Um Agente SNMP para Detecção de Intrusão Baseada na Interação de Protocolos

Documentos relacionados
Um Agente SNMP para Detecção de Intrusão Baseada na Interação de Protocolos

Detecção de Intrusão e Gerenciamento de Redes de Computadores: Uma Integração Possível

Uma Arquitetura para Gerenciamento Distribuído e Flexível de Protocolos de Alto Nível e Serviços de Rede

QUESTÕES SOBRE GERÊNCIA DE REDES

Identificação de Cenários de Intrusão pela Classificação, Caracterização e Análise de Eventos gerados por Firewalls

Sistemas de Detecção de Intrusão

Protocolos de Rede. Protocolos em camadas

Uma Ferramenta de Monitoração Programável Voltada à Detecção de Intrusão

Estruturas de Comunicação de Dados Aula 3 Camadas de Aplicação e Transporte

Níkolas Timóteo Paulino da Silva Redes de Computadores I ADS 2ºTermo

Gerenciamento de redes Internet

Redes de Computadores. 1 Questões de múltipla escolha. TE090 - Prof. Pedroso. 17 de junho de 2015

Hands-on: Implantação de monitoramento por Sflow

Gerenciamento de Redes: Protocolo SNMP

DISPOSITIVOS DE REDE E SERVIDORES UTILIZANDO SNMP. Luciano Lingnau Orientador: Francisco Adell Péricas

Sistema de Monitoramento de Dispositivos utilizando o Pandora FMS

Gerenciamento de Redes. Alan Santos

Gerência de Redes de Computadores RMON. Prof. Alex Furtunato

Firewall - Inspeção com estado. (Stateful Inspection)

Prof. Samuel Henrique Bucke Brito

SNORT. Sistema de Detecção de Intrusão de Rede. Amanda Argou Vilnei Neves REDES II

Protótipo de um Agente SNMP para uma rede local utilizando a plataforma JDMK

FUNDAMENTOS DE REDES DE COMPUTADORES Unidade 5 Camada de Transporte e Aplicação. Luiz Leão

Programação com Sockets

Av. Bento Gonçalves, Agronomia - CEP Porto Alegre, Brasil. Av. Unisinos CEP São Leopoldo, Brasil

Forense em Rede com Wireshark.

Camada de Transporte Protocolos TCP e UDP

Redes de Computadores

Segurança Corporativa utilizando Sistema de Detecção de Intrusão (IDS)

IDS - Implementando o SNORT Open Source

Firewall. Prof. Marciano dos Santos Dionizio

Tecnologia de Redes. Arquitetura de Rede de Computadores

Camada de Aplicação da Arquitetura TCP/IP

Gerência de Redes Turma : V

Lista de exercícios - 1º bimestre 2016 REDES

Configurar ajustes do controle da história do monitoramento de rede remota (RMON) em um interruptor através do comando line interface(cli)

ANEXO VII Perfil para futuros concursos de TI da UNIFESP

Arquitetura de Rede. Universidade Católica de Pelotas Curso de Engenharia da Computação Disciplina: Redes de Computadores I

Volt Tecnologia. específicos para fazer reset do contador, uma forma simples é colocar zero no contador. Nestee caso, o Gerente faz o

DESCONTOS DE ATÉ 50%

Análise de Segurança de Conversores Serial-Ethernet e Microcontroladores Tibbo

Modelo de Referência TCP/IP

Gerência de Redes de Computadores. 05 Gerência de Hospedeiros (Hosts)

Capítulo 8 - Aplicações em Redes

E-Sentry+: Um IDS Baseado em Rede com Suporte à Especificação em Alto Nível de Assinaturas de Ataque

Protocolos e Serviços de Redes

Protótipo de um software de segurança em redes para monitoração de pacotes em uma conexão TCP/IP

CURSO TÉCNICO EM INFORMÁTICA

REDES DE COMPUTADORES

Redes de Comunicação de Dados

Segurança em Redes de Computadores

INTERNET. A figura mostra os inúmeros backbones existentes. São cabos de conexão de altíssima largura de banda que unem o planeta em uma rede mundial.

