IDS IPS e Entropia

FUNDAO DE APOIO ESCOLA TCNICA DO ESTADO DO RIO DE JANEIRO INSTITUTO SUPERIOR DE TECNOLOGIA EM CINCIA DA COMPUTAO LABORATRIO NACIONAL DE COMPUTAO
O CIENTFICA
SAULO VITOR BORBA EVANGELISTA
SISTEMAS DE DETECO DE INTRUSOS E SISTEMAS DE PREVENO DE INTRUSOS: PRINCPIOS E APLICAO DE ENTROPIA
PETRPOLIS 2008
Trabalho de concluso de curso apresentado ao Instituto Superior de Tecnologia IST, como requisito parcial para obteno de ttulo de tecnlogo em Tecnologia da Informao e da Comunicao.
ORIENTADOR: Prof. Fbio Borges
PETRPOLIS 2008

Trabalho de concluso de curso apresentado ao Instituto Superior de Tecnologia IST, como requisito parcial para obteno de ttulo de tecnlogo em Tecnologia da Informao e da Comunicao.
Aprovado em
de
de 2008
BANCA EXAMINADORA
______________________________________________ Prof. Fbio Borges de Oliveira Laboratrio Nacional de Computao Cientfica LNCC
_______________________________________________ Prof. Wagner Vieira Leo Laboratrio Nacional de Computao Cientfica LNCC
_______________________________________________ Prof. Paulo Cabral Filho Laboratrio Nacional de Computao Cientfica LNCC
_______________________________________________ Prof. Luis Rodrigo Oliveira Gonalves Laboratrio Nacional de Computao Cientfica LNCC
PETRPOLIS 2008 3
minha famlia que muito me incentivou para concluso deste trabalho. 4
Agradecimentos
Ao Professores Fbio Borges, Wagner Vieira, Paulo Cabral e Luis Rodrigo; Aos Professores que tambm contriburam para minha formao e s pessoas que de alguma maneira ajudaram para concluso deste trabalho.
Quando Crbero, a mais vil das bestas, nos descobriu, a boca escancarou, exibindo os dentes e outros membros, raivoso, agitado. Dante Alighieri, Comdia. A divina
Resumo A finalidade de um Sistema de Deteco de Intrusos detectar uma invaso e a de um Sistema de Preveno de Intrusos de detectar e bloquear uma invaso. Para implementao de um sistema de deteco encontramos algumas dificuldades como os conflitos gerados com outros meios de segurana como criptografia e redes com switches. Existem hoje no mercado vrios programas de deteco de intrusos, tais como o Snort, programa confivel e de fcil instalao, e equipamentos de preveno de intrusos como os Appliances. Um novo conceito est sendo estudado para novas implementaes mais eficazes para a deteco de intrusos, que a introduo de Entropia em sistemas capazes de detectar intrusos, onde a Entropia calculada para medir os nveis de distribuio de trfego e assim analisar se h alguma anomalia no trafego de rede.
Palavras-chaves Sistemas de Deteco de Intrusos, Sistemas de Preveno de Intrusos, Snort, Appliances, Entropia.
Abstract The purpose of an Intrusion Detection System is to detect an invasion and a system of Intrusion Prevention is to detect and block an invasion. To implement a system to detect find some difficulties as the conflicts generated by other means as security such encryption and networks with switches. There are various programs on the market today for detecting intruders, such as Snort, reliable and easy to program installation, and equipment for preventing intruders such as appliances. A new concept is being studied for new deployments more effective for detecting intruders, that is the introduction of entropy in systems that can detect intruders, where the entropy is calculated to measure the levels of distribution of traffic and thus examine whether there is an anomaly in the traffic network.
ndice 1 Introduo ..................................................................................................................... 11
Camadas de Rede e Protocolos..................................................................................... 12 2.1 2.2 Modelo OSI ........................................................................................................... 12 Modelo TCP/IP ..................................................................................................... 15
IDS e IPS - Comparativo .............................................................................................. 17 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 3.10 3.11 3.12 3.13 3.14 Intrusos ................................................................................................................. 17 Tcnicas de Intruso............................................................................................. 17 O que IDS? ........................................................................................................ 18 O que IPS? ......................................................................................................... 19 Terminologia referente a IDS/IPS ........................................................................ 19 Por que usar um IDS? .......................................................................................... 20 IDS - Funcionamento e composio ..................................................................... 20 Estratgias para IDS ............................................................................................ 21 Tipos de IDS ......................................................................................................... 22 Tipos de IPS .......................................................................................................... 24 Implementao de um IDS.................................................................................... 24 IDS - Servios ....................................................................................................... 25 Problemas comuns com IDS/IPS .......................................................................... 26 Implementao na rede ........................................................................................ 27
Desafios para um IDS ................................................................................................... 29 4.1 4.2 4.3 4.4 4.5 IDS x SSL, IPSec................................................................................................... 29 IDS em redes com switches .................................................................................. 32 IDS em redes de alta velocidade .......................................................................... 35 Distributed Denial of Service (DDoS) ................................................................. 36 IDS x Firewalls ..................................................................................................... 46
Segunda Lei da Termodinmica e Entropia ................................................................. 50 5.1 5.2 Relao entre a Segunda Lei da Termodinmica e a Entropia............................ 50 A Segunda Lei da Termodinmica e a Entropia Conceitos............................... 51
6 Entropia No-Extensiva de Tsallis e sua utilizao na Deteco de Anomalias de Trfego.................................................................................................................................. 54 6.1 6.2 Clculo de Entropia ............................................................................................. 54 Entropia de Shannon e Entropia No-Extensiva de Tsallis ................................. 55
Equipamentos e Programas .......................................................................................... 61 7.1 7.2 7.3 7.4 Snort ..................................................................................................................... 61 Ossec HIDS .......................................................................................................... 69 Appliance .............................................................................................................. 69 HLBR .................................................................................................................... 71
Concluso ..................................................................................................................... 72
10
Introduo
O conceito de Intrusion Detection System (IDS) surgiu nos anos 80 em estudos do
Stanford Research Institute. Conhecido como Project 6169 - Statistical Techniques Development For An Audit Trail System, o projeto utilizava um algoritmo de alta velocidade que analisava os usurios com base nos seus perfis de comportamento.[1] A partir dos IDS surgiu o Intrusion Prevention System (IPS) sistema que alm de detectar ataques, interrompe, e tambm ser mencionado no trabalho. O IDS fornece uma camada extra de proteo para um sistema computacional. Ele auxilia na proteo da rede. Suponhamos que temos uma rede bem montada com firewalls, roteadores e switches colocados em locais bem estudados, pois bem, pode-se achar que temos segurana, mas no bem assim, toda essa tecnologia precisa de configurao e s vezes no so to bem configuradas pelo administrador do sistema. a que entra o IDS para fornecer essa proteo extra de que falamos. Em resumo IDS so ferramentas automatizadas e inteligentes para detectar tentativas de intruso em tempo real e IPS so IDS que atravs de outros mecanismos vo interromper o invasor ou fazer algo para det-lo. O objetivo explicar o que um IDS e tambm mencionar os IPS, dando exemplos dos sistemas disponveis no mercado e fazer uma anlise dos mesmos, e por fim dar nfase na utilizao de Entropia em sistemas de deteco. Na introduo conceitua-se IDS e menciona-se a sua importncia em uma rede de computadores. Dando incio ao trabalho feita uma sucinta abordagem dos protocolos para internet modelo Open Source Interconnection (OSI) e modelo Transmission Control Protocol / Internet Protocol (TCP/IP). Vale salientar que o IDS trabalha em cima do modelo OSI. No desenvolvimento feito um comparativo do conjunto IDS/IPS analisando com mais aprofundamento estes sistemas e abordado funcionamento e composio, implementao e tipos de IDS/IPS. So mostrados os problemas na implementao desses sistemas tais como: IDS com Secure Socket Layer (SSL), redes com switches, redes de alta velocidade e etc. feita a abordagem da Segunda Lei da Termodinmica para o entendimento do conceito de Entropia e mostrado a utilizao de Entropia num IDS. No ltimo captulo o Snort detalhado, IDS muito utilizado devido a sua facilidade e bom desempenho, e feito uma exposio de equipamentos e programas e suas caractersticas, chamando a ateno para os appliances como IPSs.
11
Camadas de Rede e Protocolos

Para falarmos de IDS/IPS torna-se necessrio falarmos dos protocolos de Internet,
como se relacionam e os modelos que formam, pois o IDS vai agir diretamente nas camadas desses modelos. Os protocolos para internet so um grupo de protocolos de comunicao caracterizados como pilhas, que so padres onde a Internet e a maioria das redes funcionam. Existem dois padres para internet mais conhecidos e utilizados. Um o OSI e o outro o TCP/IP, nomeado dessa forma, pois o protocolo TCP e o protocolo IP so os mais importantes. de costume se comparar o modelo OSI com o TCP/IP, mas estes possuem algumas diferenas. O modelo TCP/IP uma forma reduzida do modelo OSI. O primeiro tem cinco camadas e o segundo sete. Portanto, as camadas do modelo OSI no so iguais ao modelo TCP, existem algumas diferenas de funes. O IDS baseado em rede, que ser visto posteriormente, opera sobre camadas de rede do modelo TCP e do modelo OSI, o qual ser explicado a seguir.
2.1
Modelo OSI Para facilitar a comunicao entre computadores foi criado o padro OSI com o
objetivo de que diferentes mquinas funcionando com diversos sistemas pudessem se entender. Cada camada desse modelo tem suas configuraes de regras e protocolos para codificar e decodificar os dados que passam por essas camadas. Para se enviar uma informao os dados comeam pela camada de aplicao e so passados para camadas de baixo, tendo cada camada instrues especificas, at que chegue a camada fsica. Para o recebimento o inverso feito. Este modelo compe-se de sete camadas que so: fsica, enlace, rede, transporte, sesso, apresentao e aplicao.Veja figura 1:
12
Aplicao Apresentao Sesso Transporte Rede Enlace Fsica
Aplicao Apresentao Sesso Transporte Rede Enlace Fsica
0111000110001001000100000111111000101010100010001111110011 Figura 1: Modelo de comunicao OSI. A camada Fsica onde teoricamente os dados esto mais prximos dos impulsos eltricos [2]. 2.1.1 Camada Fsica Camada de mais baixo nvel do protocolo ela quem define as caractersticas tcnicas dos dispositivos eltricos. quem controla a velocidade da transmisso, define as caractersticas eltricas e faz o controle de acesso. Este controle de acesso pode ser: centralizado ou distribudo. No modo centralizado, uma mquina controla o acesso rede, um exemplo seria a topologia estrela. J no modo distribudo todas as mquinas podem fazer o controle de acesso. Um exemplo seria a rede em anel).
2.1.2 Camada de Ligao de dados ou enlace Esta camada detecta e corrige os erros que vieram da camada fsica ordenando os quadros. Faz a transmisso e recepo destes quadros e controla o fluxo de dados. Esta camada tambm trabalha com um protocolo de comunicao. Dentre os existentes temos: LAPB, PPP e NetBios.
13
2.1.3
Camada de Rede Faz o endereamento dos pacotes. Todos os endereos que eram lgicos passam a
ser fsicos. Define rota para que o pacote chegue ao destino fazendo anlise de trfego e definido qual o melhor caminho. Tambm faz a fragmentao de pacotes, controle de congestionamento e sequenciamento de pacotes.
2.1.4
Camada de Transporte Na transmisso esta camada pega os dados enviados pela camada de sesso e divide
em pacotes. Na recepo esta camada pega os pacotes da camada de rede e reconstitui o dado para ser entregue a camada de sesso. Esta camada faz a ligao das camadas de aplicao (nveis 5 a 7) e de nvel fsico (1 a 3). A camada de transporte pode trabalhar em dois modos: orientado a conexo e no orientado a conexo. Um exemplo de protocolo orientado a conexo o TCP e no orientado temos o UDP. O modo orientado a conexo mais confivel, pois, permite integridade e a correta seqncia ou ordenao dos dados. 2.1.5 Camada de Sesso Esta camada permite que aplicaes diferentes em diferentes computadores possam se comunicar. Tambm faz marcaes nos pacotes para que caso a rede tenha problemas de comunicao, os dados sejam transmitidos de onde foram interrompidos. 2.1.6 Camada de Apresentao Faz a converso do formato do dado recebido pela camada de aplicao em um formato entendido pelo protocolo usado. Faz tambm a compactao dos dados e pode trabalhar tambm com algum tipo de criptografia que ser descriptografado e descompactado na camada de apresentao do computador receptor.
2.1.7
Camada de Aplicao
14
Esta camada faz a ligao entre os aplicativos e o protocolo de comunicao utilizado. Por exemplo, entre um aplicativo de e-mail e o protocolo de comunicao responsvel por este servio. 2.2 Modelo TCP/IP O modelo TCP/IP faz a unio de camadas como o caso das camadas de enlace e da camada fsica mudando o nome para interface de rede ou somente fsica ou enlace. Isto por sinal simplifica a entrega dos pacotes visto que a camada fsica define o tamanho dos frames da camada de enlace. O protocolo TCP no tem todos os recursos do modelo OSI, e nem se comunicam diretamente, porm a figura 2 visa apenas mostrar a mudana dos nomes das camadas e a reduo do nmero de camadas no protocolo TCP. Uma das principais diferenas entre esses dois modelos que o TCP no possui criptografia, por isso introduzida uma forma de criptografia extra, o SSL. Aplicao Apresentao Sesso Transporte Rede Enlace Interface de rede Fsica Transporte Rede Aplicao
0111000110001001000100000111111000101010100010001111110011 Figura 2: Modelo de Comunicao TCP/IP, comparativo com modelo OSI. A camada de interface de rede a mais prxima teoricamente, dos impulsos eltricos [2]. Este padro composto de quatro camadas: Aplicao, Transporte, Internet ou Rede e Interface de rede.
15
A camada de Interface de rede utiliza o padro Ethernet, a camada de rede o protocolo IP, a camada de Transporte pode ter muitos padres utilizveis como UDP e TCP, e a camada de aplicao utiliza, por exemplo, os protocolos HTTP (navegao na World Wide Web), FTP (transporte de arquivos), SMTP (envio de email) e SSH (login remoto seguro). Para que seja feita a comunicao entre dois pontos na rede, sempre que os dados passam de uma camada para outra no modelo de protocolo eles so passados com um cabealho que permite a interao ou entendimento entre estas camadas. Por exemplo, os dados da camada zero ou camada de interface de rede iniciam o pacote com o cabealho para a camada um ou camada de rede. Os dados da camada um iniciam o pacote com o cabealho para a camada dois ou camada de transporte e assim sucessivamente. Veja figura 3:
Cabealho Ethernet Camada Interface de Rede Cabealho Ipv4 Camada Rede Cabealho TCP Camada Transporte
Dados Dados Dados

