Sistemas de Detecção de Intrusão

GSeg
UFRGS XIX Simpósio Brasileiro de Redes de Computadores

Sistemas de Detecção de
Intrusão
Rafael Campello e Raul Weber

UFRGS – II – PPGC – GSeg
Centro Universitário Franciscano

Florianópolis, 23 Maio de 2001

GSeg
UFRGS

GSeg
UFRGS

♦ Grupo de Segurança da UFRGS

♦ Pesquisas
– Sistemas de Detecção de Intrusão (IDS)
– Controle de Integridade de Arquivos
– Injeção de Falhas (TCP/IP)
– Votação Eletrônica
– Dinheiro Digital

Grupo de Segurança - UFRGS 2

GSeg
UFRGS

Objetivos do Curso
♦ Apresentar os princípios de um sistema de
detecção de intrusão e seu uso como
mecanismo de tolerância a falhas de
segurança

♦ Abordar aspectos conceituais

♦ Tecer algumas considerações práticas


GSeg
UFRGS

Público Alvo
♦ Estudantes de computação ou engenharia
– noções de redes de computadores
– noções de sistemas operacionais

♦ Profissionais ligados à administração ou à
gerência de segurança em redes de
computadores


GSeg
UFRGS

Programa
♦ Fundamentos de segurança

♦ Sistemas de Detecção de Intrusão (IDSs)

♦ Exemplos de IDSs

♦ Considerações práticas


GSeg
UFRGS

Fundamentos de Segurança
♦ Conceitos básicos

♦ Ameaças e ataques

♦ Mecanismos de proteção


GSeg
UFRGS

Sistemas de Detecção de Intrusão
♦ Conceitos básicos

♦ Métodos de detecção de intrusão

♦ Arquiteturas de IDS


GSeg
UFRGS

Exemplos de IDSs
♦ Snort
♦ Bro
♦ AAFID
♦ EMERALD
♦ RealSecure
♦ NFR


GSeg
UFRGS

Considerações Práticas
♦ Seleção e implementação

♦ Vulnerabilidades conhecidas

♦ Aspectos legais


GSeg
UFRGS

Cronograma
♦ Fundamentos de segurança

coffee-break (10h30min – 11h)

♦ Sistemas de Detecção de Intrusão

almoço (13h – 14h)

♦ Exemplos de IDS
♦ Considerações práticas


GSeg
UFRGS

Regra número 1

FAÇA PERGUNTAS DURANTE A
APRESENTAÇÃO !!!


GSeg
UFRGS

Fundamentos de Segurança

GSeg
UFRGS

Segurança: introdução
♦ Não começou como ciência nem como arte,
mas como um instinto

♦ Maior interesse do homem, durante a sua
história
– segurança própria, da família, dos bens, etc

♦ Matéria de sobrevivência
– criada naturalmente p/ garantir a sobrevivência
das espécies

GSeg
UFRGS

♦ A vida seria melhor sem essas
preocupações
– tranqüilidade/felicidade de décadas atrás

♦ Paradoxo:
– busca-se algo que não é desejado

♦ Principal motivo do descaso e do
despreparo

GSeg
UFRGS

♦ Atitude mais cômoda e barata:
– torcer para que nada aconteça
– semelhante a esperar que sua casa não seja
roubada

♦ Atitude correta:
– cercar-se de cuidados
– preparar-se para lidar com os problemas
– analogia: colocar um alarme e fazer um seguro
da casa

GSeg
UFRGS

♦ Por que ser negligente?
– segurança é custo
– segurança é perda na facilidade de uso
– valor da informação, da reputação e dos
serviços da organização não são levados em
consideração

♦ Em suma:
– custos com importância maximizada...
– ...em detrimento de valores mais importantes

GSeg
UFRGS

Segurança: evolução
♦ Estímulo para o desenvolvimento do
computador eletrônico

♦ Década de 40
– Colossus (Primeiro Computador Eletrônico)
• Decifrar as mensagens na 2º Guerra Mundial


GSeg
UFRGS

♦ Fim da guerra: preocupações com
segurança focadas em problemas físicos

♦ Computadores não possibilitavam o acesso
direto a seus usuários
– Inviabiliza qualquer tipo de ação contra sua
segurança.


GSeg
UFRGS

♦ Novas ameaças
– máquinas com acesso compartilhado (time-
sharing)
– Teleprocessamento
– Computadores pessoais
– Redes


GSeg
UFRGS

Ameaças: exemplos
♦ Destruição de informação ou de outro
recurso

♦ Modificação ou deturpação da informação

♦ Roubo, remoção ou perda de informação

♦ Revelação de informação

♦ Interrupção de serviços

GSeg
UFRGS

Atacantes
♦ Hacker/Cracker
♦ Script Kid, One-click hacker
♦ Espião
♦ Terrorista
Mitnick
♦ Atacante corporativo
♦ Vândalo
♦ Voyeur
Bart Simpson


GSeg
UFRGS

Ameaças: evolução
♦ Década de 80 - ataques individuais e
isolados
– Escolha de boas senhas
– Prevenir o compartilhamento indiscriminado
– Eliminar os bugs de segurança de programas


GSeg
UFRGS

Ameaças: evolução
♦ Década de 90 - ataques sofisticados
– Sniffers capturam senhas e outras informações
– Computadores são confundidos por IP
spoofing
– Sessões são desviadas através de connection
hijacking
– Dados são comprometidos via data spoofing
– Atacantes na maioria amadores (One-click
hacker, Script Kid)


GSeg
UFRGS

Segurança: conceitos
♦ Tentativa de minimizar a vulnerabilidade
de bens e recursos

