Segurança em Sistemas Informáticos. Instalação de um Sistema de Detecção de Intrusão

Transcrição

1 Segurança em Sistemas Informáticos Instalação de um Sistema de Detecção de Intrusão Paulo Neto Rui Chilro Dezembro de 2010

2 Índice Introdução...1 Sistemas de Detecção de Intrusão e o SNORT...2 Sistemas IDS...2 Network based IDS...2 Host based IDS...3 Distributed IDS...3 Métodos de detecção dos IDS...3 Onde colocar o (N)IDS...4 O Snort...5 Implementação do Snort...8 ADOdb...9 BASE...10 Barnyard Pré-requisitos...10 Instalação...11 Conclusão...16 Bibliografia...17 Anexo A...18

3 Introdução Este documento tem como objectivo descrever a implementação de um Sistema de Detecção de Intrusão (IDS) utilizando a distribuição Ubuntu da FEUP, no âmbito do trabalho realizado na disciplina Segurança em Sistemas Informáticos do Programa Doutoral em Engenharia Informática. Preliminarmente apresenta-se uma base de conhecimento sobre Sistemas de Detecção de Intrusão (IDS) e de seguida o enquadramento do Snort como um Network NIDS e suas funcionalidades. Finalmente descreve-se detalhadamente a instalação do Snort num servidor ligado à rede da FEUP. 1

4 Sistemas de Detecção de Intrusão e o SNORT A utilização de métodos de detecção de intrusão permite recolher informação sobre tipos de ataques já conhecidos e identificar tentativas de ataque à rede ou a algum servidor em particular. A informação recolhida servirá essencialmente para a tomada de decisões que levem à protecção do alvo do ataque e também poderá constituir uma base informativa para uma acção legal. Um sistema global de segurança, consiste num conjunto de ferramentas que incluem: Firewalls Sistemas de Detecção de Intrusão (IDS) Sistemas de Avaliação de Vulnerabilidade Estas ferramentas deverão trabalhar em conjunto e partilhar informação de uma forma dinâmica. Sistemas IDS A detecção de intrusão é um conjunto de técnicas e métodos que são utilizados para detectar actividades suspeitas, tanto ao nível de rede como do servidor. Os sistemas IDS são normalmente agrupados em três categorias: Network based IDS Host based IDS Distributed IDS A maior parte dos IDSs são passivos com capacidade de integrarem módulos que permitam alguma reacção. Os IDSs reactivos são capazes de por exemplo matar uma sessão ou reprogramar a firewall de forma dinâmica. Network based IDS O NIDS monitoriza um segmento de rede e o seu interface deverá ser configurado em modo promíscuo. O interface de rede configurado em modo normal, apenas captura os pacotes de broadcast ou aqueles que são enviados para o seu 2

5 endereço MAC. O interface de rede deverá ser ligado a uma porta de switch SPAN (Switched Port Analyzer) ou utilizar um HUB. No HUB os pacotes são repetidos para todas as portas enquanto no switch são entregues na porta de destino uma vez que é mantida uma tabela de endereços MAC por porta. A desvantagem de utilizar HUB, por exemplo entre a firewall e o switch de distribuição da rede local, é o facto de aumentar da latência, provocando uma diminuição da performance dos acessos à rede exterior. A configuração do interface de rede do servidor (N)IDS em modo promíscuo é normalmente executada de forma automática com o auxílio da biblioteca (lib)pcap. O Snort, Bro NIDS e o Suricata são exemplos de NIDS gratuitos. O Guardian é um módulo que integra com o Snort e que actualiza de forma automática as regras da firewall baseadas nos alertas gerados pelo Snort. Host based IDS O HIDS apenas protege o servidor onde está instalado e a placa de rede opera em modo normal (não promíscuo). O número de regras pode ser reduzido comparativamente ao NIDS uma vez que o servidor irá apenas correr um sub-conjunto de serviços que existem na rede. Além disso o HIDS também poderá monitorizar acessos internos que impliquem segurança tais como como system calls, alteração de filesystems, alteração de ficheiros sensíveis ao sistema, etc.. O OSSEC e AIDE são exemplos de HIDS gratuitos. Distributed IDS Num DIDS existem vários NIDS/HIDS (sensores) com regras específicas relativamente à sua localização e os alertas são enviados para uma estação central de monitorização. A comunicação dos sensores com a estação central de monitorização deverá ser estabelecida numa rede privada ou no caso da necessidade de utilizar o mesmo segmento de rede, configurar uma VPN. Métodos de detecção dos IDS O método de detecção dos Sistemas de Detecção de Intrusão dividem-se em duas categorias básicas: 3

