TechNet
Nesta Página
.gif){kind=icon}
Visão Geral
Funcionalidade da Detecção de Intrusão
Utilize modelos de segurança para documentar e comparar
Analise e documente privilégios de usuários e grupos
Analise programas e processos ativos
Netstat e portas TCP
Monitoramento de Rede
Monitoramento de Desempenho
Logs de Eventos
Automatizando a visualização de eventos em múltiplas máquinas
EventCombMT
Microsoft Operations Manager
Firewalls
Firewall de Conexão para Internet
ISA Server
Conclusão
Visão Geral
A maioria dos administradores terão que encarar um evento de intrusão de segurança durante suas carreiras. Ter um plano de detecção de intrusão resultará em uma notificação de intrusão adiantada, minimizando as conseqüências e permitindo uma rápida recuperação. A Microsoft fornece várias ferramentas para detecção de intrusão, incluindo log de eventos. Este documento discutirá a detecção de intrusão e algumas das ferramentas da Microsoft que você pode usar como parte de seu plano.
O que é Detecção de Intrusão?
A detecção de intrusão é o rastreamento e a notificação de atividade não autorizada em um computador ou uma rede. Intrusões podem resultar em alteração de privilégios de usuários e permissões em arquivos, instalação de Trojans e acesso inapropriado a dados. A detecção de intrusão é conseguida pela análise de logs e configurações de sistemas, além da implantação de firewalls, antivírus e sistemas de detecção de intrusão especializados (IDS). Quando alguma atividade suspeita é notada, ela deve ser investigada e resolvida. Leia o documento SANS Intrusion Detection FAQ, o CERT’s Detecting Signs of Intrusion ou o site The Honeynet Project para uma discussão geral sobre o assunto.
Tipos de Intrusão
Ferramentas de detecção de intrusão monitoram e relatam atividade mal intencionada, incluindo: acesso não autorizado a arquivos e sistemas, ataques de negação (distribuída) de serviços, worms, Trojans, computer viruses, estouros de buffers, redirecionamento de aplicações, identidade e spoofing, ataques DNS, ataques de e-mails, corrupção de dados e conteúdo e a leitura não autorizada de informações confidenciais. Leia o site Microsoft’s Security & Privacy para mais detalhes sobre ameaças de segurança.
.gif){kind=icon}
Funcionalidade da Detecção de Intrusão
A detecção de intrusão envolve uma ou mais das seguintes funcionalidades: alertas, logs, relatórios e prevenção. Alertas são mensagens de prioridade máxima, em tempo real, enviadas para administradores de redes pelos processos de detecção de intrusão para avisá-lo sobre eventos com risco de segurança. Todos os sistemas de detecção de intrusão devem registrar todos os incidentes de segurança notados em um arquivo de log informando a hora e o dia, o risco e outras informações. Uma boa ferramenta de detecção de intrusão fornece relatórios de gerenciamento que analisam os arquivos de log e fornecem estatísticas e tendências. Ferramentas avançadas de detecção de intrusão detectam intrusões e previnem o sucesso em um ataque. Leia a página sobre o Internet Security and Acceleration (ISA) Server sobre monitoramento e relatórios para mais detalhes sobre uma aplicação de detecção de intrusão. O planejamento da segurança deve cobrir todas as quatro funcionalidades ao escolher a ferramenta de detecção de intrusão.
Criando um Plano de Detecção de Intrusão
Criar um plano de detecção de intrusão significa estabelecer e implantar políticas de segurança, documentar referências de sistema e configurar ferramentas para monitorar atividades suspeitas. Criar um plano de detecção de intrusão inclui as seguintes etapas:
- Fazer um inventário dos sistemas a serem protegidos
- Criar uma política de segurança
- Proteger os sistemas
- Documentar as referências dos sistemas (baselines)
- Usar e analisar os logs de eventos
- Ativar a auditoria
- Implantar ferramentas e métodos de detecção de intrusão
1. Fazer um inventário dos sistemas a serem protegidos
Inventarie sua rede para saber o que proteger. É muito importante descobrir sistemas sem a aplicação de Visualizar Eventos, sem NTFS ou sem participação no Active Directory porque estes sistemas podem ser mais difíceis de serem protegidos. Considere o uso do Microsoft System Management Server para automatizar inventários e fazer a descoberta de rede. Levante o risco de incidente de segurança e comunique as descobertas à gerência.
