Multi-core Parallelization in Clojure - a Case Study
Sistemas de Detecção de Intrusão
1. GSeg
UFRGS XIX Simpósio Brasileiro de Redes de Computadores
Sistemas de Detecção de
Intrusão
Rafael Campello e Raul Weber
UFRGS – II – PPGC – GSeg
Centro Universitário Franciscano
Florianópolis, 23 Maio de 2001
2. GSeg
UFRGS
GSeg
UFRGS
♦ Grupo de Segurança da UFRGS
♦ Pesquisas
– Sistemas de Detecção de Intrusão (IDS)
– Controle de Integridade de Arquivos
– Injeção de Falhas (TCP/IP)
– Votação Eletrônica
– Dinheiro Digital
Grupo de Segurança - UFRGS 2
3. GSeg
UFRGS
Objetivos do Curso
♦ Apresentar os princípios de um sistema de
detecção de intrusão e seu uso como
mecanismo de tolerância a falhas de
segurança
♦ Abordar aspectos conceituais
♦ Tecer algumas considerações práticas
Grupo de Segurança - UFRGS 3
4. GSeg
UFRGS
Público Alvo
♦ Estudantes de computação ou engenharia
– noções de redes de computadores
– noções de sistemas operacionais
♦ Profissionais ligados à administração ou à
gerência de segurança em redes de
computadores
Grupo de Segurança - UFRGS 4
5. GSeg
UFRGS
Programa
♦ Fundamentos de segurança
♦ Sistemas de Detecção de Intrusão (IDSs)
♦ Exemplos de IDSs
♦ Considerações práticas
Grupo de Segurança - UFRGS 5
6. GSeg
UFRGS
Fundamentos de Segurança
♦ Conceitos básicos
♦ Ameaças e ataques
♦ Mecanismos de proteção
Grupo de Segurança - UFRGS 6
7. GSeg
UFRGS
Sistemas de Detecção de Intrusão
♦ Conceitos básicos
♦ Métodos de detecção de intrusão
♦ Arquiteturas de IDS
Grupo de Segurança - UFRGS 7
8. GSeg
UFRGS
Exemplos de IDSs
♦ Snort
♦ Bro
♦ AAFID
♦ EMERALD
♦ RealSecure
♦ NFR
Grupo de Segurança - UFRGS 8
9. GSeg
UFRGS
Considerações Práticas
♦ Seleção e implementação
♦ Vulnerabilidades conhecidas
♦ Aspectos legais
Grupo de Segurança - UFRGS 9
10. GSeg
UFRGS
Cronograma
♦ Fundamentos de segurança
coffee-break (10h30min – 11h)
♦ Sistemas de Detecção de Intrusão
almoço (13h – 14h)
♦ Exemplos de IDS
♦ Considerações práticas
Grupo de Segurança - UFRGS 10
11. GSeg
UFRGS
Regra número 1
FAÇA PERGUNTAS DURANTE A
APRESENTAÇÃO !!!
Grupo de Segurança - UFRGS 11
13. GSeg
UFRGS
Segurança: introdução
♦ Não começou como ciência nem como arte,
mas como um instinto
♦ Maior interesse do homem, durante a sua
história
– segurança própria, da família, dos bens, etc
♦ Matéria de sobrevivência
– criada naturalmente p/ garantir a sobrevivência
das espécies
Grupo de Segurança - UFRGS 13
14. GSeg
UFRGS
Segurança: introdução
♦ A vida seria melhor sem essas
preocupações
– tranqüilidade/felicidade de décadas atrás
♦ Paradoxo:
– busca-se algo que não é desejado
♦ Principal motivo do descaso e do
despreparo
Grupo de Segurança - UFRGS 14
15. GSeg
UFRGS
Segurança: introdução
♦ Atitude mais cômoda e barata:
– torcer para que nada aconteça
– semelhante a esperar que sua casa não seja
roubada
♦ Atitude correta:
– cercar-se de cuidados
– preparar-se para lidar com os problemas
– analogia: colocar um alarme e fazer um seguro
da casa
Grupo de Segurança - UFRGS 15
16. GSeg
UFRGS
Segurança: introdução
♦ Por que ser negligente?
– segurança é custo
– segurança é perda na facilidade de uso
– valor da informação, da reputação e dos
serviços da organização não são levados em
consideração
♦ Em suma:
– custos com importância maximizada...
– ...em detrimento de valores mais importantes
Grupo de Segurança - UFRGS 16
17. GSeg
UFRGS
Segurança: evolução
♦ Estímulo para o desenvolvimento do
computador eletrônico
♦ Década de 40
– Colossus (Primeiro Computador Eletrônico)
• Decifrar as mensagens na 2º Guerra Mundial
Grupo de Segurança - UFRGS 17
18. GSeg
UFRGS
Segurança: evolução
♦ Fim da guerra: preocupações com
segurança focadas em problemas físicos
♦ Computadores não possibilitavam o acesso
direto a seus usuários
– Inviabiliza qualquer tipo de ação contra sua
segurança.
Grupo de Segurança - UFRGS 18
19. GSeg
UFRGS
Segurança: evolução
♦ Novas ameaças
– máquinas com acesso compartilhado (time-
sharing)
– Teleprocessamento
– Computadores pessoais
– Redes
Grupo de Segurança - UFRGS 19
20. GSeg
UFRGS
Ameaças: exemplos
♦ Destruição de informação ou de outro
recurso
♦ Modificação ou deturpação da informação
♦ Roubo, remoção ou perda de informação
♦ Revelação de informação
♦ Interrupção de serviços
Grupo de Segurança - UFRGS 20
22. GSeg
UFRGS
Ameaças: evolução
♦ Década de 80 - ataques individuais e
isolados
– Escolha de boas senhas
– Prevenir o compartilhamento indiscriminado
– Eliminar os bugs de segurança de programas
Grupo de Segurança - UFRGS 22
23. GSeg
UFRGS
Ameaças: evolução
♦ Década de 90 - ataques sofisticados
– Sniffers capturam senhas e outras informações
– Computadores são confundidos por IP
spoofing
– Sessões são desviadas através de connection
hijacking
– Dados são comprometidos via data spoofing
– Atacantes na maioria amadores (One-click
hacker, Script Kid)
Grupo de Segurança - UFRGS 23
24. GSeg
UFRGS
Segurança: conceitos
♦ Tentativa de minimizar a vulnerabilidade
de bens e recursos
♦ Mais abrangente: dotar os sistemas de:
– confiabilidade – integridade
– disponibilidade – autenticidade
– privacidade
Grupo de Segurança - UFRGS 24
25. GSeg
UFRGS
Segurança: conceitos
♦ O que se quer proteger?
