1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;
Transcript of 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;
![Page 1: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/1.jpg)
1.4 – Sistemas de Detecção de Intrusão• Conceitos;
• Arquitetura;
• Técnicas;
• Classificações;
![Page 2: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/2.jpg)
Introdução - Conceitos
• Detecção de Intrusão envolve:– Coletar e analisar informações;– Identificar e rastrear ataques;– Enviar respostas;
• Sistemas de Detecção de Intrusão (IDSs):– Ferramentas que executam a detecção de
intrusão;
![Page 3: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/3.jpg)
Introdução - Funcionamento Básico
• Consiste na monitoração de eventos– Rede, Host ou Aplicação;
• Visando identificar ataques;
• Ataques geram alertas;
• Opcionalmente podem ser enviadas respostas:– Encerramento de conexões, de processos,
alteração em permissões de arquivos;
![Page 4: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/4.jpg)
Introdução - Funcionamento Básico
![Page 5: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/5.jpg)
Classificação - Método Baseado em Comportamento• Cria um perfil para os usuários;
• Classifica o comportamento como normal ou anômalo;
• Procura por anomalias;
• Para situações consideradas anormais são gerados alertas;
![Page 6: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/6.jpg)
Classificação - Método Baseado em Comportamento• Vantagens:
– Detecção de ataques deconhecidos;– Esforço de manutenção reduzido;
• Desvantagens:– Dificuldade de configuração;– Menor desempenho (cálculos complexos);– Dificuldade de lidar com mudanças normais de
comportamento;
![Page 7: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/7.jpg)
Classificação - Método Baseado em Comportamento• Sistemas adaptativos:
– Estabelece um padrão considerado normal• horários, tipo de recurso, tipo de aplicação;
– Alerta para situações fora do padrão;– Ex.:
• Acesso às 4hs da manhã
• Usuário do comercial compilando programas
• Programador utilizando impressora
![Page 8: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/8.jpg)
Classificação - Método Baseado em Comportamento• Análise estatística:
– São montados modelos estatísticos do ambiente;
– Eventos fora do modelo são considerados ataques em potencial;
– Ex.: • Tempo de sessão de Telnet;
• Quantidade de download/upload;
![Page 9: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/9.jpg)
Classificação - Método Baseado em Conhecimento• Semelhante ao funcionamento de anti-
virus:– Deve existir uma base de ataques conhecidos;– A base deve sempre ser atualizada;
• Os eventos são comparados com as informações da base;
• Se um evento estiver na base, é gerado um alerta;
![Page 10: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/10.jpg)
Classificação - Método Baseado em Conhecimento• Vantagens:
– Baixo número de alertas falsos;
• Desvantagens:– Só detecta ataques conhecidos;– Dificuldade de manutenção;
![Page 11: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/11.jpg)
Classificação - Método Baseado em Conhecimento• Análise de assinaturas:
– Existe uma base de assinaturas;– Assinaturas são definições de ataques;– Compara os eventos com a base de assinaturas;– Ex.:
• “Comunicação da porta 80 TCP”
• “Acesso ao arquivo de senhas”
• “Acesso à tabela de salários”
![Page 12: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/12.jpg)
Classificação – Segundo o Alvo
• Baseado em Host:– Monitora as informações do host em que está
instalado;– Fortemente relacionado com o SO;– Trabalha com processos, usuários, arquivos e
diretórios;
![Page 13: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/13.jpg)
Classificação – Segundo o Alvo
• Baseado em Rede:– Monitora as informações da rede em que está
instalado;– Está fortemente relacionado com os protocolos;– Trabalha com endereços IP, portas TCP/UCP;
![Page 14: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/14.jpg)
Classificação – Segundo o Alvo
