Desafios para os Sistemas de Deteco de Intrusos (IDS)

Resumo
1. Introduo
2. IDS x SSL, IPSec e outros
2.1 SSL
2.2 IPSec
3. IDS em redes com switches
3.1 Port SPAN
3.2 Splitting Wire/Optical Tap
3.3 Port Mirror
4. IDS em redes de alta velocidade
5. Concluso
Agradecimentos
Referncias bibliogrficas
Resumo
As tecnologias de infra-estrutura, de servios e protocolos para redes de computadores
evoluem com velocidades impressionantes e tornam-se cada vez mais complexas.
Podemos citar, como exemplos de novos protocolos, o SSL (Secure Socket Layers), o
IPSec (extenses de segurana para o protocolo IP) utilizado na implementao de
VPNs. Como exemplos de novas tecnologias de interconexo e infra-estrutura, temos as
redes comutadas, redes de altas velocidades etc. Estas novas tecnologias, algumas
criadas com o objetivo de oferecer maior segurana nas comunicaes digitais, acabam
por criar dificuldades na implantao de sistemas de deteco de intrusos (IDS - Intrusion
Detection System). Tais dificuldades incluem, por exemplo, a limitao de anlise de
trfego dos atuais IDSs em redes com taxas de transmisso maior que 100 Mbps e a
falta de suporte a tecnologias como ATM. Para a implementao adequada de um IDS,
muitas vezes so necessrias alteraes estruturais na topologia destas redes, mas,
sobretudo, necessrio o completo conhecimento do ambiente em questo. Uma das
solues para os problemas apresentados acima e outros descritos ao longo deste artigo
a utilizao de IDSs baseados na monitorao individual dos sistemas, conhecidos
como host-based IDS (ou IDSs hbridos), que agregam checagens do trfego de rede
destinado a tais sistemas individualmente monitorao das atividades ocorridas no
sistema analisado.

1. Introduo
Nas organizaes modernas, os ambientes de redes, locais ou distribudas, tm evoludo
tecnologicamente a uma velocidade muito rpida. Em contra partida, os controles de
segurana precisam ser adequados s novas tecnologias empregadas.
Para tanto, este artigo no busca a exausto do assunto; pelo contrrio, procura somente
abordar algumas caractersticas dos ambientes de redes que hoje representam
dificuldades na implantao de sistemas de deteco de intrusos (IDS).
Ao discutir as implementaes de IDS em VPNs onde todo o trfego criptografado ,
redes comutadas ou de alta velocidade (como ATM e Gigabit Ethernet), a inteno no
a de apresentar novas vises ou abordagens, mas espera-se que, de alguma forma, as
idias aqui propostas possam contribuir para aqueles que esto trabalhando ou
pesquisando a implementao de IDS nos vrios ambientes existentes hoje. Um artigo
publicado na revista eletrnica Phrack #56
1
aborda de forma sinttica o tema aqui
discutido. Entretanto, a inteno deste documento a de discorrer mais amplamente
sobre o assunto, que o artigo resume da seguinte forma: "A infra-estrutura fsica de redes
est evoluindo rapidamente; no futuro criptografia, redes de altas velocidades e redes
comutadas praticamente eliminaro os IDSs de rede que se utilizarem da anlise
passiva de protocolos atravs capturas em modo promscuo."
1 - A Phrack Magazine uma e-zine (revista eletrnica) hacker. Nela, surgiram diversas
inovaes sobre segurana, como IP spoofing etc.
2 - Sasha e Beetle, 2000 - "The physical network infrastructure is rapidly evolving; in the
future - encryption, high wire speeds, and switched networks will practically kill those
NIDS which utilize promiscuous-mode passive protocol analysis."

2. IDS x SSL, IPSec e outros
As ferramentas de IDS baseadas em rede fazem suas monitoraes nos cabealhos dos
pacotes e tambm em seu campo de dados, possibilitando a verificao de ataques no
nvel de aplicao (para pacotes TCP e UDP).
