Data em que foi respondido: 22/08/00 - 11:15:13
Computador utilizado: zeus-cwb.intranetparana.br (200.201.0.210)
Nome:
Endereco:
Opiniao:
Data em que foi respondido: 23/08/00 - 18:26:50
Computador utilizado: (200.210.215.162)
Nome: Claudia Santos Fernades
Endereco: claudia@apec.unoeste.br
Opiniao: Seria possível implantar um mecanismo de detecção de intrusão
usando um agente RMON? Como? O que posso fazer com os objetos RMON - MIB
para gerar algum alerta de equipe de rede para saber se há uma tentativa
de intrusão.
Sim, é possível implementar um mecanismo de detecção de
intrusão utilizando denições RMON-MIB. Sabemos que o RMON-MIB tem
funções para análise de todos os pacotes que trafegam pela rede,
sendo assim, podemos definir regras de operação que sejam capazes
de distinguir datagramas que são incomuns no ambiente que se
deseja monitorar e, através dos grupos History (que mantem amostras
de estatísticas do grupo Statistc, como CRC, colisões e tamanhos
de pacotes de dados), Alarm (onde é possível definir tempos de
amostragem e variáveis a serem monitoradas, sendo que essas
funcionam em esquema de contador, como por exemplo, caso aconteça
n números de colisões em um determinado tempo de amostragem,
será incrementada uma variável contador que terá a finalidade
de indicar uma determinada ocorrencia), Matrix (que é usado
para gravar informações entre conversas de pares de hosts,
sendo possível identificar hosts que não fariam parte de
determinada subrede), Filter (onde seriam definidas as regras
sob as quais o RMON-MIB trabalharia) e Event (onde o grupo Filter
pode disparar um evento definido no grupo Event, que gera uma
informação que pode ser armazenada nesse grupo ou gerar uma
mensagem SNMP), proporcionar configurações administraveis pelo
gerente de rede, possibilitando maior flexibilidade para condições
adversas de análise. Essa implementação poderia ser realizada em
equipamentos como roteadores (considerando que o mesmo não
deveria ser utilizado devido a sua alta carga de processamento,
o que poderia gerar uma certa lentidão na análise e até mesmo
na rede), switches ou um PC, que nesse caso deveria trabalhar
de forma dedicada na rede para obtenção das informações geradas
pelo agente RMON-MIB.
Seria necessário também um sistema SNMP que possa recuperar
as informações geradas pelo RMON-MIB e disparar alertas para o
gerente da rede sobre a possível intrusão.
Data em que foi respondido: 23/08/00 - 18:37:30
Computador utilizado: (200.210.215.173)
Nome: Francisco Assis da Silva
Endereco: chico@apec.unoeste.br
Opiniao: Sim, seria possível. O agente RMON pode estar num analisador de rede,
numa estação de rede (mesmo num PC) com placa de rede em modo
promiscuo (capturando todos os pacotes do segmento de rede) ou no
roteador (neste caso não é comum, pois o roteador tem um processamento
muito grande). É usualmente mais comum ter o agente RMON num switch
onde enxerga tudo aquilo que está no domínio de colisão das suas
subredes (todos os octetos nos segmentos de rede onde o RMON está
monitorando).
Algumas considerações sobre o RMON - Monitoração Remota: Vai auxiliar
quando não têm agentes SNMP para alguns protocolos, é um conjunto de
agentes a mais no SNMP, define uma adição à MIBII além de comportar
outros grupos de objetos gerenciados. Trabalha no ambiente TCP/IP e
usa SNMP para reportar dados.
Um mecanismo de detecção de intrusão poderia ser implantado, visto
que uma das metas do RMON é poder operar off-line (sem que o gerente
esteja controlando) e também segundo o seu Grupo de Informações, mais
especificamente os Grupo Matrix (posso saber quem está falando com
quem, tenho estatísticas sobre as conversações entre conjunto de dois
endereços, mantém registros de endereços dos hosts, pacotes, bytes,
erros) e o Grupo Filtros (permite que pacotes sejam comparados por um
critério de filtro, permite contabilização por protocolo, o resultado
da comparação pode acarretar a captura do pacote e ou a geração de um
evento). Dessa forma o RMON poderia estar configurado fazendo uso da
combinação de filtros para que no caso por exemplo de recebimentos de
pacotes do tipo Echo Request (pode ser um ataque de Deny of Service)
gere um alarme de intrusão informando entre outras coisas o endereço
do host originário do pacote vistoriado pelo RMON.