Cabealho Aplicao
Dados
Figura 3: Padro de pilha TCP/IP [2].
16
IDS e IPS - Comparativo

Neste captulo estaremos explicando em conjunto IDS com IPS com o objetivo de
esclarecer o entendimento de cada sistema. Estes sistemas sero mostrados tanto no que diz respeito a conceitos, quanto a funcionamento e implementao. Inicialmente segue noes bsicas de intruso para em seguida atingirmos o objetivo do captulo.
3.1
Intrusos Intrusos so os invasores de um sistema e se classificam de trs maneiras: Mascarado (invasor de fora da rede ou sistema): Invasor que no est autorizado a entrar no sistema e o invade para obter privilgios de um usurio legtimo; Infrator (invasor de dentro da rede): um usurio real ou legtimo que no est autorizado a usar determinados recursos, mas os utiliza, ou ento, que est autorizado, mas no os utiliza de forma lcita; Usurio clandestino (invasor de dentro ou de fora da rede): Invasor que toma posse de privilgios de administrador de um sistema para que se esquive de auditorias e controles para acesso ou at mesmo para ludibriar provas auditrias contra este.
3.2
Tcnicas de Intruso O principal objetivo de um intruso aumentar alguns privilgios dentro de um
sistema. Porm, esses privilgios so protegidos por senhas de usurio. Mas se um invasor tem acesso a estas senhas ele pode obter estes privilgios. O administrador mantm essas 17
senhas em um arquivo, por isso necessrio que este esteja bem protegido. Abaixo segue duas maneiras de se proteger esse arquivo de senhas: Funo unidirecional ou no reversvel: A partir da entrada de uma senha o sistema a transforma em um valor de tamanho fixo que no pode ser revertido. Assim, o sistema no necessita de armazenar as senhas, mas somente os valores gerados a partir das mesmas. Controle de acesso: Neste caso se limita ao extremo o acesso ao arquivo de senhas. Agora descreveremos algumas tcnicas que invasores utilizam para a descoberta de senhas: 1. Tentar senhas padro geralmente entregues com o sistema; 2. Tentar senhas curtas; 3. Tentar palavras de dicionrios on-line; 4. Tentar senhas com informaes sobre seus usurios; 5. Tentar nmeros de placa de automveis; 6. Usar Cavalo-de-Tria para ludibriar restries de acesso; 7. Utilizar-se de escutas clandestinas entre acesso remoto e sistemas fixos; At o quinto mtodo podemos ver que so mtodos de tentativas e erros para descoberta de senha, porm so de fcil defesa para os administradores de sistemas. J o sexto item um pouco mais complicado, pois se trata de fazer com que um usurio legtimo instale um Cavalo-de-Tria em sua mquina que far com que o invasor obtenha acesso, por exemplo, a um arquivo de senhas que antes estaria protegido por criptografia, mas que agora est descriptografado, pois um arquivo com privilgios para o usurio. Por fim, o stimo item pode ser resolvido com criptografia do link. As tcnicas de invaso no se baseiam apenas na descoberta de senhas, mas tambm em vrias outras maneiras, tais como sobrecarga de um sistema com envio constante de solicitaes. 3.3 O que IDS? O IDS tem por finalidade detectar uma ameaa ou intruso na rede. Pode se dizer por analogia que o IDS como se fosse um alarme de um carro que soa quando algum abre sua porta.
18
A monitorao e a deteco de intrusos eficientes so to importantes quanto chaves e cadeados em nossas casas, assim como firewalls em nossas redes. Imaginemos que tenhamos um servidor Web conectado a internet e queremos que clientes tenham acesso s pginas de Web. Pois bem, temos que pensar em segurana para no haver alterao por parte de invasores. Um firewall ou sistema de autenticao podero prevenir os acessos sem autorizao, mas s vezes pode ser quebrada a regra do firewall ou do sistema de autenticao. Sendo o IDS um sistema implementado na rede para alertar tentativas de acesso sem autorizao aos computadores, este pode auxiliar ou complementar a segurana de um sistema j implementado com um firewall. 3.4 O que IPS? O IPS complementa um IDS bloqueando a intruso e impedindo um dano maior para a rede. uma ferramenta que detecta e bloqueia o invasor. Como foi dito o IDS como se fosse um alarme de um carro que somente soa quando algum abre sua porta. J o IPS dispara o alarme e tambm trava as rodas para que o invasor no leve o carro. Uma boa forma de se obter segurana em uma rede fazer a preveno de invases. Porm para a instalao de um IPS deve-se levar em conta que temos um sistema limpo, ou seja, no esteja comprometido e deve-se possuir um conhecimento amplo do estado do sistema para que no se tenha problema posterior. Para que o administrador da rede possa tomar alguma atitude quanto a uma invaso, deve-se obter informaes no momento exato da invaso. A partir da deteco, um IPS executar aes para interromper o ataque e evitar ataques futuros. Essas aes podem ser desde o cancelamento de uma conexo at uma reconfigurao do firewall para interromper o ataque. 3.5 Terminologia referente a IDS/IPS Alertas/Eventos um aviso gerado pelo IDS quando este detecta determinada invaso. Este alerta pode ser dado tanto local quanto remotamente. Evaso
19
um ataque ao IDS sem que este detecte o mesmo, uma maneira que se encontra de ludibriar o sistema. Fragmentao Fragmentao uma maneira de dividir os pacotes de tal forma que no ultrapasse o limite da rede. A fragmentao utilizada para a evaso ou tambm em ataques de negao de servio. Assinaturas Assinaturas so ataques conhecidos. Atravs das assinaturas ou regras pode-se gerar os alertas para atividades suspeitas. feita comparao dos dados com as assinaturas e a so gerados os alertas.
3.6
Por que usar um IDS? Podemos nos perguntar por que usar um IDS. A resposta mais direta seria proteger
os dados e a integridade do sistema. Para se ter proteo de integridade quanto a intrusos na Internet, somente senhas e segurana de arquivos no so suficientes. Devemos ter um bom sistema de segurana para a proteo dos dados. No podemos somente entrar na Internet e achar que ningum vai invadir. importante que o sistema previna acessos a arquivos crticos ou bancos de dados de autenticao (como o NT SAM do Windows NT ou o Unix /etc/passwd) exceto por administradores de sistemas autorizados [3]. 3.7 IDS - Funcionamento e composio O IDS faz anlises na rede e no Sistema Operacional, verificando as atividades dos usurios, excesso de conexes, volume de dados, servios de rede e etc. Esses dados so guardados em uma base de dados para que posteriormente de acordo com a configurao do sistema este possa alertar uma intruso ou ameaa. As ferramentas de IDS detectam diversos tipos de situaes tais como: Scans: verifica se h portas do sistema que se encontram abertas;
20
Ataques de comprometimento: o invasor obtm um Shell (terminal) com privilgios de root (superusurio, permite fazer qualquer tipo de alterao no sistema) para explorar vulnerabilidades;
Ataques Denial of Service (DoS): enviado um grande nmero de pacotes para sobrecarregar o desempenho do sistema comprometido [4].
De uma forma geral um IDS composto dos seguintes elementos: Um dispositivo de acumulo de informaes: Esse dispositivo deve ser capaz de colher dados. Por exemplo, ele deve ser capaz de detectar mudanas em um disco rgido, capturar pacotes em uma rede etc; Um mecanismo para monitorao de processos: Um IDS deve ser capaz de monitorar a si mesmo e a rede a qual est protegendo, fazendo verificaes constantes, para que possa enviar informaes para o administrador. O Snort, programa de IDS, pode avisar que ouve um problema na rede atravs de mensagens que no caso seriam enviadas para o arquivo /var/log/messages; Capacidade de armazenamento de informaes: A partir do momento que as informaes foram capturadas pelo dispositivo de acumulo de informaes essas informaes devem ser armazenadas em algum lugar; Dispositivo de controle e comando: No que se diz respeito a controle e comando o IDS deve ser fcil de controlar seu comportamento; Um dispositivo de anlise: Deve-se ter um dispositivo de anlise para o administrador poder analisar seu acervo de dados utilizando um aplicativo.
3.8 3.8.1
Estratgias para IDS Aplicativos IDS baseados em regras ou assinaturas Este tipo de IDS geralmente mais fcil de instalar. Para se ter um IDS baseado em
assinaturas eficiente basta fazer com que o IDS carregue todas essas assinaturas e que se faa uma constante atualizao destas. Assim, o IDS ser capaz de detectar os ataques rede.
21
Essas assinaturas so ataques reais que foram identificados. J uma regra uma linha de cdigo que informa ao IDS sobre determinada assinatura. 3.8.2 Aplicativos IDS baseados em anomalias Esse mtodo bem trabalhoso e no to seguro assim, pois o que feito uma coleta dos dados passados pela rede. O sistema rene informaes da atividade da rede e forma uma base de dados. A partir da o sistema faz comparaes das ocorrncias da rede com essa base de dados e alerta sobre atividades que esto fora do que de costume, ou de normal acontece na rede. No entanto, se torna difcil configurar um sistema especificando o que normal e o que anormal em se tratando de trfego de rede. Pode-se pensar que uma constante deteco de invaso o mais eficaz, porm o problema se fazer anlise de todas essas informaes. Por isso o que se aconselha fazer anlises em intervalos de tempo, ou seja, baseadas em intervalos. Esses intervalos podem ser no horrio que no tiver expediente, e tambm em intervalos aleatrios durante o expediente. Todas essa informaes geradas podem ser gravadas em uma base de dados de arquivos pequenos com alguns Mega Bytes. 3.9 3.9.1 Tipos de IDS Host Based Intrusion Detection System (HIDS) O IDS de Host instalado em determinada mquina para avaliar o prprio host. Analisa os eventos do sistema operacional, eventos de acesso e eventos de aplicao, monitora as entradas, ou qualquer outra parte que represente tentativa de intruso. Bloqueia tambm ataques que no so detectados pelo firewall como, por exemplo, protocolos criptografados. O IDS tambm acusa uma tentativa suspeita como um usurio tentando utilizar algo que ele no tenha permisso. Existem dois tipos de aplicativos IDS baseados em host: Analisadores de eventos (listagem das ocorrncias em uma rede ou num computador): Procura por conexes abertas de rede e monitoram portas do sistema; Analisadores de unidades de disco do sistema: Analisa unidade de disco e outros perifricos do sistema e cria uma base de dados. Essa base de dados como se fosse
22
a situao original do sistema e sempre que ocorrer uma mudana o IDS pode gerar um alerta ou registrar a mudana. 3.9.2 Network Based Intrusion Detection System (NIDS) O NIDS instalado em um segmento de rede onde atravs de uma base de dados faz comparaes necessrias com os pacotes de rede ou ento faz a decodificao e verifica os protocolos de rede. O NIDS verifica os usurios externos no autorizados a entrar na rede, DoS ou roubo de base dados. O IDS baseado em rede opera sobre as camadas de rede do modelo (OSI/RM). Esse tipo aplicativo baseado em rede bem interessante quando se quer analisar o trfego da rede. Um IDS baseado em rede se torna muito mais eficiente e de fcil controle pelo administrador quando se utiliza vrios servidores para aplicao do IDS. Um servidor para captura de dados, outro para monitorao e armazenamento e um para anlise atenderia necessidade de processamento e armazenagem dos dados. O servidor sensor detecta os dados que passam pela rede e os envia para o servidor de armazenagem, este envia para o servidor de anlise o arquivo que contm os pacotes enviados pelo sensor. O servidor de anlise pode ento ler os pacotes onde esto armazenados ou selecionar os eventos da estao de armazenagem. O dispositivo de armazenagem pode deixar todos os eventos prontos para serem enviados atravs de um servidor Web. O servidor para anlise pode ser um servidor Linux com um navegador de Web. O administrador poder utilizar o navegador Web para acessar o servidor Web do dispositivo de armazenamento. O administrador pode ainda utilizar um Secure Shell (SSH) para acessar diretamente os eventos, ou seja, base de dados. Vale salientar que um IDS precisa de muito processamento para seu funcionamento e os arquivos de registros precisam de grande quantidade de espao no disco rgido. Assim deve se levar em considerao, a idia de dividir o trabalho realizado por um IDS em servidores diferentes. 3.9.3 IDS Distribudo Sistema de Deteco de Intrusos Distribudo (SDID)
23
Neste modelo so utilizados sensores NIDS localizado onde se proteja os servidores pblicos e outros sensores analisando os hosts onde a rede teoricamente mais confivel. Todos esses IDS se comunicam diretamente com uma estao de gerenciamento centralizada. Os uploads (envio de dados) dos eventos de ataque podem ser feitos atravs da estao de gerenciamento e armazenados em um banco de dados central. O download (retirada de dados) de assinaturas de ataque so feitos pelos prprios sensores. Cada sensor pode ter regras especificas para atender suas necessidades. A comunicao entre os sensores e o gerenciador pode ser feita atravs de uma rede privada ou atravs da prpria rede existente. Mas neste caso deve ser usada criptografia ou Virtual Private Network (VPN). 3.10 Tipos de IPS Existem dois tipos de sistemas de preveno de intrusos no mercado: 3.10.1 Host-Based (Baseados em host) Os sistemas baseados em host so programas de preveno de intrusos para serem instalados diretamente em computadores;
3.10.2 InLine (Em linha) todo dispositivo de hardware ou software habilitado a detectar e impedir ataques maliciosos, verificando anomalias.
3.11 Implementao de um IDS Alguns fatores so importantes para implementao de um IDS: Poltica de Segurana - Para a implementao de um IDS necessrio uma poltica de segurana abrangente; Anlise de custo - Existem vrios IDS em cdigo aberto, porm para implementao de um IDS com vrios servidores h necessidade de maiores recursos;
24
Pessoal de suporte - necessrio pessoal especfico para implementao, manuteno e anlise do IDS.
3.12 IDS - Servios 3.12.1 Identificao de Trfego Um IDS deve sempre saber de onde veio a invaso, mostrando a porta e o endereo de origem e de destino. A possibilidade de informar todos os detalhes de um pacote que trafega pela rede o elemento mais importante de um sistema IDS que registra o trfego de rede. Esses detalhes sero descritos a seguir: Tipo de protocolo O IDS informar se o pacote UDP, TCP, ICMP e etc; Origem o endereo de IP de origem; Destino o endereo de IP de destino; Porta de origem Caso seja um pacote UDP ou TCP, o aplicativo dir que porta o host de origem utilizou; Porta de destino a porta de host de destino; Checksums (tipo de analisador de integridade) So os checksums que preservam a integridade dos pacotes transmitidos; Nmero de seqncia O IDS informa ordem que os pacotes so gerados atravs dos nmeros de seqncia. Essa ordem pode ser importante para entender a natureza de um ataque; Informaes sobre os pacotes O IDS pode fazer pesquisas nos pacotes e analisar seus contedos.
3.12.2 Aplicao nos registros e definio de limites Um IDS atualizado periodicamente coloca informaes em um arquivo de registro ou em uma base de dados e define limites. Caso esse limite seja excedido o IDS poder enviar um alerta. Um IDS pode armazenar suas informaes em diversos lugares:
25
Arquivos de eventos do sistema Mensagens podem ser enviadas para arquivos de registros j existentes como /var/log/messages e /var/log/security, no Red Hat Linux;
Arquivos de texto simples e diretrios So diretrios e arquivos de textos que funcionam como /var/log/messages, mas que so criados especificamente pelo IDS. Cada novo host detectado poder ser nomeado com o endereo IP deste host. O IDS ento separar os arquivos de acordo com o protocolo especfico;
Base de dados So armazenadas as informaes de maneira lgica e permite que sejam pesquisadas de forma eficiente. Depois de armazenadas essas informaes elas podem ser passadas para um servidor Web e acessadas normalmente com um navegador Web.
Alertas Os IDS trabalham com alertas para chamar a teno dos administradores para uma possvel invaso. Esses alertas podem ser o envio de um evento a um arquivo de registro de alertas, um alerta a um sistema remoto ou o envio de um email.
3.12.3 Configurao do sistema Alguns aplicativos como o PortSentry oferece a possibilidade de reconfigurar o Sistema Operacional ou o firewall em caso de ataque; 3.12.4 Verificao de unidades de disco Possibilidade de se obter uma imagem da rede e do Sistema Operacional e assim enviar alertas quando houver um evento anormal. obtida uma imagem instantnea do sistema de arquivo e aps feita uma comparao com uma outra imagem tirada posteriormente. Aplicativos como o Tripware protegem o sistema contra os Cavalos de Tria que so aplicativos projetados para parecerem legtimos.
3.13 Problemas comuns com IDS/IPS 3.13.1 Falsos Positivos O IDS alerta determinada invaso, mas ela no existe, se trata de um alarme falso;
26
3.13.2 Falsos Negativos O IDS no detecta uma intruso, o sistema acha que o pacote de fluxo normal do sistema; 3.13.3 Desenho da Arquitetura Quando o tamanho da rede dificulta a implantao e controle do combinado IDS/IPS; 3.13.4 Freqentes Updates H necessidade de que todo o sistema esteja atualizado para que se tenha defendido toda a infra-estrutura da rede.
3.14 Implementao na rede de costume colocar um NIDS antes do firewall para impedir que um usurio externo venha conhecer a topologia de rede e um depois do firewall na Zona Desmilitarizada (DMZ) para detectar algum ato que o firewall no tenha detectado. Colocase um tambm para detectar ataques advindos da rede interna e por fim HIDS para servidores de risco, tais como WebServer e servidores de email. Veja figura 4:
27
Figura 4: Modelo de arquitetura com NIDS e HIDS [5].
28
Desafios para um IDS

