SlideShare uma empresa Scribd logo
1 de 34
Baixar para ler offline
Segurança em Redes de Computadores e Internet




        Mecanismos de Detecção e
         Prevenção de Intrusos

                                          Ivani Araujo do Nascimento
                                   Prof. Marcelo Teixeira de Azevedo

                       São Paulo
                      Julho/2010
Sumário
✔   Motivação
✔   Introdução
✔   Analogia vida real x mundo virtual
✔   Técnicas
✔   Tipos de IDS
✔   Modelo conceitual para mecanismos de detecção de intrusos
✔   Tipos de IPS
✔   Desafios para os mecanismos de detecção e prevenção de intrusos
✔   Produtos
✔   Conclusão
Motivação
✔   Grande alarme de ataques e invasões e muitas pessoas e/ou empresas se
    preocupam com seus dados e com equipamentos conectados
    diretamente com a Internet.
✔   Máquinas da rede podem ser utilizadas por invasores para executar
    DDoS* a sites ou servidores de outras empresas.
✔   Crackers podem utilizar um sistema desprotegido para armazenar e
    distribuir conteúdos ou softwares roubados, ou ainda, conteúdo
    pornográfico.
✔   Um administrador de segurança deve ter em sua rede, mecanismos de
    detecção e prevenção para identificar atividades não autorizadas.
✔   Os mecanismos devem realizar alguma ação quando suspeitar de algum
    tráfego de rede não autorizado ou ainda, um acesso a um arquivo não
    autorizado.
✔   Nunca se sabe quando irá soar o alarme de uma tentativa de invasão ou
    de uma invasão em si - manter uma rede segura, é extremamente
    desafiador.
*Distributed Denial of Service - Ataque de negação de serviço distribuído
Introdução

         Intrusão:

         Ação de se introduzir sem direito numa sociedade, num cargo;
usurpação.
Em redes de computadores, equivale a entrada não autorizada de um
computador (ou computadores) na rede, com objetivo de comprometer,
danificar ou roubar informações.
Mecanismos apresentados
✔   IDS - Intrusion Detection System ou Sistema de Detecção de Intrusos, é
    um hardware ou software que monitora um sistema ou uma rede contra
    atividades não autorizadas. Um IDS, é a ferramenta que sabe ler e
    interpretar arquivos de log e tráfego de firewalls, servidores e outros
    dispositivos de rede. Suas funções incluem: monitorar, detectar a
    presença de atividade não autorizada e gerar alertas.

✔   IPS - Intrusion Prevention System ou Sistema de Prevenção de Intrusos, é
    um hardware, software, ou a combinação de ambos que realiza alguma
    ação quando o IDS detecta uma atividade não autorizada e gera um
    alerta.
    O IPS é o dispositivo que irá bloquear os ataques antes que eles cheguem
    ao seu alvo. Se usarmos somente o IDS na rede, ele só irá detectar a
    tentativa de ataque e gerar o alerta. Quando o IPS receber o alerta,
    poderá executar alguma ação, como por exemplo, bloquear o IP de
    origem do ataque.
Analogia vida real x mundo virtual
✔    O carteiro (Internet) entrega as encomendas (dados eletrônicos) à
     recepcionista (firewall), que rejeita tudo o que não esteja em
     conformidade com os seus procedimentos (regras do firewall).
✔    Contudo, a recepcionista (firewall) não consegue controlar plenamente
     todas as encomendas (dados eletrônicos). Por isso, ocorreu um grave
     incidente nesta empresa: foi encaminhada a um diretor (servidor) uma
     encomenda (dados eletrônicos) que continha explosivo (malwares).
✔    O diretor (servidor) ficou afastado por muito tempo da empresa e tal fato
     trouxe enormes prejuízos à empresa.
✔    Para evitar novos incidentes, os diretores (servidores) decidiram
     contratar profissionais qualificados (IDS e IPS) para impedir tais
     acontecimentos.
✔    Esses profissionais (IDS/IPS) agoram inspecionam o conteúdo de todas
     encomendas (dados eletrônicos) que chegam na portaria da empresa
     (roteadores) e passam pela recepção (firewall) antes de serem entregues
     aos destinatários (desktops e servidores).
    Fonte: Brconnection – Internet Controlada
Técnicas – Detecção de Assinaturas
✔   Trabalha de forma similar aos antivírus, que utilizam assinaturas de vírus
    para reconhecer e impedir que programas, arquivos, ou conteúdo
    dinâmico Web infectado entre em um computador; exceto que usa um
    banco de dados de padrões de tráfego ou atividades relacionados à
    ataques conhecidos, chamados de "assinaturas de ataque".

✔   Utiliza regras definidas para identificar intrusões observando os padrões
    de eventos específicos para ataques conhecidos e documentados. Essas
    regras geralmente estão em um banco de dados que guarda as
    assinaturas de ataques. O IDS compara a informação que está
    monitorando contra as assinaturas de ataque que estão no banco para
    detectar um padrão. Isso quer dizer que, na detecção baseada em
    assinatura, o administrador define previamente o que é o ataque e
    configura o IDS para procurar a assinatura.
Técnicas – Detecção de Anomalias
✔   Analisa o tráfego da rede, atividades e comportamento a fim de
    identificar intrusões através de detecção de anomalias. Para fazer a
    detecção através de anomalias, o sistema reúne informações da atividade
    da rede e forma uma base de dados. A partir daí o sistema faz
    comparações das ocorrências da rede com essa base de dados e alerta
    sobre atividades que estão fora do que de costume, ou de normal
    acontece na rede.

✔   Nos IDS baseados em detecção de anomalia, o administrador define uma
    base para o que é comportamento normal; isso inclui estado de carga do
    tráfego da rede, protocolo e tamanho do pacote normal. Nesse caso, a
    detecção pode ser mais trabalhosa, e é aconselhado realizar a análise em
    intervalos. Por exemplo, realizar a análise no horário em que não houver
    expediente, ou em intervalos aleatórios durante o expediente.
Classificação de IDS
        NIDS – Network Intrusion Detection System

✔   Sistema de Detecção de Intrusos em Rede
✔   Realiza captura e análise dos pacotes que trafegam na rede
✔   Opera em modo promíscuo para monitorar a rede
✔   Esse tipo de IDS detecta ataques pela captura e análise dos pacotes que
    trafegam na rede. Configurado para ouvir um segmento de rede ou um
    switch, o IDS pode monitorar o tráfego de rede onde através de uma base
    de dados faz comparações necessárias com os pacotes de rede (detecção de
    assinaturas) ou então faz a decodificação e verifica os protocolos de rede
    (detecção de anomalias).
Classificação de IDS
        NIDS – Network Intrusion Detection System
✔   Um exemplo de uso para um NIDS... a rede começa a receber grande
    tráfego de conexões SYN. Uma conexão normal opera da seguinte forma:

       1) O cliente envia um SYN
       2) Servidor envia um SYN/ACK
       3) Cliente envia um ACK e a conexão é estabelecida.

✔   Quando existe uma grande sequências de conexões SYN, pode ou ser um
    portscan, varrendo o servidor com o objetivo de testar se as portas estão
    abertas ou fechadas, ou então um ataque de SYN, onde o cliente mal-
    intencionado envia muitas requisições SYN, e o servidor não recebe o
    último ACK.
✔   O NIDS pode ser configurado para gerar alertas quando perceber esse tipo
    de conexão.
Classificação de IDS
        NIDS – Network Intrusion Detection System

Vantagens
 ✔ Bem configurados e colocados em pontos estratégicos, podem monitorar


   uma rede grande.
 ✔ Tem pouco impacto sobre a rede existente; geralmente IDS de rede são


   dispositivos passivos que somente escutam o tráfego sem interferir no
   funcionamento normal da rede.