Data em que foi respondido: 23/08/00 - 21:39:51
Computador utilizado: zeus-cwb.intranetparana.br (200.201.0.210)
Nome: Cássio Frederico Moreira Druziani
Endereco: druziani@unioeste.br
Opiniao: Mestrado em Ciência da Computação - Convênio FACCAR/UFRGS
Profa. Liane Tarouco
Disciplina: Gerencia de Redes II - www.penta.ufrgs.br
Aluno: Cássio Druziani
druziani@unioeste.br
Resposta - Aula 5
Pode-se ter um cadastro dos endereços que tem permissão de acesso a rede e fazer um filtro com a condição de que no momento da detecção de algum pacote de origem não pertencente a esses endereços cadastrados, gera-se um alarme. Esse alarme estaria associado a um evento que bloquearia a porta deste dispositivo gerenciado. Este dispositivo pode ser um switch ou um roteador.
Este switch ou roteador deverá estar entre a rede e o seu limite de abrangência para que o filtro seja viável, isto é, ser usado como porta de entrada para essa rede.
Para isto utiliza-se os objetos do grupo Hosts, Alarme, Filtros, Captura de pacotes e Eventos.
O texto abaixo é um resumo do material utilizado como base para a resposta.
As normas ISO enumeram uma série de tipos de alarme de segurança onde encontra-se o tipo violação física e uma das possíveis causas a detecção de intrusão. Esta detecção de intrusão pode ser descrita também como a penetração indevida no lugar onde está localizado um equipamento identificado.
É previsto níveis de controle de acesso onde certos usuários tem acesso apenas para objetos gerenciados específicos, ou ainda, certos usuários podem ser proibidos até mesmo de estabelecer comunicações para gerenciamento.
Para auxiliar nesta tarefa de gerenciamento de segurança existe a especificação RMON que é uma definição de uma MIB. O efeito, contudo, é para definir funções padrões de monitoração e interfaces para comunicação entre agentes/gerentes SNMP.
Um dos principais benefícios proporcionados pelo padrão RMON é a análise e monitoração que dispõe de um poderoso mecanismo para monitoramento da rede e análise dos dados para gerenciar aplicações que coletam informações como estatísticas de segmento e tendências, análise do padrão de tráfego no nodo, largura de banda usada e alarmes. Os dados fornecidos por agentes RMON permitem que fornecedores criem aplicações de gerência que reduzam o trabalho da administração da rede e os custos com a solução de problemas.
RMON provê um mecanismo para análise detalhada das sete camadas de protocolos de segmentos remotos sem o custo de um analisador de protocolo dedicado. A maioria dos problemas cliente/servidor podem ser diagnosticadas usando os pacotes de captura do RMON e grupos de filtro.
RMON tem limiares predefinidos que podem remotamente monitorar dispositivos de rede e enviar exceções quando estes dispositivos não estão mais em um limite de operação aceitável.
Alguns objetos providenciam um mecanismo para executar uma ação no dispositivo de monitoramento remoto. Esses objetos podem executar uma ação como o resultado de uma mudança no estado do objeto.
Os grupos RMON conhecidos são:
Estatístico - mantém estatísticas de utilização, tráfego e taxas de erros ocorridos em um segmento de rede.
Histórico - permite controlar o processo de amostragem (definição dos intervalos de amostragem) de informações do grupo estatístico e registrar tais informações, empregadas na análise do comportamento de uma rede e que oferecem subsídios para um gerenciamento pró-ativo.
Alarmes - possibilitam estabelecer condições limites de operação de uma rede que deve provocar a geração de alarmes.
Hosts - contêm informações relativas ao tráfego gerado e recebido pelos hosts conectados através da referida rede.
