Escolar Documentos
Profissional Documentos
Cultura Documentos
AULA 04
INTRUSION DETECTION SYSTEM (IDS)
Pr-requisitos
Como pr-requisitos para esta aula voc dever ter conhecimentos no mnimo acadmicos
sobre as redes de computadores (protocolos da pilha TCP/IP, aplicaes TCP/IP, entendimento
dos cabealhos e dos campos do TCP e do IP, etc.).
Os IDSs surgiram numa poca em que os firewalls se tornavam cada vez mais robustos
e confiveis e os ndices de ataques bem sucedidos de fora para dentro estavam diminuindo
(claro que estamos falando de firewalls bem administrados). Por outro lado, os chamados
incidentes internos comearam a ganhar cada vez mais destaque nas estatsticas (mesmo em
empresas onde havia firewalls bem administrados). Isso impulsionou o desenvolvimento das
tecnologias de IDS (e continua a impulsionar, pois a maior parte dos problemas ainda
originada direta ou indiretamente dentro da empresa).
Conforme vimos na Aula 02, um firewall no protege a rede contra ataques cujo
trfego no passe por ele. Isto significa que o firewall uma barreira incua quando falamos
de incidentes que tm origem dentro da organizao. Este um ponto da teoria sobre
firewalls que o difere bastante dos IDSs: ao contrrio do firewall, o IDS protege a empresa
contra atividades maliciosas originadas a partir dela prpria. O trfego no precisa,
necessariamente, passar pelo IDS conforme veremos nesta aula.
1 Gerao
Inicialmente os registros de auditoria (logs de sistema etc.) eram processados
2a Gerao
A segunda gerao consolidou o conceito de deteco por assintatura e trouxe
3 Gerao
Note que as redes de computadores modernas geram uma imensa quantidade
Em 1998 foi criado um IDS chamado Snort que atualmente um dos sistemas de IDS
mais utilizados em todo o mundo. Hoje em dia h ofertas de IDSs para todos os gostos,
gratuitos ou no. Praticamente todos os grandes fabricantes de firewall possuem mdulos de
IDS que podem ser adquiridos em conjunto ou isoladamente. Uma rea que tem demandado
muito desta tecnologia a rea de redes sem fios. Tratar dos IDSs para redes sem fio no
parte do nosso escopo. Para obter mais informaes sobre IDS em redes sem fio acesse o
documento Guide to Intrusion Detection and Prevention Systems indicado nas referncias.
Incio do verbete
Snort - um software de IDS gratuito e de cdigo aberto (open source) utilizado por
mais de 300.000 usurios em todo o mundo (segundo informaes de seu site oficial). Ele
possui comunidades ativas em todo o mundo discutindo e desenvolvendo funcionalidades.
Fim do verbete
3. Tipos de IDS
Em alguns livros voc poder encontrar o assunto desta seo como apenas mais um
tipo de classificao dos IDSs (veremos que h vrias formas de classific-los). Para ns, a
classificao dos IDSs quanto ao seu alvo define os trs principais tipos de IDSs: os NIDS, o HIDs
e os IDSs hbridos.
importante voc observar que os IDSs baseados em hosts sempre causam algum
impacto direto aps a sua instalao. No mnimo ele disputar recursos dentro da prpria
mquina que ele visa a proteger. Os NIDS, ao contrrio, podem atuar de forma transparente.
Fim da Caixa de Ateno
Diagramao, por favor, refazer o esquema seguindo o design grfico desse projeto.
Na figura 4.1 possvel identificar quatro servidores: um servidor de domnio, um
servidor web, um servidor de arquivos e um servidor de IDS de rede (NIDS). Note que o
servidor de domnio mereceu mais ateno do administrador e, por isso, possui um HIDS
instalado exclusivamente para proteg-lo.
Observe que o NIDS pode ser instalado em um servidor dedicado, mas tambm pode
compartilhar um hardware com outras aplicaes. Esta deciso ser tomada pelo
administrador com base nos recursos disponveis. Outro comentrio importante o fato de
que um IDS pode estar antes ou depois do firewall; e pode ser colocado em srie com o
trfego ou em paralelo a ele. Estudaremos melhor estas duas idias ainda nesta aula. Na
figura 4.1 os IDSs esto depois do firewall e paralelo ao trfego.
