1. Segurança em Redes de Computadores e Internet
Mecanismos de Detecção e
Prevenção de Intrusos
Ivani Araujo do Nascimento
Prof. Marcelo Teixeira de Azevedo
São Paulo
Julho/2010
2. Sumário
✔ Motivação
✔ Introdução
✔ Analogia vida real x mundo virtual
✔ Técnicas
✔ Tipos de IDS
✔ Modelo conceitual para mecanismos de detecção de intrusos
✔ Tipos de IPS
✔ Desafios para os mecanismos de detecção e prevenção de intrusos
✔ Produtos
✔ Conclusão
3. Motivação
✔ Grande alarme de ataques e invasões e muitas pessoas e/ou empresas se
preocupam com seus dados e com equipamentos conectados
diretamente com a Internet.
✔ Máquinas da rede podem ser utilizadas por invasores para executar
DDoS* a sites ou servidores de outras empresas.
✔ Crackers podem utilizar um sistema desprotegido para armazenar e
distribuir conteúdos ou softwares roubados, ou ainda, conteúdo
pornográfico.
✔ Um administrador de segurança deve ter em sua rede, mecanismos de
detecção e prevenção para identificar atividades não autorizadas.
✔ Os mecanismos devem realizar alguma ação quando suspeitar de algum
tráfego de rede não autorizado ou ainda, um acesso a um arquivo não
autorizado.
✔ Nunca se sabe quando irá soar o alarme de uma tentativa de invasão ou
de uma invasão em si - manter uma rede segura, é extremamente
desafiador.
*Distributed Denial of Service - Ataque de negação de serviço distribuído
4. Introdução
Intrusão:
Ação de se introduzir sem direito numa sociedade, num cargo;
usurpação.
Em redes de computadores, equivale a entrada não autorizada de um
computador (ou computadores) na rede, com objetivo de comprometer,
danificar ou roubar informações.
5. Mecanismos apresentados
✔ IDS - Intrusion Detection System ou Sistema de Detecção de Intrusos, é
um hardware ou software que monitora um sistema ou uma rede contra
atividades não autorizadas. Um IDS, é a ferramenta que sabe ler e
interpretar arquivos de log e tráfego de firewalls, servidores e outros
dispositivos de rede. Suas funções incluem: monitorar, detectar a
presença de atividade não autorizada e gerar alertas.
✔ IPS - Intrusion Prevention System ou Sistema de Prevenção de Intrusos, é
um hardware, software, ou a combinação de ambos que realiza alguma
ação quando o IDS detecta uma atividade não autorizada e gera um
alerta.
O IPS é o dispositivo que irá bloquear os ataques antes que eles cheguem
ao seu alvo. Se usarmos somente o IDS na rede, ele só irá detectar a
tentativa de ataque e gerar o alerta. Quando o IPS receber o alerta,
poderá executar alguma ação, como por exemplo, bloquear o IP de
origem do ataque.
6. Analogia vida real x mundo virtual
✔ O carteiro (Internet) entrega as encomendas (dados eletrônicos) à
recepcionista (firewall), que rejeita tudo o que não esteja em
conformidade com os seus procedimentos (regras do firewall).
✔ Contudo, a recepcionista (firewall) não consegue controlar plenamente
todas as encomendas (dados eletrônicos). Por isso, ocorreu um grave
incidente nesta empresa: foi encaminhada a um diretor (servidor) uma
encomenda (dados eletrônicos) que continha explosivo (malwares).
✔ O diretor (servidor) ficou afastado por muito tempo da empresa e tal fato
trouxe enormes prejuízos à empresa.
✔ Para evitar novos incidentes, os diretores (servidores) decidiram
contratar profissionais qualificados (IDS e IPS) para impedir tais
acontecimentos.
✔ Esses profissionais (IDS/IPS) agoram inspecionam o conteúdo de todas
encomendas (dados eletrônicos) que chegam na portaria da empresa
(roteadores) e passam pela recepção (firewall) antes de serem entregues
aos destinatários (desktops e servidores).
