1 / 55

Sistemas de Detecção de Intrusão(SDI’s)

Sistemas de Detecção de Intrusão(SDI’s). Marcelino Antero Loreno Feitosa Wagner Porto Paulo Eduardo. Introdução. Meio físico compartilhado possibilita que pessoas não autorizadas obtenham informações privilegiadas.

leona
Download Presentation

Sistemas de Detecção de Intrusão(SDI’s)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sistemas de Detecção de Intrusão(SDI’s) Marcelino Antero Loreno Feitosa Wagner Porto Paulo Eduardo

  2. Introdução • Meio físico compartilhado possibilita que pessoas não autorizadas obtenham informações privilegiadas. • Uso de SDI’s com sensores que disparam o um determinado ou não esperado evento.

  3. Motivação • Necessidade de Proteger a informações contra usuários não autorizados • Segurança do sistema violada por usuarios com pouco conhecimento. • Uso em conjunto com outros sistemas, criptografia, firewall, etc. • Ponto fundamental para uso de outras ferramentas de segurança para obter dados sobre as diferentes fontes de ataque.

  4. Visão geral • O SDI tenta detectar e alertar a acao de intrusos • Comunicacao com o adminitrador do sistema atraves de e-mail, pager, mensage no celular ou algum protocolo como SNMP • O SDI pode reagir a intrusao como por exemplo a adicao de uma regra no firewall ou desabilitação de uma conta

  5. Tipos de Detecção de Intrusão • Existem dois tipos diferentes de detecção que podem ser empregados: • Baseada na Rede (SDIR) – Observam todo os dados trocados entrea as estações. • Baseada na Estação (SDIE) – Atuam em uma maquina monitorando o sistema de arquivos, os processos e o uso da CPU por exemplo

  6. Baseada na Rede (SDIR) • Pacotes que trafegam pela rede são capturados e analisados para verificar tentativas de ataque. • Para que uma maquina receba pacotes não destinado a ela eh necessario que sua interface trabalhe em modo promiscuo.

  7. Baseada na Rede (SDIR) • (-) A estacao pode não aguentar todo o procesamento de trafego da rede e Exposição de dados sigilisos. • (+) Possibilita a detecção de varreduras de portas e ataques de navegação. • Em redes comutadas usa-se uma tecnica de espelhamento de portas.

  8. Baseada na Estação (SDIE) • Monitoram a atividade em uma estacao especifica, armazenam os dados localmente ou enviam para estação de analise. • Exemplo: Sistemas de logs do Linux • Um sistema de analise compara essas informações com padroes pre estabelescidos.

  9. Baseada na Estação (SDIE) • Exemplo de de falha por Usuário desconhecido Sep 28 03:53:36 asckanio login(pam_unix)[854]: check pass; user unknown Sep 28 03:53:36 asckanio login(pam_unix)[854]: authentication failure; logname=LOGIN uid=0 euid=0 tty=tty2 ruser= rhost= Sep 28 03:53:38 asckanio login[854]: FAILED LOGIN 1 FROM (null) FOR marcelino, Authentication failure Sep 28 03:53:42 asckanio login(pam_unix)[854]: check pass; user unknown Sep 28 03:53:44 asckanio login[854]: FAILED LOGIN 2 FROM (null) FOR marcelino, Authentication failure Sep 28 03:53:48 asckanio login(pam_unix)[854]: check pass; user unknown Sep 28 03:53:50 asckanio login[854]: FAILED LOGIN 3 FROM (null) FOR marcelino, Authentication failure Sep 28 03:53:55 asckanio login(pam_unix)[854]: session opened for user marcel by LOGIN(uid=0) Set 28 03:54:08 asckanio su(pam_unix)[890]: session opened for user root by marcel(uid=500)