Desvantagens
 ✔ Dificuldade para processar dados em grandes redes

 ✔ Dificuldade para inspecionar pacotes contendo dados criptografados

 ✔ É necessário alinhar com organização o monitoramento do tráfego de rede
Exemplo de arquitetura NIDS
Classificação de IDS
           HIDS – Host Intrusion Detection System
✔   Sistema de Detecção de Intruso no Host.
✔   Instalado em determinada máquina para analisar o próprio host (não
    monitora outras máquinas).
✔   Realiza análise de eventos no sistema e do sistema de arquivos arquivos.
✔   Análise de eventos: busca por conexões abertas de rede e monitora portas
    do sistema.
✔   Análise de sistema de arquivos: analisa o sistema de arquivos e outros
    periféricos do sistema e cria uma base de dados. Essa base de dados é como
    uma foto do sistema original; se ocorrer uma mudança, o IDS gera um
    alerta ou registra a mudança.
Classificação de IDS
           HIDS – Host Intrusion Detection System

    Exemplo do uso de HIDS
✔   Imagine que existe no servidor um arquivo que guarda senha em texto claro
    (um tomcat-user.xml por exemplo, que guarda os usuários do apache
    tomcat). Esse é um tipo de arquivo que não deve ser lido por todos
    usuários... Então, o administrador pode criar um script que vai checar as
    tentativas de leitura desse arquivo. Se alguém tentar ler, o HIDS manda um
    alerta. Ou então, um servidor que possui 2 placas de rede... se for colocada
    uma terceira placa, o HIDS gera um alerta também.
Classificação de IDS
           HIDS – Host Intrusion Detection System

Vantagens
 ✔ Instalado onde o tráfego de rede é criptografado, consegue enxergar os


   dados antes de serem criptografados ou quando são descriptografados no
   host destino.
 ✔ Fornece pistas para auditorias de sistema, detectando cavalos de tróia ou


   outros tipos de ataques que envolvem violação de integridade de software
   ou de arquivos.

Desvantagens
 ✔ Requer que cada máquina seja configurada

 ✔ Não detecta ataques em outras estações

 ✔ Utilizam os recursos computacionais da máquina que estão monitorando, e


   isso pode causar perda de desempenho no sistema monitorado.
Exemplo de arquitetura HIDS
Classificação de IDS
       DIDS – Distributed Intrusion Detection System
✔   Sistema distribuído para detecção de intrusos.
✔   Composto por vários IDSs (podem ser HIDS ou NIDS) espalhados pela rede e
    se comunicam com um servidor central.
✔   A comunicação entre os sensores e o gerenciador pode ser feita através de
    uma rede privada ou através da própria rede existente.
✔   Os uploads dos eventos de ataque podem ser feitos através da estação de
    gerenciamento e armazenados em um banco de dados central. O download
    de assinaturas de ataque são feitos pelos próprios sensores, que podem ter
    regras específicas para atender suas necessidades.
✔   Para a comunicação, é recomendado utilizar criptografia ou uma VPN -
    Virtual Private Network.
Classificação de IDS
        DIDS – Distributed Intrusion Detection System
Vantagens
 ✔ Centralização de logs e de assinaturas de ataques facilitam a manutenção


   de regras.
 ✔   A comunicação é feita utilizando a rede existente ou uma VPN para
     aumentar a segurança.


Desvantagens
 ✔   Considerado complexo, pois a combinação de sensores podem ser HIDS,
     NIDS ou uma combinação de ambos.
 ✔   Configuração da placa de rede para modo promíscuo ou não promíscuo
     depende do fabricante e da política da organização.
Exemplo de arquitetura DIDS
Modelo conceitual para mecanismos de
             detecção de intrusos
Devido à grande existência de ferramentas para detecção de intrusos, foi
proposto o CIDF - Common Intrusion Detection Framework, que agrupa um
conjunto de itens que definem um IDS:


 ✔   E-boxes - Event generators ou Geradores de Eventos
 ✔   A-boxes - Event analysers ou Analisador de Eventos
 ✔   R-boxes - Response units ou Unidade de Resposta
 ✔   D-boxes - Event databases ou Banco de Dados de Eventos
Visão da arquitetura CIDF
    E-box (Backbone de de rede)
✔   Obtém os eventos a partir do meio externo ao CIDF, ou seja, "produz" os
    eventos mas não os processa, isso fica a cargo do componente
    especializado na função de processamento, que, por sua vez, após analisar
    os eventos (violação de política, anomalias, intrusão) envia os resultados
    para outros componentes.

    A-box (Pré-processador)
✔   Este componente, basicamente, recebe as informações de outros
    componentes, as analisa e as envia de forma resumida para outros
    componentes, ou seja, recebe os dados de forma bruta, faz um refinamento
    e envia para outros.
Visão da arquitetura CIDF

    D-box (Mecanismo de detecção)
✔   A função deste componente é armazenar os eventos e/ou resultados para
    uma necessidade futura.


    R-box (Alertas/Registro)
✔   Este componente é responsável pelas ações, ou seja, matar o processo,
    reinicializar a conexão, alterar a permissão de arquivos, notificar as
    estações de gerência, etc.
Visão da arquitetura CIDF


                S
                N
                I       PRE       MECANISMO
BACKBONE                                      ALERTAS
                F   PROCESSADOR      DE
   DE                                         REGISTRO
                F                 DETECÇÃO
  REDE
                E
                R                                        ARQUIVOS DE LOG
                                                         BANCO DE DADOS



                                   CONJUNTO
                     PLUGINS          DE
                                    REGRAS




Beale(2003)
IPS - Intrusion Prevention System
✔   Sistema de Prevenção de Intrusos
✔   Evolução do IDS, trabalha de forma pró-ativa
✔   Utiliza assinaturas ou conjunto de regras como metodologia para prevenir
    ataques
✔   Pode ser baseado em host (HIPS – Host Intrusion Prevention System) ou
    baseado em rede (NIPS – Network Intrusion Prevent System)
✔   IPS pode ser um hardware, software, ou a combinação de ambos que
    realiza alguma ação quando o IDS detecta uma atividade não autorizada e
    gera um alerta.
✔   Utiliza assinaturas ou conjunto de regras como métodos para prevenir
    ataques, assim como um IDS faz. A diferença no caso, é que o IPS irá
    tomar a ação de bloquear o tráfego; por isso é considerado uma evolução
    do IDS e 'primeira linha de defesa'.
✔   Não substitui um firewall.
HIPS
                Host Intrusion Prevention System
✔   Funcionamento similar ao HIDS
✔   Monitora de perto as aplicações. Por exemplo, pode monitorar um editor de
    textos, ou ainda, fazer análise de todo fluxo de dados em busca de ataques
    em potencial.
✔   Não tem problemas com conteúdo criptografado, pois o processo de
    criptografia e descriptografia ocorre no host que está sendo monitorado.
✔   Modificação no sistema: controla alteração de permissões no sistema de
    arquivos, usuários, remoção de vírus e worm e reconfiguração do conjunto
    de regras do firewall local após o ataque.
✔   Mecanismos do kernel: O sistema chama mecanismos de interceptações e
    de MAC fortalecidos por aplicações de prevenção de kernel, a partir de
    recursos comprometidos, o sistema utilizado por um atacante durante e
    após tê-lo comprometido é finalizado usando os serviços providos pelo
    kernel.
✔   Prevenção de buffer overflow: medidas de uso de tempo de compilação e
    tempo de execução.
NIPS
                   Network Intrusion Prevention System
   ✔   Funcionamento similar ao NIDS
   ✔   Dispositivo inline* ou software configurado para detectar e impedir
       ataques
   ✔   Posicionado no caminho que os pacotes passam para chegar na rede


       Um NIPS pode prover contramedidas nas seguintes camadas:
   ✔   Enlace
   ✔   Rede
   ✔   Transporte
   ✔   Aplicação
*Dispositivo inline: dispositivo que se situa diretamente no trajeto que os pacotes fazem quando atravessam a rede.
NIPS
            Network Intrusion Prevention System

✔   Camada de enlace: Administrativamente shutdown na porta do switch que
    está saindo o ataque. Essa atitude só é praticável para ataques que são
    gerados de um sistema local. Ter a possibilidade de parar a porta é
    importante, desde que não seja um shutdown indefinido.

