Seminário: Network Defense Tools Osmany Barros de Freitas

Slides:



Advertisements
Apresentações semelhantes
Disciplina deTópicos em Engenharia de Computação
Advertisements

Pode ser uma máquina emulada ou uma máquina real na rede.
Firewalls IDS
Sistema de Detecção de Intrusão.
Ferramentas de Auditoria
Firewall Campus Cachoeiro Curso Técnico em Informática
Professor: João Paulo de Brito Gonçalves Curso Técnico de Informática
AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO
Mecanismo de Proteção (Prevenção e Detecção)
Segurança de Perímetro
Sistemas de Detecção de Intrusão
FIREWALLS Cristina Dutra de Aguiar Ciferri Ricardo Rodrigues Ciferri
Segurança em Redes Elmar Melcher
GERENCIAMENTO DE REDES
Curso Técnico em Manutenção e Suporte em Informática
Internet e Intranet A Internet é um conglomerado de redes em escala mundial de milhões de computadores interligados pelo Protocolo de Internet que permite.
Desenvolvimento de estratégias de segurança e gerência
Firewall.
Segurança Completa, como nehuma outra solução tem.
TCP/IP básico e outros protocolos
Firewalls.
Modelo de Segurança para Ambientes Cooperativos
Monitoramento de logs e registros de sistemas
Felipe Moreira Reis Lapenda Disciplina de Segurança de Redes
Trabalho – 03/09/ FIM.
Redes de Computadores Prof. Rafael Silva.
SETEMBRO, 2010 | SÃO PAULO. Utilizando o AppLocker para proteger seu ambiente da execução de aplicações não autorizadas C Ó DIGO DA SESS Ã O: CLI307 Rodrigo.
Netfilter/Iptables Cenário 2.
Segurança na Web SSL - Secure Socket Level TLS - Transport Layer Security SET – Secure Electronic Transaction.
Sistemas de Detecção de Intrusão
Aula 9 - Camada de aplicação
Sistemas de Detecção de Intrusão
Segurança de Redes Wayne Palmeira.
IDS-Intrusion Detection System
O que é DoS e DDoS? DoS(Denial Of Services)
SISTEMAS DE INFORMAÇÃO Segurança em Computação Distribuída
Curso: Segurança da Informação
IDS - Sistemas de Detecção de Intrusão (Intrusion Detection System)‏
FIREWALL Prof. Celso Cardoso Neto.
1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;
Introdução a IPTables Resumo da apresentação efectuada na aula de ASI2
Segurança da Informação – SI
NESSUS - Vulnerability Scanner Attack Scripting Language
Segurança e Auditoria de Sistemas
PROF PAULO MAXIMO, MSc Network.
FTIN Formação Técnica em Informática Módulo Sistema Proprietário Windows AULA 04 Prof. André Lucio.
1.2 – Tipos de Ataques Cavalo de Tróia; Backdoors; Spoofing; Sniffing;
Índice Arquitetura TCP/IP Quatro camadas do TCP/IP DHCP
Firewall Luidi V. A. Andrade. Firewall  Um firewall protege rede de computadores de invasões hostis que possa comprometer confidencialidade ou resultar.
Prof.°: João Henrique Disciplina: SOR II
Administração de Redes Firewall de Rede
Firewall (Isa Server 2006) Curso: Ciências da Computação Disciplina: Rede de Computadores I Alunos: Anderson Mello, Bruno Macedo, Daniel Coelho, Indaian.
Kaspersky Lab Um dos maiores fabricantes de software de segurança do mundo.
Netfilter/Iptables Introdução e Cenário 1.
Serviço Nacional de Aprendizagem Comercial do Rio Grande do Sul Informação e Comunicação Habilitação Técnica de Nível Médio Técnico em Informática Prof.
Arquitetura de segurança – Redes
FIREWALL.
Componentes: Cáren Soares Érika Rodrigues Jeniffer Roxana Eduardo Borges Professor: LÔBO.
Noções básicas sobre segurança e computação segura
MVP Virtual Conference 2013 Desktop Seguro Luciano Lima CISSP / MVP Enterprise
Gerencia de Redes Redes de Computadores II
IDS (Intrusion Detection System) Sistemas de Detecção de Intrusão
Hospedando sites na ONION Uma forma de burlar a censura de uma só forma: abrindo site na onion.
Segurança Perimetral - Firewall
Faculdade de Tecnologia SENAC Pelotas/RS Curso Superior de Tecnologia em Redes de Computadores Projeto Integrador I Seminário Final Ferramenta Nessus e.
UNIVERSIDADE CATÓLICA DE PELOTAS CENTRO POLITÉCNICO CURSO DE CIÊNCIA DA COMPUTAÇÃO Redes de Computadores Ferramenta NTop (Network Traffic Probe) Explorador.
Curso Superior de Tecnologia em Redes de Computadores Projeto Integrador I Seminário de Andamento Tiago Pasa SERVIÇO NACIONAL DE.
Projeto Integrador I Implementação de Servidor de Arquivos Eliane Linhares Mota 1.
Wireshark Marcelo Wurdig - Marçal Pizzi UCPEL Centro Politécnico Ciência da Computação Redes II.
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 1 Configuração Segura Principais Serviços.
Transcrição da apresentação:

