A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Sistemas de Detecção de Intrusão

Apresentações semelhantes


Apresentação em tema: "Sistemas de Detecção de Intrusão"— Transcrição da apresentação:

1 Sistemas de Detecção de Intrusão

2 Estratégias de Segurança
Prezar a simplicidade Determinar os pontos mais fracos Atribuir privilégios mínimos Incentivar a participação universal Criar ponto único de acesso Investir na diversidade de defesa prevenção detecção reação

3 Conseqüências Prevenção não é suficiente Solução: Detecção de Intrusão
número crescente de ataques complexidade crescente ferramentas de ataque cada vez mais eficientes (automatização) Solução: Detecção de Intrusão garantir comportamento livre de falhas

4 Sistemas de Detecção de Intrusão (IDS)
tarefa de coletar e analisar eventos, buscando sinais de intrusão e de mau-uso Intrusão ações tomadas para comprometer a autenticidade, confidencialidade, integridade ou a disponibilidade

5 IDS: histórico Conceito surgido no início dos anos 80 1ª Geração
registros de auditoria eram processados offline surgimento dos principais métodos de detecção 2ª Geração processamento estatisticamente mais sofisticado mais medidas de comportamento monitoradas alertas online tornaram-se possíveis

6 IDS: histórico 3ª Geração
uso dos conceitos anteriores para sistemas em rede/sistemas distribuídos uso de novas técnicas para detecção (sistemas especialistas, redes neurais, data mining, etc) surgimento dos primeiros IDSs comerciais

7 IDS: estrutura Componentes em comum geradores de eventos
analisadores de eventos bases de dados de eventos unidades de resposta

8 IDS: estrutura Unidades de resposta Base de dados Analisadores
Coletores (host) Gerentes Coletores (rede)

9 IDS: classificação Baseado em Comportamento Baseado em Assinaturas
Método de Detecção Baseado em Rede Baseado em Host Híbrido Segundo o alvo Arquitetura Segundo a localização Centralizado Hierárquico Distribuído IDS Passivo Comportam. pós-detecção Ativo Monitoramento contínuo Freqüência de uso Análise periódica

10 IDS: métodos de detecção
Técnicas baseadas em comportamento também chamado de detecção por anomalia caracteriza o comportamento do sistema em normal e anômalo habilidade de distinguir um comportamento normal de um anômalo Anômalo Normal Intrusão Normal

11 IDS: métodos de detecção
Técnicas baseadas em comportamento compara o estado atual do sistema com o comportamento considerado normal desvios são considerados intrusões Ex.: conexões externas em horários incomuns

12 IDS: comportamento Vantagens detecção de ataques desconhecidos
usado na criação de novas bases de assinaturas esforço de manutenção reduzido dependente menos de plataforma facilita a detecção de abusos de privilégios

13 IDS: comportamento Desvantagens dificuldade de configuração
maior número de falsos positivos relatórios de difícil análise menor desempenho (cálculos complexos) dificuldade de lidar com mudanças normais de comportamento

14 IDS: métodos de detecção
Técnicas baseadas em assinaturas também chamada de detecção por mau-uso divide as ações do sistema em aceitáveis e não aceitáveis habilidade de encontrar tentativas de exploração de vulnerabilidades conhecidas Não aceitável Aceitável Intrusão Normal

15 IDS: métodos de detecção
Técnicas baseadas em assinaturas compara as ações realizadas no sistema com uma base de assinaturas de ataques Ex.: acesso ao arquivo de senhas (/etc/passwd)

16 IDS: assinaturas Vantagens baixo número de falsos positivos
adoção de contra-medidas imediatas redução na quantidade de informação tratada melhor desempenho

17 IDS: assinaturas Desvantagens detecção só para ataques conhecidos
dificuldade de manutenção base de assinaturas pode ser usada em novos ataques difícil detecção de abusos de privilégios

18 Baseado em Rede Dados analisados são retirados da rede
Tratar ataques à própria rede Permite determinar as operações desencadeadas através da rede Informações como: pacotes de rede (cabeçalhos e dados) estatísticas de tráfego SNMP

19 Baseado em Host Dados obtidos na própria máquina
Detecção de ataques relacionados a ações locais Ex: trilhas de auditoria, cópias de arquivos IDSs baseados em aplicação: outra classe

20 Exemplos: Snort Um dos mais utilizados Arquitetura centralizada
Dados coletados na rede Análise baseada em assinaturas

21 Exemplos: Snort Simplicidade e eficiência
Base com milhares de assinaturas Plataforma UNIX ou Windows Distribuição livre (www.snort.org)

22 Snort Captura de pacotes de rede (libpcap) Analisador simples
uso de regras de filtragem (TCPdump) Analisador simples baseado em regras trata cabeçalhos e dados Ações: registrar, alertar ou descartar

23 Snort: regras 1ª parte: ação a ser tomada 2ª parte: padrão procurado
log, alert ou pass activate, dynamic 2ª parte: padrão procurado proto src_ip/mask src_port_range -> dst_ip/mask dst_port_range 3ª parte: opções

24 Snort: regras Portas Sentido do tráfego porta_única
porta_inicial : porta_final (um dos dois não necessita ser especificado) operador de negação: ! palavra reservada: any Sentido do tráfego -> unidirecional <> bidirecional

25 Snort: regras Opções Existindo opções, todas devem ser satisfeitas
especificadas entre parênteses separadas por ponto e vírgula formato: opção: parâmetros; havendo mais de uma opção, utiliza-se implicitamente o operador AND Existindo opções, todas devem ser satisfeitas

26 Opções (exemplos) msg, logto: imprimem mensagem,gera log
ttl, tos, id, ipoption, fragbits (para IP) dsize: tamanho da parte de dados seq, ack, flags (para TCP) itype, icode (para ICMP) content: procura por determinado string regex, nocase: usados na procura reference, sid: referência e identificação do ataque

27 Snort: regras log tcp any any -> 192.168.1.1/32 23
log icmp any any -> /24 any pass tcp any 80 <> /24 any

28 Snort: regras alert tcp /24 any -> any 111 (msg:"Portmapper call";) log tcp any :1024 -> /24 :1024 log tcp any 6000:6010 -> / :6010 pass udp any 1024: -> / :

29 Snort: regras alert tcp any any -> /24 any (msg:"SYN-FIN scan!"; flags: SF;) alert tcp any any -> /24 any (msg:"Null scan!"; flags: 0;) alert tcp any any -> / (msg:"IMAP Buffer overflow!"; content:"|90E8 C0FF FFFF|/bin/sh";)

30 Snort: regras alert udp any any -> /24 any (msg:"Traceroute"; ttl:1;) alert icmp any any -> /24 any (msg:"Being Pinged"; itype: 8;) alert icmp any any -> any any (msg:"Port Unreachable"; itype: 3; icode: 1;)

31 Snort: regras log tcp any any -> /24 23 (logto:"telnets";) alert tcp ! /24 any -> / (flags: S; msg: "External IMAP access attempt!";) alert udp any !53 -> / (msg: "Back Orifice";)

32 Snort: regras alert tcp any any -> /24 any (msg:"80+ byte packet!"; dsize: >80;) alert tcp any any -> /24 80 (content:"cgi-bin/phf"; offset: 4; depth: 12; msg: "PHF Probe/attack";)

33 Snort: regras alert tcp any any -> $HOME_NET 143 (content:"| |"; depth: 16; offset: 5; content:"|E8 C0FF FFFF|"; depth: 10; offset: 200; msg:"IMAP Buffer Overflow!";) etc….

34 Considerações práticas
Duas décadas de desenvolvimento, mas... Sistemas ainda imaturos muitos falsos positivos/negativos dificuldade de expressão (regras) pouca integração entre IDSs dificuldade de manutenção/gerência

35 Considerações práticas
Principais aplicações detectar ataques (efetivos ou inofensivos) localizar vulnerabilidades validar regras e esquemas de firewall validar políticas de segurança vigiar usuários legítimos (mau uso)

36 Sensores: problemas Tráfego criptografado Tráfego segmentado
Tráfego de alta velocidade

37 Vulnerabilidades Conhecidas
Falsos alarmes Negação de serviço (DoS) Tolerância a falhas Autenticação

38 Vulnerabilidades Conhecidas
Desativação de ferramentas baseadas em host Inserção de tráfego pacotes descartados pelo sistema alvo Evasão de tráfego pacotes descartados pelo IDS

39 Subvertendo o IDS Procurando pela string “su root”.
e quanto a string “su me^H^Hroot” ? e quanto a string “su<telnet option> root” ? e quanto a string “alias blammo su”, e depois “blammo root” ?

40 É necessário remontar fragmentos e colocá-los em seqüência
Reconstruindo Fluxos Procurando pela string “USER root”. Basta procurar na porção de dados de pacotes TCP? USER root HDR USER TCP: root HDR US ER ro ot IP: É necessário remontar fragmentos e colocá-los em seqüência

41 Mais Fragmentos 1. HDR US 2. ER HDR
,000,000 fragmentos sem relação c/ o ataque 4. HDR ro 5. HDR ot

42 Mais Fragmentos 1. Seq. # HDR HDR US 2. HDR ER Time 3a. HDR ro 3b. HDR
fo There are also ways of forcing the end-station to not see one version of the packet; e.g. playing with the TTL, checksum, etc. 4. HDR ot O que considerar ( “USER root” ou “USER foot”)? Qual decisão será tomada pelo SO?

43 Conclusões Aumento no nº de incidentes
Despreparo dos profissionais da área Não existe segurança 100% Não existe solução completa

44 Conclusões IDS tem problemas de desempenho
Não forneceram a resposta esperada Novo campo: IPS (Sistemas de Prevenção de Instrusão)


Carregar ppt "Sistemas de Detecção de Intrusão"

Apresentações semelhantes


Anúncios Google