2. Crie uma Política de Segurança
Administradores de segurança devem estabelecer políticas de segurança por escrito, que descrevem as práticas administrativas na manutenção da segurança dos sistemas. As políticas de segurança devem incluir quem pode acessar quais computadores, uso aceitável, política de senhas, restrições de softwares e configurações padrão de segurança dos sistemas. A maioria das políticas de segurança são armazenadas na Diretiva de Segurança Local em um computador.
3. Proteja sistemas
Uma vez identificado os sistemas, é crucial certificar-se de que eles estão configurados de forma segura. A Microsoft possui vários recursos de segurança, ferramentas e listas de verificação e documentos how-to’s que ajudam a aumentar a segurança de sistemas Windows. Modelos de segurança são a forma preferida da Microsoft para proteger as configurações de segurança locais. A ferramenta Microsoft Baseline Security Analyzer analisa os sistemas Windows mais comuns, verificando vulnerabilidades de segurança e fazendo recomendações. O Apêndice A do Security Operations Guide for Windows 2000 Server lista as permissões padrão recomendadas para os arquivos em estações de trabalho de alta segurança. Os guias da National Security Agency oferecem recomendações sobre permissões de arquivos e pastas. Considere o uso de um sistema de sistema de gerenciamento de patches para manter os sistemas atualizados.
4. Documente as Referências de Sistemas (baselines)
O sinal mais comum de uma intrusão é a modificação de comportamento ou do sistema, saindo do padrão. Para entender o que é o normal, você precisa examinar o tráfego de rede e dos sistemas para obter uma referência de configuração e atividade.
Utilize modelos de segurança para documentar e comparar
Você pode usar a ferramenta Security Configuration and Analysis Tool para visualizar e documentar configurações cruciais. Você pode ainda usar a mesma ferramenta para comparar configurações existentes em relação a um modelo existente
Analise e Documente Privilégios de Usuários e Grupos
Analise e documente contas de usuários, grupos, compartilhamentos e permissões. Você pode usar o snap-in Usuários e Grupos Locais na ferramenta Gerenciamento do Computador ou o utilitário Gerenciador de Usuários no NT para analisar contas de usuários e grupos. Você pode usar ainda os comandos NET USER, NET GROUP, e NET LOCALGROUP para listar usuários e grupos. O Windows NT 4.0 Resource Kit e o Windows 2000 Resource Kit contém dúzias de utilitários que ajudam administradores a auditarem privilégios e permissões. O utilitário NETWATCH.EXE é útil para mostrar compartilhamentos e usuários conectados. O artigo Microsoft Knowledge Base 137848 detalha como registrar e imprimir uma lista de usuários e grupos e suas permissões usando as ferramentas ADDUSERS.EXE e PERMS.EXE.
Analise os Programas e Processos Ativos
Use a ferramenta System Configuration Utility (MSCONFIG.EXE) para analisar e documentar programas auto-inicializáveis no Windows 98, Windows ME e Windows XP. Use o Gerenciador de Tarefas no Windows NT, Windows 2000 e Windows XP para visualizar aplicações e processos correntes. O Windows 2000 Resource Kit contém vários utilitários para visualização de processos, incluindo o PULIST.EXE e o TLIST. Use a Lista de Processos Padrão do Microsoft Windows 2000 ou o Apêndice B do Security Operations Guide for Windows 2000 Server, que lista os serviços padrões instalados no Windows 2000. Muitos administradores acham os utilitários PVIEW e SPYXX úteis para examinar processos e serviços. Considere o uso do utilitário WINDIFF para comparar uma referência limpa de sistema ou uma pasta contra um sistema auditado.
Netstat e Portas TCP
Documente portas TCP ativas originadas nos sistemas monitorados. Use o comando NETSTAT –a para mostrar as portas ativas. No Windows XP e no Windows Server 2003, você pode usar o comando NETSTAT –aon para mostrar os processos que estão envolvidos nas portas ativas. Clique aqui para uma lista de portas TCP comuns da Microsoft ou aqui para uma discussão geral sobre as atribuições das portas TCP.
