Ids Seg

Segurana de Redes II
Ivo de Carvalho Peixinho

Intrusion Detection Systems IDS
IDS
Ferramenta capaz de detectar atividade maliciosa
Componentes
Sensores
Engines
Console
Classificaes
Misuse vs Anomaly
Network vs Host
Passive vs Reactive
Faculdade Ruy Barbosa

IDS
Classificao
Detectores de anomalias
(anomaly)
Perfil de atividade normal
Funes estatsticas/Redes
Neurais
Intruso = Variao da
atividade normal
Thresholds
evitar falsos positivos e
falsos negativos

IDS
Classificao dos IDS

Detectores de mal-uso
(misuse - assinaturas)
Uso de padres ou
assinaturas
Tecnologia parecida com a
dos antivrus
Pouco eficiente para
ataques desconhecidos
Tecnologia mais usada
atualmente

IDS
Classificao dos IDS

Host based IDS (HIDS)
Agem em uma estao/servidor especfico
Ficam em background procurando atividade suspeita
System calls, logs de aplicao, modificaes em arquivos, etc
Network based IDS (NIDS)
Agem em algum segmento da rede
Hbrido
Combina as duas abordagens

IDS
Classificao dos IDS

Passivo
Apenas informa aos responsveis
Reativo
Capaz de reprogramar um firewall, ou encerrar a conexo
IPS (Intrusion Prevention Systems)

Ativo
Capaz de impedir que um ataque chegue ao destino

Objetivo
Sistema de deteco de intrusos (IDS)

Network based (NIDS)
Reativo
Baseado em assinaturas
Auto atualizvel (assinaturas)
Funcional
Falsos negativos e falsos positivos
Ferramentas
Snort - NIDS
Oinkmaster Gerenciamento de regras
Guardian Reao com firewall

Snort
Network Intrusion Detection System (NIDS)

Baseado em assinaturas (misuse)
Considerado o 3o melhor IDS do mercado
Network Computing
Open Source
Altamente customizvel
Extensvel
Multiplataforma
Funcionalidades de IPS (snort_inline)
Utiliza a biblioteca PCAP (http://www.tcpdump.org/)
Flexresp (reativo)

Snort - Arquitetura

Snort Arquitetura
Packet Decoder
Obter pacotes das interfaces de rede
Preprocessors
Normalizao
Detection Engine
Compila as regras
Testa o pacote contra as regras
Logging and Alerting System
Gerencia logs e alertas
Output Modules
Envia informaes para arquivos, syslog, sgdb, etc.

Snort Instalao
Pr-requisitos
Libpcap (http://www.tcpdump.org)
Libpcre (http://www.pcre.org)
Mtodos de instalao
Fontes
Binrios (.exe, rpm, deb)
Instalao pelos fontes
Obteno dos fontes compactados (http://www.snort.org)
tar zxvf snort-x.y.z.tar.gz
cd snort-x.y.z
./configure -prefix=/diretorio/de/instalacao
make
make install
Outras opes no configure (./configure -help)

Snort Instalao
Regras
SourceFire VRT Certified (http://www.snort.org/rules/
Regras oficiais do snort.org
Testadas rigorosamente
Inscrio (US$ 195/ms)
Registro (5 dias de atraso)
Verso esttica nos fontes do Snort
Bleeding Snort (http://www.bleedingsnort.org/)
Regras up-to-the-minute
Prov assinaturas rapidamente (preferncia em velocidade a qualidade)
Podem gerar maior quantidade de falsos-positivos/falsos-negativos
Community Rules
Regras submetidas pela comunidade
Avaliao bsica pelo VRT (Vulnerability Research Team)
Local Rules
Arquivo local.rules
Regras personalizadas/locais

Snort Instalao
Instalando regras VRT

Registro no site https://www.snort.org/pub-bin/register.cgi
Envio de senha por e-mail
Download do conjunto de regras registered user
Obteno do oink code
User Preferences
Copiando as regras para o diretrio do Snort
cd /diretorio/do/snort
tar zxvf snortrules-snapshot-CURRENT.tar.gz



Date: Wed, 21 Sep 2005 15:40:30 -0400 (EDT)

From: registration@snort.org
To: ivocarv@cais.rnp.br
Subject: Snort.org Registration Information
Thank you for registering at www.snort.org.

Your Snort account has been successfully created.
Please use the information below to login at www.snort.org.
User Name: ivocarv@cais.rnp.br

Password: xxxxxxxxxxxx
This password was randomly generated so, for security purposes,

we recommend that you change it when you first login. You can
do this at https://www.snort.org/reg-bin/userprefs.cgi
Please enable cookies in your web browser as they are required

for logging into Snort.org.
If you have any trouble logging in, please e-mail snort-site@sourcefire.com.
Thank you,
The Snort Team
www.snort.org

Snort Instalao
Regras bleedingsnort
http://www.bleedingsnort.com/bleeding.rules.tar.gz
cd /caminho/do/snort
tar zxvf bleedind.rules.tar.gz
Configurao mnima
Cpia do arquivo de configurao inicial
cp snort.conf unicode.map *.config /caminho/do/snort
Separa configurao de regras
Parmetros a serem verificados/alterados
RULE_PATH # Colocar caminho completo
Regras bleeding
include $RULE_PATH/bleeding*.rules # um arquivo por linha
Recomendados
bleeding.rules
bleeding-exploit.rules
bleeding-web.rules
bleeding-attack_response.rules
bleeding-dos.rules
bleeding-scan.rules
Prtica 1 Instalao e configurao
mnima do Snort
Snort Comandos bsicos
Modo sniffer
snort v # mostra headers IP/UDP/ICMP
snort vd # mostra dados de aplicao
snort vde # mostra data link layers
Modo de registro de pacotes
snort vde K ascii l <diretrio de log> # armazena no diretrio
indicado
Subdiretrios por IP
-K ascii (verso 2.4)
snort vde K ascii l <log> -h <home net> # especifica a rede
local ex: 192.168.1.1/32
snort l <log> -b # registro em modo binrio (tcpdump)
No necessita de -vbe (registra tudo no modo binrio)

