Seminário:Network Defense Tools

Osmany Barros de Freitas

obf@cin.ufpe.br

• Motivação• Tipos de Defesa• Prevenção de Intrusos

– Firewall– Traffic Shaping

• Detecção de Intrusos– Tripwire– HijackThis– Nessus

• Referências

Roteiro

• Devido ao grande alarme de ataques e invasões de vândalos, muitas pessoas receiam deixar seus computadores diretamente ligados à internet

Motivação

• Administrar uma rede segura nunca foi tão desafiador

• Defesas Externas– IPS, IDS

• Proteger a rede e os hosts• Manter ameaças externas longe da rede interna

• Defesas Internas – Anti-Vírus, Anti-Spyware

• Proteger os hosts

Tipos de Defesas

IDS

• Sistema de Detecção de Intruso ( Passivo)– Sistema utilizado para manipular tráfegos

maliciosos que não são detectados por um firewall convencional.

• Vulnerabilidades no sistema• Elevação de privilégios• Login não autorizado• Malware

• Sistema de Prevenção de Intruso(Reativo)– Sistema que pratica o controle de acesso

protegendo computadores de exploração. Bastante similar ao IDS, mas além de detectar tráfego suspeito, é capaz de tratá-lo.

– Os IPS´s são usados para compor os sistemas de Firewall

IPS

• Sistema de Detecção de Intruso– Apenas grava logs registrando atividades

suspeitas

• Sistema de Prevenção de Intruso– Reage mediante uma situação adversa

Ou seja...

Prevenção de IntrusosPrevenção de Intrusos

Firewall

• Sistema que aplica políticas de segurança para restringir passagem apenas de tráfego autorizado

• Cria um perímetro de defesa para proteger a rede interna

• Funcionamento Básico

• Age como uma barreira que controla o tráfego entre duas redes.

Firewall

Firewall Rede Local Internet

• Permite criar um ponto de controle único, impedindo acessos não autorizados e recusando serviços e dados vulneráveis saiam da rede

• Monitorar a rede, alertas de invasão em apenas um ponto da rede

Firewall - Vantagens

• Manipulação maliciosa de dados por usuários internos

• Não impede proliferação de vírus

• Ataques acionados por dados que são recebidos via e-mail, por exemplo, onde sua execução dispara alterações em arquivos de segurança do sistema, tornando-o vulnerável

Firewall - Limitações

Firewall - Windows

http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php

• Symantec Security Check– http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym

• Audit My PC Firewall Test– http://www.auditmypc.com/firewall-test.asp

• Gibson Research Corporation-Internet Vulnerability Test– https://www.grc.com/x/ne.dll?bh0bkyd2

• PC Flank's tests– http://www.pcflank.com/about.htm

• HackerWatch firewall tests– http://www.hackerwatch.org/probe/

• Hacker Whacker free tests– http://theta.hackerwhacker.com/freetools.php

• Look 'n' Stop - Internet security Test – http://www.soft4ever.com/security_test/En/

Firewall - Testes na Web

• Técnica para controlar o tráfego na rede provendo otimização e garantia de performance

• Bastante utilizado por provedores de acesso para melhoria de seus serviços

Traffic Shaping

• O Firewall– Libera ou bloquea o tráfego

• Traffic Shaping– Limita, condiciona o tráfego

• Classificação• Filas • Políticas de esforço• QoS

Traffic Shaping

Traffic Shaping

• Como controlar o tráfego de compartilhadores P2P ?

• Clasifica e analiza o tráfego– Classificando IP e porta

• Controla Tráfego – Selecionando faixas de banda para classes

• Monitora performance da rede– Coleta dados e aplica políticas

Traffic Shaping

Exemplo:Exemplo:Firewall – Traffic ShapingFirewall – Traffic Shaping

• O Linux possui um Framework em seu Kernel funcionalidades de controle de pacotes que permitem a configuração de Firewall.

• Nas versões até 2.2 do Kernel é chamado de ipchains, mas a partir da 2.4 é chamado de Netfilter (iptables )

Firewall - Linux

• Vamos mostrar como é possível configurar um Firewall utilizando as linhas de comando para configurar os módulos do Kernel

Exemplo - Firewall

• Os tipos de tráfego permitidos serão agrupados em 4 grupos:

Exemplo: Firewall Linux

ICMPDNSTCP ( tráfego comum )

Email

P2P

WWW ( http )

Grupo 1

Grupo 2

Grupo 3

Grupo 4

• Alterando as configurações do kernel do linux, é possível, com poucas instruções, configurar seu firewall e aplicar técnicas de Traffic Shaping.

• Para isso utilizamos algumas linhas de comando para montar um script que descreve a configuração do nosso firewall

Exemplo: Firewall Linux

# Limpa as regras anteriores/sbin/ipchains -F input/sbin/ipchains -F output/sbin/ipchains -F forward

# Bloquea todo acesso/sbin/ipchains -P input DENY/sbin/ipchains -P output DENY/sbin/ipchains -P forward DENY

# Permite tráfego icmp e marca como grupo 1/sbin/ipchains -A input -p ICMP -i ppp+ -j ACCEPT -m 1/sbin/ipchains -A output -p ICMP -i ppp+ -j ACCEPT -m 1/sbin/ipchains -A input -y -p tcp -i ppp+ -j ACCEPT -m 1

# Libera tráfego de email e marca como grupo 2/sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 smtp -d 0/0 –j ACCEPT -m 2/sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 pop3 -d 0/0 –j ACCEPT -m 2

# Configura acesso p2p na porta 6699 e marca como grupo 3/sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 6699 -d 0/0 –j ACCEPT -m 3/sbin/ipchains -A input -p tcp -i ppp+ -s 0/0 -d 0/0 6699 –j ACCEPT -m 3/sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 nntp -d 0/0 –j ACCEPT -m 3

# Permite acesso www e https como grupo 4/sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 www -d 0/0 –j ACCEPT -m 4/sbin/ipchains -A input ! -y -p tcp -i ppp+ -s 0/0 https -d 0/0 –j ACCEPT -m 4

Exemplo: Firewall Linux

• Normalmente o TCP/IP no Linux tenta dividir a largura de banda com todas as conexões existentes.– Significa que se houver 49 conexões P2P e 1

para web, esta terá apenas 2% da banda.

• Com Traffic Shaping podemos organizar essa distribuição do TCP/IP

Exemplo: Traffic Shaping

• Esse controle concede proteção contra ataques DoS, uma vez que firewall simples não protege contra SYN floods e ICMP floods.

Importante: Esse controle não evita que o ataque seja efetuado, mas diminui os estragos provocados pelo mesmo

Exemplo: Traffic Shaping

Exemplo: Traffic Shaping

70% HTTP/HTTPS

20% SMTP/POP3

5% P2P

5% ICMP/TCP-SYN

• A figura ilustra o comportamento que queremos definir no nosso exemplo:

• Primeiro Grupo: ICMP, TCP-SYN, DNS receberá 5% da banda total (64*0.05=3.2):

add_class 10:1 10:100 3.2kbit 0.32kbit 1 bounded • Segundo grupo SMTP,POP3 utilizará 20% do total da banda

add_class 10:1 10:200 12.8kbit 1.28kbit 2

• Terceiro grupo: P2P terá direito a 5% da banda

add_class 10:1 10:300 3.2kbit 0.32kbit 3

• Finalmente o quarto grupo: Http / Https receberá 70% de banda

add_class 10:1 10:400 44.8kbit 4.48kbit 4

Exemplo: Traffic Shaping

Traffic Shaping - Firewall

• Muitos programas gráficos para Linux transcrevem em comandos, como os mostrados no exemplo, a configuração definida pelo usuário via interface

Detecção de IntrusosDetecção de Intrusos

Detecção de Instrusos

• Analisam os pacotes da rede comparando-os com assinaturas já prontas de ataque

• Monitoram arquivos dos sistema em busca de modificações suspeitas

• É capaz de trazer informações da rede como:– Quantas tentativas de ataques sofremos por dia;– Qual tipo de ataque foi usado;– Qual a origem dos ataques;

Classificação de IDS

• NIDS - Sistemas de Detecção de Intrusão de Rede– Os ataques são capturados e analisados

através de pacotes da rede– Monitoram múltiplas estações através de

sensores espalhados pela rede

– Dificuldade pra processar dados em grandes redes e dados criptografados

Classificação de IDS

• HIDS - Sistemas de Detecção de Intrusão de Host – Operam sobre informações coletadas em

computadores individuais– Por operar diretamente nas estações, é

capaz de ver as conseqüências do ataque

– Porém requer que cada máquina seja configurada e não detecta ataques em outras estações

Ataque Padrão

• O invasor:– Obtém acesso ao sistema– Adquire acesso root– Modifica o sistema pra instalar backdoor– Usa o backdoor para futuras atividades– Apaga rastros ( possivelmente )

Tripwire

• Basea-se em guardar informações sobre a estrutura dos arquivos no sistema.

• Realiza comparações com uma base de dados e reporta problemas se houver diferenças

Tripwire

Hijack This

• Programa que verifica processos ativos e entradas suspeitas no Windows, ajudando a identificar malwares em geral

• Através dele é gerado um log que possibilita identificar

Hijack This• Inicialmente o usuário roda a aplicação

realizando um scan

Hijack This• O log é gerado e salvo num arquivo:

Hijack This

• Analizador de logs gratuito no site do programa:

http://hijackthis.de

Hijack This

• Trecho do resultado da análise do log:

• Observe que qualquer processo suspeito é imediatamente avisado ao usuário

Nessus

• Programa de verificação de falhas/vulnerabilidades de segurança.

• Composto por um cliente e servidor ( este serve para realizar o scan no cliente )

• Ele realiza uma varredura de portas, detectando servidores ativos e simulando invasões para detectar vulnerabilidades

Nessus

• Há 3 níveis de alerta:– O mais grave indica que há uma brecha de

segurança em um servidor ativo da máquina.– O segundo informa que há um serviço

potencialmente inseguro numa determinada porta

– O último nível é apenas aviso mostrando que há um servidor ativo e que está sem falha de segurança

Nessus

• O nessus:– Aponta as falhas

– Oferece uma descrição detalhada da vulnerabilidade

– Aponta uma solução

Nessus

1- Resultado da avaliação

2- Descrição do problema

3- Solução

Referências

• http://en.wikipedia.org/wiki/Main_Page• http://linhadefensiva.uol.com.br/forum• http://www.forum-invasao.com.br• http://www.securityfocus.com/infocus/1285• http://crypto.stanford.edu/cs155/IDSpaper.pdf• http://www.hijackthis.de

• http://www.nessus.org

Obrigado