TOCI08 Segurança em Redes de Computadores Módulo 13: IDS Intrusion Detection Systems, IPS Intrusion Prevention Systems, Honeypots&Honeynets

Transcrição

1 TOCI08 Segurança em Redes de Computadores Módulo 13: IDS Intrusion Detection Systems, IPS Intrusion Prevention Systems, Honeypots&Honeynets Prof. M.Sc. Charles Christian Miers

2 Posicionamento das soluções de segurança Segurança em TI Segurança em Software Segurança em Hardware Hardware de Autenticação Security Appliances Biometria FW/VPN Tokens SCM Smart Cards IDS&IPS Integração Outros Segurança Física Identificação & Gerência de Acesso (IAM) Serviços de Segurança Gerenciamento De Segurança & Vulnerabilidades Gerenciamento de Segurança De Conteúdo Gerência de & Configurações & Sistemas Antivírus/Código Malicioso Filtros Web Segurança de Mensagens Gerência de Vulnerabilidades Patching/ Correções SpyWare Forense Outros Políticas & Conformidade Gerenciamento de Ameaças Outros Softwares de Segurança Firewall VPN IDS IPS Fonte: IDC 2

3 Segurança em Redes de Computadores Classificação dos procedimentos e medidas Proteção Detecção Reação Ferramentas para segurança de redes Ferramentas para controle de vulnerabilidades Ferramentas para controle de ameaças 3

4 IDS: Intrusion Detection Systems Definição: Os IDS ou Sistemas de Detecção de Intrusão são ferramentas que tem como principal finalidade a monitoração de computadores e redes afim de identificar possíveis ataques que possam ter ocorrido ou estejam ocorrendo Ferramenta essencial no controle de ameaças técnicas Utilizados para detectar e alertar em casos de eventos maliciosos. O sistema pode conter muitos sensores de IDS diferentes, posicionados em lugares estratégicos da rede 4

5 IDS: Classificação Tipos de IDS: Baseados em rede (NIDS) Baseados em host (HIDS) Híbridos Modo de Detecção: Anomalias Uso Incorreto Assinaturas Comportamento na Detecção: Passivos Ativos Reativos 5

6 IDS Performance Inline IDS Normalmente colocado atrás do firewall ou conjuntamente com um firewall e filtragem de tráfego Apenas é permitida a passagem ao tráfego bom 6

7 Modelos de IDS Geração de padrões preditivos Classificadores Fuzzy Redes neurais Máquinas de suporte a vetor Sistemas especialistas Árvores de decisão Monitoração de pontos chaves Análise da transição de estado Verificação de padrões/assinaturas Agentes autônomos Detecção de Anomalias Detecção de uso incorreto 7

8 IDS: Detecção por Anomalia Detecta atividades que não seguem uma padrão normal (préestabelecido) de atividades Depende da definição estatística do que é normal Gera uma grande quantidade de falsos positivos, ajustes para redução Prós: Caso implementado adequadamente, pode detectar ataques desconhecidos Oferece baixo overhead (aprendizado X desenvolvimento) Contras: Não é definitivo Definição de normal Alta taxa de falsos positivos 8

9 IDS: Detecção por Assinatura Verifica padrões específicos dos eventos de ataques conhecidos Necessita do conhecimento das assinaturas de ataque Requer um método para comparar e verificar o comportamento com a assinatura Subcategorias: Verificação de padrão Verificação de padrão completa (Statefull) Baseada em decodificação de protocolo Pode ser baseada em heurística 9

10 Padrões (Vulnerabilidades e Ameaças) CVE (Common Vulnerabilities and Exposures) Nomes/Nomenclatura padronizada Interoperabilidade entre ferramentas Guia de comparação entre ferramentas Compatível CVE Número de assinaturas (ataque ameaças) IDMEF (Intrusion Detection Message Exchange Format) 10

11 11

12 Modelo Genérico de Arquitetura IDS Atividade Activity Sensor Sensor Events Eventos Eventos Events Analyzer Analisador Operator Operador Alertas Alerts Response Respostas Sensor Sensor Notifications Notificações Fonte Dados Data Source Administrator Administrador Política de Segurança Security Policy Security Policy Política de Segurança Política de Segurança Security Policy Política de Segurança Security Policy Manager Gerenciador 12

