Artigo Cientifico Exemplo clique aqui

1
ANÁLISE E IMPLEMENTAÇÃO DE UM SISTEMA DE DETECÇÃO E
PREVENÇÃO DE INTRUSÃO UTILIZANDO A FERRAMENTA IPS-1.
1
Sarah Milani ,
2
1
Andersown Becher
RESUMO
Como componente meramente essencial em uma rede de computadores, o firewall atua na
grande maioria das vezes como filtro de pacotes, limitando-se a bloquear apenas conexões
em portas e endereços IP definidos. Diante da necessidade de reforçar a segurança da
informação, este artigo apresenta a implementação e análise da ferramenta IPS-1. Trata-se
de uma solução inovadora software blade para detecção e prevenção de intrusos, que
compõe a arquitetura de segurança dos produtos Check Point® Software Technologies Ltd,
empresa líder mundial em segurança corporativa. Para validar a performance do IPS-1
quanto a funcionalidade de detecção e prevenção de ataques, será realizado um estudo de
caso onde é apresentada toda a configuração do ambiente de teste, a seleção das
ferramentas necessárias, seleção das categorias de ataques, geração do tráfego de ataque,
bem como os resultados obtidos para cada classe de ataque gerado.
Palavras-chave: IPS-1, IPS, ataque, segurança da informação.
ABSTRACT
As a mere essential component in a computer network, the firewall works mainly as a
package filter. It has to block just definite connections in ports and IP addresses. Due to the
necessity of strengthening the information security, this paper presents the implementation
and analysis of tool titled IPS-1. It is an innovative solution software blade for detention
and prevention of intruders that composes the security architecture of the products Check
Point® Software Technologies Ltd, a world-wide leader company in corporative security.
In order to validate the performance of the IPS-1 related to the functionality of detention
and prevention of attacks, it was carried out a case study where the whole test
configuration environment, the election of the necessary tools, the election of the attack
categories, the generation of the traffic attack, as well as the results obtained for each
category of generated attack are presented.
Keywords: IPS-1, IPS, attack, information security.
1. INTRODUÇÃO
Em virtude do crescimento exponencial da Internet nos últimos anos, a utilização desta
incrível ferramenta em ambientes corporativos tornou-se uma necessidade e não mais um
mero diferencial no mercado. Entretanto, casos de empresas que já foram vítimas de algum
1
2
Centro de Processamento de Dados de Mato Grosso - Cepromat. [email protected]
Prof. Andersown Becher Paes de Barros – ICE, [email protected]
2
tipo de ataque à segurança da informação, bem como os prejuízos imensuráveis associado
a esses incidentes, se tornam cada vez mais freqüentes.
Visando manter um ambiente computacional seguro, tendo como base os princípios da
segurança da informação, o administrador de rede deve estar não apenas ciente dos riscos
que a sua empresa pode estar exposta, mas também estar preparado para desenvolver e
implementar estratégias de segurança que visem minimizar e controlar os riscos e impactos
proporcionados.
Atualmente, o administrador de rede carrega uma cruz. Não basta apenas aplicar
patches de correções, manter o software atualizado, ou implementar regras de firewall. Há
a necessidade de algo que alerte em tempo real as tentativas de invasão. (ORTALE, 2001,
p.01)
Ferramentas como sistemas de antivírus e firewall atualmente são imprescindíveis,
porém deixam lacunas que quando bem exploradas expõe as corporações a grandes riscos
como invasão de sistemas, roubo, alteração e destruição de informações. Muitas vezes tais
incidentes só são identificados quando o mesmo encontra-se indisponível para acesso, o
que pode ser tarde demais e já ter gerado grandes prejuízos.
Neste contexto, a monitoração contra ataques e intrusões, tornou-se um dos pontos
chave na estrutura de segurança de uma rede de computadores, auxiliando o administrador
de rede a prevenir ataques e a agir quando o mesmo é iniciado ou detectado.
Este estudo tem como objetivo apresentar uma solução alternativa para reforçar a
segurança de rede através da implementação do IPS-1, sistema de detecção e prevenção de
intrusão da Check Point.
2. IDS, IPS e IDPS
Diante da necessidade de complementar e reforçar a segurança da informação surgem
os sistemas de detecção de intrusão (IDS2) e os sistemas de prevenção de intrusão (IPS3).
Silva (2007, p. 57) define detecção de intrusão como o processo de monitoração de
eventos em sistemas computacionais em rede ou no tráfego de rede, onde a verificação
destes objetiva-se em encontrar traços de intrusões, ataques, mau uso, ou ações que violem
a política de segurança da organização.
Existem diversos tipos de ferramentas IDS para diferentes plataformas, porém as
ferramentas IDS trabalham basicamente de modo parecido, ou seja, analisando os pacotes
que trafegam na rede e comparando-os com assinaturas já prontas de ataques,
identificando-os de forma fácil e precisa qualquer tipo de anomalia ou ataque que possa vir
a ocorrer em sua rede/computador. As correspondências de ataques são descobertas através
da comparação dos dados do pacote com assinaturas de ataques armazenadas em banco de
dados.
Atualmente, o termo IPS tem sido utilizado para representar um conjunto de
ferramentas que além de detectar o ataque também é capaz de bloquear o tráfego deste,
impedindo sua continuidade e prevenindo danos subseqüentes. Como complemento do
IDS, o IPS tem a capacidade de identificar uma intrusão, fazer a análise da relevância do
evento e bloquear determinados eventos, fortalecendo assim a tradicional técnica de
detecção de intrusos. Desta forma, um IPS poderia agir localmente sobre uma tentativa de
intrusão impedindo que ela atinja seus objetivos e minimizando os possíveis danos.
2
IDS - Intrusion Detection System.
3
IPS - Intrusion Prevention System.
