Protocolo Snort. Licenciatura em Engenharia de Sistemas Informáticos PL. Comunicação de Dados. Pedro Fernandes 7839 Nuno Costa

Transcrição

1 Pedro Fernandes 7839 Nuno Costa Protocolo Snort Licenciatura em Engenharia de Sistemas Informáticos PL Comunicação de Dados Resumo Para que as nossas que partilhamos na rede não estejam seguras é preciso ter alguns cuidados. O uso de sistemas de detecção (IDS) é uma ótima alternativa na prevenção deste tipo de crime. Este trabalho tem como objetivo apresentar uma dessas ferramentas, o Snort, assim como explicar o que é um IDS. Palavras-chave: sistemas de detecção de intrusos, snort. I. INTRODUÇÃO Assim como a evolução tecnológica dos últimos anos, tanto em relação aos softwares de computadores como também dos equipamentos de informática esta evolução ocorre também em relação às ameaças neste mundo virtual. Aliados ao avanço tecnológico a popularização da rede de computadores possibilita uma velocidade ainda maior na proliferação destas ameaças. Ferramentas como antivírus e firewalls são indispensáveis, no entanto são insuficientes e deixam falhas que quando exploradas podem trazer prejuízos incalculáveis para as corporações. A vulnerabilidade na rede hoje é muito grande, e esse é um grave problema que pode atingir tanto uma rede doméstica (pequeno porte) quanto uma rede de uma grande empresa. O fato é que depois de invadidos esses computadores, eles se torna um canal muito viável para troca de informações sigilosas, que pode comprometer toda uma empresa, ou até mesmo vida, no caso de usuários domésticos. Por falta de informação muitas empresas e pessoas não se preocupam com a segurança em suas redes, ou não sabem como fazê-la. Muitas corporações só descobrem que estão sendo atacadas quando seus equipamentos param de funcionar. Nesse ponto a situação já esta grave demais e pode significar prejuízo irreparável. Para minimizar tais riscos é que apresentamos as ferramentas de IDS (Sistema de Detecção de Intrusos), que faz uma limpeza geral da rede, procurando encontrar qualquer ameaça. Essa ferramenta é capaz de localizar os pacotes, compara-los com as regras das assinaturas, e caso não esteja dentro dos padrões é enviado um alerta para o administrador. Este trabalho trás uma breve explicação sobre segurança em rede, e descreve passo a passo uma das ferramentas IDS mais eficiente e mais usada nos dias atuais: o Snort. II. A NECESSIDADE DE UM IDS [8] Há várias formas de melhorar a segurança de uma rede. Os firewalls, por exemplo, filtram os pacotes, autorizando ou não a sua entrada na rede. A Criptografia protege dados. Os Sistemas de Detecção de Intrusão (IDS) contribuem para a segurança de uma rede. Como o nome já diz, um IDS tem como finalidade descobrir se houve uma tentativa de invasão (ou intrusão) à rede e se houve comprometimento de algum elemento dessa rede. Em caso positivo, o IDS deve alertar o administrador da rede. A diferença do firewall para o IDS está ilustrada na Figura 1. O firewall analisa os pacotes e pedidos de conexão que chegam via rede. Eles são bloqueados ou autorizados a passar. Nem todos os que são autorizados a passar são completamente confiáveis. Então, o IDS serve para analisar os pacotes que passam pelo firewall e identificar os que são normais ou suspeitos. Fig.1 - Diferença de Firewall e IDS

2 Pedro Fernandes 7839 Nuno Costa A. Funções de um IDS O funcionamento de um IDS é semelhante a um sistema de detecção de ladrões usado em residências. Esse sistema é configurado para especificar o que monitorar (janelas, portas, movimento) e para quem deve direcionar o alerta (polícia, donos da casa, central de segurança eletrônica) em caso de entrada de um ladrão. Baseado em rede (Network-Based IDS NIDS) Estes tipos de sistemas são colocados na rede, perto do sistema ou sistemas a serem monitorizados. Eles examinam o tráfego de rede e determinam se estes estão dentro de limites aceitáveis. No ambiente computacional é necessário especificar o que monitorar (fluxos de rede, servidores) e para quem devem ser direcionados os alarmes ou relatórios. Portanto, as funções de um IDS são: coletar pacotes; analisar pacotes; armazenar pacotes; responder às atividades suspeitas. Sistemas vulneráveis que podem ser atacados a qualquer momento fazem parte do cenário atual. Logo, se os ataques estão acontecer nos sistemas, a descoberta deve ocorrer o mais cedo possível, preferencialmente em tempo real. É isso que um sistema de deteção de intrusão basicamente faz. Uma ferramenta IDS serve basicamente para nos trazer informações sobre a nossa rede, informações como: Quantas tentativas de ataques sofremos por dia, qual tipo