– confiabilidade
– disponibilidade
– integridade
– privacidade
– autenticidade
Grupo de Segurança - UFRGS 25
26. GSeg
UFRGS
Segurança: conceitos
Permanentes
Confiabilidade
.
.
Atributos .
Físicas Disponibilidade
Intermitentes
Temporárias
Transitórias
Dependability
Falhas
Prevenção Detecção de erros
de falhas Confinamento e
DeProjeto
realização
Tolerância a avaliação de danos
falhas Recuperação de erros
Humanas
Meios
Tratamento de
Remoção de
Intencionais falhas
falhas
DeInteração
validação
Previsão de
Não intencionais
falhas
Grupo de Segurança - UFRGS 26
27. GSeg
UFRGS
Segurança: conceitos
♦ Validação
– remoção de falhas
– previsão de falhas
♦ Prevenção de falhas
♦ Tolerância a falhas
– detecção de erros
– confinamento e avaliação de danos
– recuperação de erros
– tratamento de falhas
Grupo de Segurança - UFRGS 27
28. GSeg
UFRGS
Segurança: conceitos
♦ Prevenção de falhas
– ex.: firewalls, criptografia, etc
♦ Detecção de falhas
– ex.: sistemas de detecção de intrusão
♦ Resposta
– ex.: reconfiguração de um firewall
Grupo de Segurança - UFRGS 28
29. GSeg
UFRGS
Exemplo 1: propriedade privada
♦ Prevenção
– trancas em portas, grades nas janelas, muros
ao redor da propriedade
♦ Detecção
– perceber o desaparecimento de algum objeto,
usar alarmes e circuitos de TV
♦ Reação
– chamar a polícia, reaver objetos roubados,
acionar o seguro
Grupo de Segurança - UFRGS 29
30. GSeg
UFRGS
Exemplo 2: redes
♦ Prevenção
– gerenciamento adequado, firewalls, proxies
♦ Detecção
– perceber anomalias no tráfego ou interrupção
de serviços, auditoria, IDS
♦ Reação
– relatar o incidente, reinstalar softwares,
redefinir políticas de segurança, demitir o
responsável
Grupo de Segurança - UFRGS 30
32. GSeg
UFRGS
Segurança: conceitos incidente
ataque(s)
evento
Atacantes Ferramenta Vulnerabilidade Ação Alvo Resultado ñ Objetivos
Autorizado
Hacker Ataque Projeto Probe Conta Acesso Desafio,
físico Ampliado status
Espião Troca de Implementação Varredura Processo Revelação de Ganho
Informação Informação Político
Terrorista Comando Configuração Flood Dado Informação Ganho
de Usuário Corrompida Financeiro
Atacante Script ou Autenticação Componente Negação de Dano
Corporativo Programa Serviço
Criminoso Agente Desvio Computador Roubo de
Profissional Autônomo Recursos
Vândalo Toolkit Spoof Rede
Voyeur Ferramenta Leitura Inter-rede
Distribuída
Interceptaçã Cópia
o de dados
Roubo
Modificação
Destruição
Grupo de Segurança - UFRGS 32
33. GSeg
UFRGS
Principais Ataques
♦ Engenharia social
♦ Coleta de informação
♦ Varredura
♦ Negação de serviço (DoS)
♦ Exploração de bugs
♦ Exploração de protocolos
♦ Sniffers
♦ Ataque do dicionário
♦ Código malicioso
Grupo de Segurança - UFRGS 33
34. GSeg
UFRGS
Engenharia Social
♦ Método: enganar as vítimas, por conversa,
telefone ou correio eletrônico
♦ Objetivos:
– obter informações valiosas
– obter privilégios
– convencer a vítima a executar ações indevidas
e perigosas
Grupo de Segurança - UFRGS 34
35. GSeg
UFRGS
Engenharia Social
♦ Prevenção: educação e conscientização
– não fornecer informações a estranhos
– exigir identificação
– escolher boas senhas
– não executar ações sem pensar (como executar
um programa anexo à uma mensagem)
Grupo de Segurança - UFRGS 35
36. GSeg
UFRGS
Coleta de Informação
♦ Informações úteis (ao atacante)
– domínio e servidores (whois e nslookup)
– números IP (nslookup e traceroute)
– arquitetura das máquinas (CPU, sistema
operacional)
– servidores (versões e plataforma)
– serviços de proteção (firewall, VPNs, ACL)
– acesso remoto (telefones, usuários
autorizados)
– usuários (nomes, cargos, funções)
Grupo de Segurança - UFRGS 36
37. GSeg
UFRGS
Coleta de Informação
♦ Problema: algumas informações devem ser
públicas
♦ Prevenção: evitar o fornecimento de informação
desnecessária
♦ Toda a informação vital para operação deve ser
obviamente fornecida, mas qualquer informação
adicional deve ser suprimida
Grupo de Segurança - UFRGS 37
38. GSeg
UFRGS
Varredura (Scanning)
♦ Teste sistemático dos números IP de uma
organização
♦ Determinação dos serviços estão ativos
(quais portas estão escutando)
♦ Prevenção: limitar o tráfego desnecessário
(filtro de pacotes ou firewall)
Grupo de Segurança - UFRGS 38
39. GSeg
UFRGS
Negação de Serviço
♦ DoS ou denial-of-service
♦ Objetivo: impedir o uso legítimo do
sistema, ou “derrubar” a máquina
♦ Inúmeras formas
– ping of death
– syn flood
– smurf attack
– UDP flood
Grupo de Segurança - UFRGS 39
40. GSeg
UFRGS
Negação de Serviço
♦ Impedir DoS é quase impossível
♦ Distribuir os serviços para a maioria
permanecer operacional
♦ Manter-se atualizado sobre as
vulnerabilidades apresentadas pela versão
atual do sistema
Grupo de Segurança - UFRGS 40
41. GSeg
UFRGS
Exploração de bugs
♦ Explorar “furos” de implementação para
obter privilégios
♦ Prevenção (em programas próprios)
– boas práticas de engenharia de software
– verificar erros comuns (estouros de buffers)
– verificar as entradas
– lei do menor privilégio
Grupo de Segurança - UFRGS 41
42. GSeg
UFRGS
Buffer Overflow
endend func 2
da do buf end da func 1
buf
evil_assembly_code() c, d a, b
func_3() func_2() func_1()
{ { {
char buf[100]; int c, d; int a, b;
read_user_input(buf); func_3(); func_2();
} } }
Grupo de Segurança - UFRGS 42
43. GSeg
UFRGS
Exploração de bugs
♦ Prevenção (em programas de terceiros)
– verificar vulnerabilidades conhecidas
– aplicar os patches disponíveis
– manter-se informado e atualizado
♦ Nenhum sistema é seguro
♦ Nenhum patch é perfeito
♦ Mas a maioria dos atacantes só sabe
explorar bugs, e não criá-los
Grupo de Segurança - UFRGS 43
44. GSeg
