Segurana Avanada

Dispositivos para deteco de intruso

Objetivos
Compreender o que um sistema

de deteco de intruso e qual a sua funo. Entender as metodologias de anlise utilizadas pelos sistemas de deteco. Apresentar os modelos de IDS existentes. Conhecer as tcnicas para diminuir a eficincia dos sistemas de deteco. Conhecer o Snort.

O que so Sistemas de IDS

So sistemas de deteco, e no correo

de intruso. um componente adicional da soluo de segurana. mais eficiente quando ligado a uma forte poltica de segurana.

Qual a funo de um IDS?

Detectar anomalias tanto na rede quanto direcionadas

aos hosts. Emitir alarmes quando uma determinada ameaa detectada. Armazenar pacotes para futura recriao das sesses. Podem assumir posicionamento reativo.

Metodologias de Anlise
Pattern Matching Stateful Pattern Matching Anomaly Detection

Protocol decode-based signatures

Heuristic-based signatures

Assinatura
Conjunto de regras que representam uma atividade tpica

de ataque. Exemplo:
version IHL 00100010 001 total length fragment offset

identification

protocol
source address

header checksum

destination address options padding

SE TOS=00100010 e FLAGS=001 e TTL=1 > ALARME

Pattern Matching
Pattern Matching

Procura por uma seqncia fixa de bytes que possam indicar um ataque. Baseado na estrutura de assinaturas. Tem dificuldade de analisar protocolos que no possuem uma porta de comunicao fixa, como o caso de Trojans.

Pattern Matching
Exemplo:

Alarmar se for detectado um pacote TCP IPv4 destinado ao port 1111 e que contenha a string get

Assinatura para disparo do Alarme:

Verso: IPv4 Protocolo: TCP Port Destino: 1111 Seqncia: xxxgetyyy

Stateful Pattern Matching

Stateful Pattern Matching

Analisa o contexto de um stream de rede

ao invs de um nico pacote. Considera a ordem de recebimento dos pacotes em um stream TCP.

Stateful Pattern Matching

Assinatura para disparo do Alarme:
Verso: IPv4 Protocolo: TCP Port Destino: 1111 Seqncia: xxxgetyyy

1 Pacote Transmitido no Stream:

Verso: IPv4 Protocolo: TCP Port Destino: 1111 Seqncia: xxxgeyyy

2 Pacote Transmitido no Stream:

Verso: IPv4 Protocolo: TCP Port Destino: 1111 Seqncia: xxxtyyy

Protocol decode-based signatures

Protocol decode-based signatures

Decodifica os vrios elementos do protocolo

da mesma maneira que o servidor ou o cliente ir realizar. Analisa violaes utilizando como base as RFC. Verifica violaes no campo protocolo ou em variveis como o tamanho dos campos e nmero de argumentos.

Heuristic-based signatures
Heuristic-based signatures

Utiliza algoritmo lgico. O algoritmo baseia-se em avaliaes estatsticas do

trfego que est sendo analisado. Verifica thresholds para a tomada de deciso.

Heuristic-based signatures

Mquina A

Mquina B

Pacotes da Mquina A para a Mquina B TCP Porta 23 TCP Porta 80 TCP Porta 9

Contagem 1 5 5

Limite 3 10 3

Contagem > Limite? No No Sim

Anomaly Detection
Anomaly Detection
Analisa a rede/sistema e infere o que normal. Aplica medidas estatsticas e heursticas para determinar os

eventos que no pertenam ao modelo do que normal. Se os eventos estiverem fora da janela da normalidade, gerar alertas (configurvel para possveis falsos positivos). Depende da eficincia dos algoritmos. Tambm conhecido com Profile-based Detections.

Anomaly Detection

# Pacotes/Seg

Tempo

Modelos de IDS
Host-based: Agente que monitora

as atividades de um determinado host.

Network-based: Coleta e analisa os dados capturados na rede.

IDS baseado em rede

Soluo de software ou hardware dedicado. Um equipamento protege vrios sistemas

e segmentos de rede. Monitora a rede em estado promscuo. Possui um grande nmero de assinaturas. Consideraes em redes baseadas em switches. Consideraes com relao criptografia. Pode possuir posicionamento reativo.