• Baseado em Aplicação:– Monitora as informações de uma aplicação
específica;– Está fortemente relacionado com a natureza da
aplicação;• Banco de Dados ou Sistema Comercial;
– Trabalha com tabelas, telas, funções;
![Page 15: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/15.jpg)
Modelos de Arquitetura
• Existem diversos tipos de IDSs;
• Não possuem um padrão quanto à sua implementação;
• Modelos visam estabelecer um padrão de arquitetura para os IDSs;
![Page 16: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/16.jpg)
Modelos de Arquitetura - IDWG
Fonte deDados Sensor
Sensor Analisador
Operador
Gerenciador
Administrador Política de Segurança
Evento
Atividade
Atividade
Evento Notificação
Alerta
RESPOSTA
![Page 17: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/17.jpg)
IDS Snort
• Um dos IDSs mais populares;
• Classificação:– Método de Detecção: Análise de Assinaturas;– Alvo: Rede;
• Possui uma grande base de assinaturas– Mais de 2000 assinaturas;
![Page 18: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/18.jpg)
IDS Snort
• Disponível para Windows e Unix;
• Realiza a captura de pacotes de rede;
• Compara cabeçalhos e dados com as assinaturas;– Faz log ou gera alertas;
![Page 19: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/19.jpg)
IDS Snort - Atributos da Regra
• Atributos básicos:– Ação: log, alert ou pass;– Protocolo: IP, TCP, UDP, ICMP, Any;– Endereço Origem/Destino: Home_Net,
External_Net, Any, End. IP;– Porta Origem/Destino: Any, número da porta;– Msg: Texto descritivo;
![Page 20: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/20.jpg)
IDS Snort – Exemplos de Regras
• alert icmp $HOME_NET any -> $HOME_NET any (msg:"Qualquer tipo de trafego ICMP foi gerado.");
• alert tcp $HOME_NET 146 -> $HOME_NET 1024 (msg:“Backdoor Activity“; content:”WHATISIT”; reference:cve,CAN-2002-0013; sid:1415; rev:2; classtype:backdoor;);
![Page 21: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/21.jpg)
IDS Snort - Flexresp
• Permite que o Snort envie respostas;
• Atua em conexões TCP e mensagens ICMP;
• Resposta adicionada na regra: – resp:<resp_modifier>[,<resp_modifier>...]
![Page 22: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/22.jpg)
IDS Snort - Flexresp
• Resp_modifier pode ser:– rst_snd: envia TCP_RST para origem;
– rst_rcv: envia TCP_RST para destino;
– rst_all: envia TCP_RST para ambos;
– icmp_net: envia rede desconhecida p/ origem;
– icmp_host: envia host desconhecido p/ origem;
– icmp_port: envia porta desconhecida p/ origem;
– icmp_all: envia todas as opções acima p/ origem;
![Page 23: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/23.jpg)
IDS Snort - Flexresp
![Page 24: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/24.jpg)
IDS Snort – Modo Sniffer
• Apenas exibe pacotes monitorados;
• ./snort –v: exibe IP,TCP,UDP e ICMP;
• ./snort –vd: exibe dados da aplicação;
• ./snort –vde: exibe informações de enlace;
![Page 25: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/25.jpg)
IDS Snort – Modo Log
• Grava informações monitoradas em log;
• ./snort -dev -l ./log: especifica o local do log;
![Page 26: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/26.jpg)
IDS Snort – Modo IDS
• Testa regras e gera alertas;
• É necessário informar o arquivo de configurações;
• ./snort -dev -l ./log -c snort.conf;
![Page 27: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/27.jpg)
IDS Snort – Modo IDS
Snort.conf:
• Definição de variáveis para assinaturas;– var FTP_Ports 20 21
• Arquivos de assinaturas;– include $RULE_PATH/tftp.rules– include $RULE_PATH/icmp.rules
![Page 28: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/28.jpg)
IDS Snort - Execução
![Page 29: 1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;](https://reader036.fdocumentos.tips/reader036/viewer/2022062312/552fc154497959413d8e4c07/html5/thumbnails/29.jpg)
IDS Snort - Execução
• Exemplo de Alerta gerado;
• Alguém deve ler os alertas;
• Ferramentas auxiliares: consoles;