Professional Documents
Culture Documents
Objetivos
Compreender o que um sistema
de deteco de intruso e qual a sua funo. Entender as metodologias de anlise utilizadas pelos sistemas de deteco. Apresentar os modelos de IDS existentes. Conhecer as tcnicas para diminuir a eficincia dos sistemas de deteco. Conhecer o Snort.
de intruso. um componente adicional da soluo de segurana. mais eficiente quando ligado a uma forte poltica de segurana.
aos hosts. Emitir alarmes quando uma determinada ameaa detectada. Armazenar pacotes para futura recriao das sesses. Podem assumir posicionamento reativo.
Metodologias de Anlise
Pattern Matching Stateful Pattern Matching Anomaly Detection
Heuristic-based signatures
Assinatura
Conjunto de regras que representam uma atividade tpica
de ataque. Exemplo:
version IHL 00100010 001 total length fragment offset
identification
protocol
source address
header checksum
Pattern Matching
Pattern Matching
Procura por uma seqncia fixa de bytes que possam indicar um ataque. Baseado na estrutura de assinaturas. Tem dificuldade de analisar protocolos que no possuem uma porta de comunicao fixa, como o caso de Trojans.
Pattern Matching
Exemplo:
Alarmar se for detectado um pacote TCP IPv4 destinado ao port 1111 e que contenha a string get
ao invs de um nico pacote. Considera a ordem de recebimento dos pacotes em um stream TCP.
da mesma maneira que o servidor ou o cliente ir realizar. Analisa violaes utilizando como base as RFC. Verifica violaes no campo protocolo ou em variveis como o tamanho dos campos e nmero de argumentos.
Heuristic-based signatures
Heuristic-based signatures
trfego que est sendo analisado. Verifica thresholds para a tomada de deciso.
Heuristic-based signatures
Mquina A
Mquina B
Pacotes da Mquina A para a Mquina B TCP Porta 23 TCP Porta 80 TCP Porta 9
Contagem 1 5 5
Limite 3 10 3
Anomaly Detection
Anomaly Detection
Analisa a rede/sistema e infere o que normal. Aplica medidas estatsticas e heursticas para determinar os
eventos que no pertenam ao modelo do que normal. Se os eventos estiverem fora da janela da normalidade, gerar alertas (configurvel para possveis falsos positivos). Depende da eficincia dos algoritmos. Tambm conhecido com Profile-based Detections.
Anomaly Detection
# Pacotes/Seg
Tempo
Modelos de IDS
Host-based: Agente que monitora
e segmentos de rede. Monitora a rede em estado promscuo. Possui um grande nmero de assinaturas. Consideraes em redes baseadas em switches. Consideraes com relao criptografia. Pode possuir posicionamento reativo.
Internet
Comunicao criptografada
Contingncia de IDS:
Spare Part. Balanceamento de IDS.
IDS de Rede
Stealth
Terminologia
Falsos positivos: O IDS detecta e alarma trfegos vlidos na rede:
Confunde o administrador. Perda de credibilidade do IDS.
Falsos negativos: O IDS no detecta nem alarma trfegos ofensivos -> faz com que ataques no sejam detectados. Verdadeiros positivos: O IDS detecta e alarma trfegos ofensivos (normal). Verdadeiros negativos: O IDS no detecta nem alarma trfegos vlidos na rede (normal).
Tipos de Respostas
As respostas podem ser classificadas como: Respostas Passivas. Respostas Ativas. Um IDS pode gerar vrias respostas para
um mesmo alarme.
Resposta Passiva
Fornece informaes para que o administrador
posteriormente tome providncias, sem alterar o funcionamento da rede. Pode ser dividida em:
Coleta de Informaes Adicionais
SNMP Traps.
Resposta Ativa
Os IDS automaticamente tomam aes, sem a
Internet
NIDS
eficincia de um IDS:
Insero. Evaso. Falhas em protocolos. Negao de servio.
Insero
Conceito: inserir um pacote que seja visto apenas pelo
IDS. Aproveita-se de diferenas no funcionamento dos Sistemas Operacionais. Aproveita-se de peculiaridades de protocolos. Implementao equivocada do IDS (qualidade X performance).
Evaso
Conceito: transmitir um pacote que
no seja visto pelo IDS. Parecido com Insero. Aproveita-se de diferenas no funcionamento dos Sistemas Operacionais. Aproveita-se de peculiaridades de protocolos. Implementao equivocada do IDS (qualidade X performance).
A T T X A C K
Linux (intruso)
Linux
Favorece novos dados
A A A
T T X A C K
A A
T T T X A C K T
T T
A T A T
T T X A C K T
T T
A T T A T T
X X
A C K
A T X
sobrepe o pacote antigo
A T T
A A A
A A
A T X A C K A T T A
C C C
C C
A T X A C A T T A C K
K K K
K K
A T X A C K A T T A C K
A T X A C K A T T A C K
G I E T
G
I
(TTL=2)
(TTL=1)
E
T
(TTL=2)
(TTL=2)
MTU = 500
MTU = 1000
G 500 bytes DF=1 I 800 bytes DF=1 E 500 bytes DF=1 T 500 bytes DF=1
G 500 bytes DF=1 I 800 bytes DF=1 E 500 bytes DF=1 T 500 bytes DF=1
TCP mal-formado:
Pacote FIN falso (exemplo).
de seqncia:
Confundir os nmeros de seqncia. Ataque durante o boot do IDS - derrubar
com backspaces:
su X<caracter backspace>root
Negao de Servios
Negao de Servios com o IDS: Um pacote forjado pode levar um IDS a bloquear um trfego vlido, assim como enviar pacotes a hosts inocentes. Negao de Servio no IDS: Consumo de Banda. D.D.o.S. (Distributed Denial of Service). Abuso de TCP Kills forar o IDS a gerar muitos TCP Resets diminuindo seu desempenho.
