Segurança na Web Capítulo 7: IDS e Honeypots Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1
Introdução IDS = Intrusion Detection Systems (Sistema de Detecção de Invasão) O IDS funciona sobre três premissas: Onde observar O que observar O que fazer Page 2
Introdução Onde observar diz ao IDS a localização lógica que será monitorada quando algo acontecer. O que observar as condições para as quais ele deveria estar observando O que fazer ações a serem tomadas Page 3
IDS em ação (exemplos) 1. Você instala o IDS para observar a conexão à internet e aqueles que tentam entrar na sua rede pelo seu firewall 2. Você diz ao IDS que tipos de hackers e ataques deve observar, baseando-se no tipo de pacote e conexão e quais atividades devem ser geradas 3. Você diz ao IDS para avisá-lo e enviar-lhe um e-mail quando um destes ataques ocorrerem 4. Um scanner tenta varrer as 1000 primeiras portas TCP/IP. Page 4
IDS em ação (exemplos) 5. O IDS verifica em seu banco de dados que esse perfil de comportamento se refere a um scanner de portas 6. Ele tenta lhe enviar um e-mail e se conectar ao seu dispositivo móvel ao mesmo tempo 7. De repente aumenta o escaneamento de porta, e desta vez de uma outra origem. 8. O IDS também notifica você desta tentativa. Page 5
IDS em ação (exemplos) Moral da história? Agora você tem um IDS 24 por 7, adequadamente configurado, pronto para avisar-lhe de qualquer notificação Quais são os pontos negativos desse IDS, então? Page 6
IDS em ação - Limitações O IDS só pode observar apenas uma interface por vez O IDS observa apenas as opções que você lhe fornece Deixar passar alguns avisos verdadeiros, no meio de tantos falsos-positivos Page 7
IDS em ação - Limitações O IDS só pode observar apenas uma interface por vez O IDS observa apenas as opções que você lhe fornece Deixar passar alguns avisos verdadeiros, no meio de tantos falsos-positivos Page 8
IDS em ação Ajustes O segredo do IDS está no ajuste Afinar um IDS, conforme as suas necessidades e testes realizados Page 9
Tipos de Ataques (2011) Page 10
Visão geral de um IDS Um IDS é como um sistema de alarme para a rede A rede pode estar protegida, mas sem um IDS você nunca saberá se um atacante está tentando obter acesso Page 11
Visão geral de um IDS A meta do IDS é monitorar os ativos de rede para detectar: comportamento incomum atividade inapropriada ataques ou para um ataques (invasão) fornecer informações para processar um atacante Page 12
Visão geral de um IDS Um IDS pode ser implementado em diversas localizações dentro da rede para aumentar ainda mais a segurança e proteção da organização. Duas formas básicas de IDS tem sido usadas: IDS baseado em rede IDS baseado em ponto-a-ponto Page 13
Visão geral de um IDS NIDS Network Intrusion Detection System Residem diretamente na rede e observam todo o tráfego que atravessa a rede Os NIDS são efetivos tanto em observar fluxo de tráfego de entrada/saída e tráfego entre segmentos de redes locais São tipicamente distribuídos na frente e atrás dos firewalls. Page 14
Visão geral de um IDS HIDS Host Intrusion Detection System são aplicativos de software especializados que são instalados em um computador observa o tráfego de comunicação de entrada/saída de e para aquele servidor monitora alterações no sistema de arquivos Page 15
Visão geral de um IDS HIDS Host Intrusion Detection System (cont.) São extremamente efetivos em: missões críticas servidores de aplicativos acessíveis pela internet servidores web e e-mail (etc...) Page 16
Visão geral de um IDS Na avaliação de um IDS, é importante considerar o foco e o registro de eventos: Correlação de eventos Correlacionar eventos é crucial para garantir que a sua rede é segura Permite que um administrador do IDS rastreie rapidamente eventos múltiplos Page 17
Visão geral de um IDS Na avaliação de um IDS, é importante considerar o foco e o registro de eventos: Gerenciamento centralizado de sensores Assinaturas personalizadas e limiares (Possibilidade de criar assinaturas de ataques para lidar com quaisquer eventualidades) Eliminação de falso-positivos (MID Medo, Incerteza e Dúvida) Page 18
Visão geral de um IDS Na avaliação de um IDS, é importante considerar o foco e o registro de eventos: Implementação baseada em padrões (IDS que são interoperáveis) Funcionalidade de prevenção de invasão (habilidade de responder ativamente e impedir invasões e tráfego não desejado) Detecção de anomalia (IDS deve estabelecer uma linha-base para os padrões de tráfego normal) Page 19
Como são detectadas as invasões? Um IDS possui uma implementação especial de TCP/IP que lhe permite pegar os pacotes e então remontá-los para análise. Não é suficiente apenas farejar os pacotes, um IDS deve examiná-los. Isso é feito de diversas formas... Page 20
Como são detectadas as invasões? Remontagem do fluxo de comunicações Um IDS tem a capacidade de reconstruir um fluxo de pacotes em uma sessão de comunicações. Page 21
Como são detectadas as invasões? Análise de protocolo Os ataques para terem sucesso, empregam métodos de alterar informações básicas do protocolo. Ex.: ping da morte Um IDS possui um sistema de verificação que pode sinalizar pacotes inválidos. Page 22
