Prof.

Rabelo Segurana de Redes 2 IDS

IDS
1. Definio e Funo 2. Tipos 3. Metodologias de deteco 4. Insero e evaso de IDS 5. IPS (Intrusion Prevention System) 6. Configurao do IDS 7. Padres 8. Localizao do IDS na rede

IDS
1. Definio e Funo 2. Tipos 3. Metodologias de deteco 4. Insero e evaso de IDS 5. IPS (Intrusion Prevention System) 6. Configurao do IDS 7. Padres 8. Localizao do IDS na rede

IDS
1. Definio e Funo IDS (Intrusion Detection System), ou simplesmente Sistemas de Deteco de Intruso referem-se a meios tcnicos de descobrir em uma rede quando est tendo acessos no autorizados que podem indicar ao de hackers ou at de funcionrios mal intencionados.

IDS
1. Definio e Funo

O que um IDS pode detectar?

Atividades suspeitas, imprprias, incorretas, anmalas. Ataques realizados por portas legtimas permitidas pelo firewall Deteco de modems no autorizados Tentativas de ataques a servios barrados pelo firewall

IDS
1. Definio e Funo

O funcionamento do IDS depende de alguns fatores, so eles:

Tipo do IDS Metodologia de deteco Posicionamento dos sensores Localizao do IDS na rede

IDS
1. Definio e Funo
Firewall Bloquear Conexo Conexo Permitir Conexo Trfego legtimo Trfego suspeito Detectar Analisar Responder

IDS

IDS
1. Definio e Funo

IDS

Coleta as informaes Analisa as informaes Armazena as informaes Responde s atividades suspeitas

IDS
1. Definio e Funo

Caractersticas dos IDS Monitoramento e anlise das atividades dos usurios e sistemas Avaliao da integridade de arquivos importantes do sistema e arquivos de dados Anlise estatstica do padro de atividade Anlise baseada em assinaturas de ataques conhecidas Anlise de atividades anormais Anlise de protocolos

IDS
1. Definio e Funo

Caractersticas dos IDS Deteco de erros de configurao no sistema Deteco em tempo real Fornecimento de informaes valiosas sobre atividades suspeitas na rede Anlise com base em cada caso, com resposta apropriada para cada um deles Identificao do destino do ataque

IDS
1. Definio e Funo Caractersticas dos IDS Gerenciamento central, garantindo que todos os casos sejam analisados e respondidos de maneira consistente Transparncia, de modo que o sistema no indique quais pontos ou segmentos da rede esto sendo monitorados Capacidade de registro do ataque, de modo a aprender com os ataques realizados e preparar uma defesa mais forte Flexibilidade de resposta, com a capacidade de reao, para a preveno de possveis danos.

IDS
1. Definio e Funo

Caractersticas dos IDS Necessidade de configurao, tomando cuidado com as respostas de falso-positivo, caso em que um alarme falso enviado quando a tentativa de ataque no existe, o que pode ser to perigoso quanto um ataque real Capacidade de prevenir ataques, atuando no kernel dos sistemas

IDS
1. Definio e Funo Aps a deteco de uma tentativa de ataque, vrios tipos de aes podem ser tomados como resposta. Reconfigurao do firewall Alarme (som) Aviso de SNMP para sistemas de gerenciamento de redes Evento do Windows Gerao de logs por meio do Syslog Envio de e-mail Envio de mensagem SMS ou para pagers

IDS
1. Definio e Funo Aps a deteco de uma tentativa de ataque, vrios tipos de aes podem ser tomados como resposta. Gravao das informaes sobre o ataque Gravao de evidncias do ataque para anlise posterior (forense computacional) Execuo de um programa capaz de manipular o evento Finalizao da conexo

IDS
1. Definio e Funo No se deve nunca esquecer da poltica de segurana. Ela fundamental quando uma organizao trabalha com IDS. A documentao dos procedimentos a serem adotados, quando um ataque acontece essencial!! Como proceder quando um ataque acontece? Objetivo: reestabelecer os negocios da organizao de forma imediata e eficiente!