Arquivos binrios (pcap/tcpdump)

Contm informaes completas sobre o pacote
Leitura
tcpdump n X r <arquivo>
snort dve r <arquivo>
Formato
snort.log.<UNIX time> # Data de criao do arquivo
-L <nome do arquivo>
UNIX time
Ex: 1127490021 (snort.log. 1127490021)
Segundos desde o epoch (1970-01-01T00:00:00Z)
Convertendo UNIX time para o formato human readable
perl -e '$temp=localtime <unix time>; print "$temp\n"
http://www.onlineconversion.com/unix_time.htm

Modo NIDS
snort dev l <log> -c snort.conf
Logar pacotes texto desempenho
-v desnecessrio (verbose/display)
Home net definido no arquivo de configurao
snort D c snort.conf i <interface> -l <log> -b L bpf.log
-D modo deamon
-L nome do arquivo contendo os pacotes
-i <int> interface de captura
Executar no boot (rc.local, bootmisc.sh, init.d)
Modo Inline
Integrao com iptables QUEUE (IPS)
Opes extras
-A <tipo> # Formato dos alertas
full (padro), fast, unsock, none, console, cmg
-s # enviar alertas pro syslog

Snort Testando o funcionamento
Nmap
http://www.insecure.org/nmap
Ferramenta de portscan
nmap sT sU O P0 <IP> # Realiza um portscan TCP e UDP na
mquina
Idswakeup
http://www.hsc.fr/ressources/outils/idswakeup/index.html.en
Ferramenta de teste de IDS
idswakeup src dst nb TTL &
IP Origem
IP Destino
Nmero de testes
TTL dos pacotes

Snort Alertas
Coincidncia de um pacote com uma regra especfica ou

condio anormal indicada por algum preprocessador
Indicativo que algo pode estar errado
Falsos positivos
Informa: (formato full)
Regra/preprocessador coincidente
Classificao da regra/prioridade
Timestamp (data e hora)
Endereos e portas de origem e destino
Informaes diversas sobre protocolo de rede e transporte
TTL do pacote, tamanho do pacote, tamanho do cabealho IP, Flags
TCP, nmeros de sequncia e acknowledge, Tamanho da janela,
Tamanho do cabealho de transporte, etc.
Referncias para obter maiores informaes
CVE, securityfocus, whitehats, etc.

Snort Alertas Descrio do alerta

+ Classificao +
Reviso (Revision) prioridade
Timestamp +
IP + portas
[**] [1:2001669:2] BLEEDING-EDGE Web Proxy GET Request [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
09/22-04:09:54.944632 192.168.1.1:64570 -> 192.168.2.33:80
TCP TTL:108 TOS:0x0 ID:17008 IpLen:20 DgmLen:454 DF
***AP*** Seq: 0x478A75AC Ack: 0x4F338167 Win: 0x40B0 TcpLen: 20
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2000-0951]
[Xref => http://www.securityfocus.com/bid/1756]
[Xref => http://www.whitehats.com/info/IDS474]
Cdigo da regra (SID) Referncias
Gerador da regra >2000000 = Bleeding
(GID)
Parmetros de rede Como enviar alertas via email?

e transporte

Snort GID
rules_subsystem 1 # Sistema de regras do snort

tag_subsystem 2 # Pacotes marcados
portscan 100 # Detector de portscan
http_decode 102 # Decodificador de HTTP
bo 105 # Preprocessador Back Orifice
rpc_decode 106 # Preprocessador de RPC
telnet_neg 109 # Decodificador de opes de telnet
unidecode 110 # Decodificador de Unicode
stream4 111 # Preprocessador stream4 (stateful inspection)
arpspoof 112 # Detector de arp spoof
frag2 113 # Preprocessador de fragmentao
decode 116 # Decodificador interno do snort
scan2 117 # Detector de portscan (2)
conversation 118 # Conversao
http_inspect 119 # Preprocessador de inspeo de HTTP
120
flow-portscan 121 # Preprocessador Flow (portscan)
portscan 122
Arquivo generators (/caminho/para/o/snort/rules/generators)

Prtica 2 Execuo do Snort em modo
daemon, incluso no boot do sistema e
testes de funcionamento
Automatizando atualizao das regras Oinkmaster
http://oinkmaster.sourceforge.net/
Script em linguagem perl
Funcionalidades
Atualizao automtica de regras (VRT,Bleeding e Community)
Desabilitar/Habilitar regras e manter aps atualizaes
Modificaes arbitrrias em regras
Prevenir regras de atualizao (regras locais)
Backup das regras antigas
Etc.
Requisitos
Mdulos do perl
Archive::Tar
IO::Zlib
LWP::UserAgent
perl MCPAN e shell
install Archive::Tar
install IO::Zlib
Install LWP::UserAgent

Instalando o Oinkmaster
Download dos fontes

http://ufpr.dl.sourceforge.net/sourceforge/oinkmaster/oinkmaster
-1.2.tar.gz
Mirror do sourceforge
Descompactando em um diretrio temporrio
Copiar oinkmaster.pl para o diretrio de binrios do snort
Copiar oinkmaster.conf para o diretrio de configurao do
snort
Parmetros no oinkmaster.conf
url = http://www.snort.org/pub-bin/oinkmaster.cgi/<oink
code>/snortrules-snapshot-2.4.tar.gz # VRT
url = http://www.bleedingsnort.com/bleeding.rules.tar.gz #
Bleeding
OBS: Oinkmaster > 1.2 permite especificar mais de um url

Oinkmaster Instalao
Testando o funcionamento
Fazer backup das regras (por garantia)
Criar diretrio de backup (ex: rules-backup)
oinkmaster C /caminho/oinkmaster.conf o /caminho/do/snort/rules b
/caminho/do/snort/rules-backup
Loading /usr/local/snort/oinkmaster.conf
Downloading file from http://www.snort.org/pub-bin/oinkmaster.cgi/xxx/snortrules-
snapshot-2.4.tar.gz... done.
Archive successfully downloaded, unpacking... done.
Downloading file from http://www.bleedingsnort.com/bleeding.rules.tar.gz... done.
Archive successfully downloaded, unpacking... done.
Setting up rules structures... done.
Processing downloaded rules... disabled 0, enabled 0, modified 0, total=4828
Setting up rules structures... done.
Comparing new files to the old ones... done.
Creating backup of old rules... saved as rules-backup/rules-backup-20050923-
131044.tar.gz.
Updating rules... done.