♦ Mais abrangente: dotar os sistemas de:
– confiabilidade – integridade
– disponibilidade – autenticidade
– privacidade


GSeg
UFRGS

♦ O que se quer proteger?
– confiabilidade
– disponibilidade
– integridade
– privacidade
– autenticidade


GSeg
UFRGS

Permanentes
Confiabilidade
.
.
Atributos .
Físicas Disponibilidade

Intermitentes
Temporárias
Transitórias
Dependability
Falhas

Prevenção Detecção de erros
de falhas Confinamento e
DeProjeto
realização
Tolerância a avaliação de danos
falhas Recuperação de erros
Humanas
Meios
Tratamento de
Remoção de
Intencionais falhas
falhas
DeInteração
validação
Previsão de
Não intencionais
falhas


GSeg
UFRGS

♦ Validação
– remoção de falhas
– previsão de falhas
♦ Prevenção de falhas
♦ Tolerância a falhas
– detecção de erros
– confinamento e avaliação de danos
– recuperação de erros
– tratamento de falhas

GSeg
UFRGS

♦ Prevenção de falhas
– ex.: firewalls, criptografia, etc

♦ Detecção de falhas
– ex.: sistemas de detecção de intrusão

♦ Resposta
– ex.: reconfiguração de um firewall


GSeg
UFRGS

Exemplo 1: propriedade privada
♦ Prevenção
– trancas em portas, grades nas janelas, muros
ao redor da propriedade
♦ Detecção
– perceber o desaparecimento de algum objeto,
usar alarmes e circuitos de TV
♦ Reação
– chamar a polícia, reaver objetos roubados,
acionar o seguro


GSeg
UFRGS

Exemplo 2: redes
♦ Prevenção
– gerenciamento adequado, firewalls, proxies
♦ Detecção
– perceber anomalias no tráfego ou interrupção
de serviços, auditoria, IDS
♦ Reação
– relatar o incidente, reinstalar softwares,
redefinir políticas de segurança, demitir o
responsável

GSeg
UFRGS

♦ Ameaça
♦ Incidente
– atacante → ataque → objetivo
♦ Ataque
– ferramenta → vulnerabilidade → evento →
resultado não autorizado
♦ Evento
– ação → alvo


GSeg
UFRGS

Segurança: conceitos incidente
ataque(s)
evento

Atacantes Ferramenta Vulnerabilidade Ação Alvo Resultado ñ Objetivos
Autorizado
Hacker Ataque Projeto Probe Conta Acesso Desafio,
físico Ampliado status
Espião Troca de Implementação Varredura Processo Revelação de Ganho
Informação Informação Político
Terrorista Comando Configuração Flood Dado Informação Ganho
de Usuário Corrompida Financeiro
Atacante Script ou Autenticação Componente Negação de Dano
Corporativo Programa Serviço
Criminoso Agente Desvio Computador Roubo de
Profissional Autônomo Recursos
Vândalo Toolkit Spoof Rede

Voyeur Ferramenta Leitura Inter-rede
Distribuída
Interceptaçã Cópia
o de dados
Roubo

Modificação

Destruição


GSeg
UFRGS

Principais Ataques
♦ Engenharia social
♦ Coleta de informação
♦ Varredura
♦ Negação de serviço (DoS)
♦ Exploração de bugs
♦ Exploração de protocolos
♦ Sniffers
♦ Ataque do dicionário
♦ Código malicioso


GSeg
UFRGS

Engenharia Social
♦ Método: enganar as vítimas, por conversa,
telefone ou correio eletrônico

♦ Objetivos:
– obter informações valiosas
– obter privilégios
– convencer a vítima a executar ações indevidas
e perigosas


GSeg
UFRGS

Engenharia Social
♦ Prevenção: educação e conscientização
– não fornecer informações a estranhos
– exigir identificação
– escolher boas senhas
– não executar ações sem pensar (como executar
um programa anexo à uma mensagem)


GSeg
UFRGS

Coleta de Informação
♦ Informações úteis (ao atacante)
– domínio e servidores (whois e nslookup)
– números IP (nslookup e traceroute)
– arquitetura das máquinas (CPU, sistema
operacional)
– servidores (versões e plataforma)
– serviços de proteção (firewall, VPNs, ACL)
– acesso remoto (telefones, usuários
autorizados)
– usuários (nomes, cargos, funções)


GSeg
UFRGS

Coleta de Informação
♦ Problema: algumas informações devem ser
públicas

♦ Prevenção: evitar o fornecimento de informação
desnecessária

♦ Toda a informação vital para operação deve ser
obviamente fornecida, mas qualquer informação
adicional deve ser suprimida


GSeg
UFRGS

Varredura (Scanning)
♦ Teste sistemático dos números IP de uma
organização

♦ Determinação dos serviços estão ativos
(quais portas estão escutando)

♦ Prevenção: limitar o tráfego desnecessário
(filtro de pacotes ou firewall)


GSeg
UFRGS

Negação de Serviço
♦ DoS ou denial-of-service
♦ Objetivo: impedir o uso legítimo do
sistema, ou “derrubar” a máquina
♦ Inúmeras formas
– ping of death
– syn flood
– smurf attack
– UDP flood


GSeg
UFRGS

Negação de Serviço
♦ Impedir DoS é quase impossível

♦ Distribuir os serviços para a maioria
permanecer operacional

♦ Manter-se atualizado sobre as
vulnerabilidades apresentadas pela versão
atual do sistema


GSeg
UFRGS

Exploração de bugs
♦ Explorar “furos” de implementação para
obter privilégios

♦ Prevenção (em programas próprios)
– boas práticas de engenharia de software
– verificar erros comuns (estouros de buffers)
– verificar as entradas
– lei do menor privilégio