Existem muitos desafios para um IDS. O projeto ou adaptao de um IDS em
ambientes diversos onde encontramos novas tecnologias de protocolos, tais como SSL e Secure Internet Protocol (IPSec), evolues em infra-estrutura de redes comutadas e implantao de IDS em redes de alta velocidade com, como a tecnologia ATM, so algum deles. Existem tambm, outros problemas ou desafios, como a deteco de Distributed Denial of Service (DDoS) e a utilizao de IDS em conjunto com firewalls. Diante dessa problemtica ser exposto aqui, algumas alternativas de implementao e abordado o tema de forma que o leitor tire concluses se vivel ou no esta implementao.
4.1
IDS x SSL, IPSec Sabe-se que um IDS faz monitoraes tanto nos cabealhos dos pacotes quanto nos
campos de dados. Porm, com a necessidade de sigilo e proteo dos dados que transitam pela rede se torna necessrio o uso de criptografia, o que dificulta a utilizao de IDS. Dados que antes seriam analisados pelo IDS e que poderiam estar sendo alvos de ataques podem vir a ser escondidos devido ao uso da criptografia.
4.1.1
SSL Este protocolo executado entre a camada de transporte e a de aplicao.Veja
figura 5: Aplicao HTTP LDAP IMAP
SSL (SECURE SOCKET LAYER) Transporte Rede Interface de rede TCP IP Ethernet, PPP, Token Ring etc
Figura 5: Localizao do SSL nas camadas do protocolo TCP/IP. A criptografia dos dados do pacote TCP faz com que todo contedo das conexes seja criptografado.
29
Os ataques na camada de aplicao so usados para invaso ou para DoS. Com a criptografia o IDS no ter como registrar o ataque, e nem enviar um pacote TCP RESET para ambos os participantes para terminar a conexo. Tambm no poder interagir com o firewall para que este bloqueie endereos ou portas conforme configurado.
4.1.2
IPSec O IPSec uma extenso do protocolo IP empregado em implementaes VPN. Ele
trabalha com criptografia e assinatura digital. Existem dois modos de funcionamento do IPSec: modo transporte e modo tnel. No modo transporte ele fornece proteo para protocolos de camada superior antecipadamente. J no modo tnel os protocolos so empregados como um tnel de pacotes IP. Existem dois protocolos: o Authentication Header (AH) e o Encapsulating Security Payload (ESP). Um protocolo no modo transporte parecido com o SSL, protegendo somente a poro de dados. J o modo tnel criptografa todo o pacote IP. Veja figura 6 e 7:
IP Header (cabealho)
Payload (dados)
IP Header (original)
IPSec Header
Payload (dados) Encrypted (criptografados)
Figura 6: IPsec no modo de transporte.
IP Header
IPSec Header
IP Header (original)
Payload (dados)
Encrypted (criptografado)
Figura 7: IPSec no modo tnel. O AH prov integridade sem conexo, autenticao de dados, e um servio para preveno de reenvio de pacotes. 30
O protocolo ESP prov criptografia, limitado fluxo de trfego confidencial e ainda as caractersticas do AH. A diferena que o ESP no atua no cabealho dos pacotes. Resumindo: Modo Transporte: protege somente poro de dados; Modo Tnel: protege cabealho e poro de dados; AH: protege cabealho e poro de dados; ESP: protege somente poro de dados
Em um modo mquina a mquina o monitoramento no possvel com IDS baseado em rede para fins de anlise de dados, pois os mesmos estariam criptografados. Veja figura 8.
Figura 8: IPSec mquina a mquina [6].
Uma soluo para o problema colocar o IDS de rede aps o dispositivo IPSec, como mostrado no IPSec gateway-a-gateway na figura 9.
31
Figura 9: IPSec gateway-a-gateway [6].
4.2
IDS em redes com switches O switch um dispositivo que permite a comutao de dados, ou seja, somente o
prprio destinatrio recebe a mensagem, os outros usurios da rede no vem tais dados. Essa medida aumenta em muito o desempenho da rede, porm dificulta a implantao e anlise da rede com um IDS. A seguir ser mostrado trs possibilidades de implementar um IDS em redes comutadas.
4.2.1
PortSPAN Suponhamos que alguns dispositivos de rede tais como servidores e roteadores
estejam ligados a um switch com velocidade baixa, ento se coloca um IDS porta Switched Port Analyzer (SPAN) de alta velocidade recebendo todo o trfego do switch. Assim, toda a rede ser monitorada. Um exemplo de switch que disponibiliza essa possibilidade o switch CataLyst da Cisco.
32
4.2.2
Splitting Wire/Optical Tap A utilizao de um Splitting Tap a colocao de uma escuta para monitorao de
trfego. Uma boa idia a colocao de um hub entre o switch e o equipamento de rede para que seja enviada uma cpia do trfego que passa pelo hub para o IDS. Veja figura 10. Pode se utilizar este recurso tanto para cabos UTP, utilizado em redes Ethernet, como para fibras ticas em redes ATM. Neste caso, pode-se utilizar um dispositivo chamado Optical Tap. Veja figura 11.
Figura 10: Monitorao de pacotes em rede Ethernet, utilizando hubs ou wire tap.[6]
Figura 11: Optical Tap. [6]
33
4.2.3
Port Mirror Esta opo consiste em fazer um espelhamento de uma porta para outra que serve de
monitorao. Esta medida um pouco invivel, pois se coloca apenas um dispositivo por IDS. Porm, o espelhamento de portas (port mirroring) em redes hierrquicas o mais sensato. Veja figura 12. Uma maneira de resolvermos problemas com relao a redes comutadas a instalao de host based. Sabemos que h duas variaes de host based: deteco de anomalia/atividade suspeita e deteco de ataque baseado em rede. interessante anlise hbrida, porm difcil encontrar um produto que faz as duas coisas: deteco de anomalias e trfego de redes.
Figura 12: Switch com port mirror em uma estrutura hierrquica de switches sem port span. [6]
34
4.3
IDS em redes de alta velocidade As redes de alta velocidade se tornam um problema devido dificuldade para
monitorao. Outro problema o tamanho dos pacotes, pois influencia diretamente na anlise pelo IDS. Uma soluo para problemas como estes em sistemas IDS a separao do trfego atravs de switches de balanceamento de trfego para IDS. Esses switches TopLayer podem dividir uma porta Gigabit-Ethernet em vrias portas Fast-Ethernet dividindo o trfego da rede. Veja figura 13:
Figura 13: O trfego entre os switches Gigabit distribudo entre vrios IDS [6].
Deve-se atentar para esse tipo de medida, pois necessrio fazer uma consolidao dos vrios eventos gerados pelos sensores. Hoje em dia, existem vrios ataques advindos dos mais diversos locais com endereo IP diferente visando um objetivo comum. Por isso, utilizando-se um sistema como o proposto acima se torna difcil descobrir esse ataque, pois ele seria diludo no ambiente de rede. Uma outra abordagem analisar somente elementos de interesse do administrador como, por exemplo, roteadores (implementao chamada de Target IDS). Outra opo a segregao de IDS por servio, onde um IDS configurado somente para analisar eventos relativos a email, outro somente HTTP etc.
35
4.4
Distributed Denial of Service (DDoS) Hoje h uma constante preocupao quando tratamos de segurana, principalmente
nos ataques feitos por invasores que acabam afetando sites famosos, e nesse meio que escutamos muito sobre negao de servio ou DoS. A idia desse tipo de ataque enviar um nmero excessivo de requisies a um computador alvo e tornar este indisponvel para os servios que so disponibilizados. Intruso Distribuda a forma de se invadir determinado sistema utilizando mquinas espalhadas pelo mundo inteiro e atravs dessa unio de mquinas fazer uma interveno em conjunto no alvo em foco. Os ataques de DDoS so resultantes da unio de intruso distribuda e negao de servio. Computadores de diversos lugares trabalham em conjunto para inutilizar um alvo. Pode-se dizer que um ataque DoS s que em escala muito maior, utilizando diversas mquinas. Os primeiros ataques DDoS documentados surgiram em agosto de 1999, no entanto, esta categoria se firmou como a mais nova ameaa na Internet na semana de 7 a 11 de Fevereiro de 2000, quando vndalos cibernticos deixaram inoperantes por algumas horas sites como o Yahoo, EBay, Amazon e CNN. Uma semana depois, teve-se notcia de ataques DDoS contra sites brasileiros, tais como: UOL, Globo e IG, causando com isto uma certa apreenso generalizada [7]. Outras repercusses causadas por ataques DDoS foram o caso do site da Alldas, da RIAA, da SCO e o site da Al Jazira. Isso mostra que os ataque DoS e DDoS geram prejuzos de formas incalculveis, tanto na parte financeira como na parte das informaes [8]. Assim a idia aqui falar do que se trata um DDoS e como um IDS pode auxiliar contra essa ameaa.
4.4.1
Entendendo o ataque
36
4.4.1.1 Personagens
Figura 14: Ataque DDoS [7]. Para entendermos o funcionamento de um ataque vamos conhecer os personagens principais e usaremos a nomenclatura abaixo: Atacante: o invasor. O indivduo que realmente planeja e coordena o ataque. Possui sua mquina individual que pode ser um computador de mesa ou um Notebook; Master: Computador que programado para comandar os agentes. Agente: Computador que realmente realiza o ataque DoS contra um ou mais alvos ou vtimas, conforme o desejo do atacante. Vtima: Mquina que recebe o ataque. ocupada por um grande nmero de pacotes, sobrecarregando toda a rede e resultando na paralisao desta e conseqentemente dos servios oferecidos. Alm destes personagens existe ainda mais dois que tambm so importantes: Cliente: Aplicao que est no master e que realmente tem o controle dos ataques e envia comandos aos daemons. Daemon: Processo que est sendo executado no agente, que recebe e executa os comandos advindos do cliente. 4.4.1.2 O ataque
37
Um ataque DDoS feito em trs fases: a primeira quando se faz a intruso em mquinas para se obter acesso privilegiado, ou seja, acesso de root. Na segunda so instalados softwares nestas mquinas invadidas para a montagem da rede de ataque. E a terceira quando se envia um nmero grande de pacotes contra as vtimas, concretizando o ataque. Fase 1: Obtendo acesso de root segue-se as seguintes etapas: 1. feito um estudo das portas e das vulnerabilidades das redes alvo, ou seja, onde se quer fazer o ataque. Costuma-se focar redes de banda larga e com pouco monitoramento. 2. Em seguida o atacante explora as vulnerabilidades encontradas com o objetivo principal de obter o acesso de root; 3. Por fim com o endereo IP das mquinas invadidas montada a rede de ataque.
Fase 2: Para a instalao do software DDoS segue-se as seguintes etapas: 1. utilizada uma conta de um usurio para instalar as verses compiladas das ferramentas de ataque; 2. As ferramentas de DDoS sendo instaladas vo permitir agora que as mquinas sejam controladas remotamente. Essas mquinas que podero ser agentes ou masters. 3. A definio de qual mquina ser master e qual ser agente quem escolhe o atacante. As mquinas master no so muito manuseadas e nem monitoradas pelos administradores. J as mquinas agentes tm acesso a Internet por links rpidos. 4. Com o daemon instalado nos agentes, estes ficam prontos para receber os comandos dos masters. A mquina master registra uma lista de IP das mquinas agentes ativas. Com essa conexo entre masters e agentes j se pode organizar os ataques; As fases 1 e 2 so realizadas imediatamente uma aps a outra e de forma automatizada. Por isso as informaes de vulnerabilidade so de suma importncia para a instalao rpida das ferramentas de DDoS.
Fase 3: Realizando o ataque:
38
O atacante pode controlar uma ou mais mquinas master e estas por sua vez podem controlar muitas mquinas agentes. A partir da pode-se disparar os pacotes consolidando o ataque. Os agentes ficam aguardando as instrues do master para atacar um ou mais de um endereo IP em determinado espao de tempo. O atacante ordenando o ataque, as vtimas tero suas mquinas congestionadas por um grande nmero de pacotes, interrompendo o link de rede e assim paralisando os servios.
4.4.2
Classificao dos ataques DDoS Sabemos que o objetivo de um ataque de DDoS consumir os recursos do alvo
enviando um grande nmero de pacotes com a finalidade de que este no possa fornecer seus servios. Assim podemos classificar um ataque DDoS em termos de recurso consumido. Este dividido em recursos internos do host ou capacidade de transmisso de dados. Um exemplo especfico de ataque de recursos interno seria o ataque por inundao de SYN.A. Segue-se no ataque os seguintes passos: 1. O atacante por meio de seus escravos ou agentes os instrui a entrar em contato com o servidor Web do alvo; 2. Os agentes enviam por comando do atacante, pacotes SYN
(sincronismo/inicializao), com endereamento IP errado de retorno, para o alvo; 3. Para cada pacote SYN o alvo retorna um pacote SYN/ACK (sincronizar/confirmar) tentando formar uma conexo TCP, porm este endereo de origem no existe, ento o alvo fica esperando finalizar falsas conexes. Um exemplo para o ataque que limita os recursos para a transmisso de dados o ataque distribudo utilizando o protocolo Internet control Message Protocol (ICMP). Seguem-se as seguintes etapas para o ataque: 1. O atacante por meio das mquinas mestres instrui as mquinas escravas ou agentes a enviar pacotes ICMP ECHO (pacote que solicita aos destinatrios um resposta) com um endereo de IP falsificado do alvo para vrias mquinas que atuam como refletoras;
39
2. Essas mquinas refletoras de posse do endereo IP do alvo respondem com um pacote chamado ECHO REPLY tentando manter uma conexo; 3. O alvo que pode ser um roteador fica congestionado com os pacotes ECHO REPLY das mquinas refletoras. Outra maneira de classificar um ataque DDoS dividi-lo em diretos ou refletores. No ataque direto o atacante instala softwares zumbis em sites da Internet. Instala softwares zumbis em mquinas mestres que por sua vez instalam softwares zumbis em mquinas escravas ou agentes, que vo disparar seu ataque contra o alvo ou vtima. J no ataque refletor acrescentado uma nova camada de mquinas em relao ao ataque direto. Essa camada chamada de refletora. Os zumbis escravos enviam pacotes para as mquinas refletoras cujas respostas sero enviadas para a mquina alvo. Esse tipo de ataque muito mais prejudicial do que um ataque direto, pois envolve um nmero muito maior de mquinas.
4.4.3
Vulnerabilidades Um atacante precisa conhecer as vulnerabilidades das mquinas nas quais deseja
invadir. Esse processo conhecido com varredura, mas para isso torna-se necessrio ter uma estratgia que permita o conhecimento destas vulnerabilidades. Abaixo segue algumas estratgias de varredura: Aleatria: Mquinas comprometidas sondam endereos IP utilizando endereos de origem diferentes; Lista de acerto: Uma lista de mquinas com grande possibilidade de vulnerabilidade so analisadas. Este processo lento. Porm, feita a anlise, e assim que as mquinas comearem a ser infectadas, estas tambm passam a auxiliar na anlise de vulnerabilidades e a infectar outras mquinas, o que torna a varredura muito mais eficiente; Topolgica: A partir de uma mquina infectada tira-se informao desta para se analisar outras mquinas; Subrede local: Logo que uma mquina que est atrs de um firewall invadida, esta procurar alvos na rede local. Para isto ela utilizar os endereos de sub-rede que anteriormente estavam protegidos pelo firewall. 40