Oinkmaster Instalao
Automatizando o processo:
Rodar o oinkmaster
Testar as regras (snort T)
Reiniciar o snort
Shell script no crontab (oinkmaster.sh)
crontab e
0 8 * * * sh /caminho/do/script/oinkmaster.sh
Todo dia 8h da manh

Exemplo de Script - Oinkmaster
#!/bin/sh
INTERFACE=eth0
SNORT_BIN=/usr/local/snort/bin/snort
SNORT_CONF=/usr/local/snort/snort.conf
SNORT_LOG=/usr/local/snort/log
OINKMASTER_BIN=/usr/local/snort/bin/oinkmaster.pl
OINKMASTER_CONF=/usr/local/snort/oinkmaster.conf
RULES_PATH=/usr/local/snort/rules
BACKUP_PATH=/usr/local/snort/rules-backup
$OINKMASTER_BIN -C $OINKMASTER_CONF -o $RULES_PATH -b $BACKUP_PATH

/bin/kill -TERM `cat /var/run/snort_$INTERFACE.pid`
/bin/sleep 2
$SNORT_BIN D c $SNORT_CONF i $INTERFACE -l $SNORT_LOG -b L bpf.log
Como enviar o resultado por email?

Prtica 3 Instalao e configurao
mnima do oinkmaster
Resposta ativa em IDS
Mecanismos de resposta ativa em IDS

Session Sniping
Envio de um pacote TCP RESET para a origem e destino
Necessita conhecer o nmero de seqncia TCP atual
Resposta pode ser tarde demais
Pode ser burlado por um atacante avanado (timing attacks)
Snort FlexResp
Firewall Update
Reconfigurao de um firewall para bloqueio do endereo IP originador
do ataque por um tempo determinado
Tentativa de impedir ataques subsequentes
Necessita conhecer o firewall interface
Resposta pode ser tarde demais
Pode causar problemas no caso de spoofing (DoS attack)
http://online.securityfocus.com/print/infocus/1540

Resposta ativa em IDS Ferramentas
Guardian
Snort_inline (IPS)
SnortSam (http://www.snortsam.net/)
Snort FlexResp
NetSQUID (http://netsquid.tamu.edu/)

Reatividade Guardian
http://www.snort.org/dl/contrib/other_tools/guardian/
Integra snort com alguns firewalls
Ipchains
Iptables (netfilter)
Ipfw (freebsd)
Vantagens
Fcil de instalar e configurar
Extensvel (linguagem perl e shell scripts)
No necessita alterar regras (flexresp)
Permite configurar IPs a serem ignorados
No necessita alterar a sada do snort (arquivo alert)
Desvantagens
Firewall update (DoS)
Pode bloquear hosts legtimos (falsos positivos)
No permite selecionar quais regras causaro bloqueio
No guarda o estado no caso de reincio do processo
Necessita rodar snort na mesma mquina do firewall
Use por sua conta e risco! (you have been warned!)

Instalando o Guardian
Download dos fontes

Descompactao (tar zxvf)
Copiar guardian.pl para o diretrio de binrios
Copiar guardian.conf para o diretrio de arquivos de configurao
Criar scripts guardian_block.sh e guardian_unblock.sh em um
diretrio de binrios no PATH (ex: /usr/bin)
Exemplos no diretrio scripts
chmod +x <scripts>
Criar arquivo de log definido (ex: guardian.log)
Editar guardian.conf
HostGatewayByte
LogFile
AlertFile
IgnoreFile
TimeLimit (segundos)

Guardian Scripts (exemplos)
guardian_block.sh
#!/bin/sh
source=$1
interface=$2
admin=root@dominio.org
/sbin/iptables -I INPUT -s $source -i $interface -j DROP
echo "`whois $1`" | /usr/bin/mail -s "$1 blocked" $admin
guardian_unblock.sh
#!/bin/sh
source=$1
interface=$2
admin=root@dominio.org
/sbin/iptables -D INPUT -s $source -i $interface -j DROP
echo "`whois $1`" | /usr/bin/mail -s "$1 unblocked" $admin

Guardian Instalao
Arquivo guardian.ignore
Endereos que sero ignorados nos bloqueios
Um IP por linha
Colocar no mnimo o loopback (127.0.0.1) e o IP local da mquina
Executando o guardian
guardian.pl c guardian.conf
Testando
nmap / idswakeup
iptables L n (list)
iptables F (flush)
Executando na inicializao
bootmisc.sh, rc.local, init.d

Prtica 4 Instalao, configurao
mnima e testes do Guardian
Snort Avanado Falsos positivos
Alertas gerados em cima de trfego legtimo

Necessita interveno manual
Reatividade pode bloquear conexes legtimas
Como identificar falsos positivos?
Informao do alerta
Regra do Snort associada
Log do pacote associado ao alerta
Conhecimento do administrador
Referncias do alerta
Reproduo da situao
Outros

Snort Regras
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS

(msg:"WEB-PHP directory.php access"; flow:to_server,established;
uricontent:"/directory.php"; reference:bugtraq,4278;
reference:cve,2002-0434; classtype:misc-attack; sid:1816; rev:3;)
Uma regra por linha (mltiplas linhas usando \)