13 HIDS: Host Intrusion Detection System Faz a detecção baseada em monitoração da atividade de rede do sistema, sistema de arquivo, arquivos de log e ações do usuário Deve gerar um alerta quando detecta um procedimento suspeito como, por exemplo, um aumento de privilégios para uma conta de usuário no sistema Permite um nível de controle maior sobre ao sistema por estar instalado localmente 13

14 HIDS - Host Intrusion Detection System (Cont.) Principais Ferramentas do Mercado: Tripwire AIDE ISS BlackIce (voltado para estações) LogSentry ISS RealSecure Enterasys Dragon 14

15 HIDS - Host Intrusion Detection System (Cont.) Pontos fortes: Menos falsos positivos Uso em ambientes onde largura de banda é crítica Qualidade da informação coletada Pontos Fracos: Dependem das capacidades do sistema São relativamente mais caros Visão localizada 15

16 NIDS - Network Intrusion Detection System Um sistema de detecção de intrusão baseado em redes (NIDS) é projetado para examinar o tráfego de rede para identificar ameaças detectando varreduras, sondas, ataques, etc. Pode ser posicionado de várias maneiras possíveis, principalmente: Entre o cliente e o servidor Entre o servidor e seus próprios funcionários Entre o firewall e a DMZ Deve permitir uma análise mais minuciosa de um eventual ataque e de onde se originou 16

17 NIDS - Network Intrusion Detection System (Cont.) Principais Ferramentas do Mercado: Snort Shadow Prelude Dragon Enterasys ISS - RealSecure 17

18 NIDS: Network Intrusion Detection System (Cont.) Pontos fortes: Cobertura abrangente Desempenho em alta velocidade Fácil instalação (Sensores) Operação transparente Tende a ser mais independente Pontos Fracos: Monitora um segmento de rede,necessita ter acesso ao tráfego (necessidade de HUBs, portas de eco em switches, etc..) Inadequado para tratar ataques mais complexos Grandes quantidades de dados trafegam entre os agentes e estações de gerência Falsos Positivos / Falsos Negativos Ataques de DoS e DDoS 18

19 ALERT/ LOG SESSÃO TERMINADA REGISTRO DA SESSÃO DETECTAR ATAQUE RECONFIGURAR FIREWALL DETECÇÃO DO ATAQUE Usuário Interno REGISTROS DA SESSÃO 19

20 Posicionamento de IDS e Arquitetura 20

21 IDS: Arquitetura HIDS1. Este HIDS trabalhará instalado no firewall para que o mesmo além de proteger a rede toda, proteja o firewall de um possível ataque contra ele, que pode surgir tanto da rede interna da VPN ou da Internet NIDS1. Nesta situação, o NIDS irá detectar todas as tentativas de que a rede interna sofrerá até as tentativas que não teriam efeito algum. Esta localização traz uma rica fonte de informações sobre que tipos de ataques que a rede pode sofrer NIDS2. Este NIDS estará monitorando todo o segmento, que é a DMZ, o qual engloba o servidor de , FTP e Web alertando sobre uma possível invasão 21

22 IDS Arquitetura (Cont.) NIDS3. Da mesma forma que o NIDS2, este irá proteger a rede se servidores a qual engloba o Banco de Dados e o servidor ICP NIDS4. Este IDS monitorará toda as ações da rede interna, caso haja algum comportamento suspeito contra os servidores da organização NIDS5. Nesta posição, este IDS irá monitorar todas as ações suspeitas que podem vir partir da VPN contra o firewall e toda a rede de computadores 22

23 Considerações sobre IDS IDS comerciais estão na fase juvenil Muito trabalho a ser feito (pesquisa/comercial) Aumento na importância da detecção por anomalia Será que algum dia os IDSs serão criados eventualmente para cada tipo de aplicação ou dispositivo de rede? IDSs não são um tipo de solução que irá parar todos os tipos de ameaças de uma organização IDSs são parte relevante de uma estratégia de segurança (Política de segurança como orientador) se bem distribuídos e gerenciados Uma boa configuração de política do IDS faz toda a diferença! Planejamento futuro e cuidado em considerar todos os elementos constituem uma boa configuração de política do IDS IDS, Forense, e outras políticas de rede/segurança precisam se relacionar bem para serem realmente efetivas 23