Arquitetura da Internet TCP/IP

Testes de Penetração: Explorador de Portas

Gerência de Redes de Computadores Remote Monitoring

UNIVERSIDADE FEDERAL DO PIAUÍ COLÉGIO TÉCNICO DE TERESINA-TÉCNICO EM INFORMÁTICA DISCIPLINA: REDES DE COMPUTADORES I PROFESSOR: Valdemir Junior

Resumo. Segurança em Redes de Computadores 11/08/2017. Capítulo 8 Segurança em Gerência de Redes. Conceitos Básicos de SNMP Introdução

Anderson Alves de Albuquerque

Capítulo 11 Sumário. Serviço de Correio Eletrônico - SMTP e POP3. Serviço de Páginas - Protocolo HTTP, Linguagem HTML

O espaço de nomes DNS Registros de recursos de domínio Servidores de nome

Modelo de Referência TCP/IP

Redes de Computadores e Aplicações Camada de aplicação IGOR ALVES

Protocolos e Serviços de Redes

MÓDULO 8 Modelo de Referência TCP/IP

Gerência de Redes. Versões SNMP

HLBR: Um IPS invisível para a segurança em redes de computadores. João Eriberto Mota Filho (Comando do Exército Brasileiro)

Agenda. Rede de Computadores (Técnico em Informática) Protocolo TCP Transmission Control Protocol. Introdução ao Protocolo TCP

INTERCONEXÃO DE REDES DE COMPUTADORES

Redes de Computadores

Gerenciamento e Interoperabilidade de Redes

Redes de Computadores. A arquitectura protocolar TCP/IP

INFO ARQ REDES. Prova 2 Bimestre. Obs: Questões RASURADAS são consideradas como ERRADAS GABARITO

Redes de Computadores. Protocolos TCP/IP

Arquiteturas de Protocolos. Aplicação. Redes. Aplicações cliente-servidor. Aplicações peer-to-peer

Prof. Marcelo Cunha Parte 6

Funcionalidade e Protocolos da Camada de Aplicação

Configuração do Intrusion Prevention System (IPS) para o roteador da Segurança do gigabit do Sem fio-n WRVS4400N

GERENCIAMENTO DE REDES: Aluno: Gianluca de Campos Engenharia de Computação

CARACTERÍSTICAS Interface intuitiva. Em pouco tempo você está ambientado com o software;

PN7320. Power Over the NET de 20 portas (unidade de distribuição de energia PDU)

Arquitetura e Protocolos de Rede TCP/IP

SNMPv3. Carlos Gustavo A. da Rocha. Gerência de Redes

INFORMÁTICA. Com o Professor: Rene Maas

AULA 3 - REDES. Prof. Pedro Braconnot Velloso

Camada de Transporte TCP/IP e Aplicação

envolvidos numa comunicação

Data and Computer Network Endereçamento IP

MIB (Management Information Base) Objetos Gerenciados Um objeto gerenciado é a visão abstrata.

Ferramentas Livres para Monitoramento de Redes

Folder Gerenciamento de Baterias Versão 01 18/5/2011. Manual Técnico do Gerenciador de Baterias

Protocolos TCP e UDP. Protocolo TCP. Protocolo TCP. A necessidade de uma comunicação segura: Transmission Control Protocol

Firewalls Reginaldo Campos 1

Os três principais tipos de firewall são o filtro de pacotes, o filtro de pacotes com estado e o proxy.

FACULDADES INTEGRADAS SANTA CRUZ DE CURITIBA MONITORAMENTO - WIRESHARK

Resumo P2. Internet e Arquitetura TCP/IP

Agenda Redes Arquitetura de computadores Programação de CLP Instrumentação OSI 3 / 54

REDES DE COMPUTADORES E TELECOMUNICAÇÕES MÓDULO 16

Ataques para obtenção de informações

Transcrição:

Um Agente SNMP para Detecção de Intrusão Baseada na Interação de Protocolos Edgar Meneghetti (UFRGS) Luciano Paschoal Gaspary (UNISINOS) Liane Tarouco (UFRGS) 20 o Simpósio Brasileiro de Redes de Computadores

Roteiro da Apresentação! Motivação! Sistemas de Detecção de Intrusão! A Arquitetura Trace! O Agente SNMP para Detecção de Intrusão " Extensões! Conclusões e Trabalhos Futuros! Referências 20º Simpósio Brasileiro de Redes de Computadores 2

Motivação! Sistemas de detecção de intrusão passaram a ser elementos importantes na infra-estrutura de segurança! Muitas alternativas surgiram nos últimos anos, mas alguns problemas ainda permanecem " Excesso de falsos positivos " Flexibilidade e facilidade na descrição de ataques " Monitoração em todos os níveis da rede " Comportamento sob alto tráfego 20º Simpósio Brasileiro de Redes de Computadores 3

