Seminário: Network Defense Tools Osmany Barros de Freitas
Motivação Tipos de Defesa Prevenção de Intrusos – Firewall – Traffic Shaping Detecção de Intrusos –Tripwire –HijackThis –Nessus Referências Roteiro
Devido ao grande alarme de ataques e invasões de vândalos, muitas pessoas receiam deixar seus computadores diretamente ligados à internet Motivação Administrar uma rede segura nunca foi tão desafiador
Defesas Externas –IPS, IDS Proteger a rede e os hosts Manter ameaças externas longe da rede interna Defesas Internas –Anti-Vírus, Anti-Spyware Proteger os hosts Tipos de Defesas
IDS Sistema de Detecção de Intruso ( Passivo) –Sistema utilizado para manipular tráfegos maliciosos que não são detectados por um firewall convencional. Vulnerabilidades no sistema Elevação de privilégios Login não autorizado Malware
Sistema de Prevenção de Intruso(Reativo) –Sistema que pratica o controle de acesso protegendo computadores de exploração. Bastante similar ao IDS, mas além de detectar tráfego suspeito, é capaz de tratá-lo. –Os IPS´s são usados para compor os sistemas de Firewall IPS
Sistema de Detecção de Intruso –Apenas grava logs registrando atividades suspeitas Sistema de Prevenção de Intruso –Reage mediante uma situação adversa Ou seja...
Prevenção de Intrusos
Firewall Sistema que aplica políticas de segurança para restringir passagem apenas de tráfego autorizado Cria um perímetro de defesa para proteger a rede interna
Funcionamento Básico Age como uma barreira que controla o tráfego entre duas redes. Firewall Rede LocalInternet
Permite criar um ponto de controle único, impedindo acessos não autorizados e recusando serviços e dados vulneráveis saiam da rede Monitorar a rede, alertas de invasão em apenas um ponto da rede Firewall - Vantagens
Manipulação maliciosa de dados por usuários internos Não impede proliferação de vírus Ataques acionados por dados que são recebidos via , por exemplo, onde sua execução dispara alterações em arquivos de segurança do sistema, tornando-o vulnerável Firewall - Limitações
Firewall - Windows
Symantec Security Check – Audit My PC Firewall Test – Gibson Research Corporation-Internet Vulnerability Test – PC Flank's tests – HackerWatch firewall tests – Hacker Whacker free tests – Look 'n' Stop - Internet security Test – Firewall - Testes na Web
Técnica para controlar o tráfego na rede provendo otimização e garantia de performance Bastante utilizado por provedores de acesso para melhoria de seus serviços Traffic Shaping
O Firewall –Libera ou bloquea o tráfego Traffic Shaping –Limita, condiciona o tráfego Classificação Filas Políticas de esforço QoS Traffic Shaping
Como controlar o tráfego de compartilhadores P2P ?
Clasifica e analiza o tráfego –Classificando IP e porta Controla Tráfego –Selecionando faixas de banda para classes Monitora performance da rede –Coleta dados e aplica políticas Traffic Shaping
Exemplo: Firewall – Traffic Shaping
O Linux possui um Framework em seu Kernel funcionalidades de controle de pacotes que permitem a configuração de Firewall. Nas versões até 2.2 do Kernel é chamado de ipchains, mas a partir da 2.4 é chamado de Netfilter (iptables ) Firewall - Linux
Vamos mostrar como é possível configurar um Firewall utilizando as linhas de comando para configurar os módulos do Kernel Exemplo - Firewall
Os tipos de tráfego permitidos serão agrupados em 4 grupos: Exemplo: Firewall Linux ICMP DNS TCP ( tráfego comum ) P2P WWW ( http ) Grupo 1 Grupo 2 Grupo 3 Grupo 4
Alterando as configurações do kernel do linux, é possível, com poucas instruções, configurar seu firewall e aplicar técnicas de Traffic Shaping. Para isso utilizamos algumas linhas de comando para montar um script que descreve a configuração do nosso firewall Exemplo: Firewall Linux