Classificação de n hosts (top n hosts) - permite classificar os hosts segundo critérios pré-definidos como, por exemplo, determinar quais os hosts conectados através da rede que geram maior tráfego em um dado período do dia.
Matriz - contém informações de utilização da rede e taxa de erros na forma de matriz, associando pares de endereços MAC de elementos de rede.
Filtro - define condições associadas a pacotes trafegados pela rede, que uma vez satisfeitas implicam captura de tais pacotes pelo elemento RMON ou no registro de estatísticas baseadas nos mesmos.
Captura de Pacotes - determina como devem ser capturados os dados dos pacotes trafegados pela rede, a serem enviados aos gerentes. Como default, são capturados os cem primeiros bytes dos pacotes filtrados pelo elemento RMON.
Evento - define todos os eventos que implicam a criação de registros (logs) de eventos e o envio de informações pertinentes do elemento RMON aos gerentes.
A implementação de todos os grupos é opcional, embora exista uma relação de dependência entre alguns deles, como é o caso do grupo de "classificação de n hosts" em relação ao grupo de hosts.
A implementação das funções do protocolo RMON somente é viável mediante o suporte de uma base de dados de gerenciamento, a RMON-MIB, associada a cada elemento RMON da rede.
Baseado nas informações acima pode-se implantar um mecanismo de detecção de intrusão usando um agente RMON.
Configura-se um agente RMON para uma porta específica em um Switch
sysName Switch 1000 Switch 1000
sysUpTime 5 days 07h:59m:57s.74th
ifDescr.1 (zero-lenght)
ifDescr.2 3Com Switch type: SLIP
ifDescr.101 RMON: V2 Port 1
ifDescr.102 RMON: V2 Port 2
Depois configura-se o intervalo em que será feita a coleta de dados para as estatísticas
***** SNMP QUERY STARTED *****
alarmInterval.5 **** (int, int32) 60
alarmInterval.308 **** (int, int32) 60
Identifica os objetos a serem amostrados
**** SNMP QUERY STARTED *****
alarmVariable.5 **** (oid) mib-2.22.2.2.1.1.4.1
alarmVariable.308 **** (oid) internet.4.1.43.10.17.2.7.1.0.1.17
O tipo de amostragem (1 - valor absoluto ou 2 - delta)
***** SNMP QUERY STARTED *****
alarmSampleType.5 **** (int, int32) 2
alarmSampleType.308 **** (int, int32) 1
Alguns eventos existentes
eventDescription.1 **** (octets) No Action
eventDescription.2 **** (octets) Send Trap.
eventDescription.5 **** (octets) Blip Switch Port for 5 seconds, notify manager.
eventDescription.6 **** (octets) Blip all ports on a unit for 5 seconds, notify manager.
eventDescription.8 **** (octets) Turn Switch Port OFF, notify manager.
eventDescription.9 **** (octets) Disable ALL ports on a unit, notify manager.
eventDescription.10 **** (octets) Turn Switch Port ON, notify manager
Faz-se uma associação entre um alarme e um evento para que no momento do alarme o evento seja executado.
Data em que foi respondido: 25/08/00 - 09:52:50
Computador utilizado: zeus-cwb.intranetparana.br (200.201.0.210)
Nome: Elias César Araújo de Carvalho
Endereco: ecacarva@uem.br
Opiniao: Sim, por mais segura que seja a rede, a segurança pode ser quebrada através de alguma brecha na rede, por onde um hacker por exemplo, tenha acesso com objetivo de bisbilhotar, danificar ou roubar informação, portanto deve-se inspecionar periodicamente as atividades da rede e analisar logs.
Pode-se implantar um mecanismo de detecção de intrusão através de um agente RMON usufruindo-se de vários serviços que ele oferece, conforme abaixo relacionado:
- Se algum intruso executar algum evento excepcional, o RMON pode notificar o gerente através de alarmes.
- O monitor por observar e armazenar pacotes parciais ou inteiros de informações para futuras análises, para um pacote específico.