Entretanto, a necessidade de sigilo e privacidade nas transaes pela Web ou em redes
privadas torna o uso de sistemas de criptografia cada vez mais comuns e necessrios.
A criptografia, como elemento de segurana do trfego de informaes, acaba por
prejudicar outros elementos como os sistemas de deteco de intrusos (IDS). Uma vez
que, em algumas tecnologias, o campo de dados criptografado, em outras, o pacote
inteiro o (cabealhos e dados). Neste ambiente, uma ferramenta de IDS no ser
efetiva, pois os dados de um ataque podem ser encobertos pela criptografia existente no
mesmo.
2.1 SSL
"O protocolo composto de duas camadas. No nvel mais baixo, sobre algum protocolo
de transporte confivel (como TCP[TCP]), est o SSL Record Protocol, que usado para
o encapsulamento de vrios protocolos de maior nvel."
Conforme pode ser visto na Figura 1, o SSL executado entre a camada de transporte e
de aplicao.

Figura 1 - Representao do SSL nas camadas do TCP/IP
A criptografia da poro de dados do pacote TCP faz com que todo o contedo (dados)
das conexes (inclusive as URLs) seja criptografado, impossibilitando a anlise dos
pacotes por IDSs.
Tomemos como exemplo o ataque ao servidor Web IIS para Windows NT como o
"Source Fragment Disclosure Vulnerability", publicado recentemente. Quando o servidor
Web possuir o protocolo SSL habilitado comum especialmente em sites de comrcio
eletrnico e, muitas vezes, de uso obrigatrio para acesso a qualquer diretrio os
dados do ataque no sero identificados por um IDS.
Abaixo, nas Figuras 2 e 3, podemos ver uma demonstrao deste ataque feito sobre o
protocolo HTTP e o mesmo ataque sobre o protocolo HTTPS, resultando na exibio do
contedo de um script ASP.

Figura 2 Pacote HTTP com a requisio "Source Fragment Disclosure
Vulnerability"
Um IDS pode facilmente detectar este tipo de ataque. O mesmo no acontece se o
protocolo SSL for utilizado.

Figura 3 Pacote HTTPS com a requisio "Source Fragment
Disclosure Vulnerability"
Neste caso, um IDS no tem como detectar este tipo de ataque.
Os ataques que ocorrem no nvel de aplicao podem ser usados, tanto para uma
invaso, como para indisponibilizao do servio (DoS). Dessa forma, os sistemas de
deteco de intrusos no tero como registrar o ataque, nem como terminar uma
conexo (enviando um pacote TCP Reset para ambos os participantes), ou mesmo
interagir com um firewall para que este bloqueie a conexo.
3 - Freier, Karlton & Kocher (1996): "The protocol is composed of two layers. At the
lowest level, layered on top of some reliable transport protocol (e.g., TCP[TCP]), is the
SSL Record Protocol. The SSL Record Protocol is used for encapsulation of various
higher level protocols."
4 - A pgina http://www.securityfocus.com/vdb/bottom.html?vid=1488 d detalhes a
respeito do ataque sobre o servidor Web IIS, que revela o cdigo-fonte de uma pgina
ASP, que pode conter senhas ou outras informaes crticas.
5 - Como podem fazer alguns softwares de IDS, por exemplo, o Real Secure
( www.iss.net ), o BlackIce Sentry (www.networkice.com ) etc. Esta caracterstica
somente possvel em trfego TCP, pois trata-se de um protocolo orientado conexo,
diferente de protocolos como UDP e ICMP que no possibilitam o uso deste tipo de
reao.
6 - Alguns IDSs, principalmente comerciais, podem interagir
com firewalls dinamicamente, bloqueando endereos ou portas, conforme configurado
pelo administrador.
