PEP Auditoria e Segurança de Redes de Computadores Sistemas de Detecção de Intrusão SDI Jacson Rodrigues Correia da Silva
Sistemas de Detecção de Intrusão Monitor de informações que atravessam o firewall Informações de pacotes Informações de sistema Sistemas automatizados Procuram indícios de intrusão direta ou indireta de invasões que já aconteceram de invasões que estão atualmente em curso notificam os administradores para que possam agir Objetivo: identificar atividades de invasão
Sistemas de Detecção de Intrusão Possuem duas abordagens Preemptiva: agindo assim que observar atividade suspeita na rede Evolucionária: agir baseando-se em logs. Devido a isso, com segundos de atraso
Detecção de Invasões A metodologia básica de detectar invasores é através da auditoria do sistema Possui dois tipos: a que trabalha com as informações estáticas de configuração, também chamada de perfis de segurança; e a que trabalha com os eventos dinâmicos do sistema.
Sistemas de Detecção de Intrusão Etapas comuns que os SDI possuem avaliação: verifica as necessidades de segurança de um sistema e produz seu perfil de segurança; detecção: coleta os eventos da utilização do sistema e analisa-os para detectar atividades de invasão; alarme: que emite alertas quando um atacante consegue acesso ao sistema.
Sistemas de Detecção de Intrusão Podem ser divididos pelo momento em que fazem a detecção das invasões detecções em tempo real: analisam os dados quando eles chegam; detecções em lote: analisam os dados quando um conjunto de dados coletados chegou em um tamanho específico; e detecções periódicas: analisam os dados periodicamente, em tempos pré-determinados.
Arquitetura dos SDIs Quanto a sua funcionalidade, podem ser classificados em SDI de rede; SDI baseado em Host; SDI distribuído.
SDI de Rede
SDI baseado em Host
SDI Distribuído
Técnicas de detecção de Intrusos Por Anomalia Todas as atividades intrusivas são anormais Criação do perfil de um usuário Detectar as mudanças de comportamento Por Abuso Representar o ataque como molde ou assinatura As variações do ataque também devem se enquadrar no molde ou assinatura
Anomalia Estatístico Perfis baseados nas atividades dos usuários Quantidade de processamento utilizado, número de arquivos que costuma abrir, etc. Desvantagens Alterar perfil até o anômalo ser normal Não são sensíveis a ordem de ocorrência dos comandos Tempo de execução com modelos complexos Limites delicados
Anomalia Prognóstico de padrões Eventos não aleatórios Prognóstico das próximas atividades Se A->B->C, o próximo passo pode ser D, em 90%, ou E, em 10%.
Anomalia Prognóstico de padrões Vantagens Verificar menos eventos significantes Variação de comportamento com características especiais Melhor sensibilidade na violação de políticas Desvantagens Padrões desconhecidos não são detectados Só reconhece os padrões previamente identificados
Anomalia Bayesiana Não supervisiona os usuários com perfis Busca por classes num conjunto de dados Tenta determinar o processo que as geraram Vantagens Possível determinar as classes mais prováveis Não necessita de arranjos sequenciais Desvantagens O atacante pode dissimular o sistema, mudando seu comportamento gradualmente
Abuso Sistema especialista Comparação feita nos logs do sistema Regras se-então Vantagens Regras bem definidas reduz a sobrecarga Possível deduzir a invasão baseadas nos dados recebidos Desvantagens Somente detecta invasões conhecidas
Abuso Modelamento Possui base de dados com sequências de comportamento de ataques Verifica-se a existência de sequências nos logs Vantagens Emitir conclusões sobre ações ambíguas Desvantagens Influenciado pela capacidade de definir evidências de eventos Não detectam ações não evidenciadas
Abuso Monitoramento de comandos Monitora conjuntos de comandos de ataque Desvantagens Uso de nomes alternativos (alias) Não verifica os programas, somente os comando
Híbridos Utilizam as técnicas Anomalia Abuso Minimizar as deficiências mútuas Mais complexos ou limitados para implementação Geralmente apresentam bons resultados
Resultados Intrusivo e anômalo Verdadeiros Positivos Não intrusivo e não anômalo Verdadeiros Negativos Intrusivo, mas não anômalo Falsos Negativos Não intrusivo, mas anômalo Falsos Positivos
Detecção Probabilidade de Detecção entre Atividades Normais e Anormais
Ferramentas IDS Chkwtmp Snort permite checar as entradas excluídas de logs; filtro de pacotes baseado no libpcap que fornece detecção de invasão em rede doméstica; HostSentry observa anomalias de login;
Ferramentas IDS Shadow detecta varredura de portas; MOM ferramenta distribuída para observar redes internas; HummingBird System outros... ferramenta para detecção de invasão em redes grandes;
Sites para pesquisas... http://www.cerias.purdue.edu/about/history/coast_resources/idconte nt/ids_bib.html Referências de publicações em SDI http://www.cerias.purdue.edu/about/history/coast_resources/idconte nt/ids.html Listas de SDI com descrição http://www-rnks.informatik.tu-cottbus.de/en/node/209 Listas de SDI com referências