✔   Camada de rede: Interagir com o firewall externo ou roteador, para
    adicionar uma regra geral para bloquear todas as comunicações de
    endereço IP individual ou a rede inteira. Um IPS inline pode realizar a
    mesma coisa sem ter que apelar para um dispositivo externo, desde que
    pacotes de um IP específico possa ser simplesmente bloqueado depois que
    um ataque foi detectado. Similar a respostas da camada de enlace, os
    timeouts são importantes na camada de rede, desde que as modificações
    nas regras do firewall ou nas ACLs dos roteadores possam ser removidas.
NIPS
            Network Intrusion Prevention System
✔   Camada de transporte: Gerar pacotes TCP RST para derrubar sessões TCP
    maliciosas ou emitir algum pacote ICMP de erro, dos diversos disponíveis
    para responder a um tráfego UDP malicioso. Os timeouts, não são aplicáveis
    aqui, porque as bases de contramedidas são dribladas pelo atacante a cada
    sessão ou a cada pacote.

✔   Camada de aplicação: Alertas de dados maliciosos na camada de aplicação
    não podem causar danos antes de alcançar o sistema alvo. Essa
    contramedida requer que o IPS esteja inline, no caminho da comunicação.
    Previamente calculado o checksum na camada de transporte deve ser
    recalculado nessa camada. Similar a camada de rede, timeouts não são
    aplicáveis. Desde que os efeitos da troca de dados na camada de aplicação
    sejam transitórios e não desapareçam uma vez que os pacotes alterados
    são encaminhados através do IPS.
Desafios para os mecanismos de detecção e
          prevenção de intrusos
✔   Criptografia – Os mecanismos de detecção e prevença de intrusos fazem
    monitorações tanto nos cabeçalhos dos pacotes quanto nos campos de
    dados. Porém, com a necessidade de sigilo e proteção dos dados que
    transitam pela rede se torna necessário o uso de criptografia, o que dificulta
    a utilização desses mecanismos. Dados que antes seriam analisados pelos
    mecanismos e que poderiam estar sendo alvos de ataques podem vir a ser
    escondidos devido ao uso da criptografia.
✔   Falsos positivos – Alerta gerado devido à identificação de uma situação que
    não é uma atividade de intrusão. Para evitar os falsos positivos, deve-se
    modificar e ajustar diferentes regras padrão. Em alguns casos, pode ser
    necessário desabilitar algumas das regras.
✔   Falsos negativos – Ocorre numa situação que é uma atividade de intrusão e
    por não haver assinatura que a identifique, nenhum alerta é gerado. Para
    evitar estas situações, deve-se manter as regras e assinaturas atualizadas ou
    gerar novas assinaturas e regras.
Desafios para os mecanismos de detecção e
          prevenção de intrusos
✔   Frequentes updates – Há necessidade de que todo o sistema esteja
    atualizado para que seja feita a proteção adequada da infra-estrutura da
    rede.

✔   Rede com switches – O switch envia os dados provenientes da origem
    apenas para a porta onde se encontra ligada o dispositivo de destino, não
    replicando assim os dados para as outras como o hub. Isso impossibilita o
    uso de IDS, pois só seria monitorado o tráfego destinado à máquina onde o
    IDS está instalado.

✔   Redes de alta velocidade – As redes de alta velocidade se tornam um
    problema devido à dificuldade para monitoração. Outro problema é o
    tamanho dos pacotes, pois influencia diretamente na análise pelo IDS.
Produtos
IDS
 ✔    ISS RealSecure Network Sensor
 ✔    Snort
 ✔    AIDE
 ✔    Tripwire


IPS
 ✔    IBM Security Network Intrusion Prevention System
 ✔    ISS Managed IDS/IPS Service
 ✔    Cisco Intrusion Prevention System Solutions
 ✔    Snort Inline
Conclusão
✔   Verificando o gráfico de estatísticas de incidentes reportados ao CERT.br,
    podemos ter uma idéia dos diversos ataques ou ameaças, que ocorrem
    na forma mais variada possível; cada dia é um desafio garantir que uma
    estrutura computacional corporativa esteja completamente segura.
✔   Com sistemas como IDS e IPS podemos ser alertados para estes ataques e
    conseqüentemente, tomarmos uma atitude certa de forma eficaz e
    precisa, diminuindo cada vez o tempo de indisponibilidade.
✔   É importante saber o que na verdade está ameaçando nossa segurança,
    pois qualquer ferramenta será inútil caso esteja em local errado ou
    funcionando de maneira errada.
✔   Em resumo, o IDS e IPS são tecnologias que fornecem uma camada extra
    de proteção para o ambiente corporativo.
Referências

Advanced Network Security: Five major types of IDS
http://advanced-network-security.blogspot.com/2008/04/three-major-types-of-ids.html – Acesso em Junho de 2010
An Introduction To Distributed Intrusion Detection Systems
http://www.symantec.com/connect/articles/introduction-distributed-intrusion-detection-systems – Acesso em Junho de
2010
Assinaturas de Vírus - http://gtrh.tche.br/ovni/virus/modulo5.htm – Acesso em Junho de 2010
Beale, J., Foster, James C., Posluns, J. Snort 2 – Sistema de Detecção de Intruso Open Source. Rio de Janeiro: Editora Alta
Books Ltda., 2003.
Cisco Intrusion Prevention System Solutions - http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html -
Acesso em Junho de 2010
Definição de Intrusão - http://www.dicionariodoaurelio.com/dicionario.php?P=Intrusao – Acesso em Junho de 2010
Detecção de intrusos (IDS), conceitos e implantação do SNORT - http://www.vivaolinux.com.br/artigo/Deteccao-de-
intrusos-%28IDS%29-conceitos-e-implantacao-do-SNORT?pagina=1 - Acesso em Junho de 2010
Ferramentas de IDS - http://www.rnp.br/newsgen/9909/ids.html – Acesso em Junho de 2010
Freitas, Osmany B. Network Defense Tools
Disponível em: http://www.cin.ufpe.br/~ruy/crypto/seguranca/Network-Defense-Tools.ppt - Acesso em Junho de 2010
IDS Ativo - http://www.brc.com.br/ – Acesso em Junho de 2010
Referências

Maia, Igor S. N., Rehem, Sandro H. P. Sistemas de Detecção de Intrusos baseado em Software Livre - Disponível em:
http://www.scribd.com/doc/13224983/Sistemas-de-Prevencao-de-Intrusao-baseado-em-Software-Livre-Igor-Neiva-e-
Sandro-Herman-UCB – Acesso em Junho de 2010
Internet Security Systems, Inc. Managed Intrusion Detection and Prevention Service (IDS/IPS) – Disponível em :
http://documents.iss.net/literature/mss/IDS_datasheet.pdf - Acesso em Junho de 2010
Monteiro, G. Sistemas de Detecção de Intrusos: Introdução - Disponível em:
http://www.thebugmagazine.org/magazine/bug01/0x02_introducao-IDS-IPS.txt – Acesso em Junho de 2010
Northcutt, Stephen Como detectar invasão em rede – um guia para analistas. Rio de Janeiro: Editora Ciência Moderna
Ltda., 2000.
Oliveira, Danilo M. Hogwash Light Brasil um Sistema de Prevenção de Intrusão Invisível para o Aumento da Segurança
de Redes de Computadores - Disponível em: http://softwarelivre.org/danilomarques/hlbr/monografia-hlbr.pdf. Acesso
em Junho/2010
Porras, P., Schnackenberg, D., Staniford-Chen, S., Stillman, M., Wu, F. The Common Intrusion Detection Framework
Architecture – Disponível em: http://gost.isi.edu/cidf/drafts/architecture.txt – Acesso em Junho de 2010
Soluções de Prevenção de Intrusos - http://www.ibm.com/br/services/sps/iss/ips/index.phtml - Acesso em Junho de
2010
Tam, A. Intrusion Detection System - Disponível em: http://www.pisa.org.hk/download/seminar20010908-ids/ids.ppt.
Acesso em Junho/2010

Mais conteúdo relacionado

Mais procurados

Malware Static Analysis
Malware Static AnalysisMalware Static Analysis
Malware Static AnalysisHossein Yavari
 
Intrusion Detection Systems and Intrusion Prevention Systems
Intrusion Detection Systems  and Intrusion Prevention Systems Intrusion Detection Systems  and Intrusion Prevention Systems
Intrusion Detection Systems and Intrusion Prevention Systems Cleverence Kombe
 