- Informações suspeitas de adulteração por intrusos podem ser recuperadas pelo operador de qualquer endereço da rede
- Muitas vezes um intruso vem de fora da rede e consegue invadir o sistema através de senhas, o RMON permite detectar origem e destino de pacotes, se um pacote vem de uma rede desconhecida, será um suspeito de intrusão
Data em que foi respondido: 25/08/00 - 10:38:54
Computador utilizado: zeus-cwb.intranetparana.br (200.201.0.210)
Nome: Luis Cesar de Mello
Endereco: lcmello@npd.uem.br
Opiniao: Sim. É possível implantar um mecanismo de detecção de intrusão. Mesmo com todos os recursos de segurança o hacker pode penetrar no dispositivo e tentar danificar ou roubar informações.
· Uma forma de implantar um mecanismo de detecção é utilizar o recursos do agente RMON FILTER. Pode-se criar filtros que controla a entrada em uma determinada máquina de pacotes originados de alguns endereços específicos. Isso eliminaria tentativas de entradas provocadas por mudanças de endereços destinos nos cabeçalhos de pacotes originados de endereços diferentes aos controlados pelo filtro. Além de controlar a entrada pode-se criar estatísticas do fluxo dos pacotes.
· Muitas tentativas de intrusão vem de fora da rede e consegue invadir o sistema através de senhas, o RMON permite detectar origem e destino de pacotes, se um pacote vem de uma rede desconhecida, pode ser bloqueada ou pode-se montar estatísticas dessas variações.
Data em que foi respondido: 25/08/00 - 11:37:06
Computador utilizado: trigo.sercomtel.com.br (200.250.19.5)
Nome: Suzete J. Gandin
Endereco: su
Opiniao:
Data em que foi respondido: 25/08/00 - 11:41:58
Computador utilizado: trigo.sercomtel.com.br (200.250.19.5)
Nome: Suzete J. Gandin
Endereco: suzete@homenett.com.br
Opiniao: Sim, através de filtros lógicos, é possível identificar pacotes que estão na rede. Os filtros podem ser combinados utilizando operacões e/ou lógicas para testar os pacotes da rede, e matrixXDSourceAddress do grupo Matrix e possível identificar o endereco MAC de origem.
Data em que foi respondido: 25/08/00 - 14:41:00
Computador utilizado: trigo.sercomtel.com.br (200.250.19.5)
Nome:
Endereco:
Opiniao:
Data em que foi respondido: 25/08/00 - 18:36:27
Computador utilizado: trigo.sercomtel.com.br (200.250.19.5)
Nome: Renato Dutra
Endereco: rdutra@inbrapenet.com.br
Opiniao: Sim, seria possível
Através dos agentes RMON, você pode gerar ALARMES ou EVENTOS associados a FILTROS, que contém operações lógicas. Estas operações podem verificar determinadas condições dentro da rede interna. Os grupos HosttopN e Matrix podem ser usados para verificar dados de determinados hosts. Pode-se então verificar se existe se um determinado host por exemplo, esta transmitindo muitos dados inenturriptamente, que poderia ser caracterizado como um ataque DoS. Pode-se também fazer capturar pacotes pelo grupo CAPTURA, e uma console analiza os protocolos.
Como uma extensão da MIB II pode-se gerar eventos associados a informações da MIB II, como por exemplo verificar se existem muitos pacotes ICMP de echo request, que poderia ser considerado uma tentativa de ataque do tipo DoS.
Data em que foi respondido: 25/08/00 - 20:28:15
Computador utilizado: trigo.sercomtel.com.br (200.250.19.5)
Nome:
Endereco:
Opiniao:
Data em que foi respondido: 27/08/00 - 11:19:30
Computador utilizado: a06040.dial-scs.impsat.com.br (200.189.197.40)
Nome: Nelson Henrique Zanete
Endereco: zanete@pr.gov.br
Opiniao: Sim, por exemplo configurando um agente RMON em cada porta de um switch. Ele permite que pacotes sejam capturados e gerenciados. Sabemos que com o RMON podemos analisar os pacotes que trafegam pela rede e também podemos definir regras de operação que sejam capazes de distinguir os datagramas que não trafegam normalmente pelo ambiente que se está monitorando.
