You are on page 1of 35

APRESENTAÇÃO:

NETWORK DEFENSE TOOLS


Índice
■ Motivação
■ Tipos de Defesa
■ Prevenção de Intrusos
– Firewall
– Traffic Shaping
■ Detecção de Intrusos
– Tripwire
– HijackThis
– Nessus
■ Referências
Motivação
■ Devido ao grande alarme de ataques e invasões
de vândalos, muitas pessoas receiam deixar seus
computadores diretamente ligados à internet

• Administrar uma rede segura


nunca foi tão desafiador
Tipos de Defesas
■ Defesas Externas
– IPS, IDS
■ Proteger a rede e os hosts
■ Manter ameaças externas longe da rede interna

■ Defesas Internas
– Anti-Vírus, Anti-Spyware
■ Proteger os hosts
IDS
■ Sistema de Detecção de Intruso ( Passivo)
– Sistema utilizado para manipular tráfegos maliciosos que não são
detectados por um firewall convencional.
■ Vulnerabilidades no sistema
■ Elevação de privilégios
■ Login não autorizado
■ Malware
IPS
■ Sistema de Prevenção de Intruso(Reativo)
– Sistema que pratica o controle de acesso protegendo computadores
de exploração. Bastante similar ao IDS, mas além de detectar tráfego
suspeito, é capaz de tratá-lo.
– Os IPS´s são usados para compor os sistemas de Firewall
Ou seja...
■ Sistema de Detecção de Intruso
– Apenas grava logs registrando atividades suspeitas

■ Sistema de Prevenção de Intruso


– Reage mediante uma situação adversa
PREVENÇÃO DE INTRUSOS
Firewall

■ Sistema que aplica políticas de segurança para restringir passagem apenas de


tráfego autorizado

■ Cria um perímetro de defesa para proteger a rede interna


Firewall
■ Funcionamento Básico

Rede Local Firewall Internet

■ Age como uma barreira que controla o tráfego


entre duas redes.
Firewall - Vantagens
■ Permite criar um ponto de controle único, impedindo acessos não
autorizados e recusando serviços e dados vulneráveis saiam da rede

■ Monitorar a rede, alertas de invasão em apenas um ponto da rede


Firewall - Limitações
■ Manipulação maliciosa de dados por usuários
internos

■ Não impede proliferação de vírus

■ Ataques acionados por dados que são recebidos


via e-mail, por exemplo, onde sua execução
dispara alterações em arquivos de segurança do
sistema, tornando-o vulnerável
Firewall - Windows

http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php
Firewall - Testes na Web

■ Symantec Security Check


– http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym
■ Audit My PC Firewall Test
– http://www.auditmypc.com/firewall-test.asp
■ Gibson Research Corporation-Internet Vulnerability Test
– https://www.grc.com/x/ne.dll?bh0bkyd2
■ PC Flank's tests
– http://www.pcflank.com/about.htm
■ HackerWatch firewall tests
– http://www.hackerwatch.org/probe/
■ Hacker Whacker free tests
– http://theta.hackerwhacker.com/freetools.php
■ Look 'n' Stop - Internet security Test
– http://www.soft4ever.com/security_test/En/
Traffic Shaping
■ Técnica para controlar o tráfego na rede provendo otimização e
garantia de performance

■ Bastante utilizado por provedores de acesso para melhoria de seus


serviços
Traffic Shaping
■ O Firewall
– Libera ou bloquea o tráfego

■ Traffic Shaping
– Limita, condiciona o tráfego
■ Classificação
■ Filas
■ Políticas de esforço
■ QoS
Traffic Shaping
■ Como controlar o tráfego de compartilhadores P2P ?
Traffic Shaping
■ Clasifica e analiza o tráfego
– Classificando IP e porta
■ Controla Tráfego
– Selecionando faixas de banda para classes
■ Monitora performance da rede
– Coleta dados e aplica políticas
DETECÇÃO DE INTRUSOS
Detecção de Instrusos

■ Analisam os pacotes da rede comparando-os com assinaturas já


prontas de ataque
■ Monitoram arquivos dos sistema em busca de modificações
suspeitas

■ É capaz de trazer informações da rede como:


– Quantas tentativas de ataques sofremos por dia;
– Qual tipo de ataque foi usado;
– Qual a origem dos ataques;
Classificação de IDS

■ NIDS - Sistemas de Detecção de Intrusão de Rede


– Os ataques são capturados e analisados através de pacotes da rede
– Monitoram múltiplas estações através de sensores espalhados pela rede

– Dificuldade pra processar dados em grandes redes e dados criptografados


Classificação de IDS

■ HIDS - Sistemas de Detecção de Intrusão de Host


– Operam sobre informações coletadas em computadores individuais
– Por operar diretamente nas estações, é capaz de ver as
conseqüências do ataque

– Porém requer que cada máquina seja configurada e não detecta


ataques em outras estações
Ataque Padrão

■ O invasor:
– Obtém acesso ao sistema
– Adquire acesso root
– Modifica o sistema pra instalar backdoor
– Usa o backdoor para futuras atividades
– Apaga rastros ( possivelmente )
Tripwire

■ Basea-se em guardar informações sobre a estrutura dos arquivos no sistema.

■ Realiza comparações com uma base de dados e reporta problemas se houver


diferenças
Tripwire
Hijack This

■ Programa que verifica processos ativos e entradas suspeitas no Windows, ajudando


a identificar malwares em geral

■ Através dele é gerado um log que possibilita identificar


Hijack This
■ Inicialmente o usuário roda a aplicação realizando um scan
Hijack This
■ O log é gerado e salvo num arquivo:
Hijack This
■ Analizador de logs gratuito no site do programa:

http://hijackthis.de
Hijack This

■ Trecho do resultado da análise do log:

■ Observe que qualquer processo suspeito é imediatamente avisado ao usuário


Nessus

■ Programa de verificação de falhas/vulnerabilidades de segurança.

■ Composto por um cliente e servidor ( este serve para realizar o scan no cliente )

■ Ele realiza uma varredura de portas, detectando servidores ativos e simulando


invasões para detectar vulnerabilidades
Nessus

■ Há 3 níveis de alerta:
– O mais grave indica que há uma brecha de segurança em um servidor ativo da
máquina.
– O segundo informa que há um serviço potencialmente inseguro numa determinada
porta
– O último nível é apenas aviso mostrando que há um servidor ativo e que está sem
falha de segurança
Nessus

■ O nessus:
– Aponta as falhas

– Oferece uma descrição detalhada da vulnerabilidade

– Aponta uma solução


Nessus

1- Resultado da
avaliação

2- Descrição do
problema

3- Solução
Referências

■ http://en.wikipedia.org/wiki/Main_Page
■ http://linhadefensiva.uol.com.br/forum
■ http://www.forum-invasao.com.br
■ http://www.securityfocus.com/infocus/1285
■ http://crypto.stanford.edu/cs155/IDSpaper.pdf
■ http://www.hijackthis.de
■ http://www.nessus.org