tiago_pasa_seminario_02

Propaganda
Curso Superior de Tecnologia em
Redes de Computadores
Projeto Integrador II
2º Seminário de Andamento
Tiago Pasa
[email protected]
SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL
FACULDADE DE TECNOLOGIA SENAC PELOTAS
IDS – Sistema de Detecção de
Intrusão
Sistema de Detecção de Intrusão - IDS
Tiago Pasa
2
Sumário
o Introdução
o Objetivos
o Geral
o Específicos
o Projeto
o Situação atual
o Topologias
o Testes
o Cronograma
o Referências Bibliográficas
o Wiki
3
Introdução
Por que implementar um IDS?
o Crescimento contínuo de incidentes relacionados à
segurança da informação;
o Detectar varreduras de portas e tentativas de acesso;
o Manter a segurança, integridade e confidencialidade das
informações;
o Identificar acessos externos e internos não autorizados;
o Monitoramento constante da rede e servidores que
proveem serviços diversos.
4
Objetivos
o Objetivo Geral:
o Testar software livre de detecção de
intrusão em sistema operacional Linux.
o Objetivos Específicos:
o
o
o
o
5
Pesquisar soluções livres;
Instalar ferramentas de detecção;
Realizar testes e comparações;
Realizar a documentação do processo.
Situação Atual
Soluções livres escolhidas:
o OSSEC (HIDS - Host-based Intrusion Detection
System);
o Snort (IDS/IPS - Network intrusion prevention and
detection system).
Sistemas estão instalados em máquinas
virtuais com sistema operacional Linux.
6
Situação Atual
o OSSEC (HIDS - Host-based Intrusion Detection
System)
o Open source;
o Baseado em host;
o Pode trabalhar como cliente/servidor;
o Capaz de monitorar integridade de arquivos,
detectar rootkits, resposta automática de
incidentes;
o Plataformas Linux, Solaris, AIX, HP-UX,
BSD, Windows, MacOS X e Vmware ESX.
7
Situação Atual
o Snort (IDS/IPS - Network intrusion prevention
and detection system).
o Open source;
o Baseado em rede;
o Capaz de detectar em tempo real quando
um ataque está sendo realizado na rede;
o Plataformas Linux,BSD, Windows, MacOS
X.
8
Topologia Antiga
9
Nova Topologia
DROP
Ports 25,587
forward
output
Personal Network
10
Exemplo de Implementação
11
Situação Atual
OSSEC (HIDS - Host-based Intrusion Detection
System)
o Servidor com função de Honeypot;
o Servidor com portas abertas para internet;
SSH: 22
TELNET: 23
APACHE: 80, 8080 (Net bloqueia 80)
FTP: 20, 21 (Net bloqueia)
o Alterado senha de root com senhas inadequadas
para facilitar acesso de um atacante e
posteriormente monitorá-lo.
12
user: root password: root / 12345 / admin
user: admin password: admin
Situação Atual
OVISLINK ROUTER Bloqueado portas 25, 587 para evitar
envio de spam, a partir do servidor OSSEC.
o Bloqueado acesso a minha rede particular.
13
Situação Atual
OSSEC (HIDS - Host-based Intrusion Detection System);
/var/ossec/bin/ossec-control start
14
Situação Atual
OSSEC WebUI
o Interface web open source para análise.
o Necessita apache e php instalados;
o Configurado acesso com autenticação na interface WebUI;
(Apache -> httpd.conf)
<Directory /var/www/ossec-wui>
Deny from all
AuthType Basic
AuthName "Digite usuario e senha"
AuthUserFile /var/ossec/etc/.htpasswd
Require valid-user
Satisfy Any
</Directory>
o Acesso Externo: http://ossec.serverbeer.com:8080/ossec-wui/
o Acesso Interno: http://192.168.2.101/ossec-wui/
15
Testes
OSSEC WebUI (Interface web open source)
16
Testes
OSSEC WebUI (Interface web open source)
17
Testes
OSSEC WebUI
18
Testes
OSSEC WebUI
19
Testes
OSSEC WebUI
20
Testes
OSSEC WebUI
21
Testes
o OSSEC WebUI
22
Situação Atual
SNORT (IDS/IPS - Network intrusion prevention and
detection system)
o Executando e monitorando a rede na interface eth0
23
Situação Atual
BASE - Basic Analysis and Security Engine
o Interface web open source;
o Necessita apache, mysql e php instalados;
o Ferramenta é um front-end que tem a função de auxiliar no
monitoramento dos alertas do Snort.
Acesso Interno: http://192.168.2.102/snort/
24
Situação Atual
BASE - Basic Analysis and Security Engine
25
Situação Atual
BASE - Basic Analysis and Security Engine
26
Testes
SNORT (IDS/IPS - Network intrusion prevention and
detection system)
27
Testes
SNORT (IDS/IPS - Network intrusion prevention and
detection system)
28
Testes
SNORT (IDS/IPS - Network intrusion prevention and
detection system)
29
Testes
SNORT + OSSEC
Quais BENEFÍCIOS das duas ferramentas?
- Tentativas de acesso não autorizados;
- Tentativa de bruteforce em serviços SSH / Telnet;
- Monitorar acessos efetuados com sucesso;
- Mudança em arquivos de configuração dos sistema;
- Tentativa de fingerprint;
- Varredura de portas;
- Monitorar e detectar tentativas de ataques de Denial of
Service (DOS Attack).
30
Testes
LOCALIZAÇÃO IP´s
http://www.ipligence.com/geolocation
31
Your IP address is 74.125.143.27
City: Mountain View
Country: United States
Continent: North America
Your IP address is 222.163.192.164
City: Changchun
Country: China
Continent: Asia
Your IP address is 61.174.51.229
City: Huzhou
Country: China
Continent: Asia
Your IP address is 116.10.191.169
City: Nanning
Country: China
Continent: Asia
Your IP address is 85.100.203.92
City: Izmir
Country: Turkey
Continent: Europe
Your IP address is 122.224.34.75
City: Shaoxing
Country: China
Continent: Asia
Cronograma
32
Referências Bibliográficas
o
Ossec (2014). Disponível em: http://www.ossec.net/. Acesso em: 18 março 2014.
o
Snort (2014). Disponível em: http://www.snort.org/. Acesso em: 18 março 2014.
o
IDSWakeup (2014). Disponível em: http://www.hsc.fr/. Acesso em: 20 abril 2014.
o
FTester (2014). Disponível em: http:// www.inversepath.com/. Acesso em: 20 abril 2014.
o
Nessus (2014). Disponível em: http:// www.tenable.com /. Acesso em: 20 abril 2014.
o
OpenVAS (2014). Disponível em: http:// www.openvas.org /. Acesso em: 20 abril 2014.
o
Moraes, Alexandre Fernandes de. Segurança em Redes: Fundamentos. Editora Érica Ltda, 2010.
ISBN 978-85-365-0325-7.
o
Nakamura, Emílio Tissato. Segurança de Redes em ambientes Cooperativos. Novatec Editora,
2007. ISBN 978-85-7522-136-5.
o
Diógenes, Yuri. Mauser, Daniel. Certificação Security+. Novaterra Editora e Distribuidora Ltda.
ISBN 978-8561893-03-3.
33
Wiki
o Projeto Integrador II – Projeto 03 (Externo)
o Projeto Integrador II – Projeto 03 (Interno)
34
Download