Internet

IDS baseado em Host

O software deve ser instalado em todos

os sistemas que sero protegidos. Monitora:

Logs de sistema. Acesso a arquivos. Atividade de portas. Chaves de registry. Atividades dos usurios. Chamadas de processos. Chamadas da placa de rede para o kernel.

Pode possuir posicionamento reativo.

Topologia Tpica de IDS de Rede

Configurao dos Sensores:
Base de dados dos eventos. Eventos visualizados em tempo real.
Console Gerenciamento

Analisam pacotes conforme assinaturas:

Gera alarmes. Respostas a ataques.

Comunicao criptografada

Contingncia de IDS:
Spare Part. Balanceamento de IDS.

IDS de Rede

Stealth

Segmento de rede de produo

Terminologia
Falsos positivos: O IDS detecta e alarma trfegos vlidos na rede:
Confunde o administrador. Perda de credibilidade do IDS.

Falsos negativos: O IDS no detecta nem alarma trfegos ofensivos -> faz com que ataques no sejam detectados. Verdadeiros positivos: O IDS detecta e alarma trfegos ofensivos (normal). Verdadeiros negativos: O IDS no detecta nem alarma trfegos vlidos na rede (normal).

Tipos de Respostas
As respostas podem ser classificadas como: Respostas Passivas. Respostas Ativas. Um IDS pode gerar vrias respostas para

um mesmo alarme.

Resposta Passiva
Fornece informaes para que o administrador

posteriormente tome providncias, sem alterar o funcionamento da rede. Pode ser dividida em:
Coleta de Informaes Adicionais

(Record Session / IP logging). Alarmes. Notificaes:

Email. Pager. Telefone.

SNMP Traps.

Resposta Ativa
Os IDS automaticamente tomam aes, sem a

interveno do administrador. Podem ser subdividas em duas categorias:

Mudana no ambiente (Reconfigurao

de regras no Firewall). Ao contra o invasor (TCP Kill / TCP Reset).

Muito cuidado antes de ativar respostas ativas; pode ser

usado contra a rede.

IDS baseado em Rede

Rede Corporativa
ALERTA! Grava Sesso, Envia Mensagem, Termina Sesso Termina Sesso

Internet

RECONFIGURA! Roteador ou firewall para bloquear IP

E se o cracker forjar um pacote com IP de um parceiro?

NIDS

Tcnicas utilizadas para diminuir a eficincia de um IDS

Hackers podem utilizar algumas tcnicas para diminuir a

eficincia de um IDS:
Insero. Evaso. Falhas em protocolos. Negao de servio.

Insero
Conceito: inserir um pacote que seja visto apenas pelo

IDS. Aproveita-se de diferenas no funcionamento dos Sistemas Operacionais. Aproveita-se de peculiaridades de protocolos. Implementao equivocada do IDS (qualidade X performance).

Evaso
Conceito: transmitir um pacote que

no seja visto pelo IDS. Parecido com Insero. Aproveita-se de diferenas no funcionamento dos Sistemas Operacionais. Aproveita-se de peculiaridades de protocolos. Implementao equivocada do IDS (qualidade X performance).

Tcnicas de Insero e Evaso Fragmentao

A T T X A C K

Linux (intruso)

Linux
Favorece novos dados

Windows 2007 (alvo)

Favorece dados antigos

Tcnicas de Insero e Evaso Fragmentao

A A A

T T X A C K

A A

Tcnicas de Insero e Evaso Fragmentao

T T T X A C K T

T T

A T A T

Tcnicas de Insero e Evaso Fragmentao

T T X A C K T

T T

A T T A T T

Tcnicas de Insero e Evaso Fragmentao

Possui o mesmo cabealho do fragmento do pacote anterior

X X

ignora o pacote mais novo

A C K

A T X
sobrepe o pacote antigo

A T T

Tcnicas de Insero e Evaso Fragmentao

A A A

A A

A T X A C K A T T A

Tcnicas de Insero e Evaso Fragmentao

C C C

C C

A T X A C A T T A C K

Tcnicas de Insero e Evaso Fragmentao

K K K

K K

A T X A C K A T T A C K

Tcnicas de Insero e Evaso Fragmentao

IDS no foi sensibilizado Servidor Dominado

A T X A C K A T T A C K

Tcnicas de Insero e Evaso TTL

NIDS WWW
G E T

G I E T

(TTL=1) (TTL=0) (TTL=1) (TTL=1)