Vale ressaltar que a palavra sistema existente na sigla IDS pode ser interpretada de
maneira ampla (como fazem algumas bibliografias). Neste caso, o sistema de deteco de
intruso abrange aplicaes e hardwares instalados com este objetivo. A partir desta
definio ampla, o esquema da figura 4.1 poderia ser considerado um IDS hbrido, pois o
sistema possui IDSs de host e IDS de rede espalhados (isso embora cada um execute exclusivamente - a funo de NIDS ou a funo de HIDS).
Incio da Caixa de Multimdia
Alguns esforos de padronizao de protocolos em torno dos IDSs foram iniciados no
passado. O CIDF (Common Intrusion Detection Framework) foi um destes esforos
patrocinados pela Universidade do Sul da Califrnia nos Estados Unidos. A pgina do CIDF
pode ser acessada em http://gost.isi.edu/cidf/ (atualizada at 1999). A partir das idias
propostas pelo CIDF foi criado um grupo de trabalho do IETF (Internet Engineering Task Force),
chamado IDWG (Intrusion Detection Working Group). O trabalho deste grupo j foi encerrado e
o esforo de padronizao no evoluiu muito (ou seja, continuam reinando solues
proprietrias independentes entre si). Mais informaes sobre o IDWG podem ser obtidas em
http://www.ietf.org/wg/concluded/. Ambas as pginas foram acessadas em 08 de dezembro
de 2010.
Fim da Caixa de Multimdia
Incio da Atividade
Atividade 01 - Objetivo 01
O que melhor para proteger uma DMZ: um HIDS em cada servidor ou um nico NIDS
no segmento? Justifique sua resposta.
Quantidade de Linhas: deixar 08 linhas.
Resposta
H prs e contras. Um dos primeiros pesos a serem colocados na balana
naturalmente o custo. Alm disso, note que o NIDS pode detectar intruses na rede antes
que elas tenham atingido os servidores e isso pode ser vital. Por outro lado, NIDSs s podem
analisar trfego de rede e no tm capacidade de analisar outros comportamentos que s
podem ser detectados dentro de uma mquina. Ou seja, o NIDS de um fabricante pode no
detectar uma intruso (ainda na rede) que o HIDS deste mesmo fabricante detectar no
prximo estgio (dentro no host). O ideal mesmo seria utilizar NIDS e HIDS... mas o ideal nem
sempre possvel.
Fim da Atividade
4. Funcionamento do IDS
Identificao Positiva
O funcionamento bsico do IDS prev a identificao positiva de incidentes em
Identificao Negativa
Falsos Positivos
Um problema pelo qual passa qualquer administrador de IDS a gerao de
falsos positivos. Um falso positivo uma identificao positiva de uma intruso que, na
realidade, algo inofensivo (um comportamento normal). Isso pode acontecer por
vrios motivos dependendo da forma com que o IDS analisa as informaes. Quanto
maior for o nvel de segurana exigido, maior tende a ser o nmero de falsos positivos
gerados. Claro que isso no uma regra, mas o que acaba acontecendo na prtica
quando os administradores capricham nas regras.
Falsos Negativos
O falso negativo um problema espelho do falso positivo; porm,
muitssimo mais grave. O falso negativo a no identificao de uma intruso que
est em andamento e pode acontecer devido a vrios fatores, como veremos.
Voc deve perceber que um falso positivo no gera prejuzos diretos para a rede, a
no ser o custo de analisar e tratar algo que, at certo ponto, irrelevante. Por
outro lado, o falso negativo tem implicaes imediatas de segurana. Isso porque
ele permite que um evento de segurana que tinha grande probabilidade de
causar danos acabe, de fato, causando estes danos sem que nenhuma contramedida seja tomada.
4.2.Captura do Trfego
Como j dissemos, o funcionamento do IDS depende de o trfego chegar at ele
(ou melhor, ser capturado por ele). Voc deve estar se perguntando: mas esta no era
uma caracterstica somente dos firewalls? Isto , precisar que o trfego passasse por ele?
Sim, claro que sim. Note que no estamos dizendo que o trfego precisa passar pelo IDS,
mas, sim, que o trfego precisa ser capturado por ele. Neste sentido, a escolha da posio
onde o IDS ser instalado tambm importante para o seu sucesso. Na prtica isso tem
implicaes dependendo do tipo de IDS (baseado em rede ou baseado em host).