UFRGS
Exploração de Protocolos
♦ Muitos são derivados de falhas no
mecanismo de autenticação
– IP spoofing: utilizar um endereço IP confiável
– DNS spoofing: subverter o servidor de nomes
– Source Routing: utilizar os mecanismos de
roteamento
– Ataque RIP: enviar informações de
roteamento falsas
– Ataque ICMP: explorar msgs como redirect e
destination unreachable
Grupo de Segurança - UFRGS 44
45. GSeg
UFRGS
Sniffer
♦ sniffing - interface de rede que opera modo
promíscuo, capturando todos os pacotes
♦ É fácil para um programa sniffer obter
username e password dos usuários
♦ Utilização de sniffer é difícil de ser
detectada
Grupo de Segurança - UFRGS 45
46. GSeg
UFRGS
Ataque do Dicionário
♦ Um dos arquivos mais cobiçados por
atacantes é o de senhas
– Unix: /etc/passwd
– Windows: *.pwl
– Windows NT: SAM
♦ Senhas cifradas
Grupo de Segurança - UFRGS 46
47. GSeg
UFRGS
Ataque do Dicionário
♦ Pessoas utilizam senhas facilmente
memorizáveis, como nomes próprios ou
palavras de uso corriqueiro
♦ Atacante compõe um dicionário e
experimenta todas as palavras deste
dicionário contra a cifra armazenada no
arquivo de senhas
Grupo de Segurança - UFRGS 47
48. GSeg
UFRGS
Ataque do Dicionário
♦ Vários programas disponíveis (Crack, etc)
♦ Ação preventiva: atacar o próprio arquivo de
senhas
♦ Não utilizar senhas derivadas de palavras e
nomes
♦ Utilizar letras iniciais de frases ou palavras com
erros
Grupo de Segurança - UFRGS 48
49. GSeg
UFRGS
Código Malicioso
♦ Cavalos de Tróia (não se propagam)
– falsa tela de Login
– falsa Operação
♦ Vírus
♦ Backdoors
♦ Controle Remoto (Netbus, Back Orifice)
Grupo de Segurança - UFRGS 49
50. GSeg
UFRGS
Código Malicioso
♦ Prevenção: Monitores
♦ Impossível tratamento exato e confiável
♦ Manter anti-vírus atualizado
♦ Preparar procedimento de emergência
Grupo de Segurança - UFRGS 50
51. GSeg
UFRGS
Segurança: tipos
♦ Nenhuma segurança
♦ Segurança por obscuridade
♦ Segurança baseada em máquina
♦ Segurança baseada em rede
♦ Combinação de mecanismos
Grupo de Segurança - UFRGS 51
52. GSeg
UFRGS
Segurança: estratégias
♦ Atribuir privilégios mínimos
♦ Criar redundância de mecanismos
♦ Criar ponto único de acesso
♦ Determinar os pontos mais fracos
♦ Tornar o sistema livre de falhas (fail-safe)
♦ Incentivar a participação universal
♦ Investir na diversidade de defesa
♦ Prezar a simplicidade
Grupo de Segurança - UFRGS 52
53. GSeg
UFRGS
Segurança: posturas
♦ Postura padrão de negação (prudente)
– especificar o que é permitido
– proibir o resto
♦ Postura padrão de permissão (permissiva)
– especificar o que é proibido
– permitir o resto
Grupo de Segurança - UFRGS 53
54. GSeg
UFRGS
Medidas de segurança
♦ O que se está querendo proteger?
♦ O que é preciso para proteger?
♦ Qual a probabilidade de um ataque?
♦ Qual o prejuízo se o ataque for bem
sucedido?
♦ Implementar procedimentos de segurança
irá ser vantajoso no ponto de vista custo-
benefício?
Grupo de Segurança - UFRGS 54
55. GSeg
UFRGS
Política de segurança
♦ Conjunto de leis regras e práticas que
regulam (informações e recursos):
– como gerenciar
– como proteger
– como distribuir
♦ Sistema seguro = sistema que garante o
cumprimento da política de segurança
traçada
Grupo de Segurança - UFRGS 55
56. GSeg
UFRGS
Política de segurança
♦ Define o que é e o que não é permitido no
sistema
♦ Define o comportamento autorizado para
os indivíduos que interagem com o sistema
Grupo de Segurança - UFRGS 56
57. GSeg
UFRGS
Mecanismos para segurança
♦ Wrappers
♦ Firewalls
♦ Criptografia
♦ Redes Privadas (VPNs)
♦ Ferramentas de verificação
Grupo de Segurança - UFRGS 57
58. GSeg
UFRGS
Wrapers
♦ TCP Wrappers são um conjunto de
programas que “encapsulam” os daemons
dos serviços de rede visando aumentar sua
segurança
♦ Funcionam como um filtro e estendem o
serviço original
Grupo de Segurança - UFRGS 58
59. GSeg
UFRGS
Wrapers
♦ O wrapper não pode ser considerado uma
ferramenta para segurança total
♦ Visa suprir deficiências dos servidores
atuais e aumentar o controle sobre sua
utilização
♦ Ótima ferramenta para registro (log)
Grupo de Segurança - UFRGS 59
60. GSeg
UFRGS
Firewalls
♦ Conjunto de componentes colocados entre
duas redes e que coletivamente
implementam uma barreira de segurança
♦ Finalidade
– retardar os efeitos de um ataque até que
medidas administrativas contrárias sejam
executadas
Grupo de Segurança - UFRGS 60
61. GSeg
UFRGS
Firewalls
♦ Objetivo básico
– defender a organização de ataques externos
♦ Efeito secundário
– pode ser utilizado para regular o uso de
recursos externos pelos usuários internos
Grupo de Segurança - UFRGS 61
62. GSeg
UFRGS
Firewalls
Internet
DMZ Rede interna
Grupo de Segurança - UFRGS 62
63. GSeg
UFRGS
Firewalls
♦ Pode ser implementado utilizando dois
mecanismos básicos:
– filtragem de pacotes
• análise dos pacotes que passam pelo firewall
– servidores proxy
• análise dos serviços sendo utilizados
Grupo de Segurança - UFRGS 63
64. GSeg
UFRGS
Criptografia
♦ Não existe sistema absolutamente seguro
♦ Toda criptografia pode ser “quebrada”
♦ Complexidade temporal
♦ Complexidade econômica
♦ Segurança “computacional”
Grupo de Segurança - UFRGS 64
65. GSeg
UFRGS
Criptografia de chave única
Alice Bob
Única Única
Esta mensagem é fsdfsdgfdghdgkdhf fsdfsdgfdghdgkdhf Esta mensagem é
secreta, pois gkdshgksdfghkdsh gkdshgksdfghkdsh secreta, pois
contém dados da gfksdfghkfdsgiuer gfksdfghkfdsgiuer contém dados da
mais alta bdhbkdbskfbhkbsl bdhbkdbskfbhkbsl mais alta
importância para dbhdfskbhdksfbhk dbhdfskbhdksfbhk importância para
a nossa empresa. dbhdbfkhsdkbhdfk dbhdbfkhsdkbhdfk a nossa empresa.
