AULA 06 - Ferramentas de Segurança - IDS e IPS e VPN

Prévia do material em texto

ADMINISTRAÇÃO E SEGURANÇA DE REDES
Ferramentas de Segurança – IDS, IPS e VPN
Carlos Mágno
CAMPUS GARANHUNS
• Conceitos básicos
• Definição
• Fundamentos
• Design
• IDS vs. IPS
• Verdadeiro/Falso – Positivo/Negativo
• Tipos de IDS/IPS
13/09/2019 ASR - Carlos Mágno 2
IDS x IPS - AGENDA
• Tecnologia que examina tráfego na rede para 
detectar/prevenir a exploração de vulnerabilidades;
13/09/2019 ASR - Carlos Mágno 3
IDS/IPS – Conceitos Básicos
• Tecnologia que examina tráfego na rede para 
detectar/prevenir a exploração de vulnerabilidades;
13/09/2019 ASR - Carlos Mágno 4
IDS/IPS – Conceitos Básicos
• Tecnologia que examina tráfego na rede para 
detectar/prevenir a exploração de vulnerabilidades;
13/09/2019 ASR - Carlos Mágno 5
IDS/IPS – Conceitos Básicos
• Um IDS (Sistema de Detecção de Intrusão) e IPS 
(Sistema de Prevenção de Intrusão), são sistemas 
que tem por função detectar e prevenir os acessos 
não autorizados às redes ou hosts de uma ou mais 
redes, sendo portanto grandes aliados dos 
administradores de redes na manutenção da 
segurança dos ambientes por eles controlados.
• Estes sistemas podem ser implementados com a 
utilização de hardwares dedicados à estas funções, 
ou através da instalação de softwares com esta 
função em hardwares já existentes na rede, como 
um switch, um roteador, ou mesmo em um ou 
vários servidores ou desktops.
13/09/2019 ASR - Carlos Mágno 6
O que são?
• É uma ferramenta utilizada para monitorar o tráfego 
da rede, detectar e alertar sobre ataques e tentativas 
de acessos indevidos. Na grande maioria das vezes 
não bloqueia uma ação, mas verifica se esta ação é 
ou não uma ameaça para um segmento de rede.
• A vantagem de se utilizar um IDS é que ele não 
interfere no fluxo de tráfego da rede.
13/09/2019 ASR - Carlos Mágno 7
IDS
• Como complemento do IDS, temos o IPS, que tem a 
capacidade de identificar uma intrusão, analisar a 
relevância do evento/risco e bloquear determinados 
eventos, fortalecendo assim a tradicional técnica de 
detecção de intrusos.
• O IPS é uma ferramenta com inteligência na maneira 
de trabalhar, pois reúne componentes que fazem 
com que ele se torne um repositório de logs e 
técnicas avançadas de alertas e respostas, voltadas 
exclusivamente a tornar o ambiente computacional 
cada vez mais seguro sem perder o grau de 
disponibilidade que uma rede deve ter.
13/09/2019 ASR - Carlos Mágno 8
IPS
• O IPS usa a capacidade de detecção do IDS junto com 
a capacidade de bloqueio de um firewall notificando 
e bloqueando de forma eficaz qualquer tipo de ação 
suspeita ou indevida e é uma das ferramentas de 
segurança de maior abrangência, uma vez que seu 
poder de alertar e bloquear age em diversos pontos 
de uma arquitetura de rede.
13/09/2019 ASR - Carlos Mágno 9
IPS
13/09/2019 ASR - Carlos Mágno 10
IDS/IPS – Funcionamento
ATAQUE ASSINATURA
Script Vulnerability *%$mcUJ$$#
Database parser bMb$#564#
Browser exploit mHnI8^
.
.
.
x16.000
.
.
.
x16.000
• Coleta, análise e armazena informações de 
informações;
• Responde as atividades suspeitas.
13/09/2019 ASR - Carlos Mágno 11
IDS/IPS – Funcionamento
13/09/2019 ASR - Carlos Mágno 12
IDS/IPS – Conceitos Básicos
13/09/2019 ASR - Carlos Mágno 13
IDS X IPS
COMPARAÇÃO IDS IPS
Deployment Não Inline Inline
Latência
Delay
Não Sim
DoS Não Sim
Previne Ataque Não Sim
• IDS é uma solução passiva de segurança ao passo que 
IPS, é uma solução ativa de segurança.
• Em um sistema passivo, o IDS detecta uma potencial 
violação da segurança, registra a informação (log) e 
dispara um alerta. Em um sistema reativo, o IDS 
responde à atividade suspeita finalizando a sessão de 
usuário ou reprogramando o Firewall para bloquear o 
tráfego de rede da fonte maliciosa suspeitada.