Descartado pelo firewall

G
I

(TTL=2)
(TTL=1)

E
T

(TTL=2)
(TTL=2)

Tcnicas de Insero e Evaso MTU

NIDS WWW
G E T

MTU = 500

MTU = 1000

G 500 bytes DF=1 I 800 bytes DF=1 E 500 bytes DF=1 T 500 bytes DF=1

Descartado pelo firewall

G 500 bytes DF=1 I 800 bytes DF=1 E 500 bytes DF=1 T 500 bytes DF=1

Peculiaridades de protocolos TCP

Injetar um pacote com checksum

TCP mal-formado:
Pacote FIN falso (exemplo).

Injetar um pacote com um nmero estranho

de seqncia:
Confundir os nmeros de seqncia. Ataque durante o boot do IDS - derrubar

o servidor enquanto o servio IDS no est ativo.

Peculiaridades de protocolos HTTP

Padding (/): /cgi-bin///phf Diretrios auto-referenciados: /cgi-bin/./phf Codificao de URL: %2fcgi-bin/phf Referncia do diretrio pai (Reverse Traversal): /cgi-bin/here/../phf Sintaxe DOS/Unix: /cgi-bin\phf Mtodo Null: GET%00/cgi-bin/phf

Peculiaridades de protocolos Telnet

Retirar os cdigos do protocolo Telnet.

Injetar caracteres especiais juntamente

com backspaces:
su X<caracter backspace>root

Negao de Servios
Negao de Servios com o IDS: Um pacote forjado pode levar um IDS a bloquear um trfego vlido, assim como enviar pacotes a hosts inocentes. Negao de Servio no IDS: Consumo de Banda. D.D.o.S. (Distributed Denial of Service). Abuso de TCP Kills forar o IDS a gerar muitos TCP Resets diminuindo seu desempenho.

Negao de Servios
Negao de Servio no IDS (cont.): Enviar muitos falsos ataques enquanto um verdadeiro ataque ocorre:
Pode sobrecarregar o console . Pode derrubar o IDS (ferramenta utilizada: stick). Administradores podem no acreditar na ameaa.

Enviar pacotes que causam aumento

do processamento do IDS:
Pacotes fragmentados, com overlapping, ou com checksum mal-

formados.

IPS
IPS Intrusion Protection System: Unio do Signature-based IDS com Anomaly IDS. Funciona in-line, monitorando em tempo real trfego ou contedo (Nvel 2 a 7). Descarta os pacotes caso detecte alguma anomalia. Permite o aumento do nvel de proteo efetiva das redes, no permitindo que contedo nocivo adentre a rede. Deve ser dimensionado para suportar o trfego da rede.

Tendncias
Stack Based Sensors: Une o IDS de host ao IDS de rede. Implementado em todos os sistemas. Possui posicionamento reativo. Honeypots: Redes que servem como armadilhas para intrusos. Servem para desviar a ateno de alvos principais. Auxiliam na coleta de informaes. Principal projeto: The Honeynet Project (www.honeynet.org). No Brasil: The Honeynet.BR Project (www.honeynet.org.br)

Introduo ao Snort
IDS com cdigo fonte aberto.
Facilidade de implementao

de novas regras. Ferramentas para integrao com banco de dados. O Snort pode ser instalado em diversos sistemas operacionais, com destaque para o Redhat, o Solaris e o Windows.

Regras para o Snort

Regras so composta por um cabealho

e um campo de opes. Maioria das regras so escritas numa nica linha. As regras, a partir da verso 1.8, podem se estender por mltiplas linhas. Faz uso de pr-processadores. Faz uso de mdulos Output.

Formato da Regra
Cabealho

Alert tcp any any 192.168.1.0/24 111 (content:|00 01 86 A5|; msg: mountd access;)

Campo de Opes

Cabealho da Regra
Contm informaes que definem

quem, onde, o qu. Tipos de aes default da regra:

Alert Log

Pass
Activate Dynamic

Protocolos.

Opes
Define o mecanismo de inspeo do Snort.