A detecção de intrusão poderia ser implementado, monitorando quem está falando com quem (grupo Matrix) e também comparando pacotes por um critério de filtro (grupo Filtros). No caso de um ataque de Deny of Service um alarme de intrusão poderia ser disparado, informando o endereço do Host de origem.
Data em que foi respondido: 27/08/00 - 19:50:31
Computador utilizado: aslda002p087.onda.com.br (200.195.199.215)
Nome: Antonio Tazima
Endereco: tzm@sercomtel.com.br
Opiniao:
Uma forma de implantar um mecanismo de intrusão através de um agente RMON seria, por exemplo, verificar se existe se um determinado host que está transmitindo muitos dados ininterruptamente, que poderia ser caracterizado como um ataque DoS (Deny Of Service) .
Outra forma seria utilizar o agente RMON FILTER . Pode-se gerar alarmes ou eventos associados a filtros (que contém operações lógicas) Por exemplo, criando filtros que controlam a entrada em de pacotes originados de alguns endereços/máquinas específicos. Tentativas de entrada provocadas por mudanças de endereços destinos nos cabeçalhos de pacotes originados de endereços diferentes aos controlados pelo filtro poderia geraria um aviso de alerta sobre uma possível tentativa de intrusão.
Data em que foi respondido: 27/08/00 - 21:41:03
Computador utilizado: uses.com.br (200.250.44.231)
Nome:
Endereco:
Opiniao:
Data em que foi respondido: 27/08/00 - 23:35:59
Computador utilizado: uses.com.br (200.250.44.231)
Nome: Flávio de Souza Bernabé
Endereco: flavio@uses.com.br
Opiniao: Sim. Através da captura dos pacotes que trafegam na rede e posterior análise. Também podem ser usados Alarmes que avisam os gerentes da rede de que determinados contadores apresentam algum comportamento irregular.
Data em que foi respondido: 28/08/00 - 02:26:31
Computador utilizado: ascta001p161.onda.com.br (200.195.216.161)
Nome:
Endereco:
Opiniao:
Data em que foi respondido: 28/08/00 - 02:27:36
Computador utilizado: ascta001p161.onda.com.br (200.195.216.161)
Nome: Tatiana Ferreira Lehmann
Endereco: lehmann@onda.com.br
Opiniao: Sim, é possível implantar um mecanismo de detecção de intrusão usando um agente RMON. Ele possui funções que permitem analisar os pacotes que trafegam na rede, possibilitando distinguir o recebimento de pacotes originados de endereços diferentes daqueles controlados pelo filtro do agente RMON FILTER, e disparar alertas sobre uma possível tentativa de intrusão.
Data em que foi respondido: 28/08/00 - 05:08:05
Computador utilizado: 200-191-83-238-as.acessonet.com.br (200.191.83.238)
Nome: Yandre Maldonado
Endereco: yandre@uol.com.br
Opiniao: A especificação RMON possui algumas funções que podem ser desempenhadas por alguns de seus grupos que poderiam ser úteis na tarefa de detectar uma intrusão maliciosa à uma rede. E é combinando estas diferentes funções de diferentes grupos que se pode potencializar esta detecção.
Dentro deste contexto, o grupo Matrix poderia oferecer estatísticas com informações sobre conversações entre hosts. Assim, este grupo poderia contribuir possibilitando que se identifique a origem e o destino de informações trocadas por hosts. Uma grande difusão (broadcast) de informações por parte de um mesmo host, poderia caracterizar alguma tentativa de intrusão. Adicionalmente, poderiam ser utilizados os grupos: Alarme, para disparar um evento caso ocorra uma situação que caracterize uma suspeita de intrusão; Captura de Pacotes: que poderiam ser usados para a captura de pacotes e permitiriam até a identificação de protocolos; Filtros: que poderia ser útil para se comparar pacotes, podendo determinar a captura dos mesmos ou gerar um evento.
Data em que foi respondido: 15/09/00 - 12:31:17
Computador utilizado: (200.19.246.235)
Nome:
Endereco:
Opiniao: