Sistemas de Detecção de Intrusão Daniel José da Silva Neto Lucas Henrique Mauricio Victor Pereira da Costa Redes de Computadores I 2011-1 Professor Otto Carlos Muniz Bandeira Duarte

Introdução Sistemas e aplicativos modernos Ataques de intrusão Complexos e dinâmicos Falhas de segurança Ataques de intrusão Sofisticados e perigosos Automatizados Necessidade Detecção de intrusão

Definições Intrusão Detecção de intrusão Acessar ou manipular informações não autorizadas Confidencialidade Integridade Tornar um sistema inseguro ou inutilizável Disponibilidade Detecção de intrusão Monitorar eventos que ocorrem em um computador ou rede Analisar eventos em busca de sinais de intrusão Sistemas de Detecção de Intrusão (SDI) Automatizar processos de análise

História Antes da década de 80 Década de 80 Final da década de 80 Logs de auditoria Análise manual Aumento do volume Década de 80 Pesquisa em análise automática IDES (Intrusion Detection Expert System) Base para sistemas modernos Final da década de 80 Sistemas comerciais Sistemas baseados em rede Usado por sistemas atuais

História Logs de auditoria Sistemas comerciais Análise manual - Aumento do volume Sistemas comerciais Sistemas baseados em rede - Usado por sistemas atuais Pesquisa em análise automática IDES (Intrusion Detection Expert System) - Base para sistemas modernos 1980 1990

Componentes Três componentes funcionais fundamentais Fonte de informação Coleta de dados Rede Estação Aplicação Análise Organização e tratamento dos dados Assinatura Anomalia Resposta Conjunto de ações tomadas Ativa Passiva

Métodos de monitoração Baseado em Rede Utiliza pacotes da rede A maioria dos SDI’s são baseados em rede Vantagens Grande abrangência com poucos agentes Pode ser invisível a atacantes Desvantagens Perda de desempenho em alto tráfego Não analisa informação criptografada Diminuição da taxa de transmissão

Métodos de monitoração Baseado em Estação Utiliza informações coletadas na estação Vantagens Detecta ataques baseados em falhas de integridade Analisa informação criptografada Desvantagens Necessidade de configuração em cada estação Redução de desempenho do sistema monitorado

Métodos de monitoração Baseado em Aplicação Subconjunto do sistema baseado em estação Analisam eventos que ocorrem dentro de aplicações Vantagens Trata informações criptografadas Monitora a interação usuário-aplicação Desvantagens Logs menos detalhados Vulnerável a ataques que modifiquem os logs

Métodos de análise Detecção por Assinatura Utilizada na maioria dos sistemas comerciais Procura por eventos que se encaixem em padrões Vantagem Poucos falsos positivos Desvantagens Detecta apenas ataques conhecidos Necessidade de constantes atualizações

Métodos de análise Detecção de Anomalia Procura por anomalia nos padrões de uso Comportamento do usuário e dos atacantes são diferentes Vantagem Detecta ataques não previamente conhecidos Desvantagens Necessita de treinamento Quantidade elevada de falsos positivos Comportamentos imprevisíveis de usuários

Respostas Ativas Coleta de informações adicionais Aumento do nível de sensibilidade das fontes de informação Modificação do ambiente Término da conexão atacante-vítima Bloqueio de acessos subseqüentes Tomada de decisões contra o intruso Contra ataque Pode representar riscos legais

Respostas Passivas Alarmes e notificações Informação sobre a ocorrência de ataques Popup Notificação Remota SNMP Envio de alertas para os consoles de gerência

Sistemas Existentes ISS (Internet Security System) Tempo real Híbrido de SDIR e SDIE Análise por assinaturas Respostas ativas e/ou passivas Possui um módulo administrador Cisco Intrusion Detection Análise do tráfego da rede Baseado em assinaturas Permite a reconfiguração das rotas ao detectar uma intrusão Pode ser alvo de DoS

Sistemas Existentes Tripwire Avalia a integridade dos arquivos Não responde a uma intrusão Base de dados deve ser protegida Configuração dificultada em grandes sistemas Snort Código aberto Grande popularidade Tempo real Respostas passivas Baseado em assinaturas

Sistemas Existentes ISS (Internet Security System) Tempo real Híbrido de SDIR e SDIE Análise por assinaturas Respostas ativas e/ou passivas Possui um módulo administrador

Conclusão Detectar e prevenir intrusões é essencial Detecção por assinaturas depende de atualizações Detecção de anomalias apresenta alta taxa de alarmes falsos Necessidade de se definir o comportamento “normal” Adaptável a cada ambiente Necessidade de se definir o comportamento intrusivo Garantir margem ao comportamento “normal”

Perguntas Qual a necessidade do uso de SDI? Cite vantagens e desvantagens de um sistema de detecção baseado em rede e baseado na estação. Qual a principal dificuldade em implantar um sistema baseado em detecção de anomalias? Por que a maioria dos sistemas comercias se baseia em detecção por assinaturas? Qual a desvantagem desta técnica? Qual o risco de um SDI que bloqueia o acesso ao detectar uma intrusão?

Respostas (1) Criar sistemas e aplicativos impérvios à intrusos é praticamente impossível, pois estes são muito complexos e dinâmicos. Além disso, a sofisticação e automação dos ataques tem crescido, aumentando muito o risco dos mesmos. Para resolver esse dilema, foram criados sistemas especialistas na detecção desses intrusos, os SDI’s.

Perguntas Qual a necessidade do uso de SDI? Cite vantagens e desvantagens de um sistema de detecção baseado em rede e baseado na estação. Qual a principal dificuldade em implantar um sistema baseado em detecção de anomalias? Por que a maioria dos sistemas comercias se baseia em detecção por assinaturas? Qual a desvantagem desta técnica? Qual o risco de um SDI que bloqueia o acesso ao detectar uma intrusão?

Respostas (2) Um sistema baseado em redes tem a vantagem de ter uma visão geral do sistema vigiado, permitindo que poucas estações bem posicionadas monitorem toda a rede. Entretanto, não pode detectar ataques criptografados, e podem falhar em períodos de alto tráfego, pois não consegue processar todos os pacotes Um sistema baseado na estação possui uma visão mais local, e, portanto, podem detectar alguns ataques que o sistema baseado em redes encontra dificuldade, como ataques criptografados e os baseados em certas brechas nos softwares. Suas principais desvantagens são o consumo de recursos da estação, diminuindo o desempenho, e a dificuldade de gerência por causa do fato de ele ser naturalmente distribuído.

Perguntas Qual a necessidade do uso de SDI? Cite vantagens e desvantagens de um sistema de detecção baseado em rede e baseado na estação. Qual a principal dificuldade em implantar um sistema baseado em detecção de anomalias? Por que a maioria dos sistemas comercias se baseia em detecção por assinaturas? Qual a desvantagem desta técnica? Qual o risco de um SDI que bloqueia o acesso ao detectar uma intrusão?

Respostas (3) Para conhecer o estado normal do sistema monitorado, o SDI deve ser treinado sob trafego normal, que pode ser muito ruidoso ou de difícil caracterização, prejudicando o desempenho da detecção de intrusão.

Perguntas Qual a necessidade do uso de SDI? Cite vantagens e desvantagens de um sistema de detecção baseado em rede e baseado na estação. Qual a principal dificuldade em implantar um sistema baseado em detecção de anomalias? Por que a maioria dos sistemas comercias se baseia em detecção por assinaturas? Qual a desvantagem desta técnica? Qual o risco de um SDI que bloqueia o acesso ao detectar uma intrusão?

Respostas (4) A detecção por assinatura tem um desempenho melhor quando sujeita à ataques conhecidos, detectando grande parte desses e tendo uma taxa menor de falsos negativos. Entretanto, ele não possui defesas contra ataques novos, e depende de atualizações constantes.

Perguntas Qual a necessidade do uso de SDI? Cite vantagens e desvantagens de um sistema de detecção baseado em rede e baseado na estação. Qual a principal dificuldade em implantar um sistema baseado em detecção de anomalias? Por que a maioria dos sistemas comercias se baseia em detecção por assinaturas? Qual a desvantagem desta técnica? Qual o risco de um SDI que bloqueia o acesso ao detectar uma intrusão?

Respostas (5) Se o SDI bloqueia acessos, um alarme falso pode resultar no corte ao acesso de um usuário legítimo. Se a taxa de falsos positivos for alta, o SDI pode provocar uma negação de serviço no próprio sistema monitorado.

Referências [1] McHugh, J.; , "Intrusion and intrusion detection", International Journal of Information Security, Aug. 2001. [2] Bace, R.; Mell, P.; , "Intrusion detection systems", 2001. [3] Mazzariello, C.; Oliviero, F.; , "An Autonomic Intrusion Detection System Based on Behavioral Network Engineering" , INFOCOM 2006. 25th IEEE International Conference on Computer Communications. Proceedings , vol., no., pp.1-2, 23-29 April 2006. [4] Hofmeyr, S.A.; Forrest, S.; Somayaji, A.; , "Intrusion detection using sequences of system calls", in J. Comput. Secur. 6, 3 (August 1998), 151-180. [5] Mo, Y.; Ma, Y.; Xu, L.; , "Design and implementation of intrusion detection based on mobile agents", IT in Medicine and Education, 2008. ITME 2008. IEEE International Symposium on , vol., no., pp.278-281, 12-14 Dec. 2008 [6] IBM Internet Security Systems. Disponível em: < www.iss.net >. Acessado em: 14 jun. 2011 [7] Cisco Intrusion Detection. Disponível em: <www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/index.shtml >. Acessado em: 14 jun. 2011 [8] Tripwire, File Integrity Manager. Disponível em: < www.tripwire.com >. Acessado em: 14 jun. 2011 [9] Snort. Disponível em: < www.snort.org >. Acessado em: 14 jun. 2011

Sistemas de Detecção de Intrusão Daniel José da Silva Neto Lucas Henrique Mauricio Victor Pereira da Costa Redes de Computadores I 2011-1 Professor Otto Carlos Muniz Bandeira Duarte