Carregar apresentação
A apresentação está carregando. Por favor, espere
PublicouHeitor Lindo Alterado mais de 9 anos atrás
1
A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores
UFSC – LRG FURB – DSC Paulo Fernando da Silva
2
Sumário Introdução; Classificação; Modelos de Arquitetura; IDS Snort;
Estudo de Caso; Pesquisas Sobre IDSs; Interoperabilidade; Pesquisa LRG; Considerações Finais;
3
Introdução - Conceitos
Detecção de Intrusão envolve: Coletar e analisar informações; Identificar e rastrear ataques; Enviar respostas; Sistemas de Detecção de Intrusão (IDSs): Ferramentas que executam a detecção de intrusão;
4
Introdução - Funcionamento Básico
Consiste na monitoração de eventos Rede, Host ou Aplicação; Visando identificar ataques; Ataques geram alertas; Opcionalmente podem ser enviadas respostas: Encerramento de conexões, de processos, alteração em permissões de arquivos;
5
Introdução - Funcionamento Básico
6
Classificação - Método Baseado em Comportamento
Cria um perfil para os usuários; Classifica o comportamento como normal ou anômalo; Procura por anomalias; Para situações consideradas anormais são gerados alertas;
7
Classificação - Método Baseado em Comportamento
Vantagens: Detecção de ataques deconhecidos; Esforço de manutenção reduzido; Desvantagens: Dificuldade de configuração; Menor desempenho (cálculos complexos); Dificuldade de lidar com mudanças normais de comportamento;
8
Classificação - Método Baseado em Comportamento
Sistemas adaptativos: Estabelece um padrão considerado normal horários, tipo de recurso, tipo de aplicação; Alerta para situações fora do padrão; Ex.: Acesso às 4hs da manhã Usuário do comercial compilando programas Programador utilizando impressora
9
Classificação - Método Baseado em Comportamento
Análise estatística: São montados modelos estatísticos do ambiente; Eventos fora do modelo são considerados ataques em potencial; Ex.: Tempo de sessão de Telnet; Quantidade de download/upload;
10
Classificação - Método Baseado em Conhecimento
Semelhante ao funcionamento de anti-virus: Deve existir uma base de ataques conhecidos; A base deve sempre ser atualizada; Os eventos são comparados com as informações da base; Se um evento estiver na base, é gerado um alerta;
11
Classificação - Método Baseado em Conhecimento
Vantagens: Baixo número de alertas falsos; Desvantagens: Só detecta ataques conhecidos; Dificuldade de manutenção;
12
Classificação - Método Baseado em Conhecimento
Análise de assinaturas: Existe uma base de assinaturas; Assinaturas são definições de ataques; Compara os eventos com a base de assinaturas; Ex.: “Comunicação da porta 80 TCP” “Acesso ao arquivo de senhas” “Acesso à tabela de salários”
13
Classificação – Segundo o Alvo
Baseado em Host: Monitora as informações do host em que está instalado; Fortemente relacionado com o SO; Trabalha com processos, usuários, arquivos e diretórios;
14
Classificação – Segundo o Alvo
Baseado em Rede: Monitora as informações da rede em que está instalado; Está fortemente relacionado com os protocolos; Trabalha com endereços IP, portas TCP/UCP;
15
Classificação – Segundo o Alvo
Baseado em Aplicação: Monitora as informações de uma aplicação específica; Está fortemente relacionado com a natureza da aplicação; Banco de Dados ou Sistema Comercial; Trabalha com tabelas, telas, funções;
16
Modelos de Arquitetura
Existem diversos tipos de IDSs; Não possuem um padrão quanto à sua implementação; Modelos visam estabelecer um padrão de arquitetura para os IDSs;
17
Modelos de Arquitetura - IDWG
18
IDS Snort Um dos IDSs mais populares; Classificação:
Método de Detecção: Análise de Assinaturas; Alvo: Rede; Possui uma grande base de assinaturas Mais de 2000 assinaturas;
19
IDS Snort Disponível para Windows e Unix;
Realiza a captura de pacotes de rede; Compara cabeçalhos e dados com as assinaturas; Faz log ou gera alertas;
20
IDS Snort - Atributos da Regra
Atributos básicos: Ação: log, alert ou pass; Protocolo: IP, TCP, UDP, ICMP, Any; Endereço Origem/Destino: Home_Net, External_Net, Any, End. IP; Porta Origem/Destino: Any, número da porta; Msg: Texto descritivo;
21
IDS Snort – Exemplos de Regras
alert icmp $HOME_NET any -> $HOME_NET any (msg:"Qualquer tipo de trafego ICMP foi gerado."); alert tcp $HOME_NET 146 -> $HOME_NET 1024 (msg:“Backdoor Activity“; content:”WHATISIT”; reference:cve,CAN ; sid:1415; rev:2; classtype:backdoor;);
22
IDS Snort - Flexresp Permite que o Snort envie respostas;
Atua em conexões TCP e mensagens ICMP; Resposta adicionada na regra: resp:<resp_modifier>[,<resp_modifier>...]