  10. Baseada na Estação (SDIE) • Exemplo de de falha por Usuário desconhecido Sep 28 04:01:24 asckanio login(pam_unix)[855]: bad username [#1@8vgU] Sep 28 04:01:24 asckanio login[855]: FAILED LOGIN 1 FROM (null) FOR #1@8vgU, Authentication failure Sep 28 04:01:37 asckanio login(pam_unix)[855]: bad username [#1@8vgU] Sep 28 04:01:37 asckanio login[855]: FAILED LOGIN 2 FROM (null) FOR #1@8vgU, Authentication failure Sep 28 04:01:52 asckanio login(pam_unix)[855]: session opened for user marcel by LOGIN(uid=0) • Arquivos Importantes: /etc/syslog.conf e /etc/logrotate.conf • Exemplo de comando: #cat /var/log/messages |grep -i failure |mail -s "ALERTA: Tentetivas falhas de acesso" root

  11. Híbrida • Apesar de diferentes os tipos de SDI’s se completam.

  12. Análise de Detecção de Intrusão Baseada na Rede • Como funciona a Detecção de Intrusão baseada em Rede? • Trabalha com informação trocada entre hosts que estão se comunicando • Uma vez capturados vários tipos de análises podem ser feitas nos pacotes. • Compara o pacote com assinaturas de ataques conhecidos. • Análise do estado do lifecicle do protocolo.

  13. Análise de Detecção de Intrusão Baseada na Rede • Barramento compartilhado: • Todas as máquinas ligadas ao barramento enxergam os pacotes que lá são colocados. • Cada estação verifica se o pacote é destinado a ela, só nesse caso a estação processa o pacote. • Normalmente estações não processam pacotes que não são destinados e elas.

  14. Análise de Detecção de Intrusão Baseada na Rede • Modo normal: • Cada interface de rede verifica o endereço MAC do pacote. • Se coincidir com o endereço físico da máquina o pacote é processado. • Modo promíscuo: • A estação processa todos os pacotes do barramento. • Processo também conhecido como “farejar” (sniff) a rede.

  15. Análise de Detecção de Intrusão Baseada na Rede • SDIRs precisam trabalhar em modo promíscuo para que mesmo os pacotes não destinados a ele sejam analisados. • SDIRs trabalhando em modo promíscuo possibilitam: • Detectar varredura de portas; • Monitorar conexões ou datagramas maliciosos; • Verificar ataques de negação de serviço.

  16. Análise por Assinaturas • O que são assinaturas? • Seqüências de bytes que caracterizam ataques conhecidos. • Procura certos padrões nos campos dos cabeçalhos dos pacotes ou combinações de padrões em campos diferentes.

  17. Análise por Assinaturas • Exemplo: • Tentativa de acesso do usuário root a um servidor FTP, no qual sua entrada não é permitida. Nesse caso é necessário verificar o cabeçalho dos pacotes TCP certificando-se de que é um tráfego para a porta 21 do servidor. Ainda precisa-se analisar se o conteúdo desses pacotes é “USER root”.

  18. Análise por Assinaturas • Desvantagens: • Como busca por seqüências de bytes dentro dos pacotes não consegue identificar novos tipos de ataques e/ou variantes de ataques existentes.

  19. Análise por Estado do Protocolo • Sabe em que estágio o protocolo se encontra. • Existem vários protocolos que necessitam de uma autenticação prévia antes de entrar na fase que executa os serviços prestados. • Ex: FTP, POP3 e Telnet • Pela análise de estado é possível verificar se foi tentado pular alguma fase. • Tentar algum comando que só seria possível depois da fase de autenticação.

  20. Análise de Detecção de Intrusão Baseada na Estação • Os sistemas de detecção de intrusão baseados na estação monitoram diversas atividades que ocorrem internamente em uma estação. • Porém, existem diversas possibilidades de escolhas do que é possível monitorar dentro de uma estação.

  21. Monitoramento da Atividade de Rede • É possível monitorar todos os pacotes que entram e saem de uma estação. • Os pacotes que entram são verificados antes de serem passados para processamento pela estação e os pacotes que saem são verificados pouco antes de serem colocados na rede.