.LNK Tears of the Kingdom
.LNK Tears of the Kingdom.LNK Tears of the Kingdom
.LNK Tears of the KingdomMITRE ATT&CK
 
Palestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresPalestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresAndre Henrique
 
AWS Security Week: Incident Response
AWS Security Week: Incident ResponseAWS Security Week: Incident Response
AWS Security Week: Incident ResponseAmazon Web Services
 
Threat Hunting
Threat HuntingThreat Hunting
Threat HuntingSplunk
 
Web Application Security Vulnerability Management Framework
Web Application Security Vulnerability Management FrameworkWeb Application Security Vulnerability Management Framework
Web Application Security Vulnerability Management Frameworkjpubal
 
Windows Threat Hunting
Windows Threat HuntingWindows Threat Hunting
Windows Threat HuntingGIBIN JOHN
 
Practical White Hat Hacker Training - Passive Information Gathering(OSINT)
Practical White Hat Hacker Training -  Passive Information Gathering(OSINT)Practical White Hat Hacker Training -  Passive Information Gathering(OSINT)
Practical White Hat Hacker Training - Passive Information Gathering(OSINT)PRISMA CSI
 
Purple Team Exercises - GRIMMCon
Purple Team Exercises - GRIMMConPurple Team Exercises - GRIMMCon
Purple Team Exercises - GRIMMConJorge Orchilles
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriBGA Cyber Security
 
Finding attacks with these 6 events
Finding attacks with these 6 eventsFinding attacks with these 6 events
Finding attacks with these 6 eventsMichael Gough
 
Malware Analysis Made Simple
Malware Analysis Made SimpleMalware Analysis Made Simple
Malware Analysis Made SimplePaul Melson
 
Bsides 2019 - Intelligent Threat Hunting
Bsides 2019 - Intelligent Threat HuntingBsides 2019 - Intelligent Threat Hunting
Bsides 2019 - Intelligent Threat HuntingDhruv Majumdar
 
Endpoint Detection & Response - FireEye
Endpoint Detection & Response - FireEyeEndpoint Detection & Response - FireEye
Endpoint Detection & Response - FireEyePrime Infoserv
 
PHDays 2018 Threat Hunting Hands-On Lab
PHDays 2018 Threat Hunting Hands-On LabPHDays 2018 Threat Hunting Hands-On Lab
PHDays 2018 Threat Hunting Hands-On LabTeymur Kheirkhabarov
 
Cyber Threat Hunting: Identify and Hunt Down Intruders
Cyber Threat Hunting: Identify and Hunt Down IntrudersCyber Threat Hunting: Identify and Hunt Down Intruders
Cyber Threat Hunting: Identify and Hunt Down IntrudersInfosec
 
Sigma Hall of Fame - EU ATT&CK User Workshop, October 2021
Sigma Hall of Fame - EU ATT&CK User Workshop, October 2021Sigma Hall of Fame - EU ATT&CK User Workshop, October 2021
Sigma Hall of Fame - EU ATT&CK User Workshop, October 2021Florian Roth
 

Mais procurados (20)

Malware Static Analysis
Malware Static AnalysisMalware Static Analysis
Malware Static Analysis
 
Intrusion Detection Systems and Intrusion Prevention Systems
Intrusion Detection Systems  and Intrusion Prevention Systems Intrusion Detection Systems  and Intrusion Prevention Systems
Intrusion Detection Systems and Intrusion Prevention Systems
 
.LNK Tears of the Kingdom
.LNK Tears of the Kingdom.LNK Tears of the Kingdom
.LNK Tears of the Kingdom
 
Palestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresPalestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de Softwares
 
DOS DDOS TESTLERİ
DOS DDOS TESTLERİ DOS DDOS TESTLERİ
DOS DDOS TESTLERİ
 
Sigma and YARA Rules
Sigma and YARA RulesSigma and YARA Rules
Sigma and YARA Rules
 
AWS Security Week: Incident Response
AWS Security Week: Incident ResponseAWS Security Week: Incident Response
AWS Security Week: Incident Response
 
Threat Hunting
Threat HuntingThreat Hunting
Threat Hunting
 
Web Application Security Vulnerability Management Framework
Web Application Security Vulnerability Management FrameworkWeb Application Security Vulnerability Management Framework
Web Application Security Vulnerability Management Framework
 
Windows Threat Hunting
Windows Threat HuntingWindows Threat Hunting
Windows Threat Hunting
 
Practical White Hat Hacker Training - Passive Information Gathering(OSINT)
Practical White Hat Hacker Training -  Passive Information Gathering(OSINT)Practical White Hat Hacker Training -  Passive Information Gathering(OSINT)
Practical White Hat Hacker Training - Passive Information Gathering(OSINT)
 
Purple Team Exercises - GRIMMCon
Purple Team Exercises - GRIMMConPurple Team Exercises - GRIMMCon
Purple Team Exercises - GRIMMCon
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
 
Finding attacks with these 6 events
Finding attacks with these 6 eventsFinding attacks with these 6 events
Finding attacks with these 6 events
 
Malware Analysis Made Simple
Malware Analysis Made SimpleMalware Analysis Made Simple
Malware Analysis Made Simple
 
Bsides 2019 - Intelligent Threat Hunting
Bsides 2019 - Intelligent Threat HuntingBsides 2019 - Intelligent Threat Hunting
Bsides 2019 - Intelligent Threat Hunting
 
Endpoint Detection & Response - FireEye
Endpoint Detection & Response - FireEyeEndpoint Detection & Response - FireEye
Endpoint Detection & Response - FireEye
 
PHDays 2018 Threat Hunting Hands-On Lab
PHDays 2018 Threat Hunting Hands-On LabPHDays 2018 Threat Hunting Hands-On Lab
PHDays 2018 Threat Hunting Hands-On Lab
 
Cyber Threat Hunting: Identify and Hunt Down Intruders
Cyber Threat Hunting: Identify and Hunt Down IntrudersCyber Threat Hunting: Identify and Hunt Down Intruders
Cyber Threat Hunting: Identify and Hunt Down Intruders
 
Sigma Hall of Fame - EU ATT&CK User Workshop, October 2021
Sigma Hall of Fame - EU ATT&CK User Workshop, October 2021Sigma Hall of Fame - EU ATT&CK User Workshop, October 2021
Sigma Hall of Fame - EU ATT&CK User Workshop, October 2021
 

Destaque

Palestra Como Montar uma Agência Mobile Maketing
Palestra Como Montar uma Agência Mobile MaketingPalestra Como Montar uma Agência Mobile Maketing
Palestra Como Montar uma Agência Mobile MaketingNWMídia Marketing
 
Além do responsive design: a mudança de paradigma do design adaptativo e os m...
Além do responsive design: a mudança de paradigma do design adaptativo e os m...Além do responsive design: a mudança de paradigma do design adaptativo e os m...
Além do responsive design: a mudança de paradigma do design adaptativo e os m...Caelum
 
Pacificando a Favela Tributária - reforma tributária ou simplificação?
Pacificando a Favela Tributária - reforma tributária ou simplificação?Pacificando a Favela Tributária - reforma tributária ou simplificação?
Pacificando a Favela Tributária - reforma tributária ou simplificação?Roberto Dias Duarte
 
Gestão tributária colaborativa
Gestão tributária colaborativaGestão tributária colaborativa
Gestão tributária colaborativaRoberto Dias Duarte
 
Trabalho de contabilidade geral novas regras contábeis brasileiras.
Trabalho de contabilidade geral   novas regras contábeis brasileiras.Trabalho de contabilidade geral   novas regras contábeis brasileiras.
Trabalho de contabilidade geral novas regras contábeis brasileiras.Ju_moura
 
Yayasan Holi'ana'a_Together for Nias
Yayasan Holi'ana'a_Together for NiasYayasan Holi'ana'a_Together for Nias
Yayasan Holi'ana'a_Together for NiasYayasan Holi'ana'a
 
La auditoría según NIAs utilizando gesia
La auditoría según NIAs utilizando gesiaLa auditoría según NIAs utilizando gesia
La auditoría según NIAs utilizando gesiaAudinfor
 
Safety evaluation of plastic food contact materials using analytical
Safety evaluation of plastic food contact materials using analyticalSafety evaluation of plastic food contact materials using analytical
Safety evaluation of plastic food contact materials using analyticalViolette DUCRUET
 