Como são detectadas as invasões? Detecção de anomalias A detecção de anomalias é semelhante ao treinamento de filtros de SPAM porque no período de treinamento do IDS permite-lhe determinar níveis de baseline de atividade. Ex.: atividade de arquivo, logins de usuário, utilização de CPU, atividades de disco, etc... Page 23
Como são detectadas as invasões? Equivalência de assinatura/padrão A equivalência de assinatura/padrão é o método mais comum de se detectar ataques, e significa que o IDS deve ser capaz de reconhecer cada técnica de ataque para ser efetivo. Um IDS possui grandes BD com milhares de assinaturas que permitem os IDS encontrar padrões ou assinaturas de ataques. Page 24
Como são detectadas as invasões? Análise de registro (log) Os IDS tem a capacidade de receber mensagens de registro (log) de múltiplos dispositivos e auditar estes registros para eventos relacionados a segurança. captura de pacotes ofensores reconstrução da sessão Page 25
Como são detectadas as invasões? Prevenção de invasão Os IPS (Sistemas de Prevenção de Invasão) impedem que um ataque tenha sucesso nos seus primeiros momentos. Duas técnicas são usadas para impedir um ataque: Page 26
Como são detectadas as invasões? Prevenção de invasão Aparar: permite que um IDS termine um ataque suspeito, pelo uso de um pacote TCP Reset ou mensagem ICMP não atingível. Afastar: bloqueia o IP do atacante, além disso o IDS pode ser configurado para afastar determinada conexão suspeita. Page 27
Limitações do IDS Debate HIDS x NIDS Padrões de ataque Falsos positivos Limitações de recursos Estado de longo prazo Cegueira de sensores Limitações de armazenamento Negação de serviço Fragmentação Evasão/alteração de padrão Ferramentas de avaliação do IDS Page 28
Estudo de caso IDS SNORT Snort é uma ferramenta de NIDS, bastante utilizada, pois, além de gratuito, é open source. Ele é sniffer que tem como diferencial a capacidade de inspecionar: o payload do pacote área que contém os dados do mesmo fazer os registros dos pacotes além de detectar as invasões. Page 29
Estudo de caso IDS SNORT A arquitetura do Snort é composta por quatro componentes básicos: O farejador; O pré-processador; O mecanismo de detecção; Alerta/registro. Page 30
Estudo de caso IDS SNORT Assim como o TCPDump, o Snort faz uso de uma biblioteca chamada libcap para realizar a captura dos pacotes. Esta biblioteca além de capturar os dados destinados à própria máquina é capaz de receber os pacotes destinados a outras máquinas dentro do mesmo segmento de rede. Page 31
Estudo de caso IDS SNORT Instalação completa (Linux) http://www.dicas-l.com.br/arquivo/snort_ids.php Page 32
Honeypots Como atacar os atacantes? Solução: honeypots!!! Um Honeypot (potes de mel) é um sistema personalizado para atrair e prender pessoas que tentem penetrar nos sistemas de computação de outras pessoas usando sondagens, scans e invasões. Page 33
Honeypots Honeypots não resolvem um único problema de segurança Eles são usados para: desorientar, prevenir, detectar e coletar informações por serem altamente monitorados e projetados para se parecerem com algo que não são para os atacantes caírem Page 34
Honeypots Qual o motivo de ter-se um dispositivo destes na rede? Page 35
Honeypots Qual o motivo de ter-se um dispositivo destes na rede? Diversos propósitos: Honeypots distraem os atacantes dos recursos mais valiosos da sua rede Honeypots fornecem um aviso precoce sobre novas tentativas de ataque e invasão Page 36
Honeypots Diversos propósitos (cont.): Honeypots permitem um exame profundo das atividades de um atacante durante e depois da exploração do Honeypot. Para conhecer seu inimigo Page 37
Honeypots O projeto e instalação de honeypots caem em duas categorias Honeypots de pesquisa: complexo para distribuir e manter o uso primário para organizações de pesquisa, militares e governamentais Honeypots de produção: usado por organizações que estejam preocupadas com a segurança das suas redes Page 38
Honeypots Os honeypots podem ser classificados por sua função: Monitores de portas: ouvem portas que são alvos de atacantes Esses tipos de honeypots registram tentativas de conexões em uma porta. Page 39
Honeypots Os honeypots podem ser classificados por sua função (cont.): Sistemas falsos: monitora uma porta e engana os atacantes por interagir com eles como poderia ser feito com um sistema real. Sistemas multi-falsos: permitem não apenas múltiplos serviços, mas também, simulam diferentes sistemas operacionais. Page 40
Limitações dos Honeypots Se o sistema ficar comprometido, ele pode ser usado como ponta de lança para se comprometer ainda mais a rede Honeypots adicionam complexidade. Na segurança, a complexidade é ruim porque leva a exposições crescentes para explorações Honeypots devem ser mantidos, como quaisquer outros equipamentos/serviços de rede. Page 41
Estudo de caso Honeyd e KFSensor Instalação e Configuração Honeyd via Linux KFSensor via Windows Page 42