DECIFRAGEM TRANSMISSÃO CIFRAGEM
Grupo de Segurança - UFRGS 65
66. GSeg
UFRGS
Criptografia de chave única
♦ Única chave para cifragem e decifragem
♦ Substituição, permutação, operações
algébricas
♦ Alta velocidade
♦ Problemas na distribuição de chaves
Grupo de Segurança - UFRGS 66
67. GSeg
UFRGS
Criptografia de chave pública
Alice Bob
Pub Priv Pub
Esta mensagem é fsdfsdgfdghdgkdhf fsdfsdgfdghdgkdhf Esta mensagem é
secreta, pois gkdshgksdfghkdsh gkdshgksdfghkdsh secreta, pois
contém dados da gfksdfghkfdsgiuer gfksdfghkfdsgiuer contém dados da
mais alta bdhbkdbskfbhkbsl bdhbkdbskfbhkbsl mais alta
importância para dbhdfskbhdksfbhk dbhdfskbhdksfbhk importância para
a nossa empresa. dbhdbfkhsdkbhdfk dbhdbfkhsdkbhdfk a nossa empresa.
DECIFRAGEM TRANSMISSÃO CIFRAGEM
Grupo de Segurança - UFRGS 67
68. GSeg
UFRGS
Criptografia de chave pública
♦ Duas chaves: uma pública e outra secreta
♦ Cifragem com uma chave somente é
decifrada com a outra chave
Grupo de Segurança - UFRGS 68
69. GSeg
UFRGS
Criptografia de chave pública
♦ Privacidade: cifrar com chave pública;
somente chave secreta pode decifrar
♦ Assinatura: cifrar com chave secreta; chave
pública decifra e identifica usuário
Grupo de Segurança - UFRGS 69
70. GSeg
UFRGS
Criptografia + Assinatura
Alice Bob
Pub Pub Priv Pub Pub Priv
Fsdjfljgljdlgjdlgjldgjld Fsdjfljgljdlgjdlgjldgjld
Esta mensagem é jgldjgldjfgljdfljlvbkjn; jgldjgldjfgljdfljlvbkjn; Esta mensagem é
secreta, pois x923q8508hugdkbn x923q8508hugdkbn secreta, pois
contém dados da msbn5y9[6590mnkp msbn5y9[6590mnkp contém dados da
mais alta mjfw44n50b0okythp; mjfw44n50b0okythp; mais alta
importância para jguent039oktrpgerjh jguent039oktrpgerjh importância para
a nossa empresa. gwunpt058bngnwug0 gwunpt058bngnwug0 a nossa empresa.
9u6buyhjoireueyu84 9u6buyhjoireueyu84
8ybnuyue98 8ybnuyue98
4932uvf9vbd8bbfgbfg
h25c924fed23 4932uvf9vbd8bbfgbfg
h25c924fed23
Grupo de Segurança - UFRGS 70
71. GSeg
UFRGS
Criptografia de chave pública
♦ Operação: funções aritméticas complexas
♦ Baixa velocidade, fácil distribuição de
chaves
♦ Exemplos: RSA, DSS, DH, El Gamal (512
a 2048 bits)
Grupo de Segurança - UFRGS 71
72. GSeg
UFRGS
Ferramentas de Análise
♦ COPS (Computer Oracle and Password
Program)
♦ SATAN (Security Analysis Tool for
Auditing Network)
♦ ISS (Internet Security Scanner)
♦ SAINT (Security Administrator’s
Integrated Network Tool)
♦ Nessus (um dos mais atuais)
Grupo de Segurança - UFRGS 72
73. GSeg
UFRGS
Verificadores de Integridade
♦ Verificar se arquivos e configurações
permanecem inalterados
♦ Compara a situação atual com a situação inicial
♦ Utiliza funções de checksum e hash
♦ Hash a nível criptográfico: MD5, SHA
♦ Exemplo: Tripwire, Soffic (UFRGS)
Grupo de Segurança - UFRGS 73
74. GSeg
UFRGS
Verificadores de Senhas
♦ Verificar se uma senha pode ser “quebrada”
– Exemplo: Crack
♦ Verificar se uma senha é “fácil”
– Exemplos: npasswd, passwd+
Grupo de Segurança - UFRGS 74
75. GSeg
UFRGS
Analisadores de Logs
♦ Facilitar a análise de arquivos de logs
♦ Realizar logs mais detalhados (além de um grep)
♦ Exemplos:
– Swatch (Simple Watcher)
– Netlog
– LogSurfer
Grupo de Segurança - UFRGS 75
76. GSeg
UFRGS
Segurança (resumindo)
♦ Segurança é um atributo negativo
– é fácil detectar pontos inseguros
– é difícil (impossível ?!?) provar segurança
♦ Segurança por obscuridade não é
segurança
– não adianta se esconder
– não adianta ser otimista
– esteja preparado
Grupo de Segurança - UFRGS 76
77. GSeg
UFRGS
Segurança (resumindo)
♦ Segurança é um atributo global
– envolve vários componentes do sistema
– envolve vários mecanismos
– analogia: poucos confiam apenas nas trancas
de seus carros
♦ Falsa sensação de segurança pode ser pior
do que a falta de cuidados
Grupo de Segurança - UFRGS 77
79. GSeg
UFRGS
Sistemas de Detecção de Intrusão
♦ Número crescente de ataques/incidentes
25000
21756
♦20000
Complexidade crescente
Incidentes Reportados
15000
♦10000
Ferramentas de ataque cada vez mais
9859
eficientes 3734
5000
2340 2412 2573 2134
1334
132 252 406 773
0
♦ Tempos de recuperação proibitivos
89
90
91
92
93
94
95
96
97
98
99
00
19
19
19
19
19
19
19
19
19
19
19
20
Grupo de Segurança - UFRGS 79
80. GSeg
UFRGS
Sistemas de Detecção de Intrusão
♦ Prevenção não é suficiente
♦ Importância da diversidade de defesa
♦ Solução: Detecção de Intrusão
– garantir comportamento livre de falhas
Grupo de Segurança - UFRGS 80
81. GSeg
UFRGS
Sistemas de Detecção de Intrusão
♦ Detecção de intrusão:
– tarefa de coletar e analisar eventos, buscando
sinais de intrusão e de mau-uso
♦ Intrusão:
– uso inapropriado de um sistema de informação
– ações tomadas para comprometer a
privacidade, integridade ou a disponibilidade
Grupo de Segurança - UFRGS 81
82. GSeg
UFRGS
Sistemas de Detecção de Intrusão
♦ Detecção de intrusão X detecção de ataque
– intrusão: ação já concretizada
– ataque: ação maliciosa que gera um resultado
não autorizado
♦ Reação?
Grupo de Segurança - UFRGS 82
83. GSeg
UFRGS
IDS X Auditoria
♦ Ferramentas de auditoria
– prevenção
– confinamento e avaliação de danos
– tratamento de falhas
– Analogia: consultores e/ou peritos criminais
♦ IDSs
– detecção
– analogia: vigia noturno
Grupo de Segurança - UFRGS 83
84. GSeg
UFRGS
IDS: classificação
♦ Segundo os métodos de detecção usados
♦ Segundo a arquitetura adotada
– alvo
– localização
Grupo de Segurança - UFRGS 84
85. GSeg
UFRGS
IDS: classificação
♦ Segundo o método de detecção
– baseado em comportamento
– baseado em assinaturas
♦ Segundo a arquitetura
– alvo – localização
• baseado em rede • centralizado
• baseado em host • hierárquico
• híbrido • distribuído
Grupo de Segurança - UFRGS 85
86. GSeg
UFRGS
IDS: classificação
Baseado em
Método de Comportamento
Detecção Baseado em Rede
Baseado em
Assinaturas
Baseado em Host
Segundo o alvo Híbrido
Arquitetura
Segundo a Centralizado
IDS localização
Hierárquico
Passivo
Distribuído
Comportam.
pós-detecção
Ativo
Monitoramento
Freqüência de contínuo
uso
Análise periódica
Grupo de Segurança - UFRGS 86
87. GSeg
UFRGS
IDS: histórico
♦ Conceito surgido no início dos anos 80
♦ 1ª Geração
– registros de auditoria eram processados offline
– surgimento dos métodos baseados em
comportamento e em assinaturas
♦ 2ª Geração
– processamento estatisticamente + sofisticado
– mais medidas de comportamento monitoradas
– alertas em “tempo real” tornaram-se possíveis
Grupo de Segurança - UFRGS 87
88. GSeg
UFRGS
IDS: histórico
♦ 3ª Geração
– uso dos conceitos anteriores para sistemas em
rede/sistemas distribuídos
– uso de novas técnicas para detecção (sistemas
especialistas, redes neurais, data mining, etc)
– surgimento dos primeiros IDSs comerciais
Grupo de Segurança - UFRGS 88
89. GSeg
UFRGS
IDS: estrutura
♦ Componentes funcionalmente semelhantes
– independente da arquitetura/método adotados
♦ Muitas vezes agrupados
♦ Modularidade importante na aplicação e no
desenvolvimento de novos IDS
Grupo de Segurança - UFRGS 89
90. GSeg
UFRGS
IDS: componentes
♦ Geradores de eventos
♦ Analisadores de eventos
♦ Bases de dados de eventos
♦ Unidades de resposta
Grupo de Segurança - UFRGS 90
91. GSeg
UFRGS
IDS: padronização
♦ CIDF (Common Intrusion Detection
Framework)
♦ IDWG (Intrusion Detection Working
Group)
Grupo de Segurança - UFRGS 91
92. GSeg
UFRGS
IDS: IDWG
Origem dos Operador
Dados Atividade
IDS Notificação
Sensor
Evento Resposta
Analisador
Política de Alerta
Segurança
Administrador Gerente
Grupo de Segurança - UFRGS 92
93. GSeg
UFRGS
IDS: métodos de detecção
♦ Responsáveis diretos na busca por indícios
de intrusão
♦ Dois grandes grupos:
– técnicas baseadas em comportamento
– técnicas baseadas em assinaturas
Grupo de Segurança - UFRGS 93
94. GSeg
UFRGS
IDS: baseado em comportamento
♦ Detecção por anomalia
♦ Caracteriza o comportamento do sistema
em normal e anômalo
♦ Habilidade de distinguir o comportamento
normal de um anômalo
Anômalo Normal
Intrusão Comportamento
Normal
Grupo de Segurança - UFRGS 94
95. GSeg
UFRGS
IDS: baseado em comportamento
♦ Compara o estado atual do sistema com o
comportamento considerado normal
♦ Desvios são considerados intrusões
♦ Ex.: conexões externas em horários
incomuns, padrão de digitação
♦ Outros exemplos ???
Grupo de Segurança - UFRGS 95
96. GSeg
UFRGS
IDS: baseado em assinaturas
♦ Também chamada de detecção por mau uso
♦ Divide as ações do sistema em aceitáveis e
não aceitáveis
♦ Habilidade de encontrar tentativas de
exploração de vulnerabilidades conhecidas
Não aceitável Aceitável
Intrusão Ação
Normal
Grupo de Segurança - UFRGS 96
97. GSeg
UFRGS
IDS: baseado em assinaturas
♦ Compara as ações realizadas no sistema
com uma base de assinaturas de ataques
♦ Ex.: cópia do arquivo de senhas
(/etc/passwd)
♦ Outros exemplos ???
Grupo de Segurança - UFRGS 97
98. GSeg
UFRGS
IDS: arquiteturas
♦ Diretamente ligado ao desempenho
♦ Segundo o alvo
– baseado em rede
– baseado em host
– híbrido
♦ Segundo a localização
– centralizado
– hierárquico
– distribuído
Grupo de Segurança - UFRGS 98
99. GSeg
UFRGS
IDS: rede
♦ Dados analisados são retirados da rede
♦ Detecção de ataques relacionados ao
tráfego de rede
♦ Ex: captura de pacotes, estatísticas de
tráfego
♦ Outros exemplos ???
