A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores UFSC – LRG FURB – DSC Paulo Fernando da Silva.

PublicouHeitor Lindo Alterado mais de 9 anos atrás

Apresentações semelhantes

Apresentação em tema: "A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores UFSC – LRG FURB – DSC Paulo Fernando da Silva."— Transcrição da apresentação:

1 A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores
UFSC – LRG FURB – DSC Paulo Fernando da Silva

2 Sumário Introdução; Classificação; Modelos de Arquitetura; IDS Snort;
Estudo de Caso; Pesquisas Sobre IDSs; Interoperabilidade; Pesquisa LRG; Considerações Finais;

3 Introdução - Conceitos
Detecção de Intrusão envolve: Coletar e analisar informações; Identificar e rastrear ataques; Enviar respostas; Sistemas de Detecção de Intrusão (IDSs): Ferramentas que executam a detecção de intrusão;

4 Introdução - Funcionamento Básico
Consiste na monitoração de eventos Rede, Host ou Aplicação; Visando identificar ataques; Ataques geram alertas; Opcionalmente podem ser enviadas respostas: Encerramento de conexões, de processos, alteração em permissões de arquivos;

5 Introdução - Funcionamento Básico

6 Classificação - Método Baseado em Comportamento
Cria um perfil para os usuários; Classifica o comportamento como normal ou anômalo; Procura por anomalias; Para situações consideradas anormais são gerados alertas;

7 Classificação - Método Baseado em Comportamento
Vantagens: Detecção de ataques deconhecidos; Esforço de manutenção reduzido; Desvantagens: Dificuldade de configuração; Menor desempenho (cálculos complexos); Dificuldade de lidar com mudanças normais de comportamento;

8 Classificação - Método Baseado em Comportamento
Sistemas adaptativos: Estabelece um padrão considerado normal horários, tipo de recurso, tipo de aplicação; Alerta para situações fora do padrão; Ex.: Acesso às 4hs da manhã Usuário do comercial compilando programas Programador utilizando impressora

9 Classificação - Método Baseado em Comportamento
Análise estatística: São montados modelos estatísticos do ambiente; Eventos fora do modelo são considerados ataques em potencial; Ex.: Tempo de sessão de Telnet; Quantidade de download/upload;

10 Classificação - Método Baseado em Conhecimento
Semelhante ao funcionamento de anti-virus: Deve existir uma base de ataques conhecidos; A base deve sempre ser atualizada; Os eventos são comparados com as informações da base; Se um evento estiver na base, é gerado um alerta;

11 Classificação - Método Baseado em Conhecimento
Vantagens: Baixo número de alertas falsos; Desvantagens: Só detecta ataques conhecidos; Dificuldade de manutenção;

12 Classificação - Método Baseado em Conhecimento
Análise de assinaturas: Existe uma base de assinaturas; Assinaturas são definições de ataques; Compara os eventos com a base de assinaturas; Ex.: “Comunicação da porta 80 TCP” “Acesso ao arquivo de senhas” “Acesso à tabela de salários”

13 Classificação – Segundo o Alvo
Baseado em Host: Monitora as informações do host em que está instalado; Fortemente relacionado com o SO; Trabalha com processos, usuários, arquivos e diretórios;

14 Classificação – Segundo o Alvo
Baseado em Rede: Monitora as informações da rede em que está instalado; Está fortemente relacionado com os protocolos; Trabalha com endereços IP, portas TCP/UCP;

15 Classificação – Segundo o Alvo
Baseado em Aplicação: Monitora as informações de uma aplicação específica; Está fortemente relacionado com a natureza da aplicação; Banco de Dados ou Sistema Comercial; Trabalha com tabelas, telas, funções;

16 Modelos de Arquitetura
Existem diversos tipos de IDSs; Não possuem um padrão quanto à sua implementação; Modelos visam estabelecer um padrão de arquitetura para os IDSs;

17 Modelos de Arquitetura - IDWG

18 IDS Snort Um dos IDSs mais populares; Classificação:
Método de Detecção: Análise de Assinaturas; Alvo: Rede; Possui uma grande base de assinaturas Mais de 2000 assinaturas;

19 IDS Snort Disponível para Windows e Unix;
Realiza a captura de pacotes de rede; Compara cabeçalhos e dados com as assinaturas; Faz log ou gera alertas;

20 IDS Snort - Atributos da Regra
Atributos básicos: Ação: log, alert ou pass; Protocolo: IP, TCP, UDP, ICMP, Any; Endereço Origem/Destino: Home_Net, External_Net, Any, End. IP; Porta Origem/Destino: Any, número da porta; Msg: Texto descritivo;

21 IDS Snort – Exemplos de Regras
alert icmp $HOME_NET any -> $HOME_NET any (msg:"Qualquer tipo de trafego ICMP foi gerado."); alert tcp $HOME_NET 146 -> $HOME_NET 1024 (msg:“Backdoor Activity“; content:”WHATISIT”; reference:cve,CAN ; sid:1415; rev:2; classtype:backdoor;);

22 IDS Snort - Flexresp Permite que o Snort envie respostas;
Atua em conexões TCP e mensagens ICMP; Resposta adicionada na regra: resp:<resp_modifier>[,<resp_modifier>...]