de ataque foi usado, qual a origem dos ataques. Enfim, a partir dele, vai tomar conhecimento do que realmente se passa na rede. Além da divisão pelas técnicas de reconhecimento de ataque, os IDSs podem ser também classificados em dois tipos principais: Baseado em host (Host-Based IDS HIDS) Estes tipos de sistemas rodam no sistema que está a ser monitorizado. Estes examinam o sistema para determinar quando a atividade no sistema é aceitável. Fig. 3 NIDS Problemas de IDS Os principais problemas de IDS são os falsos positivos e os falsos negativos. Falsos positivos acontecem quando pacotes normais são identificados como tentativas de ataque. Para que isso não ocorra é necessário que o IDS seja bem configurado e tenha um sistema de gerenciamento que facilite sua configuração e a análise dos logs. A Figura 4 ilustra o Falso positivo. Fig. 4 Falso positivo Falsos negativos acontecem quando os IDS não identificam os verdadeiros ataques. A Figura 5 ilustra o Falso negativo. Fig. 5 Falso negativo III. DESCRIÇÃO DO PROTOCOLO SNORT Fig.2 Tipos possíveis de detecção por HIDS O Snort é um sistema de detecção de invasão de rede, de código-fonte aberto, que possui um conjunto de recursos, agrupados em um único aplicativo. Esse IDS nada mais é que um farejador e registador de pacotes. Em novembro de 1998, Marty Roesch escreveu um farejador apenas para o Linux, chamado de APE. Não satisfeito Marty, queria um farejador que fosse capaz de funcionar em vários sistemas operativos, usa-se uma descarga de matriz de choque hexdump e ainda exibisse todos os diferentes pacotes de rede da mesma maneira. O que Marty queria era desenvolver um farejador para uso

3 Pedro Fernandes 7839 Nuno Costa próprio. Em 22 de novembro de 1998, o Snort tornou disponível no Packet Storm, portanto naquela época ele era apenas um Sniffer (farejador de pacotes) e tinha cerca de 1.600(Mil e seiscentas) linhas de códigos. Atualmente o Snort tem inúmeros recursos que o torna muito útil: farejador de pacotes (sniffer), registo de pacotes (packet logging) e detecção de invasão. Conta com mais de linhas de código, mais de utilizadores, e já teve mais de 3.7 milhões de downloads realizados. Uma das características que faz do Snort bastante popular são as suas flexibilidades nas configurações de regras e a constante atualização quando se refere às outras ferramentas de invasão. Segundo Ferreira (2003), uma das ferramentas IDS mais utilizada atualmente é o Snort. IV. COMO FUNCIONA O SNORT e comparativo de desempenho; Intromissão para obter senhas em texto puro e ainda outros dados que vierem interessar. O Snort na função de sniffer pode salvar os pacotes para ser processados e analisados posteriormente, ou seja, assume uma função de registador de pacotes. PRÉ- PROCESSADORES Depois de detectar esses pacotes na rede o Snort os manda para os pré-processadores. Os pré-processadores por sua vez são os responsáveis por remontar os pacotes observando possíveis codificações/comportamentos. Quando é determinado que um pacote tem um tipo particular de comportamento, então ele é direccionado para o mecanismo de detecção. A figura mostra o pré-processador verificando um pacote: O Snort pode ser divido em quatro partes básicas: - Sniffer (Libcap); - Pré-processador; - Mecanismo de detecção (Assinaturas); - Alerta/Registro SNIFFER Na forma mais básica o Snort é um sniffer de pacotes. Porém ele agarra nos pacotes, processa-os através do pré-processador em seguida verifica (através do mecanismo de detecção) se esses pacotes estão dentro das regras criadas. Este é um dispositivo tanto de hardware como de software usado para fazer escutas. Pode até ser comparado como uma escuta telefónica, no entanto é usado para redes de dados. Ele trabalha na camada ethernet, capturando todos os pacotes uqe passam pela rede, ou seja, pegando todos os pacotes do Broadcast. Os Sniffers de pacotes podem ser usados de diversas maneiras: Análise, diagnósticos e solução de problemas de rede; Análise MECANISMO DE DETEÇÃO Segundo Caswell et al. (2003), esta e a parte mais importante do SDI. Os dados vindos do mecanismo de pré-processamento são recebidos pelo mecanismo de detecção e comparados com um conjunto de regras de assinatura de ataques conhecidos. Uma vez que os dados dos pacotes correspondam com as informações de alguma regra, estes são enviados para o processador de alerta. O Snort tem uma grande base de dados de regras que são agrupadas por categorias, como por exemplo, cavalos de Troia, transbordamento de buffer, ataques Deny of Service, entre outros. Estas regras são actualizadas regularmente e disponibilizadas para download no site do programa.

