FAE São José dos Pinhais Detecção de Intrusos PR.GOV.BR Hermano Pereira
Agenda Segurança na Rede PR.GOV.BR Sistemas de Detecção de Intrusão Segurança da Informação e Gerência de Eventos Soluções da Equipe de Segurança Algumas Estatísticas Projetos em Andamento Considerações Finais 2 de 113
Segurança na Rede PR.GOV.BR CELEPAR Companhia de Informática do Paraná Economia Mista (Governo do Paraná) Clientes: DETRAN, SEFA, SESA, SEED... 3 de 113
Segurança na Rede PR.GOV.BR 4 de 113
Segurança na Rede PR.GOV.BR 3 links para a Internet 5 de 113
Segurança na Rede PR.GOV.BR 3 links para a Internet Mais de 40.000 estações 6 de 113
Segurança na Rede PR.GOV.BR 3 links para a Internet Mais de 40.000 estações Mais de 600 servidores de aplicações 7 de 113
Segurança na Rede PR.GOV.BR 3 links para a Internet Mais de 40.000 estações Mais de 600 servidores de aplicações Mais de 2.000 sítios web 8 de 113
Segurança na Rede PR.GOV.BR Necessidade de Detecção de Intrusão: 9 de 113
Intrusão 10 de 113
Intrusão 11 de 113
Intrusão 12 de 113
Intrusão 13 de 113
Intrusão 14 de 113
Intrusão 15 de 113
Intrusão 16 de 113
Intrusão 17 de 113
Intrusão 18 de 113
Intrusão 19 de 113
Intrusão 20 de 113
Segurança na Rede PR.GOV.BR Necessidade de Detecção de Intrusão: Ativos da empresa Imagem e Reputação Dados dos clientes Dados do cidadão Vírus / SPAM... 21 de 113
Segurança na Rede PR.GOV.BR 22 de 113
Segurança na Rede PR.GOV.BR 23 de 113
Segurança na Rede PR.GOV.BR 24 de 113
Segurança na Rede PR.GOV.BR 25 de 113
Segurança na Rede PR.GOV.BR 26 de 113
Segurança na Rede PR.GOV.BR 27 de 113
Segurança na Rede PR.GOV.BR 28 de 113
Segurança na Rede PR.GOV.BR 29 de 113
Segurança na Rede PR.GOV.BR 30 de 113
Segurança na Rede PR.GOV.BR 31 de 113
Segurança na Rede PR.GOV.BR 32 de 113
Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão Sistemas de Detecção de Intrusão (Intrusion Detection Systems) IDS IDS é como um alarme em uma empresa IDS permite detectar intrusos em tempo real, e armazenar a ação do intruso. IDS depende de inteligência humana. IDS é uma ferramenta útil para segurança e administradores de redes. 34 de 113
Sistemas de Detecção de Intrusão 35 de 113
Sistemas de Detecção de Intrusão 36 de 113
Sistemas de Detecção de Intrusão 37 de 113
Sistemas de Detecção de Intrusão 38 de 113
Sistemas de Detecção de Intrusão 39 de 113
Sistemas de Detecção de Intrusão 40 de 113
Sistemas de Detecção de Intrusão 41 de 113
Sistemas de Detecção de Intrusão 42 de 113
Sistemas de Detecção de Intrusão 43 de 113
Sistemas de Detecção de Intrusão SNORT Martin Roesch (1999) Robusto Estável Software livre Assinaturas GPL Assinaturas EMERGING THREATS 44 de 113
Sistemas de Detecção de Intrusão 45 de 113
Sistemas de Detecção de Intrusão 46 de 113
Sistemas de Detecção de Intrusão pacote 47 de 113
Sistemas de Detecção de Intrusão pacote 48 de 113
Sistemas de Detecção de Intrusão pacote 49 de 113
Sistemas de Detecção de Intrusão pacote 50 de 113
Sistemas de Detecção de Intrusão pacote 51 de 113
Sistemas de Detecção de Intrusão cópia pacote 52 de 113
Sistemas de Detecção de Intrusão cópia pacote 53 de 113
Sistemas de Detecção de Intrusão cópia pacote 54 de 113
Sistemas de Detecção de Intrusão cópia pacote 55 de 113
Sistemas de Detecção de Intrusão cópia pacote 56 de 113
Sistemas de Detecção de Intrusão pacote 57 de 113
Sistemas de Detecção de Intrusão Ataque! pacote 58 de 113
Sistemas de Detecção de Intrusão Ataque! 59 de 113
Sistemas de Detecção de Intrusão Ataque! 60 de 113
Sistemas de Detecção de Intrusão 61 de 113
Sistemas de Detecção de Intrusão 62 de 113
Sistemas de Detecção de Intrusão 63 de 113
Sistemas de Detecção de Intrusão 64 de 113
Sistemas de Detecção de Intrusão 65 de 113
Sistemas de Detecção de Intrusão 66 de 113
Sistemas de Detecção de Intrusão 67 de 113