3
Existem algumas controvérsias quanto ao uso do conceito de IPS para representar uma
nova classe de ferramentas. Alguns autores salientam que agregar apenas a função de
reação aos sistemas de detecção de intrusão não justifica a criação de uma nova
terminologia. Outros, entretanto, entendem que a execução de medidas pró-ativas de
bloqueio no próprio sistema já é suficiente para classificá-lo de outra forma.
Para resolver estas controvérsias, este trabalho usará as terminologias adotadas por
Scarfone e Mell (2007, p. 2-1) e abordará a categoria IDPS4. Algumas soluções IDS e IPS
oferecem muitas vezes as mesmas capacidades, permitindo que os administradores
desabilitem as funções gerais dos sistemas de prevenção de intrusos, fazendo com que
estes funcionem e atuem apenas como IDS.
O software escolhido para implementação e análise neste artigo, oferece
funcionalidades tanto de sistemas de detecção de intrusos quanto de sistemas de prevenção
de intrusos. Assim, podemos classificá-lo como uma solução IDPS.
3. IPS-1
A arquitetura “Software Blade” trata-se de um conceito revolucionário introduzido pela
Check Point em 2009, que permite consolidar funções de segurança em um único sistema.
Oferece através desta, gerenciamento centralizado a uma plataforma integrada e flexível
composta por vários módulos de segurança independentes, denominados softwares blades.
A solução IPS-1 faz parte do conjunto de softwares blades oferecidos pela Check Point
(CHECK POINT, 2009).
A vantagem desta arquitetura se dá a partir da simplicidade de configuração,
permitindo adicionar soluções através da simples ativação de funcionalidades no gateway.
Outro ponto favorável é a flexibilidade dos recursos e configurações, sendo possível
migrar softwares de um sistema para outro, consolidar diversos softwares em uma única
plataforma, e ainda definir níveis de acesso aos recursos de hardware por software blade.
O IPS-1 está disponível em dois métodos de implantação:
 IPS-1 Software Blade – integra-se a solução Check Point Security Gateway para
fornecer uma camada de segurança para além da tecnologia de firewall Check
Point.
 IPS-1 Sensor - instalado sem o Check Point Firewall e dedicado a proteger o
segmento de rede contra tentativas de intrusão.
Neste trabalho será apresentada as fases de implementação e análise para o módulo “IPS-1
Software Blade”. O nível de proteção da solução IPS-1 inclui as seguintes funcionalidades
(CHECK POINT, 2010):
 Detecção e prevenção de vulnerabilidades conhecidas.
 Detecção e prevenção de falhas, como por exemplo, proteção contra CVE’s5
específicos.
4
5
IDPS - Intrusion Detection and Prevention Systems.
Common Vulnerabilities and Exposures: Define-se como um padrão no tratamento e divulgação de
informações sobre vulnerabilidades reportadas. O CVE (Common Vulnerabilities and Exposures) é um banco
de dados público em que todos interessados possam obter acesso a informações sobre vulnerabilidades.
4
 Detecção e prevenção do uso indevido de protocolo, que em muitos casos indica
que atividade maliciosa ou ameaça em potencial. Exemplos de protocolos
geralmente manipulados em ataques: HTTP, SMTP, POP e IMAP.
 Detecção e prevenção de comunicação de saída de malware.
 Detecção e prevenção de tentativas de tunelamento. Estas tentativas podem indicar
o vazamento de dados ou de tentativas para contornar as medidas de segurança, tais
como filtragem web.
 Detecção, prevenção ou restrição de certas aplicações que, em muitos casos,
consomem a largura de banda podendo provocar ameaças à segurança da rede, tais
como aplicações Peer to Peer e Instant Messaging.
 Detecção e prevenção de tipos de ataque genérico, sem qualquer assinatura prédefinida.
4. ESTUDO DE CASO
Para validar as funcionalidades de prevenção e detecção apresentadas anteriormente,
foi necessário definir e configurar os cenários para gerar o tráfego de ataques.
Nesta seção serão abordadas todas as configurações e especificações realizadas para
montar o ambiente de testes, bem como as ferramentas utilizadas, a rotina de ataques
programada e os demais procedimentos envolvidos na fase de validação das
funcionalidades do software IPS-1.
A metodologia proposta neste estudo de caso é composta pelas seguintes etapas:
1. Definição do ambiente de simulação;
2. Seleção das ferramentas utilizadas;
3. Classificação dos ataques;
4. Ataques propostos;
5. Geração do tráfego de ataques.
A seguir serão apresentas todas as fases listadas bem como, todas as operações nelas
executadas.
4.1 Definição do ambiente de teste
O escopo desta etapa do trabalho foi modelar um ambiente de testes que se
identificasse o máximo possível a um ambiente de rede sob ataque real, através do qual
serão feitas análises do tráfego durante a realização das simulações de ataques. Dessa
forma, o ambiente proposto para o desenvolvimento dos testes buscou simular uma
pequena rede corporativa, segmentada em três cenários:
 Rede externa de ataque (10.0.0.0/8) - composta pela maquina “Attacker”;
 Rede interna (11.0.0.0/8) - representada pelo host “Target”, como alvo de destino
dos ataques;
 Rede de Gerência (192.168.42.0/24) – configurada para gerenciamento do
software IPS-1.
O ambiente de teste configurado para implementar e validar o software IPS-1, foi
baseado em máquinas virtuais, conforme apresentado na topologia a seguir.
5
Figura 1 – Topologia do Ambiente de teste configurado para validar a solução IPS-1
Na Figura 1, observa-se entre a rede “Alvo” e a rede “Ataque”, encontra-se
configurado o host “KillBill”, maquina virtual rodando o IPS-1 integrado à solução de
firewall FW-1, atuando também como gateway da rede. Ambas soluções (FW-1/IPS-1)
fazem parte da arquitetura de software Blade da Checkpoint, versão R71. O host “Console
R71” é a máquina física onde estão instaladas as VMs. A partir dela serão acessados todos
os consoles de gerenciamento e monitoramento do software IPS-1, por isso encontra-se na
rede “Gerência” - 192.168.42.0.
