Curso Superior de Tecnologia em Redes de Computadores Projeto Integrador II 2º Seminário de Andamento T iago Pasa SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL FACULDADE DE TECNOLOGIA SENAC PELOTAS
IDS – Sistema de Detecção de Intrusão Sistema de Detecção de Intrusão - IDS Tiago Pasa 2
Sumário o Introdução o Objetivos oGeral oEspecíficos o Projeto oSituação atual oTopologias oTestes o Cronograma o Referências Bibliográficas o Wiki 3
Introdução Por que implementar um IDS? o Crescimento contínuo de incidentes relacionados à segurança da informação; o Detectar varreduras de portas e tentativas de acesso; o Manter a segurança, integridade e confidencialidade das informações; o Identificar acessos externos e internos não autorizados; o Monitoramento constante da rede e servidores que proveem serviços diversos. 4
Objetivos o Objetivo Geral: oTestar software livre de detecção de intrusão em sistema operacional Linux. o Objetivos Específicos: oPesquisar soluções livres; oInstalar ferramentas de detecção; oRealizar testes e comparações; oRealizar a documentação do processo. 5
Situação Atual Soluções livres escolhidas: o OSSEC (HIDS - Host-based Intrusion Detection System); o Snort (IDS/IPS - Network intrusion prevention and detection system). Sistemas estão instalados em máquinas virtuais com sistema operacional Linux. 6
Situação Atual o OSSEC (HIDS - Host-based Intrusion Detection System) oOpen source; oBaseado em host; oPode trabalhar como cliente/servidor; oCapaz de monitorar integridade de arquivos, detectar rootkits, resposta automática de incidentes; oPlataformas Linux, Solaris, AIX, HP-UX, BSD, Windows, MacOS X e Vmware ESX. 7
Situação Atual o Snort (IDS/IPS - Network intrusion prevention and detection system). oOpen source; oBaseado em rede; oCapaz de detectar em tempo real quando um ataque está sendo realizado na rede; oPlataformas Linux,BSD, Windows, MacOS X. 8
Topologia Antiga 9
Nova Topologia 10 DROP Ports 25,587 forward output Personal Network
Exemplo de Implementação 11
Situação Atual OSSEC (HIDS - Host-based Intrusion Detection System) o Servidor com função de Honeypot; o Servidor com portas abertas para internet; SSH: 22 TELNET: 23 APACHE: 80, 8080 (Net bloqueia 80) FTP: 20, 21 (Net bloqueia) o Alterado senha de root com senhas inadequadas para facilitar acesso de um atacante e posteriormente monitorá-lo. user: root password: root / / admin user: admin password: admin 12
Situação Atual OVISLINK ROUTER Bloqueado portas 25, 587 para evitar envio de spam, a partir do servidor OSSEC. oBloqueado acesso a minha rede particular. 13
Situação Atual OSSEC (HIDS - Host-based Intrusion Detection System); /var/ossec/bin/ossec-control start 14
Situação Atual OSSEC WebUI o Interface web open source para análise. oNecessita apache e php instalados; oConfigurado acesso com autenticação na interface WebUI; (Apache -> httpd.conf) Deny from all AuthType Basic AuthName "Digite usuario e senha" AuthUserFile /var/ossec/etc/.htpasswd Require valid-user Satisfy Any oAcesso Externo: oAcesso Interno: 15
Testes OSSEC WebUI (Interface web open source) 16
Testes OSSEC WebUI (Interface web open source) 17
Testes OSSEC WebUI 18
OSSEC WebUI Testes 19
OSSEC WebUI Testes 20
OSSEC WebUI Testes 21
Testes o OSSEC WebUI 22
SNORT (IDS/IPS - Network intrusion prevention and detection system) o Executando e monitorando a rede na interface eth0 23 Situação Atual
BASE - Basic Analysis and Security Engine o Interface web open source; o Necessita apache, mysql e php instalados; o Ferramenta é um front-end que tem a função de auxiliar no monitoramento dos alertas do Snort. 24 Situação Atual Acesso Interno:
BASE - Basic Analysis and Security Engine 25 Situação Atual
BASE - Basic Analysis and Security Engine 26 Situação Atual
27 Testes SNORT (IDS/IPS - Network intrusion prevention and detection system)
28 Testes SNORT (IDS/IPS - Network intrusion prevention and detection system)
29 Testes SNORT (IDS/IPS - Network intrusion prevention and detection system)
30 Testes SNORT + OSSEC Quais BENEFÍCIOS das duas ferramentas? - Tentativas de acesso não autorizados; - Tentativa de bruteforce em serviços SSH / Telnet; - Monitorar acessos efetuados com sucesso; - Mudança em arquivos de configuração dos sistema; - Tentativa de fingerprint; - Varredura de portas; - Monitorar e detectar tentativas de ataques de Denial of Service (DOS Attack).
31 Testes LOCALIZAÇÃO IP´s Your IP address is City: Mountain View Country: United States Continent: North America Your IP address is City: Huzhou Country: China Continent: Asia Your IP address is City: Izmir Country: Turkey Continent: Europe Your IP address is City: Changchun Country: China Continent: Asia Your IP address is City: Nanning Country: China Continent: Asia Your IP address is City: Shaoxing Country: China Continent: Asia
Cronograma 32
Referências Bibliográficas o Ossec (2014). Disponível em: Acesso em: 18 março o Snort (2014). Disponível em: Acesso em: 18 março o IDSWakeup (2014). Disponível em: Acesso em: 20 abril o FTester (2014). Disponível em: Acesso em: 20 abril o Nessus (2014). Disponível em: /. Acesso em: 20 abril o OpenVAS (2014). Disponível em: /. Acesso em: 20 abril o Moraes, Alexandre Fernandes de. Segurança em Redes: Fundamentos. Editora Érica Ltda, ISBN o Nakamura, Emílio Tissato. Segurança de Redes em ambientes Cooperativos. Novatec Editora, ISBN o Diógenes, Yuri. Mauser, Daniel. Certificação Security+. Novaterra Editora e Distribuidora Ltda. ISBN
Wiki o Projeto Integrador II – Projeto 03 (Externo) Projeto Integrador II – Projeto 03 o Projeto Integrador II – Projeto 03 (Interno) Projeto Integrador II – Projeto 03 34