A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Sistemas de Detecção de Intrusão. Estratégias de Segurança Prezar a simplicidade Prezar a simplicidade Determinar os pontos mais fracos Determinar os.

Apresentações semelhantes


Apresentação em tema: "Sistemas de Detecção de Intrusão. Estratégias de Segurança Prezar a simplicidade Prezar a simplicidade Determinar os pontos mais fracos Determinar os."— Transcrição da apresentação:

1 Sistemas de Detecção de Intrusão

2 Estratégias de Segurança Prezar a simplicidade Prezar a simplicidade Determinar os pontos mais fracos Determinar os pontos mais fracos Atribuir privilégios mínimos Atribuir privilégios mínimos Incentivar a participação universal Incentivar a participação universal Criar ponto único de acesso Criar ponto único de acesso Investir na diversidade de defesa Investir na diversidade de defesa prevenção prevenção detecção detecção reação reação

3 Conseqüências Prevenção não é suficiente Prevenção não é suficiente número crescente de ataques número crescente de ataques complexidade crescente complexidade crescente ferramentas de ataque cada vez mais eficientes (automatização) ferramentas de ataque cada vez mais eficientes (automatização) Solução: Detecção de Intrusão Solução: Detecção de Intrusão garantir comportamento livre de falhas garantir comportamento livre de falhas

4 Sistemas de Detecção de Intrusão (IDS) Detecção de intrusão Detecção de intrusão tarefa de coletar e analisar eventos, buscando sinais de intrusão e de mau-uso tarefa de coletar e analisar eventos, buscando sinais de intrusão e de mau-uso Intrusão Intrusão ações tomadas para comprometer a autenticidade, confidencialidade, integridade ou a disponibilidade ações tomadas para comprometer a autenticidade, confidencialidade, integridade ou a disponibilidade

5 IDS: histórico Conceito surgido no início dos anos 80 Conceito surgido no início dos anos 80 1ª Geração 1ª Geração registros de auditoria eram processados offline registros de auditoria eram processados offline surgimento dos principais métodos de detecção surgimento dos principais métodos de detecção 2ª Geração 2ª Geração processamento estatisticamente mais sofisticado processamento estatisticamente mais sofisticado mais medidas de comportamento monitoradas mais medidas de comportamento monitoradas alertas online tornaram-se possíveis alertas online tornaram-se possíveis

6 IDS: histórico 3ª Geração 3ª Geração uso dos conceitos anteriores para sistemas em rede/sistemas distribuídos uso dos conceitos anteriores para sistemas em rede/sistemas distribuídos uso de novas técnicas para detecção (sistemas especialistas, redes neurais, data mining, etc) uso de novas técnicas para detecção (sistemas especialistas, redes neurais, data mining, etc) surgimento dos primeiros IDSs comerciais surgimento dos primeiros IDSs comerciais

7 IDS: estrutura Componentes em comum Componentes em comum geradores de eventos geradores de eventos analisadores de eventos analisadores de eventos bases de dados de eventos bases de dados de eventos unidades de resposta unidades de resposta

8 IDS: estrutura Coletores (rede) Unidades de resposta Gerentes Analisadores Coletores (host) Base de dados

9 IDS: classificação IDS Arquitetura Comportam. pós-detecção Freqüência de uso Método de Detecção Baseado em Comportamento Baseado em Assinaturas Passivo Ativo Monitoramento contínuo Análise periódica Segundo o alvo Segundo a localização Centralizado Hierárquico Distribuído Baseado em Rede Baseado em Host Híbrido

10 IDS: métodos de detecção Técnicas baseadas em comportamento Técnicas baseadas em comportamento também chamado de detecção por anomalia também chamado de detecção por anomalia caracteriza o comportamento do sistema em normal e anômalo caracteriza o comportamento do sistema em normal e anômalo habilidade de distinguir um comportamento normal de um anômalo habilidade de distinguir um comportamento normal de um anômalo AnômaloNormal Intrusão Normal

11 IDS: métodos de detecção Técnicas baseadas em comportamento Técnicas baseadas em comportamento compara o estado atual do sistema com o comportamento considerado normal compara o estado atual do sistema com o comportamento considerado normal desvios são considerados intrusões desvios são considerados intrusões Ex.: conexões externas em horários incomuns Ex.: conexões externas em horários incomuns

12 IDS: comportamento Vantagens Vantagens detecção de ataques desconhecidos detecção de ataques desconhecidos usado na criação de novas bases de assinaturas usado na criação de novas bases de assinaturas esforço de manutenção reduzido esforço de manutenção reduzido dependente menos de plataforma dependente menos de plataforma facilita a detecção de abusos de privilégios facilita a detecção de abusos de privilégios

13 IDS: comportamento Desvantagens Desvantagens dificuldade de configuração dificuldade de configuração maior número de falsos positivos maior número de falsos positivos relatórios de difícil análise relatórios de difícil análise menor desempenho (cálculos complexos) menor desempenho (cálculos complexos) dificuldade de lidar com mudanças normais de comportamento dificuldade de lidar com mudanças normais de comportamento

