1 / 48

S e min á r i o: Network Defense Tools

S e min á r i o: Network Defense Tools. Osmany Barros de Freitas obf@cin.ufpe.br. Roteiro. Motivação Tipos de Defesa Prevenção de Intrusos Firewall Traffic Shaping Detecção de Intrusos Tripwire HijackThis Nessus Referências. Motivação.

sienna
Download Presentation

S e min á r i o: Network Defense Tools

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Seminário:Network Defense Tools Osmany Barros de Freitas obf@cin.ufpe.br

  2. Roteiro • Motivação • Tipos de Defesa • Prevenção de Intrusos • Firewall • Traffic Shaping • Detecção de Intrusos • Tripwire • HijackThis • Nessus • Referências

  3. Motivação • Devido ao grande alarme de ataques e invasões de vândalos, muitas pessoas receiam deixar seus computadores diretamente ligados à internet • Administrar uma rede segura nunca foi tão desafiador

  4. Tipos de Defesas • Defesas Externas • IPS, IDS • Proteger a rede e os hosts • Manter ameaças externas longe da rede interna • Defesas Internas • Anti-Vírus, Anti-Spyware • Proteger os hosts

  5. IDS • Sistema de Detecção de Intruso ( Passivo) • Sistema utilizado para manipular tráfegos maliciosos que não são detectados por um firewall convencional. • Vulnerabilidades no sistema • Elevação de privilégios • Login não autorizado • Malware

  6. IPS • Sistema de Prevenção de Intruso(Reativo) • Sistema que pratica o controle de acesso protegendo computadores de exploração. Bastante similar ao IDS, mas além de detectar tráfego suspeito, é capaz de tratá-lo. • Os IPS´s são usados para compor os sistemas de Firewall

  7. Ou seja... • Sistema de Detecção de Intruso • Apenas grava logs registrando atividades suspeitas • Sistema de Prevenção de Intruso • Reage mediante uma situação adversa

  8. Prevenção de Intrusos

  9. Firewall • Sistema que aplica políticas de segurança para restringir passagem apenas de tráfego autorizado • Cria um perímetro de defesa para proteger a rede interna

  10. Firewall • Funcionamento Básico • Age como uma barreira que controla o tráfego entre duas redes. Rede Local Internet Firewall

  11. Firewall - Vantagens • Permite criar um ponto de controle único, impedindo acessos não autorizados e recusando serviços e dados vulneráveis saiam da rede • Monitorar a rede, alertas de invasão em apenas um ponto da rede

  12. Firewall - Limitações • Manipulação maliciosa de dados por usuários internos • Não impede proliferação de vírus • Ataques acionados por dados que são recebidos via e-mail, por exemplo, onde sua execução dispara alterações em arquivos de segurança do sistema, tornando-o vulnerável

  13. Firewall - Windows http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php

  14. Firewall - Testes na Web • Symantec Security Check • http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym • Audit My PC Firewall Test • http://www.auditmypc.com/firewall-test.asp • Gibson Research Corporation-Internet Vulnerability Test • https://www.grc.com/x/ne.dll?bh0bkyd2 • PC Flank's tests • http://www.pcflank.com/about.htm • HackerWatch firewall tests • http://www.hackerwatch.org/probe/ • Hacker Whacker free tests • http://theta.hackerwhacker.com/freetools.php • Look 'n' Stop - Internet security Test • http://www.soft4ever.com/security_test/En/

  15. Traffic Shaping • Técnica para controlar o tráfego na rede provendo otimização e garantia de performance • Bastante utilizado por provedores de acesso para melhoria de seus serviços

  16. Traffic Shaping • O Firewall • Libera ou bloquea o tráfego • Traffic Shaping • Limita, condiciona o tráfego • Classificação • Filas • Políticas de esforço • QoS

  17. Traffic Shaping • Como controlar o tráfego de compartilhadores P2P ?

  18. Traffic Shaping • Clasifica e analiza o tráfego • Classificando IP e porta • Controla Tráfego • Selecionando faixas de banda para classes • Monitora performance da rede • Coleta dados e aplica políticas

  19. Exemplo:Firewall – Traffic Shaping

  20. Firewall - Linux • O Linux possui um Framework em seu Kernel funcionalidades de controle de pacotes que permitem a configuração de Firewall. • Nas versões até 2.2 do Kernel é chamado de ipchains, mas a partir da 2.4 é chamado de Netfilter (iptables )

  21. Exemplo - Firewall • Vamos mostrar como é possível configurar um Firewall utilizando as linhas de comando para configurar os módulos do Kernel

  22. Exemplo: Firewall Linux • Os tipos de tráfego permitidos serão agrupados em 4 grupos: ICMP DNS TCP ( tráfego comum ) Grupo 1 Grupo 2 Email P2P Grupo 3 Grupo 4 WWW ( http )

  23. Exemplo: Firewall Linux • Alterando as configurações do kernel do linux, é possível, com poucas instruções, configurar seu firewall e aplicar técnicas de Traffic Shaping. • Para isso utilizamos algumas linhas de comando para montar um script que descreve a configuração do nosso firewall