Manual de formação ege snc - módulo 6214
Manual de formação ege   snc - módulo 6214Manual de formação ege   snc - módulo 6214
Manual de formação ege snc - módulo 6214Pedagogy
 
Entomologie moléculaire et étude de la structuration génétique des population...
Entomologie moléculaire et étude de la structuration génétique des population...Entomologie moléculaire et étude de la structuration génétique des population...
Entomologie moléculaire et étude de la structuration génétique des population...Institut Pasteur de Madagascar
 
Nigerian Feed and Poultry Industry challenges nias 2009
Nigerian Feed and Poultry Industry challenges nias 2009Nigerian Feed and Poultry Industry challenges nias 2009
Nigerian Feed and Poultry Industry challenges nias 2009Dr Babatunde Bello
 
Nias nagas presentar
Nias nagas presentarNias nagas presentar
Nias nagas presentarChikytaty
 
PUESTA EN MARCHA DE LAS NORMAS INTERNACIONALES DE AUDITORIA
PUESTA EN MARCHA DE LAS NORMAS INTERNACIONALES DE AUDITORIAPUESTA EN MARCHA DE LAS NORMAS INTERNACIONALES DE AUDITORIA
PUESTA EN MARCHA DE LAS NORMAS INTERNACIONALES DE AUDITORIAEsteban Uyarra Encalado
 

Destaque (20)

Palestra Como Montar uma Agência Mobile Maketing
Palestra Como Montar uma Agência Mobile MaketingPalestra Como Montar uma Agência Mobile Maketing
Palestra Como Montar uma Agência Mobile Maketing
 
Snort
SnortSnort
Snort
 
Além do responsive design: a mudança de paradigma do design adaptativo e os m...
Além do responsive design: a mudança de paradigma do design adaptativo e os m...Além do responsive design: a mudança de paradigma do design adaptativo e os m...
Além do responsive design: a mudança de paradigma do design adaptativo e os m...
 
PADS - MSc Thesis @ UFP
PADS - MSc Thesis @ UFPPADS - MSc Thesis @ UFP
PADS - MSc Thesis @ UFP
 
Pacificando a Favela Tributária - reforma tributária ou simplificação?
Pacificando a Favela Tributária - reforma tributária ou simplificação?Pacificando a Favela Tributária - reforma tributária ou simplificação?
Pacificando a Favela Tributária - reforma tributária ou simplificação?
 
Gestão tributária colaborativa
Gestão tributária colaborativaGestão tributária colaborativa
Gestão tributária colaborativa
 
Trabalho de contabilidade geral novas regras contábeis brasileiras.
Trabalho de contabilidade geral   novas regras contábeis brasileiras.Trabalho de contabilidade geral   novas regras contábeis brasileiras.
Trabalho de contabilidade geral novas regras contábeis brasileiras.
 
Nias
NiasNias
Nias
 
Yayasan Holi'ana'a_Together for Nias
Yayasan Holi'ana'a_Together for NiasYayasan Holi'ana'a_Together for Nias
Yayasan Holi'ana'a_Together for Nias
 
La auditoría según NIAs utilizando gesia
La auditoría según NIAs utilizando gesiaLa auditoría según NIAs utilizando gesia
La auditoría según NIAs utilizando gesia
 
Open Access by Saskia Woutersen-Windhouwer
Open Access by Saskia Woutersen-WindhouwerOpen Access by Saskia Woutersen-Windhouwer
Open Access by Saskia Woutersen-Windhouwer
 
Nias CBHP updates
Nias CBHP updatesNias CBHP updates
Nias CBHP updates
 
NIAS-IFRS
NIAS-IFRSNIAS-IFRS
NIAS-IFRS
 
Safety evaluation of plastic food contact materials using analytical
Safety evaluation of plastic food contact materials using analyticalSafety evaluation of plastic food contact materials using analytical
Safety evaluation of plastic food contact materials using analytical
 
Manual de formação ege snc - módulo 6214
Manual de formação ege   snc - módulo 6214Manual de formação ege   snc - módulo 6214
Manual de formação ege snc - módulo 6214
 
Entomologie moléculaire et étude de la structuration génétique des population...
Entomologie moléculaire et étude de la structuration génétique des population...Entomologie moléculaire et étude de la structuration génétique des population...
Entomologie moléculaire et étude de la structuration génétique des population...
 
Nigerian Feed and Poultry Industry challenges nias 2009
Nigerian Feed and Poultry Industry challenges nias 2009Nigerian Feed and Poultry Industry challenges nias 2009
Nigerian Feed and Poultry Industry challenges nias 2009
 
Accounting standards unit2
Accounting standards unit2Accounting standards unit2
Accounting standards unit2
 
Nias nagas presentar
Nias nagas presentarNias nagas presentar
Nias nagas presentar
 
PUESTA EN MARCHA DE LAS NORMAS INTERNACIONALES DE AUDITORIA
PUESTA EN MARCHA DE LAS NORMAS INTERNACIONALES DE AUDITORIAPUESTA EN MARCHA DE LAS NORMAS INTERNACIONALES DE AUDITORIA
PUESTA EN MARCHA DE LAS NORMAS INTERNACIONALES DE AUDITORIA
 

Semelhante a Mecanismos de detecção e prevenção de intrusos

Seguranca da Informação -IDS
Seguranca da Informação -IDSSeguranca da Informação -IDS
Seguranca da Informação -IDSLuiz Arthur
 
Seguranca em Redes IDS
Seguranca em Redes IDSSeguranca em Redes IDS
Seguranca em Redes IDSLuiz Arthur
 
Sistemas de Detecção de Intrusão.pdf
Sistemas de Detecção de Intrusão.pdfSistemas de Detecção de Intrusão.pdf
Sistemas de Detecção de Intrusão.pdfAgostinho9
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão r5f4y7s9f8g5b245
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula   seguranca da informacao - redes de computadoresNota de aula   seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresfelipetsi
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxpce19791
 
Redes -aula_8_-_seguranca_2_
Redes  -aula_8_-_seguranca_2_Redes  -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_cleitonfcsantos
 
Nota de aula seguranca da informacao - politica de segurança da informação
Nota de aula   seguranca da informacao - politica de segurança da informaçãoNota de aula   seguranca da informacao - politica de segurança da informação
Nota de aula seguranca da informacao - politica de segurança da informaçãofelipetsi
 
Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Diego BBahia
 
Segurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidadeSegurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidadeDiego BBahia
 

Semelhante a Mecanismos de detecção e prevenção de intrusos (20)

Seguranca da Informação -IDS
Seguranca da Informação -IDSSeguranca da Informação -IDS
Seguranca da Informação -IDS
 
Seguranca em Redes IDS
Seguranca em Redes IDSSeguranca em Redes IDS
Seguranca em Redes IDS
 
Ids
IdsIds
Ids
 
Ids
IdsIds
Ids
 
TRABALHO IDS
TRABALHO IDSTRABALHO IDS
TRABALHO IDS
 
Sistemas de Detecção de Intrusão.pdf
Sistemas de Detecção de Intrusão.pdfSistemas de Detecção de Intrusão.pdf
Sistemas de Detecção de Intrusão.pdf
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão Sistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusão
 
Pentest teórico
Pentest teóricoPentest teórico
Pentest teórico
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
IDS.pdf
IDS.pdfIDS.pdf
IDS.pdf
 
Aula 4 semana
Aula 4 semanaAula 4 semana
Aula 4 semana
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula   seguranca da informacao - redes de computadoresNota de aula   seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadores
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptx
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5
 
Redes -aula_8_-_seguranca_2_
Redes  -aula_8_-_seguranca_2_Redes  -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_
 
Nota de aula seguranca da informacao - politica de segurança da informação
Nota de aula   seguranca da informacao - politica de segurança da informaçãoNota de aula   seguranca da informacao - politica de segurança da informação
Nota de aula seguranca da informacao - politica de segurança da informação
 
PenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI EngitecPenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI Engitec
 
Aula 8.0 - Segurança
Aula 8.0 - SegurançaAula 8.0 - Segurança
Aula 8.0 - Segurança
 
Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1Segurança física e lógica e análise de vulnerabilidade 1
Segurança física e lógica e análise de vulnerabilidade 1
 
Segurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidadeSegurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidade
 

Mais de Ivani Nascimento

Mais de Ivani Nascimento (13)

Personalizando o ambiente do usuário
Personalizando o ambiente do usuárioPersonalizando o ambiente do usuário
Personalizando o ambiente do usuário
 
Arquivos de Inicialização do Linux
Arquivos de Inicialização do LinuxArquivos de Inicialização do Linux
Arquivos de Inicialização do Linux
 
Dispositivos de Bloco
Dispositivos de BlocoDispositivos de Bloco
Dispositivos de Bloco
 
Operadores de redirecionamento
Operadores de redirecionamentoOperadores de redirecionamento
Operadores de redirecionamento
 
Obtendo ajuda no Linux
Obtendo ajuda no LinuxObtendo ajuda no Linux
Obtendo ajuda no Linux
 
Editor de texto VI
Editor de texto VIEditor de texto VI
Editor de texto VI
 
Estrutura de diretorios
Estrutura de diretoriosEstrutura de diretorios
Estrutura de diretorios
 
Comandos linux
Comandos linuxComandos linux
Comandos linux
 
Sistemas de arquivos
Sistemas de arquivosSistemas de arquivos
Sistemas de arquivos
 
Introdução Linux
Introdução LinuxIntrodução Linux
Introdução Linux
 
Palestra Netiqueta
Palestra NetiquetaPalestra Netiqueta
Palestra Netiqueta
 
Minicurso Samba
Minicurso SambaMinicurso Samba
Minicurso Samba
 
Detecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditDetecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux Audit
 