# Limpa as regras anteriores /sbin/ipchains -F input /sbin/ipchains -F output /sbin/ipchains -F forward # Bloquea todo acesso /sbin/ipchains -P input DENY /sbin/ipchains -P output DENY /sbin/ipchains -P forward DENY # Permite tráfego icmp e marca como grupo 1 /sbin/ipchains -A input -p ICMP -i ppp+ -j ACCEPT -m 1 /sbin/ipchains -A output -p ICMP -i ppp+ -j ACCEPT -m 1 /sbin/ipchains -A input -y -p tcp -i ppp+ -j ACCEPT -m 1 # Libera tráfego de e marca como grupo 2 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 smtp -d 0/0 –j ACCEPT -m 2 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 pop3 -d 0/0 –j ACCEPT -m 2 # Configura acesso p2p na porta 6699 e marca como grupo 3 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/ d 0/0 –j ACCEPT -m 3 /sbin/ipchains -A input -p tcp -i ppp+ -s 0/0 -d 0/ –j ACCEPT -m 3 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 nntp -d 0/0 –j ACCEPT -m 3 # Permite acesso www e https como grupo 4 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 www -d 0/0 –j ACCEPT -m 4 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 https -d 0/0 –j ACCEPT -m 4 Exemplo: Firewall Linux
Normalmente o TCP/IP no Linux tenta dividir a largura de banda com todas as conexões existentes. –Significa que se houver 49 conexões P2P e 1 para web, esta terá apenas 2% da banda. Com Traffic Shaping podemos organizar essa distribuição do TCP/IP Exemplo: Traffic Shaping
Esse controle concede proteção contra ataques DoS, uma vez que firewall simples não protege contra SYN floods e ICMP floods. Importante: Esse controle não evita que o ataque seja efetuado, mas diminui os estragos provocados pelo mesmo Exemplo: Traffic Shaping
70% HTTP/HTTPS 20% SMTP/POP3 5% P2P 5% ICMP/TCP-SYN A figura ilustra o comportamento que queremos definir no nosso exemplo:
Primeiro Grupo: ICMP, TCP-SYN, DNS receberá 5% da banda total (64*0.05=3.2): add_class 10:1 10: kbit 0.32kbit 1 bounded Segundo grupo SMTP,POP3 utilizará 20% do total da banda add_class 10:1 10: kbit 1.28kbit 2 Terceiro grupo: P2P terá direito a 5% da banda add_class 10:1 10: kbit 0.32kbit 3 Finalmente o quarto grupo: Http / Https receberá 70% de banda add_class 10:1 10: kbit 4.48kbit 4 Exemplo: Traffic Shaping
Traffic Shaping - Firewall Muitos programas gráficos para Linux transcrevem em comandos, como os mostrados no exemplo, a configuração definida pelo usuário via interface
Detecção de Intrusos
Detecção de Instrusos Analisam os pacotes da rede comparando-os com assinaturas já prontas de ataque Monitoram arquivos dos sistema em busca de modificações suspeitas É capaz de trazer informações da rede como: – Quantas tentativas de ataques sofremos por dia; – Qual tipo de ataque foi usado; – Qual a origem dos ataques;
Classificação de IDS NIDS - Sistemas de Detecção de Intrusão de Rede –Os ataques são capturados e analisados através de pacotes da rede –Monitoram múltiplas estações através de sensores espalhados pela rede –Dificuldade pra processar dados em grandes redes e dados criptografados
Classificação de IDS HIDS - Sistemas de Detecção de Intrusão de Host –Operam sobre informações coletadas em computadores individuais –Por operar diretamente nas estações, é capaz de ver as conseqüências do ataque –Porém requer que cada máquina seja configurada e não detecta ataques em outras estações
Ataque Padrão O invasor: –Obtém acesso ao sistema –Adquire acesso root –Modifica o sistema pra instalar backdoor –Usa o backdoor para futuras atividades –Apaga rastros ( possivelmente )
Tripwire Basea-se em guardar informações sobre a estrutura dos arquivos no sistema. Realiza comparações com uma base de dados e reporta problemas se houver diferenças
Tripwire
Hijack This Programa que verifica processos ativos e entradas suspeitas no Windows, ajudando a identificar malwares em geral Através dele é gerado um log que possibilita identificar
Hijack This Inicialmente o usuário roda a aplicação realizando um scan
Hijack This O log é gerado e salvo num arquivo:
Hijack This Analizador de logs gratuito no site do programa:
Hijack This Trecho do resultado da análise do log: Observe que qualquer processo suspeito é imediatamente avisado ao usuário
Nessus Programa de verificação de falhas/vulnerabilidades de segurança. Composto por um cliente e servidor ( este serve para realizar o scan no cliente ) Ele realiza uma varredura de portas, detectando servidores ativos e simulando invasões para detectar vulnerabilidades
Nessus Há 3 níveis de alerta: – O mais grave indica que há uma brecha de segurança em um servidor ativo da máquina. –O segundo informa que há um serviço potencialmente inseguro numa determinada porta –O último nível é apenas aviso mostrando que há um servidor ativo e que está sem falha de segurança
Nessus O nessus: –Aponta as falhas –Oferece uma descrição detalhada da vulnerabilidade –Aponta uma solução
Nessus 1- Resultado da avaliação 2- Descrição do problema 3- Solução
Referências
Obrigado