  22. Monitoramento da Atividade de Rede • Este monitor pode ser visto como um sistema de detecção de intrusão de rede restrito a analisar somente o fluxo destinado e originado de uma mesma máquina. • Então, todos os conceitos explicados relacionados a SDIRs podem ser aplicados estes monitores, inclusive análises por assinaturas, protocolo e estado do protocolo.

  23. Monitoramento da Atividade de Rede • Uma vantagem ao monitorar a atividade da rede na estação emissora ou receptora do tráfego é a possibilidade de analisar o conteúdo dos pacotes que passam criptografados na rede. • Nas estações finais, como esse tráfego é descriptografado, o conteúdo real dos pacotes pode ser verificado e caso apresente alguma anomalia, ela pode ser detectada.

  24. Monitoramento da Atividade de Rede • Isso não aconteceria caso estivesse sendo usado um sistema de intrusão que somente captura os pacotes que passam pela rede e os analisa, dado que ele não teria acesso as informações encriptadas. • Assim, ele não poderia, por exemplo, fazer uma análise do protocolo que estaria sendo protegido e somente poderia analisar o protocolo responsável pela criptografia dos dados.

  25. Monitoramento da Atividade de Login • Um dos artifícios que se pode usar para detectar intrusões é o acesso de usuários à estação. • Através do horário em que ele é feito e dependendo do usuário tem-se o conhecimento de que uma possível intrusão ocorreu.

  26. Monitoramento da Atividade de Login • Para isso, é preciso ter um perfil de acesso de todos os supostos usuários do sistema; • caso contrário, não há como esse monitoramento ser possível já que não existiria uma base de dados para comparação.

  27. Monitoramento da Atividade do Super-usuário • Alcançar os privilégios de super-usuário sempre foi o objetivo da maioria das invasões. • Geralmente, em sistemas normais, a atividade do super-usuário só é vista em processos de manutenção do sistema, ou seja, sua atividade real não é muito grande se a rede for simples.

  28. Monitoramento da Atividade do Super-usuário • Uma linha de defesa que pode ser utilizada é o monitoramento das atividades do super-usuário para que se tenha um registro de todas suas atividades realizadas.

  29. Monitoramento da Atividade do Super-usuário • A tarefa de monitorar essas atividades poderia ser feita através de um sistema de registros (logs) que armazenasse todos os comandos executados por esse usuário. • A partir desse registros, programas podem ser executados para varrê-los temporariamente e notificar se alguma atividade estranha for detectada.

  30. Monitoramento do Sistema de Arquivos • Uma vez tendo sido o sistema comprometido por algum invasor, este será alterado através da modificação de arquivos deste sistema.

  31. Monitoramento do Sistema de Arquivos • Como exemplos, os arquivos de registros muito provavelmente serão alterados com o objetivo de apagar as trilhas deixadas pelo processo de invasão; • programas podem ser baixados para a estação comprometida com o objetivo de manter o acesso a ela através de backdoors;

  32. Monitoramento do Sistema de Arquivos • e ainda podem ser instalados programas com o objetivo de farejar a rede procurando senhas usadas em protocolos onde a mesma passa em aberto, isto é, sem nenhum tipo de proteção ou criptografia.

  33. Monitoramento do Sistema de Arquivos • Um monitoramento do sistema de arquivos, embora sendo uma atividade passiva, isto é, não toma nenhuma atitude mesmo ao detectar diferenças nos arquivos, serve para avisar ao administrador de rede quais arquivos sofreram alterações e quais foram adicionados.

  34. Monitoramento do Sistema de Arquivos • Essa informação é importante para recuperar o sistema de uma invasão, podendo assim separar os arquivos que sofreram algum tipo de alteração dos inalterados. • Para seu funcionamento, é necessário estabelecer uma base de dados que contém diversas informações importantes sobre arquivos cruciais para o funcionamento do sistema.

  35. Monitoramento do Sistema de Arquivos • Essas informações são todas relacionadas a arquivos e podem ser, por exemplo: • Tamanho; • Data da última modificação e criação; • Somas de verificação; • Permissões.