4 Pedro Fernandes 7839 Nuno Costa A Figura 24 mostra o esquema do mecanismo de detecção do Snort. Desde 2003, o Serpro utiliza a ferramenta livre Snort como Sistema de Detecção de Intrusão de Redes. A solução é bastante popular pela sua flexibilidade nas configurações de regras e constante actualização frente as novas ferramentas de invasão. Este "open-source" monitora o trafego de pacotes em redes IP, realizando analises em tempo real sobre diversos protocolos (nível de rede e aplicação) e seus conteúdos (hexa e ASCII). Outro ponto positivo desse software e o grande número de possibilidades de tratamento dos alertas gerados. O Grupo de Resposta a Ataques da Intranet (Tigra), da representação do Serpro em Recife, tem no Snort um importante aliado na analise do trafego de redes internas da Empresa, na detecção de trafego relacionado com pragas virtuais - adicionando uma camada extra ao sistema de antivírus corporativo - e aplicações que não são autorizadas pela politica de segurança institucional. Segundo Jone Freire, analista de redes do Serpro, ao utilizar uma ferramenta livre desta natureza, o Tigra gera uma grande economia para o Serpro: "O custo para aquisição de uma solução proprietária similar alcança a ordem dos milhões de reais". VI. REGRAS COMPONENTES DE ALERTA/REGISTO Quando os dados que passam pelo mecanismo de detecção correspondem com alguma regra, então um alerta e disparado pelos plug-ins de saída. Segundo Caswell et al.(2003), os plug-ins de saída fornecem aos administradores a capacidade de configurar logs e alertas de maneira fácil de entender, ler e usar no ambiente de suas empresas. A análise de fluxo seria inútil sem eles para processar, formatar os dados analisados. Os alertas podem ser enviados para um arquivo de log através de uma conexão de rede, através de soquetes UNIX ou Windows Popup (SMB) e também podem ser armazenados numa base de dados. Existem muitas ferramentas adicionais que podem ser utilizadas para tratar os dados de saída do Snort como plug-ins Perl, PHP, alem de servidores Web para exibir os dados processados. V. EXEMPLOS DO PROTOCOLO SNORT Snort utiliza uma linguagem simples, e descrição de regras simples que é flexível e bastante poderoso. Há uma série de orientações simples para lembrar ao desenvolvimento de regras do Snort. A primeira é que as regras do Snort devem ser completamente contidas em uma única linha, o analizador sintatico de regras Snort não sabe como lidar com as regras em várias linhas. As regras do Snort são divididos em duas secções lógicas, o cabeçalho e as opções. O cabeçalho da regra contém a ação da regra, protocolo, origem e destino endereços e máscaras de rede IP, e informação de portas de origem e destino. A secção da regra option contém mensagens de alerta e informações sobre quais partes do pacote deve ser inspecionado para determinar se a ação da regra devem ser tomadas. Exemplo de uma regra: alert tcp any any -> / (content:" a5 "; msg: "mountd access";) Figure 6 - Sample Snort Rule O texto até ao primeiro parêntese é a regra do cabeçalho e secção entre parênteses são as regras option. As palavras antes dos dois pontos na secção da regra option são chamados de opções de palavras-chave. Note-se que a secção da regra option não é especificamente exigida por qualquer regra, eles são usados apenas por uma questão de fazer mais rígidas as definições de pacotes para coletar ou alertar. Todos os elementos de que compõem uma regra deve ser verdade para a