2.2 IPSec
O IPSec uma extenso do protocolo IP que tem sido bastante empregado na
implementao de solues de VPNs por oferecer confidencialidade (criptografia) e
integridade (assinatura digital) dos pacotes IP processados. Em suas especificaes,
existem dois modos de funcionamento, o modo transporte (transport mode) e o modo
tnel (tunnel mode), descritos na RFC2401 de Kent, Atkinson (1998), que explicam:
"Cada protocolo [ESP e AH7] suporta dois modos de uso: o modo transporte e o modo
tnel. No modo transporte, o protocolo prov proteo primariamente para os protocolos
de camada superior; no modo tnel, os protocolos so empregados como um tnel de
pacotes IP."
Podemos observar a diferena nas ilustraes abaixo:

Figura 4 - IPSec em Modo Transporte

Figura 5 - IPSec em Modo Tnel
Como se pode observar, o funcionamento no modo transporte similar ao do SSL,
protegendo ou autenticando apenas a poro de dados do pacote IP, entretanto ele pode
encapsular outros protocolos de camada de transporte, como o UDP. J no modo tnel,
o pacote IP inteiro criptografado, dessa forma nem o cabealho do pacote original pode
ser verificado por um IDS.
Devemos ainda considerar as topologias em que VPNs com IPSec podem ser
implementadas, uma vez que esse tipo de trfego relevante para a correta implantao
de sistemas de deteco de intrusos. O IPSec pode ser implementado mquina-a-
mquina ou gateway-a-gateway. Este ltimo modo geralmente utilizado para
interconexo de duas redes (com dois roteadores, por exemplo), mas no se restringe a
ela. Podemos observar nas Figuras 6 e 7 as duas formas:

Figura 6 - IPSec mquina-a-mquina
Atente para o fato de que, no esquema representando pela figura acima, o
monitoramento e anlise no possvel com IDS baseado em rede.

Figura 7 - IPSec gateway-a-gateway
No caso representado acima, a monitorao e anlise so possveis com IDS baseado
em rede aps os dispositivos IPSec.
De forma semelhante ao SSL, um sistema de IDS no ter como verificar possveis
ataques sobre uma conexo com IPSec. No modo transporte, pode-se verificar somente
o cabealho dos pacotes; no modo tnel, nem o cabealho pode ser verificado. E como
descrevem Kent, Atkinson (1998), na RFC2401: "Porque estes servios so providos na
camada IP, eles podem ser usados por qualquer protocolo de camada superior, ex.: TCP,
UDP, ICMP, RIP, etc." Assim, os ataques podem ser efetivados em qualquer protocolo
sobre IP.
Pode-se questionar a validade do estudo de possveis ataques feitos sobre IPSec, uma
vez que as VPNs devem idealmente ter autenticao forte de seus usurios. Entretanto,
muitas organizaes tm criado VPNs para uso annimo, sem autenticao; outras ainda
possuem autenticao, mas esta pode ser roubada ou inferida; possvel, ainda, que um
usurio legtimo faa um ataque, estes fatores fazem com que a autenticao no seja
um fator limitante a um ataque.
Uma exceo ocorre quando utilizada uma VPN gateway-a-gateway e um IDS
posicionado imediatamente aps o gateway, onde o trfego de sada da VPN ainda no
foi processado e o trfego entrante j foi restaurado. Nesta posio no h barreiras a
uma verificao completa. Podemos vislumbrar algumas solues para o uso de IDSs
com SSL e IPSec, por exemplo, a adio de agentes de IDS nas aplicaes. Mais que
clientes no host ou no sistema operacional, muitos destes servios de criptografia
(notadamente o SSL) fazem parte da prpria aplicao (ex.: servidores Web, servidores
IMAP, etc), tornando a implantao de mdulos de IDS na aplicao necessria. Outra
soluo pode ser a utilizao de front-end de descriptografia, o que torna a soluo
semelhante ao IPSec gateway-a-gateway. Desta forma, possvel novamente a
utilizao de IDS baseados em rede para a monitorao.
7 - O protocolo AH (Authentication Header), como definido na RFC 2402, prov
integridade sem conexo, autenticao da origem dos dados, e um servio opcional para
preveno de reenvio de pacotes.