Grupo de Segurança - UFRGS 99
100. GSeg
UFRGS
IDS: host
♦ Dados obtidos na própria máquina
♦ Detecção de ataques relacionados a ações
locais
♦ Ex: trilhas de auditoria, cópias de arquivos
♦ IDSs baseados em aplicação: outra classe
Grupo de Segurança - UFRGS 100
101. GSeg
UFRGS
IDS: níveis
IDS baseado em aplicação
Nível de
abstração IDS baseado em host
IDS baseado em rede
Grupo de Segurança - UFRGS 101
102. GSeg
UFRGS
IDS: centralizado
♦ Função como coleta, análise e gerência em
um único componente
Máquina A
Gerente
Máquina B Máquina C
Analisador
Gerente Coletor Gerente
Analisador Analisador
Coletor Coletor
Grupo de Segurança - UFRGS 102
103. GSeg
UFRGS
IDS: hierárquico
♦ Funções distribuídas mas com fortes
relações de hierarquia Máquina A
Gerente
Máquina B
Analisador
Coletor Coletor Coletor
Máquina C Máquina D Máquina E
Grupo de Segurança - UFRGS 103
104. GSeg
UFRGS
IDS: distribuído
♦ Funções livremente distribuídas
Máquina A
Gerente
Máquina B
Analisador
Analisador Coletor Coletor
Máquina C Máquina D Máquina E
Grupo de Segurança - UFRGS 104
106. GSeg
UFRGS
Métodos Tradicionais
♦ Busca “manual” por indícios de intrusão
♦ Realizada há bastante tempo (empírica)
♦ Técnicas de auditoria de sistemas
♦ Técnicas de gerência de redes
Grupo de Segurança - UFRGS 106
107. GSeg
UFRGS
Métodos Tradicionais
♦ Análise de trilhas de auditoria
– registrar principais eventos
– selecionar eventos importantes
– buscar por indícios de intrusão (offline)
♦ Problemas
– manipulação de grandes qtdes de informação
– tamanho das trilhas (armazenamento)
– dificuldade de correlação de eventos
Grupo de Segurança - UFRGS 107
108. GSeg
UFRGS
Métodos Tradicionais
♦ Análise de dados de gerência de redes
– uso de padrões como SNMP e RMON
– captura de pacotes (TCPdump, Ethereal)
– buscar por indícios de intrusão (tráfego
estranho, pacotes mau formados)
♦ Problemas
– manipulação de grandes qtdes de informação
– grande experiência em redes
– baixa eficiência
Grupo de Segurança - UFRGS 108
109. GSeg
UFRGS
Análise por assinaturas
♦ Método muito utilizado
♦ Dificuldade: correlacionar dados coletados
com as assinaturas existentes
♦ Principais técnicas:
– Filtros de pacotes
– Sistemas especialistas
– Redes de Petri
Grupo de Segurança - UFRGS 109
110. GSeg
UFRGS
Análise por assinaturas
♦ Vantagens
– baixo nº de falsos positivos
– adoção de contra-medidas imediatas
– redução na quantidade de informação tratada
– melhor desempenho
Grupo de Segurança - UFRGS 110
111. GSeg
UFRGS
Análise por assinaturas
♦ Desvantagens
– detecção só para ataques conhecidos
– dificuldade de manutenção
– base de assinaturas pode ser usada em novos
ataques
– difícil detecção de abusos de privilégios
Grupo de Segurança - UFRGS 111
112. GSeg
UFRGS
Análise por comportamento
♦ Comportamento estático X dinâmico
♦ Dificuldade: estabelecer comportamento
padrão
♦ Principais técnicas:
– análise estatística
– sistemas especialistas
Grupo de Segurança - UFRGS 112
113. GSeg
UFRGS
Análise por comportamento
♦ Vantagens
– detecção de ataques desconhecidos
– usado na criação de novas bases de assinaturas
– esforço de manutenção reduzido
– menos dependente de plataforma
– facilita a detecção de abusos de privilégios
Grupo de Segurança - UFRGS 113
114. GSeg
UFRGS
Análise por comportamento
♦ Desvantagens
– dificuldade de configuração
– maior nº de falsos positivos
– relatórios de difícil análise
– menor desempenho (cálculos complexos)
– dificuldade de lidar com mudanças normais de
comportamento
Grupo de Segurança - UFRGS 114
115. GSeg
UFRGS
Métodos Avançados
♦ Estudo de novas formas de análise
♦ Complexos
♦ Desempenho reduzido
♦ Implantação e manutenção dificultadas
♦ Incipientes e não aplicados em larga escala
Grupo de Segurança - UFRGS 115
116. GSeg
UFRGS
Métodos Avançados
♦ Redes neurais
– dificuldades no treinamento da rede
– mais usado na detecção de anomalias
♦ Sistema imunológico
– determinar o que pertence ao sistema
– procurar “corpos estranhos”
– Ex.: seqüências de chamadas de sistema
♦ Data minning e recuperação de informação
Grupo de Segurança - UFRGS 116
118. GSeg
UFRGS
Baseada em Host
♦ Precursora em IDS
♦ Permite determinar as operações
desencadeadas no sistema
♦ Informações como:
– trilhas de auditoria
– carga de CPU
– programas executados
– integridade de arquivos
Grupo de Segurança - UFRGS 118
119. GSeg
UFRGS
Baseada em Host
♦ Vantagens
– independência de rede
– detecção de ataques internos / abusos de
privilégios
– maior capacidade de confinamento/avaliação
de danos e de recuperação de erros
Grupo de Segurança - UFRGS 119
120. GSeg
UFRGS
Baseada em Host
♦ Desvantagens
– dificuldade de instalação
– dificuldade de manutenção
– ataques ao próprio IDS
– dificuldade de tratar ataques de rede
– interferência no desempenho do sistema
– dependência de plataforma
Grupo de Segurança - UFRGS 120
121. GSeg
UFRGS
Baseada em Rede
♦ Tratar ataques à própria rede
♦ Permite determinar as operações
desencadeadas através da rede
♦ Informações como:
– pacotes de rede (cabeçalhos e dados)
– estatísticas de tráfego
– SNMP
Grupo de Segurança - UFRGS 121
122. GSeg
UFRGS
Baseada em Rede
♦ Vantagens
– detecção de ataques externos
– facilidade de instalação
– facilidade de manutenção
– interferência mínima (nula) no desempenho
– independência de plataforma
Grupo de Segurança - UFRGS 122
123. GSeg
UFRGS
Baseada em Rede
♦ Desvantagens
– tratamento de redes de alta velocidade
– dependência de rede
– dificuldade de reação
Grupo de Segurança - UFRGS 123
124. GSeg
UFRGS
Centralizado
♦ Precursor em IDS
♦ Vantagens
– simplicidade
– interferência mínima (nula) na rede
– imunidade a problemas de autenticidade
♦ Desvantagens
– ponto único de falha
– instalação/manutenção em grandes redes
– crescimento modular dificultado
Grupo de Segurança - UFRGS 124
125. GSeg
UFRGS
Distribuído
♦ Vantagens
– robustez
– crescimento modular
– distribuição de tarefas
– abrangência de detecção