Mecanismos de detecção e prevenção de intrusos

  • 1. Segurança em Redes de Computadores e Internet Mecanismos de Detecção e Prevenção de Intrusos Ivani Araujo do Nascimento Prof. Marcelo Teixeira de Azevedo São Paulo Julho/2010
  • 2. Sumário ✔ Motivação ✔ Introdução ✔ Analogia vida real x mundo virtual ✔ Técnicas ✔ Tipos de IDS ✔ Modelo conceitual para mecanismos de detecção de intrusos ✔ Tipos de IPS ✔ Desafios para os mecanismos de detecção e prevenção de intrusos ✔ Produtos ✔ Conclusão
  • 3. Motivação ✔ Grande alarme de ataques e invasões e muitas pessoas e/ou empresas se preocupam com seus dados e com equipamentos conectados diretamente com a Internet. ✔ Máquinas da rede podem ser utilizadas por invasores para executar DDoS* a sites ou servidores de outras empresas. ✔ Crackers podem utilizar um sistema desprotegido para armazenar e distribuir conteúdos ou softwares roubados, ou ainda, conteúdo pornográfico. ✔ Um administrador de segurança deve ter em sua rede, mecanismos de detecção e prevenção para identificar atividades não autorizadas. ✔ Os mecanismos devem realizar alguma ação quando suspeitar de algum tráfego de rede não autorizado ou ainda, um acesso a um arquivo não autorizado. ✔ Nunca se sabe quando irá soar o alarme de uma tentativa de invasão ou de uma invasão em si - manter uma rede segura, é extremamente desafiador. *Distributed Denial of Service - Ataque de negação de serviço distribuído
  • 4. Introdução Intrusão: Ação de se introduzir sem direito numa sociedade, num cargo; usurpação. Em redes de computadores, equivale a entrada não autorizada de um computador (ou computadores) na rede, com objetivo de comprometer, danificar ou roubar informações.
  • 5. Mecanismos apresentados ✔ IDS - Intrusion Detection System ou Sistema de Detecção de Intrusos, é um hardware ou software que monitora um sistema ou uma rede contra atividades não autorizadas. Um IDS, é a ferramenta que sabe ler e interpretar arquivos de log e tráfego de firewalls, servidores e outros dispositivos de rede. Suas funções incluem: monitorar, detectar a presença de atividade não autorizada e gerar alertas. ✔ IPS - Intrusion Prevention System ou Sistema de Prevenção de Intrusos, é um hardware, software, ou a combinação de ambos que realiza alguma ação quando o IDS detecta uma atividade não autorizada e gera um alerta. O IPS é o dispositivo que irá bloquear os ataques antes que eles cheguem ao seu alvo. Se usarmos somente o IDS na rede, ele só irá detectar a tentativa de ataque e gerar o alerta. Quando o IPS receber o alerta, poderá executar alguma ação, como por exemplo, bloquear o IP de origem do ataque.
  • 6. Analogia vida real x mundo virtual ✔ O carteiro (Internet) entrega as encomendas (dados eletrônicos) à recepcionista (firewall), que rejeita tudo o que não esteja em conformidade com os seus procedimentos (regras do firewall). ✔ Contudo, a recepcionista (firewall) não consegue controlar plenamente todas as encomendas (dados eletrônicos). Por isso, ocorreu um grave incidente nesta empresa: foi encaminhada a um diretor (servidor) uma encomenda (dados eletrônicos) que continha explosivo (malwares). ✔ O diretor (servidor) ficou afastado por muito tempo da empresa e tal fato trouxe enormes prejuízos à empresa. ✔ Para evitar novos incidentes, os diretores (servidores) decidiram contratar profissionais qualificados (IDS e IPS) para impedir tais acontecimentos. ✔ Esses profissionais (IDS/IPS) agoram inspecionam o conteúdo de todas encomendas (dados eletrônicos) que chegam na portaria da empresa (roteadores) e passam pela recepção (firewall) antes de serem entregues aos destinatários (desktops e servidores). Fonte: Brconnection – Internet Controlada
  • 7. Técnicas – Detecção de Assinaturas ✔ Trabalha de forma similar aos antivírus, que utilizam assinaturas de vírus para reconhecer e impedir que programas, arquivos, ou conteúdo dinâmico Web infectado entre em um computador; exceto que usa um banco de dados de padrões de tráfego ou atividades relacionados à ataques conhecidos, chamados de "assinaturas de ataque". ✔ Utiliza regras definidas para identificar intrusões observando os padrões de eventos específicos para ataques conhecidos e documentados. Essas regras geralmente estão em um banco de dados que guarda as assinaturas de ataques. O IDS compara a informação que está monitorando contra as assinaturas de ataque que estão no banco para detectar um padrão. Isso quer dizer que, na detecção baseada em assinatura, o administrador define previamente o que é o ataque e configura o IDS para procurar a assinatura.
  • 8. Técnicas – Detecção de Anomalias ✔ Analisa o tráfego da rede, atividades e comportamento a fim de identificar intrusões através de detecção de anomalias. Para fazer a detecção através de anomalias, o sistema reúne informações da atividade da rede e forma uma base de dados. A partir daí o sistema faz comparações das ocorrências da rede com essa base de dados e alerta sobre atividades que estão fora do que de costume, ou de normal acontece na rede. ✔ Nos IDS baseados em detecção de anomalia, o administrador define uma base para o que é comportamento normal; isso inclui estado de carga do tráfego da rede, protocolo e tamanho do pacote normal. Nesse caso, a detecção pode ser mais trabalhosa, e é aconselhado realizar a análise em intervalos. Por exemplo, realizar a análise no horário em que não houver expediente, ou em intervalos aleatórios durante o expediente.
  • 9. Classificação de IDS NIDS – Network Intrusion Detection System ✔ Sistema de Detecção de Intrusos em Rede ✔ Realiza captura e análise dos pacotes que trafegam na rede ✔ Opera em modo promíscuo para monitorar a rede ✔ Esse tipo de IDS detecta ataques pela captura e análise dos pacotes que trafegam na rede. Configurado para ouvir um segmento de rede ou um switch, o IDS pode monitorar o tráfego de rede onde através de uma base de dados faz comparações necessárias com os pacotes de rede (detecção de assinaturas) ou então faz a decodificação e verifica os protocolos de rede (detecção de anomalias).
  • 10. Classificação de IDS NIDS – Network Intrusion Detection System ✔ Um exemplo de uso para um NIDS... a rede começa a receber grande tráfego de conexões SYN. Uma conexão normal opera da seguinte forma: 1) O cliente envia um SYN 2) Servidor envia um SYN/ACK 3) Cliente envia um ACK e a conexão é estabelecida. ✔ Quando existe uma grande sequências de conexões SYN, pode ou ser um portscan, varrendo o servidor com o objetivo de testar se as portas estão abertas ou fechadas, ou então um ataque de SYN, onde o cliente mal- intencionado envia muitas requisições SYN, e o servidor não recebe o último ACK. ✔ O NIDS pode ser configurado para gerar alertas quando perceber esse tipo de conexão.
  • 11. Classificação de IDS NIDS – Network Intrusion Detection System Vantagens ✔ Bem configurados e colocados em pontos estratégicos, podem monitorar uma rede grande. ✔ Tem pouco impacto sobre a rede existente; geralmente IDS de rede são dispositivos passivos que somente escutam o tráfego sem interferir no funcionamento normal da rede. Desvantagens ✔ Dificuldade para processar dados em grandes redes ✔ Dificuldade para inspecionar pacotes contendo dados criptografados ✔ É necessário alinhar com organização o monitoramento do tráfego de rede
  • 13. Classificação de IDS HIDS – Host Intrusion Detection System ✔ Sistema de Detecção de Intruso no Host. ✔ Instalado em determinada máquina para analisar o próprio host (não monitora outras máquinas). ✔ Realiza análise de eventos no sistema e do sistema de arquivos arquivos. ✔ Análise de eventos: busca por conexões abertas de rede e monitora portas do sistema. ✔ Análise de sistema de arquivos: analisa o sistema de arquivos e outros periféricos do sistema e cria uma base de dados. Essa base de dados é como uma foto do sistema original; se ocorrer uma mudança, o IDS gera um alerta ou registra a mudança.
  • 14. Classificação de IDS HIDS – Host Intrusion Detection System Exemplo do uso de HIDS ✔ Imagine que existe no servidor um arquivo que guarda senha em texto claro (um tomcat-user.xml por exemplo, que guarda os usuários do apache tomcat). Esse é um tipo de arquivo que não deve ser lido por todos usuários... Então, o administrador pode criar um script que vai checar as tentativas de leitura desse arquivo. Se alguém tentar ler, o HIDS manda um alerta. Ou então, um servidor que possui 2 placas de rede... se for colocada uma terceira placa, o HIDS gera um alerta também.
  • 15. Classificação de IDS HIDS – Host Intrusion Detection System Vantagens ✔ Instalado onde o tráfego de rede é criptografado, consegue enxergar os dados antes de serem criptografados ou quando são descriptografados no host destino. ✔ Fornece pistas para auditorias de sistema, detectando cavalos de tróia ou outros tipos de ataques que envolvem violação de integridade de software ou de arquivos. Desvantagens ✔ Requer que cada máquina seja configurada ✔ Não detecta ataques em outras estações ✔ Utilizam os recursos computacionais da máquina que estão monitorando, e isso pode causar perda de desempenho no sistema monitorado.
  • 17. Classificação de IDS DIDS – Distributed Intrusion Detection System ✔ Sistema distribuído para detecção de intrusos. ✔ Composto por vários IDSs (podem ser HIDS ou NIDS) espalhados pela rede e se comunicam com um servidor central. ✔ A comunicação entre os sensores e o gerenciador pode ser feita através de uma rede privada ou através da própria rede existente. ✔ Os uploads dos eventos de ataque podem ser feitos através da estação de gerenciamento e armazenados em um banco de dados central. O download de assinaturas de ataque são feitos pelos próprios sensores, que podem ter regras específicas para atender suas necessidades. ✔ Para a comunicação, é recomendado utilizar criptografia ou uma VPN - Virtual Private Network.
  • 18. Classificação de IDS DIDS – Distributed Intrusion Detection System Vantagens ✔ Centralização de logs e de assinaturas de ataques facilitam a manutenção de regras. ✔ A comunicação é feita utilizando a rede existente ou uma VPN para aumentar a segurança. Desvantagens ✔ Considerado complexo, pois a combinação de sensores podem ser HIDS, NIDS ou uma combinação de ambos. ✔ Configuração da placa de rede para modo promíscuo ou não promíscuo depende do fabricante e da política da organização.
  • 20. Modelo conceitual para mecanismos de detecção de intrusos Devido à grande existência de ferramentas para detecção de intrusos, foi proposto o CIDF - Common Intrusion Detection Framework, que agrupa um conjunto de itens que definem um IDS: ✔ E-boxes - Event generators ou Geradores de Eventos ✔ A-boxes - Event analysers ou Analisador de Eventos ✔ R-boxes - Response units ou Unidade de Resposta ✔ D-boxes - Event databases ou Banco de Dados de Eventos