6 detecção baseada em assinaturas de intrusão detecção de anomalia (estatística) Uma assinatura refere-se geralmente a um conjunto de condições que caracterizam a manifestação directa de actividades de intrusão em termos de cabeçalhos de pacotes e conteúdo útil (payload). Historicamente, o método baseado em assinaturas foi o mais utilizado em termos de NIDS. Este método baseia-se na sua base de dados de assinaturas de ataques e quando uma ou mais dessas assinaturas é detectada em trânsito, é accionado um alarme e o evento registado para posterior investigação. A robustez da detecção de intrusão baseada em assinatura, está directamente relacionada com a qualidade e actualização da base de dados de assinaturas. A detecção baseada em anomalias dispara um alarme quando observa um comportamento fora do comum na rede. Por si só, este tipo de método não detecta todos os tipos de ataque, mas torna-se muito eficaz quando utilizado em conjunto com métodos de detecção por assinatura. Onde colocar o (N)IDS Dependendo da topologia da rede e do tipo de actividades de intrusão que se pretenda que sejam detectadas, o IDS poderá ser colocado em um ou vários locais. No caso comum de detecção de actividades de intrusão externas com um único acesso à Internet, deverá ser colocado junto à firewall. Com múltiplos acessos à Internet, deverá ser instalado um NIDS por acesso. No caso da necessidade de detecção de actividades de intrusão internas, deverá ser instalado um IDS por segmento de rede, ou pelo menos nos segmentos mais sensíveis. A Figura 1 mostra uma topologia típica de rede e a colocação de um IDS. Internet Intranet Switch Modem Firewall IDS port mirroring (SPAN) Figura 1: Posicionamento de um NIDS 4

7 A Figura 2 mostra como poderá ser utilizado um segundo interface de rede ligado a uma rede privada de gestão. Internet Intranet Switch Modem Firewall eth0 Private Isolated Network IDS eth1 Management Workstation Figura 2: Utilização de um segundo interface de gestão. O Snort O Snort é uma ferramenta de código aberto de detecção de intrusão de rede (NIDS) disponível gratuitamente. É essencialmente um IDS baseado em regras (conjunto de assinaturas), no entanto existem plug-ins para detectarem anomalias nos cabeçalhos de protocolo. As regras são armazenadas em ficheiros e podem ser modificados por um simples editor de texto (ASCII). Os ficheiros de regras são referenciados no ficheiro de configuração snort.conf. No momento em que a aplicação arranca, são criadas as respectivas estruturas de dados internas, que irão aplicar as regras aos dados capturados. Quantas mais regras forem utilizadas maior serão os requisitos computacionais para processar os dados em tempo real. Desse modo é importante implementar o maior número de assinaturas no menor número de regras possíveis. O Snort já vem com um conjunto vasto de regras para detectar actividades de intrusão. A esse conjunto podem-se adicionar regras próprias ou remover algumas das pré-definidas. É capaz de efectuar análise de protocolos e pesquisa de conteúdos de forma a poder detectar uma variedade de ataques tais como: buffer overflows stealth port scans Common Gateway Interface (CGI) attacks Server Message Block (SMB) probes 5

8 operating system fingerprinting attempts O Snort pode ser configurado em três modos: sniffer packet logger network intrusion detection Em modo sniffer, apenas lê os pacotes da rede mostrando-os de forma contínua na consola. O modo packet logger, é semelhante ao anterior, com a diferença de redireccionar o output para disco. Em modo network intrusion detection, permite a análise do tráfego da rede tentando encontrar algum padrão descrito nas regras previamente estabelecidas e actuar em conformidade (alertas). Adicionalmente às regras fornecidas pelo Snort, poderão ser implementadas outras regras para fazer face a requisitos específicos de um determinado ambiente. Existem também comunidades online onde especialistas em detecção de intrusão partilham as suas regras para a detecção de novos tipos de ataque. Snort. A Figura 3 representa em diagrama de blocos dos diversos componentes do Network Packet Capture Module Packet Decoder Preprocessors Detection Engine Rulesets Figura 3: Snort Diagrama funcional Logging and Alerting System Output Modules Output Alert or Log files / DB 6

9 Packet Capture Module Neste módulo são recolhidos os pacotes da rede utilizando as bibliotecas pcap e daq. Nesta versão 2.9 do snort foi introduzida a DAQ (Data Acquisition library), que substitui as chamadas directas às funções pcap por uma camada de abstracção. Desta forma permite a implementação com diversos interfaces de rede (hardware e software) sem necessitar de alterações na configuração do Snort. O tipo e o modo da função DAQ são invocados na altura do arranque. Packet Decoder O descodificador de pacote ajusta os pacotes capturados em estruturas de dados, identificando qual o protocolo em uso por um determinado pacote e compara os dados com as regras autorizadas para aquele protocolo. Se forem encontrados cabeçalhos mal formados, pacotes excessivamente compridos, valores incorrectos nos cabeçalhos ou outros valores pouco vulgares, será gerado um alerta. Este tipo de alertas pode ser ajustado no snort.conf. Preprocessors Os pré-processadores são componentes ou plug-ins que podem ser utilizados com o Snort para organizar ou modificar os pacotes de dados antes de o motor de detecção (Detector Engine) fazer uma operação para detectar se o pacote está a ser usado por um intruso. Alguns pré-processadores fazem detecção de anomalias nos cabeçalhos dos pacotes. Os pré-processadores também são utilizados para a desfragmentação de pacotes uma vez que uma possível assinatura poderá também estar distribuída pelos vários pacotes fragmentados. Detection Engine O mecanismo de detecção é o componente mais importante do Snort. Tem a responsabilidade de detectar se existe alguma actividade de intrusão num determinado pacote. Para esse efeito utiliza regras que são lidas em estruturas ou cadeias de dados internas testando todos os pacotes. Se um pacote contiver a informação corresponde a qualquer regra, será tomada a acção apropriada, caso contrário o pacote é descartado. As acções apropriadas poderão ser o registo (logging) do pacote ou a geração de alerta. 7

10 Logging and Alerting System Se algum padrão corresponder a uma regra do mecanismo de detecção, será criado um alerta. Esse alerta poderá ser gravado num ficheiro de log. Caso se pretenda a comunicação com outro processo, sistema ou mesmo gravar numa base de dados ter-se-á de utilizar os respectivos plug-ins (Output Modules). Output Modules Os módulos de saída são plug-ins utilizados para enviar os alertas através de um socket UNIX, de um Windows popup, ou de um trap SNMP. Os alertas podem também ser enviados para uma base de dados, e como veremos posteriormente, existem vários métodos para estabelecer o interface entre o snort e base de dados. Implementação do Snort Para a execução deste trabalho, utilizámos uma máquina virtual de um servidor VMware que está ligado na rede da FEUP para a instalação da distribuição Ubuntu do CICA e do Snort. De um outro PC, também ligado à mesma rede, instalámos o Nessus para proceder ao ataque do servidor que está a correr o Snort. A Figura 4 exemplifica a topologia utilizada. Internet Intranet FEUP Switch Modem Firewall IDS running in a Virtual Machine Figura 4: Ambiente de implementação do Snort Remote WEB Access and Vulnerability Scanner Como já foi referido anteriormente, o Snort é um NIDS e a sua instalação foi efectuada num servidor ligado à rede da FEUP. Uma vez que não se dispunha de acesso à gestão da infra-estrutura de rede, não foi possível configurar uma porta SPAN. Desse modo o Snort foi configurado como NIDS mas apenas monitorizando o 8

