Curso Superior de Tecnologia em Redes de Computadores Projeto Integrador II 2º Seminário de Andamento Tiago Pasa [email protected] SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL FACULDADE DE TECNOLOGIA SENAC PELOTAS IDS – Sistema de Detecção de Intrusão Sistema de Detecção de Intrusão - IDS Tiago Pasa 2 Sumário o Introdução o Objetivos o Geral o Específicos o Projeto o Situação atual o Topologias o Testes o Cronograma o Referências Bibliográficas o Wiki 3 Introdução Por que implementar um IDS? o Crescimento contínuo de incidentes relacionados à segurança da informação; o Detectar varreduras de portas e tentativas de acesso; o Manter a segurança, integridade e confidencialidade das informações; o Identificar acessos externos e internos não autorizados; o Monitoramento constante da rede e servidores que proveem serviços diversos. 4 Objetivos o Objetivo Geral: o Testar software livre de detecção de intrusão em sistema operacional Linux. o Objetivos Específicos: o o o o 5 Pesquisar soluções livres; Instalar ferramentas de detecção; Realizar testes e comparações; Realizar a documentação do processo. Situação Atual Soluções livres escolhidas: o OSSEC (HIDS - Host-based Intrusion Detection System); o Snort (IDS/IPS - Network intrusion prevention and detection system). Sistemas estão instalados em máquinas virtuais com sistema operacional Linux. 6 Situação Atual o OSSEC (HIDS - Host-based Intrusion Detection System) o Open source; o Baseado em host; o Pode trabalhar como cliente/servidor; o Capaz de monitorar integridade de arquivos, detectar rootkits, resposta automática de incidentes; o Plataformas Linux, Solaris, AIX, HP-UX, BSD, Windows, MacOS X e Vmware ESX. 7 Situação Atual o Snort (IDS/IPS - Network intrusion prevention and detection system). o Open source; o Baseado em rede; o Capaz de detectar em tempo real quando um ataque está sendo realizado na rede; o Plataformas Linux,BSD, Windows, MacOS X. 8 Topologia Antiga 9 Nova Topologia DROP Ports 25,587 forward output Personal Network 10 Exemplo de Implementação 11 Situação Atual OSSEC (HIDS - Host-based Intrusion Detection System) o Servidor com função de Honeypot; o Servidor com portas abertas para internet; SSH: 22 TELNET: 23 APACHE: 80, 8080 (Net bloqueia 80) FTP: 20, 21 (Net bloqueia) o Alterado senha de root com senhas inadequadas para facilitar acesso de um atacante e posteriormente monitorá-lo. 12 user: root password: root / 12345 / admin user: admin password: admin Situação Atual OVISLINK ROUTER Bloqueado portas 25, 587 para evitar envio de spam, a partir do servidor OSSEC. o Bloqueado acesso a minha rede particular. 13 Situação Atual OSSEC (HIDS - Host-based Intrusion Detection System); /var/ossec/bin/ossec-control start 14 Situação Atual OSSEC WebUI o Interface web open source para análise. o Necessita apache e php instalados; o Configurado acesso com autenticação na interface WebUI; (Apache -> httpd.conf) <Directory /var/www/ossec-wui> Deny from all AuthType Basic AuthName "Digite usuario e senha" AuthUserFile /var/ossec/etc/.htpasswd Require valid-user Satisfy Any </Directory> o Acesso Externo: http://ossec.serverbeer.com:8080/ossec-wui/ o Acesso Interno: http://192.168.2.101/ossec-wui/ 15 Testes OSSEC WebUI (Interface web open source) 16 Testes OSSEC WebUI (Interface web open source) 17 Testes OSSEC WebUI 18 Testes OSSEC WebUI 19 Testes OSSEC WebUI 20 Testes OSSEC WebUI 21 Testes o OSSEC WebUI 22 Situação Atual SNORT (IDS/IPS - Network intrusion prevention and detection system) o Executando e monitorando a rede na interface eth0 23 Situação Atual BASE - Basic Analysis and Security Engine o Interface web open source; o Necessita apache, mysql e php instalados; o Ferramenta é um front-end que tem a função de auxiliar no monitoramento dos alertas do Snort. Acesso Interno: http://192.168.2.102/snort/ 24 Situação Atual BASE - Basic Analysis and Security Engine 25 Situação Atual BASE - Basic Analysis and Security Engine 26 Testes SNORT (IDS/IPS - Network intrusion prevention and detection system) 27 Testes SNORT (IDS/IPS - Network intrusion prevention and detection system) 28 Testes SNORT (IDS/IPS - Network intrusion prevention and detection system) 29 Testes SNORT + OSSEC Quais BENEFÍCIOS das duas ferramentas? - Tentativas de acesso não autorizados; - Tentativa de bruteforce em serviços SSH / Telnet; - Monitorar acessos efetuados com sucesso; - Mudança em arquivos de configuração dos sistema; - Tentativa de fingerprint; - Varredura de portas; - Monitorar e detectar tentativas de ataques de Denial of Service (DOS Attack). 30 Testes LOCALIZAÇÃO IP´s http://www.ipligence.com/geolocation 31 Your IP address is 74.125.143.27 City: Mountain View Country: United States Continent: North America Your IP address is 222.163.192.164 City: Changchun Country: China Continent: Asia Your IP address is 61.174.51.229 City: Huzhou Country: China Continent: Asia Your IP address is 116.10.191.169 City: Nanning Country: China Continent: Asia Your IP address is 85.100.203.92 City: Izmir Country: Turkey Continent: Europe Your IP address is 122.224.34.75 City: Shaoxing Country: China Continent: Asia Cronograma 32 Referências Bibliográficas o Ossec (2014). Disponível em: http://www.ossec.net/. Acesso em: 18 março 2014. o Snort (2014). Disponível em: http://www.snort.org/. Acesso em: 18 março 2014. o IDSWakeup (2014). Disponível em: http://www.hsc.fr/. Acesso em: 20 abril 2014. o FTester (2014). Disponível em: http:// www.inversepath.com/. Acesso em: 20 abril 2014. o Nessus (2014). Disponível em: http:// www.tenable.com /. Acesso em: 20 abril 2014. o OpenVAS (2014). Disponível em: http:// www.openvas.org /. Acesso em: 20 abril 2014. o Moraes, Alexandre Fernandes de. Segurança em Redes: Fundamentos. Editora Érica Ltda, 2010. ISBN 978-85-365-0325-7. o Nakamura, Emílio Tissato. Segurança de Redes em ambientes Cooperativos. Novatec Editora, 2007. ISBN 978-85-7522-136-5. o Diógenes, Yuri. Mauser, Daniel. Certificação Security+. Novaterra Editora e Distribuidora Ltda. ISBN 978-8561893-03-3. 33 Wiki o Projeto Integrador II – Projeto 03 (Externo) o Projeto Integrador II – Projeto 03 (Interno) 34