  24. Exemplo: Firewall Linux # Limpa as regras anteriores /sbin/ipchains -F input /sbin/ipchains -F output /sbin/ipchains -F forward # Bloquea todo acesso /sbin/ipchains -P input DENY /sbin/ipchains -P output DENY /sbin/ipchains -P forward DENY # Permite tráfego icmp e marca como grupo 1 /sbin/ipchains -A input -p ICMP -i ppp+ -j ACCEPT -m 1 /sbin/ipchains -A output -p ICMP -i ppp+ -j ACCEPT -m 1 /sbin/ipchains -A input -y -p tcp -i ppp+ -j ACCEPT -m 1 # Libera tráfego de email e marca como grupo 2 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 smtp -d 0/0 –j ACCEPT -m 2 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 pop3 -d 0/0 –j ACCEPT -m 2 # Configura acesso p2p na porta 6699 e marca como grupo 3 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 6699 -d 0/0 –j ACCEPT -m 3 /sbin/ipchains -A input -p tcp -i ppp+ -s 0/0 -d 0/0 6699 –j ACCEPT -m 3 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 nntp -d 0/0 –j ACCEPT -m 3 # Permite acesso www e https como grupo 4 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 www -d 0/0 –j ACCEPT -m 4 /sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 https -d 0/0 –j ACCEPT -m 4

  25. Exemplo: Traffic Shaping • Normalmente o TCP/IP no Linux tenta dividir a largura de banda com todas as conexões existentes. • Significa que se houver 49 conexões P2P e 1 para web, esta terá apenas 2% da banda. • Com Traffic Shaping podemos organizar essa distribuição do TCP/IP

  26. Exemplo: Traffic Shaping • Esse controle concede proteção contra ataques DoS, uma vez que firewall simples não protege contra SYN floods e ICMP floods. Importante: Esse controle não evita que o ataque seja efetuado, mas diminui os estragos provocados pelo mesmo

  27. Exemplo: Traffic Shaping • A figura ilustra o comportamento que queremos definir no nosso exemplo: 70% HTTP/HTTPS 20% SMTP/POP3 5% P2P 5% ICMP/TCP-SYN

  28. Exemplo: Traffic Shaping • Primeiro Grupo: ICMP, TCP-SYN, DNS receberá 5% da banda total (64*0.05=3.2): add_class 10:1 10:100 3.2kbit 0.32kbit 1 bounded • Segundo grupo SMTP,POP3 utilizará 20% do total da banda add_class 10:1 10:200 12.8kbit 1.28kbit 2 • Terceiro grupo: P2P terá direito a 5% da banda add_class 10:1 10:300 3.2kbit 0.32kbit 3 • Finalmente o quarto grupo: Http / Https receberá 70% de banda add_class 10:1 10:400 44.8kbit 4.48kbit 4

  29. Traffic Shaping - Firewall • Muitos programas gráficos para Linux transcrevem em comandos, como os mostrados no exemplo, a configuração definida pelo usuário via interface

  30. Detecção de Intrusos

  31. Detecção de Instrusos • Analisam os pacotes da rede comparando-os com assinaturas já prontas de ataque • Monitoram arquivos dos sistema em busca de modificações suspeitas • É capaz de trazer informações da rede como: • Quantas tentativas de ataques sofremos por dia; • Qual tipo de ataque foi usado; • Qual a origem dos ataques;

  32. Classificação de IDS • NIDS - Sistemas de Detecção de Intrusão de Rede • Os ataques são capturados e analisados através de pacotes da rede • Monitoram múltiplas estações através de sensores espalhados pela rede • Dificuldade pra processar dados em grandes redes e dados criptografados

  33. Classificação de IDS • HIDS - Sistemas de Detecção de Intrusão de Host • Operam sobre informações coletadas em computadores individuais • Por operar diretamente nas estações, é capaz de ver as conseqüências do ataque • Porém requer que cada máquina seja configurada e não detecta ataques em outras estações

  34. Ataque Padrão • O invasor: • Obtém acesso ao sistema • Adquire acesso root • Modifica o sistema pra instalar backdoor • Usa o backdoor para futuras atividades • Apaga rastros ( possivelmente )

  35. Tripwire • Basea-se em guardar informações sobre a estrutura dos arquivos no sistema. • Realiza comparações com uma base de dados e reporta problemas se houver diferenças

  36. Tripwire

  37. Hijack This • Programa que verifica processos ativos e entradas suspeitas no Windows, ajudando a identificar malwares em geral • Através dele é gerado um log que possibilita identificar

  38. Hijack This • Inicialmente o usuário roda a aplicação realizando um scan

  39. Hijack This • O log é gerado e salvo num arquivo:

  40. Hijack This • Analizador de logs gratuito no site do programa: http://hijackthis.de

  41. Hijack This • Trecho do resultado da análise do log: • Observe que qualquer processo suspeito é imediatamente avisado ao usuário

  42. Nessus • Programa de verificação de falhas/vulnerabilidades de segurança. • Composto por um cliente e servidor ( este serve para realizar o scan no cliente ) • Ele realiza uma varredura de portas, detectando servidores ativos e simulando invasões para detectar vulnerabilidades

  43. Nessus • Há 3 níveis de alerta: • O mais grave indica que há uma brecha de segurança em um servidor ativo da máquina. • O segundo informa que há um serviço potencialmente inseguro numa determinada porta • O último nível é apenas aviso mostrando que há um servidor ativo e que está sem falha de segurança

  44. Nessus • O nessus: • Aponta as falhas • Oferece uma descrição detalhada da vulnerabilidade • Aponta uma solução

  45. Nessus 1- Resultado da avaliação 2- Descrição do problema 3- Solução

  46. Referências • http://en.wikipedia.org/wiki/Main_Page • http://linhadefensiva.uol.com.br/forum • http://www.forum-invasao.com.br • http://www.securityfocus.com/infocus/1285 • http://crypto.stanford.edu/cs155/IDSpaper.pdf • http://www.hijackthis.de • http://www.nessus.org

  47. Obrigado

More Related