Fonte: Brconnection – Internet Controlada
7. Técnicas – Detecção de Assinaturas
✔ Trabalha de forma similar aos antivírus, que utilizam assinaturas de vírus
para reconhecer e impedir que programas, arquivos, ou conteúdo
dinâmico Web infectado entre em um computador; exceto que usa um
banco de dados de padrões de tráfego ou atividades relacionados à
ataques conhecidos, chamados de "assinaturas de ataque".
✔ Utiliza regras definidas para identificar intrusões observando os padrões
de eventos específicos para ataques conhecidos e documentados. Essas
regras geralmente estão em um banco de dados que guarda as
assinaturas de ataques. O IDS compara a informação que está
monitorando contra as assinaturas de ataque que estão no banco para
detectar um padrão. Isso quer dizer que, na detecção baseada em
assinatura, o administrador define previamente o que é o ataque e
configura o IDS para procurar a assinatura.
8. Técnicas – Detecção de Anomalias
✔ Analisa o tráfego da rede, atividades e comportamento a fim de
identificar intrusões através de detecção de anomalias. Para fazer a
detecção através de anomalias, o sistema reúne informações da atividade
da rede e forma uma base de dados. A partir daí o sistema faz
comparações das ocorrências da rede com essa base de dados e alerta
sobre atividades que estão fora do que de costume, ou de normal
acontece na rede.
✔ Nos IDS baseados em detecção de anomalia, o administrador define uma
base para o que é comportamento normal; isso inclui estado de carga do
tráfego da rede, protocolo e tamanho do pacote normal. Nesse caso, a
detecção pode ser mais trabalhosa, e é aconselhado realizar a análise em
intervalos. Por exemplo, realizar a análise no horário em que não houver
expediente, ou em intervalos aleatórios durante o expediente.
9. Classificação de IDS
NIDS – Network Intrusion Detection System
✔ Sistema de Detecção de Intrusos em Rede
✔ Realiza captura e análise dos pacotes que trafegam na rede
✔ Opera em modo promíscuo para monitorar a rede
✔ Esse tipo de IDS detecta ataques pela captura e análise dos pacotes que
trafegam na rede. Configurado para ouvir um segmento de rede ou um
switch, o IDS pode monitorar o tráfego de rede onde através de uma base
de dados faz comparações necessárias com os pacotes de rede (detecção de
assinaturas) ou então faz a decodificação e verifica os protocolos de rede
(detecção de anomalias).
10. Classificação de IDS
NIDS – Network Intrusion Detection System
✔ Um exemplo de uso para um NIDS... a rede começa a receber grande
tráfego de conexões SYN. Uma conexão normal opera da seguinte forma:
1) O cliente envia um SYN
2) Servidor envia um SYN/ACK
3) Cliente envia um ACK e a conexão é estabelecida.
✔ Quando existe uma grande sequências de conexões SYN, pode ou ser um
portscan, varrendo o servidor com o objetivo de testar se as portas estão
abertas ou fechadas, ou então um ataque de SYN, onde o cliente mal-
intencionado envia muitas requisições SYN, e o servidor não recebe o
último ACK.
✔ O NIDS pode ser configurado para gerar alertas quando perceber esse tipo
de conexão.
11. Classificação de IDS
NIDS – Network Intrusion Detection System
Vantagens
✔ Bem configurados e colocados em pontos estratégicos, podem monitorar
uma rede grande.
✔ Tem pouco impacto sobre a rede existente; geralmente IDS de rede são
dispositivos passivos que somente escutam o tráfego sem interferir no
funcionamento normal da rede.
Desvantagens
✔ Dificuldade para processar dados em grandes redes
✔ Dificuldade para inspecionar pacotes contendo dados criptografados
✔ É necessário alinhar com organização o monitoramento do tráfego de rede
13. Classificação de IDS
HIDS – Host Intrusion Detection System
✔ Sistema de Detecção de Intruso no Host.