♦ Desvantagens
– complexidade
– interferência no desempenho da rede
– necessidade de autenticação
Grupo de Segurança - UFRGS 125
126. GSeg
UFRGS
Hierárquico
♦ Fortes relações de subordinação
♦ Maior facilidade de desenvolvimento
♦ Pontos únicos de falha
Grupo de Segurança - UFRGS 126
127. GSeg
UFRGS
Soluções Híbridas
♦ Mesclar soluções
♦ Aproveitar vantagens de cada abordagem
♦ Equilibrar necessidades e proibições
Grupo de Segurança - UFRGS 127
129. GSeg
UFRGS
Snort
♦ Um dos mais utilizados no momento
♦ Arquitetura centralizada
♦ Dados coletados na rede
♦ Análise baseada em assinaturas
Grupo de Segurança - UFRGS 129
130. GSeg
UFRGS
Snort
♦ Simplicidade e eficiência
♦ Base com milhares de assinaturas
♦ Plataforma UNIX ou Windows
♦ Distribuição livre (www.snort.org)
Grupo de Segurança - UFRGS 130
131. GSeg
UFRGS
Snort
♦ Captura de pacotes de rede (libpcap)
– uso de regras de filtragem (TCPdump)
♦ Analisador simples
– baseado em regras
– trata cabeçalhos e dados
♦ Ações: registrar, alertar ou descartar
Grupo de Segurança - UFRGS 131
132. GSeg
UFRGS
Snort: regras
♦ 1ª parte: ação a ser tomada
– log, alert ou pass
♦ 2ª parte: padrão procurado
– cabeçalho ou conteúdo
alert TCP $HOME_NET 146 -> !$HOME_NET 1024: (msg:quot;IDS315 - BACKDOOR-
ACTIVITY - Infector.1.xquot;; content: quot;WHATISITquot;; )
alert TCP $HOME_NET 21 -> !$HOME_NET any (msg:quot;FTP-NT-bad-loginquot;;
content: quot;Login failed.quot;; )
Grupo de Segurança - UFRGS 132
133. GSeg
UFRGS
Snort
♦ Pré-processadores (v 1.5)
– código executado antes da análise
– portscan, eliminação de caracteres, etc
♦ Módulos de saída (v 1.6)
– código executado quando um alerta ou registro
é feito (após a análise)
– syslog, postgresql, reação, etc
Grupo de Segurança - UFRGS 133
134. GSeg
UFRGS
Bro
♦ Desenvolvido pelo Lawrence Berkeley
National Laboratory
♦ Arquitetura centralizada
♦ Dados coletados na rede
♦ Análise baseada em assinaturas
Grupo de Segurança - UFRGS 134
135. GSeg
UFRGS
Bro
♦ Utiliza scripts
♦ Base com poucas assinaturas
♦ Implementações em DecUnix, FreeBSD,
Solaris, SunOS e Linux
♦ Distribuição livre (www-nrg.ee.lbl.gov)
Grupo de Segurança - UFRGS 135
136. GSeg
UFRGS
Bro: estrutura
Script de políticas Alerta
Interpretador de scripts
Controle de eventos Fluxo de eventos
Máquina de eventos
Filtro TCPdump Fluxo de pacotes filtrados
libpcap
Fluxo de pacotes
Rede
Grupo de Segurança - UFRGS 136
137. GSeg
UFRGS
Bro: filtros
♦ Scripts semelhantes à linguagem C
event finger_request(c:connection, request: string, full: bool)
{
if ( request in hot_names )
++c$hot;
if ( c$hot > 0 )
log fmt(quot;finger: %squot;, msg);
print finger_log, fmt(quot;%.6f %squot;, c$start_time, msg);
c$addl = c$addl == quot;quot; ? req : fmt(quot;*%s, %squot;, c$addl, req);
}
Grupo de Segurança - UFRGS 137
138. GSeg
UFRGS
AAFID
♦ Autonomous Agents for Intrusion Detection
♦ Desenvolvido pelo CERIAS
♦ Arquitetura hierárquica
♦ Dados coletados na rede e no host
♦ Análise de acordo com os agentes
Grupo de Segurança - UFRGS 138
139. GSeg
UFRGS
AAFID: componentes
a
a
T T a
a
M
a
T M Interface
a Agente
T Transceiver a
a
Fluxo de
a a
Controle
M Monitor
Fluxo de
Dados
Grupo de Segurança - UFRGS 139
140. GSeg
UFRGS
AAFID
♦ Escrito em Perl
– fácil migração
♦ Pseudo-linguagem (AAS) para
especificação de agentes
♦ Componentes de execução independente
♦ Monitores usam execução remota (ssh)
Grupo de Segurança - UFRGS 140
141. GSeg
UFRGS
EMERALD
♦ Event Monitoring Enabling Response to
Anomalous Live Disturbance)
♦ Desenvolvido pela SRI International
♦ Arquitetura distribuída
♦ Dados coletados no host e na rede
Grupo de Segurança - UFRGS 141
142. GSeg
UFRGS
EMERALD
♦ Análise baseada em conhecimento e em
assinaturas
♦ Projeto sucessor do IDES e NIDES
♦ Projetado para redes de larga escala
♦ Conceito de monitores/domínios
Grupo de Segurança - UFRGS 142
143. GSeg
UFRGS
EMERALD: domínios
Monitor de Organização
Domínio A Domínio B
Monitor de Domínio Monitor de Domínio
Monitor de Serviço Monitor de Serviço Monitor de Serviço Monitor de Serviço
Grupo de Segurança - UFRGS 143
144. GSeg
UFRGS
EMERALD: monitor
Analisador por API do Monitor
A assinaturas A
P Recursos para o Elemento de P
Sistema alvo I Analisador sistema alvo decisão I Outros monitores
por
comportamento
API do Monitor
Grupo de Segurança - UFRGS 144
145. GSeg
UFRGS
EMERALD
♦ Modularidade
♦ Independência de alvo
♦ Correlação de alertas
♦ Possível integração com outros
mecanismos
Grupo de Segurança - UFRGS 145
146. GSeg
UFRGS
RealSecure
♦ Desenvolvido pela ISS (Internet Security
System)
♦ Grande aceitação no mercado
♦ Arquitetura hierárquica
♦ Dados coletados na rede e no host
♦ Análise baseada em assinaturas
Grupo de Segurança - UFRGS 146
147. GSeg
UFRGS
RealSecure
♦ Sensores
– rede
– host
– servidor
– plataformas: WinNT, AIX, Solaris, HP-UX
♦ Console
– master controller ou não
– plataforma: WinNT
Grupo de Segurança - UFRGS 147
148. GSeg
UFRGS
RealSecure
♦ Políticas aplicadas através dos consoles
♦ Possível autenticação entre
sensores/consoles
♦ Reação
– firecell signatures (firewall local)
– reconfiguração de firewalls
– encerramento de sessão
– etc
Grupo de Segurança - UFRGS 148
149. GSeg
UFRGS
RealSecure
♦ Permite a criação de scripts Tcl associados
a assinaturas (SecureLogic)
♦ Permite a definição de assinaturas do
usuário
♦ Permite a criação de filtros
Grupo de Segurança - UFRGS 149
150. GSeg
UFRGS
NFR
♦ Network Flight Recorder
♦ Desenvolvida por Marcus Ranum (NFR
Security)
♦ Ferramenta para análise de tráfego e
posterior registro
♦ Versão comercial (completa) e de domínio
público (reduzida)
Grupo de Segurança - UFRGS 150
151. GSeg
UFRGS
NFR
♦ Arquitetura centralizada/hierárquica
♦ Dados coletados na rede
♦ Análise baseada em assinaturas e em
conhecimento
Grupo de Segurança - UFRGS 151
152. GSeg
UFRGS
NFR: estrutura
Sensor Sensor
NFR NFR
Backend Backend
Analisador Backend Analisador Backend Interface
...