23 IDS Snort - Flexresp Resp_modifier pode ser:
rst_snd: envia TCP_RST para origem; rst_rcv: envia TCP_RST para destino; rst_all: envia TCP_RST para ambos; icmp_net: envia rede desconhecida p/ origem; icmp_host: envia host desconhecido p/ origem; icmp_port: envia porta desconhecida p/ origem; icmp_all: envia todas as opções acima p/ origem;

24 IDS Snort - Flexresp

25 IDS Snort – Modo Sniffer
Apenas exibe pacotes monitorados; ./snort –v: exibe IP,TCP,UDP e ICMP; ./snort –vd: exibe dados da aplicação; ./snort –vde: exibe informações de enlace;

26 IDS Snort – Modo Log Grava informações monitoradas em log;
./snort -dev -l ./log: especifica o local do log;

27 IDS Snort – Modo IDS Testa regras e gera alertas;
É necessário informar o arquivo de configurações; ./snort -dev -l ./log -c snort.conf;

28 IDS Snort – Modo IDS Snort.conf:
Definição de variáveis para assinaturas; var FTP_Ports 20 21 Arquivos de assinaturas; include $RULE_PATH/tftp.rules include $RULE_PATH/icmp.rules

29 IDS Snort - Execução

30 IDS Snort - Execução Exemplo de Alerta gerado;
Alguém deve ler os alertas; Ferramentas auxiliares: consoles;

31 IDS Snort - SnortSnarf Console SnortSnarf;
Provê uma interface amigável; Diversos tipos de agrupamentos: Por Alertas; Por Origem/Destino; Alertas completos;

32 IDS Snort - SnortSnarf

33 IDS Snort - SnortSnarf

34 IDS Snort - SnortSnarf

35 Estudo de Caso - Geral Análise de um ataque em um ambiente real de funcionamento; Ambiente: Roteador: conecta a internet à bridge; Bridge: concentra os mecanismos de segurança; NAT (network address translator): conecta a bridge à LAN;

36 Estudo de Caso - Hardware

37 Estudo de Caso - Software
Bridge: Sistema Operacional FreeBSD; IDS Snort; Console ACID; Guardian;

38 Estudo de Caso - Console ACID
Plugin distribuído junto com o Snort; Analisa base de dados Snort: Gera relatórios; Pesquisa, Visualização, Agrupamento e Geração de estatísticas e gráficos; Semelhante ao Snort Snarf;

39 Estudo de Caso - Console ACID

40 Estudo de Caso - Console ACID

41 Estudo de Caso - Ataque Portscan
Tentativa de conexão: Várias portas em um host; Uma porta específica em vários hosts; Visa obtenção de informações para um ataque futuro; Portscan sozinho não representa perigo;

42 Estudo de Caso - Ataque Portscan
Visa descoberta de backdoor ou servidor; Tenta explorar vulnerabilidades da porta; Também pode ser utilizado na proteção das redes;

43 Estudo de Caso - Ataque Portscan

44 Estudo de Caso - Ataque Portscan
SCAN Squid Proxy attempt; alert tcp $EXTERNAL_NET any -> $HOME_NET 3128 (msg:"SCAN Squid Proxy attempt"; flags:S; classtype:attempted-recon; sid:618; rev:8;); Identificado pela porta de acesso ao Squid;

45 Estudo de Caso - Ataque Portscan
Ação a ser tomada: Correlacionar com outros alertas de Portscan; Determinar se a conexão é legítima; Analisar outros eventos da origem em questão;

46 Aspectos em desenvolvimento
Pesquisas sobre IDSs Aspectos em desenvolvimento Técnicas de Detecção: Inteligência Artificial; Sistemas Imunológicos; Técnicas de Correlação; Diminuir informações no log; Identificar ataques distribuídos; Interoperabilidade: Diferentes IDSs trocando informações;

47 Pesquisas - Interoperabilidade
Existe uma grande diversidade de IDSs: análise de assinaturas, métodos estatísticos; baseados em rede, baseados em host; centralizados, distribuídos; Sem padrão de arquitetura e comunicação; A necessidade de interoperabilidade leva à necessidade de padronização;

48 Interoperabilidade – Padrões
Modelo CIDF: Divisão em módulos; Atualmente abandonado; Modelo IDWG: Está em fase de Draft (IETF); Modelo de dados IDMEF; Tendência a ser implementado;

49 Interoperabilidade - IDMEF
Define formato e significados dos dados; Diversidade de informações: alertas grandes e pequenos; rede, sistema operacional, aplicativos; É orientado a objetos;

50 Interoperabilidade – IDMEF Visão Geral

51 Interoperabilidade - IDMEF
Não define comunicação de respostas: Não gerencia respostas; Sem interoperabilidade de respostas; Operador tem que conhecer cada IDS; Atrazo no envio de respostas;