Formato: cabealho (opes)
Cabealho
Ao protocolo IP_origem porta direo IP_destino porta
Opes
Meta-data
Msg, reference, sid, rev, classtype, priority
Payload
Content, uricontent, etc.
Non-payload
Fragoffset, ttl, tos, flow, etc.
Post-detection
Logto, resp, react, etc.
Snort Users Manual 2.4.0

Snort Regras
alert udp $HOME_NET any -> $EXTERNAL_NET 8998 (msg: "BLEEDING-

EDGE VIRUS Sobig.E-F Trojan Site Download Request"; dsize: 8;
content:"|5c bf 01 29 ca 62 eb f1|"; classtype: trojan-activity;
reference:url,securityresponse.symantec.com/avcenter/venc/data/w3
2.sobig.e@mm.html; sid: 2001547; rev:5; )
alert tcp $EXTERNAL_NET 22 -> $HOME_NET any (msg:"EXPLOIT SSH

server banner overflow"; flow:established,from_server;
content:"SSH-"; nocase; isdataat:200,relative; pcre:"/^SSH-
\s[^\n]{200}/ism"; reference:bugtraq,5287; reference:cve,2002-
1059; classtype:misc-attack; sid:1838; rev:8;)
alert tcp any any -> $HTTP_SERVERS $HTTP_PORTS (msg: "BLEEDING-

EDGE Web Proxy GET Request"; flow: to_server,established;
content:"GET http\://"; nocase; depth: 11; classtype: bad-unknown;
sid: 2001669; rev:2; )

Snort Identificando falsos positivos
Onde est o pacote correspondente a um alerta?

snort.log.<timestamp>
Data de criao dos arquivos
tcpdump nXr <arquivo> | more
Mas... no tem um jeito mais fcil?
Desenvolver um script para obter o pacote automaticamente

Identificando falsos positivos - Exemplo
08:14:29.847901 IP 217.69.189.241.62398 > 203.223.38.35.80: P 2095186669:2095186984(315) ack

931030808 win 5840 <nop,nop,timestamp 541747490 4135462>
0x0000: 4500 016f 6a36 4000 3206 5419 d945 bdf1 E..oj6@.2.T..E..
0x0010: cbdf 2623 f3be 0050 7ce2 02ed 377e 6718 ..&#...P|...7~g.
0x0020: 8018 16d0 9685 0000 0101 080a 204a 6922 .............Ji"
0x0030: 003f 1a26 4745 5420 2f72 6f62 6f74 732e .?.&GET./robots.
0x0040: 7478 7420 4854 5450 2f31 2e31 0d0a 5573 txt.HTTP/1.1..Us
0x0050: 6572 2d41 6765 6e74 3a20 4d6f 7a69 6c6c er-Agent:.Mozill
0x0060: 612f 342e 3020 2863 6f6d 7061 7469 626c a/4.0.(compatibl
0x0070: 653b 204d 5349 4520 352e 303b 2057 696e e;.MSIE.5.0;.Win
0x0080: 646f 7773 2039 3529 2056 6f69 6c61 426f dows.95).VoilaBo
0x0090: 7420 4245 5441 2031 2e32 2028 6874 7470 t.BETA.1.2.(http
0x00a0: 3a2f 2f77 7777 2e76 6f69 6c61 2e63 6f6d ://www.voila.com
0x00b0: 2f29 0d0a 486f 7374 3a20 7777 772e 7878 /)..Host:.www.xx
0x00c0: 7878 2e6f 7267 2e62 720d 0a41 6363 6570 xx.org.br..Accep
0x00d0: 743a 202a 2f2a 0d0a 4163 6365 7074 2d43 t:.*/*..Accept-C
0x00e0: 6861 7273 6574 3a20 7769 6e64 6f77 732d harset:.windows-
0x00f0: 3132 3532 3b71 3d31 2e30 2c20 7574 662d 1252;q=1.0,.utf-
0x0100: 383b 713d 312e 302c 2075 7466 2d31 363b 8;q=1.0,.utf-16;
0x0110: 713d 312e 302c 2069 736f 2d38 3835 392d q=1.0,.iso-8859-
0x0120: 313b 713d 302e 362c 202a 3b71 3d30 2e31 1;q=0.6,.*;q=0.1
0x0130: 0d0a 4163 6365 7074 2d45 6e63 6f64 696e ..Accept-Encodin
0x0140: 673a 2067 7a69 702c 2069 6465 6e74 6974 g:.gzip,.identit
0x0150: 792c 202a 3b71 3d30 0d0a 436f 6e6e 6563 y,.*;q=0..Connec
0x0160: 7469 6f6e 3a20 436c 6f73 650d 0a0d 0a tion:.Close....

Identificando falsos positivos
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS

(msg:"WEB-MISC robots.txt access"; flow:to_server,established;
uricontent:"/robots.txt"; nocase; reference:nessus,10302;
classtype:web-application-activity; sid:1852; rev:3;)
[**] [1:1852:3] WEB-MISC robots.txt access [**]

[Classification: access to a potentially vulnerable web application] [Priority: 2]
09/01-11:08:14:29.847901 217.69.189.241:62398 -> 203.223.38.35:80
TCP TTL:52 TOS:0x10 ID:48946 IpLen:20 DgmLen:229 DF
***AP*** Seq: 0x516D8522 Ack: 0xEF056211 Win: 0x5840 TcpLen: 32
TCP Options (3) => NOP NOP TS: 137640487 0
[Xref => http://cgi.nessus.org/plugins/dump.php3?id=10302]


Prtica 5 Identificao de falsos
positivos
Configurao Avanada
Minimizando falsos positivos

Desabilitando regras
Configurando variveis do snort (Ex: Home net)
Colocando o IDS atrs do firewall
Tratamento manual (j visto)
Melhorando a segurana do IDS
Interfaces stealth
Configurao chroot e usurio no privilegiado (-t e u)
Rotao de logs
Configurao dos preprocessadores
Alertas via email/pager/sms/interface web, etc.
Alertas e pacotes em SGDB