13/09/2019 ASR - Carlos Mágno 14
Diferença entre IDS e IPS
• Já o IPS é, definitivamente, o nível seguinte de 
tecnologia de segurança com sua capacidade para 
fornecer segurança em todos os níveis de sistemas, 
desde o núcleo do sistema operacional até os pacotes 
de dados da rede. Ele provê políticas e regras para o 
tráfego de rede – juntamente com o IDS para emitir 
alertas para administradores de sistemas e redes em 
casos de tráfego suspeito.
13/09/2019 ASR - Carlos Mágno 15
Diferença entre IDS e IPS
13/09/2019 ASR - Carlos Mágno 16
Diferença entre IDS e IPS
13/09/2019 ASR - Carlos Mágno 17
IDS/IPS
TRUE/POSITIVE TRUE/NEGATIVE
FALSE/POSITIVIE FALSE/NEGATIVO
• Baseado no conhecimento.
• Base de assinaturas de ataques conhecidos
• Rede neural.
• Baseado no comportamento.
• Desvios dos usuários ou dos sistemas, quanto a um 
padrão de normalidade.
• Análise estatística afim de encontrar possíveis 
mudanças de comportamento: por exemplo, aumento 
súbito de tráfego.
• Problemas: falsos negativos e muitos falsos positivos.
13/09/2019 ASR - Carlos Mágno 18
IDS/IPS – Metodologia de detecção
• Tipos de IDS
• Baseado em Host
• Baseado em Rede
• Hibrido
• Tipos de IPS
• Baseado em Host
• Baseado em Rede
• Honeypots
13/09/2019 ASR - Carlos Mágno 19
IDS/IPS - TIPOS
• Monitoramento de sistemas (máquinas).
• Tomam as informações nos arquivos de logs ou de 
agentes de auditoria.
• Monitoram acessos e alterações em arquivos do 
sistema, modificações em privilégios dos usuários, 
processos do sistema e programas em execução.
• Arquivos corrompidos podem ser backdoors.
13/09/2019 ASR - Carlos Mágno 20
HIDS – IDS baseado em Host
• Tripware;
• Swatch;
• Portsentry;
• TCP Wrapper.
13/09/2019 ASR - Carlos Mágno 21
Exemplos de HIDS
• Verificar o sucesso ou falha de um ataque.
• Ataques que ocorrem fisicamente num servidor 
podem ser detectados.
• Ataques que utilizam criptografia podem não ser 
notados pelos NIDS, mas descobertos pelos HIDS, 
pois o SO primeiro decifra os pacotes.
• Independem da topologia da rede.
• Geram poucos “falsos positivos”, que são alarmes 
falsos de ataques.
• Não necessita de hardware adicional.
13/09/2019 ASR - Carlos Mágno 22
Características fortes dos HIDS
• Fica difícil de configurar e gerenciar em todos os 
hosts de uma rede.
• É dependente do SO. HIDS para Linux é diferente de 
um HIDS Windows.
• Não é capaz de detectar ataques de rede como 
Smurf.
• Necessita de espaço de armazenamento adicional 
para os registros do sistema.
• Não têm bom desempenho em sistemas operacionais 
que geram poucas informações de auditoria.
• Apresenta diminuição do desempenho do host 
monitorado.
13/09/2019 ASR - Carlos Mágno 23
Características fracas dos HIDS
• Monitora o tráfego no segmento de rede.
• Interface de rede atuando no modo prosmícuo.
• Detecção realizada com a captura de pacotes e 
análise dos cabeçalhos e conteúdos.
13/09/2019 ASR - Carlos Mágno 24
NIDS - IDS baseado em Rede
• RealSecure;
• NFR;
• Snort.
13/09/2019 ASR - Carlos Mágno 25
Exemplos de NIDS
• Monitoramento pode ser fornecido por múltiplas 
plataformas.
• Ataques como: portscanning, IP spoofing, SYN 
flooding podem ser detectados.
• Pode monitorar portas conhecidas como a porta TCP 
80 do HTTP.
• Pode detectar tentativas de ataques (ataques que 
não tiveram resultados).
• Fica mais difícil um cracker apagar seu rastro.
• Impõe dificuldades para o cracker saber se existe ou 
não um NIDS.
• Não causa impacto no desempenho da rede.
13/09/2019 ASR - Carlos Mágno 26
Características Positivas dos NIDS
• Não são capazes de monitorar tráfego cifrado.
• Perda de pacotes em redes saturadas.
13/09/2019 ASR - Carlos Mágno 27
Características Negativas dos NIDS
• Funcionam como armadilhas para os crackers.
• Não contém dados ou informações importantes para 
a organização.
• Seu único propósito é passar-se por um equipamento 
legítimo da organização.