O protocolo ESP (Encapsulating Security Payload), como definido na RFC 2406, pode
prover confidencialidade (criptografia) e limitado fluxo de trfego confidencial. Ele pode
tambm prover integridade sem conexo, autenticao da origem dos dados e um
servio de preveno de reenvio de pacotes. A diferena entre os dois protocolos que o
ESP no atua no cabealho dos pacotes IP, s no campo de dados.
8 - Kent, Atkinson (1998): "Each protocol [ESP and AH] supports two modes of use:
transport mode and tunnel mode. In transport mode the protocols provide protection
primarily for upper layer protocols; in tunnel mode, the protocols are applied to tunneled
IP packets."
9 - Kent, Atkinson (1998): "Because these services are provided at the IP layer, they can
be used by any higher layer protocol, e.g., TCP, UDP, ICMP, RIP, etc.",
10 - Existem produtos que fazem o off-load de SSL. Eles podem ser posicionados antes
ou junto a servidores Web e entregam o trfego j decriptografado aos servidores,
permitindo o uso de IDS em rede ou em host. O iSD-SSL Accelerator da Alteon e o Intel
Netstructure 7110 so exemplos deles.
3. IDS em redes com switches
A implementao de IDSs em redes baseadas em switching, tambm conhecidas como
redes comutadas, tem sido bastante discutida, uma vez que as solues de IDS
comearam a ser mais utilizadas simultaneamente adoo em maior escala dos
ambientes comutados.
Os switches permitem a comunicao direta, no compartilhada, entre dois dispositivos.
Embora esta caracterstica permita um ganho muito alto em desempenho, ela introduz
dificuldades para a implementao de IDSs. Desta forma, algumas medidas so
necessrias para eliminar esta limitao.
As sub-sees seguintes tratam das trs formas de implementar IDS em redes
comutadas.
3.1 Port SPAN
Esta parece ser uma das solues mais utilizadas (ou a mais desejada) em switches,
onde os dispositivos de rede (servidores, roteadores etc) esto conectados, por exemplo,
a portas de 10 Mbps, e um IDS conectado porta SPAN de 100 Mbps, recebendo todo
o trfego do switch. Desta maneira, obtm-se uma monitorao completa do trfego,
simulando um ambiente compartilhado.
Alguns switches possuem caractersticas avanadas de monitorao, por exemplo, de
VLANs especficas, portas emtrunking, distribuio da monitorao para vrias portas de
destino ou at de portas de outros switches da rede.
Neste caso, possvel monitorar com IDSs o trfego tratado por um switch inteiro ou
apenas o trfego pertencente a alguns subconjuntos especficos de sistemas, como as
VLANs. necessrio observar, entretanto, que a utilizao de uma porta SPAN pode
causar Trata-se de um detalhe que deve ser estudado para cada equipamento
implantado numa soluo de IDS.
11 - Analisador de porta comutada (do ingls, Switched Port ANalyzer).
12 - Por exemplo, a famlia de switch Catalyst 6000 da Cisco.
13 - Trunking a caracterstica de agregar duas ou mais conexes lgicas a fim de obter
uma conexo lgica de alta velocidade. Exemplo disto uma conexo lgica entre
dois switches com a utilizao de trs conexes Fast Ethernet.
3.2 Splitting Wire/Optical Tap
Outra possibilidade a utilizao de um splitting tap que se define pela colocao de
uma "escuta" para a monitorao do trfego que est passando por ele.
Existem alguns dispositivos que podem ser posicionados entre um switch e um
equipamento de rede e que, de forma no intrusiva, enviam uma cpia de todo o trfego
que passa por ele para um equipamento de monitorao, como um IDS. Na prtica, para
Ethernet e Fast Ethernet, um mero hub, como o mostrado na Figura 8, realizar este
trabalho. Pode-se utilizar este tipo de recurso tanto para cabos de cobre (UTP), utilizados
principalmente em redes Ethernet, como para fibras pticas, onde se pode monitorar o
trfego ATM por exemplo. Neste caso, pode-se utilizar um dispositivo chamado de optical
tap (ver Figura 9).