✔ Instalado em determinada máquina para analisar o próprio host (não
monitora outras máquinas).
✔ Realiza análise de eventos no sistema e do sistema de arquivos arquivos.
✔ Análise de eventos: busca por conexões abertas de rede e monitora portas
do sistema.
✔ Análise de sistema de arquivos: analisa o sistema de arquivos e outros
periféricos do sistema e cria uma base de dados. Essa base de dados é como
uma foto do sistema original; se ocorrer uma mudança, o IDS gera um
alerta ou registra a mudança.
14. Classificação de IDS
HIDS – Host Intrusion Detection System
Exemplo do uso de HIDS
✔ Imagine que existe no servidor um arquivo que guarda senha em texto claro
(um tomcat-user.xml por exemplo, que guarda os usuários do apache
tomcat). Esse é um tipo de arquivo que não deve ser lido por todos
usuários... Então, o administrador pode criar um script que vai checar as
tentativas de leitura desse arquivo. Se alguém tentar ler, o HIDS manda um
alerta. Ou então, um servidor que possui 2 placas de rede... se for colocada
uma terceira placa, o HIDS gera um alerta também.
15. Classificação de IDS
HIDS – Host Intrusion Detection System
Vantagens
✔ Instalado onde o tráfego de rede é criptografado, consegue enxergar os
dados antes de serem criptografados ou quando são descriptografados no
host destino.
✔ Fornece pistas para auditorias de sistema, detectando cavalos de tróia ou
outros tipos de ataques que envolvem violação de integridade de software
ou de arquivos.
Desvantagens
✔ Requer que cada máquina seja configurada
✔ Não detecta ataques em outras estações
✔ Utilizam os recursos computacionais da máquina que estão monitorando, e
isso pode causar perda de desempenho no sistema monitorado.
17. Classificação de IDS
DIDS – Distributed Intrusion Detection System
✔ Sistema distribuído para detecção de intrusos.
✔ Composto por vários IDSs (podem ser HIDS ou NIDS) espalhados pela rede e
se comunicam com um servidor central.
✔ A comunicação entre os sensores e o gerenciador pode ser feita através de
uma rede privada ou através da própria rede existente.
✔ Os uploads dos eventos de ataque podem ser feitos através da estação de
gerenciamento e armazenados em um banco de dados central. O download
de assinaturas de ataque são feitos pelos próprios sensores, que podem ter
regras específicas para atender suas necessidades.
✔ Para a comunicação, é recomendado utilizar criptografia ou uma VPN -
Virtual Private Network.
18. Classificação de IDS
DIDS – Distributed Intrusion Detection System
Vantagens
✔ Centralização de logs e de assinaturas de ataques facilitam a manutenção
de regras.
✔ A comunicação é feita utilizando a rede existente ou uma VPN para
aumentar a segurança.
Desvantagens
✔ Considerado complexo, pois a combinação de sensores podem ser HIDS,
NIDS ou uma combinação de ambos.
✔ Configuração da placa de rede para modo promíscuo ou não promíscuo
depende do fabricante e da política da organização.
20. Modelo conceitual para mecanismos de
detecção de intrusos
Devido à grande existência de ferramentas para detecção de intrusos, foi
proposto o CIDF - Common Intrusion Detection Framework, que agrupa um
conjunto de itens que definem um IDS:
✔ E-boxes - Event generators ou Geradores de Eventos
✔ A-boxes - Event analysers ou Analisador de Eventos
✔ R-boxes - Response units ou Unidade de Resposta
✔ D-boxes - Event databases ou Banco de Dados de Eventos
21. Visão da arquitetura CIDF
E-box (Backbone de de rede)
✔ Obtém os eventos a partir do meio externo ao CIDF, ou seja, "produz" os
eventos mas não os processa, isso fica a cargo do componente
especializado na função de processamento, que, por sua vez, após analisar
os eventos (violação de política, anomalias, intrusão) envia os resultados
para outros componentes.