No caso de um IDS de rede (NIDS) necessrio que o administrador conhea bem
a arquitetura e a topologia de sua rede . Ele precisar configurar adequadamente os
Figura 4.4: IDSs podem usar sensores de trfego espalhados pela rede.
Antes do Firewall
Observe que o posicionamento do IDS na figura a seguir permite que ele
detecte ataques antes que cheguem ao firewall. Embora o IDS no possa impedir
que o ataque efetivamente atinja o firewall, esta opo permite ao administrador
identificar mais incidentes.
Este posicionamento uma opo quando o administrador deseja coibir,
estudar ou mesmo entender o perfil de ataques que tm como alvo a sua rede.
Isso pode ser necessrio quando uma equipe acabou de instalar o firewall e quer
test-lo.
Observe que com o IDS nesta posio, a quantidade de trfego a ser analisado
pode no ser suportada pelo equipamaneto. Lembre-se de que a anlise feita pelo
IDS tende a ser muito mais lenta que a anlise feita pelo firewall.
Figura 4.5: O IDS pode ser colocado antes do firewall (do lado da internet).
Diagramao, por favor, refazer esse esquema seguindo o design padro do curso.
Depois do Firewall
Se o IDS estiver aps o firewall, trfegos bloqueados pelas regras no sero
percebidos. claro que basta ao administrador checar os registros do firewall
(logs), mas isso no poderia ser feito em tempo real.
Assim, a empresa pode investir em um IDS apenas para lidar com uma
quantidade menor de trfego (dentro de uma DMZ, por exemplo). Se este for o
caso, o IDS aps o firewall ter um papel importante em identificar apenas os
incidentes que venham a passar pelas regras. Este o posicionamento mais
comum.
Figura 4.6: O IDS pode ser colocado depois do firewall (do lado da rede local).
Em Srie
Quando o IDS est em srie, o trfego precisa entrar no equipamento, ser
analisado, e depois sair dele. Observe que, neste caso, o IDS deixa de ser um elemento
Em Paralelo
Posicionar o IDS em paralelo com o trfego o mais comum. Deste modo, ele
consegue atuar capturando o trfego para anlise, mas sem impactar a rede. Ou seja, a
sua operao transparente para a rede.
exige ocorrncia e registro prvios de pelo menos um caso. Quando no h uma assinatura
disponvel apenas a deteco por anomalia possvel. Note que o incidente no precisa
culminar em uma intruso bem sucedida para que se possa gerar uma assinatura. A
informao gerada na deteco por anomalia j serve para alimentar e enriquecer a base de
dados de deteco por assinatura. Por isso dizemos que a anomalia de hoje pode gerar a
assinatura de amanh.
Fim da Atividade
Mdulos de Monitoramento
Os mdulos de monitoramento podem ser sensores e agentes. Os sensores so
Mdulo de Gerenciamento
O mdulo de gerenciamento recebe dados dos sensores e dos agentes. Ambos
Banco de Dados
O banco de dados o repositrio para as informaes sobre eventos registrados
Console de administrao
A console um programa que fornece uma interface para atividades de
IDS Centralizado
A arquitetura centralizada se caracteriza pelo fato de que os mdulos de
Figura 4.9: Na arquitetura centralizada todos os componentes do IDS esto no mesmo hardware.
IDS Distribudo
Figura 4.10: Na arquitetura distribuda h vrios agentes/sensores espalhados pela rede e apenas um
mdulo de gerenciamento.
IDS Hierrquico
Esta arquitetura se caracteriza pelo fato de termos mais de um mdulo de
gerncia na rede sendo que pelo menos um deles assume funes hierarquicamente
mais importantes.
Muitos fabricantes tm solues customizadas para ambientes de grande
porte onde as funes de gerenciamento so divididas em mdulos de coordenao e
um mdulo de gerncia propriamente dita. A idia que a empresa possa eleger um
ponto central de gerncia (por exemplo, a matriz da empresa) e um ou mais pontos
secundrios (por exemplo, suas filiais).