Figura 8 - Monitorao de pacotes em rede Ethernet,
utilizando hubs ou wire tap

Figura 9 - Representao de um optical tap
3.3 Port Mirror
Em alguns switches (principalmente os mais antigos), esta a nica opo para a
monitorao e consiste no espelhamento do trfego de uma nica porta para uma outra,
usada para o monitoramento, permitindo assim a coleta do trfego para a monitorao de
um nico dispositivo por IDS. Este esuqema semelhante a colocar um hub ou wire tap.
Esta opo torna a implementao de IDS, em uma rede puramente comutada, muito
cara, embora existam produtos que permitem a monitorao de mais de um segmento
simultaneamente, o que reduz o seu custo de implementao.
Provavelmente, uma abordagem baseada em sistema (tambm conhecida como host
based ou hbrido) seja mais adequada e prtica neste caso, tanto com relao ao custo,
como tambm com relao ao esforo para a implantao neste tipo de cenrio. Faz
mais sentido a utilizao de espelhamento de porta (tambm conhecido como port
mirroring) em redes hierrquicas, como pode ser visto no esquema apresentado na
Figura 10.

Figura 10 - Switch com port mirror numa estrutura hierrquica
de switches sem port span
Percebe-se que as trs abordagens apresentam dificuldades para a implementao, seja
por caracterstica do switch, seja pelo custo elevado etc. Por isso, a adoo de IDS em
redes comutadas deve ser cuidadosamente estudada, levando em considerao os
recursos e limitaes dos equipamentos de rede.
Entretanto, podemos ver algumas alternativas no caso de nenhuma acima ser adequada
ou executvel.
Uma forma de resolver as dificuldades de implementao IDS em redes comutadas
utilizar IDSs baseados nos sistemas finais (host based). Nesta abordagem,
eliminaramos os IDSs de monitorao de trfego de rede e distribuiramos uma srie de
agentes nos sistemas finais, que iro monitorar as conexes e atividades dirigidas aos
equipamentos alvo.
Existem duas variaes de host based: deteco de anomalia/atividade suspeita e a
deteco de ataque baseado em rede. Podemos encontrar produtos que agregam as
duas abordagens ou, embora separados, podem conviver juntos, permitindo um maior
controle do ambiente, uma vez que podemos monitorar o funcionamento da mquina do
ponto de vista de sistema operacional (alterao em arquivos, registry, anlise de log em
tempo real, atividade de usurios etc.) e tambm do ponto de vista de rede, avaliando o
trfego destinado quele equipamento.
Num plano mais amplo abordagem hbrida a mais interessante e mais completa,
entretanto poucos so os produtos que contemplam as duas de forma integrada, muitos
s atuam em um dos pontos (trfego ou anomalias).
14 - Como exemplo, temos o Xylan OmniSwitch (agora Alcatel), Intel Express 500 e
vrios outros.
4. IDS em redes de alta velocidade
Este um dos problemas recentemente surgidos na rea de IDS e, de uma maneira
geral, est diretamente ligado aos ambientes comutados mencionados acima. Assim
como afirmam Sasha e Beetle "Atualmente os sistemas de deteco de intrusos de rede
baseados em anlise passiva de protocolos pode meramente monitorar 100 Mb/s em
Ethernet, e um pouco duvidoso que eles possam ser habilitados a monitorar ATM,
FDDI, etc."
A largura de banda tem crescido rapidamente hoje temos Fast Ethernet, ATM, Gigabit
Ethernet e, em breve, 10Gigabit Ethernet para as LANs. Para WANs, temos ATM,
agregao de links seriais, SMDS etc. as solues de IDS no tm acompanhado esta
evoluo, seja sob plataformas Intel, SUN ou outras proprietrias como alguns sistemas
dedicados (appliances).
Muitas pessoas defendem que hoje este no um problema, pois ningum possui um
trfego to intenso como 1 Gb constantemente. Entretanto, a banda utilizada tem se
tornado cada vez maior (tomemos como exemplo a grande procura e oferta das
conexes xDSL, vdeo, mega-provedores de acesso etc.) e muitos tem buscado
estruturas de backbone em altas velocidades, como ATM e Gigabit Ethernet, todos
comutados, naturalmente.
Vrios fabricantes de IDS possuem verses que suportam adaptadores de rede Gigabit
Ethernet e alguns suportam tambm adaptadores ATM. Entretanto, eles tm, em sua
grande maioria, suportado somente o adaptador, no a taxa de transferncia destes
adaptadores, o que muitas vezes causa uma falsa impresso de poderem lidar com estas
velocidades.
possvel, ainda, que a maioria dos IDSs no possa suportar trfegos at menores,
uma vez que o tamanho dos pacotes a serem processados tem grande influncia no
desempenho dos mesmos. Pacotes pequenos causam uma maior carga na anlise que
deve ser realizada. Uma rede com trfego mdio de 100 Mbps e tamanho dos pacotes
de 1500 bytes ir gerar uma carga muito menor do que outra com os mesmos 100 Mbps
e pacotes de 576 bytes, por exemplo, pois teremos aproximadamente 3 vezes mais
pacotes no segundo caso. Estes detalhes muitas vezes no so levados em conta no
momento do projeto e da implantao ou da escolha de IDSs nestas redes de alto
trfego, mas so fatores muitas vezes decisivos sobre a escolha de um ou outro produto,
de uma ou outra tecnologia.
Nas redes ATM, ser necessria uma maior adaptao dos IDSs, j que a prpria
tecnologia (ATM) no possui padres universais para a camada 2, onde temos: IPoATM,
LANE, MPOA etc. Alguns permeiam tambm a camada 3. Dependendo de como o IDS
for implementado, o que na grande maioria dos casos exigir um optical tap ser
necessria a emulao da poro ATM, por exemplo de um LEC (Lan Emulation Client)
quando usando LANE, uma vez que o IDS no ter comunicao com o LECS (Lan
Emulation Configuration Server). Isto torna a implantao trabalhosa e provavelmente
cara para o desenvolvedor.
Solues tm sido buscadas para preencher esta lacuna nas tecnologias de IDS. Uma
abordagem que pode ser aplicada a separao de trfego atravs de switches de
balanceamento de trfego para IDSs. Os switches Toplayer, por exemplo, podem dividir
o trfego de uma porta Gigabit-Ethernet em vrias portas Fast-Ethernet, permitindo a
distribuio do trfego entre vrios IDSs (ver Figura 11), conforme citado no manual do
produto:
"Os grupos CC (Carbon Copy) so usados pelo AppSwitch para enviar (em ambas as
direes) uma cpia de todos os pacotes em uma dada sesso para outra porta
designada como membro de um grupo CC. Esta caracterstica, conhecida como flow
mirroring, til para ampliar a capacidade de sistemas dedicados na deteco de
intrusos, ao permitir que mltiplos sistemas sejam dispostos em paralelo para balancear
o trfego da sesso."

Figura 11 - O trfego entre os switches gigabit distribudo entre
vrios IDSs
Esta abordagem requer um cuidado adicional do fabricante de IDS, uma vez que ser
necessrio fazer uma consolidao dos vrios eventos gerados pelos sensores, j que
estes tero uma viso parcial do trfego da rede. Assumindo que um IDS tenha
mecanismos para detectar alguns tipos de ataques, - por exemplo varreduras de portas
(port-scanning) distribudos/coordenados como o descrito pelo projeto Shadow (1998):
"[] ataques e sondagens que tm sido recentemente observados, nos quais mltiplos
atacantes esto claramente trabalhando juntos em direo a um objetivo comum, a partir
de diferentes endereos IP. Muitas vezes estes endereos IP so tambm separados
fisicamente, em diferentes pases ou mesmo em diferentes continentes." - num ambiente
fragmentado como o proposto, dificilmente haver um alerta sobre este evento, que
provavelmente no ser detectado. Um ataque distribudo/coordenado ser diludo no
ambiente de detectores e poder facilmente passar desapercebido.