4.4.4
Ferramentas de ataque DDoS Os ataques DDoS no so nenhuma novidade. Desde seu surgimento em 1998 as
ferramentas de DDoS vm se desenvolvendo constantemente, ficando mais sofisticadas e com melhores interfaces. Veja tabela 1:
1 Fapi 2 Blitznet 3 Trin00 4 TFN 5 Stacheldraht 6 Shaft 7 TFN2K 8 Trank 9 Trin00 win version Tabela 1: Ordem de surgimento das ferramentas de DDoS. Dentre estas aqui mostradas as principais ferramentas de DDoS so: Trin00, TFN, Stacheldraht e TFN2K. 4.4.4.1 Trin00 Ferramenta distribuda que lana ataques coordenados de DDoS do tipo UDP flood. Geralmente uma rede Trin00 composta por uma proporo muito maior de agentes do que de masters. Algumas caractersticas so: O controle remoto do master pelo atacante feito por conexo TCP; A comunicao master - agente feita via pacotes UDP ou TCP; A comunicao agente - master feita por pacotes UDP. Ao ser inicializado um daemon, este anuncia para o master sua disponibilidade enviando uma mensagem, ao master. Este por sua vez tem uma lista de IP das mquinas agentes que esto ativas e que esto sendo controladas pelo master. Um nome comum encontrado no master como cliente o master.c e alguns dos nomes de daemons que tm sido vistos nos agentes so: ns, http, trinix e etc. Essas aplicaes no necessitam de privilgios de root.
41
4.4.4.2 TFN Tribe Flood Network Ferramenta distribuda que lana ataques DoS a uma ou mais de uma mquina vtima, por meio de outras mquinas que j esto comprometidas. Algumas caractersticas so: Pode gerar ataques UDP flood, SYN flood, ICMP flood e Smurf/Fraggle (mecanismo de envio de pacotes para endereos de broadcasting); Permite esconder o endereo origem dos pacotes o que dificulta a identificao do atacante; O controle remoto do master feito pelo atacante realizado por comandos executados por meio do programa cliente e pode ser utilizado qualquer meio de conexo, tais como rsh, telnet e etc; A comunicao cliente daemons ou master agente feita por meio de pacotes ICMP_ECHOREPLY; O TFN assim como o Trin00 trabalha com uma lista do IP das mquinas com os daemons instalados; O nome tribe utilizado para a aplicao cliente e o nome td usado para identificar os daemons instaladas nos agentes. Estas aplicaes devem ser executadas com privilgio de root. 4.4.4.3 STACHELDRAHT Ferramenta distribuda que lana ataques DoS a uma ou mais de uma mquina vtima, por meio de outras mquinas que j esto comprometidas. Pode-se dizer que esta ferramenta uma juno da Trin00 e da TFN adicionada de mais alguns itens como criptografia na comunicao entre atacante e master (telnet criptografado) e constante atualizao dos agentes. Assim como a Trin00, a STACHELDRAHT composta por uma proporo maior de agentes do que de masters. Algumas caractersticas so: Gerar ataques UDP flood, SYN flood, ICMP flood e Smurf/Fraggle; O controle remoto do master pelo atacante feito por conexo TCP; A comunicao entre masters e agentes e vice-versa feita por meio de pacotes TCP e ICMP; 42
Programas clientes costumam vir com o nome de mserv e daemons com nomes de leaf ou td. Estas aplicaes devem ser executadas com privilgio de root.
4.4.4.4 TFN2K - TRIBLE FLOOD NETWORK 2000 Ferramenta distribuda de DoS que foi escrita pelo mesmo autor da TFN, Mixter. Algumas caractersticas so: Pode gerar ataques UDP flood, SYN flood, ICMP flood e Smurf/Fraggle ou ainda a daemon pode ser instruda para alternar entre estes ataques; O controle remoto do master pelo atacante feito via pacotes TCP, UDP, ICMP ou os trs aleatoriamente; No h confirmao (ACK) de recepo de comandos como no TFN, ao invs disso so enviados vrios comandos iguais para que pelo menos um chegue ao objetivo. Abaixo segue a tabela 2 que um comparativo de meios de comunicao entre os personagens de um ataque DDoS para cada ferramenta de DDoS:
Comunicao Atacante-Master Master-Agente Agente-Master
Trin00 27665/tcp 27444/udp ou 1524/tcp 31335/udp
TFN icmp_echoreply icmp_echoreply icmp_echoreply
Stacheldraht 16660/tcp
TFN2K icmp/udp/tcp
65000/tcp, icmp/udp/tcp icmp_echoreply 65000/tcp, icmp/udp/tcp icmp_echoreply
Tabela 2: Comparativo de meios de comunicao entre os personagens de um ataque DDoS para cada ferramenta de DDoS.
4.4.5
Linhas de defesa Basicamente pode-se dizer que existem trs linhas de defesa contra ataque DDoS:
Preveno do ataque: O objetivo no negar o servio para usurios legtimos, mas permitir a resistncia do alvo. A tcnica determinar o consumo de recursos e o fornecimento recursos reservas;
43
Detectar o ataque: O objetivo fazer a deteco o mais cedo possvel. A tcnica fazer uma busca por comportamentos suspeitos; Rastear e identificar a origem do ataque: O objetivo prevenir ataques futuros a partir da origem do ataque. A tcnica de anlise da origem no to vivel quanto a ataques em andamento, pois no traz resultados imediatos.
4.4.6
Como se defender do DDoS No existe uma maneira totalmente eficaz para se defender de um ataque de DDoS
devido a fora e arquitetura do mesmo. A soluo perfeita seria configurar os computadores para que estes no permitissem a invaso com o objetivo de formao de uma rede de DDoS. Apesar das dificuldades de se encontrar uma forma ideal de se proteger, existem mtodos de defesa como, por exemplo, um plano de contingncia que uma forma de defesa contra ataques de fora-bruta que consome recursos da rede devido a sua origem ser de redes numerosas e com muitos recursos. Uma poltica de segurana pode proteger contra ataques de DDoS, porm, ela deve garantir que: Usurios legtimos no venham a colaborar para possveis ataques; As senhas escolhidas devem ter um tamanho adequado e devem ser trocadas periodicamente; O acesso parte fsico deve ser feito apenas por administradores; Deve-se fazer constante atualizao do sistema; Os programas antivrus devem estar atualizados; Portas abertas devero somente ser as que esto sendo utilizadas; A largura de banda deve ser estipulada por servidor; Deve-se criar diretrizes para recebimentos de pacotes para endereo de broadcasting; Pode ser feito o bloqueio de endereos de internet na possibilidade de um ataque; Um plano de reao ideal para garantir uma boa resposta no momento crucial;
44
A implantao de um IDS, tomando o cuidado de se fazer uma verificao da rede para ver se a mesma no est comprometida.
4.4.6.1 Deteco No que se diz respeito deteco de ataques DDoS temos como principal dificuldade a criptografia. Por outro lado, h possibilidade da modificao do cdigo fonte de forma que senhas e portas sejam alteradas quando se trata de preveno. No entanto, h possibilidade de deteco e existem vrias maneiras de se fazer isso, desde mtodos convencionais como Auditoria e Ferramentas de Deteco Especficas at mtodos mais modernos como a instalao de IDS.
4.4.6.2 Deteco de anomalias de trfego (DDoS) usando Entropia No-Extensiva Podemos fazer uma analogia quando falamos de anomalias de trfego e DDoS e chegamos a concluso que se trata da mesma coisa. A principal caracterstica das anomalias de trfego so as alteraes danosas que estas podem ocasionar rede. A Entropia NoExtensiva analisa esse tipo de problema e existem formas de Entropia (que a avaliao do padro de comportamento do trfego) como a de Shannon e a de Tsallis. Vrios estudos foram feitos e concluiu-se que este tipo de deteco flexvel e permite um bom desempenho. Mais adiante falaremos com detalhes desta utilizao de Entropia na deteco de anomalias. 4.4.6.3 Algumas Ferramentas de Deteco de Negao de Servio O Zombie Zapper bloqueia um ataque em andamento. Se um IDS detecta que a rede est sendo usada como base de ataque, o Zombie Zaper por meio de comandos enviados ao Agente interrompe o ataque. Find DDoS uma ferramenta desenvolvida pelo FBI justamente pelo grande nmero de ataques de DDoS. O Find DDoS faz a localizao do Master e do Agente das ferramentas de ataque DDoS, tais como Trin00, TFN2K, Tribe Flood Network e Stacheldraht.
45
DDoS Ping que um programa desenvolvido pelo Robin Keir, torna mais fcil e acessvel sua utilizao por possuir boa interface grfica. Detecta Agente com as seguintes ferramentas Trin00, Stacheldraht e Tribe Food Network. A busca feita por meio de mensagens ICMP e UDP enviadas para endereos IP que foram definidos pelo usurio.
4.4.7
Concluses relativas a ataques DDoS O DDoS passaram a preocupar quando suas ferramentas de ataque se popularizaram
na Internet. Estas ferramentas facilitam tanto a execuo de um ataque DDoS que mesmo pessoas pouco experientes conseguem lanar um ataque desse tipo. Ataques a protocolos podem ser evitados aps a descoberta de suas vulnerabilidades. J os ataques de fora-bruta, ou seja, de DDoS so um pouco mais complicados, pois devem ser detectados e combatidos em sua origem. Ameaas DDoS sempre existiro quando uma mquina est conectada porque sempre h possibilidade de se receber um grande nmero de dados. Com a Internet nada mais cem por cento seguro, quando se est conectado. Existem maneiras de se diminuir um ataque DDoS, mas nada infalvel. Tudo vai depender da disponibilidade de tempo e experincia do atacante. Uma soluo que est sendo estudada a implementao de vrios sistemas de segurana que sero colocados em lugares estratgicos na Internet cuja finalidade seria interromper esse tipo de ataque em sua origem. A partir do momento que um ataque DDoS fosse detectado ento roteadores reduziriam ou bloqueariam o trfego. Posteriormente este poderia liberar o trfego de forma que no inundasse os destinatrios. Ataques recentes mostraram que tanto as redes locais quanto a Internet esto vulnerveis a ataques DDoS. Assim de grande importncia, principalmente para os administradores de rede, uma maior ateno no desenvolvimento dos mtodos de ataque de preveno de DDoS, ou seja, novidades em IDSs.
4.5 4.5.1
IDS x Firewalls Definindo Firewall
46
Um firewall um dispositivo de rede de computadores que analisa o trfego entre redes. Ele pode impedir que dados no autorizados ou que possam vir a prejudicar a rede entrem na mesma. Costuma-se relacionar o conceito de firewall com proteo completa de uma rede de computadores, porm um firewall se restringe at o nvel quatro do modelo OSI. A idia do Termo parede de fogo tem sua origem justamente pela funo que desempenha esse equipamento. O que ele faz o mesmo que uma parede, pois no deixaria passar o fogo. No entanto, neste caso o equipamento no deixa passar os dados nocivos que prejudicariam a rede. Os firewalls so encontrados tanto em hardware quanto em software, ou ento na juno dos dois. Sua instalao muito relativa, pois depende do tamanho, da complexidade de regras de entrada e sada e da segurana desejada na rede. Os firewalls se classificam da seguinte forma: Filtro de pacotes; Proxy firewall; Stateful firewall; Firewall de aplicao; Comandos e opes de firewall.
4.5.1.1 Filtro de pacotes Este tipo de sistema analisa os pacotes que passam da camada 2 de enlace para a camada 3 de rede do modelo OSI. As regras podem envolver endereo de origem e destino e as portas TCP/IP. Uma das desvantagens seria a falta de controle dos tipos de pacotes o que permitiria a injeo de pacotes simulados na sesso. 4.5.1.2 Proxy firewall Iniciado em 1995 por Marcus Ranum o proxy recebe os dados de uma conexo e antes de enviar para o solicitante faz uma anlise destes dados. Para que seja enviado para o solicitante feito um novo pedido o qual quem controla o firewall. Algumas desvantagens so: 47
1. A cada nova soluo na internet necessrio um modelo compatvel de proxy; 2. Os proxies trazem perda de desempenho na rede, pois teria que ter o processamento tanto do gateway quanto do proxy; 4.5.1.3 Stateful firewall Trata-se de um tipo de firewall que inspeciona todos os pacotes em todas as camadas do padro OSI. Possui a segurana de um gateway e a velocidade de um filtro de pacotes, transparente aos usurios e permite ao administrador a adio de novos servios de Internet com muita facilidade, somente por definio de novas Tuplas. H facilidade na manuteno e instalao e de baixo custo.
4.5.1.4 Firewall de Aplicao Analisa o protocolo da aplicao e define decises dentro de suas particularidades. Este tipo de firewall exige um conhecimento muito grande dos protocolos de internet e no processamento dos ataques focados na camada de aplicao. Exige ainda uma constante evoluo na tecnologia das necessidades computacionais de um firewall de aplicao. Estas necessidades advm dos algoritmos e das regras de deteco e tambm da velocidade do trnsito de pacotes pela rede. H ainda grande necessidade de altos recursos computacionais para o processamento da criptografia e descriptografia dos pacotes que passam por ele. Para mais conhecimento a respeito do firewall de aplicao consulte a ApRisco (Associao Profissional de Risco). 4.5.1.5 Comandos e Opes de Firewall Masquerade: opo que associada ao comando Iptables traduz endereos de rede dos pacotes que passam pelo servidor firewall. Redirect: opo que associada ao comando Iptables ou Ipchains configura um sistema transparent proxing. 4.5.2 Firewall ou IDS
48
Costumamos nos perguntar o porqu de usarmos um IDS se j temos um firewall. Sabendo que o firewall permite conexes com o servidor de FTP e se algum tenta baixar o passwd do servidor de ftp o firewall poder at reconhecer o trfego, mas no far o bloqueio. J o IDS detectar essa movimentao e gerar um alerta. Se estivermos falando de IPS este poder bloquear o trfego. Em se tratando de modelo OSI os filtros de pacotes dos firewalls geralmente trabalham nas camadas de rede e de transporte. Aps as aplicaes das regras, que so checagem de endereos IP, protocolos e nmero de porta, os pacotes so filtrados com base nessas checagens. Os firewalls simplesmente fazem essa checagem e filtram os pacotes que ele achar fora da normalidade com base em regras pr-estabelecidas, assim, o firewall no faz uma anlise do que est sendo feito pelo usurio. J o IDS trabalha tanto nas camadas trs e quatro do modelo OSI como tambm na camada sete, ou seja, de aplicao. Ele busca por Trojans, ataques de negao de servio etc. Como visto anteriormente existem dois tipos de firewalls que atuam tambm na camada de aplicao: o stateful firewall que de baixo custo e o firewall de aplicao que exige um grande recurso computacional. Podemos ento fazer a seguinte concluso: Firewall = Trabalha de forma esttica (na maioria dos casos); IDS/IPS = Trabalha de forma dinmica.
49
Segunda Lei da Termodinmica e Entropia