Monitoramento de Rede
Formas de Monitor de Rede da Microsoft estão disponíveis desde os tempos do Windows for Workgroups 3.11. O Monitor de Rede é uma ferramenta de diagnóstico que captura pacotes de rede para análise, rastreio e estatísticas. O Monitor de Rede, ou uma ferramenta como ela, é uma ferramenta primária que estabelece referências do tráfego de rede.
Monitoramento do Desempenho
O Windows sempre possuiu um utilitário de monitoramento de desempenho e rastreamento de ocorrências em tempo real. O monitoramento do desempenho pode ser usado para rastrear objetos, processos e processadores para estabelecer uma referência para limites. O Windows 2000 Resource Kit contém um grande capítulo sobre monitoramento de desempenho. O MS Windows NT Workstation Resource Guide é uma referência sobre informações relativas ao utilitário NT Performance Monitor, especificamente o Capítulo 9: A Arte do Monitoramento de Desempenho, Capítulo 10: Sobre Monitoramento de Desempenho e Capítulo 11: Ferramentas de Monitoramento de Desempenho. O Capítulo 4- Segurança, Auditoria e Controle do Microsoft Windows NT 4.0 oferece bons conselhos na Tabela 4-4 sobre contadores a serem monitorados para a descoberta de brechas de segurança.
Você deve entender e documentar as referências descobertas para estabelecer métodos de detecção de intrusão e notificar atividade não autorizada quando ocorrer no futuro.
5. Use e Analise os Logs de Eventos
Os logs de eventos são ferramentas primárias de monitoramento para o rastreamento de atividades de intrusão. Administradores de rede devem analisar os logs, verificando eventos inesperados e investigando atividade suspeita. Os logs de eventos podem ser verificados manualmente ou usando uma ferramenta de pesquisa.
Logs de Eventos
O Windows NT, Windows 2000, Windows XP e 2003 compartilham três logs de eventos: Aplicação, Segurança e Sistema. Tanto administradores como usuários podem acessar o utilitário Visualizar Eventos nas Ferramentas Administrativas; no Windows 2000, Windows XP e Windows Server 2003 existe um snap-in padrão do Visualizador de Eventos. Leia o Capítulo 9-Monitorando Eventos no Manual de Planejamento e Conceitos do Windows NT Server ou o Capítulo 14-Estratégias de Resolução de Problemas do Guia de Operações do Windows 2000 Server para mais detalhes. Outros logs, como DNS Server, Serviços de Replicação de Arquivos e Serviço de Diretório, podem estar disponíveis dependendo da plataforma Windows e do que foi instalado. Qualquer log pode fornecer evidências sobre uma intrusão.
Automatizando a visualização de eventos em múltiplas máquinas
Se você possui mais de um sistema para monitorar, ir até cada máquina fica difícil. O utilitário Visualizar Eventos permite que você abra os logs de eventos de máquinas remotas se você possuir privilégios administrativos. A Microsoft fornece duas outras ferramentas para visualizar e gerenciar múltiplas máquinas.
EventCombMT
O EventCombMT é um utilitário gratuito da Microsoft que permite a pesquisa em logs de eventos entre domínios diferentes e trabalha com logs do Windows NT, Windows 2000, Windows XP e Windows Server 2003. O Capítulo 6-Auditoria e Detecção de Intrusão do Guia de Operações de Segurança do Windows 2000 Server tem uma seção sobre o EventCombMT. O download pode ser feito clicando aqui.
Microsoft Operations Manager
Usando um console baseado na Web, o Microsoft Operations Manager (MOM) possui um conjunto completo de recursos que ajudam administradores a monitorarem e gerenciarem os eventos e o desempenho de servidores Windows. Ele possui um preço razoável e permite aos administradores centralizarem as atividades de gerenciamento de log de eventos e auditoria. Regras e diretivas pré-determinadas podem ser definidas para gerenciar servidores e responder conforme os eventos registram a tentativa de violação das diretivas.
6. Ative a Auditoria
Apesar de não ser ativada por padrão na plataforma Windows, a auditoria pode ser usada para monitorar tentativas que falharam ou obtiveram sucesso no acesso a objetos, incluindo logons, acesso ao diretório e arquivos, alterações de senhas e desligamentos de sistemas. Os eventos de auditoria são gravados no log de Segurança.
A auditoria é uma ferramenta poderosa, mas você deve ser cuidadoso e não monitorar tudo, pois você pode ter tanta informação a analisar que ela será inútil. Muitos administradores encontram um equilíbrio em custo/benefício monitorando falhas, como uma tentativa sem sucesso de aumentar o direito de um usuário e monitorar todas as atividades críticas, como desligamento de sistemas. O Capítulo 4- Segurança, Auditoria e Controle do Microsoft Windows NT 4.0 e o Capítulo 6-Auditoria e Detecção de Intrusão do Guia de Operações de Segurança do Windows 2000 Server são ambos excelentes resumos sobre como usar os logs de eventos e a diretiva de auditoria para detecção de intrusão. Eles incluem também informações sobre ferramentas da Microsoft e de terceiros que permitem a pesquisa e triagem dos logs de eventos em múlitplos servidores remotos.
Alterações nas contas de usuários podem ser percebidas ativando a auditoria e analisando o log de segurança. Leia os artigos da Base de Conhecimento Auditing User Authentication e Auditing User Right Assignment Changes para mais detalhes.
A NSA possui uma coleção de Guias de Segurança para Windows que detalha as configurações de segurança recomendadas. Alguns outros artigos úteis são How to Monitor Unauthorized User Access in Windows 2000 e How to View and Management Event Logs in Windows XP.
Nota: É necessário usar o subsistema de disco NTFS para usar todas as funcionalidades de auditoria.
7. Implemente Ferramentas de Detecção de Intrusão
A Detecção de Intrusão pode ser feita através do monitoramento de sistemas por atividade inesperada a partir de referências estabelecidas. Toda atividade suspeita deve ser investigada. Use todas as ferramentas discutidas aqui para comparar e investigar. Outras ferramentas especializadas são úteis em perceber e notificar comportamento suspeito que pode não ser identificado por comparações manuais.
Firewalls
A Microsoft possui dois firewalls para monitorar e prevenir tentativas de intrusão.
Firewall de Conexão para Internet
O Firewall de Conexão para Internet do Windows XP é um firewall de inspeção de estado do pacote nativo tanto na edição Home como na edição Professional do Windows XP. Ele pode ser usado para prevenir acesso entrante não autorizado, oriundo da Internet.
ISA Server
O ISA Server é o produto principal da Microsoft para detecção de intrusão. Como sucessor do Microsoft Proxy Server, o ISA ganhou reputação por ser uma ferramenta sólida para segurança do perímetro de rede. Atuando como um firewall e um proxy Web, o ISA Server pode fazer o filtro na camada de aplicação, circuito e pacote e a publicação de servidores e ainda ser parte de uma solução de VPN. Muitas empresas de segurança encontraram no ISA Server (pós-Service Pack 1) uma ferramenta de defesa de rede muito sólida. Para mais informações, acesse http://www.microsoft.com/brasil/isaserver. Se você já é um administrador do ISA e deseja aumentar a segurança da sua rede e maximizar os investimentos, verifique os Parceiros do Microsoft ISA Server.
Antivírus e software IDS
Poucas redes são consideradas seguras sem proteção em tempo real de antivírus, tanto em estações como nos servidores e dispositivos de perímetro. A Microsoft tem uma lista de fabricantes de antivírus. Fabricantes de IDS (Intrusion Detection System) mudam frequentemente, neste caso o melhor é pesquisar em um mecanismo como www.msn.com, procurando por "IDS vendors" ou contatando um consultor de segurança. O Snort é um IDS de código aberto. Apesar de se originar no UNIX, ele foi portado para a plataforma Windows. Varredores de vulnerabilidades, como o Microsoft Security Baseline Analyzer, são úteis para qualquer administrador. Outros varredores de vulnerabilidades incluem os da Internet Security Systems e GFI. Considere, ainda, softwares que monitoram alterações em sistemas críticos, como Tripwire.
Conclusão
A Microsoft fornece ferramentas de detecção de intrusão que monitoram, alertam, registram e previnem incidentes de segurança. Administradores de rede devem criar um plano de detecção de intrusão que inclui: realizar um inventário dos sistemas, criar uma política de segurança, documentar referências de sistemas, usar logs de eventos e auditoria e usar outras ferramentas de detecção de intrusão.