24 IPS Intrusion Prevention Systems

25 IPS: Intrusion Prevention Systems Considera-se mais uma evolução do IDS do quê um novo conceito Incorpora outros dispositivos de rede (roteadores, switches, etc.) Definição: Consiste no uso coordenado e integrado de ferramentas de segurança, em especial similares a IDS para prevenir ataques de modo pró-ativo Mudança de postura: Passiva Detecção Ativa Mecanismos de defesa pró-ativos Objetiva parar o tráfego ofensivo antes de causar danos 25

26 IPS: Tipos Host IPS Instalação direta no sistema a ser protegido Conexões diretas ao núcleo para interceptar chamadas de sistema (system calls), objetivando auditoria Não é muito propenso a atualizações (mudança de controles, disponibilidade, etc.) Network IPS Combina IDS, IPS e firewalls IDS in-line ou IDS de Gateway Descarta pacotes maliciosos Incapaz de competir com a velocidade de redes mais rápidas (Gbps, por exemplo) 26

27 IPS: Exemplo Cliente CISCO Regular IPS Signatures IPS 4200 Series VMS Catalyst 6500 IPS Blade ASA 5500 SSM Blade Regular IPS Signatures IPS Signature Update Server Regular AV Signatures TrendLabs Servers Policy (coarse filter) Signtaure (fine filter) Policy (coarse filter) Signature (fine filter) NM-CIDS Router Blade IOS IPS c83x-c7xxx IPS Engineering Signature Integration TREND MICRO Malware Outbreak! Cisco Incident Control Center (CICC) 27

28 Honeypots/Honeynets

29 Honeypot Definição: Mecanismo de detecção de intrusão com a finalidade de atrair crackers/hackers Não fazem nenhum tipo de prevenção Fazem uma forte avaliação e registros das táticas e técnicas do seu invasor (quantitativa e qualitativamente) Não estão limitados a um único problema Podem servir tanto como iscas como coletores de dados 29

30 Classificação pelo Nível de Interação Baixa Interatividade Média Interatividade Alta Interatividade 30

31 Tipos de Honeypots Honeypots de Produção: Aumentar a segurança e mitigar os riscos Honeypots de Pesquisa: Levantar informações sobre atividades maliciosas 31

32 Localização dos Honeypots Frente do Firewall Dentro da DMZ Dentro da Rede Interna 32

33 Ferramentas Honeypots Ferramentas de código aberto Desenvolvidas por pesquisadores independentes, universidades e também com o auxílio de empresas Plataforma GNU/Linux e BSD, na sua maioria Dependendo da licença podem ser modificadas e redistribuídas Ferramentas proprietárias (EULA) Software licenciado (normalmente por IPs ou quantidade de instalações) Normalmente possuem interfaces mais facilitadas (gráficas) Fáceis de configurar Para administradores experientes pode limitar o uso em decorrência do código fechado e licenciamento 33

34 Ferramentas de Código Aberto DTK BACKOFFICE FRIENDLY HONEYD 34

35 Ferramentas de Proprietárias MANTRAP SPECTER KFSENSOR 35

36 Honeynet Definição: Ferramenta de pesquisa com a finalidade de estudar atacantes Consistem na construção de uma rede similar às encontradas nas organizações Podem descobrir ataques e ameaças conhecidos ou não Requer grande quantidade de recursos e tempo para construir, implementar e manter Qualquer tráfego enviado para uma Honeynet é suspeito Controles: Captura de Dados Controle de Dados 36

37 Honeynets: Classificação Honeynets clássicas: Sistemas de produção real em um ambiente controlado Honeynets virtuais: Auto-suficientes Híbridas 37

38 Principais Ferramentas VMWARE UML 38

39 Principais Ferramentas (Cont.) QEMU HONEYNET DE HONEYPOTS 39

40 Projeto Honeynet.BR Em1999 uma equipe de pesquisadores, formada por 30 profissionais da área de segurança, desenvolveu o Honeynet Project Lance Spitzer foi, essencialmente, o principal fundador do projeto, cujo objetivo é implementar honeynets com o intuito de avaliar as informações levantadas durante o seu comprometimento, de forma a identificar as ferramentas, táticas e motivações dos atacantes 40

41 Projeto Honeynet.BR (Cont.) Outra contribuição do Honeynet Project é a formação de uma Aliança de Pesquisa (Research Alliance): vários grupos de especialistas em segurança da informação se organizam em diferentes países para constituir grupos de estudo e avaliação de honeynets No Brasil, o projeto Honeynet.BR é o projeto que responde pelo estudo e avaliação de honeynets a nível nacional. O Honeynet.BR é membro participante da Honeynet Research Alliance 41

