IDS
1. Definio e Funo 2. Tipos 3. Metodologias de deteco 4. Insero e evaso de IDS 5. IPS (Intrusion Prevention System) 6. Configurao do IDS 7. Padres 8. Localizao do IDS na rede
IDS
1. Definio e Funo 2. Tipos 3. Metodologias de deteco 4. Insero e evaso de IDS 5. IPS (Intrusion Prevention System) 6. Configurao do IDS 7. Padres 8. Localizao do IDS na rede
IDS
1. Definio e Funo IDS (Intrusion Detection System), ou simplesmente Sistemas de Deteco de Intruso referem-se a meios tcnicos de descobrir em uma rede quando est tendo acessos no autorizados que podem indicar ao de hackers ou at de funcionrios mal intencionados.
IDS
1. Definio e Funo
IDS
1. Definio e Funo
IDS
1. Definio e Funo
Firewall Bloquear Conexo Conexo Permitir Conexo Trfego legtimo Trfego suspeito Detectar Analisar Responder
IDS
IDS
1. Definio e Funo
IDS
IDS
1. Definio e Funo
Caractersticas dos IDS Monitoramento e anlise das atividades dos usurios e sistemas Avaliao da integridade de arquivos importantes do sistema e arquivos de dados Anlise estatstica do padro de atividade Anlise baseada em assinaturas de ataques conhecidas Anlise de atividades anormais Anlise de protocolos
IDS
1. Definio e Funo
Caractersticas dos IDS Deteco de erros de configurao no sistema Deteco em tempo real Fornecimento de informaes valiosas sobre atividades suspeitas na rede Anlise com base em cada caso, com resposta apropriada para cada um deles Identificao do destino do ataque
IDS
1. Definio e Funo Caractersticas dos IDS Gerenciamento central, garantindo que todos os casos sejam analisados e respondidos de maneira consistente Transparncia, de modo que o sistema no indique quais pontos ou segmentos da rede esto sendo monitorados Capacidade de registro do ataque, de modo a aprender com os ataques realizados e preparar uma defesa mais forte Flexibilidade de resposta, com a capacidade de reao, para a preveno de possveis danos.
IDS
1. Definio e Funo
Caractersticas dos IDS Necessidade de configurao, tomando cuidado com as respostas de falso-positivo, caso em que um alarme falso enviado quando a tentativa de ataque no existe, o que pode ser to perigoso quanto um ataque real Capacidade de prevenir ataques, atuando no kernel dos sistemas
IDS
1. Definio e Funo Aps a deteco de uma tentativa de ataque, vrios tipos de aes podem ser tomados como resposta. Reconfigurao do firewall Alarme (som) Aviso de SNMP para sistemas de gerenciamento de redes Evento do Windows Gerao de logs por meio do Syslog Envio de e-mail Envio de mensagem SMS ou para pagers
IDS
1. Definio e Funo Aps a deteco de uma tentativa de ataque, vrios tipos de aes podem ser tomados como resposta. Gravao das informaes sobre o ataque Gravao de evidncias do ataque para anlise posterior (forense computacional) Execuo de um programa capaz de manipular o evento Finalizao da conexo
IDS
1. Definio e Funo No se deve nunca esquecer da poltica de segurana. Ela fundamental quando uma organizao trabalha com IDS. A documentao dos procedimentos a serem adotados, quando um ataque acontece essencial!! Como proceder quando um ataque acontece? Objetivo: reestabelecer os negocios da organizao de forma imediata e eficiente!
IDS
1. Definio e Funo 2. Tipos 3. Metodologias de deteco 4. Insero e evaso de IDS 5. IPS (Intrusion Prevention System) 6. Configurao do IDS 7. Padres 8. Localizao do IDS na rede
IDS
2. Tipos
Host-Based Intrusion Detection System Network-Based Intrusion Detection System Hybrid Intrusion Detection System Honeypot
IDS
2. Tipos
HIDS - Host-Based Intrusion Detection System Faz monitoramento do sistema, com base de arquivos de logs ou agentes de auditoria Pode ser capaz de monitorar:
acessos e alteraes em importantes arquivos do sistema modificaes nos privilgios dos usurios processos do sistema programas que esto sendo executados uso da CPU port scannings
Pode realizar, por meio de checksums, a checagem da integridade dos arquivos (consegue detectar backdoors) A anlise de logs permite identificar, por exemplo, ataques de fora bruta. Exemplos: Tripwire, Portsentry, Swatch
IDS
2. Tipos
Pontos positivos do HIDS Pode verificar o sucesso ou a falha de um ataque, com base nos registros (logs) do sistema Atividades especficas do sistema podem ser monitoradas detalhadamente, como acesso a arquivos, modificao em permisses de arquivos, logon e logoff do usurio e funes do administrador Ataques que ocorrem fisicamente no servidor podem ser detectados. Ataques que utilizam criptografia podem ser detectados independente da topologia da rede Gera poucos falsos-positivos No necessita de hardware adicional
IDS
2. Tipos
Pontos negativos do HIDS difcil de gerenciar e configurar em todos os hosts que devem ser monitorados, causando problemas de escalabilidade dependente do sistema operacional, ou seja, um HIDS que funciona no Linux totalmente diferente de um HIDS que opera no Windows No capaz de detectar ataques de rede, como o scanning de rede ou o Smurf, por exemplo Caso o HIDS seja invadido, as informaes podem ser perdidas Necessita de espao de armazenamento adicional para os registros do sistema Por terem como base, tambm, os registros do sistema, podem no ser to eficientes em sistemas como o Windows 98 que gera poucas informaes de auditoria Apresenta diminuio de desempenho do host monitorado
IDS
2. Tipos
IDS
2. Tipos
OBS: A comunicao entre as duas partes deve ser realizada utilizando criptografia.
IDS
2. Tipos
IDS
2. Tipos
IDS
2. Tipos
IDS
2. Tipos
IDS
2. Tipos
IDS
2. Tipos
IDS
2. Tipos
SPAN e Hubs
SW01(config)#monitor session 1 source interface fastethernet 0/1 SW01(config)#monitor session 1 destination interface fastethernet 0/5
IDS
2. Tipos
Modo TAP
IDS
2. Tipos
Rede 1
Rede 2
IDS
2. Tipos
IDS
2. Tipos
Honeypot
So equipamentos dedicado a ser sondado, atacado, comprometido. Utilizado para registrar novas formas de ataques e de aprender mais sobre novas tcnicas de invaso para que possam ser estudadas.
IDS
1. Definio e Funo 2. Tipos 3. Metodologias de deteco 4. Insero e evaso de IDS 5. IPS (Intrusion Prevention System) 6. Configurao do IDS 7. Padres 8. Localizao do IDS na rede
IDS
3. Metodologias de Deteco So utilizadas duas metodologias Knowledge-based Intrusion Detection: baseada no conhecimento de ataques anteriores (como uma base de um antivrus) Behavior-Based Intrusion Detection: baseada no comportamento do sistema Aps a anlise feita pelo IDS, os resultados possveis so:
Trfego suspeito detectado (comportamento normal) Trfego suspeito no detectado (falso negativo) Trfego legtimo que o IDS analisa como sendo suspeito (falso positivo) Trfego legtimo que o IDS analisa como sendo legtimo (comportamento normal)
IDS
3. Metodologias de Deteco Knowledge-based Intrusion Detection Realiza a deteco de ataques com base em assinaturas (tipos de conexo e ataques que podem indicar um ataque particular em progresso) Aes que no so reconhecidas pelo conjunto de assinaturas so consideradas aceitveis Taxa de acertos boa mas depende de atualizao constante dessa base de conhecimentos. Incluso de espaos em branco pode enganar esse tipo de IDS Exige alto recurso computacional.
IDS
3. Metodologias de Deteco Knowledge-based Intrusion Detection As assinaturas so divididas em trs tipos: Strings: verificam strings que indicam um possvel ataque. Ex: cat ++ > /.rhosts. Portas: monitoram tentativas de conexes nas portas Cabealho: procuram por combinaes perigosas ou sem lgica nos cabealhos dos pacotes. WinNuke: porta 139, liga bits Urgent e Out of Band TCP: flags SYN e FIN ligados
IDS
3. Metodologias de Deteco Assinatura Code Red /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN% u9090%u6858%ucbd3%u7801%u9090%u685 8%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u90 90%u9090%u8190%u00c3%u0003% u8b00%u531b%u53ff%u0078%u0000%u00=a
IDS
3. Metodologias de Deteco Regras para o Code Red no Snort
alert tcp any any -> any 80 (msg: "CodeRed Worm Defacement Sent"; flags:PA+; content: "|FF8B8D64 FEFFFF0F BE1185D2 7402EBD3|"; depth:16;) alert tcp any any <> any 80 (msg: "CodeRed IDA Overflow"; dsize: >239; flags: A+; content:"|2F646566 61756C74 2E696461 3F4E4E4E|";)
IDS
3. Metodologias de Deteco Assinatura Nimda
The scanning activity of the Nimda worm produces the following log entries for any web server listing on port 80/tcp:
GET /scripts/root.exe?/c+dir GET /MSADC/root.exe?/c+dir GET /c/winnt/system32/cmd.exe?/c+dir GET /d/winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir Note: The first four entries in these sample logs denote attempts to connect to the backdoor left by Code Red II, while the remaining log entries are examples of exploit attempts for the Directory Traversal vulnerability.
IDS
3. Metodologias de Deteco Behavior-based Intrusion Detection Assume que intruses podem ser detectadas por meio de desvios de comportamento dos usurios ou dos sistemas O modelo de normalidade definido e comparado com a atividade em andamento. Qualquer comportamento suspeito, diferente do padro considerado intrusivo. A deciso tomada com base em anlises estatsticas e/ou heurstica, a fim de encontrar mudanas de comportamento. Aumento de trfego, utilizao da CPU, atividade de disco, logon de usurios, podem ser monitorados.
IDS
3. Metodologias de Deteco Behavior-based Intrusion Detection Metodologia independente de sistema operacional Gera falsos negativos (quando o ataque no causa mudanas significativas na medio do trfego) e falsos positivos (bug no sistema de monitoramento, erro no modo de anlise da medio, etc) H diversas pesquisas em andamentos que utilizam redes neurais, lgica fuzzy e inteligncia artificial.
IDS
3. Metodologias de Deteco Behavior-based Intrusion Detection Vantagens No necessrio atualizar assinaturas Possibilidade de identificar ataques novos Emitem poucos falsos positivos Desvantagens Desempenho Dificuldade em escrever, entender e adicionar regras No identifica ataques que so feitos de acordo com o protocolo, sem violar o protocolo Emite alertas, porm no prov muitas informaes sobre o ataque
IDS
1. Definio e Funo 2. Tipos 3. Metodologias de deteco 4. Insero e evaso de IDS 5. IPS (Intrusion Prevention System) 6. Configurao do IDS 7. Padres 8. Localizao do IDS na rede
IDS
4. Insero e Evaso de IDS Insero e Evaso de IDS Insero: envio de pacotes invlidos rede, que o IDS aceita, mas o sistema destinatrio no. Evaso: explora inconsistncias entre o IDS e o sistema destinatrio, com o IDS no analisando pacotes que chegam ao destinatrio. Tcnicas com o objetivo a dificultar que o IDS cumpra o seu papel.
IDS
4. Insero e Evaso de IDS Insero Utilizada para driblar sistemas baseados em assinaturas, que normalmente usam um conjunto de caracteres para detectar um ataque.
ATTACK
ATXTACK
Vtima
IDS
IDS
4. Insero e Evaso de IDS Evaso Na tcnica de evaso, o sistema destinatrio aceita os pacotes que o IDS rejeita. Por exemplo, uma assinatura que detecta a assinatura ATTACK no detectar o ataque, pois o IDS analisa ATTCK.
ATTACK
ATTCK
Vtima
IDS
IDS
4. Insero e Evaso de IDS Insero e Evaso Ambas as tcnicas exploram vrias condies, em diferentes nveis, que so caractersticos de determinados sistemas
Campo TTL pode ser usado, caso o IDS e a vtima estejam em segmentos de rede diferentes. Campo dont fragment tambm pode ser utilizado Direcionar o trfego para o endereo MAC do IDS, caso ele seja conhecido Caracteres Unicode
IDS
1. Definio e Funo 2. Tipos 3. Metodologias de deteco 4. Insero e evaso de IDS 5. IPS (Intrusion Prevention System) 6. Configurao do IDS 7. Padres 8. Localizao do IDS na rede
IDS
5. IPS Intrusion Prevention System IPS Intrusion Prevention System Evoluo dos IDS, passando a atuar ativamente na rede Em geral, trabalham de forma in-line, monitorando o trfego da rede e os estados das conexes Bloqueiam trfego suspeito, quando identificado Falsos positivos geram transtornos Maiores lderes: Sourcefire, TippingPoint, McAfee e Juniper. BOM TEMA PARA TRABALHO!
IDS
1. Definio e Funo 2. Tipos 3. Metodologias de deteco 4. Insero e evaso de IDS 5. IPS (Intrusion Prevention System) 6. Configurao do IDS 7. Padres 8. Localizao do IDS na rede
IDS
6. Configurao do IDS Configurao do IDS Um NIDS mal configurado por exemplo, pode gerar diversos falsos-positivos Dificuldade e necessidade de refinar as regras. Exemplo: algumas organizaes, que tm o IIS instalado, podem receber ataques ao Apache, o que no de fato, um ataque j que o Apache no existe. desejvel que se conhea bem a rede em que se configura um IDS Bloqueios automticos que so realizados pelo IDS no firewall podem gerar DoS
IDS
1. Definio e Funo 2. Tipos 3. Metodologias de deteco 4. Insero e evaso de IDS 5. IPS (Intrusion Prevention System) 6. Configurao do IDS 7. Padres 8. Localizao do IDS na rede
IDS
7. Padres Padres Atualmente, os IDSs existentes tm dificuldade de trocar informaes entre si dado que no existe um protocolo padro para permitir a troca de informaes. A IETF est no intuito de padronizar um protocolo (IDXP Intrusion Detection Exchange Protocol) RFC 4767 Experimental
IDS
7. Padres Padres Objetivos de se padronizar Definir formatos de dados e procedimentos para a troca de formatos de respostas Definir formatos de dados e procedimentos para o compartilhamento de informaes de interesse para diversos sistemas de deteco de intruso Definir mtodos de gerenciamento dos sistemas que necessitam interagir entre si
IDS
7. Padres Padres Resultados Esperados Criao de um documento que descreva as exigncias funcionais de alto nvel para a comunicao entre IDS e as exigncias para a comunicao entre IDS e sistemas de gerenciamento Especificao de uma linguagem comum, que descreva os formatos de dados que satisfazem s exigncias Uma framework (estrutura) que identifique os melhores protocolos utilizados para a comunicao entre IDS, descrevendo como os formatos de dados relacionam com eles
IDS
1. Definio e Funo 2. Tipos 3. Metodologias de deteco 4. Insero e evaso de IDS 5. IPS (Intrusion Prevention System) 6. Configurao do IDS 7. Padres 8. Localizao do IDS na rede
IDS
8. Localizao do IDS na rede Localizao do IDS
IDS
8. Localizao do IDS na rede
VPN
IDS 2
Firewall
Internet
IDS 1
IDS 4
Rede Interna
IDS 6
IDS 5
Banco de Dados
FTP
IDS 3
Web
CA
IDS
8. Localizao do IDS na rede
VPN
IDS 2
Firewall
Internet
IDS 1
IDS 4
Rede Interna
IDS 6
IDS 5
Banco de Dados
IDS1: Detecta todas as tentativas de ataque contra a rede da IDS 3 FTP organizao, at mesmo as tentativas que no teriam nenhum efeito, como ataques a servidores Web inexistentes. Essa localizao oferece uma rica fonte de informaes sobre os tipos de tentativas de ataques CA que Web a organizao estaria sofrendo
IDS
8. Localizao do IDS na rede
VPN
Firewall
IDS 2
Internet
IDS 1
IDS 4
Rede Interna
IDS 6
IDS 5
Banco de Dados
FTP
IDS 3
IDS 2:Funcionando no prprio firewall, o IDS pode detectar tentativas de ataques contra o firewall
Web CA
IDS
8. Localizao do IDS na rede
VPN
IDS 2
Firewall
Rede Interna IDS IDS 4 Internet IDS3: detecta 1 tentativas de ataque contra servidores localizados na DMZ, que so capazes de passar pelo firewall.IDS 6 Assim, ataques contra servios legtimos situados na DMZ podem ser detectados por por5 esse IDS. IDS
E-mail Banco de Dados
FTP
IDS 3
Web
CA
IDS
8. Localizao do IDS na rede
VPN
IDS 2
Firewall
Internet
IDS 1 IDS 4
Rede Interna
IDS 6
IDS 5
Banco de Dados
IDS 3 IDS4: detecta tentativas de ataque contra recursos internos que FTP passaram pelo firewall e que podem acontecer via VPN.
Web
CA
IDS
8. Localizao do IDS na rede
VPN
IDS 2
Firewall
Internet
IDS 1
IDS 4
Rede Interna
IDS 6
IDS 5
Banco de Dados
IDS 3 IDS5: detecta tentativas de ataque contra servidores localizados na FTP DMZ 2, que passaram pelo firewall, pela VPN ou por algum outro Servio da DMZ 1, como o servidor Web. Isso ocorre porque os Recursos da DMZ 2 no podem ser acessados diretamente pelo CA Web Usurio, a no ser via algum servidor da DMZ1 ou via VPN.
IDS
8. Localizao do IDS na rede
VPN
IDS 2
Firewall
Internet
IDS 1
IDS 4
Rede Interna
IDS 6
IDS 5
Banco de Dados
FTP IDS6: detecta tentativas de ataques internos na organizao. Esse posicionamento passa a ser importante em ambientes cooperativos, devido ao aumento dos bolses de segurana caractersticos. Web CA
IDS 3
PRONTO, Cab!