Prévia do material em texto
ADMINISTRAÇÃO E SEGURANÇA DE REDES Ferramentas de Segurança – IDS, IPS e VPN Carlos Mágno CAMPUS GARANHUNS • Conceitos básicos • Definição • Fundamentos • Design • IDS vs. IPS • Verdadeiro/Falso – Positivo/Negativo • Tipos de IDS/IPS 13/09/2019 ASR - Carlos Mágno 2 IDS x IPS - AGENDA • Tecnologia que examina tráfego na rede para detectar/prevenir a exploração de vulnerabilidades; 13/09/2019 ASR - Carlos Mágno 3 IDS/IPS – Conceitos Básicos • Tecnologia que examina tráfego na rede para detectar/prevenir a exploração de vulnerabilidades; 13/09/2019 ASR - Carlos Mágno 4 IDS/IPS – Conceitos Básicos • Tecnologia que examina tráfego na rede para detectar/prevenir a exploração de vulnerabilidades; 13/09/2019 ASR - Carlos Mágno 5 IDS/IPS – Conceitos Básicos • Um IDS (Sistema de Detecção de Intrusão) e IPS (Sistema de Prevenção de Intrusão), são sistemas que tem por função detectar e prevenir os acessos não autorizados às redes ou hosts de uma ou mais redes, sendo portanto grandes aliados dos administradores de redes na manutenção da segurança dos ambientes por eles controlados. • Estes sistemas podem ser implementados com a utilização de hardwares dedicados à estas funções, ou através da instalação de softwares com esta função em hardwares já existentes na rede, como um switch, um roteador, ou mesmo em um ou vários servidores ou desktops. 13/09/2019 ASR - Carlos Mágno 6 O que são? • É uma ferramenta utilizada para monitorar o tráfego da rede, detectar e alertar sobre ataques e tentativas de acessos indevidos. Na grande maioria das vezes não bloqueia uma ação, mas verifica se esta ação é ou não uma ameaça para um segmento de rede. • A vantagem de se utilizar um IDS é que ele não interfere no fluxo de tráfego da rede. 13/09/2019 ASR - Carlos Mágno 7 IDS • Como complemento do IDS, temos o IPS, que tem a capacidade de identificar uma intrusão, analisar a relevância do evento/risco e bloquear determinados eventos, fortalecendo assim a tradicional técnica de detecção de intrusos. • O IPS é uma ferramenta com inteligência na maneira de trabalhar, pois reúne componentes que fazem com que ele se torne um repositório de logs e técnicas avançadas de alertas e respostas, voltadas exclusivamente a tornar o ambiente computacional cada vez mais seguro sem perder o grau de disponibilidade que uma rede deve ter. 13/09/2019 ASR - Carlos Mágno 8 IPS • O IPS usa a capacidade de detecção do IDS junto com a capacidade de bloqueio de um firewall notificando e bloqueando de forma eficaz qualquer tipo de ação suspeita ou indevida e é uma das ferramentas de segurança de maior abrangência, uma vez que seu poder de alertar e bloquear age em diversos pontos de uma arquitetura de rede. 13/09/2019 ASR - Carlos Mágno 9 IPS 13/09/2019 ASR - Carlos Mágno 10 IDS/IPS – Funcionamento ATAQUE ASSINATURA Script Vulnerability *%$mcUJ$$# Database parser bMb$#564# Browser exploit mHnI8^ . . . x16.000 . . . x16.000 • Coleta, análise e armazena informações de informações; • Responde as atividades suspeitas. 13/09/2019 ASR - Carlos Mágno 11 IDS/IPS – Funcionamento 13/09/2019 ASR - Carlos Mágno 12 IDS/IPS – Conceitos Básicos 13/09/2019 ASR - Carlos Mágno 13 IDS X IPS COMPARAÇÃO IDS IPS Deployment Não Inline Inline Latência Delay Não Sim DoS Não Sim Previne Ataque Não Sim • IDS é uma solução passiva de segurança ao passo que IPS, é uma solução ativa de segurança. • Em um sistema passivo, o IDS detecta uma potencial violação da segurança, registra a informação (log) e dispara um alerta. Em um sistema reativo, o IDS responde à atividade suspeita finalizando a sessão de usuário ou reprogramando o Firewall para bloquear o tráfego de rede da fonte maliciosa suspeitada. 