IDS
1. Definio e Funo 2. Tipos 3. Metodologias de deteco 4. Insero e evaso de IDS 5. IPS (Intrusion Prevention System) 6. Configurao do IDS 7. Padres 8. Localizao do IDS na rede

IDS
2. Tipos

Host-Based Intrusion Detection System Network-Based Intrusion Detection System Hybrid Intrusion Detection System Honeypot

IDS
2. Tipos
HIDS - Host-Based Intrusion Detection System Faz monitoramento do sistema, com base de arquivos de logs ou agentes de auditoria Pode ser capaz de monitorar:
acessos e alteraes em importantes arquivos do sistema modificaes nos privilgios dos usurios processos do sistema programas que esto sendo executados uso da CPU port scannings

Pode realizar, por meio de checksums, a checagem da integridade dos arquivos (consegue detectar backdoors) A anlise de logs permite identificar, por exemplo, ataques de fora bruta. Exemplos: Tripwire, Portsentry, Swatch

IDS
2. Tipos
Pontos positivos do HIDS Pode verificar o sucesso ou a falha de um ataque, com base nos registros (logs) do sistema Atividades especficas do sistema podem ser monitoradas detalhadamente, como acesso a arquivos, modificao em permisses de arquivos, logon e logoff do usurio e funes do administrador Ataques que ocorrem fisicamente no servidor podem ser detectados. Ataques que utilizam criptografia podem ser detectados independente da topologia da rede Gera poucos falsos-positivos No necessita de hardware adicional

IDS
2. Tipos
Pontos negativos do HIDS difcil de gerenciar e configurar em todos os hosts que devem ser monitorados, causando problemas de escalabilidade dependente do sistema operacional, ou seja, um HIDS que funciona no Linux totalmente diferente de um HIDS que opera no Windows No capaz de detectar ataques de rede, como o scanning de rede ou o Smurf, por exemplo Caso o HIDS seja invadido, as informaes podem ser perdidas Necessita de espao de armazenamento adicional para os registros do sistema Por terem como base, tambm, os registros do sistema, podem no ser to eficientes em sistemas como o Windows 98 que gera poucas informaes de auditoria Apresenta diminuio de desempenho do host monitorado

IDS
2. Tipos

NIDS Network Based Intrusion Detection System

Monitora a interface de rede, geralmente com a interface operando em modo promscuo. A deteco realizada com a captura e anlise dos cabealhos e contedos dos pacotes, que so comparados com padres e assinaturas conhecidos. Eficiente contra port scanning, IP Spoofing, SYN Flooding. Capaz de detectar buffer overflow e ataques contra servidores Web com base em ataques conhecidos Capaz de detectar ataques em tempo real Exemplos NIDS: RealSecure, NFR, Snort

IDS
2. Tipos

NIDS Network Based Intrusion Detection System

Os NIDS podem ser divididos em duas partes
Sensores: espalhados pelos segmentos da rede, so os responsveis pela captura, formatao de dados e anlise do trfego da rede; Gerenciador ou console: permite a administrao dos sensores de forma integrada, com definio dos tipos de resposta a serem utilizados para cada tipo de comportamento suspeito detectado.

OBS: A comunicao entre as duas partes deve ser realizada utilizando criptografia.

IDS
2. Tipos

Pontos positivos do NIDS

Independe de plataforma (Linux, Windows, Solaris, etc) Permite deteco de ataques como port scanning, IP Spoofing pela anlise do cabealho e payload. Permite monitorar atividades suspeitas em portas conhecidas, como a TCP 80 (HTTP) Deteco dos ataques em tempo real Detecta tambm as tentativas de ataques mal sucedidas mais difcil dos rastros de um hacker serem apagados por eles, quando existe uma invaso O hacker tem mais dificuldade em saber se existe ou no um IDS monitorando a rede No causa impacto no desempenho da rede.