  • 21. Visão da arquitetura CIDF E-box (Backbone de de rede) ✔ Obtém os eventos a partir do meio externo ao CIDF, ou seja, "produz" os eventos mas não os processa, isso fica a cargo do componente especializado na função de processamento, que, por sua vez, após analisar os eventos (violação de política, anomalias, intrusão) envia os resultados para outros componentes. A-box (Pré-processador) ✔ Este componente, basicamente, recebe as informações de outros componentes, as analisa e as envia de forma resumida para outros componentes, ou seja, recebe os dados de forma bruta, faz um refinamento e envia para outros.
  • 22. Visão da arquitetura CIDF D-box (Mecanismo de detecção) ✔ A função deste componente é armazenar os eventos e/ou resultados para uma necessidade futura. R-box (Alertas/Registro) ✔ Este componente é responsável pelas ações, ou seja, matar o processo, reinicializar a conexão, alterar a permissão de arquivos, notificar as estações de gerência, etc.
  • 23. Visão da arquitetura CIDF S N I PRE MECANISMO BACKBONE ALERTAS F PROCESSADOR DE DE REGISTRO F DETECÇÃO REDE E R ARQUIVOS DE LOG BANCO DE DADOS CONJUNTO PLUGINS DE REGRAS Beale(2003)
  • 24. IPS - Intrusion Prevention System ✔ Sistema de Prevenção de Intrusos ✔ Evolução do IDS, trabalha de forma pró-ativa ✔ Utiliza assinaturas ou conjunto de regras como metodologia para prevenir ataques ✔ Pode ser baseado em host (HIPS – Host Intrusion Prevention System) ou baseado em rede (NIPS – Network Intrusion Prevent System) ✔ IPS pode ser um hardware, software, ou a combinação de ambos que realiza alguma ação quando o IDS detecta uma atividade não autorizada e gera um alerta. ✔ Utiliza assinaturas ou conjunto de regras como métodos para prevenir ataques, assim como um IDS faz. A diferença no caso, é que o IPS irá tomar a ação de bloquear o tráfego; por isso é considerado uma evolução do IDS e 'primeira linha de defesa'. ✔ Não substitui um firewall.
  • 25. HIPS Host Intrusion Prevention System ✔ Funcionamento similar ao HIDS ✔ Monitora de perto as aplicações. Por exemplo, pode monitorar um editor de textos, ou ainda, fazer análise de todo fluxo de dados em busca de ataques em potencial. ✔ Não tem problemas com conteúdo criptografado, pois o processo de criptografia e descriptografia ocorre no host que está sendo monitorado. ✔ Modificação no sistema: controla alteração de permissões no sistema de arquivos, usuários, remoção de vírus e worm e reconfiguração do conjunto de regras do firewall local após o ataque. ✔ Mecanismos do kernel: O sistema chama mecanismos de interceptações e de MAC fortalecidos por aplicações de prevenção de kernel, a partir de recursos comprometidos, o sistema utilizado por um atacante durante e após tê-lo comprometido é finalizado usando os serviços providos pelo kernel. ✔ Prevenção de buffer overflow: medidas de uso de tempo de compilação e tempo de execução.
  • 26. NIPS Network Intrusion Prevention System ✔ Funcionamento similar ao NIDS ✔ Dispositivo inline* ou software configurado para detectar e impedir ataques ✔ Posicionado no caminho que os pacotes passam para chegar na rede Um NIPS pode prover contramedidas nas seguintes camadas: ✔ Enlace ✔ Rede ✔ Transporte ✔ Aplicação *Dispositivo inline: dispositivo que se situa diretamente no trajeto que os pacotes fazem quando atravessam a rede.
  • 27. NIPS Network Intrusion Prevention System ✔ Camada de enlace: Administrativamente shutdown na porta do switch que está saindo o ataque. Essa atitude só é praticável para ataques que são gerados de um sistema local. Ter a possibilidade de parar a porta é importante, desde que não seja um shutdown indefinido. ✔ Camada de rede: Interagir com o firewall externo ou roteador, para adicionar uma regra geral para bloquear todas as comunicações de endereço IP individual ou a rede inteira. Um IPS inline pode realizar a mesma coisa sem ter que apelar para um dispositivo externo, desde que pacotes de um IP específico possa ser simplesmente bloqueado depois que um ataque foi detectado. Similar a respostas da camada de enlace, os timeouts são importantes na camada de rede, desde que as modificações nas regras do firewall ou nas ACLs dos roteadores possam ser removidas.
  • 28. NIPS Network Intrusion Prevention System ✔ Camada de transporte: Gerar pacotes TCP RST para derrubar sessões TCP maliciosas ou emitir algum pacote ICMP de erro, dos diversos disponíveis para responder a um tráfego UDP malicioso. Os timeouts, não são aplicáveis aqui, porque as bases de contramedidas são dribladas pelo atacante a cada sessão ou a cada pacote. ✔ Camada de aplicação: Alertas de dados maliciosos na camada de aplicação não podem causar danos antes de alcançar o sistema alvo. Essa contramedida requer que o IPS esteja inline, no caminho da comunicação. Previamente calculado o checksum na camada de transporte deve ser recalculado nessa camada. Similar a camada de rede, timeouts não são aplicáveis. Desde que os efeitos da troca de dados na camada de aplicação sejam transitórios e não desapareçam uma vez que os pacotes alterados são encaminhados através do IPS.
  • 29. Desafios para os mecanismos de detecção e prevenção de intrusos ✔ Criptografia – Os mecanismos de detecção e prevença de intrusos fazem monitorações tanto nos cabeçalhos dos pacotes quanto nos campos de dados. Porém, com a necessidade de sigilo e proteção dos dados que transitam pela rede se torna necessário o uso de criptografia, o que dificulta a utilização desses mecanismos. Dados que antes seriam analisados pelos mecanismos e que poderiam estar sendo alvos de ataques podem vir a ser escondidos devido ao uso da criptografia. ✔ Falsos positivos – Alerta gerado devido à identificação de uma situação que não é uma atividade de intrusão. Para evitar os falsos positivos, deve-se modificar e ajustar diferentes regras padrão. Em alguns casos, pode ser necessário desabilitar algumas das regras. ✔ Falsos negativos – Ocorre numa situação que é uma atividade de intrusão e por não haver assinatura que a identifique, nenhum alerta é gerado. Para evitar estas situações, deve-se manter as regras e assinaturas atualizadas ou gerar novas assinaturas e regras.
  • 30. Desafios para os mecanismos de detecção e prevenção de intrusos ✔ Frequentes updates – Há necessidade de que todo o sistema esteja atualizado para que seja feita a proteção adequada da infra-estrutura da rede. ✔ Rede com switches – O switch envia os dados provenientes da origem apenas para a porta onde se encontra ligada o dispositivo de destino, não replicando assim os dados para as outras como o hub. Isso impossibilita o uso de IDS, pois só seria monitorado o tráfego destinado à máquina onde o IDS está instalado. ✔ Redes de alta velocidade – As redes de alta velocidade se tornam um problema devido à dificuldade para monitoração. Outro problema é o tamanho dos pacotes, pois influencia diretamente na análise pelo IDS.
  • 31. Produtos IDS ✔ ISS RealSecure Network Sensor ✔ Snort ✔ AIDE ✔ Tripwire IPS ✔ IBM Security Network Intrusion Prevention System ✔ ISS Managed IDS/IPS Service ✔ Cisco Intrusion Prevention System Solutions ✔ Snort Inline
  • 32. Conclusão ✔ Verificando o gráfico de estatísticas de incidentes reportados ao CERT.br, podemos ter uma idéia dos diversos ataques ou ameaças, que ocorrem na forma mais variada possível; cada dia é um desafio garantir que uma estrutura computacional corporativa esteja completamente segura. ✔ Com sistemas como IDS e IPS podemos ser alertados para estes ataques e conseqüentemente, tomarmos uma atitude certa de forma eficaz e precisa, diminuindo cada vez o tempo de indisponibilidade. ✔ É importante saber o que na verdade está ameaçando nossa segurança, pois qualquer ferramenta será inútil caso esteja em local errado ou funcionando de maneira errada. ✔ Em resumo, o IDS e IPS são tecnologias que fornecem uma camada extra de proteção para o ambiente corporativo.
  • 33. Referências Advanced Network Security: Five major types of IDS http://advanced-network-security.blogspot.com/2008/04/three-major-types-of-ids.html – Acesso em Junho de 2010 An Introduction To Distributed Intrusion Detection Systems http://www.symantec.com/connect/articles/introduction-distributed-intrusion-detection-systems – Acesso em Junho de 2010 Assinaturas de Vírus - http://gtrh.tche.br/ovni/virus/modulo5.htm – Acesso em Junho de 2010 Beale, J., Foster, James C., Posluns, J. Snort 2 – Sistema de Detecção de Intruso Open Source. Rio de Janeiro: Editora Alta Books Ltda., 2003. Cisco Intrusion Prevention System Solutions - http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html - Acesso em Junho de 2010 Definição de Intrusão - http://www.dicionariodoaurelio.com/dicionario.php?P=Intrusao – Acesso em Junho de 2010 Detecção de intrusos (IDS), conceitos e implantação do SNORT - http://www.vivaolinux.com.br/artigo/Deteccao-de- intrusos-%28IDS%29-conceitos-e-implantacao-do-SNORT?pagina=1 - Acesso em Junho de 2010 Ferramentas de IDS - http://www.rnp.br/newsgen/9909/ids.html – Acesso em Junho de 2010 Freitas, Osmany B. Network Defense Tools Disponível em: http://www.cin.ufpe.br/~ruy/crypto/seguranca/Network-Defense-Tools.ppt - Acesso em Junho de 2010 IDS Ativo - http://www.brc.com.br/ – Acesso em Junho de 2010
  • 34. Referências Maia, Igor S. N., Rehem, Sandro H. P. Sistemas de Detecção de Intrusos baseado em Software Livre - Disponível em: http://www.scribd.com/doc/13224983/Sistemas-de-Prevencao-de-Intrusao-baseado-em-Software-Livre-Igor-Neiva-e- Sandro-Herman-UCB – Acesso em Junho de 2010 Internet Security Systems, Inc. Managed Intrusion Detection and Prevention Service (IDS/IPS) – Disponível em : http://documents.iss.net/literature/mss/IDS_datasheet.pdf - Acesso em Junho de 2010 Monteiro, G. Sistemas de Detecção de Intrusos: Introdução - Disponível em: http://www.thebugmagazine.org/magazine/bug01/0x02_introducao-IDS-IPS.txt – Acesso em Junho de 2010 Northcutt, Stephen Como detectar invasão em rede – um guia para analistas. Rio de Janeiro: Editora Ciência Moderna Ltda., 2000. Oliveira, Danilo M. Hogwash Light Brasil um Sistema de Prevenção de Intrusão Invisível para o Aumento da Segurança de Redes de Computadores - Disponível em: http://softwarelivre.org/danilomarques/hlbr/monografia-hlbr.pdf. Acesso em Junho/2010 Porras, P., Schnackenberg, D., Staniford-Chen, S., Stillman, M., Wu, F. The Common Intrusion Detection Framework Architecture – Disponível em: http://gost.isi.edu/cidf/drafts/architecture.txt – Acesso em Junho de 2010 Soluções de Prevenção de Intrusos - http://www.ibm.com/br/services/sps/iss/ips/index.phtml - Acesso em Junho de 2010 Tam, A. Intrusion Detection System - Disponível em: http://www.pisa.org.hk/download/seminar20010908-ids/ids.ppt. Acesso em Junho/2010