14 IDS: métodos de detecção Técnicas baseadas em assinaturas Técnicas baseadas em assinaturas também chamada de detecção por mau- uso também chamada de detecção por mau- uso divide as ações do sistema em aceitáveis e não aceitáveis divide as ações do sistema em aceitáveis e não aceitáveis habilidade de encontrar tentativas de exploração de vulnerabilidades conhecidas habilidade de encontrar tentativas de exploração de vulnerabilidades conhecidas Não aceitávelAceitável Intrusão Normal

15 IDS: métodos de detecção Técnicas baseadas em assinaturas Técnicas baseadas em assinaturas compara as ações realizadas no sistema com uma base de assinaturas de ataques compara as ações realizadas no sistema com uma base de assinaturas de ataques Ex.: acesso ao arquivo de senhas (/etc/passwd) Ex.: acesso ao arquivo de senhas (/etc/passwd)

16 IDS: assinaturas Vantagens Vantagens baixo número de falsos positivos baixo número de falsos positivos adoção de contra-medidas imediatas adoção de contra-medidas imediatas redução na quantidade de informação tratada redução na quantidade de informação tratada melhor desempenho melhor desempenho

17 IDS: assinaturas Desvantagens Desvantagens detecção só para ataques conhecidos detecção só para ataques conhecidos dificuldade de manutenção dificuldade de manutenção base de assinaturas pode ser usada em novos ataques base de assinaturas pode ser usada em novos ataques difícil detecção de abusos de privilégios difícil detecção de abusos de privilégios

18 Baseado em Rede Dados analisados são retirados da rede Dados analisados são retirados da rede Tratar ataques à própria rede Tratar ataques à própria rede Permite determinar as operações desencadeadas através da rede Permite determinar as operações desencadeadas através da rede Informações como: Informações como: pacotes de rede (cabeçalhos e dados) pacotes de rede (cabeçalhos e dados) estatísticas de tráfego estatísticas de tráfego SNMP SNMP

19 Baseado em Host Dados obtidos na própria máquina Dados obtidos na própria máquina Detecção de ataques relacionados a ações locais Detecção de ataques relacionados a ações locais Ex: trilhas de auditoria, cópias de arquivos Ex: trilhas de auditoria, cópias de arquivos IDSs baseados em aplicação: outra classe IDSs baseados em aplicação: outra classe

20 Exemplos: Snort Um dos mais utilizados Um dos mais utilizados Arquitetura centralizada Arquitetura centralizada Dados coletados na rede Dados coletados na rede Análise baseada em assinaturas Análise baseada em assinaturas

21 Exemplos: Snort Simplicidade e eficiência Simplicidade e eficiência Base com milhares de assinaturas Base com milhares de assinaturas Plataforma UNIX ou Windows Plataforma UNIX ou Windows Distribuição livre (www.snort.org) Distribuição livre (www.snort.org)

22 Snort Captura de pacotes de rede (libpcap) Captura de pacotes de rede (libpcap) uso de regras de filtragem (TCPdump) uso de regras de filtragem (TCPdump) Analisador simples Analisador simples baseado em regras baseado em regras trata cabeçalhos e dados trata cabeçalhos e dados Ações: registrar, alertar ou descartar Ações: registrar, alertar ou descartar

23 Snort: regras 1ª parte: ação a ser tomada 1ª parte: ação a ser tomada log, alert ou pass log, alert ou pass activate, dynamic activate, dynamic 2ª parte: padrão procurado 2ª parte: padrão procurado proto src_ip/mask src_port_range -> dst_ip/mask dst_port_range proto src_ip/mask src_port_range -> dst_ip/mask dst_port_range 3ª parte: opções 3ª parte: opções

24 Snort: regras Portas Portas porta_única porta_única porta_inicial : porta_final (um dos dois não necessita ser especificado) porta_inicial : porta_final (um dos dois não necessita ser especificado) operador de negação: ! operador de negação: ! palavra reservada: any palavra reservada: any Sentido do tráfego Sentido do tráfego -> unidirecional -> unidirecional <> bidirecional <> bidirecional

25 Snort: regras Opções Opções especificadas entre parênteses especificadas entre parênteses separadas por ponto e vírgula separadas por ponto e vírgula formato: formato: opção: parâmetros; havendo mais de uma opção, utiliza-se implicitamente o operador AND havendo mais de uma opção, utiliza-se implicitamente o operador AND Existindo opções, todas devem ser satisfeitas Existindo opções, todas devem ser satisfeitas

26 Opções (exemplos) msg, logto: imprimem mensagem,gera log msg, logto: imprimem mensagem,gera log ttl, tos, id, ipoption, fragbits (para IP) ttl, tos, id, ipoption, fragbits (para IP) dsize: tamanho da parte de dados dsize: tamanho da parte de dados seq, ack, flags (para TCP) seq, ack, flags (para TCP) itype, icode (para ICMP) itype, icode (para ICMP) content: procura por determinado string content: procura por determinado string regex, nocase: usados na procura regex, nocase: usados na procura reference, sid: referência e identificação do ataque reference, sid: referência e identificação do ataque

27 Snort: regras log tcp any any -> /32 23 log tcp any any <> /32 23 log icmp any any -> /24 any pass tcp any 80 <> /24 any

28 Snort: regras alert tcp /24 any -> any 111 (msg:"Portmapper call";) log tcp any :1024 -> /24 :1024 log tcp any 6000:6010 -> / :6010 pass udp any 1024: -> / :

29 Snort: regras alert tcp any any -> /24 any (msg:"SYN-FIN scan!"; flags: SF;) alert tcp any any -> /24 any (msg:"Null scan!"; flags: 0;) alert tcp any any -> / (msg:"IMAP Buffer overflow!"; content:"|90E8 C0FF FFFF|/bin/sh";)

30 Snort: regras alert udp any any -> /24 any (msg:"Traceroute"; ttl:1;) alert icmp any any -> /24 any (msg:"Being Pinged"; itype: 8;) alert icmp any any -> any any (msg:"Port Unreachable"; itype: 3; icode: 1;)

31 Snort: regras log tcp any any -> /24 23 (logto:"telnets";) alert tcp ! /24 any -> / (flags: S; msg: "External IMAP access attempt!";) alert udp any !53 -> / (msg: "Back Orifice";)

32 Snort: regras alert tcp any any -> /24 any (msg:"80+ byte packet!"; dsize: >80;) alert tcp any any -> /24 80 (content:"cgi-bin/phf"; offset: 4; depth: 12; msg: "PHF Probe/attack";)

33 Snort: regras alert tcp any any -> $HOME_NET 143 (content:"| |"; depth: 16; offset: 5; content:"|E8 C0FF FFFF|"; depth: 10; offset: 200; msg:"IMAP Buffer Overflow!";) etc….

34 Considerações práticas Duas décadas de desenvolvimento, mas... Duas décadas de desenvolvimento, mas... Sistemas ainda imaturos Sistemas ainda imaturos muitos falsos positivos/negativos muitos falsos positivos/negativos dificuldade de expressão (regras) dificuldade de expressão (regras) pouca integração entre IDSs pouca integração entre IDSs dificuldade de manutenção/gerência dificuldade de manutenção/gerência

35 Considerações práticas Principais aplicações Principais aplicações detectar ataques (efetivos ou inofensivos) detectar ataques (efetivos ou inofensivos) localizar vulnerabilidades localizar vulnerabilidades validar regras e esquemas de firewall validar regras e esquemas de firewall validar políticas de segurança validar políticas de segurança vigiar usuários legítimos (mau uso) vigiar usuários legítimos (mau uso)

36 Sensores: problemas Tráfego criptografado Tráfego criptografado Tráfego segmentado Tráfego segmentado Tráfego de alta velocidade Tráfego de alta velocidade

37 Vulnerabilidades Conhecidas Falsos alarmes Falsos alarmes Negação de serviço (DoS) Negação de serviço (DoS) Tolerância a falhas Tolerância a falhas Autenticação Autenticação

38 Vulnerabilidades Conhecidas Desativação de ferramentas baseadas em host Desativação de ferramentas baseadas em host Inserção de tráfego Inserção de tráfego pacotes descartados pelo sistema alvo pacotes descartados pelo sistema alvo Evasão de tráfego Evasão de tráfego pacotes descartados pelo IDS pacotes descartados pelo IDS

39 Subvertendo o IDS Procurando pela string su root. Procurando pela string su root. e quanto a string su me^H^Hroot ? e quanto a string su me^H^Hroot ? e quanto a string su root ? e quanto a string su root ? e quanto a string alias blammo su, e depois blammo root ? e quanto a string alias blammo su, e depois blammo root ?

40 Reconstruindo Fluxos Procurando pela string USER root. Basta procurar na porção de dados de pacotes TCP? Procurando pela string USER root. Basta procurar na porção de dados de pacotes TCP? USER root HDR USER TCP: HDR root HDR US HDR ER HDR ro HDR ot IP: É necessário remontar fragmentos e colocá-los em seqüência

41 Mais Fragmentos HDR US HDR ER HDR ro HDR ot ,000,000 fragmentos sem relação c/ o ataque

42 Mais Fragmentos HDR US HDR ER HDR ro HDR ot O que considerar ( USER root ou USER foot)? Qual decisão será tomada pelo SO? b. 4. HDR fo 3a. Seq. # Time

43 Conclusões Aumento no nº de incidentes Aumento no nº de incidentes Despreparo dos profissionais da área Despreparo dos profissionais da área Não existe segurança 100% Não existe segurança 100% Não existe solução completa Não existe solução completa

44 Conclusões IDS tem problemas de desempenho IDS tem problemas de desempenho Não forneceram a resposta esperada Não forneceram a resposta esperada Novo campo: IPS (Sistemas de Prevenção de Instrusão) Novo campo: IPS (Sistemas de Prevenção de Instrusão)


Carregar ppt "Sistemas de Detecção de Intrusão. Estratégias de Segurança Prezar a simplicidade Prezar a simplicidade Determinar os pontos mais fracos Determinar os."

Apresentações semelhantes


Anúncios Google