Para que a solução de firewall não interfira no processo de avaliação dos ataques
analisados pelo IPS-1, foi adicionada e aplicada apenas uma regra no firewall, permitindo
o acesso de qualquer origem para qualquer destino em qualquer porta.
4.2 Seleção de Ferramentas
Essa etapa foi dedicada à obtenção de ferramentas que permitissem reproduzir o
cenário de avaliação proposta na topologia do ambiente de teste, apresentada anteriormente
na Figura 1.
4.2.1 IPS Demo Toolkit
Nos hosts “Attacker” e “Target” foram instalados a distribuição IPS Demo Toolkit,
trata-se de uma distribuição de um sistema operacional proprietário desenvolvido pela
Check Point. Através do IPS Demo Toolkit é possível simular vários tipos de ataques, bem
como configurar um ambiente honeypot, este segundo processo será descrito mais adiante.
Reúne diversas técnicas para realização de testes de intrusão, estes foram subdivididos em
categorias distintas de acordo com as características e alvo de ataque. Entre os scripts
disponíveis do IPS Demo Toolkit, podemos encontrar os mais diversos tipos de ataques,
entre eles: ataque Syn, Ping of death, ataques da camada de aplicação como o FTP bounce,
6
dentre outros. Quando determinado tipo de ataque é selecionado, é executado um script
pré-configurado para atacar a maquina alvo (Target).
Na máquina Target, nosso alvo de intrusões nessa arquitetura, foi configurado um
Honeypot. Segundo Spitzner (2002, p.6) Honeypots são sistemas criados para atraírem e
serem comprometidos por um atacante, gerando um registro histórico de todas as ações
feitas neste ataque. Após o comprometimento dos sistemas é possível extrair informações
que auxiliam na implementação de um mecanismo de defesa ou até mesmo para gerar
alertas de invasão. Shirey (2007, p. 142) define Honeypot como um sistema (servidor web,
por exemplo) ou recurso de sistema (um arquivo em um servidor) que é projetado para
atrair crackers e intrusos em potencial, como uma armadilha.
As máquinas Honeypot executam serviços falsos, que respondem como seus originais,
mas na verdade estão fazendo outras operações totalmente diferentes.
4.2.2 BACKTRACK
BackTrack é atualmente uma das melhores distribuições Linux com foco em
ferramentas de segurança e testes de penetração (PenTest). Pode ser usado diretamente do
CDROM (Live CD), possui interface gráfica (KDE, Flux Box, etc), e em minutos, pode
disponibilizar um conjunto de aplicações específicas para: obtenção de informações e
reconhecimento (Footprinting); enumeração e scanning; testes em Web Servers; testes em
redes wireless; exploit e obtenção de acesso; elevação de privilégios, manutenção de
acessos e dentre outras operações. A versão utilizada neste trabalho, BackTrack 4, surgiu a
partir da fusão de duas distribuições bem difundidas - Whax e Auditor Security
Collectione. A versão 4 - codename pwnsauce, adota um sistema baseado nas distribuições
Debian e Ubuntu (8.10 i386 32 bits) com o seu próprio repositório, oferecendo uma vasta
gama de software gerenciável através do gestor de pacotes APT (BACKTRACK, 2010).
4.3 Classificação dos Ataques
A classificação dos ataques no processo de avaliação de sistemas de detecção e
prevenção de intrusão permite descrever aspectos relevantes quanto ao contexto dos mais
diferentes ataques, isto é, entender a seqüência de passos e ações executadas para a
realização de atividades não autorizadas e que de alguma forma coloquem em risco a
estabilidade da rede e de seus serviços.
O conhecimento do contexto de um ataque permite a realização de uma série de
medidas para minimizar a probabilidade de que tais eventos sejam bem sucedidos.
Nessa etapa o objetivo é selecionar um conjunto de ataques que explore características
técnicas únicas entre si. Ao invés de simplesmente reunir um conjunto de ataques, esta
etapa do estudo de caso limitou-se em selecionar ataques cuja detecção seja possível a
partir diferentes mecanismos de detecção existentes no IPS-1. Dessa forma, os ataques
selecionados nessa etapa, representam um conjunto de características ímpares que
permitem avaliar as diferentes capacidades de detecção e não simplesmente a base de
assinaturas dessas ferramentas.
A seleção da rotina de ataques foi dividida em duas categorias: Network Security e
Application Intelligence.
4.3.1 Network Security
7
Os ataques desta seleção são direcionados ao nível de segurança do protocolo
TCP/IP visando comprometer a integridade das conexões da camada de rede. Engloba todo
e qualquer ataque que altere de alguma forma a legitimidade e a estrutura do pacote IP.
Como por exemplo, ataques de IP Fragments, Max Ping Size, Null Payload ICMP.
4.3.2 Application Intelligence
Muitas das mais sérias ameaças da Internet vêm de ataques que tentam explorar as
vulnerabilidades de aplicativos. Como os ataques orientados à aplicações tendem a ser
mais sofisticados, os mecanismos de defesa devem ser igualmente sofisticados e eficaz
para detectar os mesmos.
Nesta seção, serão encontrados ataques que exploram as vulnerabilidades da
camada de Aplicação. Nessas categorias serão encontrados desde ataques a banco de dados
MS-SQL até ataques de aplicativos peer to peer, como por exemplo, Kaaza, eMule e
BitTorrent.
4.4 Ataques Propostos
Depois de definir as categorias das rotinas de ataques conforme o objeto alvo e
demais características técnicas, será elaborada a seleção de ataques utilizados na fase de
avaliação do software IPS-1.
Dando continuidade a sequência das etapas definidas anteriormente, esta seção
apresenta os ataques que irão compor o cenário de validação do sistema de detecção e
prevenção IPS-1. Assim, foram escolhidos aleatoriamente ataques que explorem
vulnerabilidades distintas, tendo como objetivo validar os diferentes mecanismos de
detecção e prevenção do software IPS-1.