52 Pesquisa LRG – Extensão IDWG
Objetivo geral: Propor uma extensão ao modelo IDWG, de forma a suportar o envio de respostas; Objetivos específicos: estender a arquitetura IDWG; estender o modelo de dados IDMEF; desenvolver um gerenciador de alertas e respostas;

53 Pesquisa LRG – Modelo Proposto Arquitetura

54 Pesquisa LRG – Modelo IDREF Visão Geral

55 Pesquisa LRG - Desenvolvimento
Componentes desenvolvidos: IDSMan: gerenciador IDMEF / IDREF; IDSAna: ponte entre Analisador e Gerenciador; IDSRes: componente de Contra-Medidas; Desenvolvida biblioteca IDREF; Linguagem Java; Orientação a objetos; Bibliotecas existentes;

56 Pesquisa LRG - Desenvolvimento Bibliotecas Utilizadas
Beepcore: protocolo BEEP mapeado no TCP; IDXP-Java: perfil IDXP do BEEP; JavaIDMEF: modelo de dados IDMEF; JPcap: captura/geração de pacotes de rede;

57 Pesquisa LRG - Desenvolvimento Componente IDSMan

58 Pesquisa LRG - Validação Componente IDSMan

59 Pesquisa LRG - Desenvolvimento Componente IDSAna
Lê mensagens IDMEF de um arquivo; Transmite mensagens para o IDSMan; Um IDS deve alimentar o arquivo;

60 Pesquisa LRG - Desenvolvimento Componente IDSRes
Recebe respostas IDREF do IDSMan; Armazena as respostas em log; Aplica as ações aos recursos;

61 Pesquisa LRG - Ambiente

62 Considerações Finais Atualmente existem vários mecanismos voltados para a prevenção de ataques: Firewall, Criptografia; Menos representativa é a utilização de mecanismos para: Detecção de ataques; Identificação de ataques/vulnerabilidades; Resposta a ataques em andamento;

63 Considerações Finais Identifica que os mecanismos de prevenção foram ultrapassados; Muitos ataques ocorrem dentro do ambiente: Funcionários, estudantes; Um ambiente seguro deve combinar diversos mecanismos; Criptografia, Firewall, IDS, etc.

Carregar ppt "A Utilização de Sistemas de Detecção de Intrusão no Auxílio à Segurança das Redes de Computadores UFSC – LRG FURB – DSC Paulo Fernando da Silva."

Apresentações semelhantes

Agenda Introdução Justificativa Objetivo Detecção de Spam

Agenda Introdução Justificativa Objetivo Detecção de Spam
Honeypots e Honeynets PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS

Honeypots e Honeynets PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS
Pode ser uma máquina emulada ou uma máquina real na rede.

Pode ser uma máquina emulada ou uma máquina real na rede.
Sistema de Detecção de Intrusão.

Sistema de Detecção de Intrusão.
UML Visões – Parte 2.

UML Visões – Parte 2.
Protocolos de Gerência de Redes

Protocolos de Gerência de Redes
Bruno Rafael de Oliveira Rodrigues

Bruno Rafael de Oliveira Rodrigues
Mecanismo de Proteção (Prevenção e Detecção)

Mecanismo de Proteção (Prevenção e Detecção)
Conceitos Básicos de Computação

Conceitos Básicos de Computação
Sistemas de Detecção de Intrusão

Sistemas de Detecção de Intrusão
Avaliação de Desempenho Universidade de São Paulo Instituto de Ciências Matemáticas e de Computação Departamento de Sistemas de Computação Marcos José

Avaliação de Desempenho Universidade de São Paulo Instituto de Ciências Matemáticas e de Computação Departamento de Sistemas de Computação Marcos José
Avaliação de Desempenho

Avaliação de Desempenho
Definição de Um Modelo de Redes Padronizado.

Definição de Um Modelo de Redes Padronizado.
Sistemas de Detecção de Intrusão

Sistemas de Detecção de Intrusão
Endereçamento ARP MAC Nível de Rede Nível de Enlace CEL Placa de Rede

Endereçamento ARP MAC Nível de Rede Nível de Enlace CEL Placa de Rede
Gerência de Redes Áreas Funcionais de Gerenciamento

Gerência de Redes Áreas Funcionais de Gerenciamento
Firewall.

Firewall.
Universidade do Vale do Rio dos Sinos - São Leopoldo -

Universidade do Vale do Rio dos Sinos - São Leopoldo -
Modelo de referência OSI

Modelo de referência OSI
Administração de Sistema Operacional de Rede WindowsServer-2003 WindowsServer-2003 Ricardo de Oliveira Joaquim TECNOLÓGICOS.

Administração de Sistema Operacional de Rede WindowsServer-2003 WindowsServer-2003 Ricardo de Oliveira Joaquim TECNOLÓGICOS.

Apresentações semelhantes

Anúncios Google