Detecção de intrusão
CIDF - Common Intrusion Detection Framework
E - gerador
de eventos ou sensores; seu trabalho é detectar eventos e enviar
relatos
A - recebem relatoriosd eventos e analisam. Devemm oferecer uma
prescrição e recomendar um curso de ação
D - banco de dados; determinam se um endereço IP ou um ataque
foi percebido anteriormente e fazem análise de tendências
R - recebem informações de E, A e D e respondem ao evento
Na figura, um sistema está sob ataque e os módulos
R interagem para bloquear o ataque
Detecção
-
Correlação IP
-
Assinatura do ataque
-
Portas
-
ataques usuais
-
SYN flood, scan, back door, IMAP, POP3
-
ICMP DoS, smurf (máscaras), teardrop (baseado em UDP)
-
echo (UDP 7) e chargen (UDP 19)
-
Doom (porta 666), Quake
-
land, ping mortal
-
portas nunca antes acessadas
-
Novos endereços
-
Cavalos de Troia (ICQ, IRC), DNS (poison cache)
TCPquad: Data, Hora, IP origem, Porta origem, IP destino,
porta destino, identificador do protocolo
Ferramentas de inspeção de vulnerabilidades
nmap
-
conexão TCP básica
-
TCP SYN
-
TCP FIN, Xmas, NULL
-
TCP ftp proxy (bounce)
-
SYN/FIN udando fragmentos IP
-
UDP ICMP
-
ICMP scanning
-
TCP ping scanning
-
identiifcação do sistema operacional remoto mediante TCP/IP
fingerprinting
-
Reverse-ident scanning
Respostas
-
Retardar resposta
-
Desfazer conexão TCP (mas outra conexão pode ser aberta em
decorrência do ataque)
-
Isolar (usando SNMP set ifAdminStatus)