A Tabela 1 apresenta a classificação dos ataques escolhidos de acordo com suas
respectivas categorias e as ferramentas utilizadas para simular determinado tráfego de
ataque.
Categorias
Network Security
Application Control
Ataques
Ping of Death
TCP Syn Flood
Teardrop
LAND
IMAP Buffer Overflow
FTP Bounce
FTP Brute Force
Bit Torrent
Squid DoS
Wins Replication
MS SQL Scanner
Ferramentas
IPS Demo Toolkit
BackTrack 4
IPS Demo Toolkit
IPS Demo Toolkit
IPS Demo Toolkit
IPS Demo Toolkit
BackTrack 4
IPS Demo Toolkit
IPS Demo Toolkit
IPS Demo Toolkit
BackTrack 4
Tabela 1 – Classificação e Seleção da rotina de ataques propostos.
A fim de proporcionar uma melhor compreensão diante dos resultados obtidos, a
seguir será realizada uma breve descrição técnica do funcionamento dos ataques
selecionados.
4.4.1 Network Security
8
 Ping of Death
A RFC 791 específica que o tamanho máximo de um pacote IP é 65.535 bytes. Um
ataque Ping of Death consiste em enviar um pacote IP com um tamanho maior de bytes
para o host que se deseja atacar. Um datagrama IP de 65,536 bytes, por exemplo,
corresponderia a um pacote IP inválido, e isso é possível devido à forma como o pacote é
fragmentado (dividido em blocos para transmissão) (JUNIPER, 2010, p.55).
 TCP SYN Flood
Um ataque SYN Flood ocorre quando um host torna-se sobrecarregado devido à várias
solicitações de conexões incompletas realizadas por pacotes SYN, passando a não mais
responder à solicitações de conexões legítimas. Assim, ao inundar um computador com
conexões TCP incompletas, o atacante finalmente preenche o buffer de memória da vítima.
Uma vez que este buffer está cheio, o servidor atacado não pode mais processar novas
conexões TCP. Este ataque pode danificar o sistema operacional do host atacado, e de
qualquer maneira, desativa suas operações normais (JUNIPER, 2010, p. 40).
 Teardrop
Ataque Teardrop explora as falhas de fragmentação e remontagem de pacotes IP. O
cabeçalho IP contém campos de controle necessários para lidar como problemas de
fragmentação. Cada fragmento se parece com o pacote IP original, entretanto o campo
offset especifica a posição correta dos fragmentos no pacote desfragmentado original. Um
ataque Teardrop cria uma série de fragmentos IP que sobrepõem os campos offset
(JUNIPER, 2010, p.56).
 Land
Este ataque explora a função spoofing e ataque SYN. Basicamente, consiste em enviar
para a máquina alvo um pacote com SYN (pedido de conexão) usando o endereço desta
máquina como endereços de origem e destino e um mesmo número de porta nas portas de
origem e destino. O sistema receptor responde enviando um pacote SYN-ACK para si,
criando uma conexão vazia que permance ativo enquanto o tempo limite não é atingido,
gerando um loop. Este ataque pode sobrecarregar o sistema, provocando uma negação de
serviço (JUNIPER, 2010, p. 54).
4.4.2 Application Intelligence
 IMAP Buffer Overflow
O IMAP6 trata-se de um protocolo padrão para acessar emails, fornecendo funções de
gerenciamento de mensagens recebidas a partir de um servidor remoto. Ataques do tipo
“Buffer Overflow” podem ser gerados através da alteração dos argumentos repassados por
comandos, por exemplo, “EXAMINE” e “SELECT” quanto durante o processo de login.
6
IMAP - Internet Message Access Protocol.
9
Esta vulnerabilidade pode ser explorada remotamente pelo atacante, podendo comprometer
a disponibilidade do serviço.
 FTP Bounce
Hosts executando serviços desatualizados de FTP podem retransmitir numerosos ataques
TCP, incluindo o port scanning. Há uma falha no modo como muitos servidores FTP lidam
com conexões através do comando PORT, que permite que dados possam ser enviados
para hosts e portas especificados pelo usuário (MCNAB, 2008, p. 56).
Assim, este ataque permite que um servidor seja utilizado como um "proxy" entre o
atacante e o host alvo, atuando como ponto de acesso a outras conexões. Dessa forma, o
atacante pode mascarar a sua origem, pois para a máquina alvo o ataque origina-se do
servidor FTP.
 FTP Brute Force
Em ataques do tipo força bruta, o atacante busca se autenticar através de métodos
exaustivos de tentativa e erro, testando várias combinações de usuários e senhas. Utiliza
como base de pesquisa listas com diversas palavras e combinações alfa-numérico,
disponíveis para download na Internet. Quanto maior a wordlist, maior a probabilidade de
conseguir quebrar a autenticação de determinado serviço. Nesse caso o objeto alvo de
ataque será o serviço de FTP.
 Bit Torrent Attack
BitTorrent é uma arquitetura para redes Peer-to-Peer (P2P) cujo foco principal é a
distribuição eficiente de conteúdos. Para entender como age um ataque BitTorrent,
primeiramente será descrito como funciona sua arquitetura.
Segundo Erman et al., (2005) a obtenção de dados em uma rede BitTorrent pode ser
dividida em fases, conforme ilustra a Figura 2.
A primeira fase corresponde à obtenção do arquivo de metadados que representa um
determinado conteúdo. Na segunda fase, uma entidade centralizada, denominada tracker, é
utilizada como ponto de encontro. A última etapa compreende a troca de peças visando a
obtenção de todas as partes do conteúdo (KONRATH, 2007).