Sistemas de Detecção de Intrusão 68 de 113
Sistemas de Detecção de Intrusão 69 de 113
Sistemas de Detecção de Intrusão 70 de 113
Sistemas de Detecção de Intrusão 71 de 113
Sistemas de Detecção de Intrusão 72 de 113
Sistemas de Detecção de Intrusão 73 de 113
Segurança da Informação e Gerência de Eventos
Segurança e Gerência de Eventos Segurança da Informação e Gerência de Eventos (Security Information and Event Management) SIEM SIEM centraliza os eventos SIEM aceita eventos de diversas origens SIEM correlaciona eventos para identificar ataques SIEM implementa o protocolo IDMEF 75 de 113
Segurança e Gerência de Eventos 76 de 113
Segurança e Gerência de Eventos 77 de 113
Segurança e Gerência de Eventos PRELUDE SIEM Desde 2005 (IDS->SIEM) Software Livre Gerenciador em ambiente Web Correlacionador Sensores: Snort, AuditD, Nepenthes, NuFW, Prelude OSSEC, PAM, Samhain, SanCP, etc... 78 de 113
Segurança e Gerência de Eventos 79 de 113
Segurança e Gerência de Eventos 80 de 113
Segurança e Gerência de Eventos 81 de 113
Segurança e Gerência de Eventos 82 de 113
Segurança e Gerência de Eventos 83 de 113
Segurança e Gerência de Eventos 84 de 113
Segurança e Gerência de Eventos 85 de 113
Segurança e Gerência de Eventos 86 de 113
Segurança e Gerência de Eventos 87 de 113
Segurança e Gerência de Eventos Ataque! 3x Alerta X 1x Alerta Y 88 de 113
Segurança e Gerência de Eventos 89 de 113
Segurança e Gerência de Eventos 90 de 113
Segurança e Gerência de Eventos 91 de 113
Segurança e Gerência de Eventos 92 de 113
Segurança e Gerência de Eventos 93 de 113
Segurança e Gerência de Eventos 94 de 113
Segurança e Gerência de Eventos 95 de 113
Segurança e Gerência de Eventos 96 de 113
Segurança e Gerência de Eventos 97 de 113
Segurança e Gerência de Eventos 98 de 113
Segurança e Gerência de Eventos 99 de 113
Segurança e Gerência de Eventos Ataque! 2x Alerta X 1x Alerta Y Vírus! 2x Alerta K 2x Alerta L 100 de 113
Soluções da Equipe de Segurança
Soluções da Equipe de Segurança 102 de 113
Soluções da Equipe de Segurança Pcap / TCPDump TCP / IP Espelhamento Firewall, Proxy perl tamanduah.pl -i eth0 -s 10.0.0.0/8 -d "^10.0.0.0/8,:53" -p udp -q 10 --Tamanduah--2.2---------------------------------------------------------------------------------------Hosts Bytes IN Bytes OUT Bytes Total -------------------------------------------------------------------------------------------------------1 10.X.X.X 245934 44.54% 82497 41.26% 328431 43.67% 2 10.X.X.X 162296 29.39% 67269 33.64% 229565 30.52% 3 10.X.X.X 130920 23.71% 39905 19.96% 170825 22.71% 4 10.X.X.X 3663 0.66% 818 0.41% 4481 0.60% 5 10.X.X.X 3860 0.70% 518 0.26% 4378 0.58% 6 10.X.X.X 602 0.11% 887 0.44% 1489 0.20% 103 de 113
Soluções da Equipe de Segurança 104 de 113
Soluções da Equipe de Segurança 105 de 113
Soluções da Equipe de Segurança SEGINFO 106 de 113
Algumas Estatísticas
Algumas Estatísticas Principais incidentes (2007 2008) Malwares Mau uso de recursos Erros de configuração Principais incidentes (2008 2011) Malwares Tentativas de invasão Identificação de vulnerabilidades 108 de 113
Algumas Estatísticas 109 de 113
Projetos em Andamento Produto IPS (Intrusion Prevention System) SSL Appliance Desenvolvimento IDS baseado em Anomalia (HTTP) 110 de 113
Considerações Finais - Software Proprietário vs Software Livre - Eventos correlacionados - Relatórios personalizados e notificações - Rápida resposta aos Incidentes - Dificuldade na Inspeção de Dados Criptografados - Dificuldade no tratamento de Falsos Positivos e Falsos Negativos... 111 de 113
Referências www.cert.br www.emergingthreats.net www.ietf.org/rfc/rfc4766.txt www.prelude-ids.org www.snort.org 112 de 113
OBRIGADO! Perguntas? seginfo@celepar.pr.gov.br hermanopereira@celepar.pr.gov.br 113 de 113