Negao de Servios
Negao de Servio no IDS (cont.): Enviar muitos falsos ataques enquanto um verdadeiro ataque ocorre:
Pode sobrecarregar o console . Pode derrubar o IDS (ferramenta utilizada: stick). Administradores podem no acreditar na ameaa.
do processamento do IDS:
Pacotes fragmentados, com overlapping, ou com checksum mal-
formados.
IPS
IPS Intrusion Protection System: Unio do Signature-based IDS com Anomaly IDS. Funciona in-line, monitorando em tempo real trfego ou contedo (Nvel 2 a 7). Descarta os pacotes caso detecte alguma anomalia. Permite o aumento do nvel de proteo efetiva das redes, no permitindo que contedo nocivo adentre a rede. Deve ser dimensionado para suportar o trfego da rede.
Tendncias
Stack Based Sensors: Une o IDS de host ao IDS de rede. Implementado em todos os sistemas. Possui posicionamento reativo. Honeypots: Redes que servem como armadilhas para intrusos. Servem para desviar a ateno de alvos principais. Auxiliam na coleta de informaes. Principal projeto: The Honeynet Project (www.honeynet.org). No Brasil: The Honeynet.BR Project (www.honeynet.org.br)
Introduo ao Snort
IDS com cdigo fonte aberto.
Facilidade de implementao
de novas regras. Ferramentas para integrao com banco de dados. O Snort pode ser instalado em diversos sistemas operacionais, com destaque para o Redhat, o Solaris e o Windows.
e um campo de opes. Maioria das regras so escritas numa nica linha. As regras, a partir da verso 1.8, podem se estender por mltiplas linhas. Faz uso de pr-processadores. Faz uso de mdulos Output.
Formato da Regra
Cabealho
Alert tcp any any 192.168.1.0/24 111 (content:|00 01 86 A5|; msg: mountd access;)
Campo de Opes
Cabealho da Regra
Contm informaes que definem
Pass
Activate Dynamic
Protocolos.
Opes
Define o mecanismo de inspeo do Snort.
Arquivo Snort.conf
# $Id: snort.conf,v 1.124 2003/05/16 02:52:41 ################################################### # This file contains a sample snort configuration. # You can take the following steps to create your # own custom configuration: # 1) Set the network variables for your network # 2) Configure preprocessors # 3) Configure output plugins # 4) Customize your rule set ################################################### include $RULE_PATH/nntp.rules include $RULE_PATH/other-ids.rules include $RULE_PATH/web-attacks.rules include $RULE_PATH/backdoor.rules include $RULE_PATH/shellcode.rules include $RULE_PATH/policy.rules include $RULE_PATH/icmp-info.rules include $RULE_PATH/virus.rules include $RULE_PATH/chat.rules include $RULE_PATH/multimedia.rules include $RULE_PATH/p2p.rules
C:\Snort\log\portscan.log
28 28 28 28 28 28 28 28 28 28 28 28 28 09:48:41 09:48:41 09:48:41 09:48:41 09:48:41 09:48:41 09:48:41 09:48:41 09:48:41 09:48:41 09:48:41 09:48:41 09:48:41 10.0.0.2:45061 10.0.0.2:45061 10.0.0.2:45061 10.0.0.2:45061 10.0.0.2:45061 10.0.0.2:45061 10.0.0.2:45061 10.0.0.2:45061 10.0.0.2:45061 10.0.0.2:45061 10.0.0.2:45061 10.0.0.2:45061 10.0.0.2:45061 -> -> -> -> -> -> -> -> -> -> -> -> ->
Mar Mar Mar Mar Mar Mar Mar Mar Mar Mar Mar Mar Mar
10.0.0.3:106 SYN ******S* 10.0.0.3:193 SYN ******S* 10.0.0.3:138 SYN ******S* 10.0.0.3:128 SYN ******S* 10.0.0.3:156 SYN ******S* 10.0.0.3:35 SYN ******S* 10.0.0.3:48 SYN ******S* 10.0.0.3:16 SYN ******S* 10.0.0.3:173 SYN ******S* 10.0.0.3:72 SYN ******S* 10.0.0.3:65 SYN ******S* 10.0.0.3:36 SYN ******S* 10.0.0.3:149 SYN ******S*
Resumo
IDS (Sistema de Deteco de Intruso) so dispositivos
com a funo de monitorar e detectar anormalidades no trfego da rede ou destinada aos hosts. Existem diversos mtodos de anlise para a identificao de ataques:
Pattern Matching. Stateful Pattern Matching. Protocol decode-based signatures. Heuristic-based signatures.
Anomaly Detection.
Resumo
Os IDS possuem modelos especficos para rede ou host,
sendo comum a utilizao em ambos. As principais tcnicas utilizadas para diminuir a eficincia de um IDS so:
Insero. Evaso. Falhas em protocolos. Negao de Servio.