23
IDS Snort - Flexresp Resp_modifier pode ser:
rst_snd: envia TCP_RST para origem; rst_rcv: envia TCP_RST para destino; rst_all: envia TCP_RST para ambos; icmp_net: envia rede desconhecida p/ origem; icmp_host: envia host desconhecido p/ origem; icmp_port: envia porta desconhecida p/ origem; icmp_all: envia todas as opções acima p/ origem;
24
IDS Snort - Flexresp
25
IDS Snort – Modo Sniffer
Apenas exibe pacotes monitorados; ./snort –v: exibe IP,TCP,UDP e ICMP; ./snort –vd: exibe dados da aplicação; ./snort –vde: exibe informações de enlace;
26
IDS Snort – Modo Log Grava informações monitoradas em log;
./snort -dev -l ./log: especifica o local do log;
27
IDS Snort – Modo IDS Testa regras e gera alertas;
É necessário informar o arquivo de configurações; ./snort -dev -l ./log -c snort.conf;
28
IDS Snort – Modo IDS Snort.conf:
Definição de variáveis para assinaturas; var FTP_Ports 20 21 Arquivos de assinaturas; include $RULE_PATH/tftp.rules include $RULE_PATH/icmp.rules
29
IDS Snort - Execução
30
IDS Snort - Execução Exemplo de Alerta gerado;
Alguém deve ler os alertas; Ferramentas auxiliares: consoles;
31
IDS Snort - SnortSnarf Console SnortSnarf;
Provê uma interface amigável; Diversos tipos de agrupamentos: Por Alertas; Por Origem/Destino; Alertas completos;
32
IDS Snort - SnortSnarf
33
IDS Snort - SnortSnarf
34
IDS Snort - SnortSnarf
35
Estudo de Caso - Geral Análise de um ataque em um ambiente real de funcionamento; Ambiente: Roteador: conecta a internet à bridge; Bridge: concentra os mecanismos de segurança; NAT (network address translator): conecta a bridge à LAN;
36
Estudo de Caso - Hardware
37
Estudo de Caso - Software
Bridge: Sistema Operacional FreeBSD; IDS Snort; Console ACID; Guardian;
38
Estudo de Caso - Console ACID
Plugin distribuído junto com o Snort; Analisa base de dados Snort: Gera relatórios; Pesquisa, Visualização, Agrupamento e Geração de estatísticas e gráficos; Semelhante ao Snort Snarf;
39
Estudo de Caso - Console ACID
40
Estudo de Caso - Console ACID
41
Estudo de Caso - Ataque Portscan
Tentativa de conexão: Várias portas em um host; Uma porta específica em vários hosts; Visa obtenção de informações para um ataque futuro; Portscan sozinho não representa perigo;
42
Estudo de Caso - Ataque Portscan
Visa descoberta de backdoor ou servidor; Tenta explorar vulnerabilidades da porta; Também pode ser utilizado na proteção das redes;
43
Estudo de Caso - Ataque Portscan
44
Estudo de Caso - Ataque Portscan
SCAN Squid Proxy attempt; alert tcp $EXTERNAL_NET any -> $HOME_NET 3128 (msg:"SCAN Squid Proxy attempt"; flags:S; classtype:attempted-recon; sid:618; rev:8;); Identificado pela porta de acesso ao Squid;
45
Estudo de Caso - Ataque Portscan
Ação a ser tomada: Correlacionar com outros alertas de Portscan; Determinar se a conexão é legítima; Analisar outros eventos da origem em questão;
46
Aspectos em desenvolvimento
