Seguranca da Informação -IDS

Click here to load reader

  • date post

    12-Jun-2015
  • Category

    Documents

  • view

    2.879
  • download

    0

Embed Size (px)

Transcript of Seguranca da Informação -IDS

  • 1. 1IDSSistemasdeDetecodeIntrusoLuizArthur Atualmentenossasociedadeestaacadadiamaisdependentedoscomputadorese das redes de dados que os ligam. Isto se d devido ao fato de que so nesses equipamentosqueestcontidoomaiorbemdasociedadeatualqueainformao.Entomuitoimportantemanterumsistemacomputacional,principalmentequeesteja conectadoaumarede(Internet)seguro,deformaqueasinformaescontidosnesses sempre se mantenham integras, com um alto nvel de confidencialidade e disponibilidade.Assim,aseguranadainformaoemsistemascomputacionaisatuaisnopodemmais depender apenas de sistemas antivrus, ou apenas alguns Firewalls. So necessriossistemasmaiscomplexosqueanalisemaredeeinterajamdeformapr ativa com est rede e seus elementos (hosts), visando uma maior segurana da informao.Neste cenrio surgem os Sistemas de Deteco de Intruso. Pois, fazer a monitoraocontratentativasdeataqueseintrusoestsetornandofundamentalpara aseguranaporexemplo,deumaempresaouorganizao.Assim,umIDSouemportugusSDIbasicamenteumsistemacapazdeanalisaro trafegodaredeouocontedodeumcomputadoreprocurarpossveistentativas deataques.

2. 2 IDSSistemasdeDetecodeIntrusoLuizArthur No uma tarefa muito fcil descobrir se um computador ou uma rede foi invadido. Para saber se um computador ou uma rede foi invadido h necessidade de analisararedeverificandoumasriedeinformaes,como: Registrosdelog(registrodearmazenamentodeeventos); Processosnoautorizados; Contasdeusurios; SistemadeArquivosalterados; eoutros. Descobrir se um computador ou uma rede foi invadido uma tarefa muito difcil e demoradaparasefazer,eosresponsveispelaseguranadaredepodemnodar conta de fazer tudo, havendo ento a necessidade de se utilizar os Sistemas de DetecodeIntruso(SDI)parafazeressasfunes.O modo mais simples de definir um IDS seria descrevlo como uma ferramenta especializada,capazdelereinterpretarocontedodearquivosdelog deroteadores, Firewalls,servidoreseoutrosdispositivosderedeegerarumalertasobreumpossvel ataque,identificandoseexistealgumtentantoounoinvdirosistemacomputacional. 3. 3IDSSistemasdeDetecodeIntruso LuizArthur Um SDI normalmente formado por um banco de dados noqual so armazenados sassinaturas(cdigos)deataques,istobemsemelhanteaofuncionamentodeum antivrusquecontmasassinaturasoucdigosdosvrus,ouseja,existemestruturasde dadosque,porexemplo,seforemencontradasemumfluxoderedeiroidentificarque estaacontecendoumdeterminadoataque.Taisassinaturasdevemserconstantementeatualizadasassimcomoemumantivrus paraquenopassenenhumcdigonovodespercebido,ouosistemanoiridentificar umataquerecemcriado(umnovoataque).Sefordetectadaqualquertentativadeataquesuspeita,oIDSdevegerarumalertapara o administrador do sistema computacional, esta resposta pode ser um email, um aruqivo de log, emitir um alerta sonoro, alguma tipos de aes automticas para tentar avisar sobre o ataque ou mesmo tomar uma atitude para tentar bloquear o ataque,variandodesdeadesativaodelinksdaInternetataativaoderastreadores efazeroutrastentativasdeidentificaratacantes. claro que essas respostas aos ataques so geradas de acordo com as regras configuradasnoSistemadeDetecodeIntruso. 4. 4 IDSSistemasdeDetecodeIntruso LuizArthur AntesdecontinuarfalandosobreIDSsdevemosteremmenteumproblemacausado por sistemas de deteco, que o de gerar alertas falsos ou de simplesmente no gerarumaalertaemummomentodeinvaso.FalsoPositivoeFalsoNegativoFalso positivo quando o sensor do IDS gera um alerta que no devia, ou seja, classificauma atividade normal narede como sendo umataque.Quantomenosfalsos positivos um IDS gerar melhor, pois quando um administrador examina um IDS e v um monte de alertas este pode pensar que o sistema est sendo atacado, e na verdade esses alertas so falsos, isto se d devido a m configurao do IDS, por exemplo. Outro problema gerado por este tipo de problema que como o IDS gera alertas falsos sobre ataques que no esto ocorrendo o administrador pode futuramenteignorarumataquerealpensandoqueestetambmumFalsoPositivo.Falso negativo quando ocorre um ataque e o sensor do SDI no gera nenhum alerta.Existemalgumascausasquepodemgerarfalsosnegativossoelas:umataque desconhecido,umasobrecargaouconfiguraoerradanosensor.Falsosnegativos nodevemocorrer,poisumfalsonegativopodeserumataquequepassadespercebido pelo IDS e pode comprometer a segurana da rede ou das informaes contidas nos sistemas computacionais. Para evitar este tipo de problema recomendvel sempre manterasassinaturasatualizadas,assimcomosefosseumantivrus. 5. 5IDSSistemasdeDetecodeIntrusoLuizArthur TiposdeSistemasdeDetecodeIntrusoConformeasuaarquitetura,osSDIpodemser:baseadosemredes,baseadosemhost edistribudos.SistemasdeDetecodeIntrusoBaseadoemHostOs Sistemas de Deteco de Intruso baseados em Host (SDIH ou em ingls HIDS) foram os primeiros IDS que surgiram, seu objetivo monitorar todas as atividades existentes em um determinado host. Sendo que este captura somente o trafego destinadoounicohost(enoaumarede)nogerandomuitacargaparaaCPU.Os SDIHs podem atuar em diversas reas dentro de um mesmo host, como por exemplo,analisedetodoosistemadearquivos,monitoramentodaatividadedarede, monitoramento de atividades de login e do usurio. Essas ferramentas analisam os sistemasatravsdedadoscoletadosnaprpriamquina.SistemasdeDetecodeIntrusoBaseadoemRedeUm sistema de deteco de invaso de rede uma mquina ou um software que monitora conexes de rede procura de sinais de invaso, negao de servio, violaesdediretivasououtraatividadeincomumespecificadapeloadministrador. 6. 6IDSSistemasdeDetecodeIntrusoLuizArthur OSistemadeDetecodeIntrusodeRedetambmchamadodeSDIRouemingls NIDS,observarumaredeouumgrupodemquinas.Os NIDS trabalham com interfaces de rede em modo promiscuo, ou seja, todos os pacotes que circulam pela rede sero capturados pelo IDS, independente do destino. Esses pacotes que forem capturados sero analisados umaum, para que o IDS saibasetaispacotescontminformaesditasnormaisousepodemserconsiderados umatentativadeataque.Os NIDS so compostos geralmente por dois componentes, so eles: os sensores e asestaesdegerenciamento.Os sensores so dispositivos (de hardware ou software), colocados em segmentos distintosdarede,parafarejareanalisararede procurandoassinaturasquepoderiam indicarumataque.As estaes de gerenciamento podem possuir uma interface grfica e so responsveisporreceberosalarmesdossensoresinformandoaoadministradorda redesobreataques,porexemplo.Osdoispodemserinstaladosemumamesmamquina,dependendodotipodoIDS. 7. 7IDSSistemasdeDetecodeIntrusoLuizArthur VantagensdosNIDSso: Queumnicosensorpodemonitorartodaaredeouumsegmentodaredeoque permiteumaeconomianasuaimplementao; Os NIDS no interfere no trafego da rede, somente analisa as informaes que estopassandopelarede; invisvelparaosinvasores,poisnogeranenhumarespostaquepossaindicar suapresena. DesvantagensdosNIDSso: SetivermuitotrafegonaredeoIDSpodenoconseguirserrpidoosuficienteparmonitorartodootrafegoquecirculapelosegmentodaredeeumataquepodepassardespercebido; Alguns NIDS tm problemas em redes com switches, pois o switch cria umaconexo direta entre a origem e o destino do pacote, deste modo o sensor noconseguecapturartodosospacotes; No reconhece dados criptografados, pois no consegue comparar as regrascomocontedodopacote; Alguns NIDS no conseguem remontar os pacotes fragmentados (pacotesdivididos em varias partes); No consegue informar se o ataque foi ou no bem sucedido 8. 