A quantidade de mdulos de monitoramento no influencia na hierarquia. Eles
sero tantos quanto a empresa precisar (e puder pagar...) a fim de monitorar os
Figura 4.11: Na arquitetura hierrquica h mais de um mdulo de gerncia sendo que um assume papel
mais importante na hierarquia.
Incio da Atividade
Atividade 04 - Objetivo 03
Procure relacionar pontos a favor e contra cada uma das arquiteturas a seguir e
indique o cenrio que levaria voc a optar pela arquitetura:
a. Centralizada.
b. Distribuda.
c. Hierrquica.
Quantidade de Linhas: deixar 12 linhas.
Resposta
A arquitetura centralizada possui menor custo, mas pouca visibilidade. Ela seria
utilizada em cenrios onde h apenas um segmento com trfego pouco sensvel a ser
protegido e poucos recursos para aplicar em segurana. A arquitetura distribuda possui a
melhor relao custo-benefcio, pois permite aumentar a visibilidade de um nico mdulo de
gerncia de forma escalvel atravs do uso de agentes e sensores mais baratos. Ela seria
indicada em cenrios onde h mais de um segmento com trfego sensvel e o investimento em
segurana da informao visto como importante para a proteo do negcio. A arquitetura
hierrquica rene o benefcio da visibilidade escalvel com funes de gerncia mais
sofisticadas; porm, o seu custo o maior. Ela seria indicada para cenrios amadurecidos onde
os processos de segurana da informao so vistos como vitais para o negcio.
Fim da Atividade
7. Concluso
O contedo que vimos nesta aula ressalta o fato de que no existe uma soluo
infalvel para os problemas de segurana em redes de computadores. A prpria definio de
IDSs (ou IPSs) diz isso. Afinal, ela parte do princpio de que as barreiras de permetro podem
falhar e que uma intruso poder acontecer.
Houve uma poca em que a maior preocupao dos fabricantes era a evoluo das
tecnologias de firewall. Porm, havia um limite natural para o que o firewall podia fazer: a sua
atuao no podia aumentar excessivamente a latncia da rede. Muitos dizem que o poder
dos firewalls tende a aumentar na medida em que a capacidade de processamento aumenta.
Este argumento no pode ser aceito sem uma discusso mais ampla. A voluo tecnolgica
tambm afeta o usurio que passa a gerar mais trfego etc.
Enfim, logo se percebeu que a combinao ideal seria o equilbrio entre os benefcios
proativos dos firewalls e a reatividade dos IDSs. Com estas duas tecnologias, pode-se chegar a
um ponto ideal onde h segurana sem prejudicar muito a eficincia. A evoluo do IDS
significa assumir um risco calculado em prol da eficincia da infraestrutura de rede.
Resumo
O IDS um equipamento reativo que detecta incidentes em um estgio avanado de
sua existncia. Normalmente quando o firewall j foi ultrapassado. Apenas o IDS
consegue detectar ataques originados dentro da rede interna.
Ao contrrio do firewall, o IDS no precisa que o trfego passe por ele. Porm, a sua
anlise depende da captura do trfego. Neste sentido, uma parte essencial da
operao de qualquer IDS funcionar como se fosse um sniffer de pacotes.
H trs tipos de IDS: NIDS, ou IDSs de rede; HIDS, ou IDS de host; e IDSs hbridos, que
so uma combinao de ambos.
Falsos positivos e falsos negativos so os principais problemas com os quais os
administradores tm de lidar. No caso do IDS simples (passivo), o problema maior o
falso negativo. No caso dos IPS (ativo), ambos causam impacto muito negativo.
O IDS pode ser colocado antes do firewal (rede externa). Nesta posio o objetivo
detectar todos os ataques direcionados rede interna.
O IDS tambm pode ser colocado aps o firewal (na rede interna). Nesta posio o
objetivo detectar somente os ataques que tenham passado pelo firewall. Este
posicionamento o mais comum.
IDSs so compostos por mdulos de gerncia, mdulos de monitoramento (agentes e
sensores), bancos de dados e consoles de administrao.
A deteco da intruso pode se dar por assinatura ou por comportamento. A deteco
por assinatura mais rpida, mas s funciona para ataques conhecidos; a deteco
por comportamento mais lenta, mas permite detectar ataques novos.
Quanto arquitetura, o IDS pode ser centralizado, distribudo ou hierrquico.