Snort Variveis
Arquivo snort.conf
Variveis
var HOME_NET any
var EXTERNAL_NET any
var DNS_SERVERS $HOME_NET
var SMTP_SERVERS $HOME_NET
var HTTP_SERVERS $HOME_NET
var SQL_SERVERS $HOME_NET
var TELNET_SERVERS $HOME_NET
var SNMP_SERVERS $HOME_NET
var HTTP_PORTS 80
var SHELLCODE_PORTS !80
var ORACLE_PORTS 1521
var AIM_SERVERS
[64.12.24.0/23,64.12.28.0/23,64.12.161.0/24,64.12.163.0/24,64.12.200.0
/24,205.188.3.0/24,205.188.5.0/24,205.188.7.0/24,205.188.9.0/24,205.1
88.153.0/24,205.188.179.0/24,205.188.248.0/24]
var RULE_PATH /usr/local/snort/rules

Oinkmaster Gerenciando regras
Arquivo oinkmaster.conf
modifysid
modifysid SID "replacethis" | "withthis"
modifysid SID1, SID2, SID3, ... "replacethis" | "withthis"
modifysid file "replacethis" | "withthis"
modifysid * "replacethis" | "withthis"
modifysid 302 "\$EXTERNAL_NET" | "\$HOME_NET
localsid
localsid SID1, SID2, SID3, ...
localsid 1325
enablesid
enablesid SID1, SID2, SID3, ...
enablesid 1325
disablesid
disablesid SID1, SID2, SID3, ...
disablesid 1
No comentar as regras diretamente (atualizao automtica)

IDS Posicionamento
IDS antes do firewall

Observa TODO o trfego
Maior necessidade de desempenho
Maior possibilidade de falsos positivos
Maior visibilidade da rede (trfego)
Pode detectar ataques ao firewall
Maior quantidade de registros (log)
IDS aps o firewall
Menor quantidade de falsos positivos
Observa apenas o trfego no filtrado pelo firewall
Menor quantidade de registros
Menor necessidade de desempenho
Menor visibilidade da rede (trfego)

Snort Interfaces stealth
ifconfig <int> up
Ex: ifconfig eth0 up
Interface sem endereo IP
Dificulta o acesso ao IDS
Tentativa de evaso/invaso
Impede o acesso remoto dos admins
Interface de gerenciamento
Receive-only ethernet cable
http://www.snort.org/docs/faq/1Q05/node31.html

Interfaces e consoles para Snort
BASE
http://sourceforge.net/projects/secureideas/
ACID
http://acidlab.sourceforge.net/
http://www.cert.org/kb/acid/
SnortCenter
http://users.pandora.be/larc/
IDS Policy Manager
http://www.activeworx.org/programs/idspm/index.htm
IDScenter
http://www.engagesecurity.com/

Criptografia
O que Criptografia:
Encriptao de dados
Segurana na transmisso
Autenticao
Chave
Segredo utilizado para codificar ou decodificar mensagens
Algoritmo
Funo matemtica usada para criptografar e
decriptografar a informao, baseado numa chave.
Tipos
Criptografia de chave assimtrica (RSA)
Criptografia de chave simtrica (DES)
Funes hash one-way

Criptografia
Criptografia
Cincia de gerar e ler mensagens codificadas
(encriptadas).
Prov mecanismos de:
Autenticao Estabelecer a identidade do remetente
e destinatrio da informao.
Integridade Garantir a no alterao dos dados.
Confidencialidade Garantir que ninguem alm do
remetente e do destinatrio so capazes de entender a
informao.

Criptografia
Chaves
Conjunto de bits usado pelo algoritmo de criptografia.
Seu tamanho determina a segurana.
Possibilidade de brute force attacks
Tamanho da chave (bits) Nmero de combinaes
40 240=1.099.511.627.776
56 256=7,205759403793*1016
64 264=1,844674407371*1019

Criptografia
Chaves
Tamanho da chave
Quanto maior, mais seguro
Quanto maior, menor performance
Determinando o tamanho certo
O custo de quebrar a chave tem que ser maior
que o valor da informao protegida

Criptografia
Possibilidades
Assinatura digital
Digital timestamp
Dinheiro eletrnico
Provar o conhecimento de uma informao sem revel-la
Compartilhamento de pedaos de uma chave de forma que
seja necessrio um nmero mnimo de partes para
codificar/decodificar uma mensagem

Criptografia
Algoritmos de criptografia simtricos

Mais simples
Utilizam a mesma chave para encriptar/decriptar
(chave simtrica)
Processo computacional envolvido simples e rpido
Para haver comunicao criptografada, um algoritmo
comum e uma chave so suficientes

Criptografia
Criptografia de Csar
Algoritmo de chave simtrica
Bastante simplista, utilizado na Roma antiga
Funcionamento:
Utiliza uma chave numrica n.
Para cada letra da mensagem, deslocar de n para
frente no alfabeto, a partir da letra em questo
Substituir a letra anterior pela deslocada
Para reverter, basta deslocar para trs
Algoritmo fcil de ser quebrado por tentativa e
erro

Criptografia
Algoritmos simtricos
Data Encryption Standard (DES)
3DES (Triple DES)
Rivest Cipher 4 (RC-4)
International Data Encryption Algorithm (IDEA)

Criptografia
Data Encryption Standard (DES)

Algoritmo mais usado para criptografia simtrica
Opera em blocos de mensagem de 64 bits
Utiliza normalmente chaves de 64bits
56 bits randmicos
8 bits de paridade (um para cada 7 bits)
Normalmente adiciona elementos randmicos nas mensagens

Criptografia
3DES Triple DES

Variao do algoritmo DES
Torna ataques forca bruta mais difceis
Utiliza duas ou trs chaves diferentes para dificultar a quebra da
chave
Assim como o DES, o 3DES de domnio pblico

Criptografia
IDEA
Desenvolvido para substituir o DES
Opera em blocos de 64 bits
Utiliza chaves de 128 bits
Desenvolvido para ser eficiente tanto em implementaes de
software e de hardware
Algoritmo patenteado
Requer licena para uso comercial

