos Registros de Auditoria Fundamento das estatísticas de abordagem Fundamento das estatísticas de abordagem Analize dos registros para obter métricas ao longo do tempo Analize dos registros para obter métricas ao longo do tempo contador, medidor, temporizador de intervalo, utlização de recursos contador, medidor, temporizador de intervalo, utlização de recursos Utiliza vários testes para determinar se o comportamento corrente é aceitável Utiliza vários testes para determinar se o comportamento corrente é aceitável média e desvio padrão, multivariado, processo de Markov, séries de tempo, operacional média e desvio padrão, multivariado, processo de Markov, séries de tempo, operacional principal vantagem é que nenhum conhecimento prévio é utilizado principal vantagem é que nenhum conhecimento prévio é utilizado

13 Detecção de Intrusão Baseada em Regras Observa eventos no sistema e aplica regras para decidir se é atividade suspeita ou não Observa eventos no sistema e aplica regras para decidir se é atividade suspeita ou não Detecção de anomalia baseada em regras Detecção de anomalia baseada em regras Analisa registros históricos de auditoria para identificar habitos de consumos e geração automática de regras por eles Analisa registros históricos de auditoria para identificar habitos de consumos e geração automática de regras por eles Então observa o comportamento atua e compara com as regras para ver se confirma Então observa o comportamento atua e compara com as regras para ver se confirma Como a detecção de anomalia por estatística não requer conhecimento prévio das falhas de segurança Como a detecção de anomalia por estatística não requer conhecimento prévio das falhas de segurança

14 Detecção de Intrusão Baseada em Regras Identificação de Penetração Baeada em Regras Identificação de Penetração Baeada em Regras Usa tecnologia de um sistema especialista Usa tecnologia de um sistema especialista Com as regras identifica penetração conhecida, pontos fracos, ou comportamento suspeito Com as regras identifica penetração conhecida, pontos fracos, ou comportamento suspeito Compara os registros de auditoria ou os estados com as regras Compara os registros de auditoria ou os estados com as regras Regras normalmente específicas para máquina e SO Regras normalmente específicas para máquina e SO Regras geralmente são criadas por especialista que são entrevistados e codificados com o conhecimento dos adminstradores de segurança Regras geralmente são criadas por especialista que são entrevistados e codificados com o conhecimento dos adminstradores de segurança A qualidade depende do quão bem isso é feito A qualidade depende do quão bem isso é feito

15 O Mito da Probabilidade de Base Para que tenha um uso prático um sistema de detecção de intrusão precisa detectar uma porcentagem substancial de intrusões com poucos alarmes falsos Para que tenha um uso prático um sistema de detecção de intrusão precisa detectar uma porcentagem substancial de intrusões com poucos alarmes falsos Se poucas intrusões forem detectadas-> falso sentido de segurança Se poucas intrusões forem detectadas-> falso sentido de segurança Se tiver grande quantidade de alarmes falsos -> ignora / perda de tempo Se tiver grande quantidade de alarmes falsos -> ignora / perda de tempo Isto é muito difícil de fazer Isto é muito difícil de fazer Existem sistemas que não possuem um bom registro Existem sistemas que não possuem um bom registro

16 Detecção de Intrusão Distribuída Tradicionalmente focalizado em um único sistema Tradicionalmente focalizado em um único sistema Mas tipicamente necessita defender um sistema em rede Mas tipicamente necessita defender um sistema em rede Defesa mais eficaz com trabalho em equipe na detecção de intrusões Defesa mais eficaz com trabalho em equipe na detecção de intrusões Questões Questões Lidar com formatos variados de registros de auditoria Lidar com formatos variados de registros de auditoria Integridade e confidencialidade desses dados em rede Integridade e confidencialidade desses dados em rede Arquitetura centralizada ou descentralizada Arquitetura centralizada ou descentralizada

17 Distributed Intrusion Detection - Architecture Monitor de LAN Módulo agente Roteador Gerenciador central Módulo gerenciador

18 Detecção de Intrusão Distribuída – Implementação do Agente Informações de auditoria do SO Filtro Registro de auditoria do host Lógica Atividade observável Assinaturas Sessões dignas de atenção Modificações Máquina de protocolo do agente Alertas Consulta/ resposta Gerenciador central

19 Honeypots Sistemas de armadilha, para atrair atacantes Sistemas de armadilha, para atrair atacantes Desviar um atacante do acesso a sistemas críticos Desviar um atacante do acesso a sistemas críticos Coletar informações sobre a atividade do atacante Coletar informações sobre a atividade do atacante Encorajar o atacante a permanecer no sistema por tempo o suficiente para que os administradores respondam Encorajar o atacante a permanecer no sistema por tempo o suficiente para que os administradores respondam Recheados com informações falsas Recheados com informações falsas Preparado para coletar informçoes detalhadas das atividades do atacante Preparado para coletar informçoes detalhadas das atividades do atacante Sistemas únicos ou compatilhados em rede Sistemas únicos ou compatilhados em rede Padrões Intrusion Detection Working Group do IETF Padrões Intrusion Detection Working Group do IETF