A-box (Pré-processador)
✔ Este componente, basicamente, recebe as informações de outros
componentes, as analisa e as envia de forma resumida para outros
componentes, ou seja, recebe os dados de forma bruta, faz um refinamento
e envia para outros.
22. Visão da arquitetura CIDF
D-box (Mecanismo de detecção)
✔ A função deste componente é armazenar os eventos e/ou resultados para
uma necessidade futura.
R-box (Alertas/Registro)
✔ Este componente é responsável pelas ações, ou seja, matar o processo,
reinicializar a conexão, alterar a permissão de arquivos, notificar as
estações de gerência, etc.
23. Visão da arquitetura CIDF
S
N
I PRE MECANISMO
BACKBONE ALERTAS
F PROCESSADOR DE
DE REGISTRO
F DETECÇÃO
REDE
E
R ARQUIVOS DE LOG
BANCO DE DADOS
CONJUNTO
PLUGINS DE
REGRAS
Beale(2003)
24. IPS - Intrusion Prevention System
✔ Sistema de Prevenção de Intrusos
✔ Evolução do IDS, trabalha de forma pró-ativa
✔ Utiliza assinaturas ou conjunto de regras como metodologia para prevenir
ataques
✔ Pode ser baseado em host (HIPS – Host Intrusion Prevention System) ou
baseado em rede (NIPS – Network Intrusion Prevent System)
✔ IPS pode ser um hardware, software, ou a combinação de ambos que
realiza alguma ação quando o IDS detecta uma atividade não autorizada e
gera um alerta.
✔ Utiliza assinaturas ou conjunto de regras como métodos para prevenir
ataques, assim como um IDS faz. A diferença no caso, é que o IPS irá
tomar a ação de bloquear o tráfego; por isso é considerado uma evolução
do IDS e 'primeira linha de defesa'.
✔ Não substitui um firewall.
25. HIPS
Host Intrusion Prevention System
✔ Funcionamento similar ao HIDS
✔ Monitora de perto as aplicações. Por exemplo, pode monitorar um editor de
textos, ou ainda, fazer análise de todo fluxo de dados em busca de ataques
em potencial.
✔ Não tem problemas com conteúdo criptografado, pois o processo de
criptografia e descriptografia ocorre no host que está sendo monitorado.
✔ Modificação no sistema: controla alteração de permissões no sistema de
arquivos, usuários, remoção de vírus e worm e reconfiguração do conjunto
de regras do firewall local após o ataque.
✔ Mecanismos do kernel: O sistema chama mecanismos de interceptações e
de MAC fortalecidos por aplicações de prevenção de kernel, a partir de
recursos comprometidos, o sistema utilizado por um atacante durante e
após tê-lo comprometido é finalizado usando os serviços providos pelo
kernel.
✔ Prevenção de buffer overflow: medidas de uso de tempo de compilação e
tempo de execução.
26. NIPS
Network Intrusion Prevention System
✔ Funcionamento similar ao NIDS
✔ Dispositivo inline* ou software configurado para detectar e impedir
ataques
✔ Posicionado no caminho que os pacotes passam para chegar na rede
Um NIPS pode prover contramedidas nas seguintes camadas:
✔ Enlace
✔ Rede
✔ Transporte
✔ Aplicação
*Dispositivo inline: dispositivo que se situa diretamente no trajeto que os pacotes fazem quando atravessam a rede.
27. NIPS
Network Intrusion Prevention System
✔ Camada de enlace: Administrativamente shutdown na porta do switch que
está saindo o ataque. Essa atitude só é praticável para ataques que são
gerados de um sistema local. Ter a possibilidade de parar a porta é
importante, desde que não seja um shutdown indefinido.