O leitor pode estar se perguntando o porqu de um captulo falando de
Termodinmica e Entropia, o fato que este conceito far com que possamos ver como a Entropia pode ser usada em aplicaes de deteco de intrusos. Um grande nome da astrofsica, o britnico Arthur Eddington fez a seguinte concluso: Se a sua teoria contrariar alguma lei da fsica tudo bem, possvel que a lei deva ser modificada. Mas se essa lei for a Segunda Lei da Termodinmica, pode jogar sua teoria no lixo.
5.1
Relao entre a Segunda Lei da Termodinmica e a Entropia A segunda lei da termodinmica uma das leis naturais mais importantes que
existe. Na sua forma simplria, que teve origem no sculo XIX proposta por Rudolf Clausius, mdico alemo, e Lord Kelvin, fsico ingls, ela fala que o calor se transfere de um corpo mais quente para um mais frio. Por mais simples que possa parecer essa lei, ela nos trs uma informao de grande valia, pois, nos mostra a causa de a desordem sempre tender a crescer e a ordem tender a decrescer. Tambm nos d uma idia da passagem do tempo e do porqu do nosso envelhecimento e outras questes tambm importantes sobre o mundo e a vida. Porm, o que nos interessa mesmo a idia de ordem e desordem conhecida como entropia. Vamos por partes, comeando com fatos que so familiares para todo mundo. Quando voc pe um cubo de acar no caf, o cubo dissolve. Uma vez dissolvido voc no ver os gros de acar voltarem a formar o cubo [9]. Se voc abrir uma garrafa de perfume em um quarto fechado, voc sentir o cheiro agradvel se espalhando pelo quarto. Isso ocorre por que as molculas de perfume chocamse entre si, escapando da garrafa, e, aos poucos, vo se chocando tambm com as molculas de ar no quarto, e o perfume vai se difundindo. Voc no ver o aroma agradvel desaparecer devido ao fato de todas as molculas espontaneamente no terem resolvido voltar para a garrafa [9]. Mais um exemplo: voc quebra um ovo e prepara uma omelete. Jamais voc ver a omelete se transformar de volta em um ovo. Todos esses processos mostram que existe uma
50
direo preferencial para a passagem do tempo. Se voc visse uma omelete se transformando em um ovo, voc imediatamente concluiria, por mais estranho que fosse que o tempo estivesse voltando. [9] Estes exemplos (o ovo, o perfume e o cubo de acar) tm uma caracterstica em comum, pois todos eles passam por um processo e terminam desorganizados (a omelete, o perfume espalhado e o cubo de acar dissolvido). Esse processo no ocorre especificamente com esses exemplos, pois isso ocorre com todo sistema que no troca energia com o exterior. [9] Sabe-se que a entropia a quantidade de desordem de um sistema, assim quanto mais ordem, menor a entropia. No exemplo dado, o cubo de acar e a xcara de caf possuem uma entropia menor do que a dos gros de acar dissolvidos no caf. Essa comparao, ou seja, crescimento na entropia define a segunda lei da termodinmica: dado um sistema isolado a entropia nunca tende a diminuir, porm, pode crescer ou ainda se manter. A segunda lei tambm tem relao com a passagem de tempo, pois de costume definir a passagem de tempo com o crescimento da entropia. Podemos nos perguntar se a segunda lei no est em contradio com a teoria da evoluo, pois, ns viemos de seres unicelulares totalmente simples e hoje somos seres com formao biolgica muito organizada. A resposta j foi dada acima quando se fala na segunda lei onde somente sistemas isolados que no trocam informao e energia com o exterior e conseqentemente tendem a no se organizarem. E sabemos que este no o caso dos seres vivos. Todos os animais precisam de alimentao para produo de energia. Para se ter vida, precisa-se de harmonia com outros seres, assim, no se pode viver isoladamente.
5.2 5.2.1
A Segunda Lei da Termodinmica e a Entropia Conceitos Entropia Entropia definida como uma grandeza termodinmica que se associa ao grau de
desordem. uma medida de parte da energia que no se transforma em trabalho. uma funo de estado que aumenta seu valor durante um processo natural em um sistema capaz de no fazer trocas de energia.
51
5.2.2
Segunda Lei da Termodinmica De acordo com o Princpio da Conservao da Energia em qualquer transformao
natural, a energia total ou final sempre constante. A primeira Lei da Termodinmica reafirma essa idia, porm no prev a possibilidade da realizao dessa transformao. Existem muitos eventos que satisfazem essa Lei, mas que so praticamente impossveis de acontecer. A Segunda Lei da Termodinmica define que um corpo de maior temperatura passa seu calor para um de menor temperatura, porm a possibilidade de o inverso acontecer segundo a Primeira Lei, existe, mas praticamente impossvel, devido aos sistemas tenderem ao equilbrio. Em resumo a Segunda Lei da Termodinmica define que em uma transformao natural, a energia vai de uma forma organizada para uma forma mais desorganizada, conceito anteriormente visto como Entropia e que tem ntima ligao com essa Lei. Essa Lei foi definida por Clausius da seguinte forma: O calor no passa espontaneamente de um corpo para outro de temperatura mais alta. Visto que o calor uma forma de energia que sofreu certa degradao, a sua converso em alguma outra forma de energia no to simples, embora a Primeira Lei defenda essa possibilidade. Assim Kelvin e Planck definiram a Segunda Lei da Termodinmica da seguinte forma: impossvel construir uma mquina, operando em ciclos, cujo nico efeito seja retirar calor de uma fonte e converte-lo integralmente em trabalho. Imaginemos um recipiente com cem bolinhas vermelhas num recipiente fechado e cem bolinhas azuis acima destas. Em seguida pegamos o recipiente e o agitamos. Existe a possibilidade dessas bolinhas retornarem a posio inicial, porm essa possibilidade muito pequena. Outro exemplo seria um baralho ordenado por naipes e valores que aps ser embaralhado, para retornar a posio inicial seria praticamente impossvel sua ordenao depois de uma nova tentativa de ordenao por meio de embaralhamento. Os fenmenos naturais tendem a irem sempre para os estados mais provveis. Por isso a idia de tudo sempre passar de um sistema ordenado para um desordenado. Retira-se ento a seguinte concluso: 52
medida que o Universo evolui, a desordem sempre aumenta. Em todos os fenmenos naturais, a tendncia uma evoluo para um estado de maior desordem. Clausius inseriu o conceito matemtico de Entropia no conceito estatstico de desordem. Com essa relao, a Entropia aumenta quando aumenta a desordem nos processos naturais. Assim: As transformaes naturais sempre levam a um aumento na Entropia do Universo. Uma variao de entropia entende-se com sendo a ineficcia da energia do sistema em uma evoluo natural. Assim, um sistema sempre tende a diminuir a possibilidade de se conseguir uma energia aproveitvel. Falando em transformao natural, quando esta ocorre, uma forma de energia se converteu em calor, diminuindo energia total do sistema e aumentando a Entropia do mesmo. Em resumo podemos dizer que essa quantidade de calor uma medida parcial do aumento de Entropia.
53
Entropia No-Extensiva de Tsallis e sua utilizao na Deteco de Anomalias de Trfego

Anomalias so alteraes nos enlaces de rede no muito comuns e que merecem um
pouco de ateno, pois, podem trazer complicaes posteriores. Para se fazer deteco desse tipo de anomalias falaremos neste captulo da Entropia No-Extensiva de Tsallis que uma variao da Entropia de Shannon. Esse tipo de Entropia uma proposta bem atraente devido a sua flexibilidade no nvel de deteco, pois podemos ajustar o nvel de acordo com a necessidade, e tambm pelo seu desempenho se comparado com outras abordagens. A partir da metrologia de redes podemos obter vrias concluses no que diz respeito Internet e a redes em geral de pequeno porte. Alteraes significativas e pouco comuns nos enlaces de rede, com ou sem inteno. Essas alteraes so provenientes de DDoS e problemas com encaminhamentos de endereos IP, que inclui falha em equipamentos e m configurao de roteadores. Para se obter um diagnstico de anomalias, esbarramos em algumas dificuldades tais como a variedade das anomalias e o volume de dados, pois dificulta a anlise. Este diagnstico a deteco, identificao e quantificao das anomalias. Detectar seria analisar a rede e verificar alguma anomalia em determinado perodo. Identificar o mesmo que, a partir de uma base de dados fazermos a classificao da anomalia. Por fim, a quantificao a contagem do volume de situaes anmalas. A deteco de grande valia porque permite tomarmos uma linha de ao rapidamente aps a identificao. Sabe-se que a probabilidade do nvel de trfego nos ns de entrada e sada de uma rede pode ser utilizada para quantificao das anomalias atravs de Entropia. A proposta, contudo no trabalhar com a Entropia de Shannon, idia muito utilizada para deteco de anomalias, mas sim com uma generalizao da mesma que Entropia No-Extensiva de Tsallis. A Entropia No-Extensiva de Tsallis bastante flexvel devido possibilidade da variao do nvel de sensibilidade das deteces. Ela melhora o desempenho quanto deteco e diminui os falsos negativos. 6.1 Clculo de Entropia O clculo de Entropia feito para quatro categorias:
54
1- Entropia de portas de origem; 2- Entropia de portas de destino; 3- Entropia de endereos de origem; 4- Entropia de endereos de destino;
A classificao da anomalia obtida de um cruzamento entre os quatro valores de Entropia. As caractersticas de uma anomalia so obtidas por meio do nvel de concentrao e disperso das categorias mencionadas anteriormente. A Entropia no-extensiva de Tsallis apesar de ser utilizada hoje em dia em diversas situaes, com esta abordagem a que estamos nos referindo que a deteco de anomalias, no ainda difundida e nem abordada. Posteriormente falaremos do clculo prtico, ou matemtico de Entropia.
6.2
Entropia de Shannon e Entropia No-Extensiva de Tsallis Neste tpico mencionaremos o conceito de Teoria da Informao para entendimento
da Entropia de Shannon e sua utilizao na deteco de anomalias. Em seguida faremos a abordagem da Entropia No-Extensiva de Tsallis para obteno de uma viso amplificada e de melhor desempenho para anlise de anomalias.
6.2.1
Teoria da Informao Teoria da informao um ramo da teoria da probabilidade e da matemtica
estatstica que lida com sistemas de comunicao, transmisso de dados, criptografia, codificao, teoria do rudo, correo de erros, compresso de dados e etc. Ela no deve ser confundida com tecnologia da informao e biblioteconomia [10]. Claude E. Shannon conhecido como o pai da teoria da informao foi o primeiro a tratar da comunicao como um problema matemtico embasado na estatstica onde determina o nvel de eficincia de um canal de comunicao atravs das ocorrncias dos bits. Esta teoria tem relao com a perda de informaes quando h compresso de dados e tambm quando se transmite um sinal em um canal com problemas de rudo. Atravs dessa teoria Shannon definiu a medida de Entropia.
55
Esta entropia que foi definida por Shannon tem ligao direta com a entropia definida pelos fsicos. H uma relao entre a entropia definida na termodinmica e na teoria da informao. Esta teoria de Shannon mede a incerteza em um espao desordenado.
6.2.2
Entropia de Shannon Pode-se dizer que uma medida ligada quantidade de informaes e de incerteza
em um dado sistema com base na probabilidade de um determinado fenmeno acontecer [11]. A Entropia utilizada para determinar atravs de um volume de dados o comportamento destes, onde esse volume pode ser de fluxos IP ou ento quantidade de bytes. Atravs desse volume de dados determinamos se o fluxo de dados est concentrado, onde grande parte dos dados est indo para um nico ponto de rede, ou disperso, quando o trfego est distribudo. Atravs desse trfego podemos calcular a probabilidade do fluxo de dados nos ns e determinar o nvel de entropia em cada ponto de rede. Entropia de Shannon:
Hs = Pi log 2 Pi
i 1
Onde: n nmero de eventos; Pi a distribuio da probabilidade; Hs varia entre 0 log 2 n que determina o grau de caoticidade da distribuio de probabilidade Pi e pode ser usada para determinar a capacidade do canal necessria para transmitir a informao; Observaes: Hs = 0, concentrao mxima (todo o trfego para um nico ponto); Hs = Hs de 1/n). Podemos concluir que quanto maior a Entropia, mais disperso est o trfego e melhor funciona o sistema. Quanto maior a proximidade da probabilidade de um evento ocorrer em determinado ponto do sistema, mais disperso este ser, e assim vice-versa. Fica ento a frmula definida da seguinte maneira:
max
, dispero total (trfego distribudo uniformemente com probabilidade
56
Hs
6.2.3
max
1 = log 2 i =1 n
n
1 = log 2 n n
Entropia e sua utilizao na deteco de anomalias Atravs do fluxo de dados podemos agrupar o fluxo de entrada e de sada por cada
ponto de domnio. Assim, podemos calcular as probabilidades de cada ponto de entrada chamado origem e cada ponto de sada chamada destino. A partir desse conceito podemos definir quatro categorias importantes quanto deteco de anomalias:
1. Origem concentrada e destino concentrado (CC); 2. Origem concentrada e destino disperso (CD); 3. Origem dispersa e destino concentrado (DC); 4. Origem dispersa e destino disperso (DD).
Analisando a ilustrao abaixo veremos a indicao de trfego de entrada e sada nos pontos de presena: Na figura 15, as setas maiores indicam um grande volume de trfego, enquanto que as setas menores indicam menor trfego nos demais pontos. Se todas as setas estiverem com o mesmo tamanho ento isso indicar que o padro de trfego est uniforme. Veja figura 15:
57
Figura 15: Demonstrativo de concentrao disperso de trfego num domnio IP. Anlise: 1 caso: O trfego entra predominantemente pelos pontos 1 e 6 e sai com maior concentrao pelo ponto 5, caracterizando um padro definido como ConcentradoConcentrado (CC); 2 caso: O trfego entra predominantemente pelos pontos 1 e 6 e sai aps o roteamento distribudo uniformemente por todos os pontos de presena restantes caracterizando o padro Concentrao-Disperso (CD); 3 caso: O trfego entra uniformemente distribudo por todos os pontos e sai de forma concentrada pelo ponto 5 caracterizando o padro Disperso-Concentrao (DC); 4 caso: O trfego entra e sai uniformemente distribudo por todos os pontos, caracterizando o padro de trfego Disperso-Disperso (DD). Na figura 16 mostraremos como um padro de trfego pode determinar algumas situaes em que h ocorrncia de anomalias.
58
Figura 16: Como se caracteriza uma anomalia atravs dos padres de trfego.
Anlise: 1 caso: Transmisso Multicast onde o ponto de presena 2 recebe todo o trfego e aps sua replicao no domnio retransmitida pelos ponto 5, 6, 7 e 8 definindo um trfego CD (Concentrao - Disperso); 2 caso: Trata-se de um Ataque Distribudo de Negao de Servio (Distributed Denial of Service - DDoS) e neste caso feito por intermdio dos pontos 1, 2, 3 e 4 onde estes recebem os fluxo com os endereos destinados a um nico ponto, neste caso o ponto 6, assim sendo define-se um padro de trfego DC ( Disperso Concentrao). 6.2.4 Entropia No Extensiva de Tsallis Clculo e Utilizao na deteco de anomalias
6.2.4.1 Clculo da Entropia No Extensiva de Tsallis A Entropia No Extensiva de Tsallis uma generalizao da Entropia de Shannon.
Hq =
Onde: n o total de elementos;
1 Pi q q 1
59
i =1
Pi a probabilidade de um evento ocorrer; q define o grau de extensividade do sistema, ou seja, a sensibilidade do sistema quanto deteco de anomalias. logo: 0 <= Pi <= 1 e i Pi = 1; O clculo de Entropia de Tsallis tem uma certa equivalncia com a de Shannon com isso podemos comprovar que se trar de uma generalizao. O resultado do valor de Entropia varia entre 0 que significa concentrao mxima e
max H q que significa disperso total onde:
max q
1 n1q = q 1
A diferena dessa frmula de Tsallis para a de Shannon a introduo do parmetro q cujo termo vai determinar o grau de extensividade do sistema. Tambm cabe mencionar que a variao da probabilidade dos eventos no clculo de Shannon no influencia tanto no resultado final da Entropia. J no clculo de Tsallis define-se o valor de q onde:
q > 1: eventos com maiores probabilidades acarretam maiores alteraes no valor da Entropia do que eventos de menores probabilidades; q < 1: eventos com menores probabilidades acarretam maiores alteraes no valor da Entropia do que eventos de maiores probabilidades;
6.2.4.2 Uso da Entropia No Extensiva de Tsallis na deteco de anomalias A idia da aplicao da Entropia No extensiva de Tsallis se d de forma prtica pela utilizao direta do parmetro q, existente na frmula, que define a sensibilidade do sistema quanto deteco de anomalias. Pode-se definir o quanto de deteco se quer no nosso sistema. Portanto, como estamos sempre em busca do melhor controle no sistema de deteco, buscaremos tambm sempre um q timo que definir o melhor controle de sensibilidade do sistema no problema em questo, que no nosso caso a deteco de intrusos.
60
Equipamentos e Programas
Vrios equipamentos e programas de IDS e IPS esto disponveis atualmente. Como
IDS destacamos o Snort, e citamos o Ossec HIDS e como IPS citamos os Appliances e o HLBR. Cabe salientar que o objetivo dar maior destaque para o Snort como IDS.
7.1
Snort O Snort um sistema de deteco de intruso baseado em rede, onde aplicado em segmentos de rede para deteco de intrusos. uma ferramenta muito utilizada por administradores de rede, pois uma
ferramenta leve e de fcil instalao que capaz de fazer o escaneamento de rede com grande confiabilidade. Assim, o objetivo aqui fazer uma descrio mais detalhada do programa e mostrar onde baixar e como instalar. O cdigo fonte utilizado o C e de domnio pblico, por isso o cdigo constantemente atualizado e as regras de deteco tambm. Os mdulos do Snort so capazes de monitorar tanto o cabealho quanto o contedo dos pacotes e ainda disponibiliza a opo de capturar uma sesso inteira. O Snort faz monitorao do trfego de pacotes em redes IP, sobre diversos protocolos (rede e aplicao) e sobre contedo (hexadecimal e ASCII). Atravs de argumentos na linha de comando possvel ativar o subsistema de registros e alertas, onde existem trs opes de registros e cinco de alertas. Esses registros podem ser configurados para armazenar pacotes decodificados em uma estrutura de diretrios baseados em IP, ou no formato binrio do tcpdump. Esse registro pode ser desabilitado para um melhor desempenho permanecendo assim somente os alertas. Alertas podero ser enviados a um editor de texto como texto puro. Existe a opo tambm de desabilitar os alertas. Uma boa opo para aumentar a base de dados do Snort utilizar o Sniffer. Este ir capturar uma parte do texto ou uma string binria que passou pela ferramenta de ataque para o servidor. Assim basta adicionar os caracteres significativos dessas strings como um descritor de contedo do Snort.
61
7.1.1
Requisitos de sistema Para a implementao do Snort, deve-se levar em considerao alguns fatores. Por
exemplo, os dados gerados pelo Snort necessitaro de espao em disco suficiente para sua armazenagem. Caso o administrador queira uma monitorao remota deve-se instalar o SSH e Apache com SSL, quando estamos trabalhando com Linux ou Unix. Caso o sistema seja Windows temos que ter um Terminal Services com limitaes sobre quais usurios e mquinas podem se conectar e servidores IIS (Internet Information Server).
7.1.2 Componentes de Hardware Se o Snort estiver no modo de sistema de deteco baseado em rede (SDIR), ser necessria uma unidade de disco rgido bastante grande devido ao nmero de dados gerados. interessante uma segunda interface Ethernet. Uma interface para conectividade tpica (SSH, servios da Web e etc) e outra para o uso no Snort que funcionar como um sensor. A placa de interface de rede tambm importante, pois, se a rede for de 100MB a placa dever ser tambm de 100MB, para se poder utilizar toda a largura de banda.
7.1.3 Plataforma O Snort funciona em praticamente todos os sistemas operacionais da atualidade. Entre eles esto: Linux, FreeBSD, NetBSD, OpenBSD, Windows, e tambm, Sparc Solaris, PowerPC MacOS X e MKLinux, e PA-RISC HP-UX.
7.1.4
Opcionais Alguns softwares podem ser instalados para acrescentar funcionalidades na
utilizao do Snort:
MySql, Postgres ou Oracle (bancos de dados SQL);
62
Smbclient se estiver usando mensagens WinPopup; Apache ou outro servidor web; PHP ou Perl, se tiver plug-ins que os exigem; SSH para acesso remoto (ou Terminal Server com o Windows); Apache com recursos de SSL para monitorao (ou IIS para Windows). 7.1.5 Arquitetura O Snort oferece um conceito de plug-ins que so utilizados para personalizar a implementao de seus componentes, que so: o Farejador, o Pr-processador, o Mecanismo de deteco e a Sada. Esses plug-ins so programas que so escritos para se adaptarem com a API de plug-in do Snort. 7.1.6 Farejador O farejador basicamente um sensor que ouve todos os pacotes IP que passam pela rede. Esses pacotes podem ser de vrios tipos de trfegos de rede, incluindo TCP, UDP, ICMP, ento o farejador pega esses pacotes e os torna em algo legvel para o administrador. 7.1.7 Pr-Processador Algumas das funes de um pr-processador so: a remontagem de pacotes, a decodificao de protocolos e a deteco baseada em anomalias. O pr-processador verifica os pacotes com vrios tipos de plug-ins, assim, definido seu comportamento envia para o mecanismo de deteco. 7.1.8 Mecanismo de deteco O Mecanismo de deteco o componente mais importante no Snort, pois a que so configuradas as regras para anlise dos dados, e onde se decide se os dados vo ser recebidos, se vai ser gerado um alerta, ou se os dados vo ser descartados. Uma regra consiste basicamente de duas partes: O cabealho da regra: que a ao a ser executada (um log ou alerta), onde est o tipo de pacote (se UDP, TCP, ICMP e etc), endereos IP e portas de origem e destino;
63
A opo da regra: o contedo do pacote, que deve corresponder regra. Para uma melhor otimizao do programa o administrador poder escrever regras no IDS. 7.1.9 Sada A sada um componente que alerta e registra os ataques direcionados rede. Toda vez que o mecanismo de deteco registra algum ataque, um alerta gerado. Esses alertas podem ser enviados para um arquivo de eventos, por meio de uma conexo de rede, atravs de soquetes UNIX ou Windows Popup (SMB). Tambm podem ser enviados a um banco de dados SQL. Atravs de arquivos syslog (arquivos de eventos) ligados a um servidor de Web os alertas podem ser enviados via e-mail para o administrador. 7.1.10 Problemas na execuo do Snort Todos os programas tm seus pontos fracos e o Snort tambm tm alguns. Os principais so: no pegar todos os pacotes, alertas de falsos positivos e alertas de falsos negativos. O Snort pode no pegar todos os pacotes devido velocidade da rede e velocidade da interface promscua. O alerta de falso positivo acontece quando o Snort alerta sobre determinada invaso e ela no existe, ou melhor, trata-se de uma ocorrncia normal que o administrador no precisava ser alertado. Isso acontece quando se utiliza um conjunto de regras padro do Snort. J o falso negativo o contrrio. quando no detectado uma invaso ou comprometimento de um sistema monitorado por um IDS. 7.1.11 Melhorando a segurana do Snort O Snort est sujeito a todo tipo de ataques e h vrias maneiras disso acontecer. O administrador geralmente acessa o sistema de forma remota (SSH), armazena os dados coletados em um banco de dados (MySql ou Postgres) e tambm utiliza interfaces para visualizao dos alertas gerados o que necessita de um servidor Web como o Apache ou o
64
IIS. Por isso sempre importante estar atento as novas vulnerabilidades de segurana e nos anncios de segurana de sistemas operacionais. Para melhorar a segurana do Snort alguns procedimentos podem ser tomados: Desative os servios que no so necessrios para o sistema por exemplo, FTP, NFS e NIS; Mantenha a integridade do sistema o Tripware protege contra Cavalos de Tria; Use firewall ou envelope (traduo) TCP nos servios Alguns servios so vulnerveis como SSH e MySql por isso devem ser traduzidos em TCP ou protegidos com firewall, pois estes servios tambm tm seus problemas com segurana; Utilize criptografia e autenticao de chave pblica Na utilizao do Apache para ver eventos, recomendvel que se utilize o Apache-SSL e certificados digitais para autenticao no lado do cliente; Atualize aplicativos e sistema operacional importante atentar para anncios referentes aos aplicativos e sistema operacional utilizado independente do sistema. 7.1.12 Instalando o Snort Aps tanto falar do Snort colocamos neste tpico algumas instrues de como fazer instalao do Snort e de quais ferramentas podem auxiliar na implementao do programa. Cabe salientar trs programas: Snort + ACID + MySql. O Acid (Analisys Console for Intrusion Databases) muito utilizado para analisar eventos do Snort e para sua apresentao em uma interface WEB. J o MySql ser utilizado como banco de dados para armazenar os registros de ataques . 7.1.13 Pr-Requisitos Linux; Servidor Web Apache; Interpretador PHP4; MySql.
65
download
dos
pacotes
acima
podero
ser
encontrados
em:
http://www.linuxpackages.net/ 7.1.14 Instalao Entre no site http://www.snort.org/dl/ e faa o download do arquivo de instalao do SNORT. Descompacte o arquivo: # tar xzvf snort-2.6.0.tar.gz # cd snort-2.6 Compilando o snort com suporte ao MySql. # ./configure with-mysql=/usr # make # make install
Se tudo correu bem seu Snort est instalado, mas ainda faltam alguns ajustes. Crie uma pasta chamada regras no /etc: # mkdir /etc/regras
Para baixar as regras ou rules, em ingls, entre no site http://www.snort.org/pubbin/downloads.cgi Aps o download descompacte o arquivo na pasta /etc/rules # tar xzvf snortrules-*.tar.gz # mv snortrules-*/* /etc/rules/ 7.1.15 Base de dados do SNORT Primeiro necessrio criarmos a base de dados que ser usada para armazenar o registro dos ataques, e um usurio que ter permisso para adicionar esses registros na base de dados. # mysql -u root -p
mysql> create database snort; mysql> grant all privileges on snort.* to snort@localhost identified by 12345; 66
mysql> quit
Agora iremos criar as tabelas na database para o funcionamento do SNORT. Entre no diretrio onde o snort foi descompactado e execute o comando abaixo:
# mysql -u root -p snort < schemas/create_mysql 7.1.16 Configurao do SNORT O arquivo de configurao do SNORT encontra-se na pasta /etc. Voc dever editlo de acordo com suas necessidades. Alguns campos devem ser alterados obrigatoriamente, para isso siga as instrues abaixo: # vi snort.conf
Agora altere o campo var HOME_NET para o IP da mquina ou rede que ir monitorar, e tambm o campo var DNS_SERVERS para o endereo do seu DNS, evitando assim que o SNORT crie alerta com os acessos vindos do mesmo.
Procure a linha abaixo e deixe-a descomentada. output host=localhost database: log, mysql, user=snort password=12345 dbname=snort
Essa linha faz com que todos os logs do SNORT sejam gravados no banco de dados para que posteriormente sejam mostrados pelo ACID. Feito isso salve e saia do arquivo ( :wq! ). 7.1.17 Configurao do ACID Voc pode encontrar o ACID para download no site http://www.cert.org/kb/acid. Tambm necessrio baixar o ADODB para o perfeito funcionamento do ACID. O download pode ser feito no link: http://prdownloads.sourceforge.net/adodb/adodb491.tgz?use_mirror=ufpr Aps o download do arquivo descompacte-o na pasta /var/www/htdocs 67
# tar xzvf acid-0.9.6b23.tar.gz -C /var/www/htdocs
Descompacte o ADODB dentro da pasta acid. # tar xzvf adodb491.tgz -C /var/www/htdocs/acid
Agora entre na pasta criada e edite o arquivo acid_conf.php # cd /var/www/htdocs/acid/ # vi acid_conf.php
Ento altere os campos abaixo: $DBlib_path = "/var/www/htdocs/acid/adodb"; $alert_dbname = "snort"; $alert_host = "localhost"; $alert_port = ""; $alert_user = "snort"; $alert_password = "12345";
O prximo passo da configurao ser feito pelo seu navegador. Abra um navegador de sua preferncia e entre no endereo http://localhost/acid Depois de abrir o endereo acima, clique no link Setup Page, depois disso ele estar pronto para o uso.
7.1.18 Iniciando e Testando o Snort Para iniciar o Snort digite a linha de comando abaixo: # /usr/local/bin/snort -D
Para testa-lo, entre em algum outro computador e tente varrer as portas abertas no servidor onde est o SNORT. Supondo que a mquina onde o SNORT est rodando tenha o IP 10.21.0.4, vou usar a mquina 10.21.0.5 para varrer as portas:
68
# nmap 10.21.0.4 Agora na mquina 10.21.0.4 entre no seu navegador e entre no endereo http://localhost/acid Se durante a instalao tudo correu bem e o snort foi iniciado sem erros, ele ir apresentar as tentativas de invaso [12].
7.2
Ossec HIDS Como j foi dito um host IDS faz a monitorao de eventos de servidores e hosts,
detectando atividades suspeitas. Um IDS por intermdio de suas assinaturas analisa os eventos e seus comportamentos, podendo tomar decises at mesmo de interromper todo o trfego direcionado ao host que est sofrendo um ataque. O programa OSSEC HIDS Opens Source e foi criado por Daniel Cid. utilizado para fazer a anlise de eventos, gerar alertas e trazer respostas pr-ativas que so atitudes j de IPS, mas que o programa tambm realiza. Este programa pode ser baixado em http://www.ossec.net/files/ossec-hids-1.1.tar.gz
7.3
Appliance Appliance todo equipamento que foi projetado e configurado para realizar
instrues especficas em um sistema. Esse equipamento baseado a partir de um software genrico e otimizado para atender somente s atividades principais. Pode-se dizer que uma juno bem conveniente entre hardware e software para determinado fim. Existem tipos de Appliances para diversas reas tais como: informtica, biologia, engenharia e matemtica. Os Appliances so customizados para o fim a que se destina e so imutveis. Nas figuras 17 e 18 so mostrados dois modelos de appliance:
Figura 17 Modelo de appliance Fortigate 60 69
Caractersticas: Fabricante: Fortinet; Especificaes: Firewall, antivrus, anti-spam, VPN. Vantagens: Duas portas 10/100 mantm a conexo redundante com a Internet; Desvantagem: Na configurao padro no guarda em arquivos de eventos as varreduras em portas feitas por possveis invasores; Concluso: Modelo adequado para ambientes de mdio porte. [13]
Figura 18: Modelo de appliance Safe@Office 425 w Caractersticas: 7.3.1 Fabricante: CheckPoint; Especificaes: Roteador, VPN, firewall, ponto de acesso sem fio; Vantagem: Possui porta especfica para servidores fora do firewall ou segundo link de longa distncia. Desvantagem: Funes adicionais, como antivrus e DNS, devem ser adicionadas separadamente; Concluso: Equipamento verstil, adequado para empresas de mdio porte. [13] Appliances McAfee IntruShield Network IPS uma proteo pr-ativa de infra-estruturas de rede e dos terminais contra ataques desconhecidos, de DoS, spywares, ataques VoIP, botnets, programas mal-intencionados, phishing e ataques criptografados, utilizando uma preveno contra intruses, de grande porte e que reconhece riscos, disponvel no
70
Appliance McAfee IntruShield Network IPS. [14] Este equipamento permite atravs de seu sistema de preveno de intrusos que empresas e provedores de servios aumentem sua segurana. Ele baseado em um Circuito Integrado de Aplicao Especfica que protege de forma pr-ativa a rede contra ataques conhecidos e desconhecidos, ataques de negao de servio e criptografados, vulnerabilidades de VoIP, cavalos de Tria etc. Este equipamento uma soluo de IPS com reconhecimento de riscos que identifica e bloqueia as ameaas e ataques direcionados aos recursos da rede. Este bloqueio realizado antes mesmo que os alvos sejam atingidos. A plataforma de fcil gerenciamento o que permite uma proteo maior dos recursos da rede. 7.4 HLBR O HLBR - Hogwash Light BR um projeto brasileiro, criado em novembro de 2005, derivado do Hogwash (desenvolvido em 1996) por Jason Larsen. Este projeto destinado segurana em rede de computadores. O HLBR um IPS capaz de filtrar pacotes diretamente na camada dois do modelo OSI (no necessita de endereo IP na mquina). A deteco de trfego malicioso baseada em regras simples (o prprio usurio poder confeccionar novas regras). bastante eficiente e verstil, podendo ser usado at mesmo como bridge para honeypots e honeynets. Como no usa a pilha TCP/IP do sistema operacional, ele "invisvel" a outras mquinas na rede e atacantes. Algumas caractersticas: Encontra-se na verso 1.1 sua 6 verso; instalado na camada dois do modelo OSI porm, atua tambm nas camadas 3, 4, 5 e 7; um software livre; Esta disponvel em http://hlbr.sourceforge.net.
71
Concluso
Implantar um IDS ou um IPS no to fcil como parece. Deve-se levar em conta
os sistemas de criptografia, a topologia da rede e os equipamentos, a velocidade da rede etc. De maneira geral parece que os sistemas baseados em host atendem na maioria dos casos. Os fabricantes desses tipos de produtos j esto com a preocupao para solues de monitorao tanto do trfego enviado para a rede, como das atividades internas. Cabe salientar que, em se tratando de IDS e IPS uma soluo nica no adequada, pois existem vrios tipos de situaes em um mesmo ambiente. Com relao implementao do conceito de Entropia na deteco de anomalias ou intrusos, vimos que o conceito introduzido de Shannon para Entropia pode-nos ajudar bastante para construo de sistemas capazes de fazer a deteco de intrusos, porm vimos tambm que a Entropia No Extensiva de Tsallis permite uma melhor avaliao e variao na percepo do nvel de caoticidade de um sistema. Por fim vimos alguns programas de IDS e ferramentas de IPS que esto disponveis no mercado e que devemos atentar na hora de escolher qual a mais adequada para uma possvel implementao.
72
Referncias
[1] IDS Conceito. Disponvel em: <http://pt.wikipedia.org/>;
[2]CAUDLE Rodney. Assumptions in Intrusion Analysis Gap Analysis. Disponvel em: <http://www.sans.org/reading_room/papers/download.php?id=1751>.
[3] Segurana de Redes IDS e IPS. Disponvel em: <http://www.dei.unicap.br/~almir/seminarios/2004.2/ts04/ipsids/index.html>.
[4] Deteco de Intrusos com Snort. Disponvel em: <http://www.4linux.com.br/whitepaper/snort_418.php;
[5] ANTUNES Chen Leonardo. Diferenas entre IDS e IPS. Disponvel em: <http://www.mettasecurity.com.br/artigo003.html>;
[6] SILVEIRA Klaubert Herr da. Desafios para os sistemas de Deteco de Intrusos (IDS). Disponvel em: <http://www.rnp.br/newsgen/0011/ids.html>;
[7] SOLHA Liliana Esther Velsquez Alegre; TEIXEIRA Renata Cicilini; PICCOLINI Jacomo Dimmit Boca. Tudo que voc precisa saber sobre os ataques DDoS. Disponvel em: <http://www.rnp.br/newsgen/0003/ddos.html>;
[8] NOGUEIRA Toniclay Andrade BATISTA Othon Marcelo Nunes. Negao de Servio: Implementaes, Defesas e Repercusses. Disponvel em: <http://wwwlinhadecodigo.com.br>;
[9] GLEISER Marcelo.Tempo, Vida e Entropia. Disponvel em: <http://www.fisicabrasil.hpg.ig.com.br/tempo_entropia.html>;
[10] Teoria da Informao Conceito. Disponvel em: <http://pt.wikipedia.org/>;
73
[11] SHANNON, C. E. 1948. A mathematical theory of communication. The Bell System Technical Journal;
[12] OLIVEIRA Fred I. de. Snort + ACID + MySQL. Porto Velho/RO. Disponvel em: <http://www.dicas-l.com.br>.
[13]Info Online / Guia de Produtos / Produtos de Segurana. Disponvel em: <http://info.abril.com.br/produtos/detalhe>;
[14] Appliances McAfee IntruShield Network IPS. Disponvel em: <http://www.mcafee.com/br/enterprise/products/network_intrusion_prevention
[15] STANGER James; LANE T.Patrick; DANIELYAN Edgar. Rede Segura Linux. Editora Alta Books.
[16] RAMALHO, NICOLAU, TOLEDO. Os Fundamentos da Fsica 2. Editora Moderna.
[17] CASTWELL Brian, editor tcnico da SNORT.org; BEALE Jay; FOSTER C. James; POSLUNS Jeffrey, Consultor Tcnico. Snort 2 Sistema de Deteco de Intruso Open Source. Editora Alta Books. [18] MONSORES Marcelo Lus; ZIVIANE Artur; Rodriguez Paulo Srgio Silva. Deteco de Anomalias de Trfego usando Entropia No-Extensiva. Laboratrio Nacional de Computao Cientfica (LNCC/MCT).Trabalho com participao de aluno.
74

IDS IPS e Entropia

Hochgeladen von

Dokumentinformationen

Originalbeschreibung:

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

IDS IPS e Entropia

Hochgeladen von

Copyright:

Verfügbare Formate

FUNDAO DE APOIO ESCOLA TCNICA DO ESTADO DO RIO DE JANEIRO INSTITUTO SUPERIOR DE TECNOLOGIA EM CINCIA DA COMPUTAO LABORATRIO NACIONAL DE COMPUTAO

SAULO VITOR BORBA EVANGELISTA

SISTEMAS DE DETECO DE INTRUSOS E SISTEMAS DE PREVENO DE INTRUSOS: PRINCPIOS E APLICAO DE ENTROPIA

SAULO VITOR BORBA EVANGELISTA

SISTEMAS DE DETECO DE INTRUSOS E SISTEMAS DE PREVENO DE INTRUSOS: PRINCPIOS E APLICAO DE ENTROPIA

ORIENTADOR: Prof. Fbio Borges

SAULO VITOR BORBA EVANGELISTA

SISTEMAS DE DETECO DE INTRUSOS E SISTEMAS DE PREVENO DE INTRUSOS: PRINCPIOS E APLICAO DE ENTROPIA

minha famlia que muito me incentivou para concluso deste trabalho. 4

ndice 1 Introduo ..................................................................................................................... 11

Camadas de Rede e Protocolos

Aplicao Apresentao Sesso Transporte Rede Enlace Fsica

Aplicao Apresentao Sesso Transporte Rede Enlace Fsica

Dados Dados Dados

Figura 3: Padro de pilha TCP/IP [2].

IDS e IPS - Comparativo

Tcnicas de Intruso O principal objetivo de um intruso aumentar alguns privilgios dentro de um

Figura 4: Modelo de arquitetura com NIDS e HIDS [5].

Desafios para um IDS

SSL Este protocolo executado entre a camada de transporte e a de aplicao.Veja

figura 5: Aplicao HTTP LDAP IMAP

IPSec O IPSec uma extenso do protocolo IP empregado em implementaes VPN. Ele

Payload (dados) Encrypted (criptografados)

Figura 6: IPsec no modo de transporte.

Figura 8: IPSec mquina a mquina [6].

Figura 9: IPSec gateway-a-gateway [6].

Figura 11: Optical Tap. [6]

Fase 3: Realizando o ataque:

Comunicao Atacante-Master Master-Agente Agente-Master

Trin00 27665/tcp 27444/udp ou 1524/tcp 31335/udp

TFN icmp_echoreply icmp_echoreply icmp_echoreply

65000/tcp, icmp/udp/tcp icmp_echoreply 65000/tcp, icmp/udp/tcp icmp_echoreply

IDS x Firewalls Definindo Firewall

Segunda Lei da Termodinmica e Entropia

Entropia No-Extensiva de Tsallis e sua utilizao na Deteco de Anomalias de Trfego

Teoria da Informao Teoria da informao um ramo da teoria da probabilidade e da matemtica

, dispero total (trfego distribudo uniformemente com probabilidade

Opcionais Alguns softwares podem ser instalados para acrescentar funcionalidades na

MySql, Postgres ou Oracle (bancos de dados SQL);

# tar xzvf acid-0.9.6b23.tar.gz -C /var/www/htdocs

Descompacte o ADODB dentro da pasta acid. # tar xzvf adodb491.tgz -C /var/www/htdocs/acid

Agora entre na pasta criada e edite o arquivo acid_conf.php # cd /var/www/htdocs/acid/ # vi acid_conf.php

Figura 17 Modelo de appliance Fortigate 60 69

[1] IDS Conceito. Disponvel em: <http://pt.wikipedia.org/>;

[3] Segurana de Redes IDS e IPS. Disponvel em: <http://www.dei.unicap.br/~almir/seminarios/2004.2/ts04/ipsids/index.html>.

[4] Deteco de Intrusos com Snort. Disponvel em: <http://www.4linux.com.br/whitepaper/snort_418.php;

[9] GLEISER Marcelo.Tempo, Vida e Entropia. Disponvel em: <http://www.fisicabrasil.hpg.ig.com.br/tempo_entropia.html>;

[10] Teoria da Informao Conceito. Disponvel em: <http://pt.wikipedia.org/>;

[13]Info Online / Guia de Produtos / Produtos de Segurana. Disponvel em: <http://info.abril.com.br/produtos/detalhe>;

[14] Appliances McAfee IntruShield Network IPS. Disponvel em: <http://www.mcafee.com/br/enterprise/products/network_intrusion_prevention

[16] RAMALHO, NICOLAU, TOLEDO. Os Fundamentos da Fsica 2. Editora Moderna.

Das könnte Ihnen auch gefallen