GSeg
UFRGS

Buffer Overflow

endend func 2
da do buf end da func 1

buf
evil_assembly_code() c, d a, b

func_3() func_2() func_1()
{ { {
char buf[100]; int c, d; int a, b;
read_user_input(buf); func_3(); func_2();
} } }


GSeg
UFRGS

Exploração de bugs
♦ Prevenção (em programas de terceiros)
– verificar vulnerabilidades conhecidas
– aplicar os patches disponíveis
– manter-se informado e atualizado
♦ Nenhum sistema é seguro
♦ Nenhum patch é perfeito
♦ Mas a maioria dos atacantes só sabe
explorar bugs, e não criá-los


GSeg
UFRGS

Exploração de Protocolos
♦ Muitos são derivados de falhas no
mecanismo de autenticação
– IP spoofing: utilizar um endereço IP confiável
– DNS spoofing: subverter o servidor de nomes
– Source Routing: utilizar os mecanismos de
roteamento
– Ataque RIP: enviar informações de
roteamento falsas
– Ataque ICMP: explorar msgs como redirect e
destination unreachable


GSeg
UFRGS

Sniffer
♦ sniffing - interface de rede que opera modo
promíscuo, capturando todos os pacotes

♦ É fácil para um programa sniffer obter
username e password dos usuários

♦ Utilização de sniffer é difícil de ser
detectada


GSeg
UFRGS

Ataque do Dicionário
♦ Um dos arquivos mais cobiçados por
atacantes é o de senhas
– Unix: /etc/passwd
– Windows: *.pwl
– Windows NT: SAM

♦ Senhas cifradas


GSeg
UFRGS

♦ Pessoas utilizam senhas facilmente
memorizáveis, como nomes próprios ou
palavras de uso corriqueiro

♦ Atacante compõe um dicionário e
experimenta todas as palavras deste
dicionário contra a cifra armazenada no
arquivo de senhas


GSeg
UFRGS

♦ Vários programas disponíveis (Crack, etc)

♦ Ação preventiva: atacar o próprio arquivo de
senhas

♦ Não utilizar senhas derivadas de palavras e
nomes

♦ Utilizar letras iniciais de frases ou palavras com
erros


GSeg
UFRGS

Código Malicioso
♦ Cavalos de Tróia (não se propagam)
– falsa tela de Login
– falsa Operação

♦ Vírus

♦ Backdoors

♦ Controle Remoto (Netbus, Back Orifice)


GSeg
UFRGS

Código Malicioso
♦ Prevenção: Monitores

♦ Impossível tratamento exato e confiável

♦ Manter anti-vírus atualizado

♦ Preparar procedimento de emergência


GSeg
UFRGS

Segurança: tipos
♦ Nenhuma segurança

♦ Segurança por obscuridade

♦ Segurança baseada em máquina

♦ Segurança baseada em rede

♦ Combinação de mecanismos

GSeg
UFRGS

Segurança: estratégias
♦ Atribuir privilégios mínimos
♦ Criar redundância de mecanismos
♦ Criar ponto único de acesso
♦ Determinar os pontos mais fracos
♦ Tornar o sistema livre de falhas (fail-safe)
♦ Incentivar a participação universal
♦ Investir na diversidade de defesa
♦ Prezar a simplicidade

GSeg
UFRGS

Segurança: posturas
♦ Postura padrão de negação (prudente)
– especificar o que é permitido
– proibir o resto

♦ Postura padrão de permissão (permissiva)
– especificar o que é proibido
– permitir o resto


GSeg
UFRGS

Medidas de segurança
♦ O que se está querendo proteger?
♦ O que é preciso para proteger?
♦ Qual a probabilidade de um ataque?
♦ Qual o prejuízo se o ataque for bem
sucedido?
♦ Implementar procedimentos de segurança
irá ser vantajoso no ponto de vista custo-
benefício?


GSeg
UFRGS

Política de segurança
♦ Conjunto de leis regras e práticas que
regulam (informações e recursos):
– como gerenciar
– como proteger
– como distribuir

♦ Sistema seguro = sistema que garante o
cumprimento da política de segurança
traçada


GSeg
UFRGS

Política de segurança
♦ Define o que é e o que não é permitido no
sistema

♦ Define o comportamento autorizado para
os indivíduos que interagem com o sistema


GSeg
UFRGS

Mecanismos para segurança
♦ Wrappers

♦ Firewalls

♦ Criptografia

♦ Redes Privadas (VPNs)

♦ Ferramentas de verificação

GSeg
UFRGS

Wrapers
♦ TCP Wrappers são um conjunto de
programas que “encapsulam” os daemons
dos serviços de rede visando aumentar sua
segurança

♦ Funcionam como um filtro e estendem o
serviço original


GSeg
UFRGS

Wrapers
♦ O wrapper não pode ser considerado uma
ferramenta para segurança total

♦ Visa suprir deficiências dos servidores
atuais e aumentar o controle sobre sua
utilização

♦ Ótima ferramenta para registro (log)


GSeg
UFRGS

Firewalls
♦ Conjunto de componentes colocados entre
duas redes e que coletivamente
implementam uma barreira de segurança

♦ Finalidade
– retardar os efeitos de um ataque até que
medidas administrativas contrárias sejam
executadas


GSeg
UFRGS

Firewalls
♦ Objetivo básico
– defender a organização de ataques externos

♦ Efeito secundário
– pode ser utilizado para regular o uso de
recursos externos pelos usuários internos


GSeg
UFRGS

Firewalls
Internet

DMZ Rede interna


GSeg
UFRGS

Firewalls
♦ Pode ser implementado utilizando dois
mecanismos básicos:
– filtragem de pacotes
• análise dos pacotes que passam pelo firewall