Ataques de BitTorrent exploram a facilidade em obter identidades e "envenenam" o
tracker (fase 2) para, em seguida, disseminar ações maliciosas (fase 3). Um atacante,
portanto, pode valer-se desta vulnerabilidade e criar várias identidades (KONRATH 2007).
Figura 2 – Fases de um download através do BitTorrent. Fonte: (KONRATH, 2007)
 Squid DoS Attack
10
Recentemente foi lançada uma notificação de atualização de segurança para o Proxy
Squid, devido ao processo de validação de dados incorretos. Assim, o Squid foi dado como
uma aplicação vulnerável a ataques de negação de serviço durante o processamento de
determinados pacotes de solicitação DNS e diante do método TRACE (SQUID CACHE,
2010).
Diante desta vulnerabilidade, serão realizados ataques de negação de serviço, tendo
como principal objetivo tornar indisponível o servidor de Proxy.
 Wins Replication Attack
O serviço WINS7 é responsável por desempenhar as funções de registro de nome e
resolução de nome Netbios associado ao endereço IP em redes internas. O boletim de
segurança lançado pela Microsoft em alerta para a descoberta de uma vulnerabilidade de
execução remota de códigos no WINS devido à forma como ele lida com a validação de
nome no computador. Um invasor pode explorar a vulnerabilidade construindo um pacote
de rede mal-intencionado capaz de permitir a execução remota de códigos em um sistema
afetado. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle
total de um sistema afetado, comprometendo a integridade e disponibilidade deste serviço
(MICROSOFT 2009).
 SQL Scan
A busca por vulnerabilidades é um dos passos iniciais na anatomia de um ataque, e o
mesmo acontece com o uso de scanner, que através da emissão de pacotes e a suas
respectivas respostas compõem um quadro de vulnerabilidade do alvo em questão. Para
simular este ataque será realizado um scanner que busca vulnerabilidades relacionadas ao
sistema gerenciador de banco de dados, MS SQL.
4.5 Geração do tráfego de ataques
Depois de selecionado e classificado os ataques em suas respectivas categorias, será
necessário reproduzir o tráfego destes ataques no ambiente de simulação. Para que isso
fosse possível, algumas operações foram realizadas:
 Ativação do Ambiente HoneyPot
Como já foi descrito anteriormente, a máquina “Target” representa nosso alvo de
intrusão. Para que o ambiente esteja habilitado para receber a rotina de ataques é
necessário ativar a configuração de HoneyPot neste host, selecionando a opção “1 – Start
HoneyPot “. Ao selecionar esta função, vários serviços falsos serão iniciados na máquina
Target com o objetivo de simular serviços reais sendo executados em portas de conexão
padrão.
 Configuração das proteções do IPS-1
7
WINS - WindowsInternet Name Services.
11
Para habilitar as ações de inspeção do IPS-1 diante de determinado tráfego de ataque é
necessário setar as configurações de suas proteções. Estas proteções podem ser
configuradas manualmente de acordo com as necessidades de cada ambiente.
A solução IPS-1, classificada como um IDPS, permite configurar, por proteção, o
modo de atuação como “Prevent” (atuando como IPS) ou “Detect” (atuando como IDS).
Como estaremos avaliando as funcionalidades de prevenção do IPS-1, as seguintes
proteções foram habilitadas como “Prevent”:
- Ping of Death;
- Teardrop;
- LAND;
- IMAP Servers Overly Long Commands Buffer overflow;
- FTP Bounce;
- Bit Torrent;
- Squid Proxy TRACE Request Remote Denial of Service;
- Microsoft WINS Replication Attack;
- Network Quota;
- MS SQL Monitor Protocol;
 Coleta do Log de tráfego de Ataque
A ferramenta “SmartView Tracker”, aplicativo que compõe o box de soluções de
segurança dos produtos Check Point, permite coletar e visualizar informações detalhadas
de todas as conexões da sua rede em tempo real. Através deste é possível realizar uma
auditoria do tráfego de rede, customizar filtros de log de conexão e exportá-los em
arquivos de texto ou para um banco de dados externo.
Neste caso, esta ferramenta será utilizada para visualização dos logs de conexões e
ações do IPS-1. Assim, deverá ser iniciado antes de ser gerado o tráfego de ataque, para
que seja possível acompanhar em tempo real as conexões logadas.
4.6 Reprodução do tráfego de ataque
Para facilitar o entendimento da metodologia abordada neste trabalho, as rotinas de
ataques foram divididas em dois cenários.
4.6.1 Cenário 1: Ataques gerados pelo IPS Demo Toolkit
Este cenário é composto pelo host “Attacker” (IP: 10.0.0.2) atuando como host atacante
através da opção número 2 do menu do IPS Demo Toolkit – “Start Attack Tool”.
Conforme foi descrito anteriormente, a ferramenta IPS Demo Toolkit é composta por
vários scripts de ataques pré-configurados. Para que o tráfego seja gerado é necessário
apenas selecionar determinado tipo de ataque e este já será direcionado para a maquina
“Target” (IP: 11.0.0.2).
Para simular os ataques da categoria “Network Security” foi utilizado o script
“Targa2”. Este script é composto por diversas funções e métodos de ataque, foi utilizado
para gerar o tráfego dos seguintes ataques da classe “Network Security”: ping of death,
teardrop e land. Para executar o ataque ping of death foi utilizada função de ataque “jolt
attack” que compõe o script targa2. Trata-se de um simples script escrito em C capaz de
gerar pacotes IP com tamanho superior à 65,535 bytes. O script completo encontra-se
disponível em: http://mixter.void.ru/targa2.c.
12
Já os ataques da categoria Application Intelligence, foram reproduzidos a partir da
função Replay. Trata-se de uma forma particular de ataque em que parte de uma
transmissão de rede é gravada e reproduzida posteriormente. O fluxo armazenado é
composto por uma coleção de pacotes onde cada pacote representa um segmento do fluxo,
que pode ser repetido por qualquer cliente ou servidor (WHELLER, 2008).