8IDSSistemasdeDetecodeIntrusoLuizArthur VantagensdeHIDSso: Podem trabalhar em redes com criptografia, como analisa o host, verifica os dadosantesdeseremcriptografadosoudepoisdeseremdescritografados; O HIDS consegue monitorar eventos locais, como alteraes em arquivos do sistema; Notemproblemasemredescomswitches,poisanalisaocontedoqueentrae saidohostnoqualestinstalado,noimportaseoswitcheenviaospacotesparaa redeinteiraousomenteparaamquinadestino; Detecta cavalos de tria e outros ataques que envolvem brechas na integridade dossoftwares.DesvantagensdosHIDSso: DificuldadedegerenciarvriosHIDS; O atacante que conseguir invadir o host em que o SDI est instalado podecomprometeroudesabilitaroSDI; Nopodedetectarscandeportasououtraferramentadevarreduraquetenhacomoalvo toda a rede, porque s analisa os pacotes direcionados ao host em queestinstalado; Seaquantidadedeinformaoformuita,podesernecessrioadicionarmaisrea(espaoemdisco),paraoarmazenamentodoslogs; O HIDS influncia no desempenho do host em que est instalado porque consomerecursosparaoprocessamentodasinformaeseregrasdoIDS. 9. 9IDSSistemasdeDetecodeIntruso LuizArthur SDIdistribudoOs Sistemas de Deteco de Intruso Distribudos (SDID) funcionam em uma arquitetura gerenciador/investigao. Este tipo de sistema utiliza sensores, os quais ficamemlocaisdistantesesereportamaumaestaocentraldegerenciamento.Estes sensores podem agir no modo promiscuo como os sensores de um NIDS, ou podemagirnomodonopromiscuocomoosdeumHIDSouumacombinaoentre osdois.Ossensoresdestestiposdesistemasdevemmandarasinformaesaumaestao centraldegerenciamento.Nestaestaocentraldegerenciamentofeitoumupload doslogsdeataquesearmazenadosemumbancodedados.Algumas vantagens do uso de SDID so: O downloads de novas assinaturas de ataquepodeserfeitonossensores,deacordocomanecessidade;Asregrasdecada sensorpodemserpersonalizadasparaatenderassuasnecessidadesindividuais.Uma desvantagem do uso de SDID que para fazer a comunicao entre os sensores e a estao central de gerenciamento deve se utilizar algum tipo de seguranaextra,comocriptografia,tecnologiaVPNouumaredeprivada. 10. 10 IDSSistemasdeDetecodeIntrusoLuizArthur DetecodeinvasobaseadoemassinaturasEstemtodotrabalhacoletandodados(deredeouhost)ecomparacomregras(que identificam os ataques), que so os cdigos (assinaturas) do IDS ao qual se est utilizando.EssasassinaturassofornecidaspelodesenvolvedordoIDS,massehouver necessidade tambm pode se desenvolver assinaturas prprias ou adquirilas de sites especializadosemseguranaeadaptardeacordocomoIDS.A deteco de intruso por assinatura normalmente gera um menor nmero de falsos positivos, ou seja, alertas falsos se comparados aos demais mtodos de deteco.Omtododedetecobaseadoemassinaturasporsuavezmaisrpidoe especifico na procura por padres de ataques j conhecidos, mas quando aparecem novospadresdeataques,estemtodosetornaineficiente.Uma assinatura composta por uma seqncia de bytes que representam ou especificam um ataque. Quando encontrado no trafego da rede algum cdigo que sejaidnticosassinaturas,umaprovvelindicaodeataque.OsSDIutilizamesta abordagemparaadetecodeintruso,atravsdautilizaodeexpressesregulares, anlisede contexto ou linguagens de assinatura, os pacotesderedesoanalisadose comparadoscomumabasededadosdeassinaturas. 11. 11IDSSistemasdeDetecodeIntrusoLuizArthur Detecobaseadoemanomalias(comportamento)Este mtodo de deteco tem um registro do histrico das atividades que so consideradasnormaisnarede,apartirdessesregistrosdohistricoqueosistema descobreoque permitido ounonarede,seencontraralgoquenoestdentrodo padrodosistema,geradoumalerta.Este mtodo de deteco mais complicado para se configurar, pois muito difcil saberoqueounopadroemumadeterminadarede.A principal vantagem deste mtodo de deteco que ele capaz de detectar qualquertipodeataquesnovosedesconhecidos.Mas por outro lado a desvantagem que ele gera um nmero muito grande de alertas. A maioria desses alertas podem ser falsos, ou seja, apenas uma atividade queousurionocostumaafazer,equeosistemanotinharegistrodestaatividade.Porexemplo,omtododedetecobaseadoemanomaliastemumregistronoqualum usuriosfazloginemumdeterminadosistemaduranteodia,seacasofordetectado queesteusuriotafazendologinnosistemademadrugada,deveemitirumalerta. 12. 12 IDSSistemasdeDetecodeIntruso LuizArthurOSSECHIDSOOSSECHIDSumsistemadedetecodeintrusobaseadoemHostdecdigo fonteabertoquepossuicomodesenvolvedorprincipalobrasileiroDanielCid.O OSSEC HIDS realiza operaes de analise de Logs, integridade de sistemas, monitorao de registros do Windows, deteco de rootkits, alertas e resposta ativa (regras no firewall). possvel instalar o OSSEC localmente, para monitorar uma nicamquina,massefornecessriomonitorarvriasmquinaspossvelconfigurar uma como servidor e as demais como agentes, sendo que as agentes iram enviar informaes para o gerente que fica responsvel por analisar e apresentar as informaesgeradaspelosIDS,istodumaaltaescalabilidadeaoIDS.Suportaosseguintestiposdelogs:Unixpam,sshd(OpenSSH),Unixtelnetd,Samba, Su,Sudo,Proftpd,Pureftpd,vsftpd,Solarisftpd,Imapdandpop3d,Hordeimp,Named (bind), Postfix, Sendmail, Iptables firewall, Solais ipfilter firewall, AIX ipsec/firewall, Netscreen firewall, Snort IDS, Apache web server (access log and error log), IIS web server, Squid proxy, Windows event logs, Generic unix authentiction (adduser, logins, etc).O OSSEC pode ser instalado nos seguintes Sistemas Operacionais: OpenBSD, Linux, FreeBSD, Solaris, MacOSX, Windows XP/2000 ( no caso do windwos somente o agente). 13. 13 IDSSistemasdeDetecodeIntruso LuizArthur OSSECHIDSOOSSECHIDSpodeserobtidonasite:www.ossec.net 14. 14IDSSistemasdeDetecodeIntruso LuizArthur fim