Sem dvida, outras formas para contornar os problemas com as altas velocidades sero
buscadas, com o aumento do poder de processamento dos equipamentos, notadamente
equipamentos Intel e Sun Sparc, e a utilizao de arquiteturas SMP, que pouco
explorada at o momento. preciso cuidar para no confundir os IDSs que podem
funcionar em arquitetura SMP, com aqueles que realmente aproveitam esses recursos.
Paralelamente ao uso de SMP, a adoo de barramentos de I/O mais rpidos, como PCI
64bit, permitir o uso mais efetivo de interfaces de rede como Gigabit, ATM (OC-12) etc.
Outra abordagem possvel a utilizao de Target IDS monitorao de alguns
elementos da rede que so do interesse do administrador (por exemplo, monitorao dos
roteadores apenas) implementado por alguns fabricantes e que pode ser tambm
simulado atravs da utilizao de recursos de filtragem do IDS ou atravs do
direcionamento do trfego por um switchde aplicao como o Toplayer. Pode-se reduzir
a carga imposta ao IDS, direcionando para ele somente parte do trfego, o que permi te o
tratamento adequado de um maior volume. Torna-se possvel, por exemplo, separar a
rede em duas partes e utilizar dois IDSs - cada um monitorando uma destas partes.
A segregao de IDS por servio, discutida na lista FOCUS-IDS, uma variao da
abordagem anterior. Ela implementada de forma que um IDS configurado, por
exemplo, para somente analisar eventos relativos a e-mail, outro analisa somente
eventos HTTP, e ainda outro analisa os demais eventos. Desta forma, tambm possvel
minimizar o volume de trfego de cada um destes IDS.
Como se pode observar, algumas destas solues/proposies so dependentes dos
fabricantes de IDS, outras so baseadas na arquitetura estabelecida para o ambiente.
Entretanto, o ponto relevante que j existem solues para este problema que ir
atingir principalmente os grandes provedores de contedo, comrcio eletrnico etc.
15 - Sasha e Seetle (2000): "Current NIDS based upon passive protocol analysis can
barely monitor 100 Mb/s Ethernet, and it is somewhat doubtful that they will be able to
monitor ATM, FDDI, etc."
16 - Tipo de equipamento que, diferentemente dos PCs que so de uso genrico, tem
uma funo especfica e otimizado para ela. Por exemplo: roteadores, switch, IDSs,
Web-Cache etc.
17 - At o momento parece que somente a SecurityWizards, com o Dragon Sensor
Appliance, possui interfaces ATM (OC-3) (www.securitywizards.com )
18 - Valor padro do MTU para interfaces Ethernet e PPP.
19 - Valor padro do MTU para interfaces X.25
20 - O Appswitch 3500 da Toplayer ( www.toplayer.com ) possui duas interfaces Gigabit
Ethernet e permite a distribuio de forma espelhada (usando a caracterstica Carbon
Copy do produto) do trfego para portas Fast Ethernet.
21 - Do manual do TopLayer AppSwitch: "CC (Carbon Copy) Groups are used by the
AppSwitch to send (in both directions) a copy of all packets in a given session to another
port designated as a member of the CC Group. This feature, known as flow mirroring, is
useful in expanding the capacity of Intrusion Detection appliances by allowing multiple
appliances to be placed in parallel to balance the session traffic."
22 - Shadow (1998): "[] attacks and probes that have been recently observed in which
multiple attackers are clearly working together toward a common goal from different IP
addresses. Often these IP addresses are also physically separated, in different countries
or even different continents."
23 - symmetric multiprocessing: sistema de multi-processamento simtrico.
24 - Target IDS foi discutido recentemente na lista FOCUS-IDS e pode ser pesquisado
emhttp://www.securityfocus.com/focus/ids/menu.html?fm=9&action=fold .
5. Concluso
Vimos aqui trs desafios para a implantao de IDS: os sistemas de criptografia SSL e
IPSec, as redes comutadas e as redes de alta-velocidade. Para poder implementar uma
soluo de IDS de forma completa nestes ambientes, ser necessrio um planejamento
adequado, reviso das topologias das redes e eventualmente novos equipamentos, bem
como e talvez principalmente um bom conhecimento do ambiente onde ser
implementado o IDS.
De uma maneira geral, parece que a abordagem baseada em host atende, de forma
mais efetiva, todos os problemas apontados aqui. Resta agora aos fabricantes
fornecerem solues de monitorao baseada nesta estratgia, tanto do trfego de rede
para ele enviado, como das atividades realizadas internamente no sistema (monitorao
de logs, de registry etc.) que possam fornecer o desempenho requerido. Esta uma
tendncia que j pode ser observada pelos lanamentos de produtos por alguns
fabricantes.
Estes desafios podem ser encontrados e abordados de forma isolada, mas parece que a
existncia de ambientes onde todos estejam presentes ser cada vez mais crescente, o
que faz com que uma soluo nica no seja adequada.
Comprar um IDS e instal-lo no resolver problema algum, seja qual for o tamanho da
rede. Somente far diferena ter um IDS quando for implementado de forma cuidadosa e
sobretudo com um contnuo acompanhamento e monitoramento.
Referncias bibliogrficas
[1] FREIER, Alan O.; KARLTON, Philip; KOCHER, Paul C., ``The SSL Protocol - Version
3.0'', Netscape, 1996. http://home.netscape.com/eng/ssl3/draft302.txt
[2] KENT S.; ATKINSON, R. Security Architecture for the Internet Protocol RFC2401,
The Internet Society, 1998. http://www.ietf.cnri.reston.va.us/rfc/rfc2401.txt
[3] SHADOW Indications Technical Analysis Coordinated Attacks and Probes, Naval
Surface Warfare Center Dahlgren Division, 14 de dezembro de 1998.
http://www.nswc.navy.mil/ISSEC/CID/co-ordinated_analysis.txt
[4] SASHA; LIFELINE. Distributed tools, Phrack magazine, 2000, v.10, n.56.
http://www.phrack.com/search.phtml?view&article=p56-12
[5] SASHA; BEETLE. A strict anomoly detection model for ids, Phrack magazine, 2000,
v.10, n.56. http://www.phrack.com/search.phtml?view&article=p56-12
[6] Toplayer AppSwitch User Guide, Toplayer, 2000. www.toplayer.com
[7] DIERKS, T.; ALLEN, C. The TLS Protocol Version 1.0 RFC2246. The Internet
Society, 1999. http://www.ietf.org/rfc/rfc2246.txt
[8] Introduction to SSL, Netscape Corporation, 1998.
http://developer.netscape.com/docs/manuals/security/sslin/index.htm
[9] Intel Express Gigabit Switch - Users Guide, Intel Corporation, 1998.
http://www.intel.com/support/express/switches/1gb/es1000s.htm
[10] Intel Express 500 Series Switches User Guide, Intel corporation, 1999.
ftp://download.intel.com/support/express/switches/500/550f_ug.pdf
[11] 3com Switch 4007 User Guides - Command Reference Guide, 3com, 2000.
http://support.3com.com/infodeli/tools/switches/4000/4007/13693/index.htm
[12] AppSwitch and Intrusion Detection Systems (IDS), Toplayer, 1999.
http://www.toplayer.com/application_notes/ids.shtml
[13] FOCUS-IDS Mailing-
list: http://www.securityfocus.com/focus/ids/menu.html?fm=9&action=fold
[14] AppSwitchTM 3500 Family Datasheet, Toplayer, 2000.
http://www.toplayer.com/products/3500_datasheet.shtml
[15] Deploying IPSec, Cisco systems,
1999, http://www.cisco.com/warp/public/cc/so/neso/sqso/eqso/dplip_in.pdf
[16] OmniSwitch OmniSwitch/Router User Manual, Xylan.