IDS
2. Tipos

Pontos negativos do NIDS

Perda de pacotes em redes saturadas Dificuldade de compreenso de protocolos de aplicao especficos, como o SMB No capaz de monitorar o trfego cifrado Dificuldade de utilizao em redes segmentadas, principalmente com switches Exigem mquinas com alto recurso computacional para analisar e armazenar os dados que passam pelo segmento da rede.

IDS
2. Tipos

Porque precisa-se de recurso computacional nos NIDS ?

Conexes TCP: para detectar uma gama de ataques, o NIDS deve manter os estados de um grande nmero de conexes TCP. Isso requer uma boa quantidade de memria do equipamento. Outras informaes de estado: a memria utilizada tambm para o tratamento da fragmentao de pacotes de IP e de pacotes ARP. Estados permanentes: para detectar a tcnica de scanning, na qual a varredura realizada aos poucos, s vezes, em perodos de dias (slow scans), o IDS deve manter as informaes sobre os estados durante um longo perodo de tempo.

IDS
2. Tipos

Como os hackers fogem da deteco de NIDS ?

Fragmentao: alguns sistemas de deteco de intruso no so capazes de tratar a fragmentao de pacotes. Ataques por meio de portas no convencionais: por exemplo, a instalao de backdoors, que trabalham na porta 53 (DNS) e no representa um padro de ataque. Slow Scans: atravs da varredura pausada, o IDS no ser capaz de detectar o scanning. Isso depende da configurao do IDS, que influi diretamente no desempenho do sistema.

IDS
2. Tipos

Como os hackers fogem da deteco de NIDS ?

Ataques Coordenados: a coordenao de um scanning entre diferentes fontes faz com que a correlao entre os pacotes capturados seja difcil. Identificao Negativa: por meio da utilizao de IP Spoofing ou de um proxy mal configurado de uma vtima, por exemplo, o hacker pode executar o seu ataque e no ser identificado. Mudana no padro de ataque: os ataques so detectados pela comparao dos pacotes com os padres ou assinaturas de ataque conhecidos. A mudana desse padro em um ataque, pode impedir sua deteco.

IDS
2. Tipos

Sensores dos NIDS: Posicionamento

Problema: as redes esto ficando cada vez mais fragmentadas, com a utilizao de switches, VLANs, etc. Isso dificulta a operao dos NIDS, j que ele opera em modo promscuo. Formas de resolver: Swiched Port Analyzer (SPAN) e hubs Modo TAP Modo Inline Port clustering Mltiplas interfaces

IDS
2. Tipos

SPAN e Hubs

SW01(config)#monitor session 1 source interface fastethernet 0/1 SW01(config)#monitor session 1 destination interface fastethernet 0/5

IDS
2. Tipos

Modo TAP

IDS
2. Tipos

Modo Inline IDS

Rede 1

Rede 2

IDS
2. Tipos

Hybrid Intrusion Detection System

Rene as melhores caractersticas dos dois tipos de IDS anteriores. Exemplo de um Servidor Web:
- Um NIDS detectaria SYN Flooding, Smurf, Port Scanning - Um HIDS detectaria um Web Defacement

Continua com problemas de escalabilidade

IDS
2. Tipos

Honeypot
So equipamentos dedicado a ser sondado, atacado, comprometido. Utilizado para registrar novas formas de ataques e de aprender mais sobre novas tcnicas de invaso para que possam ser estudadas.

http://www.cert.br/docs/whitepapers/honeypots-honeynets/ http://www.honeynet.org.br/ http://www.honeypots-alliance.org.br/

IDS
1. Definio e Funo 2. Tipos 3. Metodologias de deteco 4. Insero e evaso de IDS 5. IPS (Intrusion Prevention System) 6. Configurao do IDS 7. Padres 8. Localizao do IDS na rede

IDS
3. Metodologias de Deteco So utilizadas duas metodologias Knowledge-based Intrusion Detection: baseada no conhecimento de ataques anteriores (como uma base de um antivrus) Behavior-Based Intrusion Detection: baseada no comportamento do sistema Aps a anlise feita pelo IDS, os resultados possveis so:
Trfego suspeito detectado (comportamento normal) Trfego suspeito no detectado (falso negativo) Trfego legtimo que o IDS analisa como sendo suspeito (falso positivo) Trfego legtimo que o IDS analisa como sendo legtimo (comportamento normal)

IDS
3. Metodologias de Deteco Knowledge-based Intrusion Detection Realiza a deteco de ataques com base em assinaturas (tipos de conexo e ataques que podem indicar um ataque particular em progresso) Aes que no so reconhecidas pelo conjunto de assinaturas so consideradas aceitveis Taxa de acertos boa mas depende de atualizao constante dessa base de conhecimentos. Incluso de espaos em branco pode enganar esse tipo de IDS Exige alto recurso computacional.

IDS
3. Metodologias de Deteco Knowledge-based Intrusion Detection As assinaturas so divididas em trs tipos: Strings: verificam strings que indicam um possvel ataque. Ex: cat ++ > /.rhosts. Portas: monitoram tentativas de conexes nas portas Cabealho: procuram por combinaes perigosas ou sem lgica nos cabealhos dos pacotes. WinNuke: porta 139, liga bits Urgent e Out of Band TCP: flags SYN e FIN ligados

IDS
3. Metodologias de Deteco Assinatura Code Red /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN% u9090%u6858%ucbd3%u7801%u9090%u685 8%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u90 90%u9090%u8190%u00c3%u0003% u8b00%u531b%u53ff%u0078%u0000%u00=a

IDS
3. Metodologias de Deteco Regras para o Code Red no Snort
alert tcp any any -> any 80 (msg: "CodeRed Worm Defacement Sent"; flags:PA+; content: "|FF8B8D64 FEFFFF0F BE1185D2 7402EBD3|"; depth:16;) alert tcp any any <> any 80 (msg: "CodeRed IDA Overflow"; dsize: >239; flags: A+; content:"|2F646566 61756C74 2E696461 3F4E4E4E|";)

IDS
3. Metodologias de Deteco Assinatura Nimda
The scanning activity of the Nimda worm produces the following log entries for any web server listing on port 80/tcp:
GET /scripts/root.exe?/c+dir GET /MSADC/root.exe?/c+dir GET /c/winnt/system32/cmd.exe?/c+dir GET /d/winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir Note: The first four entries in these sample logs denote attempts to connect to the backdoor left by Code Red II, while the remaining log entries are examples of exploit attempts for the Directory Traversal vulnerability.

IDS
3. Metodologias de Deteco Behavior-based Intrusion Detection Assume que intruses podem ser detectadas por meio de desvios de comportamento dos usurios ou dos sistemas O modelo de normalidade definido e comparado com a atividade em andamento. Qualquer comportamento suspeito, diferente do padro considerado intrusivo. A deciso tomada com base em anlises estatsticas e/ou heurstica, a fim de encontrar mudanas de comportamento. Aumento de trfego, utilizao da CPU, atividade de disco, logon de usurios, podem ser monitorados.

IDS
3. Metodologias de Deteco Behavior-based Intrusion Detection Metodologia independente de sistema operacional Gera falsos negativos (quando o ataque no causa mudanas significativas na medio do trfego) e falsos positivos (bug no sistema de monitoramento, erro no modo de anlise da medio, etc) H diversas pesquisas em andamentos que utilizam redes neurais, lgica fuzzy e inteligncia artificial.

IDS
3. Metodologias de Deteco Behavior-based Intrusion Detection Vantagens No necessrio atualizar assinaturas Possibilidade de identificar ataques novos Emitem poucos falsos positivos Desvantagens Desempenho Dificuldade em escrever, entender e adicionar regras No identifica ataques que so feitos de acordo com o protocolo, sem violar o protocolo Emite alertas, porm no prov muitas informaes sobre o ataque

IDS
1. Definio e Funo 2. Tipos 3. Metodologias de deteco 4. Insero e evaso de IDS 5. IPS (Intrusion Prevention System) 6. Configurao do IDS 7. Padres 8. Localizao do IDS na rede

IDS
4. Insero e Evaso de IDS Insero e Evaso de IDS Insero: envio de pacotes invlidos rede, que o IDS aceita, mas o sistema destinatrio no. Evaso: explora inconsistncias entre o IDS e o sistema destinatrio, com o IDS no analisando pacotes que chegam ao destinatrio. Tcnicas com o objetivo a dificultar que o IDS cumpra o seu papel.

IDS
4. Insero e Evaso de IDS Insero Utilizada para driblar sistemas baseados em assinaturas, que normalmente usam um conjunto de caracteres para detectar um ataque.

ATTACK

ATXTACK
Vtima

IDS

IDS
4. Insero e Evaso de IDS Evaso Na tcnica de evaso, o sistema destinatrio aceita os pacotes que o IDS rejeita. Por exemplo, uma assinatura que detecta a assinatura ATTACK no detectar o ataque, pois o IDS analisa ATTCK.
ATTACK

ATTCK
Vtima

IDS

IDS
4. Insero e Evaso de IDS Insero e Evaso Ambas as tcnicas exploram vrias condies, em diferentes nveis, que so caractersticos de determinados sistemas
Campo TTL pode ser usado, caso o IDS e a vtima estejam em segmentos de rede diferentes. Campo dont fragment tambm pode ser utilizado Direcionar o trfego para o endereo MAC do IDS, caso ele seja conhecido Caracteres Unicode

IDS
1. Definio e Funo 2. Tipos 3. Metodologias de deteco 4. Insero e evaso de IDS 5. IPS (Intrusion Prevention System) 6. Configurao do IDS 7. Padres 8. Localizao do IDS na rede

IDS
5. IPS Intrusion Prevention System IPS Intrusion Prevention System Evoluo dos IDS, passando a atuar ativamente na rede Em geral, trabalham de forma in-line, monitorando o trfego da rede e os estados das conexes Bloqueiam trfego suspeito, quando identificado Falsos positivos geram transtornos Maiores lderes: Sourcefire, TippingPoint, McAfee e Juniper. BOM TEMA PARA TRABALHO!

IDS
1. Definio e Funo 2. Tipos 3. Metodologias de deteco 4. Insero e evaso de IDS 5. IPS (Intrusion Prevention System) 6. Configurao do IDS 7. Padres 8. Localizao do IDS na rede

IDS
6. Configurao do IDS Configurao do IDS Um NIDS mal configurado por exemplo, pode gerar diversos falsos-positivos Dificuldade e necessidade de refinar as regras. Exemplo: algumas organizaes, que tm o IIS instalado, podem receber ataques ao Apache, o que no de fato, um ataque j que o Apache no existe. desejvel que se conhea bem a rede em que se configura um IDS Bloqueios automticos que so realizados pelo IDS no firewall podem gerar DoS

IDS
1. Definio e Funo 2. Tipos 3. Metodologias de deteco 4. Insero e evaso de IDS 5. IPS (Intrusion Prevention System) 6. Configurao do IDS 7. Padres 8. Localizao do IDS na rede

IDS
7. Padres Padres Atualmente, os IDSs existentes tm dificuldade de trocar informaes entre si dado que no existe um protocolo padro para permitir a troca de informaes. A IETF est no intuito de padronizar um protocolo (IDXP Intrusion Detection Exchange Protocol) RFC 4767 Experimental

IDS
7. Padres Padres Objetivos de se padronizar Definir formatos de dados e procedimentos para a troca de formatos de respostas Definir formatos de dados e procedimentos para o compartilhamento de informaes de interesse para diversos sistemas de deteco de intruso Definir mtodos de gerenciamento dos sistemas que necessitam interagir entre si