13/09/2019 ASR - Carlos Mágno 14 Diferença entre IDS e IPS • Já o IPS é, definitivamente, o nível seguinte de tecnologia de segurança com sua capacidade para fornecer segurança em todos os níveis de sistemas, desde o núcleo do sistema operacional até os pacotes de dados da rede. Ele provê políticas e regras para o tráfego de rede – juntamente com o IDS para emitir alertas para administradores de sistemas e redes em casos de tráfego suspeito. 13/09/2019 ASR - Carlos Mágno 15 Diferença entre IDS e IPS 13/09/2019 ASR - Carlos Mágno 16 Diferença entre IDS e IPS 13/09/2019 ASR - Carlos Mágno 17 IDS/IPS TRUE/POSITIVE TRUE/NEGATIVE FALSE/POSITIVIE FALSE/NEGATIVO • Baseado no conhecimento. • Base de assinaturas de ataques conhecidos • Rede neural. • Baseado no comportamento. • Desvios dos usuários ou dos sistemas, quanto a um padrão de normalidade. • Análise estatística afim de encontrar possíveis mudanças de comportamento: por exemplo, aumento súbito de tráfego. • Problemas: falsos negativos e muitos falsos positivos. 13/09/2019 ASR - Carlos Mágno 18 IDS/IPS – Metodologia de detecção • Tipos de IDS • Baseado em Host • Baseado em Rede • Hibrido • Tipos de IPS • Baseado em Host • Baseado em Rede • Honeypots 13/09/2019 ASR - Carlos Mágno 19 IDS/IPS - TIPOS • Monitoramento de sistemas (máquinas). • Tomam as informações nos arquivos de logs ou de agentes de auditoria. • Monitoram acessos e alterações em arquivos do sistema, modificações em privilégios dos usuários, processos do sistema e programas em execução. • Arquivos corrompidos podem ser backdoors. 13/09/2019 ASR - Carlos Mágno 20 HIDS – IDS baseado em Host • Tripware; • Swatch; • Portsentry; • TCP Wrapper. 13/09/2019 ASR - Carlos Mágno 21 Exemplos de HIDS • Verificar o sucesso ou falha de um ataque. • Ataques que ocorrem fisicamente num servidor podem ser detectados. • Ataques que utilizam criptografia podem não ser notados pelos NIDS, mas descobertos pelos HIDS, pois o SO primeiro decifra os pacotes. • Independem da topologia da rede. • Geram poucos “falsos positivos”, que são alarmes falsos de ataques. • Não necessita de hardware adicional. 13/09/2019 ASR - Carlos Mágno 22 Características fortes dos HIDS • Fica difícil de configurar e gerenciar em todos os hosts de uma rede. • É dependente do SO. HIDS para Linux é diferente de um HIDS Windows. • Não é capaz de detectar ataques de rede como Smurf. • Necessita de espaço de armazenamento adicional para os registros do sistema. • Não têm bom desempenho em sistemas operacionais que geram poucas informações de auditoria. • Apresenta diminuição do desempenho do host monitorado. 13/09/2019 ASR - Carlos Mágno 23 Características fracas dos HIDS • Monitora o tráfego no segmento de rede. • Interface de rede atuando no modo prosmícuo. • Detecção realizada com a captura de pacotes e análise dos cabeçalhos e conteúdos. 13/09/2019 ASR - Carlos Mágno 24 NIDS - IDS baseado em Rede • RealSecure; • NFR; • Snort. 13/09/2019 ASR - Carlos Mágno 25 Exemplos de NIDS • Monitoramento pode ser fornecido por múltiplas plataformas. • Ataques como: portscanning, IP spoofing, SYN flooding podem ser detectados. • Pode monitorar portas conhecidas como a porta TCP 80 do HTTP. • Pode detectar tentativas de ataques (ataques que não tiveram resultados). • Fica mais difícil um cracker apagar seu rastro. • Impõe dificuldades para o cracker saber se existe ou não um NIDS. • Não causa impacto no desempenho da rede. 13/09/2019 ASR - Carlos Mágno 26 Características Positivas dos NIDS • Não são capazes de monitorar tráfego cifrado. • Perda de pacotes em redes saturadas. 13/09/2019 ASR - Carlos Mágno 27 Características Negativas dos NIDS • Funcionam como armadilhas para os crackers. • Não contém dados ou informações importantes para a organização. • Seu único propósito é passar-se por um equipamento legítimo da organização. • É configurado para interagir como o atacante. • Detalhes de ataques podem ser capturados e estudados. 13/09/2019 ASR - Carlos Mágno 28 Honeypots ADMINISTRAÇÃO E SEGURANÇA DE REDES Ferramentas de Segurança – VPN Carlos Mágno CAMPUS GARANHUNS •O que é uma VPN • Funcionamento • Benefícios • Usos “Informais” • Whatsapp • Proxy • Perigos 13/09/2019 ASR - Carlos Mágno 30 VPN - AGENDA • A VPN é uma rede privada virtual, considerada de acesso restrito, construído sobre a infra- estrutura de uma rede pública (recurso público, sem controle sobre o acesso aos dados), normalmente a Internet, um tipo específico de ligação entre redes Intranet que utiliza a Internet como meio de conexão, ou através de links dedicados ou redes de pacotes(como X.25 e frame relay, ou rádios digitais) para conectar redes remotas.(WERNER 1998). 13/09/2019 ASR - Carlos Mágno 31 Definição de VPN • Os seguintes protocolos utilizados no túnel virtual: • IPSec - Internet Protocol Security; • L2TP - Layer 2 Tunneling Protocol, (L2F) Layer 2 Forwarding; • PPTP - Point-to-Point Tunneling Protocol. • O protocolo escolhido serão responsável pela conexão e a criptografia entre os hosts da rede privada. Eles podem ser normalmente habilitados através de um servidor Firewall. 13/09/2019 ASR - Carlos Mágno 32 Protocolos usados em VPN • Virtual Private Network 13/09/2019 ASR - Carlos Mágno 33 VPN – O que é uma VPN? 13/09/2019 ASR - Carlos Mágno 34 VPN – O que é uma VPN? • Confidencialidade: Tendo em vista que estarão sendo utilizados meios públicos de comunicação, a tarefa de interceptar uma sequência de dados é relativamente simples. É imprescindível que os dados que trafegam sejam absolutamente privados, de forma que, mesmo que sejam capturados, não possam ser entendidos. • Protocolos: AES e 3DES 13/09/2019 ASR - Carlos Mágno 35 Funções Básicas - VPN • Integridade: Na eventualidade dos dados serem capturados, é necessário garantir que estes não sejam adulterados e encaminhados, de tal forma a evitar que tentativas nesse sucesso, permitindo que somente dados válidos sejam recebidos por aplicações suportadas pela VPN. • Protocolos: SHA e MD5 13/09/2019 ASR - Carlos Mágno 36 Funções Básicas - VPN • Autenticidade: Somente usuários e equipamentos que tenham sido autorizados a fazer parte de uma determinada VPN é que podem trocar dados entre si; ou seja, um elemento de uma VPN somente reconhecerá dados originados por um segundo elemento que seguramente tenha autorização para fazer parte da VPN. • Formas: PSK e Certificados Digitais 13/09/2019 ASR - Carlos Mágno 37 Funções Básicas - VPN • Ampliara área de conectividade; • Aumentar a segurança; • Reduzir custos operacionais (em relação a uma rede WAN); • Reduzir tempo de locomoção e custo de transporte dos usuários remotos; • Aumentara produtividade; • Simplificara topologia da rede; • Proporcionar melhores oportunidades de relacionamentos globais; • Prover suporte ao usuário remoto externo; • Prover retorno de investimento mais rápido do que a tradicional WAN. 13/09/2019 ASR - Carlos Mágno 38 Benefícios para uma empresa - VPN 13/09/2019 ASR - Carlos Mágno 39 EXEMPLO DE VPN 13/09/2019 ASR - Carlos Mágno 40 VPN – Usos informais 13/09/2019 ASR - Carlos Mágno 41 VPN – Usos informais 13/09/2019 ASR - Carlos Mágno 42 VPN – Usos informais 13/09/2019 ASR - Carlos Mágno 43 VPN – Usos informais 13/09/2019 ASR - Carlos Mágno 44 VPN – PERIGOS 1. O que é uma VPN? Quais tipos? 2. Quais são os quatros principais benefícios da VPN? Explique. 3. Qual a finalidade o IDS e IPS? Quais são as diferenças entre eles? 4. Quais tipos de IDS? 5. Quais cenários eu posso implementar um IDS ou IPS? 6. Quais metodologias de detecção do IDS? 7. Por que utilizar um Honeypots? 13/09/2019 ASR - Carlos Mágno 45 Exercício