42 Projeto Honeynet.BR: Distribuição 42

43 Projeto Honeynet.BR: Centralizadores Cert.BR: Identifica atividades maliciosas e notifica os responsáveis pelas redes que estão envolvidas nestas atividades INPE: Procura determinar as vulnerabilidades que estão sendo exploradas, as ferramentas utilizadas para efetivar os ataques e quem são os responsáveis (origem) pelos ataques que vem ocorrendo 43

44 Projeto Honeynet.BR: Topologia 44

45 Honeypot: Ferramentas Sistema Operacional: OpenBSD Ferramenta de Honeypot: Honeyd 45

46 Honeypot: OpenBSD Sistema operacional estável e seguro que provê um ambiente controlado, capaz de suportar a interação com atividades maliciosas Características: Segurança: Emprego de técnicas de criptografia em várias partes do sistema Utilizado na construção de firewalls, IDS e servidores de diversos propósitos Código sofre um forte processo de auditoria 46

47 Honeypot: OpenBSD (Cont.) Características (Cont.): Portabilidade: Garantir sua utilização em computadores pessoais e em modelos largamente utilizados Poder: Pode ser suportado por hardware de até dez anos atrás Disponibiliza o maior espaço de processamento possível para as aplicações dos usuários Documentação: Preocupação com documentação específica, manuais falhos levam a sérios problemas de segurança Manuais precisos para garantir a correta configuração do sistema operacional 47

48 Honeypot: OpenBSD (Cont.) Características (Cont.): Corretude: Para implementar soluções o mais corretas possíveis, os desenvolvedores do OpenBSD são guiados por padrões UNIX tais como POSIX e ANSI Isto é respeitado para se obter como resultado final um sistema fidedigno, seguro e previsível Código Aberto: Permite realizar alterações no código fonte Personalizar ou corrigir eventuais problemas 48

49 Honeypot: Honeyd Atua como um servidor, capaz de gerar diversas máquinas virtuais que possam ser conectadas de forma a criar uma rede virtual de computadores Características: Configuração de serviços arbitrários através de simples arquivos de configuração (personalidades) Atribuição de diferentes endereçamentos IP para as máquinas pertencentes a rede virtual Simulação de topologias arbitrárias (descarte de pacotes, rotas, latência, entre outros) Simulação de sistemas operacionais a nível de pilha TCP/IP (Internamente trabalha como uma máquina de estados) 49

50 Honeypot: Honeyd (Cont.) Características (Cont.): Virtualização de subsistemas. Possibilita: Simular a ligação de portas de comunicação dinâmicas em um espaço de endereçamento IP virtual Estabelecimento de conexões a partir da rede Iniciar conexões TCP e UDP dentro do espaço de endereçamento IP virtual, entre outros Segurança. Pode ser configurado para executar com baixo privilégio e permite a utilização de systrace Software Livre e de código aberto 50

51 Honeypot: Honeyd (Cont.) Listeners 51

52 Honeypot: Honeyd (Cont.) Listeners Serviço Emulado Desconhecido 52

53 Comparativo: Honeypots X Honeynets Honeypots Honeynets Um único Sistema Computador simulando múltiplos serviços e Aplicações Rede de Computadores Simulando múltiplos serviços e Aplicações Não possuem mecanismos robustos de contenção Possuem mecanismos robustos de contenção como Firewalls e IDS Apenas arquivam as informações de comprometimento em servidores de log Possuem mecanismos de controle de dados e alerta de eventos Podem ser ferramentas de pesquisa ou produção São, essencialmente, ferramentas de pesquisa Podem ter três níveis de interação São, essencialmente, ferramentas de Alta interatividade Relativamente fáceis de serem Administrados Relativamente complexos de serem administrados Não apresentam falsos positivos Não apresentam falsos positivos 53

54 Questões Éticas IDS reativos, a política de olho por olho pode ser aplicada? De acordo com o governo: não Mas quantos fazem isso? Provavelmente vários Honeypots/Honeynets internos podem ser uma forma de induzir o usuário a ações indevidas? 54

55 55

56 Leitura Recomendada: Cert.Br: Norma NBR-ISO/IEC Versão 1.0 SANS.org: / Stallings, Willian. Network Security Essentials. 2a Edição. Editora Prentice-Hall Capítulo 9 SPITZNER, Lance. Honeypots: Tracking Hackers. Boston, MA/EUA. Pearson Education