– servidores proxy
• análise dos serviços sendo utilizados


GSeg
UFRGS

Criptografia
♦ Não existe sistema absolutamente seguro

♦ Toda criptografia pode ser “quebrada”

♦ Complexidade temporal

♦ Complexidade econômica

♦ Segurança “computacional”


GSeg
UFRGS

Criptografia de chave única
Alice Bob

Única Única

Esta mensagem é fsdfsdgfdghdgkdhf fsdfsdgfdghdgkdhf Esta mensagem é
secreta, pois gkdshgksdfghkdsh gkdshgksdfghkdsh secreta, pois
contém dados da gfksdfghkfdsgiuer gfksdfghkfdsgiuer contém dados da
mais alta bdhbkdbskfbhkbsl bdhbkdbskfbhkbsl mais alta
importância para dbhdfskbhdksfbhk dbhdfskbhdksfbhk importância para
a nossa empresa. dbhdbfkhsdkbhdfk dbhdbfkhsdkbhdfk a nossa empresa.

DECIFRAGEM TRANSMISSÃO CIFRAGEM


GSeg
UFRGS

Criptografia de chave única
♦ Única chave para cifragem e decifragem

♦ Substituição, permutação, operações
algébricas

♦ Alta velocidade

♦ Problemas na distribuição de chaves


GSeg
UFRGS

Criptografia de chave pública
Alice Bob

Pub Priv Pub

Esta mensagem é fsdfsdgfdghdgkdhf fsdfsdgfdghdgkdhf Esta mensagem é
secreta, pois gkdshgksdfghkdsh gkdshgksdfghkdsh secreta, pois
contém dados da gfksdfghkfdsgiuer gfksdfghkfdsgiuer contém dados da
mais alta bdhbkdbskfbhkbsl bdhbkdbskfbhkbsl mais alta
importância para dbhdfskbhdksfbhk dbhdfskbhdksfbhk importância para
a nossa empresa. dbhdbfkhsdkbhdfk dbhdbfkhsdkbhdfk a nossa empresa.

DECIFRAGEM TRANSMISSÃO CIFRAGEM


GSeg
UFRGS

♦ Duas chaves: uma pública e outra secreta

♦ Cifragem com uma chave somente é
decifrada com a outra chave


GSeg
UFRGS

♦ Privacidade: cifrar com chave pública;
somente chave secreta pode decifrar

♦ Assinatura: cifrar com chave secreta; chave
pública decifra e identifica usuário


GSeg
UFRGS

Criptografia + Assinatura

Alice Bob

Pub Pub Priv Pub Pub Priv

Fsdjfljgljdlgjdlgjldgjld Fsdjfljgljdlgjdlgjldgjld
Esta mensagem é jgldjgldjfgljdfljlvbkjn; jgldjgldjfgljdfljlvbkjn; Esta mensagem é
secreta, pois x923q8508hugdkbn x923q8508hugdkbn secreta, pois
contém dados da msbn5y9[6590mnkp msbn5y9[6590mnkp contém dados da
mais alta mjfw44n50b0okythp; mjfw44n50b0okythp; mais alta
importância para jguent039oktrpgerjh jguent039oktrpgerjh importância para
a nossa empresa. gwunpt058bngnwug0 gwunpt058bngnwug0 a nossa empresa.
9u6buyhjoireueyu84 9u6buyhjoireueyu84
8ybnuyue98 8ybnuyue98
4932uvf9vbd8bbfgbfg
h25c924fed23 4932uvf9vbd8bbfgbfg
h25c924fed23


GSeg
UFRGS

♦ Operação: funções aritméticas complexas

♦ Baixa velocidade, fácil distribuição de
chaves

♦ Exemplos: RSA, DSS, DH, El Gamal (512
a 2048 bits)


GSeg
UFRGS

Ferramentas de Análise
♦ COPS (Computer Oracle and Password
Program)
♦ SATAN (Security Analysis Tool for
Auditing Network)
♦ ISS (Internet Security Scanner)
♦ SAINT (Security Administrator’s
Integrated Network Tool)
♦ Nessus (um dos mais atuais)


GSeg
UFRGS

Verificadores de Integridade
♦ Verificar se arquivos e configurações
permanecem inalterados

♦ Compara a situação atual com a situação inicial

♦ Utiliza funções de checksum e hash

♦ Hash a nível criptográfico: MD5, SHA

♦ Exemplo: Tripwire, Soffic (UFRGS)


GSeg
UFRGS

Verificadores de Senhas
♦ Verificar se uma senha pode ser “quebrada”

– Exemplo: Crack

♦ Verificar se uma senha é “fácil”

– Exemplos: npasswd, passwd+


GSeg
UFRGS

Analisadores de Logs
♦ Facilitar a análise de arquivos de logs

♦ Realizar logs mais detalhados (além de um grep)

♦ Exemplos:
– Swatch (Simple Watcher)
– Netlog
– LogSurfer


GSeg
UFRGS

Segurança (resumindo)
♦ Segurança é um atributo negativo
– é fácil detectar pontos inseguros
– é difícil (impossível ?!?) provar segurança

♦ Segurança por obscuridade não é
segurança
– não adianta se esconder
– não adianta ser otimista
– esteja preparado

GSeg
UFRGS

Segurança (resumindo)
♦ Segurança é um atributo global
– envolve vários componentes do sistema
– envolve vários mecanismos
– analogia: poucos confiam apenas nas trancas
de seus carros