  36. Monitoramento do Sistema de Arquivos • Tendo essa base de dados, o programa responsável por monitorar o sistema de arquivo checaria se os arquivos presentes foram alterados através de uma comparação dos valores atuais do sistema com os valores encontrados nessa base de dados. • Sendo os valores atuais do sistema, pode-se presumir que houve algum tipo de invasão.

  37. Monitoramento do Sistema de Arquivos • É importante frisar que, se a estação tiver sido comprometido e se os dados necessários para esse tipo de monitoramento ficarem armazenados na mesma estação, não é mais possívell confiar no sistema de monitoramento. • Pois o invasor pode ter alterado a base de dados que servia de comparação para o verificador de integridade do sistema de arquivos.

  38. Monitoramento do Sistema de Arquivos • O ideal é que esses dados fiquem armazenados em uma outra máquina, isolada e protegida ao máximo, para que seja possível saber as modificações reais feitas pelo invasor.

  39. Potes de Mel • Uma estação (pote de mel) é colocada a disposição para quem quiser invadí-la. • Esta estação, possui alguns serviços vulneráveis e tem por objetivo atrair usuários dispostos a invadi-la. • Toda a informação usada para a invasão será armazenada.

  40. Potes de Mel • Cria um ambiente totalmente falso, mas com perfeita aparência de um sistema real. • Os dados não tem o menor valor para a companhia. • Quando estas informações são acessadas, alarmes são acionados.

  41. Potes de Mel • Deixa claro os passos seguidos pelo invasor, até onde ele conseguiu chegar e o modo como isso foi feito. • Uma boa maneira de estudar o comportamento dos hackers!!!

  42. Potes de Mel • Os potes de mel, por si só, não são uma uma melhoria para a segurança de rede. • Fornecem informações valiosas: • Como são feitas algumas intrusões. • Como determinados serviços vulneráveis são explorados . • Como é o comportamento dos invasores após terem comprometido a máquina.

  43. Vantagens • Um pote de mel coleta muito poucos dados e o que ele coleta geralmente é de alto valor. • Assume-se que praticamente todo o tráfego que entra e sai ela é pelo menos suspeito. • Um dos grandes problemas em segurança é achar algum dado útil no meio de gigabytes, ou até mesmo terabytes de informação.

  44. Vantagens • Os potes de mel funcionam como fonte de recursos. • aprender o modo como as invasões são feitas. • Tendo essas informações, regras de como evitá-las, detectá-las e reagir a elas poderiam ser elaboradas.

  45. Vantagens • Pode ser uma boa iniciativa para reduzir possíveis danos como, por exemplo, ocorrências de falsos positivos. • Alarmes dos sistemas verdadeiros só disparariam se realmente um ataque estivesse ocorrendo.

  46. Desvantagens • Caso nenhuma ataque venha a ocorrer nos potes de mel, eles não tem sentido algum. • Para isso, é importante que seja liberado o acesso àquela estação. • A rede de produção deve ser isolada de onde está situado o pote de mel, preferencialmente através de um firewall.

  47. Desvantagens • Os potes de mel apresentam riscos na rede do usuário. • Pote de mel chamar a atenção para a rede onde ele está localizado. • Sendo assim, além do pote de mel, outras máquinas podem ser testadas contra falhas de segurança e talvez possam também ser invadidas.

  48. Desvantagens - Continuação • Antes de implementar qualquer tipo de pote de mel, é necessário um planejamento de toda a segurança da rede para evitar surpresas indesejáveis.

  49. Opnião de Alguns Hackers • Alguns hackers já declaram que não estão impressionados!!! • "Essa é uma antiga lição da escola de segurança. Só funcionará para aqueles que pararam na velha escola". (Adrian Lamo)

  50. Opnião de Alguns Hackers • Só funciona com pessoas inexperientes, sendo que sua eficácia é muito baixa. • Piores ataques são feitos por pessoas com alto conhecimento na rede. • Pessoal com alto conhecimento de segurança e suas táticas. • Em segurança os potes de mel é coisa para pegar scriptkids e afins.

More Related