Todos os pacotes contendo informações coletadas de tráfego malicioso estão
disponíveis em /morphix/IPS/cap nos hosts rodando o IPS Demo Toolkit.
A sintaxe da função “replay” utilizada para gerar o tráfego malicioso segue o
mesmo padrão para todos os ataques, diferenciando apenas na referencias dos arquivos
*.replay e portas de conexão utilizadas. Veja a seguir os comandos e os parâmetros
processados para os ataques IMAP Buffer Overflow, FTP Bounce, Bit Torrent, Squid DoS
e Wins Replication, respectivamente.
-
replay-client.pl –t 15 –m –c 11.0.0.2 –p 143 –f cap/IMAPBlock_SELECT_CMD_BO.replay –s 65000
-
replay-client.pl
–t
15
–m
cap/ftp_bouce.replay –s 65000
-
replay-client.pl
–t
15
–m
cap/bittorrent.replay –s 65000
-
replay-client.pl
–t
15
–m
–c
11.0.0.2
–p
3128
–f
cap/Squid_Proxy_TRACE_Request_Vulnerability.replay –s 65000
-
replay-client.pl
–t
15
cap/wins.replay –s 65000
–m
–c
–c
–c
11.0.0.2
11.0.0.2
11.0.0.2
–p
–p
–p
21
–f
2240
–f
42
–f
4.6.2 Cenário 2: Ataques gerados pelo Back Track
Para executar o ataque SYN Flood, da categoria “Network Security” foi utilizado o
módulo “TCP SYN Flooder”, um dos módulos disponíveis na ferramenta Metasploit
Framework 3. Este aplicativo encontra-se disponível na coleção de exploits e ferramentas
auxiliares da distribuição Back Track.
A Figura 3 apresenta a configuração realizada para gerar 1000 conexões SYN com
destino ao host Target (IP:11.0.0.2) na porta 80 (HTTP).
13
Figura 3 – Configuração do Módulo TCP SYN Flooder no Back Track, para gerar o tráfego do ataque “SYN
Flood”
O ataque consiste em enviar várias solicitações de conexão do endereço de origem
forjado. Como resultado, os usuários legítimos ficam impedidos de fazer uso dos serviços
prestados pelo host alvo.
Para simular os ataques “FTP Brute Force” e “MS SQL Scanner”, ambos da categoria
“Application Intelligence”, foi utilizado o softwares Hydra e a função mssqlscan,
respectivamente.
Através do software Hydra é possível efetuar ataques de brute force nos protocolos
TELNET, FTP, HTTP, HTTPS, HTTP-PROXY, SMB, SMBNT, MS-SQL, MYSQL,
REXEC, RSH, RLOGIN, CVS, SNMP, SMTP-AUTH, SOCKS5, VNC, POP3, IMAP,
NNTP, PCNFS, ICQ, SAP/R3, LDAP2, LDAP3, Postgres, Teamspeak, Cisco auth, Cisco
enable, LDAP2, Cisco AAA. Neste caso, foi escolhido o protocolo FTP do host Target –
11.0.0.2.
Para isso, foi necessário realizar o download de uma “wordlist”, as palavras desta lista
foram utilizadas nas combinações de senhas durante as tentativas de ataques brute force. O
ataque realizado validou combinações de senhas para o usuário “root”. O seguinte
comando foi utilizado para realizar este ataque:
# hydra –l root –P wordlist.lst –f –V 11.0.0.2 ftp
Para executar o trafego MS SQL Scanner foi utilizado o script mssqlscan.sh,
disponível em /pentest/database/mssqlscan. Esta pequena ferramenta faz uma varredura de
servidores MS SQL em determinado local de destino. O comando foi submetido a partir da
seguinte sintaxe:
# mssqlscan -t 11.0.0.2 -o <output to file>
5. COLETA E ANÁLISE DOS RESULTADOS
A metodologia de validação abordada neste trabalho tem como objetivo avaliar a
capacidade de detecção e prevenção da ferramenta IPS-1, bem como analisar a exatidão em
relação à identificação do tráfego de ataque diante da sua base de proteções.
5.1 Identificação do Tráfego de Ataque
14
Para facilitar a compreensão dos resultados obtidos, as análises serão apresentadas
conforme foi definido no item “Reprodução do Tráfego de Ataque”, descrito
anteriormente. Portanto, o processo de identificação do tráfego de ataque segue a mesma
classificação de cenários.
5.1.1 Cenário 1: Resultados obtidos para ataques gerados pelo IPS Demo Toolkit
 Categoria: Network Security
Depois de executado o ataque “Ping of Death” com destino ao host “Target”
(11.0.0.2), o tráfego detectado pelo console de log do Tracker Checkpoint mostra o
bloqueio de vários pacotes ICMP enviados a maquina alvo, como pode ser visto na Figura
4.
Pode-se observar, nesta mesma figura, que para apenas um tráfego gerado, foram
detectadas duas formas de ataques, IP Fragments e Ping of Death, ambas utilizando o
mesmo tipo de proteção, por assinatura. Ao analisar a descrição da ameaça nas
propriedades das respectivas assinaturas, identificou-se que ambas as proteções referem-se
à manipulação de fragmentação IP.
Figura 4 - Bloqueio do tráfego de ataque "Ping of Death"
É importante ressaltar que primeiramente o ataque foi identificado pelo mecanismo da
proteção “IP Fragments” e foi posteriormente registrado como “Ping of Death”, como foi
apresentado no log do Tracker. Assim, podemos concluir que o mecanismo de detecção e
prevenção do IPS-1, registrou o ataque em duas fases. A primeira fase acionou a proteção
“IP Fragments, pois neste momento o ataque gerado executou o processo de fragmentação
dos pacotes. A segunda fase reconheceu o ataque como “Ping of Death”, pois após os
pacotes serem remontados, verificou-se que o tamanho excedia o padrão normal de um
pacote IP.