♦ Falsa sensação de segurança pode ser pior
do que a falta de cuidados


GSeg
UFRGS

Sistemas de Detecção de
Intrusão

GSeg
UFRGS

♦ Número crescente de ataques/incidentes
25000
21756

♦20000
Complexidade crescente
Incidentes Reportados

15000

♦10000
Ferramentas de ataque cada vez mais
9859

eficientes 3734
5000
2340 2412 2573 2134
1334
132 252 406 773
0
♦ Tempos de recuperação proibitivos
89

90

91

92

93

94

95

96

97

98

99

00
19

19

19

19

19

19

19

19

19

19

19

20

GSeg
UFRGS

♦ Prevenção não é suficiente

♦ Importância da diversidade de defesa

♦ Solução: Detecção de Intrusão
– garantir comportamento livre de falhas


GSeg
UFRGS

♦ Detecção de intrusão:
– tarefa de coletar e analisar eventos, buscando
sinais de intrusão e de mau-uso

♦ Intrusão:
– uso inapropriado de um sistema de informação
– ações tomadas para comprometer a
privacidade, integridade ou a disponibilidade


GSeg
UFRGS

♦ Detecção de intrusão X detecção de ataque
– intrusão: ação já concretizada
– ataque: ação maliciosa que gera um resultado
não autorizado

♦ Reação?


GSeg
UFRGS

IDS X Auditoria
♦ Ferramentas de auditoria
– prevenção
– confinamento e avaliação de danos
– tratamento de falhas
– Analogia: consultores e/ou peritos criminais

♦ IDSs
– detecção
– analogia: vigia noturno

GSeg
UFRGS

IDS: classificação
♦ Segundo os métodos de detecção usados

♦ Segundo a arquitetura adotada
– alvo
– localização


GSeg
UFRGS

♦ Segundo o método de detecção
– baseado em comportamento
– baseado em assinaturas
♦ Segundo a arquitetura
– alvo – localização
• baseado em rede • centralizado
• baseado em host • hierárquico
• híbrido • distribuído


GSeg
UFRGS

Baseado em
Método de Comportamento
Detecção Baseado em Rede
Baseado em
Assinaturas
Baseado em Host
Segundo o alvo Híbrido
Arquitetura
Segundo a Centralizado
IDS localização
Hierárquico
Passivo
Distribuído
Comportam.
pós-detecção
Ativo

Monitoramento
Freqüência de contínuo
uso
Análise periódica


GSeg
UFRGS

IDS: histórico
♦ Conceito surgido no início dos anos 80
♦ 1ª Geração
– registros de auditoria eram processados offline
– surgimento dos métodos baseados em
comportamento e em assinaturas
♦ 2ª Geração
– processamento estatisticamente + sofisticado
– mais medidas de comportamento monitoradas
– alertas em “tempo real” tornaram-se possíveis


GSeg
UFRGS

IDS: histórico
♦ 3ª Geração
– uso dos conceitos anteriores para sistemas em
rede/sistemas distribuídos
– uso de novas técnicas para detecção (sistemas
especialistas, redes neurais, data mining, etc)
– surgimento dos primeiros IDSs comerciais


GSeg
UFRGS

IDS: estrutura
♦ Componentes funcionalmente semelhantes
– independente da arquitetura/método adotados

♦ Muitas vezes agrupados

♦ Modularidade importante na aplicação e no
desenvolvimento de novos IDS


GSeg
UFRGS

IDS: componentes
♦ Geradores de eventos

♦ Analisadores de eventos

♦ Bases de dados de eventos

♦ Unidades de resposta


GSeg
UFRGS

IDS: padronização
♦ CIDF (Common Intrusion Detection
Framework)

♦ IDWG (Intrusion Detection Working
Group)


GSeg
UFRGS

IDS: IDWG

Origem dos Operador
Dados Atividade

IDS Notificação
Sensor
Evento Resposta
Analisador

Política de Alerta
Segurança
Administrador Gerente


GSeg
UFRGS

IDS: métodos de detecção
♦ Responsáveis diretos na busca por indícios
de intrusão

♦ Dois grandes grupos:
– técnicas baseadas em comportamento
– técnicas baseadas em assinaturas


GSeg
UFRGS

IDS: baseado em comportamento
♦ Detecção por anomalia
♦ Caracteriza o comportamento do sistema
em normal e anômalo
♦ Habilidade de distinguir o comportamento
normal de um anômalo

Anômalo Normal

Intrusão Comportamento
Normal


GSeg
UFRGS

IDS: baseado em comportamento
♦ Compara o estado atual do sistema com o
comportamento considerado normal

♦ Desvios são considerados intrusões

♦ Ex.: conexões externas em horários
incomuns, padrão de digitação

♦ Outros exemplos ???


GSeg
UFRGS

IDS: baseado em assinaturas
♦ Também chamada de detecção por mau uso
♦ Divide as ações do sistema em aceitáveis e
não aceitáveis
♦ Habilidade de encontrar tentativas de
exploração de vulnerabilidades conhecidas

Não aceitável Aceitável

Intrusão Ação
Normal


GSeg
UFRGS

IDS: baseado em assinaturas
♦ Compara as ações realizadas no sistema
com uma base de assinaturas de ataques

♦ Ex.: cópia do arquivo de senhas
(/etc/passwd)



GSeg
UFRGS

IDS: arquiteturas
♦ Diretamente ligado ao desempenho

♦ Segundo o alvo
– baseado em rede
– baseado em host
– híbrido

♦ Segundo a localização
– centralizado
– hierárquico
– distribuído


GSeg
UFRGS

IDS: rede
♦ Dados analisados são retirados da rede

♦ Detecção de ataques relacionados ao
tráfego de rede

♦ Ex: captura de pacotes, estatísticas de
tráfego



GSeg
UFRGS

IDS: host
♦ Dados obtidos na própria máquina

♦ Detecção de ataques relacionados a ações
locais

♦ Ex: trilhas de auditoria, cópias de arquivos

♦ IDSs baseados em aplicação: outra classe


GSeg
UFRGS

IDS: níveis

IDS baseado em aplicação

Nível de
abstração IDS baseado em host

IDS baseado em rede


GSeg
UFRGS

IDS: centralizado
♦ Função como coleta, análise e gerência em
um único componente

Máquina A

Gerente
Máquina B Máquina C
Analisador
Gerente Coletor Gerente
Analisador Analisador
Coletor Coletor


GSeg
UFRGS

IDS: hierárquico
♦ Funções distribuídas mas com fortes
relações de hierarquia Máquina A

Gerente

Máquina B

Analisador

Coletor Coletor Coletor

Máquina C Máquina D Máquina E


GSeg
UFRGS

IDS: distribuído
♦ Funções livremente distribuídas
Máquina A

Gerente
Máquina B

Analisador

Analisador Coletor Coletor

Máquina C Máquina D Máquina E


GSeg
UFRGS

Métodos de Detecção

GSeg
UFRGS

Métodos Tradicionais
♦ Busca “manual” por indícios de intrusão

♦ Realizada há bastante tempo (empírica)

♦ Técnicas de auditoria de sistemas

♦ Técnicas de gerência de redes


GSeg
UFRGS

♦ Análise de trilhas de auditoria
– registrar principais eventos
– selecionar eventos importantes
– buscar por indícios de intrusão (offline)
♦ Problemas
– manipulação de grandes qtdes de informação
– tamanho das trilhas (armazenamento)
– dificuldade de correlação de eventos


GSeg
UFRGS

♦ Análise de dados de gerência de redes
– uso de padrões como SNMP e RMON
– captura de pacotes (TCPdump, Ethereal)
– buscar por indícios de intrusão (tráfego
estranho, pacotes mau formados)
♦ Problemas
– manipulação de grandes qtdes de informação
– grande experiência em redes
– baixa eficiência

GSeg
UFRGS

Análise por assinaturas
♦ Método muito utilizado

♦ Dificuldade: correlacionar dados coletados
com as assinaturas existentes

♦ Principais técnicas:
– Filtros de pacotes
– Sistemas especialistas
– Redes de Petri


GSeg
UFRGS

♦ Vantagens
– baixo nº de falsos positivos
– adoção de contra-medidas imediatas
– redução na quantidade de informação tratada
– melhor desempenho


GSeg
UFRGS

♦ Desvantagens
– detecção só para ataques conhecidos
– dificuldade de manutenção
– base de assinaturas pode ser usada em novos
ataques
– difícil detecção de abusos de privilégios


GSeg
UFRGS

Análise por comportamento
♦ Comportamento estático X dinâmico

♦ Dificuldade: estabelecer comportamento
padrão

♦ Principais técnicas:
– análise estatística
– sistemas especialistas


GSeg
UFRGS

♦ Vantagens
– detecção de ataques desconhecidos
– usado na criação de novas bases de assinaturas
– esforço de manutenção reduzido
– menos dependente de plataforma
– facilita a detecção de abusos de privilégios


GSeg
UFRGS

♦ Desvantagens
– dificuldade de configuração
– maior nº de falsos positivos
– relatórios de difícil análise
– menor desempenho (cálculos complexos)
– dificuldade de lidar com mudanças normais de
comportamento


GSeg
UFRGS

Métodos Avançados
♦ Estudo de novas formas de análise

♦ Complexos

♦ Desempenho reduzido

♦ Implantação e manutenção dificultadas

♦ Incipientes e não aplicados em larga escala


GSeg
UFRGS

Métodos Avançados
♦ Redes neurais
– dificuldades no treinamento da rede
– mais usado na detecção de anomalias
♦ Sistema imunológico
– determinar o que pertence ao sistema
– procurar “corpos estranhos”
– Ex.: seqüências de chamadas de sistema
♦ Data minning e recuperação de informação


GSeg
UFRGS

Arquiteturas

GSeg
UFRGS

Baseada em Host
♦ Precursora em IDS

♦ Permite determinar as operações
desencadeadas no sistema

♦ Informações como:
– trilhas de auditoria
– carga de CPU
– programas executados
– integridade de arquivos

GSeg
UFRGS

Baseada em Host
♦ Vantagens
– independência de rede
– detecção de ataques internos / abusos de
privilégios
– maior capacidade de confinamento/avaliação
de danos e de recuperação de erros


GSeg
UFRGS

Baseada em Host
♦ Desvantagens
– dificuldade de instalação
– dificuldade de manutenção
– ataques ao próprio IDS
– dificuldade de tratar ataques de rede
– interferência no desempenho do sistema
– dependência de plataforma


GSeg
UFRGS

Baseada em Rede
♦ Tratar ataques à própria rede

♦ Permite determinar as operações
desencadeadas através da rede

♦ Informações como:
– pacotes de rede (cabeçalhos e dados)
– estatísticas de tráfego
– SNMP

GSeg
UFRGS

Baseada em Rede
♦ Vantagens
– detecção de ataques externos
– facilidade de instalação
– facilidade de manutenção
– interferência mínima (nula) no desempenho
– independência de plataforma


GSeg
UFRGS

Baseada em Rede
♦ Desvantagens
– tratamento de redes de alta velocidade
– dependência de rede
– dificuldade de reação


GSeg
UFRGS

Centralizado
♦ Precursor em IDS
♦ Vantagens
– simplicidade
– interferência mínima (nula) na rede
– imunidade a problemas de autenticidade
♦ Desvantagens
– ponto único de falha
– instalação/manutenção em grandes redes
– crescimento modular dificultado

GSeg
UFRGS

Distribuído
♦ Vantagens
– robustez
– crescimento modular
– distribuição de tarefas
– abrangência de detecção
♦ Desvantagens
– complexidade
– interferência no desempenho da rede
– necessidade de autenticação

GSeg
UFRGS

Hierárquico
♦ Fortes relações de subordinação

♦ Maior facilidade de desenvolvimento

♦ Pontos únicos de falha


GSeg
UFRGS

Soluções Híbridas
♦ Mesclar soluções

♦ Aproveitar vantagens de cada abordagem

♦ Equilibrar necessidades e proibições


GSeg
UFRGS

Exemplos de IDSs

GSeg
UFRGS

Snort
♦ Um dos mais utilizados no momento

♦ Arquitetura centralizada

♦ Dados coletados na rede

♦ Análise baseada em assinaturas


GSeg
UFRGS

Snort
♦ Simplicidade e eficiência

♦ Base com milhares de assinaturas

♦ Plataforma UNIX ou Windows

♦ Distribuição livre (www.snort.org)


GSeg
UFRGS

Snort
♦ Captura de pacotes de rede (libpcap)
– uso de regras de filtragem (TCPdump)

♦ Analisador simples
– baseado em regras
– trata cabeçalhos e dados

♦ Ações: registrar, alertar ou descartar


GSeg
UFRGS

Snort: regras
♦ 1ª parte: ação a ser tomada
– log, alert ou pass

♦ 2ª parte: padrão procurado
– cabeçalho ou conteúdo
alert TCP $HOME_NET 146 -> !$HOME_NET 1024: (msg:quot;IDS315 - BACKDOOR-
ACTIVITY - Infector.1.xquot;; content: quot;WHATISITquot;; )

alert TCP $HOME_NET 21 -> !$HOME_NET any (msg:quot;FTP-NT-bad-loginquot;;
content: quot;Login failed.quot;; )


GSeg
UFRGS

Snort
♦ Pré-processadores (v 1.5)
– código executado antes da análise
– portscan, eliminação de caracteres, etc

♦ Módulos de saída (v 1.6)
– código executado quando um alerta ou registro
é feito (após a análise)
– syslog, postgresql, reação, etc


GSeg
UFRGS

Bro
♦ Desenvolvido pelo Lawrence Berkeley
National Laboratory

♦ Arquitetura centralizada




GSeg
UFRGS

Bro
♦ Utiliza scripts

♦ Base com poucas assinaturas

♦ Implementações em DecUnix, FreeBSD,
Solaris, SunOS e Linux

♦ Distribuição livre (www-nrg.ee.lbl.gov)


GSeg
UFRGS

Bro: estrutura
Script de políticas Alerta
Interpretador de scripts

Controle de eventos Fluxo de eventos
Máquina de eventos

Filtro TCPdump Fluxo de pacotes filtrados
libpcap

Fluxo de pacotes
Rede


GSeg
UFRGS

Bro: filtros
♦ Scripts semelhantes à linguagem C

event finger_request(c:connection, request: string, full: bool)
{
if ( request in hot_names )
++c$hot;

if ( c$hot > 0 )
log fmt(quot;finger: %squot;, msg);
print finger_log, fmt(quot;%.6f %squot;, c$start_time, msg);
c$addl = c$addl == quot;quot; ? req : fmt(quot;*%s, %squot;, c$addl, req);
}


GSeg
UFRGS

AAFID
♦ Autonomous Agents for Intrusion Detection

♦ Desenvolvido pelo CERIAS

♦ Arquitetura hierárquica

♦ Dados coletados na rede e no host

♦ Análise de acordo com os agentes


GSeg
UFRGS

AAFID: componentes
a

a
T T a

a
M
a
T M Interface

a Agente
T Transceiver a
a
Fluxo de
a a
Controle
M Monitor
Fluxo de
Dados


GSeg
UFRGS

AAFID
♦ Escrito em Perl
– fácil migração

♦ Pseudo-linguagem (AAS) para
especificação de agentes

♦ Componentes de execução independente

♦ Monitores usam execução remota (ssh)


GSeg
UFRGS

EMERALD
♦ Event Monitoring Enabling Response to
Anomalous Live Disturbance)

♦ Desenvolvido pela SRI International

♦ Arquitetura distribuída

♦ Dados coletados no host e na rede


GSeg
UFRGS

EMERALD
♦ Análise baseada em conhecimento e em
assinaturas

♦ Projeto sucessor do IDES e NIDES

♦ Projetado para redes de larga escala

♦ Conceito de monitores/domínios


GSeg
UFRGS

EMERALD: domínios

Monitor de Organização

Domínio A Domínio B

Monitor de Domínio Monitor de Domínio

Monitor de Serviço Monitor de Serviço Monitor de Serviço Monitor de Serviço


GSeg
UFRGS

EMERALD: monitor

Analisador por API do Monitor
A assinaturas A
P Recursos para o Elemento de P
Sistema alvo I Analisador sistema alvo decisão I Outros monitores
por
comportamento
API do Monitor


GSeg
UFRGS

EMERALD
♦ Modularidade

♦ Independência de alvo

♦ Correlação de alertas

♦ Possível integração com outros
mecanismos


GSeg
UFRGS

RealSecure
♦ Desenvolvido pela ISS (Internet Security
System)

♦ Grande aceitação no mercado

♦ Arquitetura hierárquica

♦ Dados coletados na rede e no host



GSeg
UFRGS

RealSecure
♦ Sensores
– rede
– host
– servidor
– plataformas: WinNT, AIX, Solaris, HP-UX

♦ Console
– master controller ou não
– plataforma: WinNT

GSeg
UFRGS

RealSecure
♦ Políticas aplicadas através dos consoles

♦ Possível autenticação entre
sensores/consoles

♦ Reação
– firecell signatures (firewall local)
– reconfiguração de firewalls
– encerramento de sessão
– etc


GSeg
UFRGS

RealSecure
♦ Permite a criação de scripts Tcl associados
a assinaturas (SecureLogic)

♦ Permite a definição de assinaturas do
usuário

♦ Permite a criação de filtros


GSeg
UFRGS

NFR
♦ Network Flight Recorder

♦ Desenvolvida por Marcus Ranum (NFR
Security)

♦ Ferramenta para análise de tráfego e
posterior registro

♦ Versão comercial (completa) e de domínio
público (reduzida)

GSeg
UFRGS

NFR
♦ Arquitetura centralizada/hierárquica


♦ Análise baseada em assinaturas e em
conhecimento


GSeg
UFRGS

NFR: estrutura
Sensor Sensor
NFR NFR

Backend Backend

Analisador Backend Analisador Backend Interface
...
de
Backend Backend Administração
(AI)
Gravador Gravador

Servidor Central de Gerenciamento (CMS)


GSeg
UFRGS

NFR
♦ Base mantida por terceiros

♦ Regras escritas em linguagem proprietária
(N-Code), semelhante à C

♦ Geração de byte-codes

♦ Distribuição através de pacotes


GSeg
UFRGS

Considerações Práticas

GSeg
UFRGS

Seleção e Implementação
♦ Escolha depende de cada caso

♦ Equívocos podem causar falsa sensação de
segurança

♦ Importante o mapeamento da realidade
computacional da organização


GSeg
UFRGS

♦ Política de segurança
– avaliar política existente
– (re)definir política

♦ Integrar mecanismos de prevenção e
detecção
– firewalls
– autenticação
– recuperação
– verificação

GSeg
UFRGS

♦ Analisar detalhes técnicos
– métodos de detecção e arquitetura
– testes realizados por terceiros
– nível de conhecimento para operação
– possibilidade de expansão
– suporte
– integração com outros mecanismos
– plataformas disponíveis
– custo

GSeg
UFRGS

♦ Criar ambiente de testes

♦ Distribuir corretamente os sensores de rede

♦ Instalar sensores de host


GSeg
UFRGS

Distribuição de Sensores


GSeg
UFRGS

♦ Atrás do firewall externo
– ver ataques externos que passaram do firewall
– ver ataques direcionados à DMZ
– analisar o tráfego de saída

♦ Depois do firewall externo
– ver ataques direcionados à rede


GSeg
UFRGS

♦ Nos backbones
– monitorar grandes qtdes de tráfego
– detectar ataques internos

♦ Nas redes críticas
– detectar ataques aos recursos críticos
– permitir o foco nos recursos de maior valor


GSeg
UFRGS

Sensores: problemas
♦ Tráfego criptografado

♦ Tráfego segmentado

♦ Tráfego de alta velocidade


GSeg
UFRGS

Vulnerabilidades Conhecidas
♦ Falsos alarmes

♦ Negação de serviço (DoS)

♦ Tolerância a falhas

♦ Autenticação


GSeg
UFRGS

Vulnerabilidades Conhecidas
♦ Desativação de ferramentas baseadas em
host

♦ Inserção de tráfego
– pacotes descartados pelo sistema alvo

♦ Evasão de tráfego
– pacotes descartados pelo IDS


GSeg
UFRGS

Subvertendo o IDS
♦ Procurando pela string “su root”.
– e quanto à string “su me^H^Hroot” ?
– e quanto à string “su<telnet option> root” ?
– e quanto à string “alias blammo su”, e depois
“blammo root” ?


GSeg
UFRGS

Reconstruindo Fluxos
♦ Procurando pela string “USER root”. Basta
procurar na porção de dados de pacotes
TCP? USER root

TCP: HDR USER HDR root

IP: HDR HDR US HDR ER HDR HDR ro HDR ot

É necessário remontar fragmentos e colocá-los em seqüência


GSeg
UFRGS

Mais Fragmentos
Suponha o seguinte ataque:
1. HDR HDR US

2. HDR ER
3. 1,000,000 fragmentos sem relação c/ o ataque

4. HDR HDR ro

5. HDR ot


GSeg
UFRGS

Mais Fragmentos
1. HDR HDR US Seq. #

2. HDR ER Time

3a. HDR HDR ro

3b. HDR HDR fo

4. HDR ot

O que considerar ( “USER root” ou “USER foot”)?
Qual decisão será tomada pelo SO?


GSeg
UFRGS

Aspectos Legais
♦ Interceptação telemática
– C.F. Artigo 5º parágrafo XII

♦ Privacidade

♦ Documentar políticas


GSeg
UFRGS

Conclusões

GSeg
UFRGS

Conclusões
♦ Aumento no nº de incidentes

♦ Despreparo dos profissionais da área

♦ Não existe segurança 100%

♦ Não existe solução completa


GSeg
UFRGS

Conclusões
♦ IDS é mais um mecanismo útil

♦ Serve como suporte à tomada de decisões

♦ Vasto campo para novas pesquisas


GSeg
UFRGS

Contatos

Rafael Campello
e-mail: campello@inf.ufrgs.br

Raul Weber
e-mail: weber@inf.ufrgs.br

GSeg
UFRGS
e-mail: gseg@inf.ufrgs.br
página: www.inf.ufrgs.br/~gseg


Sistemas de Detecção de Intrusão

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (10)

Similar a Sistemas de Detecção de Intrusão

Similar a Sistemas de Detecção de Intrusão (20)

Más de elliando dias

Más de elliando dias (20)

Sistemas de Detecção de Intrusão