✔ Camada de rede: Interagir com o firewall externo ou roteador, para
adicionar uma regra geral para bloquear todas as comunicações de
endereço IP individual ou a rede inteira. Um IPS inline pode realizar a
mesma coisa sem ter que apelar para um dispositivo externo, desde que
pacotes de um IP específico possa ser simplesmente bloqueado depois que
um ataque foi detectado. Similar a respostas da camada de enlace, os
timeouts são importantes na camada de rede, desde que as modificações
nas regras do firewall ou nas ACLs dos roteadores possam ser removidas.
28. NIPS
Network Intrusion Prevention System
✔ Camada de transporte: Gerar pacotes TCP RST para derrubar sessões TCP
maliciosas ou emitir algum pacote ICMP de erro, dos diversos disponíveis
para responder a um tráfego UDP malicioso. Os timeouts, não são aplicáveis
aqui, porque as bases de contramedidas são dribladas pelo atacante a cada
sessão ou a cada pacote.
✔ Camada de aplicação: Alertas de dados maliciosos na camada de aplicação
não podem causar danos antes de alcançar o sistema alvo. Essa
contramedida requer que o IPS esteja inline, no caminho da comunicação.
Previamente calculado o checksum na camada de transporte deve ser
recalculado nessa camada. Similar a camada de rede, timeouts não são
aplicáveis. Desde que os efeitos da troca de dados na camada de aplicação
sejam transitórios e não desapareçam uma vez que os pacotes alterados
são encaminhados através do IPS.
29. Desafios para os mecanismos de detecção e
prevenção de intrusos
✔ Criptografia – Os mecanismos de detecção e prevença de intrusos fazem
monitorações tanto nos cabeçalhos dos pacotes quanto nos campos de
dados. Porém, com a necessidade de sigilo e proteção dos dados que
transitam pela rede se torna necessário o uso de criptografia, o que dificulta
a utilização desses mecanismos. Dados que antes seriam analisados pelos
mecanismos e que poderiam estar sendo alvos de ataques podem vir a ser
escondidos devido ao uso da criptografia.
✔ Falsos positivos – Alerta gerado devido à identificação de uma situação que
não é uma atividade de intrusão. Para evitar os falsos positivos, deve-se
modificar e ajustar diferentes regras padrão. Em alguns casos, pode ser
necessário desabilitar algumas das regras.
✔ Falsos negativos – Ocorre numa situação que é uma atividade de intrusão e
por não haver assinatura que a identifique, nenhum alerta é gerado. Para
evitar estas situações, deve-se manter as regras e assinaturas atualizadas ou
gerar novas assinaturas e regras.
30. Desafios para os mecanismos de detecção e
prevenção de intrusos
✔ Frequentes updates – Há necessidade de que todo o sistema esteja
atualizado para que seja feita a proteção adequada da infra-estrutura da
rede.
✔ Rede com switches – O switch envia os dados provenientes da origem
apenas para a porta onde se encontra ligada o dispositivo de destino, não
replicando assim os dados para as outras como o hub. Isso impossibilita o
uso de IDS, pois só seria monitorado o tráfego destinado à máquina onde o
IDS está instalado.
✔ Redes de alta velocidade – As redes de alta velocidade se tornam um
problema devido à dificuldade para monitoração. Outro problema é o
tamanho dos pacotes, pois influencia diretamente na análise pelo IDS.
31. Produtos
IDS
✔ ISS RealSecure Network Sensor
✔ Snort
✔ AIDE
✔ Tripwire
IPS
✔ IBM Security Network Intrusion Prevention System
✔ ISS Managed IDS/IPS Service
✔ Cisco Intrusion Prevention System Solutions
✔ Snort Inline
32. Conclusão
✔ Verificando o gráfico de estatísticas de incidentes reportados ao CERT.br,
podemos ter uma idéia dos diversos ataques ou ameaças, que ocorrem
na forma mais variada possível; cada dia é um desafio garantir que uma
estrutura computacional corporativa esteja completamente segura.