• É configurado para interagir como o atacante.
• Detalhes de ataques podem ser capturados e 
estudados.
13/09/2019 ASR - Carlos Mágno 28
Honeypots
ADMINISTRAÇÃO E SEGURANÇA DE REDES
Ferramentas de Segurança – VPN
Carlos Mágno
CAMPUS GARANHUNS
•O que é uma VPN
• Funcionamento
• Benefícios
• Usos “Informais”
• Whatsapp
• Proxy
• Perigos
13/09/2019 ASR - Carlos Mágno 30
VPN - AGENDA
• A VPN é uma rede privada virtual, considerada 
de acesso restrito, construído sobre a infra-
estrutura de uma rede pública (recurso público, 
sem controle sobre o acesso aos dados), 
normalmente a Internet, um tipo específico de 
ligação entre redes Intranet que utiliza a 
Internet como meio de conexão, ou através de 
links dedicados ou redes de pacotes(como X.25 
e frame relay, ou rádios digitais) para conectar 
redes remotas.(WERNER 1998).
13/09/2019 ASR - Carlos Mágno 31
Definição de VPN
• Os seguintes protocolos utilizados no túnel 
virtual: 
• IPSec - Internet Protocol Security;
• L2TP - Layer 2 Tunneling Protocol, (L2F) Layer 2 
Forwarding;
• PPTP - Point-to-Point Tunneling Protocol.
• O protocolo escolhido serão responsável pela 
conexão e a criptografia entre os hosts da rede 
privada. Eles podem ser normalmente habilitados 
através de um servidor Firewall.
13/09/2019 ASR - Carlos Mágno 32
Protocolos usados em VPN
• Virtual Private Network
13/09/2019 ASR - Carlos Mágno 33
VPN – O que é uma VPN?
13/09/2019 ASR - Carlos Mágno 34
VPN – O que é uma VPN?
• Confidencialidade: Tendo em vista que estarão 
sendo utilizados meios públicos de 
comunicação, a tarefa de interceptar uma 
sequência de dados é relativamente simples. É 
imprescindível que os dados que trafegam 
sejam absolutamente privados, de forma que, 
mesmo que sejam capturados, não possam ser 
entendidos.
• Protocolos: AES e 3DES
13/09/2019 ASR - Carlos Mágno 35
Funções Básicas - VPN
• Integridade: Na eventualidade dos dados 
serem capturados, é necessário garantir que 
estes não sejam adulterados e encaminhados, 
de tal forma a evitar que tentativas nesse 
sucesso, permitindo que somente dados válidos 
sejam recebidos por aplicações suportadas pela 
VPN.
• Protocolos: SHA e MD5
13/09/2019 ASR - Carlos Mágno 36
Funções Básicas - VPN
• Autenticidade: Somente usuários e 
equipamentos que tenham sido autorizados a 
fazer parte de uma determinada VPN é que 
podem trocar dados entre si; ou seja, um 
elemento de uma VPN somente reconhecerá 
dados originados por um segundo elemento 
que seguramente tenha autorização para fazer 
parte da VPN.
• Formas: PSK e Certificados Digitais
13/09/2019 ASR - Carlos Mágno 37
Funções Básicas - VPN
• Ampliara área de conectividade;
• Aumentar a segurança;
• Reduzir custos operacionais (em relação a uma rede WAN);
• Reduzir tempo de locomoção e custo de transporte dos 
usuários remotos;
• Aumentara produtividade;
• Simplificara topologia da rede;
• Proporcionar melhores oportunidades de relacionamentos 
globais;
• Prover suporte ao usuário remoto externo;
• Prover retorno de investimento mais rápido do que a 
tradicional WAN.
13/09/2019 ASR - Carlos Mágno 38
Benefícios para uma empresa - VPN
13/09/2019 ASR - Carlos Mágno 39
EXEMPLO DE VPN
13/09/2019 ASR - Carlos Mágno 40
VPN – Usos informais
13/09/2019 ASR - Carlos Mágno 41
VPN – Usos informais
13/09/2019 ASR - Carlos Mágno 42
VPN – Usos informais
13/09/2019 ASR - Carlos Mágno 43
VPN – Usos informais
13/09/2019 ASR - Carlos Mágno 44
VPN – PERIGOS
1. O que é uma VPN? Quais tipos?
2. Quais são os quatros principais benefícios da VPN? 
Explique.
3. Qual a finalidade o IDS e IPS? Quais são as 
diferenças entre eles?
4. Quais tipos de IDS?
5. Quais cenários eu posso implementar um IDS ou 
IPS?
6. Quais metodologias de detecção do IDS?
7. Por que utilizar um Honeypots?
13/09/2019 ASR - Carlos Mágno 45
Exercício