Criptografia
Algoritmos simtricos
Vantagens
Rapidez
Possibilidade de ser implementado via hardware
Otimizado para criptografar grandes quantidades de dados
Problemas
Gerao segura de chaves
Distribuio segura de chaves
Mudana peridica de chaves

Criptografia
Algoritmos assimtricos
Utilizam o conceito de par de chaves
Uma chave pblica, disponvel para outros usurios
Uma chave privada, disponvel apenas para o dono do par de chaves
Prov formas de:
Integridade dos dados
Confidencialidade dos dados
Autenticao do remetente

Criptografia
Algoritmos assimtricos
Ron Rivest, Adi Shamir e Leonard Adleman (RSA)
El Gamal

Criptografia
Funes HASH
Funes que transformam uma mensagem de tamanho
arbitrrio em uma sada de tamanho fixo.
Caractersticas
Consistncia a mesma entrada sempre causa a mesma
sada
Randmico impossibilidade de deduzir a mensagem original
nico duas mensagens diferentes produzem sadas
diferentes
One-way A sada no reversvel

Criptografia
Funes HASH
Message Digest 4 (MD4)
Desenvolvido por Ron Rivest do MIT
Message Digest 5 (MD5)
Desenvolvido por Ron Rivest do MIT
Baseado no MD4
Processa a entrada em blocos de 512 bits e produz uma sada
de 128 bits.

Criptografia
Funes HASH
Secure Hash Algorithm (SHA)
Criado pelo National Institute of Standards and Technology
(NIST)
Processa a entrada em blocos de 512 e produz uma sada de
160 bits
Necessita de maior processamento que o MD5

Criptografia
Assinaturas digitais
Utiliza os princpios da criptografia assimtrica e hash
Garante a origem e a integridade de um documento
No garante confidencialidade de um documento

Criptografia
Assinaturas Digitais
RSA
Algoritmo de criptografia assimtrica estendido para
suportar assinaturas digitais
DSS
Proposto pelo NIST e baseado no algoritmo El Gamal
Mais rpido que o RSA para gerao de chaves, porm
mais lento para verificao de assinaturas

Criptografia
Possibilidades
Assinatura digital
Digital timestamp
Dinheiro eletrnico
Provar o conhecimento de uma informao sem
revel-la
Compartilhamento de pedaos de uma chave de
forma que seja necessrio um nmero mnimo de
partes para codificar/decodificar uma mensagem

Criptografia
Autenticao
A deseja ter certeza de que fala com B
A->B MSG
B->A {MSG} Chave Priv. B
B pode estar criptografando algo que permita a A descobrir
a sua chave privada
Uso de uma funo hash para computar um digest
Ex: MD5
Difcil de reverter
Dificil de achar outra mensagem que resulte no mesmo
digest

Criptografia
Autenticao
Mtodo revisado
A->B MSG
B->A {Digest(MSG)} Chave Priv. B
Ainda assim B est criptografando dados gerados por A
A->B (B voce ?)
B->A (Sim eu sou B){Digest(Sim eu sou B)} Chave Priv. B
Qualquer um pode dizer que B bastando ter um par
de chaves

Criptografia
Autenticao
Certificados
Nome da entidade certificadora
Nome do sujeito certificado
Chave pblica do sujeito
Mtodo com certificado
A->B (B voce ?)
B->A (Sim eu sou B), certificado de B
A->B (Ento prove !!!)

Criptografia
Usando um algoritmo simtrico

Maior eficincia
A->B {segredo} Chave Publ. B
B->A {MSG} Chave Secreta
Man in the Middle
Pode alterar mensagens mesmo sem conhecimento das
chaves
MAC - Message Authentication Code
MAC := Digest[ mensagem, segredo]
Chances de 1 em 18,446,744,073,709,551,616

Criptografia
Protocolo Revisado
A->B (B voce ?)
B->A (Sim eu sou B), certificado de B
A->B (Ento prove !!!)
A->B {segredo} Chave Publ. B
B->A {MSG,MAC} Chave Secreta
Ainda assim alguem pode gravar e repetir
Introduo de elementos randomicos

Criptografia
Gerenciamento de chaves
Questo crtica para comunicao segura
Depende de fator humano
Guardar as chaves privadas
Algoritmos robustos para distribuio de
chaves
Podem ser quebrados pelo fator humano

Criptografia
Criao e distribuio de chaves simtricas

Criadas dinamicamente no estabelecimento da
sesso
Necessidade de mtodo seguro para distribuio
Distribuio centralizada por Key Distribution Centers
(KDC)
Ainda existe a necessidade de comunicao segura
entre o cliente e o KDC
Mtodos fsicos

Criptografia
Algoritmo Diffie-Hellman
Mtodo largamente utilizado para
distribuio de chaves simtricas
Prov mtodos para troca de chaves,
mesmo em canais inseguros
Utilizado por algoritmos simtricos para
troca segura de chaves

Criptografia
Criao e distribuio de chaves pblicas

Gerao do par de chaves feito pelo prprio usurio
Garantia de privacidade da chave privada
Distribuio da chave pblica para outros usurios
Problema: Atestar a autenticidade da chave

Criptografia
Soluo: Certificados digitais

Mensagem assinada digitalmente que atesta a validade de
uma chave pblica
Baseados no padro X.509 do ITU-T
Necessitam de um elemento de confiana conhecido como
entidade certificadora

Criptografia
Certificados digitais
Formato do certificado X.509
Verso
Nmero serial
Algoritmos usados
Identidade do certificador
Validade
Nome do dono da chave
Informao da chave
Assinatura

Criptografia
Certificados Digitais
Entidades certificadoras (CAs)
Entidades confiveis que atestam a validade de um
certificado
responsvel por gerar, distribuir e invalidar
certificados
Assina o certificado com uma chave privada da
entidade, cuja chave pblica largamente difundida