20 Gerenciamento de Senhas Primeira linha de defesa contra intrusos Primeira linha de defesa contra intrusos O usuário deve fornecer ambos: O usuário deve fornecer ambos: login – determina os privilégios desse usuário login – determina os privilégios desse usuário senha – para identifica-lo senha – para identifica-lo Senhas freqüentemente são encriptadas antes de serem armazenadas Senhas freqüentemente são encriptadas antes de serem armazenadas Unix usa multiplo DES (variando com sal) Unix usa multiplo DES (variando com sal) Sistemas mais recentes utilizam criptografia com função de hash Sistemas mais recentes utilizam criptografia com função de hash Deve proteger o arquivo de senha no sistema Deve proteger o arquivo de senha no sistema

21 Estudos & Senhas Purdue 1992 – muitas senhas curtas Purdue 1992 – muitas senhas curtas Klein 1990 – muitas senhas descobertas Klein 1990 – muitas senhas descobertas Conclusão é que os usuários escolhem freqüentemente senhar fracas Conclusão é que os usuários escolhem freqüentemente senhar fracas Precisamos de técnicas para combater isso Precisamos de técnicas para combater isso

22 Gerenciamento de Senhas – Treinamento do Usuário Pode usar política e bom treinamento para os usuários Pode usar política e bom treinamento para os usuários Ensinar a importância de boas senhas Ensinar a importância de boas senhas Dar uma orientação para escolher senhas Dar uma orientação para escolher senhas Mínimo de 6 caracteres (>6) Mínimo de 6 caracteres (>6) Requer uma mistura de letras minúsculas e letras maiúsculas, números e caracteres especiais Requer uma mistura de letras minúsculas e letras maiúsculas, números e caracteres especiais Não utilizar palavras do dicionário Não utilizar palavras do dicionário Mas suscetível a ser ignorado por muitos usuários Mas suscetível a ser ignorado por muitos usuários

23 Gerenciamento de Senhas – Senhas Geradas Pelo Computador Deixa o computador criar as senhas Deixa o computador criar as senhas Se for muito aleatoria e o usuário não conseguir memorizar, ele tera que escrever (síndrome da etiqueta adesiva) Se for muito aleatoria e o usuário não conseguir memorizar, ele tera que escrever (síndrome da etiqueta adesiva) Mesmo que seja pronunciável pode não ser difícil de lembrar Mesmo que seja pronunciável pode não ser difícil de lembrar Possui histórico de fraca aceitação pelos usuários Possui histórico de fraca aceitação pelos usuários FIPS PUB 181 um dos melhores geradores FIPS PUB 181 um dos melhores geradores Possui ambos descrição e código-fonte Possui ambos descrição e código-fonte Geração de palavras pela concatenação de sílabas pronunciáveis geradas aleatoriamente Geração de palavras pela concatenação de sílabas pronunciáveis geradas aleatoriamente

24 Gerenciamento de Senhas – Verificação Reativa de Senhas Reativamente roda ferramentas para descobrir senhas Reativamente roda ferramentas para descobrir senhas Note que existem bons dicionários para qualquer idioma Note que existem bons dicionários para qualquer idioma Senhas quebradas são desabilitadas Senhas quebradas são desabilitadas Mas é um recurso intensivo Mas é um recurso intensivo Senhas ruims são vuneráveis até serem encontradas Senhas ruims são vuneráveis até serem encontradas

25 Gerenciamento de senhas – Verificação Proativa de Senhas Técnica mais promissora para maior segurança das senhas Técnica mais promissora para maior segurança das senhas O usuário pode escolher sua própria senha O usuário pode escolher sua própria senha Mas o sistema verifica se a senha é aceitável Mas o sistema verifica se a senha é aceitável Execução de regras simples(ver slides anteriores) Execução de regras simples(ver slides anteriores) Compara as senhas ruins com um dicionário Compara as senhas ruins com um dicionário Usa algorítmos (modelo de Markov ou filtro de Bloom) para detectar escolhas ruins. Usa algorítmos (modelo de Markov ou filtro de Bloom) para detectar escolhas ruins.

26 RESUMO considerações: considerações: Problema de intrusão Problema de intrusão Detecção de intrusão(estatística & baseada em regras) Detecção de intrusão(estatística & baseada em regras) Gerenciamento de senha Gerenciamento de senha


Carregar ppt "Criptografia e Segurança de Redes Capítulo 18 4ª Edição por William Stallings Slides para palestra por Lawrie Brown Traduzido por Otavio Moreira."

Apresentações semelhantes


Anúncios Google