de
Backend Backend Administração
(AI)
Gravador Gravador
Servidor Central de Gerenciamento (CMS)
Grupo de Segurança - UFRGS 152
153. GSeg
UFRGS
NFR
♦ Base mantida por terceiros
♦ Regras escritas em linguagem proprietária
(N-Code), semelhante à C
♦ Geração de byte-codes
♦ Distribuição através de pacotes
Grupo de Segurança - UFRGS 153
155. GSeg
UFRGS
Seleção e Implementação
♦ Escolha depende de cada caso
♦ Equívocos podem causar falsa sensação de
segurança
♦ Importante o mapeamento da realidade
computacional da organização
Grupo de Segurança - UFRGS 155
156. GSeg
UFRGS
Seleção e Implementação
♦ Política de segurança
– avaliar política existente
– (re)definir política
♦ Integrar mecanismos de prevenção e
detecção
– firewalls
– autenticação
– recuperação
– verificação
Grupo de Segurança - UFRGS 156
157. GSeg
UFRGS
Seleção e Implementação
♦ Analisar detalhes técnicos
– métodos de detecção e arquitetura
– testes realizados por terceiros
– nível de conhecimento para operação
– possibilidade de expansão
– suporte
– integração com outros mecanismos
– plataformas disponíveis
– custo
Grupo de Segurança - UFRGS 157
158. GSeg
UFRGS
Seleção e Implementação
♦ Criar ambiente de testes
♦ Distribuir corretamente os sensores de rede
♦ Instalar sensores de host
Grupo de Segurança - UFRGS 158
159. GSeg
UFRGS
Distribuição de Sensores
Grupo de Segurança - UFRGS 159
160. GSeg
UFRGS
Distribuição de Sensores
♦ Atrás do firewall externo
– ver ataques externos que passaram do firewall
– ver ataques direcionados à DMZ
– analisar o tráfego de saída
♦ Depois do firewall externo
– ver ataques direcionados à rede
Grupo de Segurança - UFRGS 160
161. GSeg
UFRGS
Distribuição de Sensores
♦ Nos backbones
– monitorar grandes qtdes de tráfego
– detectar ataques internos
♦ Nas redes críticas
– detectar ataques aos recursos críticos
– permitir o foco nos recursos de maior valor
Grupo de Segurança - UFRGS 161
162. GSeg
UFRGS
Sensores: problemas
♦ Tráfego criptografado
♦ Tráfego segmentado
♦ Tráfego de alta velocidade
Grupo de Segurança - UFRGS 162
163. GSeg
UFRGS
Vulnerabilidades Conhecidas
♦ Falsos alarmes
♦ Negação de serviço (DoS)
♦ Tolerância a falhas
♦ Autenticação
Grupo de Segurança - UFRGS 163
164. GSeg
UFRGS
Vulnerabilidades Conhecidas
♦ Desativação de ferramentas baseadas em
host
♦ Inserção de tráfego
– pacotes descartados pelo sistema alvo
♦ Evasão de tráfego
– pacotes descartados pelo IDS
Grupo de Segurança - UFRGS 164
165. GSeg
UFRGS
Subvertendo o IDS
♦ Procurando pela string “su root”.
– e quanto à string “su me^H^Hroot” ?
– e quanto à string “su<telnet option> root” ?
– e quanto à string “alias blammo su”, e depois
“blammo root” ?
Grupo de Segurança - UFRGS 165
166. GSeg
UFRGS
Reconstruindo Fluxos
♦ Procurando pela string “USER root”. Basta
procurar na porção de dados de pacotes
TCP? USER root
TCP: HDR USER HDR root
IP: HDR HDR US HDR ER HDR HDR ro HDR ot
É necessário remontar fragmentos e colocá-los em seqüência
Grupo de Segurança - UFRGS 166
167. GSeg
UFRGS
Mais Fragmentos
Suponha o seguinte ataque:
1. HDR HDR US
2. HDR ER
3. 1,000,000 fragmentos sem relação c/ o ataque
4. HDR HDR ro
5. HDR ot
Grupo de Segurança - UFRGS 167
168. GSeg
UFRGS
Mais Fragmentos
1. HDR HDR US Seq. #
2. HDR ER Time
3a. HDR HDR ro
3b. HDR HDR fo
4. HDR ot
O que considerar ( “USER root” ou “USER foot”)?
Qual decisão será tomada pelo SO?
Grupo de Segurança - UFRGS 168
169. GSeg
UFRGS
Aspectos Legais
♦ Interceptação telemática
– C.F. Artigo 5º parágrafo XII
♦ Privacidade
♦ Documentar políticas
Grupo de Segurança - UFRGS 169
171. GSeg
UFRGS
Conclusões
♦ Aumento no nº de incidentes
♦ Despreparo dos profissionais da área
♦ Não existe segurança 100%
♦ Não existe solução completa
Grupo de Segurança - UFRGS 171
172. GSeg
UFRGS
Conclusões
♦ IDS é mais um mecanismo útil
♦ Serve como suporte à tomada de decisões
♦ Vasto campo para novas pesquisas
Grupo de Segurança - UFRGS 172
173. GSeg
UFRGS
Contatos
Rafael Campello
e-mail: campello@inf.ufrgs.br
Raul Weber
e-mail: weber@inf.ufrgs.br
GSeg
UFRGS
e-mail: gseg@inf.ufrgs.br
página: www.inf.ufrgs.br/~gseg
Grupo de Segurança - UFRGS 173