IDS
7. Padres Padres Resultados Esperados Criao de um documento que descreva as exigncias funcionais de alto nvel para a comunicao entre IDS e as exigncias para a comunicao entre IDS e sistemas de gerenciamento Especificao de uma linguagem comum, que descreva os formatos de dados que satisfazem s exigncias Uma framework (estrutura) que identifique os melhores protocolos utilizados para a comunicao entre IDS, descrevendo como os formatos de dados relacionam com eles

IDS
1. Definio e Funo 2. Tipos 3. Metodologias de deteco 4. Insero e evaso de IDS 5. IPS (Intrusion Prevention System) 6. Configurao do IDS 7. Padres 8. Localizao do IDS na rede

IDS
8. Localizao do IDS na rede Localizao do IDS

Onde deve-se posicionar o IDS numa rede?

Ele pode ser utilizado em diversas localidades da rede, pois cada posio significa um tipo de proteo especfico.

IDS
8. Localizao do IDS na rede
VPN

IDS 2

Firewall

Internet

IDS 1

IDS 4

Rede Interna
IDS 6

IDS 5

E-mail

Banco de Dados

FTP

IDS 3

Web

CA

IDS
8. Localizao do IDS na rede
VPN

IDS 2

Firewall

Internet
IDS 1

IDS 4

Rede Interna
IDS 6

IDS 5

E-mail

Banco de Dados

IDS1: Detecta todas as tentativas de ataque contra a rede da IDS 3 FTP organizao, at mesmo as tentativas que no teriam nenhum efeito, como ataques a servidores Web inexistentes. Essa localizao oferece uma rica fonte de informaes sobre os tipos de tentativas de ataques CA que Web a organizao estaria sofrendo

IDS
8. Localizao do IDS na rede
VPN

Firewall
IDS 2

Internet

IDS 1

IDS 4

Rede Interna
IDS 6

IDS 5

E-mail

Banco de Dados

FTP

IDS 3

IDS 2:Funcionando no prprio firewall, o IDS pode detectar tentativas de ataques contra o firewall
Web CA

IDS
8. Localizao do IDS na rede
VPN

IDS 2

Firewall

Rede Interna IDS IDS 4 Internet IDS3: detecta 1 tentativas de ataque contra servidores localizados na DMZ, que so capazes de passar pelo firewall.IDS 6 Assim, ataques contra servios legtimos situados na DMZ podem ser detectados por por5 esse IDS. IDS
E-mail Banco de Dados

FTP

IDS 3

Web

CA

IDS
8. Localizao do IDS na rede
VPN

IDS 2

Firewall

Internet

IDS 1 IDS 4

Rede Interna
IDS 6

IDS 5

E-mail

Banco de Dados

IDS 3 IDS4: detecta tentativas de ataque contra recursos internos que FTP passaram pelo firewall e que podem acontecer via VPN.

Web

CA

IDS
8. Localizao do IDS na rede
VPN

IDS 2

Firewall

Internet

IDS 1

IDS 4

Rede Interna
IDS 6

IDS 5

E-mail

Banco de Dados

IDS 3 IDS5: detecta tentativas de ataque contra servidores localizados na FTP DMZ 2, que passaram pelo firewall, pela VPN ou por algum outro Servio da DMZ 1, como o servidor Web. Isso ocorre porque os Recursos da DMZ 2 no podem ser acessados diretamente pelo CA Web Usurio, a no ser via algum servidor da DMZ1 ou via VPN.

IDS
8. Localizao do IDS na rede
VPN

IDS 2

Firewall

Internet

IDS 1

IDS 4

Rede Interna
IDS 6

IDS 5

E-mail

Banco de Dados

FTP IDS6: detecta tentativas de ataques internos na organizao. Esse posicionamento passa a ser importante em ambientes cooperativos, devido ao aumento dos bolses de segurana caractersticos. Web CA

IDS 3

PRONTO, Cab!

Referencia principal: Segurana de Redes em Ambientes Cooperativos, Cap 8.