Diante deste evento, é importante reconhecer a necessidade de entender como
determinados tipos de ataques ocorrem e a relação entre eles, contribuindo assim para uma
melhor compreensão e análise do evento de intrusão.
O tráfego de ataque “Teardrop” segue o mesmo evento descrito anteriormente,
entretanto dessa vez, o tráfego foi primeiramente identificado e bloqueado pela proteção
“Teardrop” e logo a seguir foi acionada também a proteção “IP Fragments”. Um ataque
Teardrop explora as falhas de fragmentação e remontagem de pacotes IP. Dessa forma, o
IPS-1 ao inspecionar as informações do pacote IP detectou falhas no processo de
remontagem dos pacotes, devido à sobreposição da ordem de montagem definida pelo
campo “offset”, acionando a proteção “Teardrop”. Por se tratar de um tráfego de ataque
15
onde existe o processo de fragmentação de IP, também foi ativada a proteção “IP
Fragments”.
O tráfego de ataque “Land” foi bloqueado pela proteção do tipo “Signature”,
denominada “Land”. Em ataques Land, é enviado para a máquina alvo um pacote SYN
ligado com o endereço IP de origem e destino idênticos, gerando um loop, como pode ser
visto na Figura 5.
Figura 5 – Tráfego de ataque Land com origem e destino idênticos, bloqueado pelo IPS-1
Outro fator relevante que deve ser observado em ataques Land é que não apenas os
endereços IPs (origem/destino) são idênticos, mas também as portas de conexão, esse
evento pode ser identificado ao visualizar as propriedades do tráfego capturado, como
mostra a Figura 6.
Figura 6 - Portas de conexão de origem e destino idênticas.
 Categoria: Application Intelligence
O tráfego de ataque de buffer overflow para o protocolo IMAP foi bloqueado e
reconhecido como ataque “IMAP Protocol Violation”.
O campo “Attack Information”, apresentado na Figura 6, confirma a ação do tráfego de
ataque gerado: SELECT command buffer overflow, sendo preciso quanto ao processo de
identificação do ataque.
16
Figura 7 – Tráfego de ataque Buffer overflow bloqueado e identificado com ataque de violação ao protocolo
IMAP.
O tráfego de reprodução do ataque “FTP Bounce, foi detectado e bloqueado pela
proteção “FTP Bouce” do tipo “Protocol Anomaly”.
Ao acessar as propriedades do registro, verificou-se que o campo “Attack
Information” confirma a ocorrência de uma incompatibilidade no campo “PORT” do
tráfego gerado, alegando que a porta de conexão do cabeçalho IP é diferente,
caracterizando um legítimo ataque “FTP Bounce. A Figura 8 mostra a descrição desse
evento no campo “Attack Information”.
Figura 8 - Tráfego de Ataque FTP Bounce bloqueado por armazenar informações distintas na estrutura do
pacote
Ao ser reproduzido, o ataque da categoria de aplicações “peer-to-peer” - Bit Torrent,
foi detectado e bloqueado, pela proteção “Bit Torrent”. Quando o IPS inspeciona o tráfego
de conexões HTTP para aplicações peer-to-peer, não só as portas são validadas, mas
também toda conexão de solicitação e resposta HTTP.
O ataque “Squid Dos” foi detectado como “Proxy Server Enforcement” e bloqueado
pelo mecanismo de prevenção da proteção “Squid Proxy TRACE Request Remote Denial
of Service”. Ao visualizar as propriedades adicionais do tráfego capturado, foi observado
que o campo “Attack Information” confirma a execução de uma solicitação TRACE
manipulada para explorar falhas do serviço de Proxy (Squid).
Depois de executado o ataque de “Wins Replication”, a proteção “Microsoft WINS
Replication Attack” foi acionada, bloqueando o tráfego de ataque. A propriedade do
17
tráfego de ataque também confirma a operação maliciosa executada, informando: “Ataque
de Replicação do Protocolo Microsoft WINS por conexões TCP”.
5.1.2 Cenário 2: Resultados obtidos para ataques gerados pelo Back Track
 Categoria: Network Security
O ataque “TCP SYN Flood”, configurado para gerar 1000 conexões SYN na porta 80
(HTTP), foi capturado pelo log do Smart View Tracker e bloqueado pela proteção
“Network Quota”. Através desta proteção é possível definir um número total de conexões,
excedendo este limite o tráfego é reconhecido como tráfego de ataque. Neste caso, o
número de conexões foi definido para 100, como mostra a Figura 9.
Figura 9 - Limitando número de conexões por segundo a partir da mesma origem através da proteção
Network Quota
 Categoria: Application Intelligence
Ao reproduzir o tráfego de ataque “FTP Brute Force” através do software Hydra, todas
as tentativas de conexões foram bloqueadas pela proteção “Network Quota” e detectadas
pela proteção “Syn Attack”.
Como já havíamos configurado anteriormente a proteção Network Quota para bloquear
conexões que excedessem 100 conexões por segundo, este tráfego foi também foi barrado.
Já a proteção “Syn Attack” foi configurada apenas para “detectar”, monitorando apenas as
conexões. A Figura 10 mostra o log capturado desses eventos.
Figura 10 - O tráfego do ataque “FTP Brute Force” foi bloqueado e detectado por proteções distintas.
Deve-se ressaltar que essas configurações devem ser alteradas diante da estrutura e
necessidade de cada ambiente de rede. Para uma rede de pequeno porte, 50 conexões por
segundo pode configurar uma tentativa de ataque. Entretanto, ao analisarmos o tráfego
interno de uma rede de grande porte, para um mesmo intervalo de tempo, esta estatística
pode representar um tráfego provavelmente legítimo. Portanto, é necessário que essas
estatísticas sejam analisadas antes de configurar e habilitar determinadas proteções do IPS1.
18
Ao gerar uma rotina de scan para Bancos de Dados MSSQL no host de destino
(Target), o registro capturado é identificado como “MS-SQL Monitor Protocol
Enforcement Violation” pela proteção “MS-SQL Monitor Protocol”. Ao verificar os
registros adicionais do tráfego capturado, pode-se identificar no campo “Attack
Information” que foi detectado vazamento de informações de versão na conexão, evento
condizente às propriedades de uma rotina de atividades scan. Assim, todo o tráfego gerado
pelo MS SQL Scanner foi bloqueado.
6. CONSIDERAÇÕES FINAIS
No decorrer deste artigo foi apresentado todo o processo de implementação e análise da
ferramenta IPS-1, que permitiu adicionar uma camada adicional à segurança da informação
através de funcionalidades de detecção e prevenção de intrusão, atuando juntamente com a
solução de firewall.
A fim de validar estas funcionalidades, o software blade IPS-1 foi submetido a uma
seleção de rotinas de ataques. Durante a fase de seleção das rotinas de ataque, foram
definidos dois grupos: “Network Security” e “Application Intelligence”, com o intuito de
explorar funcionalidades distintas, possibilitando uma avaliação mais ampla e detalhada do
IPS-1.
Outro fator que intensificou o processo de validação foi a escolha de ferramentas
independentes para gerar o tráfego de ataque, sendo uma destas, solução proprietária da
Check Point (IPS Demo Toolkit), e a outra, uma das distribuições mais populares com foco
em testes de seguranças e testes de penetração (BackTrack).
A metodologia de avaliação proposta para este trabalho validou a capacidade de
detecção e prevenção do IPS-1, bem como a correlação entre o tráfego identificado e o
tráfego reproduzido. Deste modo, foi possível constatar diante dos registros de log
capturados, que o software blade IPS-1 detectou e bloqueou todos os tráfegos de ataques
gerados. Ao analisar os detalhes fornecidos em cada log, foi possível identificar um alto
nível de precisão entre o tráfego de ataque reproduzido e os eventos identificados pelo
mecanismo de detecção e prevenção do software. Dessa forma, o IPS-1 mostrou-se
eficiente diante dos requisitos avaliados.
Faz-se necessário lembrar que o processo de atualização da base de proteções do IPS-1,
como qualquer outra solução para este fim, deve ser configurado de modo que possa
manter-se constantemente atualizado.
Como proposta para trabalhos futuros, pretende-se ampliar a metodologia de validação
do IPS-1 incluindo uma nova classe na rotina de ataques, “Web Intelligence”. Esta
categoria adicional iria validar as proteções de servidores e clients web contra ataques de
Cross-Site Scripting e demais métodos como LDAP Injection, SQL Injection e Command
Injection.
REFERÊNCIAS
BACKTRACK. BackTrack Linux - Penetration Testing Distribution. 2010. Disponível
em: http://www.backtrack-linux.org/.
CHECK POINT. Check Point Software Technologies Ltd. Check Point - Software
Blades Architecture. 2009. Disponível em: http://www.checkpoint.com/.
19
CHECK POINT. Check Point Software Technologies Ltd. Check Point – Intrusion
Prevention System - IPS. 2010. Disponível em: http://www.checkpoint.com/.
ERMAN, D., ILIE, D., and POPESCU, A. Bittorrent session characteristics and models.
In Proceedings of the 3rd International Working Conference on Performance
Modelling and Evaluation of Heterogeneous Networks, pages P30/ 1-P30/10. 2005.
Disponível
em:
http://www.comp.brad.ac.uk/het-net/HETNETs05/ReadCamera05/P30.pdf
JUNIPER, Networks Inc. Attack Detection and Defense Mechanisms.Disponível em:
http://www.juniper.net/techpubs/software/screenos/screenos6.2.0/ce_v4.pdf.
KONRATH, Marlom. Estudo das Vulnerabilidades da Arquitetura Bit Torrent, Ataques
e Contramedidas Possíveis. 2007. Disponível em: http://bdtd.unisinos.br/
MCNAB, Chris. Network Security Assessment. 2nd Edtion. O’Reilly Books, 2008. 478 p.
MICROSOFT. Microsoft Security Bulletin MS09-039 – Critical Vulnerabilities in WINS
Could
Allow
Remote
Code
Execution.
2009.
Disponível
em:
http://www.microsoft.com/technet/security/bulletin/ms09-039.mspx.
ORTALE, P. Snort IDS. 2001. Disponível em:
http://www.linuxsecurity.com.br/sections.php?op=viewarticle&artid=10.
RFC791. Postel, J., Information Sciences Institute University of Southern California,
Defense Advanced Research Projects Agency Information Processing Techniques
Office, Internet Protocol - DARPA Internet Protocol Specification, RFC 791, September
1981. Disponível em: http://www.ietf.org/rfc/rfc791.txt.
SCARFONE, K. MELL, P. Guide to Intrusion Detection and Prevention Systems
(IDPS), National Institute of Standards and Technology (NIST). Special Publication 80094, 2007.
SHIREY, R. Internet Security Glossary, Version 2 RFC 4949. Internet Engineering Task
Force, Network Working Group, 2007. Disponível em: http://www.ietf.org/rfc/rfc4949.
SILVA, S. L. Uma Metodologia para Detecção de Ataques no Tráfego de Redes Baseada
em Redes Neurais. Tese de Doutorado do Curso de Pós-Graduação em Computação
Aplicada. São José dos Campos SP. INPE, 2007. 256 p.
SPITZNER, L. Honeypot: Tracking Hackers. California, USA: Addison-Wesley Pub Co,
2002.
SQUID CACHE. Squid Proxy Cache Security Update Advisory SQUID-2010:1. 2010.
Disponível em: http://www.squid-cache.org/Advisories/SQUID-2010_1.txt.
WHELLER, E. Replay Attacks. 2008. Disponível em: http://www.sans.org/securityresources/security_plus/replay_attack_sp08.php.