5 Pedro Fernandes 7839 Nuno Costa ação da regra indicada para ser tomada. Quando tomados em conjunto, os elementos podem ser considerados para formar uma declaração lógica AND. Ao mesmo tempo, as várias regras de uma biblioteca de arquivo de regras Snort podem ser considerados para formar uma grande declaração lógica OR. B. Protocolo A. Rule Header O cabeçalho é a primeira porção de cada regra. Define o protocolo de rede e quem (who) está envolvido. Para cada campo individual, existe muitas opções, com uma sintaxe definida, que poderá ser utilizada por forma a especificar valores simples, conjunto ou grupos. Notar que o motor de detecção do Snort parte o pacote para comparação em duas partes, correspondendo a cada uma da parte da regra. A primeira compara o cabeçalho da regra com a do pacote. Se o pacote não encaixa no perfil de um dos cabeçalhos das regras o motor de detecção passa para o pacote seguinte. Se o pacote não encaixa com o perfil do cabeçalho da regra, o motor de detecção continua a testar o resto das opções da regra. O campo referente ao protocolo indica ao Snort qual o tipo de tráfego na rede a que a regra se destina ou aplica. Suporta normalmente três tipos diferentes de tráfego: TCP, UDP e ICMP. C. Porta de Origem O primeiro cabeçalho da regra é o campo de acção action field. Este instrui o Snort sobre o comportamento a ter se a regra é disparada. Existem actualmente cinco tipos de valor para a acção a tomar: Define de que porta de origem no host de origem é que o tráfego é originado. Pode ser especificado como um número, um conjunto, ou ainda a palavra chave any representa todos as portas possíveis. D. Direcção do tráfico Alert: cria uma entrada no ficheiro de alertas e faz o log do pacote, este ficheiro é único e contém registo de todas a deteções realizadas. A informação registada, por defeito, consiste apenas pelo cabeçalho do pacote; Log: o Snort cria apenas um registo no log, não realizando qualquer registo do tráfego no ficheiro de alertas; Pass: quando a regra é acionada mas tem pass especificada na ação, o Snort irá fazer o drop do pacote, e não fará qualquer tipo de processamento do pacote. É útil para fazer a monitorização de tentativas anónimas de ftp para um servidor ftp anónimo. Activation: estas regras quando acionadas não se limitam a alertar, mas também são utilizadas para ativar outras regras (dynamic) que ficam em modo suspenso até serem ativadas. Dynamic: permanecem suspensas até serem ativadas por uma regra de ativação. Uma vez ativadas o seu comportamento é idêntico às das regras log. O campo de direcção permite especificar o sentido da direcção do pacote. Duas opções estão disponíveis, permitindo especificar a direcção do fluxo ou que determinada direcção não interessa. As opções válidas são: ->, define a origem e o destino <>, direção do pacote não interessa (bidirecional)

6 Pedro Fernandes 7839 Nuno Costa E. Endereço IP de destino O endereço de destino especifica para onde o tráfego hostil se dirige. É especificado da mesma forma que o formato utilizado para o endereço de origem. F. Porta de destino id testa a identidade do cabeçalho Ip para um valor específico dsize- testar o tamanho da carga do pacote contra um determinado valor content- busca de um padrão, na carga do pacote offset- modificador para a opção de conteúdo, define o deslocamento para começar a tentar um padrão depth- modificador para a opção de conteúdo, define a profundidade máxima de busca para uma tentativa de padrão de jogo flags- testar as flags TCP para certos valores seq- testar o campo número de sequência TCP para um valor específico ack- testar o campo de confirmação TCP para um valore específico itype- testar o tipo decampo ICMP contra um valor específico icode- teste no campo de código ICMP contra um valor específico session- copia a informação da camada de aplicação para uma determinada sessão [6] Background Define a porta de destino na máquina de destino a que o pacote se destina. É utilizado o mesmo formato que no caso da porta de origem. G. Opções As opções são uma segunda porção na definição da regra. Define o quê da regra que atributos do pacote devem ser inspecionados e quais os valores que devem conter para ser considerado hostil. Esta porção é somente usada se o pacote cumpre com os requisitos do cabeçalho da regra.. Os atributos estão separados através do carácter ;, e ser encerrado com o carácter ), caso contrário ao processar a regra pode causar um erro durante o arranque. Através deste, geram-se 15 opções de regra distintas, sendo as seguintes palavras-chave ( keywords ): [4] O SNORT pode ser configurado para ser executado em um dos seguintes modos: Modo Sniffer - Se SNORT é executado no modo sniffer, que capta todos os pacotes e mostra-lo para a tela. Redirecionando a saída na tela, é possível capturar todos os pacotes no arquivo. Este modo é amplamente utilizado para solucionar problemas de rede. Modo Packet Logger: Este modo é semelhante ao modo sniffer, Em vez de mostrar pacotes para a tela, SNORT regista todos os pacotes para o arquivo de log se estiver rodando no modo Packet logger. Modo Network Intrusion Detection System (NIDS) - NDIS é o modo mais utilizado para SNORT. Quando SNORT é executado no modo NDIS, Ele permite escrever regras. O SNORT verifica cada pacote com correspondência de expressão e realiza operação pré-definida. Inline mode - Este é o modo mais importante para escrever qualquer regra de firewall. Quando SNORT é executado no modo inline, captura os pacotes, analisa e solta/larga o pacote dependendo regra. Ele usa o iptables para descartar os pacotes. Tipicamente o snort é instalado para escutar numa segunda interface de rede, então poder-se-á aceder primariamente à máquina, e ter o snort a escutar uma segunda interface. msg- imprime uma mensagem de alerta e logs de pacotes logto log,o pacote para um usuário especificado em vez do nome do arquivo de saída padrão minfrag -estabelece um valor limite para o tamanho menor aceitável do fragmento IP ttl- Critério do valor do cabeçalho IP do campo TTL

7 Pedro Fernandes 7839 Nuno Costa Sniffer Mode VII. COMANDOS [5] snort -v # mostra somente os cabeçalhos dos pacote TCP/IP na tela. snort -vd # mostra somente os cabeçalhos do IP, TCP, UDP e ICMP. snort vde # mostra os todos os cabeçalhos e os dados contidos neles também. Packet Logger Mode snort -dev -l /dirdolog//log.txt # o snort gera um arquivo chamado log.txt de todos os pacotes visto por ele. Considerando que o diretório "dirdolog" já existe, caso contrario deve-se cria-lo. snort -dev -l./log -h /24 # faz com que o snort capture cabeçalhos TCP/IP, data link e dados relacionados ao host (Classe C) e armazene o resultado no subdiretório log. OBS. os dados recolhidos serão armazenado em arquivos correspondente/nomeado com cada endereço IP capturado. snort -l./log b # snort executado com a opção (-b) faz a captura total dos pacotes ao invés de capturar somente cabeçalhos ou somente dados. tomadas para cada pacote recolhido e confrontado com ele. O resultado do NIDS será gerado no diretório /var/log/snort, ou outro diretório previamente estipulado. O arquivo snort.conf deve estar presente no diretório corrente ou deve ser digitado o diretório onde ele se encontra. A opção -v acima faz com que o snort mostre os resultados também no monitor. Isso causa com que o snort fique um pouco lento podendo ate perder alguns pacotes por causa disso. A opção -e para capturar cabeçalhos do data link layer as vezes são tão importante podendo ser emitido. snort -d -h /24 -l./log -c snort.conf # snort rodando com as opções básicas; ou seja, sem as opções de -v= mostra na tela e -e= cabeçalho Data Link. snort -c snort.conf -l./log -s -h /24 # envia alertas para o syslog opção (-s). snort -c snort.conf -s -h /24 # cria arquivo log no diretório default e envia alertas. snort -c snort.conf -b -M WORKSTATIONS # gera arquivo de log no formato binário e envia alerta para o Windows Workstation. snort -c snort.conf -b -A fast -l /var/log/snort # cria arquivo binário e usa alerta rápido e cria arquivo log no /var/log/snort. snort -dv -r packet.log # uma vez criado o arquivo com a opção (-b), pode-se usar qualquer sniffer que suporta formato binário tcpdump tais como, snort, tcpdump ou Ethereal para manipular os dados recolhidos. snort -dvr packet.log icmp # de posse do arquivo binário gerado pela opção (-b), pode-se então criar novas filtragens