Combina a facilidade de uso com poder

e flexibilidade. So separados por ; Enorme conjunto de palavras-chave disponveis:

Content Msg TTL Fragbits

Modos ativao do Snort

Modo Sniffer: Snort.exe v Modo Packet Logger: Snort.exe dev l C:\Snort\Log Modo Network Intrusion Detection: Snort.exe dev l C:\Snort\Log h 10.0.0.0/8 c snort.conf

Arquivo Snort.conf
# $Id: snort.conf,v 1.124 2003/05/16 02:52:41 ################################################### # This file contains a sample snort configuration. # You can take the following steps to create your # own custom configuration: # 1) Set the network variables for your network # 2) Configure preprocessors # 3) Configure output plugins # 4) Customize your rule set ################################################### include $RULE_PATH/nntp.rules include $RULE_PATH/other-ids.rules include $RULE_PATH/web-attacks.rules include $RULE_PATH/backdoor.rules include $RULE_PATH/shellcode.rules include $RULE_PATH/policy.rules include $RULE_PATH/icmp-info.rules include $RULE_PATH/virus.rules include $RULE_PATH/chat.rules include $RULE_PATH/multimedia.rules include $RULE_PATH/p2p.rules

Arquivo de regras do Snort

# $Id: web-attacks.rules,v 1.9 2002/10/28 22:08:10 cazz Exp $ # ---------------# WEB ATTACKS # ---------------# These signatures are generic signatures that will catch common Commands # used to exploit form variable vulnerabilities.These signatures should # not false very often. # alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-ATTACKS ps command attempt"; flow:to_server,established; uricontent:"/bin/ps"; nocase; sid:1328; classtype:web-application-attack; rev:4;) alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-ATTACKS /bin/ps command attempt"; flow:to_server,established; uricontent:"ps%20"; nocase; sid:1329; classtype:web-application-attack; rev:4;) alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-ATTACKS wget command attempt"; flow:to_server,established; content:"wget%20";nocase; sid:1330; classtype:web-application-attack; rev:4;)

Arquivo de log do Snort

Contedo parcial do arquivo de log

C:\Snort\log\portscan.log
28 28 28 28 28 28 28 28 28 28 28 28 28 09:48:41 09:48:41 09:48:41 09:48:41 09:48:41 09:48:41 09:48:41 09:48:41 09:48:41 09:48:41 09:48:41 09:48:41 09:48:41 10.0.0.2:45061 10.0.0.2:45061 10.0.0.2:45061 10.0.0.2:45061 10.0.0.2:45061 10.0.0.2:45061 10.0.0.2:45061 10.0.0.2:45061 10.0.0.2:45061 10.0.0.2:45061 10.0.0.2:45061 10.0.0.2:45061 10.0.0.2:45061 -> -> -> -> -> -> -> -> -> -> -> -> ->

Mar Mar Mar Mar Mar Mar Mar Mar Mar Mar Mar Mar Mar

10.0.0.3:106 SYN ******S* 10.0.0.3:193 SYN ******S* 10.0.0.3:138 SYN ******S* 10.0.0.3:128 SYN ******S* 10.0.0.3:156 SYN ******S* 10.0.0.3:35 SYN ******S* 10.0.0.3:48 SYN ******S* 10.0.0.3:16 SYN ******S* 10.0.0.3:173 SYN ******S* 10.0.0.3:72 SYN ******S* 10.0.0.3:65 SYN ******S* 10.0.0.3:36 SYN ******S* 10.0.0.3:149 SYN ******S*

Ferramentas de Terceiros Snortsnarf

Ferramentas de Terceiros ACID

Ferramentas de Terceiros ACID

Resumo
IDS (Sistema de Deteco de Intruso) so dispositivos

com a funo de monitorar e detectar anormalidades no trfego da rede ou destinada aos hosts. Existem diversos mtodos de anlise para a identificao de ataques:
Pattern Matching. Stateful Pattern Matching. Protocol decode-based signatures. Heuristic-based signatures.

Anomaly Detection.

Resumo
Os IDS possuem modelos especficos para rede ou host,

sendo comum a utilizao em ambos. As principais tcnicas utilizadas para diminuir a eficincia de um IDS so:
Insero. Evaso. Falhas em protocolos. Negao de Servio.

IPS surge como soluo que combina IDS com firewall.

O Snort um IDS com cdigo fonte aberto

e disponibilizado para os principais sistemas operacionais.