11 tráfego com destino ao nosso servidor e o interface de rede em modo normal (não promíscuo). Para a implementação de sistema integrado de IDS e respectiva interface de monitorização optou-se pela utilização dos pacotes mais comuns: Snort MySQL PHP Apache BASE (Basic Analysis and Security Engine) A Figura 5 mostra a integração do snort com os restantes pacotes de forma a implementar um sistema NIDS completo. Base Apache php ADOdb Snort Barnyard MySQL Figura 5: Integração com os restantes pacotes ADOdb O ADOdb é uma biblioteca para php e python de abstracção de base de dados que permite o desenvolvimento de aplicações que possam facilmente trocar de motor de base de dados sem alteração do código. O ADOdb suporta os motores de bases mais conhecidos tais como MySQL, PostgreSQL, Oracle, DB2, Informix, MSSQL, MS Access, e muitas mais. 9

12 BASE O BASE (Basic Analysis and Security Engine) é uma aplicação que disponibiliza uma interface web para consultar e analisar os alertas provenientes do SNORT. Barnyard2 O Barnyard2 é utilizado como buffer entre o Snort e o motor de base de dados. Corre em background e processa os logs e alertas em formato unified2 (binário) produzidos pelo Snort, Após o parsing desses dados, o Barnyard2 envia-os para uma base de dados de forma assíncrona uma vez que corre de forma independente do Snort, Desta forma o snort consegue processar muitos mais dados em tempo real, deixando o processo que de gravação em base de dados a ser executado pelo Barnyard2. Pré-requisitos gcc/g++ - GNU Compilers (lib)pcre Biblioteca de funções de pesquisa de expressões regulares com o mesmo sintaxe e semântica do Perl 5.. (lib)pcap biblioteca C/C++ de funções de captura de tráfego de rede. (lib)dnet Biblioteca de rotinas de rede de baixo-nível. flex & bison utilizados para parsing dos dados pelas funções da biblioteca pcap php-gd biblioteca utilizada para a geração de gráficos no web server libtool Utilizado para a criação de bibliotecas genéricas. libmysqlclient16-dev ficheiros de desenvolvimento de MySQL libapache2-mod-php5 módulo php5 para Apache2 php5-mysql funções em php de acesso ao MySQL php-pear conjunto de bibliotecas php open source utilizadas pelo BASE text editor vi, vim ou outro editor de texto. sshd daemon ssh para permitir o acesso remoto à shell. 10

13 Instalação Upgrade do VMware tools (8.4.2 instalado) e actualização do sistema operativo. # mkdir /tmp/vmware # tar -xvzf /media/vmware\ Tools/VMwareTools tar.gz -C\ /tmp/vmware # cd /tmp/vmware/vmware-tools-distrib #./vmware-install.pl $ sudo apt-get install openssh-server $ sudo apt-get update $ sudo apt-get upgrade # shutdown -r now Instalação dos pré-requisitos pré compilados. $ dpkg --get-selections > /tmp/installed-software #(lista sw instalado) $ sudo apt-get install mysql-server #(password=prodei) $ sudo apt-get install libpcap0.8-dev $ sudo apt-get install libmysqlclient16-dev $ sudo apt-get install bison $ sudo apt-get install flex $ sudo apt-get install apache2 $ sudo apt-get install libapache2-mod-php5 $ sudo apt-get install php5-gd $ sudo apt-get install php5-mysql $ sudo apt-get install libtool $ sudo apt-get install libpcre3-dev $ sudo apt-get install php-pear $ sudo apt-get install vim $ sudo apt-get install ssh $ apt-get install g++ Download dos módulos a compilar #cd /tmp #wget base-1.4.5/base tar.gz/download && mv download base tar.gz #wget && mv 269 snort tar.gz #wget && mv 263 daq-0.2.tar.gz #wget adodb-511-for-php5/adodb511.tgz/download && mv download adodb511.tgz #wget #wget NetBSD/packages/distfiles/libdnet-1.12.tgz #wget Extracção, compilação e instalação dos diversos módulos # cd /usr/local # tar -xvzf /tmp/libdnet-1.12.tgz # cd libdnet-1.12 #./configure # make 11

14 # checkinstall # ln -s /usr/local/lib/libdnet /usr/lib/libdnet.1 # cd /usr/local # tar -xvzf /tmp/daq-0.2.tar.gz # cd daq-0.2 #./configure # make # checkinstall # cd /usr/local # tar -xvzf /tmp/snort tar.gz # cd snort #./configure --with-mysql --enable-targetbased enable-dynamicplugin \ --enable-sourcefire --enable-reload --enable-zlib --enable-gre \ --enable-mpls --enable-ppm --enable-perfprofiling # make # checkinstall Adicionar /usr/local/lib à lista de directorias de bibliotecas run-time # echo include /usr/local/lib >> /etc/ld.so.conf # ldconfig Registar no site do snort ( e fazer download das regras (snortrules-snapshot-2900.tar.gz) # mkdir /etc/snort # mkdir /var/log/snort # cd /etc/snort # tar -xzvf snortrules-snapshot-2900.tar.gz -C /etc/snort # cp /etc/snort/etc/* /etc/snort # groupadd snort # useradd -g snort snort # chown snort:snort /var/log/snort # touch /var/log/snort/alert # chown snort:snort /var/log/snort/alert # chmod 600 /var/log/snort/alert # mkdir /usr/local/lib/snort_dynamicrules # cp /etc/snort/so_rules/precompiled/ubuntu-10-4/i386/ /*.so \ /usr/local/lib/snort_dynamicrules # cat /etc/snort/so_rules/*.rules >> /etc/snort/rules/so-rules.rules Instalação do ADOdb e BASE 12

15 # mkdir /var/www/html # tar -xzvf /tmp/adodb511.tgz -C /var/www/html # groupadd apache # useradd -g apache apache # tar -xzvf /tmp/base tar.gz -C /var/www/html # chown apache /var/www/html/base-1.4.5/ # chgrp apache /var/www/html/base-1.4.5/ # chmod 777 /var/www/html/base-1.4.5/ # cp /etc/php5/apache2/php.ini /etc/php5/apache2/php.ini.sav Editar /etc/php5/apache2/php.ini e substituir (1) por (2) (1) ;error_reporting = E_ALL & ~E_DEPRECATED (2) error_reporting = E_ALL & ~E_NOTICE Editar /etc/snort/snort.conf e substituir (1) por (2) (1) # output unified2: filename merged.log, limit 128, nostamp, mpls_event_types, vlan_event_types (2) output unified2: filename snort.log, limit 128 (1) #preprocessor http_inspect: global iis_unicode_map unicode.map 1252 compress_depth decompress_depth (2) preprocessor http_inspect: global iis_unicode_map unicode.map 1252 ################################################################## # remover inspect_gzip \ ################################################################## (1) #var RULE_PATH../rules (2) var RULE_PATH /etc/snort/rules (1) #var SO_RULE_PATH../so_rules (2) var SO_RULE_PATH /etc/snort/so_rules (1) #var PREPROC_RULE_PATH../preproc_rules (2) var PREPROC_RULE_PATH /etc/snort/preproc_rules Configuração do mysql # mysql -p mysql> set password for root@localhost=password('prodei'); mysql> create database snort; mysql> grant all privileges on snort.* to snort@localhost with GRANT option; mysql> set password for snort@localhost=password('prodei'); mysql> exit # cd /usr/local/snort-2.9.0/schemas/ # mysql -p -D snort < create_mysql Instalação do Barnyard2 # tar -xzvf /tmp/barnyard2-1.8.tar.gz -C /usr/local 13