Criptografia
Funcionamento
Elemento B pede certificado digital de A para a entidade
certificadora
A entidade envia o certificado de A, assinado com a chave
privada da CA
Elemento B recebe o certificado e verifica a assinatura usando
a chave pblica da CA
Elemento B agora possui uma chave pblica confivel do
elemento A

Criptografia
O esquema depende da distribuio confivel da
chave pblica da CA
Utilizao de meios out-of-band
Criao de entidades certificadoras
Empresas de confiana

Criptografia
PKI (Public Key Infrastructure)
Estrutura para armazenamento e gerenciamento de
certificados
Conjunto de Hardware, software, pessoal, polticas e
procedimentos necessrios para criar, gerenciar, guardar,
distribuir e invalidar certificados baseados na criptografia
chave-pblica
Autoridade de Registro (AR)

identificao de usurios
validao de requisies de emisso
submisso AC adequada
Autoridade Certificadora (AC):

emisso, manuteno e revogao de certificados
gerncia da Lista de Certificados Revogados (LCR)
gerenciamento seguro das chaves privadas
Criptografia
Usos prticos
Pretty Good Privacy PGP
Criptografia pessoal
SSL Secure Sockets Layer
Criptografia TCP/IP
Servidores WEB
Ipsec
Criptografia IP
VPNs

Criptografia
Secure Socket Layer (SSL)

Protocolo situado entre os protocolos de aplicao e o
TCP/IP
Encriptao de dados
Integridade das mensagens
Autenticao do servidor
Autenticao do cliente
Cria um canal de comunicao seguro entre as partes
Padro aberto submetido ao W3 Consortium

Criptografia
SSL e Firewalls
SSL no pode ser utilizado com Application Level
Proxies
Impede a existncia do man-in-the-middle
Utilizar filtros de pacotes
Utilizar Circuit Level Proxies

Criptografia
Adicionando criptografia a servios existentes

SSH - Secure Shell
Substituto para rsh, rlogin, rcp e telnet
Autenticao por senha tradicional, ou por chave RSA
Possibilita criao de tneis criptografados
Possui X11 Forwarding

Criptografia
Stunnel
Tunnel SSL para diversos servios
Suporte a POP3 e IMAP
Clientes com suporte a POP3 e IMAP sobre SSL
Netscape mail
Outlook Express
Resolve um dos grandes problemas de provedores de
acesso

PGP
Pretty Good Privacy

Software de encriptao pblico, desenvolvido por Phil
Zimmermann
Disponvel para diversas plataformas
Windows, UNIX, MS-DOS, OS/2, Macintosh, Amiga e Atari
Utiliza o conceito de par de chaves
Chave pblica e chave privada
Atualmente na verso 9.0

Prtica 6 Adicionando Criptografia
PGP
Funcionamento do PGP (http://www.pgpi.org/doc/pgpintro)

Usurio gera um par de chaves usando um dos algoritmos
disponveis (DH, RSA, etc)
A chave pblica distribuda livremente, de modo a pessoas
enviarem mensagens para o usurio
A chave privada secreta e pertence apenas ao usurio que
gerou o par

PGP
Criptografando textos

PGP
Criptografando textos
O PGP gera uma chave de sesso simtrica e randmica
O texto criptografado com esta chave
A chave simtrica criptografada com a chave pblica do usurio
O conjunto (texto + chaves) enviado ao usurio

PGP
Decriptografando textos

PGP
Decriptografando textos
Usurio recebe o conjunto texto+chaves
Utiliza sua chave privada para decriptografar a chave simtrica
Utiliza a chave simtrica para decriptografar o texto

PGP
Chaves
Utilizam algoritmos de criptografia
Chaves simtricas
Mesma chave para criptografar e decriptografar
Chaves assimtricas (pblicas e privadas)
Conceito de par de chaves
texto criptografado com a chave pblica decriptografado com a
privada e vice-versa
Derivar a chave privada a partir da pblica invivel
computacionalmente

PGP
Chaves
Preocupar-se com o tamanho da chave
Quanto maior, mais difcil de quebrar, porm mais lento para
criptografar/decriptografar
buscar um meio termo
Chave privada criptografada com uma chave simtrica
Necessita saber uma passphrase para usar
Maior segurana no caso de roubo de chaves
Esqueceu a passphrase, s outra chave

PGP
Assinaturas digitais
Permite atestar a autenticidade de um documento ou arquivo
Utiliza o mesmo conceito de chaves pblicas e privadas
Utiliza funes hash, para acelerar o processo

PGP
Assinando documentos

PGP
Assinando documentos
O PGP gera um hash do texto original
O hash criptografado(assinado) com a chave privada do usurio
O texto e a assinatura so enviados para o destinatrio
O destinatrio usa a chave pblica do usurio para decriptar o
hash
O PGP calcula de novo o hash e compara os dois. Se forem
iguais a assinatura confere

PGP
Como certificar que a chave pblica realmente de quem diz ser?
Man-in-the-middle
Terceiros criando chaves e afirmando serem outras pessoas
Servidores pblicos de chaves
Qualquer um pode publicar chaves como se fosse outra pessoa

PGP
Credencial de uma fonte confivel, que afirma que um
determinado par de chaves de um usurio especfico
Consiste em:
Uma chave pblica
Informaes (Identificao, user ID, etc)
Uma ou mais assinaturas digitais

PGP
A eficincia do certificado depende da confiana de quem assina o
certificado
Distribudos em Certificate Servers ou em PKI (Public Key
Infrastructure)

PGP
PKI (Public Key Infrastructure)
Estrutura para armazenamento e gerenciamento de certificados
Introduo das Certification Authoritys (CAs)
Empresas ou grupos que possuem autorizao para emitir certificados
Cria certificados e assina com a chave privada do CA
Pea chave no PKI, pois um elemento confivel (chave pblica
conhecida)

PGP
Formatos de certificados
PGP
Verso do PGP
Chave pblica do usurio
Informao do usurio
Assinatura digital do usurio - auto-assinatura
perodo de validade
Algoritmo simtrico preferido
CAST, IDEA ou 3-DES

PGP
Certificado PGP

PGP
X.509
Padro internacional do ITU (ITU-T X.509)
Teoricamente portvel, porm extenses foram criadas pelas
empresas, o que dificulta a compatibilidade
Os certificados X.509 s podem ser validados por uma entidade
certificadora (CA)

PGP
Formato do X.509:
verso do X.509
chave pblica do usurio
nmero serial do certificado - definido pela CA
identificador nico do usurio (DN)
CN = Common Name, OU = Organizational unit, O = Organization, C =
Country
Perodo de validade
Identificao nica da CA
Assinatura digital da CA
Algoritmo de assinatura usado

Certificado X.509

PGP
Diferenas entre certificados PGP e X.509

Certificados PGP podem ser criados por qualquer um. Os X.509
somente por entidades certificadoras
X.509 suporta apenas um nome para o dono da chave
X.509 suporta apenas uma assinatura digital para validar a
autenticidade da chave

PGP
Validade e confiana
Garantia que um certificado pertence ao suposto dono
No PGP possvel um usurio assinar uma chave, como prova que
seu certificado foi checado como vlido
No modelo X.509, a CA uma entidade em que todo mundo
confia. Nenhum certificado vlido se no for assinado por uma
CA de confiana

PGP
Checando a validade
Fingerprints
hash do certificado que pode ser conferido (por telefone, por exemplo)
Confiana na CA
CA garante que validou o certificado
Verificar validade do certificado e se ele no foi revogado

PGP
Estabelecendo confiana
meta-introducers
Delega autoridade de confiana para terceiros (trusted introducers)
Conhecidos como root-CAs no modelo X.509
trusted introducers
So capazes de validar chaves
No so capazes de delegar confiana
Conhecidos como subordinate CAs no X.509

PGP
Estabelecendo confiana

PGP
Revogao de certificados
Os certificados no valem para sempre, normalmente eles
possuem tempo de vida restrito
Em casos especiais, necessrio invalidar um certificado por
algum motivo
Nestes casos, a CA pode revogar o certificado
As CAs mantm uma lista de certificados Revogados

Prtica 8 - PGP
Referncias
Livros
Practical Unix & Internet Security
Simson Garfinkel and Gene Spafford
OReilly & Associates
Building Internet Firewalls
D. Brent Chapman and Elizabeth D. Zwicky
OReilly & Associates
Designing Network Security
Merike Kaeo
Cisco Press
Applied Cryptography: Protocols, Algorithms, and Source Code in
C
Bruce Schneier

Referncias
URLs
Snort: http://www.snort.org
Bleeding-snort: http://www.bleedingsnort.com/
Oinkmaster: http://oinkmaster.sourceforge.net/
Tcpdump/Libpcap: http://www.tcpdump.org/
Nmap: http://www.insecure.org/nmap
Idswakeup:
http://www.hsc.fr/ressources/outils/idswakeup/index.html.en
Snort Users Manual 2.4.0

Referncias
Understanding IDS Active Response Mechanism:

http://online.securityfocus.com/print/infocus/1540
Network Intrusion Detection An Analysts Handbook (ISBN 0-7357-

0868-1)

Ids Seg

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Ids Seg

Uploaded by

Copyright:

Available Formats

Segurana de Redes II

Ivo de Carvalho Peixinho

Intrusion Detection Systems IDS

Faculdade Ruy Barbosa

Faculdade Ruy Barbosa

Classificao dos IDS

Faculdade Ruy Barbosa

Classificao dos IDS

Faculdade Ruy Barbosa

Classificao dos IDS

IPS (Intrusion Prevention Systems)

Faculdade Ruy Barbosa

Sistema de deteco de intrusos (IDS)

Faculdade Ruy Barbosa

Network Intrusion Detection System (NIDS)

Faculdade Ruy Barbosa

Faculdade Ruy Barbosa

Faculdade Ruy Barbosa

Faculdade Ruy Barbosa

Faculdade Ruy Barbosa

Instalando regras VRT

Faculdade Ruy Barbosa

Faculdade Ruy Barbosa

Faculdade Ruy Barbosa

Date: Wed, 21 Sep 2005 15:40:30 -0400 (EDT)

Thank you for registering at www.snort.org.

User Name: ivocarv@cais.rnp.br

This password was randomly generated so, for security purposes,

Please enable cookies in your web browser as they are required

If you have any trouble logging in, please e-mail snort-site@sourcefire.com.

Faculdade Ruy Barbosa

Snort Comandos bsicos

Faculdade Ruy Barbosa

Snort Comandos bsicos

Arquivos binrios (pcap/tcpdump)

Faculdade Ruy Barbosa

Snort Comandos bsicos

Faculdade Ruy Barbosa

Snort Testando o funcionamento

Faculdade Ruy Barbosa

Coincidncia de um pacote com uma regra especfica ou

Faculdade Ruy Barbosa

Snort Alertas Descrio do alerta

Parmetros de rede Como enviar alertas via email?

Faculdade Ruy Barbosa

rules_subsystem 1 # Sistema de regras do snort

Arquivo generators (/caminho/para/o/snort/rules/generators)

Faculdade Ruy Barbosa

Automatizando atualizao das regras Oinkmaster

Faculdade Ruy Barbosa

Download dos fontes

Faculdade Ruy Barbosa

Faculdade Ruy Barbosa

Faculdade Ruy Barbosa

Exemplo de Script - Oinkmaster

$OINKMASTER_BIN -C $OINKMASTER_CONF -o $RULES_PATH -b $BACKUP_PATH

Como enviar o resultado por email?

Faculdade Ruy Barbosa

Resposta ativa em IDS

Mecanismos de resposta ativa em IDS

Faculdade Ruy Barbosa

Resposta ativa em IDS Ferramentas

Faculdade Ruy Barbosa

[] [1:1852:3] WEB-MISC robots.txt access []