do tipo BPF interface. No nosso exemplo estamos fazendo somente a filtragem dos pacotes de ICMP contido no arquivo binário. snort -d -c snort.conf -l./log -h /24 - r snort.log # gera arquivos no formato ASCII a partir de um arquivo no formato binário. snort -d -v -r snort.log -O -h /24 # a opção (-O) simplesmente oculta seu endereço IP. Essa opção se torna muito útil nos casos em que queremos enviar arquivos de logs para newsgroup ou qualquer outro lugar público. Network Intrusion Detection Mode - (NIDS) snort -b -A fast -c snort.conf snort -dev -l./log -h /24 -c snort.conf # snort.conf é o nome do arquivo de configuração. Este arquivo contem as regras e ações a serem

8 Pedro Fernandes 7839 Nuno Costa VIII. FERRAMENTA SNORT O Snort necessita de alguns complementos como MySQL, download das regras, uma de registo (log) e linhas de comando. Visualização de logs na ferramenta Snort. A criação de Regras no Snort obedece a um formato ou modelo pré-estabelecido: <tipo_de_alerta> <protocolo> <rede_origem> <porta_origem> -> <rede_destino> <porta_destino> (Cabecalho da Regra; Opcoes; sid:x;...); Figura da tela de instalacao do Snort Snort assume tres modalidades de comandos, segue abaixo junto com um exemplo de cada: - Sniffer: captura pacotes e imprime. Ex.: snort vde # mostra os todos os cabeçalhos e os dados contidos neles também. - Packet logger: registra os pacotes capturados no disco rigido. Ex.: snort -dev -l /dirdolog//log.txt Exemplo de criacao de regras para o Skype: A primeira regra detecta uma conexao na porta tcp/33033: alert tcp any any -> any (flags: PA; sid: ; priority:9; msg:"tentativa de Conexao ao Skype";) A segunda regra detecta o envio de uma consulta DNS a um subdomínio do Skype. alert udp any any -> any 53 (msg:"consulta DNS ao Skype"; priority:9; content: " 05 skype"; depth: 50; sid: ; rev:1;) Podemos visualizar na imagem abaixo o Snort capturando uma conexão ao Skype. # o snort gera um arquivo chamado log.txt de todos os pacotes visto por ele. - Network intrusion detection system: mais complexa e versátil, permitindo que o Snort análise o trafego da rede de encontro a regras definidas pelo utilizador, executando diversas acções baseadas nas suas regras. Ex.: snort -b -A fast -c snort.conf # gera arquivo de log no formato binário e usa alerta rápido A imagem abaixo demonstra a visualização de um log na ferramenta Snort.

9 Pedro Fernandes 7839 Nuno Costa IX. CONCLUSÃO A crescente preocupação com a segurança das redes de computadores, deu origem à área de deteção de intrusão, onde encontramos um amplo campo de pesquisa, com o surgimento de técnicas e ferramentas para facilitar a identificação dos ataques e seus tipos as redes e aos computadores. Devido ao estudo realizado, observou-se que a área de segurança vem crescendo significativamente, com um futuro promissor, ao mesmo tempo, inúmeras ferramentas vão sendo desenvolvidas, destacamos o Snort, uma ferramenta IDS, com grande facilidade e poder de utilização, o seu crescimento, está associado ao grande número de usuários/contribuintes, que possibilitam o surgimento de novas regras de deteção de vulnerabilidades e por ser de domínio público. Originalmente lançado em 1998 pela Sourcefire fundador e CTO Martin Roesch, o Snort é um livre, open source de deteção de intrusão de rede e sistema de prevenção capaz de realizar em tempo real, análise de tráfego e registro de pacote em redes IP. Inicialmente chamado de "leve" a tecnologia de deteção de intrusão, o Snort evoluiu para um, rico em recursos madura tecnologia IPS, que se tornou o padrão de fato em deteção de intrusão e prevenção. Com mais de 4 milhões de downloads e cerca de usuários registrados, é a tecnologia de prevenção de intrusão mais amplamente difundida no mundo. REFERENCES [1] [2] [3] [4] Criando Regras para o Snort - [5] Snort - [6] How To write Snort rules and keep your sanity - m [7] Snort - [8] Segurança em Redes de Computadores disciplinas/seg_redes/aula_09.html