✔ Com sistemas como IDS e IPS podemos ser alertados para estes ataques e
conseqüentemente, tomarmos uma atitude certa de forma eficaz e
precisa, diminuindo cada vez o tempo de indisponibilidade.
✔ É importante saber o que na verdade está ameaçando nossa segurança,
pois qualquer ferramenta será inútil caso esteja em local errado ou
funcionando de maneira errada.
✔ Em resumo, o IDS e IPS são tecnologias que fornecem uma camada extra
de proteção para o ambiente corporativo.
33. Referências
Advanced Network Security: Five major types of IDS
http://advanced-network-security.blogspot.com/2008/04/three-major-types-of-ids.html – Acesso em Junho de 2010
An Introduction To Distributed Intrusion Detection Systems
http://www.symantec.com/connect/articles/introduction-distributed-intrusion-detection-systems – Acesso em Junho de
2010
Assinaturas de Vírus - http://gtrh.tche.br/ovni/virus/modulo5.htm – Acesso em Junho de 2010
Beale, J., Foster, James C., Posluns, J. Snort 2 – Sistema de Detecção de Intruso Open Source. Rio de Janeiro: Editora Alta
Books Ltda., 2003.
Cisco Intrusion Prevention System Solutions - http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html -
Acesso em Junho de 2010
Definição de Intrusão - http://www.dicionariodoaurelio.com/dicionario.php?P=Intrusao – Acesso em Junho de 2010
Detecção de intrusos (IDS), conceitos e implantação do SNORT - http://www.vivaolinux.com.br/artigo/Deteccao-de-
intrusos-%28IDS%29-conceitos-e-implantacao-do-SNORT?pagina=1 - Acesso em Junho de 2010
Ferramentas de IDS - http://www.rnp.br/newsgen/9909/ids.html – Acesso em Junho de 2010
Freitas, Osmany B. Network Defense Tools
Disponível em: http://www.cin.ufpe.br/~ruy/crypto/seguranca/Network-Defense-Tools.ppt - Acesso em Junho de 2010
IDS Ativo - http://www.brc.com.br/ – Acesso em Junho de 2010
34. Referências
Maia, Igor S. N., Rehem, Sandro H. P. Sistemas de Detecção de Intrusos baseado em Software Livre - Disponível em:
http://www.scribd.com/doc/13224983/Sistemas-de-Prevencao-de-Intrusao-baseado-em-Software-Livre-Igor-Neiva-e-
Sandro-Herman-UCB – Acesso em Junho de 2010
Internet Security Systems, Inc. Managed Intrusion Detection and Prevention Service (IDS/IPS) – Disponível em :
http://documents.iss.net/literature/mss/IDS_datasheet.pdf - Acesso em Junho de 2010
Monteiro, G. Sistemas de Detecção de Intrusos: Introdução - Disponível em:
http://www.thebugmagazine.org/magazine/bug01/0x02_introducao-IDS-IPS.txt – Acesso em Junho de 2010
Northcutt, Stephen Como detectar invasão em rede – um guia para analistas. Rio de Janeiro: Editora Ciência Moderna
Ltda., 2000.
Oliveira, Danilo M. Hogwash Light Brasil um Sistema de Prevenção de Intrusão Invisível para o Aumento da Segurança
de Redes de Computadores - Disponível em: http://softwarelivre.org/danilomarques/hlbr/monografia-hlbr.pdf. Acesso
em Junho/2010
Porras, P., Schnackenberg, D., Staniford-Chen, S., Stillman, M., Wu, F. The Common Intrusion Detection Framework
Architecture – Disponível em: http://gost.isi.edu/cidf/drafts/architecture.txt – Acesso em Junho de 2010
Soluções de Prevenção de Intrusos - http://www.ibm.com/br/services/sps/iss/ips/index.phtml - Acesso em Junho de
2010
Tam, A. Intrusion Detection System - Disponível em: http://www.pisa.org.hk/download/seminar20010908-ids/ids.ppt.
Acesso em Junho/2010