IPSs reagem ativamente diante de uma intruso com o objetivo de interromp-la.
Alguns IPSs trabalham em conjunto com o firewall buscando equilbrio entre maior
segurana e eficincia no uso da infraestrutura de rede.
Prxima aula
Na prxima aula comearemos o nosso estudo dedicado criptografia. Ao todo sero
trs aulas tratando de criptografia simtrica, criptografia assimtrica e certificao digital. Na
Aula 05 especificamente nosso foco ser voltado para a criptografia simtrica. Ser discutido o
prprio conceito de criptografia simtrica, seus principais protocolos (DES, 3DES, AES etc.).
Estudaremos em detalhes a cifra de Feistell, utilizada pelo DES, e a cifra de Rijndael, utilizada
pelo AES.
Pratique o que voc aprendeu e contribua com os fruns desta aula fazendo os seus
questionamentos ou ajudando a esclarecer as dvidas dos outros participantes. At a prxima
aula!
Questes Finais
1) Sobre o posicionamento do firewall com relao ao IDS, analisa as afirmaes abaixo
assinalando V para verdadeiro e F para falso.
( ) O IDS colocado aps o firewall e dentro da rede interna (ou local) identifica mais
incidentes do que o IDS colocado antes do firewall (externamente).
( ) Posicionar o IDS entre a rede externa e um firewalls recm instalado permite
diagnosticar falhas na aplicao das regras do firewall.
( ) IPSs previnem intruses e, portanto, so elementos proativos como os firewalls.
( ) NIDSs precisam ser instalados em paralelo ao trfego para serem eficientes.
( ) IDSs geralmente so instalados antes do firewall para proteg-lo.
2) Enumere a primeira coluna de acordo com a segunda.
(
(
(
(
(
(
(
) Firewall
) IDS
) IPS
) Positivo
) Negativo
) Falso Positivo
) Falso Negativo
2) 2 3 1 5 4 7 6.
3) A afirmao [103] falsa. A situao descrita indica um falso negativo (indicao de
que no h intruso onde, de fato, houve).
4) A afirmao [119] falsa. Esta abordagem baseada na deteco por comportamento
normal. Este tipo de abodagem, relativamente abordagem por assinaturas,
apresenta alto ndice de falsos positivos.
5) A afirmao [66] verdadeira. O ajuste da assinatura a garantia de que as
informaes da base de assinaturas do IDS correspondem s formas com que os
ataques se manifestam. A afirmao [67] foi considerada verdadeira. Vale ressaltar
que a recomendao a que se refere o enunciado est em alguma bibliografia indicada
pela banca. Na prtica, cabe ao administrador decidir levando em conta vrios fatores,
conforme vimos nesta aula.
6) A afirmao [114] falsa. Na deteco por anomalias a nica coisa que se define a
priori o comportamente padro da rede, no o comportamente padro do atacante
(pois ele desconhecido). A afirmao [115] verdadeira. Ela apenas lista tipos de
fonte de informao que podem ser consideradas a fim de construir a base de dados
utilizada nas anlises feitas pelo IDS. A afirmao [116] obviamente falsa.
7) A afirmao [102] falsa. Ataques cujas assinaturas so desconhecidas geram elevao
do nmero de falsos negativos. Ou seja, o trfego relacionado ao ataque passar
despercebido pelo IDS, pois a sua assinatura ainda no conhecida.
8) Tanto IDSs quanto IPSs detectam incidentes em que o trfego do atacante j est na
rede ou no servidor a ser protegido (a intruso j ocorreu). Por isso so reativos.
Porm, enquanto o IDS (reativo e passivo) detecta a intruso e no toma uma medida
contra ela, o IPS (reativo, mas ativo) age com o objetivo de interromper a intruso at
que providncias definitivas sejam tomadas.
Referncias
SCARFONE, Karen; MELL, Peter. Guide to Intrusion Detection and Prevention Systems Special Publication 800-94. USA: National Institute of Standards and Technology, 2007. 127
pg. Disponvel em http://csrc.nist.gov/publications/nistpubs/800-94/SP800-94.pdf. Acesso
em: 08 dez. 2010.
CHAPMAN, D. Brent. Building Internet Firewalls. 2 ed. USA: OReilly, 2000.