16 # cd /usr/local/barnyard2-1.8 #./configure --with-mysql # make # checkinstall # cp./etc/barnyard2.conf /etc/snort/ Editar /etc/snort/barnyard2.conf e substituir (1) por (2) (1) #config hostname: thor (1) #config interface: eth0 (2) config hostname: localhost (2) config interface: eth1 (1) # output database: log, mysql, user=root password=test dbname=db host=localhost (2) output database: log, mysql, user=snort password=prodei dbname=snort host=localhost Lançar o Barnyard e relançar o Apache # /usr/local/bin/barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f\ snort.log -w /var/log/snort/barnyard.waldo # service apache2 restart Configuração do ADOdb5 Aceder ao Clicar continuar path to adodb: /var/www/html/adodb5 database: snort host: localhost user: snort pass: prodei Full name: snort Clicar continue Clicar create database Criar o log para o barnyard # touch /var/log/snort/barnyard.waldo # mkdir /var/log/barnyard2 Adicionar regra de teste # vi /etc/snort/rules/local.rules 14

17 inserir:: alert tcp any any <> any 80 (msg: "Test web activity"; sid: ;) Para teste lançar 2 janelas com os seguintes comandos e depois abrir um browser e aceder a um site. Deverão aparecer linhas com o registo " " # snort -u snort -g snort -c /etc/snort/snort.conf -i eth1 # /usr/local/bin/barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f\ snort.log -w /var/log/snort/barnyard.waldo Instalação dos PEAR (PHP Extension and Application Repository) packages e cópia das fontes # pear install Numbers_Roman # pear install Image_Color # pear install Image_Canvas # pear install Image_Graph # pear install Mail_Mime # mkdir /usr/share/php/image/canvas/fonts # cp /usr/share/fonts/truetype/msttcorefonts/*.ttf \ /usr/share/php/image/canvas/fonts # service apache2 restart 15

18 Conclusão Implementou-se o Snort como Sistema de Detecção de Intrusão de rede mas apenas monitorizando o acesso a um único servidor, porque não foi possível configurar uma porta SPAN no switch da rede. O tempo reservado a este trabalho também não possibilitou a exploração de módulos externos (tais como o Guardian) que permitem implementar um sistema reactivo. No entanto a elaboração deste trabalho foi muito gratificante e contribuiu para a solidificação dos conhecimentos em Sistemas de Detecção de Intrusão como de tantos outros tópicos afins da segurança das redes informáticas. Considera-se que material produzido poderá facilitar a aprendizagem e implementação de um sistema idêntico por outros alunos. 16

19 Bibliografia Beale, J.; Baker, A.; Esler, J.; Kohlenberg, T. & Northcutt, S. (2007), Snort: IDS and IPS toolkit, Syngress Media Inc. Gong, F. (2003), 'Deciphering detection techniques: Part ii anomaly-based intrusion detection', White Paper, McAfee Security. Orebaugh, A.; Biles, S. & Babbin, J. (2005), Snort cookbook, O'Reilly Media, Inc.. Rehman, R. & Regina, N. (2003), Intrusion Detection with SNORT (Bruce Perens' Open Source Series): Advanced IDS Techniques Using Snort, Apache, MySQL, PHP, and ACID, Pearson Education. Roesch, M. & Green, C. (2010), 'Snort users manual', Snort Release. Scarfone, K. & Mell, P. (2007), 'Guide to intrusion detection and prevention systems (idps)', NIST Special Publication 800,

20 Anexo A Figura 6: Estado do BASE antes do acesso ao porto 80 18

21 Figura 7: Estado do BASE após avesso ao porto 80 19

22 Figura 8: Estado da consola do Barnyard após o acesso ao porto 80 20