Sistemas de Detecção de Intrusão! Analisam atividades de um sistema de computação procurando evidências de comportamento malicioso! Ao observar atividade suspeita " Alerta o administrador (email, pager, pop-up) " Aciona algum mecanismo de defesa (reconfiguração do firewall) 20º Simpósio Brasileiro de Redes de Computadores 4

Sistemas de Detecção de Intrusão! Informações podem ser coletadas de " Registros do sistema (logs) " Rede! Baseiam-se em " Anomalia de comportamento " Assinaturas de ataques 20º Simpósio Brasileiro de Redes de Computadores 5

Sistemas de Detecção de Intrusão! Anomalia de comportamento " Identificação do comportamento normal do sistema " Comparação do estado atual com o esperado " Contempla ataques desconhecidos " Dificuldade em criar uma baseline KB normal atual Tráfego telnet ao longo do dia em 172.16.1.1 20º Simpósio Brasileiro de Redes de Computadores 6

Sistemas de Detecção de Intrusão! Assinaturas de ataques " Descrição dos ataques são armazenados em um BD " Detecção acontece quando comportamento do sistema é idêntico às assinaturas armazenadas " Não contempla ataques desconhecidos " São relativamente simples de serem modeladas Ataque a servidor WEB: procurar pela string GET /scripts/..\%c0\%af../winnt/system32/cmd.exe?/c+dir+c:\ 20º Simpósio Brasileiro de Redes de Computadores 7

Sistemas de Gerenciamento de Redes! Redes TCP/IP Arquitetura SNMP (Simple Network Management Protocol) " Simples e amplamente difundida Estação de Gerenciamento consulta ou atribui valores a objetos agente MIB B C dispositivo 20º Simpósio Brasileiro de Redes de Computadores 8

Sistemas de Gerenciamento de Redes! MIBs (Management Information Bases) padrões " MIB II " Octetos/pacotes de entrada/saída " IP, ICMP, TCP, UDP, SNMP, " RMON (Remote Network Monitoring) " RMON2 " HTTP, SMTP, POP3, FTP,! Não existem MIBs específicas ligadas à detecção de intrusão 20º Simpósio Brasileiro de Redes de Computadores 9

Arquitetura de Gerenciamento Trace Estação de gerenciamento Repositório (PTSL,Java, Perl, Tcl) banco de dados Agente de monitoração browser servidor web scripts (PHP) Trap notifier agente SNMP MIB Script Scripts (PTSL) agente SNMP MIB RMON2 Agente de ação MIB Script scripts (Java, Perl, Tcl) agente SNMP MIB Script scripts (Java, Perl, Tcl) Gerente intermediário 20º Simpósio Brasileiro de Redes de Computadores 10

Arquitetura de Gerenciamento Trace Administrador Gerente Gerente Intermediário Agente de Monitoração Modela assinatura de ataque Modela tarefa de gerenciamento Delega Tarefa Programa Agente Pacotes capturados Quantas Ocorrências? Traço observado Alarme! Alarme! Trap SNMP 100 Número de traços? 20º Simpósio Brasileiro de Redes de Computadores 11

O Agente de Monitoração! É um agente SNMP! Pode ser usado para realizar detecção baseada em assinaturas de ataques e em anomalia de comportamento! Recebe especificação de ataques descritos em PTSL (Protocol Trace Specification Language)! Monitora a ocorrência dos ataques descritos! Atualiza uma MIB RMON2 estendida 20º Simpósio Brasileiro de Redes de Computadores 12

A Linguagem PTSL! A linguagem foi concebida para monitoração de protocolos de alto nível! Possibilita a descrição de ataques através da construção de uma máquina de estados finita " Estados e transições entre o cliente e o servidor " Modelagem natural " Notação gráfica e textual! Permite a correlação de pacotes " Ausente em outros IDS 20º Simpósio Brasileiro de Redes de Computadores 13

A Linguagem PTSL! Alguns exemplos de cenários: " Varreduras de portas " Land " Sondagem de serviços RPC " Excesso de falhas de login 20º Simpósio Brasileiro de Redes de Computadores 14