Seminário: Network Defense Tools Osmany Barros de Freitas

Motivação Tipos de Defesa Prevenção de Intrusos – Firewall – Traffic Shaping Detecção de Intrusos –Tripwire –HijackThis –Nessus Referências Roteiro

Devido ao grande alarme de ataques e invasões de vândalos, muitas pessoas receiam deixar seus computadores diretamente ligados à internet Motivação Administrar uma rede segura nunca foi tão desafiador

Defesas Externas –IPS, IDS Proteger a rede e os hosts Manter ameaças externas longe da rede interna Defesas Internas –Anti-Vírus, Anti-Spyware Proteger os hosts Tipos de Defesas

IDS Sistema de Detecção de Intruso ( Passivo) –Sistema utilizado para manipular tráfegos maliciosos que não são detectados por um firewall convencional. Vulnerabilidades no sistema Elevação de privilégios Login não autorizado Malware

Sistema de Prevenção de Intruso(Reativo) –Sistema que pratica o controle de acesso protegendo computadores de exploração. Bastante similar ao IDS, mas além de detectar tráfego suspeito, é capaz de tratá-lo. –Os IPS´s são usados para compor os sistemas de Firewall IPS

Sistema de Detecção de Intruso –Apenas grava logs registrando atividades suspeitas Sistema de Prevenção de Intruso –Reage mediante uma situação adversa Ou seja...

Prevenção de Intrusos

Firewall Sistema que aplica políticas de segurança para restringir passagem apenas de tráfego autorizado Cria um perímetro de defesa para proteger a rede interna

Funcionamento Básico Age como uma barreira que controla o tráfego entre duas redes. Firewall Rede LocalInternet

Permite criar um ponto de controle único, impedindo acessos não autorizados e recusando serviços e dados vulneráveis saiam da rede Monitorar a rede, alertas de invasão em apenas um ponto da rede Firewall - Vantagens

Manipulação maliciosa de dados por usuários internos Não impede proliferação de vírus Ataques acionados por dados que são recebidos via , por exemplo, onde sua execução dispara alterações em arquivos de segurança do sistema, tornando-o vulnerável Firewall - Limitações

Firewall - Windows

Symantec Security Check – Audit My PC Firewall Test – Gibson Research Corporation-Internet Vulnerability Test – PC Flank's tests – HackerWatch firewall tests – Hacker Whacker free tests – Look 'n' Stop - Internet security Test – Firewall - Testes na Web

Técnica para controlar o tráfego na rede provendo otimização e garantia de performance Bastante utilizado por provedores de acesso para melhoria de seus serviços Traffic Shaping

O Firewall –Libera ou bloquea o tráfego Traffic Shaping –Limita, condiciona o tráfego Classificação Filas Políticas de esforço QoS Traffic Shaping

Como controlar o tráfego de compartilhadores P2P ?

Clasifica e analiza o tráfego –Classificando IP e porta Controla Tráfego –Selecionando faixas de banda para classes Monitora performance da rede –Coleta dados e aplica políticas Traffic Shaping

Exemplo: Firewall – Traffic Shaping

O Linux possui um Framework em seu Kernel funcionalidades de controle de pacotes que permitem a configuração de Firewall. Nas versões até 2.2 do Kernel é chamado de ipchains, mas a partir da 2.4 é chamado de Netfilter (iptables ) Firewall - Linux

Vamos mostrar como é possível configurar um Firewall utilizando as linhas de comando para configurar os módulos do Kernel Exemplo - Firewall

Os tipos de tráfego permitidos serão agrupados em 4 grupos: Exemplo: Firewall Linux ICMP DNS TCP ( tráfego comum ) P2P WWW ( http ) Grupo 1 Grupo 2 Grupo 3 Grupo 4

Alterando as configurações do kernel do linux, é possível, com poucas instruções, configurar seu firewall e aplicar técnicas de Traffic Shaping. Para isso utilizamos algumas linhas de comando para montar um script que descreve a configuração do nosso firewall Exemplo: Firewall Linux

# Limpa as regras anteriores /sbin/ipchains -F input /sbin/ipchains -F output /sbin/ipchains -F forward # Bloquea todo acesso /sbin/ipchains -P input DENY /sbin/ipchains -P output DENY /sbin/ipchains -P forward DENY # Permite tráfego icmp e marca como grupo 1 /sbin/ipchains -A input -p ICMP -i ppp+ -j ACCEPT -m 1 /sbin/ipchains -A output -p ICMP -i ppp+ -j ACCEPT -m 1 /sbin/ipchains -A input -y -p tcp -i ppp+ -j ACCEPT -m 1 # Libera tráfego de e marca como grupo 2 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 smtp -d 0/0 –j ACCEPT -m 2 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 pop3 -d 0/0 –j ACCEPT -m 2 # Configura acesso p2p na porta 6699 e marca como grupo 3 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/ d 0/0 –j ACCEPT -m 3 /sbin/ipchains -A input -p tcp -i ppp+ -s 0/0 -d 0/ –j ACCEPT -m 3 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 nntp -d 0/0 –j ACCEPT -m 3 # Permite acesso www e https como grupo 4 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 www -d 0/0 –j ACCEPT -m 4 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 https -d 0/0 –j ACCEPT -m 4 Exemplo: Firewall Linux

Normalmente o TCP/IP no Linux tenta dividir a largura de banda com todas as conexões existentes. –Significa que se houver 49 conexões P2P e 1 para web, esta terá apenas 2% da banda. Com Traffic Shaping podemos organizar essa distribuição do TCP/IP Exemplo: Traffic Shaping

Esse controle concede proteção contra ataques DoS, uma vez que firewall simples não protege contra SYN floods e ICMP floods. Importante: Esse controle não evita que o ataque seja efetuado, mas diminui os estragos provocados pelo mesmo Exemplo: Traffic Shaping

70% HTTP/HTTPS 20% SMTP/POP3 5% P2P 5% ICMP/TCP-SYN A figura ilustra o comportamento que queremos definir no nosso exemplo:

Primeiro Grupo: ICMP, TCP-SYN, DNS receberá 5% da banda total (64*0.05=3.2): add_class 10:1 10: kbit 0.32kbit 1 bounded Segundo grupo SMTP,POP3 utilizará 20% do total da banda add_class 10:1 10: kbit 1.28kbit 2 Terceiro grupo: P2P terá direito a 5% da banda add_class 10:1 10: kbit 0.32kbit 3 Finalmente o quarto grupo: Http / Https receberá 70% de banda add_class 10:1 10: kbit 4.48kbit 4 Exemplo: Traffic Shaping

Traffic Shaping - Firewall Muitos programas gráficos para Linux transcrevem em comandos, como os mostrados no exemplo, a configuração definida pelo usuário via interface

Detecção de Intrusos

Detecção de Instrusos Analisam os pacotes da rede comparando-os com assinaturas já prontas de ataque Monitoram arquivos dos sistema em busca de modificações suspeitas É capaz de trazer informações da rede como: – Quantas tentativas de ataques sofremos por dia; – Qual tipo de ataque foi usado; – Qual a origem dos ataques;

Classificação de IDS NIDS - Sistemas de Detecção de Intrusão de Rede –Os ataques são capturados e analisados através de pacotes da rede –Monitoram múltiplas estações através de sensores espalhados pela rede –Dificuldade pra processar dados em grandes redes e dados criptografados

Classificação de IDS HIDS - Sistemas de Detecção de Intrusão de Host –Operam sobre informações coletadas em computadores individuais –Por operar diretamente nas estações, é capaz de ver as conseqüências do ataque –Porém requer que cada máquina seja configurada e não detecta ataques em outras estações

Ataque Padrão O invasor: –Obtém acesso ao sistema –Adquire acesso root –Modifica o sistema pra instalar backdoor –Usa o backdoor para futuras atividades –Apaga rastros ( possivelmente )

Tripwire Basea-se em guardar informações sobre a estrutura dos arquivos no sistema. Realiza comparações com uma base de dados e reporta problemas se houver diferenças

Tripwire

Hijack This Programa que verifica processos ativos e entradas suspeitas no Windows, ajudando a identificar malwares em geral Através dele é gerado um log que possibilita identificar

Hijack This Inicialmente o usuário roda a aplicação realizando um scan

Hijack This O log é gerado e salvo num arquivo:

Hijack This Analizador de logs gratuito no site do programa:

Hijack This Trecho do resultado da análise do log: Observe que qualquer processo suspeito é imediatamente avisado ao usuário

Nessus Programa de verificação de falhas/vulnerabilidades de segurança. Composto por um cliente e servidor ( este serve para realizar o scan no cliente ) Ele realiza uma varredura de portas, detectando servidores ativos e simulando invasões para detectar vulnerabilidades

Nessus Há 3 níveis de alerta: – O mais grave indica que há uma brecha de segurança em um servidor ativo da máquina. –O segundo informa que há um serviço potencialmente inseguro numa determinada porta –O último nível é apenas aviso mostrando que há um servidor ativo e que está sem falha de segurança

Nessus O nessus: –Aponta as falhas –Oferece uma descrição detalhada da vulnerabilidade –Aponta uma solução

Nessus 1- Resultado da avaliação 2- Descrição do problema 3- Solução

Referências

Obrigado

Feedback: Política de Privacidade Feedback
Sobre projeto: SlidePlayer Termos de uso

© 2024 SlidePlayer.com.br Inc. All rights reserved.