capitulo 7 ids

Segurança na Web Segurança na Web Capítulo 7: IDS e HoneypotsCapítulo 7: IDS e Honeypots

Free Powerpoint Templates

Prof. Roberto Franciscatto4º Semestre - TSI - CAFW

Capítulo 7: IDS e HoneypotsCapítulo 7: IDS e Honeypots

• Introdução

• IDS = Intrusion Detection Systems(Sistema de Detecção de Invasão)


• O IDS funciona sobre três premissas:

• Onde observar

• O que observar

• O que fazer


• Introdução

• Onde observar• diz ao IDS a localização lógica que será monitorada quando algo acontecer.


monitorada quando algo acontecer.

• O que observar• as condições para as quais ele deveria estar observando

• O que fazer• ações a serem tomadas


• IDS em ação (exemplos)

1. Você instala o IDS para observar a conexão à internet e aqueles que tentam entrar na sua rede pelo seu firewall


2. Você diz ao IDS que tipos de hackers e ataques deve observar, baseando-se no tipo de pacote e conexão e quais atividades devem ser geradas

3. Você diz ao IDS para avisá-lo e enviar-lhe um e-mail quando um destes ataques ocorrerem

4. Um scanner tenta varrer as 1000 primeiras portas TCP/IP.



5. O IDS verifica em seu banco de dados que esse perfil de comportamento se refere a um scanner de portas


6. Ele tenta lhe enviar um e-mail e se conectar ao seu dispositivo móvel ao mesmo tempo

7. De repente aumenta o escaneamento de porta, e desta vez de uma outra origem.

8. O IDS também notifica você desta tentativa.



• Moral da história?

• Agora você tem um IDS 24 por 7,


• Agora você tem um IDS 24 por 7, adequadamente configurado, pronto para avisar-lhe de qualquer notificação

• Quais são os pontos negativos desse IDS, então?


• IDS em ação - Limitações

• O IDS só pode observar apenas uma interface por vez


• O IDS observa apenas as opções que você lhe fornece

• Deixar passar alguns avisos verdadeiros, no meio de tantos falsos-positivos


• IDS em ação – Ajustes

• O segredo do IDS está no ajuste

• Afinar um IDS, conforme as suas necessidades e


• Afinar um IDS, conforme as suas necessidades e testes realizados


• Tipos de Ataques (2011)



• Visão geral de um IDS

• Um IDS é como um sistema de alarme para a rede


• A rede pode estar protegida, mas sem um IDS você nunca saberá se um atacante está tentando obter acesso



• A meta do IDS é monitorar os ativos de rede para detectar:


• comportamento incomum• atividade inapropriada• ataques ou para um ataques (invasão)• fornecer informações para processar um atacante



• Um IDS pode ser implementado em diversas localizações dentro da rede para aumentar ainda mais a segurança e proteção da organização.


mais a segurança e proteção da organização.

• Duas formas básicas de IDS tem sido usadas:

• IDS baseado em rede

• IDS baseado em ponto-a-ponto



• NIDS – Network Intrusion Detection System

• Residem diretamente na rede e observam


• Residem diretamente na rede e observam todo o tráfego que atravessa a rede

• Os NIDS são efetivos tanto em observar fluxo de tráfego de entrada/saída e tráfego entre segmentos de redes locais

• São tipicamente distribuídos na frente e atrás dos firewalls.



• HIDS – Host Intrusion Detection System

• são aplicativos de software especializados que


• são aplicativos de software especializados que são instalados em um computador

• observa o tráfego de comunicação de entrada/saída de e para aquele servidor

• monitora alterações no sistema de arquivos



• HIDS – Host Intrusion Detection System (cont.)


• São extremamente efetivos em:

• missões críticas

• servidores de aplicativos acessíveis pela internet

• servidores web e e-mail (etc...)



• Na avaliação de um IDS, é importante considerar o foco e o registro de eventos:


• Correlação de eventos

• Correlacionar eventos é crucial para garantir que a sua rede é segura

• Permite que um administrador do IDS rastreie rapidamente eventos múltiplos





• Gerenciamento centralizado de sensores

• Assinaturas personalizadas e limiares

(Possibilidade de criar assinaturas de ataques para lidar com quaisquer eventualidades)

• Eliminação de falso-positivos (MID – Medo, Incerteza e Dúvida)





• Implementação baseada em padrões(IDS que são interoperáveis)

• Funcionalidade de prevenção de invasão(habilidade de responder ativamente e impedir invasões e tráfego não desejado)

• Detecção de anomalia(IDS deve estabelecer uma linha-base para os padrões de tráfego normal)


• Como são detectadas as invasões?

• Um IDS possui uma implementação especial de TCP/IP que lhe permite pegar os pacotes e então remontá-los para análise.


remontá-los para análise.

• Não é suficiente apenas farejar os pacotes, um IDS deve examiná-los.

• Isso é feito de diversas formas...



• Remontagem do fluxo de comunicações

• Um IDS tem a capacidade de reconstruir um


• Um IDS tem a capacidade de reconstruir um fluxo de pacotes em uma sessão de comunicações.



• Análise de protocolo

• Os ataques para terem sucesso, empregam


• Os ataques para terem sucesso, empregam métodos de alterar informações básicas do protocolo.

• Ex.: ping da morte

• Um IDS possui um sistema de verificação que pode sinalizar pacotes inválidos.



• Detecção de anomalias

• A detecção de anomalias é semelhante ao treinamento de filtros de SPAM porque no


treinamento de filtros de SPAM porque no período de treinamento do IDS permite-lhe determinar níveis de baseline de atividade.

• Ex.: atividade de arquivo, logins de usuário, utilização de CPU, atividades de disco, etc...



• Equivalência de assinatura/padrão

• A equivalência de assinatura/padrão é o método mais comum de se detectar ataques, e


método mais comum de se detectar ataques, e significa que o IDS deve ser capaz de reconhecer cada técnica de ataque para ser efetivo.

• Um IDS possui grandes BD com milhares de assinaturas que permitem os IDS encontrar padrões ou assinaturas de ataques.



• Análise de registro (log)

• Os IDS tem a capacidade de receber mensagens de registro (log) de múltiplos


mensagens de registro (log) de múltiplos dispositivos e auditar estes registros para eventos relacionados a segurança.

• captura de pacotes ofensores• reconstrução da sessão



• Prevenção de invasão

• Os IPS (Sistemas de Prevenção de Invasão) impedem que um ataque tenha sucesso nos


impedem que um ataque tenha sucesso nos seus primeiros momentos.

• Duas técnicas são usadas para impedir um ataque:



• Prevenção de invasão

• Aparar: permite que um IDS termine um ataque suspeito, pelo uso de um pacote TCP


ataque suspeito, pelo uso de um pacote TCP Reset ou mensagem ICMP não atingível.

• Afastar: bloqueia o IP do atacante, além disso o IDS pode ser configurado para afastar determinada conexão suspeita.


• Limitações do IDS

• Debate HIDS x NIDS• Padrões de ataque• Falsos positivos• Limitações de recursos


• Limitações de recursos• Estado de longo prazo• Cegueira de sensores• Limitações de armazenamento• Negação de serviço• Fragmentação• Evasão/alteração de padrão• Ferramentas de “avaliação” do IDS


• Estudo de caso – IDS SNORT

• Snort é uma ferramenta de NIDS, bastante utilizada, pois, além de gratuito, é open source.

• Ele é sniffer que tem como diferencial a capacidade de inspecionar:


inspecionar:

• o payload do pacote

• área que contém os dados do mesmo

• fazer os registros dos pacotes

• além de detectar as invasões.



• A arquitetura do Snort é composta por quatro componentes básicos:

• O farejador;


• O farejador;

• O pré-processador;

• O mecanismo de detecção;

• Alerta/registro.



• Assim como o TCPDump, o Snort faz uso de uma biblioteca chamada libcap para realizar a captura dos pacotes.

• Esta biblioteca além de capturar os dados destinados à


• Esta biblioteca além de capturar os dados destinados à própria máquina é capaz de receber os pacotes destinados a outras máquinas dentro do mesmo segmento de rede.



• Instalação completa (Linux)

http://www.dicas-l.com.br/arquivo/snort_ids.php


http://www.dicas-l.com.br/arquivo/snort_ids.php


• Honeypots

• Como atacar os atacantes ?

• Solução: honeypots !!!

Um Honeypot (potes de mel) é um sistema


• Um Honeypot (potes de mel) é um sistema personalizado para atrair e prender pessoas que tentem penetrar nos sistemas de computação de outras pessoas usando sondagens, scans e invasões.


• Honeypots

• Honeypots não resolvem um único problema de segurança

• Eles são usados para:


• Eles são usados para:

• desorientar, prevenir, detectar e coletar informações por serem altamente monitorados e projetados para se parecerem com algo que não são para os atacantes caírem


• Honeypots

• Qual o motivo de ter-se um dispositivo destes na rede?



• Honeypots

• Qual o motivo de ter-se um dispositivo destes na rede?

• Diversos propósitos:


• Diversos propósitos:

• Honeypots distraem os atacantes dos recursos mais valiosos da sua rede

• Honeypots fornecem um aviso precoce sobre novas tentativas de ataque e invasão


• Honeypots

• Diversos propósitos (cont.):

• Honeypots permitem um exame profundo das atividades de um atacante durante e depois da


atividades de um atacante durante e depois da exploração do Honeypot.

• Para conhecer seu inimigo


• Honeypots

• O projeto e instalação de honeypots caem em duas categorias

• Honeypots de pesquisa: complexo para


• Honeypots de pesquisa: complexo para distribuir e manter o uso primário para organizações de pesquisa, militares e governamentais

• Honeypots de produção: usado por organizações que estejam preocupadas com a segurança das suas redes


• Honeypots

• Os honeypots podem ser classificados por sua função:

• Monitores de portas: ouvem portas que são


• Monitores de portas: ouvem portas que são alvos de atacantes

• Esses tipos de honeypots registram tentativas de conexões em uma porta.


• Honeypots

• Os honeypots podem ser classificados por sua função (cont.):

• Sistemas falsos: monitora uma porta e engana


• Sistemas falsos: monitora uma porta e engana os atacantes por interagir com eles como poderia ser feito com um sistema real.

• Sistemas multi-falsos: permitem não apenas múltiplos serviços, mas também, simulam diferentes sistemas operacionais.


• Limitações dos Honeypots

• Se o sistema ficar comprometido, ele pode ser usado como ponta de lança para se comprometer ainda mais a rede


• Honeypots adicionam complexidade. Na segurança, a complexidade é ruim porque leva a exposições crescentes para explorações

• Honeypots devem ser mantidos, como quaisquer outros equipamentos/serviços de rede.


• Estudo de caso – Honeyd e KFSensor

• Instalação e Configuração

• Honeyd via Linux• KFSensor via Windows


• KFSensor via Windows

capitulo 7 ids

Documents