Pesquisas sobre IDSs Aspectos em desenvolvimento Técnicas de Detecção: Inteligência Artificial; Sistemas Imunológicos; Técnicas de Correlação; Diminuir informações no log; Identificar ataques distribuídos; Interoperabilidade: Diferentes IDSs trocando informações;
47
Pesquisas - Interoperabilidade
Existe uma grande diversidade de IDSs: análise de assinaturas, métodos estatísticos; baseados em rede, baseados em host; centralizados, distribuídos; Sem padrão de arquitetura e comunicação; A necessidade de interoperabilidade leva à necessidade de padronização;
48
Interoperabilidade – Padrões
Modelo CIDF: Divisão em módulos; Atualmente abandonado; Modelo IDWG: Está em fase de Draft (IETF); Modelo de dados IDMEF; Tendência a ser implementado;
49
Interoperabilidade - IDMEF
Define formato e significados dos dados; Diversidade de informações: alertas grandes e pequenos; rede, sistema operacional, aplicativos; É orientado a objetos;
50
Interoperabilidade – IDMEF Visão Geral
51
Interoperabilidade - IDMEF
Não define comunicação de respostas: Não gerencia respostas; Sem interoperabilidade de respostas; Operador tem que conhecer cada IDS; Atrazo no envio de respostas;
52
Pesquisa LRG – Extensão IDWG
Objetivo geral: Propor uma extensão ao modelo IDWG, de forma a suportar o envio de respostas; Objetivos específicos: estender a arquitetura IDWG; estender o modelo de dados IDMEF; desenvolver um gerenciador de alertas e respostas;
53
Pesquisa LRG – Modelo Proposto Arquitetura
54
Pesquisa LRG – Modelo IDREF Visão Geral
55
Pesquisa LRG - Desenvolvimento
Componentes desenvolvidos: IDSMan: gerenciador IDMEF / IDREF; IDSAna: ponte entre Analisador e Gerenciador; IDSRes: componente de Contra-Medidas; Desenvolvida biblioteca IDREF; Linguagem Java; Orientação a objetos; Bibliotecas existentes;
56
Pesquisa LRG - Desenvolvimento Bibliotecas Utilizadas
Beepcore: protocolo BEEP mapeado no TCP; IDXP-Java: perfil IDXP do BEEP; JavaIDMEF: modelo de dados IDMEF; JPcap: captura/geração de pacotes de rede;
57
Pesquisa LRG - Desenvolvimento Componente IDSMan
58
Pesquisa LRG - Validação Componente IDSMan
59
Pesquisa LRG - Desenvolvimento Componente IDSAna
Lê mensagens IDMEF de um arquivo; Transmite mensagens para o IDSMan; Um IDS deve alimentar o arquivo;
60
Pesquisa LRG - Desenvolvimento Componente IDSRes
Recebe respostas IDREF do IDSMan; Armazena as respostas em log; Aplica as ações aos recursos;
61
Pesquisa LRG - Ambiente
62
Considerações Finais Atualmente existem vários mecanismos voltados para a prevenção de ataques: Firewall, Criptografia; Menos representativa é a utilização de mecanismos para: Detecção de ataques; Identificação de ataques/vulnerabilidades; Resposta a ataques em andamento;
63
Considerações Finais Identifica que os mecanismos de prevenção foram ultrapassados; Muitos ataques ocorrem dentro do ambiente: Funcionários, estudantes; Um ambiente seguro deve combinar diversos mecanismos; Criptografia, Firewall, IDS, etc.
Apresentações semelhantes
© 2024 SlidePlayer.com.br Inc.
All rights reserved.