Varredura de Portas em PTSL! Esta assinatura descreve a ocorrência de varredura de portas utilizando a técnica de envio de pacotes TCP com a flag SYN ligada e a respectiva resposta do alvo (TCP RST) Trace Varredura de Portas SYN idle 2 RST Version: 1.0 Description: Varredura de Portas por SYN/RST. Key: varredura, portas, SYN, RST Port: Owner: Edgar Meneghetti Last Update: Thu Jan 10 09:37:57 BRST 2002 20º Simpósio Brasileiro de Redes de Computadores 15

Land em PTSL! Assinatura que procura pacotes com endereços IP de origem e destino iguais! Causava DoS em alguns sistemas operacionais mais antigos Trace Ataque LAND idle TCP SYN && Iporig=IPdest Version: 1.0 Description: Ataque LAND. Key: LAND,TCP, Windows Port: Owner: Edgar Meneghetti Last Update: Thu Jan 10 09:37:57 BRST 2002 20º Simpósio Brasileiro de Redes de Computadores 16

Sondagem de Serviços RPC em PTSL! Esta assinatura detecta o uso do comando showmount, que exibe os diretórios exportados por máquinas remotas " Varredura de servidores NFS Trace comando showmount RPC GetPort MOUNT RPC Reply idle 2 RPC Dump 3 Version: 1.0 Descriptio n: Utilização do comando showmount. Key: RPC, showmount. Port: Owner: Edgar Meneghetti Last Update: Thu Jan 10 09:37:57 20º Simpósio Brasileiro de Redes de Computadores 17

Excesso de Falhas de Login em PTSL! Assinatura que evidencia tentativas de login mal sucedidas Trace Excesso de falhas de login NoOffSet Login: TCP * idle 2 NoOffSet Login Incorrect 3 Version: 1.0 Description: Login mal sucedido. Key: telnet, login Port: 23 Owner: Edgar Meneghetti Last Update: Thu Jan 10 09:37:57 BRST 2002 20º Simpósio Brasileiro de Redes de Computadores 18

Localização de Campos em PTSL! BitCounter: localiza sequências de bits em um determinado encapsulamento e posição " BitCounter Ethernet 48 4 0010 "More Fragments"! FieldCounter: localiza sequências de caracteres " FieldCounter Ethernet/IP/TCP 0 HTTP/1.1 "Versão do protocolo"! NoOffSet: localiza sequências de caracteres em posição livre " NoOffSet Ethernet/IP/TCP /etc/passwd Tentativa de ler senhas 20º Simpósio Brasileiro de Redes de Computadores 19

Arquitetura do Agente de Monitoração Agente de Monitoração Ambiente de Execução PTSL Fila de pacotes agente SNMP Arquivo PTSL Gerenciador PTSL mecanismo PTSL thread de captura RMON2 MIB Kernel RMON2 Base de dados Fila de pacotes marcados libpcap 20º Simpósio Brasileiro de Redes de Computadores 20

Dados Armazenados pelo Agente! A contagem de traços é feita de forma indireta, através da contagem de pacotes (packets) presentes em cada traço " Um traço com 3 mensagens ocorrido 5 vezes teria 15 pacotes contabilizados na MIB RMON2 143.54.7.1 Varredura 200.248.252.1 10.10.10.1 200.248.252.2 172.16.108.1 Land Sondagem 200.248.252.25 20º Simpósio Brasileiro de Redes de Computadores 21

Desempenho do Agente! Ambiente de teste " Agente sendo executado em K6II-450MHz, 64Mbytes RAM / ethernet 10Mbits/s " Estação gerando tráfego específico aos traços sendo monitorados! Capacidade sustentada medida: " 235 pacotes/segundo (baixo!)! Desempenho degrada com o aumento de traços em monitoração! Em uma rede com 10 estações (10Mbits/s) não apresentou descarte de pacotes 20º Simpósio Brasileiro de Redes de Computadores 22

Conclusões e Trabalhos Futuros! Objetivos alcançados: " Expectativa de redução no índice de falsos positivos e falsos negativos " Flexibilidade para descrever cenários de ataques! O desempenho do agente em tráfego de rajada deve ser melhorado " Substituição do BD MySQL! Geração de uma versão para distribuição (licença GPL) 20º Simpósio Brasileiro de Redes de Computadores 23

Informações para Contato! Edgar Meneghetti edgar@cesup.ufrgs.br! Luciano Paschoal Gaspary paschoal@exatas.unisinos.br! Home-page do projeto Trace http://noc.metropoa.tche.br/trace/ 20º Simpósio Brasileiro de Redes de Computadores 24

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback