Curso: SEGURANA EM REDES DE COMPUTADORES

Conteudista: Luis Claudio dos Santos

AULA 04
INTRUSION DETECTION SYSTEM (IDS)

Ao final desta aula voc dever ser capaz de:

1) Listar e comparar os principais tipos de IDS;

2) Comparar os conceitos de IDS e de firewalls;
3) Classificar de diversas formas um IDS.

Pr-requisitos
Como pr-requisitos para esta aula voc dever ter conhecimentos no mnimo acadmicos
sobre as redes de computadores (protocolos da pilha TCP/IP, aplicaes TCP/IP, entendimento
dos cabealhos e dos campos do TCP e do IP, etc.).

1. Princpios do Funcionamento do IDS

O conceito de IDS (Intrusion Detection System) surgiu na dcada de 1980. Na medida
em que os firewalls evoluiam para filtrar pacotes com base em estado de conexo (stateful) ou
com base na camada de aplicao (proxies), o conceito de IDS comeou a se formar. Fique
atento quanto ao fato de que estamos tratando de dois conceitos distintos. H fabricantes
(poucos) que dizem que seu firewall possui um mdulo de IDS ou dizem que seu firewall
realiza funes de deteco de intruso. Isto vai de encontro abordagem um pouco mais
formal que vamos seguir nesta aula. Ns precisamos separar estes conceitos, pois h muitos
exemplos de softwares que fazem somente a deteco de intruso, mas no realizam
nenhuma espcie de filtragem de pacotes. Vale ressaltar que embora estejamos tratando de
conceitos distintos, nada impede que um mesmo hardware possua uma aplicao de firewall e
uma aplicao de IDS (o que bastante comum e que, por isso, acaba causando certa
confuso).
Fazendo uma analogia simples, pense em como voc pode proteger a sua casa. O
primeiro pensamento sempre a implementao de barreiras de permetro, tais como portas,
muros, grades etc. Alm disso, algumas pessoas vo alm e instalam detectores de presena
que podem soar alarmes caso algum ultrapasse as barreiras colocadas. No contexto das redes
de computadores, o firewall um tipo de barreira de permetro e o IDS um tipo de sensor
de presena da rede. Outra afirmao que se costuma fazer que o firewall atua
proativamente e o IDS atua reativamente. A idia que o firewall s deixa passar por ele um
pacote que tenha sido aprovado pelas regras; j o IDS s identifica um incidente quando ele j
estiver causando algum tipo de dano (ou seja, quando j se tratar de uma intruso
propriamente dita).
Diagramao, por favor, desenhar uma casa com os aparatos de segurana citados a fim de
ilustrar a analogia feita no pargrafo anterior. Colocar uma figura de um firewall no lugar de
portal e um detector de intruso dentro da casa. Mostre que o ladro passou pelo firewall,
mas foi surpreendido pelo IDS.
Figura 4.1: O IDS e o firewall no realizam as mesmas funes; eles se complementam.

Os IDSs surgiram numa poca em que os firewalls se tornavam cada vez mais robustos
e confiveis e os ndices de ataques bem sucedidos de fora para dentro estavam diminuindo
(claro que estamos falando de firewalls bem administrados). Por outro lado, os chamados
incidentes internos comearam a ganhar cada vez mais destaque nas estatsticas (mesmo em
empresas onde havia firewalls bem administrados). Isso impulsionou o desenvolvimento das

tecnologias de IDS (e continua a impulsionar, pois a maior parte dos problemas ainda
originada direta ou indiretamente dentro da empresa).
Conforme vimos na Aula 02, um firewall no protege a rede contra ataques cujo
trfego no passe por ele. Isto significa que o firewall uma barreira incua quando falamos
de incidentes que tm origem dentro da organizao. Este um ponto da teoria sobre
firewalls que o difere bastante dos IDSs: ao contrrio do firewall, o IDS protege a empresa
contra atividades maliciosas originadas a partir dela prpria. O trfego no precisa,
necessariamente, passar pelo IDS conforme veremos nesta aula.

2. Afinal, o que o IDS?

O IDS atua analisando trfego de rede ou atividades em um host, identificando eventos
que possam estar relacionados a incidentes e iniciando algum procedimento. O procedimento
pode ir desde a simples gerao de um registro do evento (log) at a execuo de uma ao
proativa para interromper um ataque em andamento. Neste ltimo caso o IDS chamado de
IPS (Intrusion Prevenction System).
Basicamente podemos distinguir trs geraes de IDSs:

1 Gerao
Inicialmente os registros de auditoria (logs de sistema etc.) eram processados

pelo prprio administrador e isso, obviamente, no acontecia em tempo real. O

conceito das revises de trilhas de auditoria se desenvolveu bastante no incio da
dcada de 1980. A partir deste ponto comearam a surgir os primeiros IDSs e o
conceito de deteco de intruso com base em assinaturas (caractersticas de uso da
rede ou de um sistema que determinam uma intruso).

2a Gerao
A segunda gerao consolidou o conceito de deteco por assintatura e trouxe

um conceito novo de deteco por comportamento estatstico. O primeiro IDS a fazer

deteco estatstica de anomalias foi desenvolvido em 1986. Ele foi utilizado em
estaes de misso crtica desenvolvidas pela empresa Sun Microsystems. Com a
evoluo da capacidade de processamento, os IDSs passaram a fazer anlises em
tempo real e a gerar alarmes para os administradores.

3 Gerao
Note que as redes de computadores modernas geram uma imensa quantidade

de dados e o trabalho do IDS, no final das contas, o de analisar muita informao em

tempo real e compar-la com alguma informao definida a priori. Como vimos, estas

informaes podem ser baseadas nas assinaturas de ataques ou em comportamento

estatstico. Neste ltimo caso, os IDSs de ltima gerao tm empregado tcnicas
avanadas para determinar padres de comportamento estatstico das redes com base
em data mining etc.
Incio da Caixa de Verbete
Data mining - uma expresso em ingls para minerao de dados (ou prospeco de
dados). Trata-se do processo de explorar grandes quantidades de dados procura de padres
consistentes e relacionar informaes de maneira sistemtica. Esta a base de vrias
tecnologias modernas, inclusive as utilizadas em IDSs de ltima gerao.
Fim da Caixa de Verbete

Em 1998 foi criado um IDS chamado Snort que atualmente um dos sistemas de IDS
mais utilizados em todo o mundo. Hoje em dia h ofertas de IDSs para todos os gostos,
gratuitos ou no. Praticamente todos os grandes fabricantes de firewall possuem mdulos de
IDS que podem ser adquiridos em conjunto ou isoladamente. Uma rea que tem demandado
muito desta tecnologia a rea de redes sem fios. Tratar dos IDSs para redes sem fio no
parte do nosso escopo. Para obter mais informaes sobre IDS em redes sem fio acesse o
documento Guide to Intrusion Detection and Prevention Systems indicado nas referncias.

Incio do verbete
Snort - um software de IDS gratuito e de cdigo aberto (open source) utilizado por
mais de 300.000 usurios em todo o mundo (segundo informaes de seu site oficial). Ele
possui comunidades ativas em todo o mundo discutindo e desenvolvendo funcionalidades.
Fim do verbete

Incio da Caixa de Multimdia

A pgina oficial do Snort a http://www.snort.org. A verso em portugus do site
(http://www.snort.org.br/) rene boa parte da comunidade brasileira de usurios do Snort.
Esta pgina em portugus no oficial, mesmo porque, as comunidades so criadas
livremente. Outros exemplos de IDS so o BRO, da Vern Paxson (http://bro-ids.org/) e o IPS-1,
da Check Point (http://www.checkpoint.com/products/intrusion-prevention-systems.html),
entre outros. As pginas foram acessadas em 08 de dezembro de 2010.
Fim da Caixa de Multimdia

3. Tipos de IDS
Em alguns livros voc poder encontrar o assunto desta seo como apenas mais um
tipo de classificao dos IDSs (veremos que h vrias formas de classific-los). Para ns, a
classificao dos IDSs quanto ao seu alvo define os trs principais tipos de IDSs: os NIDS, o HIDs
e os IDSs hbridos.

2.1.NIDS (Networked IDS)

Os NIDS tambm so conhecidos como IDSs baseados em rede ou simplesmente
IDS de rede. Estes IDSs analisam o trfego da rede sem distino de aplicaes, mquinas
de origem, mquinas de destino etc. Eles funcionam como sniffers de pacotes capturando
trfego a fim de analis-lo.
Voc deve se lembrar de que estudamos o conceito de sniffers de pacotes na Aula
01 e l explicamos alguns pontos importantes sobre o seu funcionamento. Um destes
pontos era o fato de que o sniffer devia trabalhar em modo promscuo. No s ele, mas
tambm a porta do equipamento de interconexo onde ele estivesse conectado (switch
etc.). Ou seja, a quantidade de trfego que o NIDS conseguir analisar na prtica depende
de configuraes secundrias feitas nos elementos de interconexo da rede.
Esta uma caracterstica marcante deste tipo de IDS: o fato de que ele depende da
captura de trfego da rede para efeito de anlise. A anlise em si pode ser feita de diversas
formas, conforme veremos ainda nesta aula.

2.2.HIDS (Hosted IDS)

Tambm so conhecidos como IDSs baseados em host ou simplesmente IDS de
host. Estes IDSs analisam o trfego de uma nica mquina (que chega ou que sai) alm de
outras caractersticas que podem definir um comportamento adequado do sistema. Alguns
exemplos destas caractersticas so: estado dos logs, tipos e quantidades de processos em
execuo, acesso ou modificao de arquivos, mudanas na configurao do sistema
operacional etc. Estes IDSs devem ser instalados na prpria mquina a ser protegida e o
seu maior objetivo proteger apenas aquele nico computador. Normalmente os
servidores corporativos (controlador de domnio, banco de dados, correio eletrnico etc.)
so candidatos a receberem HIDSs.
Incio da Caixa de Ateno

 importante voc observar que os IDSs baseados em hosts sempre causam algum
impacto direto aps a sua instalao. No mnimo ele disputar recursos dentro da prpria
mquina que ele visa a proteger. Os NIDS, ao contrrio, podem atuar de forma transparente.
Fim da Caixa de Ateno

Figura 4.2: Exemplo de topologia com IDSs de rede e um IDS de host.

Diagramao, por favor, refazer o esquema seguindo o design grfico desse projeto.
Na figura 4.1 possvel identificar quatro servidores: um servidor de domnio, um
servidor web, um servidor de arquivos e um servidor de IDS de rede (NIDS). Note que o
servidor de domnio mereceu mais ateno do administrador e, por isso, possui um HIDS
instalado exclusivamente para proteg-lo.
Observe que o NIDS pode ser instalado em um servidor dedicado, mas tambm pode
compartilhar um hardware com outras aplicaes. Esta deciso ser tomada pelo
administrador com base nos recursos disponveis. Outro comentrio importante o fato de
que um IDS pode estar antes ou depois do firewall; e pode ser colocado em srie com o
trfego ou em paralelo a ele. Estudaremos melhor estas duas idias ainda nesta aula. Na
figura 4.1 os IDSs esto depois do firewall e paralelo ao trfego.

2.3. IDS Hbrido

O IDS hbrido combina as caractersticas de um IDS de rede e de um IDS de host.
Normalmente o software de NIDS instalado em um hardware possui funcionalidades
adicionais que permitem detectar intruses na mquina onde ele reside a fim de protegla. Neste sentido, ele acaba funcionando tambm como um HIDS e, por isso, pode ser
considerado um IDS hbrido.

Vale ressaltar que a palavra sistema existente na sigla IDS pode ser interpretada de
maneira ampla (como fazem algumas bibliografias). Neste caso, o sistema de deteco de
intruso abrange aplicaes e hardwares instalados com este objetivo. A partir desta
definio ampla, o esquema da figura 4.1 poderia ser considerado um IDS hbrido, pois o
sistema possui IDSs de host e IDS de rede espalhados (isso embora cada um execute exclusivamente - a funo de NIDS ou a funo de HIDS).
Incio da Caixa de Multimdia
Alguns esforos de padronizao de protocolos em torno dos IDSs foram iniciados no
passado. O CIDF (Common Intrusion Detection Framework) foi um destes esforos
patrocinados pela Universidade do Sul da Califrnia nos Estados Unidos. A pgina do CIDF
pode ser acessada em http://gost.isi.edu/cidf/ (atualizada at 1999). A partir das idias
propostas pelo CIDF foi criado um grupo de trabalho do IETF (Internet Engineering Task Force),
chamado IDWG (Intrusion Detection Working Group). O trabalho deste grupo j foi encerrado e
o esforo de padronizao no evoluiu muito (ou seja, continuam reinando solues
proprietrias independentes entre si). Mais informaes sobre o IDWG podem ser obtidas em
http://www.ietf.org/wg/concluded/. Ambas as pginas foram acessadas em 08 de dezembro
de 2010.
Fim da Caixa de Multimdia

Incio da Atividade
Atividade 01 - Objetivo 01
O que melhor para proteger uma DMZ: um HIDS em cada servidor ou um nico NIDS
no segmento? Justifique sua resposta.
Quantidade de Linhas: deixar 08 linhas.
Resposta
H prs e contras. Um dos primeiros pesos a serem colocados na balana
naturalmente o custo. Alm disso, note que o NIDS pode detectar intruses na rede antes
que elas tenham atingido os servidores e isso pode ser vital. Por outro lado, NIDSs s podem
analisar trfego de rede e no tm capacidade de analisar outros comportamentos que s
podem ser detectados dentro de uma mquina. Ou seja, o NIDS de um fabricante pode no
detectar uma intruso (ainda na rede) que o HIDS deste mesmo fabricante detectar no
prximo estgio (dentro no host). O ideal mesmo seria utilizar NIDS e HIDS... mas o ideal nem
sempre possvel.
Fim da Atividade

4. Funcionamento do IDS

4.1.Identificaes Positivas e Negativas

As expresses explicadas a seguir tambm so utilizadas em outras reas com
sentido semelhante (medicina etc.). importante conhecer estas definies e conseguir
relacion-las adequadamente, pois elas costumam permear todo o texto que trata de IDSs.

Identificao Positiva
O funcionamento bsico do IDS prev a identificao positiva de incidentes em

andamento que j causaram danos ou que esto prestes a causar (intruses).

Definimos na Aula 01 incidente como um ou mais eventos indesejados ou
inesperados, que tenham uma grande probabilidade de comprometer as operaes do
negcio e ameaar a segurana da informao.
Chamamos a ateno para a expresso grande probabilidade. Perceba que
um incidente no algo que j causou dano, mas algo que tem grande chance de
causar. Deste modo, uma varredura utilizando um scanner de vulnerabilidades j um
incidente digno de ateno pela rea de TI. Embora a maioria das varreduras possa ser
detectada pelas regras de um bom firewall, algumas delas podem gerar informaes
sobre vulnerabilidades do prprio firewall.
O que acontece se uma ameaa explora esta vulnerabilidade e consegue burlar
o firewall?
Diagramao , por favor, deixar essa frase anterior central ao texto.
Bem, neste caso o IDS (caso exista um), dever entrar em ao. Note que o IDS
atua em um segundo estgio do incidente: aquele em que o firewall j foi vencido. No
se esquea de interpretar este mesmo exemplo para o caso em que a varredura feita
a partir do lado interno do firewall (rede local da empresa). Somente para efeitos
didticos, vamos imaginar algo pouco comum... por exemplo, um empregado
insatisfeito e mal intencionado. J sabemos que, por definio, o firewall j ter sido
burlado no momento em que a varredura comear.
Enfim, um positivo para o IDS a identificao da intruso e isso pode
acontecer em vrios estgios. No exemplo anterior, desde a varredura, passando pelo
momento em que um exploit venha a ser utilizado, at o momento em que haja o
comprometimento de uma mquina e ela passe a funcionar de forma estranha.

Identificao Negativa

O negativo tudo o que no for relacionado a uma intruso e espera-se que

ele corresponda maior parte de todo trfego analisado... Em condies normais,
qualquer rede tende a gerar mais negativos do que positivos.
Assim, quando um IDS analisa uma informao, ele tem duas escolhas sempre:
realizar uma identificao positiva gerando algum tipo de alarme (o tipo depende do
IDS) ou uma identificao negativa e no fazer nada. Os alarmes podem ser sinais
grficos em uma tela de monitoramento combinados com alarmes sonoros, e-mails
enviados para contas pr-cadastradas, mensagens SMS (Short Message Service) para
um nmero de suporte tcnico etc.
Incio da Caixa de Verbete
SMS (Short Messaging Service) - permite trocar mensagens de texto atravs da rede
de comunicao celular entre equipamentos terminais de usurio (aparelhos celulares). Com o
desenvolvimento destas tecnologias as funes do SMS evoluram para o MMS (Multimedia
Messaging Service), que permite a troca de contedo multimdia entre celulares.
Fim da Caixa de Verbete

Falsos Positivos
Um problema pelo qual passa qualquer administrador de IDS a gerao de

falsos positivos. Um falso positivo uma identificao positiva de uma intruso que, na
realidade, algo inofensivo (um comportamento normal). Isso pode acontecer por
vrios motivos dependendo da forma com que o IDS analisa as informaes. Quanto
maior for o nvel de segurana exigido, maior tende a ser o nmero de falsos positivos
gerados. Claro que isso no uma regra, mas o que acaba acontecendo na prtica
quando os administradores capricham nas regras.

Falsos Negativos
O falso negativo um problema espelho do falso positivo; porm,
muitssimo mais grave. O falso negativo a no identificao de uma intruso que
est em andamento e pode acontecer devido a vrios fatores, como veremos.
Voc deve perceber que um falso positivo no gera prejuzos diretos para a rede, a
no ser o custo de analisar e tratar algo que, at certo ponto, irrelevante. Por
outro lado, o falso negativo tem implicaes imediatas de segurana. Isso porque
ele permite que um evento de segurana que tinha grande probabilidade de
causar danos acabe, de fato, causando estes danos sem que nenhuma contramedida seja tomada.

Incio da Caixa de Verbete

Contra-medidas - so aes tomadas em resposta a incidentes de segurana da

informao em resposta a ataques ou intruses. Vrias razes justificam as contra-medidas.
Primeiro para interromper o incidente em andamento ou eliminar uma intruso diminuindo
seus impactos; depois para coibir eventos futuros de mesma natureza. Estudaremos melhor
este assunto a partir da Aula 10.
Fim da Caixa de Verbete
No dia a dia a calibrao inicial de um IDS pode gerar muita dor de cabea para os
seus administradores. Aos poucos, estes sistemas tm evoludo para diminuir o esforo de
configurao inicial. Na verdade, ainda um risco utilizar tecnologias muito inovadoras
nestes casos (e pagar por elas) at mesmo pelo fato de que cada rede possui
especificidades quase subjetivas e a segurana da informao deve ser tratada levando
isso em considerao. Neste ponto, alguns fabricantes j anunciam formas de configurar
automaticamente um IDS com base no uso de tcnicas de inteligncia artificial. Porm, o
trabalho do administrador de segurana ainda imprescindvel mesmo nestes casos (e
continuar sendo por muito tempo...).
O fato que o administrador responsvel pelo IDS deve se cercar de cuidados
iniciais para lidar com o maior nmero de falsos positivos e, principalmente, de falsos
negativos no incio da operao do sistema. Uma prtica no recomendada no caso de
IDSs implement-lo com regras menos restritivas no incio e, aos poucos, aumentar o seu
rigor na medida em que se conhece mais a rede. Infelizmente esta prtica mais comum
do que deveria ser... Muitos dizem que isso no viola princpios bsicos do tratamento da
segurana da informao em redes que j possuem firewalls instalados. Isso porque neste
casos as regras j foram implementadas com uma filosofia mais adequada: primeiro
bloquear tudo no firewall (deny all) e, depois, liberar apenas o que for necessrio.
Obviamente, a principal crtica a este tipo de administrao (com a qual concordo)
que o IDS faz uma coisa e o firewall faz outra. Ou seja, atuam identificando tipos
diferentes de incidentes em momentos diferentes do seu ciclo. Na maior parte dos casos
os ataques bloqueados pelo firewall poderiam ser quase todos identificados por um bom
IDS. Mas o contrrio no verdade. Como j vimos, h muitos ataques que no sero
detectados pelo firewall e neste ponto que o IDS deve atuar.

Figura 4.3: O IDS tem capacidade de deteco maior que a do firewall.

Enfim, o fato que, se a idia segurana da informao, a melhor opo ser

muito restritivo e lidar, no incio, com um grande nmero de falsos positivos. Na
medida em que eles so resolvidos, o administrador conhece mais a rede e, aos
poucos, incomodado cada vez menos pelo IDS. A poltica contrria (ser pouco
rigoroso) com certeza pouparia muito trabalho do administrador, mas seria o primeiro
passo para tornar o IDS uma soluo muito mal implementada.

Incio da Caixa de Ateno

Lembre-se de que os falsos negativos (incidentes no detectados pelo IDS) no geram
qualquer tipo de alarme. A sensao de falsa segurana a pior coisa que se pode fazer para a
segurana da informao. Pode ser muito melhor no ter um firewall e nem um IDS e saber
que no est protegido, do que ter um IDS e achar que est protegido... sem estar.
Fim da Caixa de Ateno

4.2.Captura do Trfego
Como j dissemos, o funcionamento do IDS depende de o trfego chegar at ele
(ou melhor, ser capturado por ele). Voc deve estar se perguntando: mas esta no era
uma caracterstica somente dos firewalls? Isto , precisar que o trfego passasse por ele?
Sim, claro que sim. Note que no estamos dizendo que o trfego precisa passar pelo IDS,
mas, sim, que o trfego precisa ser capturado por ele. Neste sentido, a escolha da posio
onde o IDS ser instalado tambm importante para o seu sucesso. Na prtica isso tem
implicaes dependendo do tipo de IDS (baseado em rede ou baseado em host).
No caso de um IDS de rede (NIDS) necessrio que o administrador conhea bem
a arquitetura e a topologia de sua rede . Ele precisar configurar adequadamente os

equipamentos de interconexo para permitir que o trfego a ser analisado chegue at

onde possa ser sniffado pelo IDS. E, por outro lado, o IDS deve ser posicionado no
segmento mais adequado para este fim. claro que na maior parte dos casos invivel
montar uma arquitetura de rede onde exista um ponto onde todo trfego possa chegar a
fim de ser analisado por um nico equipamento.
Na prtica, quando necessrio proteger toda a rede, vrios IDSs so instalados
em segmentos distintos. Quando isso no possvel (por questes de custo, por exemplo),
um nico IDS de rede pode ser instalado dentro da DMZ para proteger apenas os
servidores ali colocados .
Muitos fabricantes oferecem soluo de custo-benefcio intermedirio: o IDS com
sensores. A idia simples. Um nico mdulo de gerenciamento instalado em algum
ponto da rede e vrios sensores so espalhados em pontos estratgicos de
monitoramento e captura do trfego. A funo dos sensores analisar quadros e, ao
identificar incidentes (positivos), comunicar o servidor IDS para que ele tome medidas para
registrar o evento e comunicar o administrador. Perceba que o software dos sensores
pode ser mais simples, pois as funes de gerenciamento ficam concentradas em um nico
servidor. Os sensores capturam o trfego em vrios pontos da rede, fazem a anlise e se
comunicam com o servidor somente quando necessrio.
A figura a seguir representa a implementao de um IDS com dois sensores: um
localizado antes do firewall (entre o firewall e a internet) e outro localizado dentro da DMZ
da empresa. O servidor IDS est localizado no lado interno do firewall (rede local) e
tambm pode fazer captura e anlise de trfego, alm de receber informaes de seus
sensores. Vale ressaltar que em ambos os casos (servidor ou sensor) estamos tratando de
aplicaes, ou seja, podem ser instalados em hardwares dedicados ou compartilhar uma
mquina com outros sistemas. A deciso depende de vrios fatores, como j vimos.

Figura 4.4: IDSs podem usar sensores de trfego espalhados pela rede.

Diagramao,por favor, refazer esse esquema seguindo o design padro do curso.

Observe, por ltimo, que h um sensor IDS localizado no lado externo do firewall
(internet). Voc consegue dizer qual a funo deste equipamento instalado exatamente
neste ponto? Bem, disso que iremos tratar na prxima seo.

4.3.Posicionamento com Relao ao Firewall

A escolha do posicionamento do IDS depende no s dos fatores que listamos
anteriormente (relacionados captura do trfego), mas tambm de outras questes
ligadas mais diretamente aos objetivos de segurana da informao. importante
entender bem as implicaes da cada opo para poder escolher bem quando voc
tiver apenas um IDS disponvel.

Antes do Firewall
Observe que o posicionamento do IDS na figura a seguir permite que ele
detecte ataques antes que cheguem ao firewall. Embora o IDS no possa impedir
que o ataque efetivamente atinja o firewall, esta opo permite ao administrador
identificar mais incidentes.
Este posicionamento uma opo quando o administrador deseja coibir,
estudar ou mesmo entender o perfil de ataques que tm como alvo a sua rede.
Isso pode ser necessrio quando uma equipe acabou de instalar o firewall e quer
test-lo.
Observe que com o IDS nesta posio, a quantidade de trfego a ser analisado
pode no ser suportada pelo equipamaneto. Lembre-se de que a anlise feita pelo
IDS tende a ser muito mais lenta que a anlise feita pelo firewall.

Figura 4.5: O IDS pode ser colocado antes do firewall (do lado da internet).

Diagramao, por favor, refazer esse esquema seguindo o design padro do curso.

Depois do Firewall
Se o IDS estiver aps o firewall, trfegos bloqueados pelas regras no sero
percebidos. claro que basta ao administrador checar os registros do firewall
(logs), mas isso no poderia ser feito em tempo real.
Assim, a empresa pode investir em um IDS apenas para lidar com uma
quantidade menor de trfego (dentro de uma DMZ, por exemplo). Se este for o
caso, o IDS aps o firewall ter um papel importante em identificar apenas os
incidentes que venham a passar pelas regras. Este o posicionamento mais
comum.

Figura 4.6: O IDS pode ser colocado depois do firewall (do lado da rede local).

Diagramao,por favor, refazer esse esquema seguindo o design padro do curso.

Incio da Caixa de Curiosidade

O custo de IDSs e de firewalls pode aumentar muito dependendo de sua capacidade de
anlise e de filtragem, respectivamente. Este item deve ser considerado na hora de adquirir
um destes sistemas, principalmente na forma de appliances, pois ele tem impacto direto no
custo do hardware. Assim, investir em um firewall com capacidade de filtragem alta e em um
IDS com capacidade de anlise menor um opo comum para muitas empresas. A idia
combinar segurana com reduo de custos.
Fim da Caixa de Curiosidade

4.4.Posicionamento com Relao ao Trfego

Alm disso, h uma outra escolha que o administrador precisar fazer. O IDS pode
ser colocado em srie com o trfego ou em paralelo a ele.

Em Srie
Quando o IDS est em srie, o trfego precisa entrar no equipamento, ser

analisado, e depois sair dele. Observe que, neste caso, o IDS deixa de ser um elemento

transparente para se tornar um elemento de interconexo cujo mal funcionamento

poder incomodar os usurios. Na prxima figura, por exemplo, a parada do IDS
significaria desconectar a rede interna (rede local) da rede externa (internet).

Figura 4.7: O IDS pode ser colocado em srie com o trfego.

Diagramao,por favor, refazer esse esquema seguindo o design padro do curso.

Quando falamos de IDSs baseados em rede (NIDS) esta opo no
aconselhvel. O mais prximo disso que iremos encontrar na prtica um IDS
instalado na mesmo hardware do firewall. importante que voc entenda a
instalao em srie por dois motivos:
o

Facilitar o entendimento da instalao em paralelo que a mais

comumente utilizada;

Facilitar o entendimento da teoria sobre IPSs que normalmente

so instalados em srie. IPS uma espcie de IDS que
estudaremos no final desta aula.

Em Paralelo
Posicionar o IDS em paralelo com o trfego o mais comum. Deste modo, ele

consegue atuar capturando o trfego para anlise, mas sem impactar a rede. Ou seja, a
sua operao transparente para a rede.

Figura 4.8: O IDS pode ser colocado em paralelo ao trfego.

Diagramao,por favor, refazer esse esquema seguindo o design padro do curso.

Note que o posicionamento quanto ao trfego e o posicionamento quanto ao

firewall so caractersticas independentes entre si. Isto , o IDS pode estar antes do
firewall em paralelo ou em srie; ou depois do firewall, em paralelo ou em srie
tambm.
A escolha por estas posies influenciar os aspectos de captura do trfego.
Por exemplo, bvio que o IDS colocado antes o firewall (do lado externo) no poder
identificar os ataques originados na rede local (interna). Lembra-se de que esta era
justamente uma vulnerabilidade inerente forma bsica de operao de um firewall
que resolvamos justamente com o IDS? Pois bem, se voc colocar o IDS do lado
externo da rede, pode esquecer isso.
Incio da Atividade
Atividade 02 - Objetivo 02
Foi visto que o IDS tem potencial para detectar mais incidentes do que o firewal.
Explique como se pode chegar a tal afirmao.
Quantidade de Linhas: deixar 08 linhas.
Resposta
O IDS atua detectando eventos indesejados que o firewall no conseguiu detectar. Isso
se deve ao fato de que o IDS atua em um estgio do ataque onde um maior nmero de
informaes est presente. Detectar um trfego que pode estar relacionado a uma intruso
antes que ela acontea mais difcil do que detectar uma intruso que j esteja em
andamento. Alm disso, note que o o firewall normalmente lida com o trfego de toda a rede
e os IDSs lidam com trfego de um pequeno segmento (ou mesmo de uma nica mquina). A
tarefa do IDS , de certa forma, facilitada por todo este contexto.
Fim da Atividade

5. Classificao dos IDSs

5.1.Classificao pelo Mtodo de Deteco

Nas sees anteriores discutimos a identificao positiva e a identificao negativa
dos IDSs. Nosso foco maior foi explicar estes conceitos. Agora vamos discutir a maneira
com que um IDS faz a identificao. Como h mais de uma forma (nem sempre
disponvel em todos os sistemas e verses) os IDSs podem ser classificados de acordo
com elas.

Deteco por Assinaturas

A deteco por assinatura tambm conhecida como deteco preemptiva ou
deteco estatstica. O comportamento do IDS neste caso se assemelha muito ao
comportamento dos principais softwares de anti-vrus.
Este tipo de deteco tem a vantagem de aumentar muito a probabilidade de
o IDS detectar os ataques conhecidos (aqueles cujas assinaturas j tenham sido
armazenadas na sua base de dados). O nmero de falsos positivos neste tipo de
deteco pequeno. Embora no seja necessariamente nulo... ou seja, em alguns
casos raros o IDS pode identificar um ataque de acordo com uma determinada
assinatura e isso no corresponder realidade.
O que mais preocupa neste tipo de IDS o grande nmero de falsos negativos.
bvio que a sua eficcia est diretamente ligada atualizao da base de
assinaturas. Assim, a quantidade de falsos negativos pode ser to grande quanto
forem os ataques existentes, mas cujas assinaturas ainda no sejam conhecidas
pelo IDS. Vale ressaltar que, mesmo se a atualizao da base de dados do IDS for
frequente, a eficcia ainda depender da velocidade com que seus fabricantes
identificam novos ataques e disponibilizam atualizaes com novas assinaturas.

Deteco por Anomalias

A deteco por anomalia tambm conhecida como deteco por
comportamento. uma tcnica muito interessante. O foco est em identificar
padres de comportamento normal da rede (no caso dos NIDS) ou do host (no
caso dos HIDS). Perceba que o foco aqui ainda identificar incidentes relacionados
a comportamentos intrusivos antes que eles causem dano aos ativos. Isso feito a
partir da caracterizao de comportamentos que sejam diferentes daquele
considerado normal. E a grande questo justamente definir o que caracteriza um
comportamento normal e um comportamento anormal...
Por isso este tipo de IDS depende muito do conhecimento que o administrador
tem daquilo que ele quer proteger. Muitos IDSs fornecem vrios parmetros
customizveis e deixam a configurao de valores mnimos e mximos a cargo do
administrador. Por exemplo, alguns parmetros muito comuns so:
- Uso de banda em determinados horrios (fim de semana, noite etc.);
- Uso de recursos da rede (roteadores, switches etc.);
- Uso de recursos dos computadores (processador, memria etc.).
- Quatidade de endereos IP em uso (de origem, de destino, broadcast etc.);

- Quantidade pesquisas de DNS, pesquisas ARP etc.

Incio da Caixa de Verbete

Broadcast - O endereo de broadcast serve para encaminhar a informao a todos os
destinos possveis na rede. Muitas aplicaes geram trfego de broadcast automaticamente.
Em uma determinada rede a quantidade de broadcast deve ficar dentro de limites que podem
ser determinados estatsticamente. O IDS pode se beneficiar deste fato, pois alguns eventos
(por exemplo, uso indevido de sniffers e scanners) geram trfego atpico de broadcast.
Fim da Caixa de Verbete

Como sempre, h vantagens e desvantages. A vantagem o fato de que

somente desta forma possvel identificar ataques novos sem depender da base
de dados do IDS. Ou seja, aqueles ataques cujas assinaturas ainda no puderam
ser registradas pelo fabricante e, consequentemente, pelo prprio IDS.
Por outro lado, a desvantagem bvia: as redes so dinmicas. Como nem
todo comportamento anmalo da rede devido a algum tipo de ataque, esta
tcnica tende a gerar um grande nmero de falsos positivos. De qualquer modo,
dependendo dos requisitos de segurana em ambientes onde trafegam
informaes mais sensveis, pode-se trocar a paz do administrador da rede por
mais rigor na configurao do IDS.
Alm disso, os relatrios apresentados por este tipo de IDS so mais difcies de
analisar. Isto significa que o IDS apenas dir que um comportamento anmalo est
em andamento e o administrador quem dever investigar a causa do alarme. No
caso dos IDSs que fazem deteco por assinatura o alarme j indica sempre qual
a ameaa e, possivelmente, o que deve ser feito. Isso acontece porque a assinatura
j vincula o incidente a algum tipo de ataque conhecido.
Incio da Atividade
Atividade 03 - Objetivo 03
Existem casos em que apenas a deteco por assinatura possvel. Em outros casos,
um mesmo incidente detectado hoje com base em comportamento, ser detectado amanh
com base em assinaturas. Que relao entre ambos os mtodos explica isso na prtica?
Quantidade de Linhas: deixar 06 linhas.
Resposta
A deteo por assinatura a preferida. Ela mais rpida, consome menos recursos e
permite aes imediatas por parte do administrador. Porm, nem sempre ela possvel, pois

exige ocorrncia e registro prvios de pelo menos um caso. Quando no h uma assinatura
disponvel apenas a deteco por anomalia possvel. Note que o incidente no precisa
culminar em uma intruso bem sucedida para que se possa gerar uma assinatura. A
informao gerada na deteco por anomalia j serve para alimentar e enriquecer a base de
dados de deteco por assinatura. Por isso dizemos que a anomalia de hoje pode gerar a
assinatura de amanh.
Fim da Atividade

5.2. Componentes de um IDS

Antes de estudarmos a classificao do IDS conforme a sua arquitetura
importante que voc conhea os principais componentes de um IDS, pois com base
na distribuio destes componentes que iremos definir cada arquitetura.

Mdulos de Monitoramento
Os mdulos de monitoramento podem ser sensores e agentes. Os sensores so

mdulos que compe um NIDS e os agentes so mdulos que compem um HIDS. Os

sensores so responsveis por atuar em conjunto com a interface de rede, capturando
e analisando trfego de vrias mquinas. Os agentes tm funo de anlisar o trfego
de uma nica mquina e monitorar vrias outras atividades no host (mudanas em
parmetros de configurao, acesso a arquivos do administrador etc.). Os sensores e
agentes tambm so responsveis por enviar dados de anlises preliminares e gerar
alertas para o mdulo de gerenciamento.

Mdulo de Gerenciamento
O mdulo de gerenciamento recebe dados dos sensores e dos agentes. Ambos

fazem um trabalho preliminar enviando dados para o mdulo de gerenciamento. A

anlise centralizada de informaes coletadas em vrios pontos pelos monitores pode
levar a concluses que no seriam possveis se cada segmento fosse analisado de
forma isolada. Deste modo possvel identificar intruses que os agentes e sensores
no podem. Este desmembramento de funes tambm gera reduo de custos.
Atualmente a maioria dos IDSs de grandes fabricantes (CheckPoint, Cisco etc.)
trabalham com mdulos de gerenciamento e de monitoramento separados.

Banco de Dados
O banco de dados o repositrio para as informaes sobre eventos registrados

pelos sensores, agentes e mdulos de gerenciamento e as informaes utilizadas para

a deteco de intruso (assinaturas de ataques, estatsticas para deteco por

comportamento etc.). Normalmente o banco de dados instalado na mesma mquina
onde se encontra o mdulo de gerenciamento, mas isso no obrigatrio.

Console de administrao
A console um programa que fornece uma interface para atividades de

admistrao do IDS. Normalmente se trata de um software que pode ser instalado em

um computador de mesa, notebook etc. Por segurana alguns fabricantes evitam
utilizar interfaces de administrao web (que pode ser acessada a partir de qualquer
navegador) e preferem a instalao de um software especfico.
Alguns autores consideram que a console de administrao uma funo
secundria e, segundo eles, no faz parte do sistema deteco de intruso em si.
Entretanto, h consoles que permitem interao direta com o banco de dados
(consulta, alterao e excluso) e isso tem grande impacto no processo de deteo
realizado pelo IDS.

5.3.Classificao quanto Arquitetura

IDS Centralizado
A arquitetura centralizada se caracteriza pelo fato de que os mdulos de

gerncia, de monitoramento e o banco de dados esto instalados em uma nica

mquina. Normalmente isso acontece em solues de IDS mais simples.

Figura 4.9: Na arquitetura centralizada todos os componentes do IDS esto no mesmo hardware.

Diagramao, por favor, refazer o esquema seguindo o projeto grfico do

curso.
A localizao e quantidade de consoles irrelevante neste caso. Ou seja, pode
existir mais de uma console e elas podem estar instaladas em quaisquer pontos
conforme convier ao administrador.

IDS Distribudo

Na arquitetura distribuda utilizada mais de uma mquina para distribuir as

funes de gerncia, monitoramento e banco de dados.
O principal objetivo desta arquitetura ampliar a rea de viso do IDS. Ou seja,
a arquitetura distribuda normalmente visa a espalhar mdulos de monitoramento
(agentes e sensores) pela rede. Claro que tambm possvel utilizar uma mquina
dedicada exclusivamente funo do banco de dados (por razes como confiabilidade,
aproveitamento de um banco j instalado na empresa etc.). A rigor, isso tambm j
caracterizaria o que chamamos de arquitetura distribuda do IDS.
Note que em todos os casos h na arquitetura distribuda apenas um mdulo
de gerncia ao qual os agentes e sensores se reportam.

Figura 4.10: Na arquitetura distribuda h vrios agentes/sensores espalhados pela rede e apenas um
mdulo de gerenciamento.

Diagramao, por favor, refazer o esquema de acordo com o projeto grfico do

curso.

IDS Hierrquico
Esta arquitetura se caracteriza pelo fato de termos mais de um mdulo de

gerncia na rede sendo que pelo menos um deles assume funes hierarquicamente
mais importantes.
Muitos fabricantes tm solues customizadas para ambientes de grande
porte onde as funes de gerenciamento so divididas em mdulos de coordenao e
um mdulo de gerncia propriamente dita. A idia que a empresa possa eleger um
ponto central de gerncia (por exemplo, a matriz da empresa) e um ou mais pontos
secundrios (por exemplo, suas filiais).
A quantidade de mdulos de monitoramento no influencia na hierarquia. Eles
sero tantos quanto a empresa precisar (e puder pagar...) a fim de monitorar os

segmentos sensveis de sua rede e podem se reportar a qualquer um dos mdulos de

gerncia (ou a mais de um).

Figura 4.11: Na arquitetura hierrquica h mais de um mdulo de gerncia sendo que um assume papel
mais importante na hierarquia.

Diagramao, por favor, refazer o esquema seguindo o pradro grfico do curso.

importante mencionar um ltimo um fato. Como acontece em vrias reas, a
padronizao das tecnologias de IDS no muito respeitada e, na verdade, ainda carece
de padres internacionalmente aceitos. Deste modo, muita coisa pode variar de fabricante
para fabricante. A seguir uma lista dos principais pontos:
o

Nomes de equipamentos e outras denominaes;

Quantidade de monitores que o mdulo de gerncia suporta;

Forma de comunicao entre os monitores e o mdulo de gerncia.

Funcionamento dos monitores na ausncia do gerenciamento;

Autonomia dos monitores para gerar alarmes;

Existncia de comunicao entre os agentes/sensores e o banco de dados;

Funes disponveis nos mdulos de gerncia (primrios, secundrios etc.)

na arquitetura hierrquica;

Forma de comunicao entre os mdulos de gerncia (primrios,

secundrios etc.) na arquitetura hierrquica.

Incio da Atividade
Atividade 04 - Objetivo 03

Procure relacionar pontos a favor e contra cada uma das arquiteturas a seguir e
indique o cenrio que levaria voc a optar pela arquitetura:
a. Centralizada.
b. Distribuda.
c. Hierrquica.
Quantidade de Linhas: deixar 12 linhas.
Resposta
A arquitetura centralizada possui menor custo, mas pouca visibilidade. Ela seria
utilizada em cenrios onde h apenas um segmento com trfego pouco sensvel a ser
protegido e poucos recursos para aplicar em segurana. A arquitetura distribuda possui a
melhor relao custo-benefcio, pois permite aumentar a visibilidade de um nico mdulo de
gerncia de forma escalvel atravs do uso de agentes e sensores mais baratos. Ela seria
indicada em cenrios onde h mais de um segmento com trfego sensvel e o investimento em
segurana da informao visto como importante para a proteo do negcio. A arquitetura
hierrquica rene o benefcio da visibilidade escalvel com funes de gerncia mais
sofisticadas; porm, o seu custo o maior. Ela seria indicada para cenrios amadurecidos onde
os processos de segurana da informao so vistos como vitais para o negcio.
Fim da Atividade

6. IPS (Intrusion Prevenction System)

Durante algum tempo os IDSs foram entidades passivas de proteo. Os IPSs foram
uma evoluo neste sentido. Com IPSs possvel, alm de identificar intruses, atuar para
interromp-la. Ou seja, o IPS uma espcie ativa de IDS.
Note que ambos so reativos, ou seja, atuam apenas em ataques que j tenham
ultrapassado o seu primeiro estgio (burlado o firewall, comprometido o servidor etc.).
impotante voc ter isso em mente, pois a sigla IPS tende a causar este tipo de dvida. O IPS, na
verdade, no previne a intruso em si. Note que a prevenso do IPS no com relao
intruso, mas, sim, com relao a alguns impactos mais danosos que ela poderia causar.
Box ateno
Repito: tanto IDSs quanto IPSs so entidades reativas. Os firewalls, por exemplo, que
so proativos.
Fim Box ateno
Para ser ativo o IPS precisa realizar todas as tarefas de um IDS e ir alm. Onde o IDS
apenas dispararia um alarme, o IPS o dispara e toma uma atitude para reagir intruso. Ele

pode, por exemplo, se comunicar com o firewall e solicitar o bloqueio do trfego de um

determinado IP (no se anime... isso s costuma funcionar quando IDS e firewall so do
mesmo fabricante). Existem IPSs para redes sem fio que atuam bloqueando o sinal de APs
clandestinos (rogue access points) identificados no raio de alcance do sinal da rede. Enfim, um
IPS capaz de realizar qualquer ao que possa ser automatizada e que, se tivesse de esperar
pelo administrador, poderia ser tarde demais.
Incio do Verbete
Access Points (APs) - so equipamentos que concentram e gerenciam trfego em
redes sem fio do padro IEEE 802.11 (Institute of Electrical and Electronics Engineers). Ser
autorizado por um AP em uma rede sem fio seria o equivalente a receber um ponto em uma
rede cabeada. APs falsos (rogue) s vezes so instalados em redes pouco seguras com o
objetivo de capturar o trfego de usurios desatentos.
Fim do Verbete
Atualmente quase nenhum fabricante desenvolve IDSs puros. Os softwares so
desenvolvidos para assumirem ambos os comportamentos ficando a cargo do administrador
inibir o comportamento ativo (IPS) se isso for conveniente. Estes softwares so
comercializados com o nome de IDPSs (Intrusion Detection and Prevention Systems).
O IPS melhor que o IDS, mas, por outro lado, ele pode trazer problemas maiores se
for mal administrado. Vamos analisar a questo do falso positivo, por exemplo. Lembre-se de
que no caso do IDS o administrador notaria (provavelmente) o erro do IDS e no tomaria
atitude alguma contra um trfego que fosse legtimo. No caso do IPS o trfego legtimo poder
ser imediata e automaticamente bloqueado.
Perceba que com o IDS apenas o falso negativo gerava problemas imediatos. J com o
IPS tanto os falsos negativos quanto os falsos positivos so prejudiciais. O falso positivo do IDS
incomoda somente o administrador. O falso positivo do IPS incomoda o usurio primeiro e,
depois, o administrador.

7. Concluso
O contedo que vimos nesta aula ressalta o fato de que no existe uma soluo
infalvel para os problemas de segurana em redes de computadores. A prpria definio de
IDSs (ou IPSs) diz isso. Afinal, ela parte do princpio de que as barreiras de permetro podem
falhar e que uma intruso poder acontecer.
Houve uma poca em que a maior preocupao dos fabricantes era a evoluo das
tecnologias de firewall. Porm, havia um limite natural para o que o firewall podia fazer: a sua

atuao no podia aumentar excessivamente a latncia da rede. Muitos dizem que o poder
dos firewalls tende a aumentar na medida em que a capacidade de processamento aumenta.
Este argumento no pode ser aceito sem uma discusso mais ampla. A voluo tecnolgica
tambm afeta o usurio que passa a gerar mais trfego etc.
Enfim, logo se percebeu que a combinao ideal seria o equilbrio entre os benefcios
proativos dos firewalls e a reatividade dos IDSs. Com estas duas tecnologias, pode-se chegar a
um ponto ideal onde h segurana sem prejudicar muito a eficincia. A evoluo do IDS
significa assumir um risco calculado em prol da eficincia da infraestrutura de rede.

Incio da Atividade On Line

Objetivos 01 a 03
Acesse o frum desta semana e tire suas dvidas sobre o contedo desta aula. Vamos
discutir algumas solues de mercado para IDSs e IPSs. Este mercado tem fomentado
pesquisas e trabalhos acadmicos na rea de inteligncia artificial, redes neurais etc. Vamos
discutir e entender como uma coisa se relaciona outra, pois a evoluo dos IDSs e IPSs
depende muito de idias inovadoras. No perca esta discusso!
Fim da Atividade

Resumo

O IDS um equipamento reativo que detecta incidentes em um estgio avanado de
sua existncia. Normalmente quando o firewall j foi ultrapassado. Apenas o IDS
consegue detectar ataques originados dentro da rede interna.

Ao contrrio do firewall, o IDS no precisa que o trfego passe por ele. Porm, a sua
anlise depende da captura do trfego. Neste sentido, uma parte essencial da
operao de qualquer IDS funcionar como se fosse um sniffer de pacotes.

H trs tipos de IDS: NIDS, ou IDSs de rede; HIDS, ou IDS de host; e IDSs hbridos, que
so uma combinao de ambos.

Falsos positivos e falsos negativos so os principais problemas com os quais os
administradores tm de lidar. No caso do IDS simples (passivo), o problema maior o
falso negativo. No caso dos IPS (ativo), ambos causam impacto muito negativo.

O IDS pode ser colocado antes do firewal (rede externa). Nesta posio o objetivo
detectar todos os ataques direcionados rede interna.

O IDS tambm pode ser colocado aps o firewal (na rede interna). Nesta posio o
objetivo detectar somente os ataques que tenham passado pelo firewall. Este
posicionamento o mais comum.

IDSs so compostos por mdulos de gerncia, mdulos de monitoramento (agentes e
sensores), bancos de dados e consoles de administrao.

A deteco da intruso pode se dar por assinatura ou por comportamento. A deteco
por assinatura mais rpida, mas s funciona para ataques conhecidos; a deteco
por comportamento mais lenta, mas permite detectar ataques novos.

Quanto arquitetura, o IDS pode ser centralizado, distribudo ou hierrquico.

IPSs reagem ativamente diante de uma intruso com o objetivo de interromp-la.

Alguns IPSs trabalham em conjunto com o firewall buscando equilbrio entre maior
segurana e eficincia no uso da infraestrutura de rede.

Prxima aula
Na prxima aula comearemos o nosso estudo dedicado criptografia. Ao todo sero
trs aulas tratando de criptografia simtrica, criptografia assimtrica e certificao digital. Na
Aula 05 especificamente nosso foco ser voltado para a criptografia simtrica. Ser discutido o
prprio conceito de criptografia simtrica, seus principais protocolos (DES, 3DES, AES etc.).
Estudaremos em detalhes a cifra de Feistell, utilizada pelo DES, e a cifra de Rijndael, utilizada
pelo AES.
Pratique o que voc aprendeu e contribua com os fruns desta aula fazendo os seus
questionamentos ou ajudando a esclarecer as dvidas dos outros participantes. At a prxima
aula!
Questes Finais
1) Sobre o posicionamento do firewall com relao ao IDS, analisa as afirmaes abaixo
assinalando V para verdadeiro e F para falso.
( ) O IDS colocado aps o firewall e dentro da rede interna (ou local) identifica mais
incidentes do que o IDS colocado antes do firewall (externamente).
( ) Posicionar o IDS entre a rede externa e um firewalls recm instalado permite
diagnosticar falhas na aplicao das regras do firewall.
( ) IPSs previnem intruses e, portanto, so elementos proativos como os firewalls.
( ) NIDSs precisam ser instalados em paralelo ao trfego para serem eficientes.
( ) IDSs geralmente so instalados antes do firewall para proteg-lo.
2) Enumere a primeira coluna de acordo com a segunda.
(
(
(
(
(
(
(

) Firewall
) IDS
) IPS
) Positivo
) Negativo
) Falso Positivo
) Falso Negativo

(1) reativo e interfere no incidente em andamento.

(2) proativo e bloqueia o trfego antes que ele cause dano.
(3) reativo e no interfere no incidente em andamento.
(4) Trfego normal que corretamente detectado.
(5) Incidente que corretamente detectado.
(6) Incidente que analisado como trfego normal.
(7) Trfego normal que analisado como incidente.

3) (Analista de Informtica - ABIN/2004 - CESPE) Acerca das tecnologias, dos protocolos e

dos elementos estuturais que permitem organizar a segurana da informa em redes,
julgue os itens seguintes.
[103] Em um sistema de deteco de intruso (intrusion detection system IDS), um
falso positivo consiste em um evento em que o IDS deixa de detectar uma intruso que
efetivamente ocorreu.
4) (Analista de Sistemas - IPEA/2008 - CESPE) Acerca dos aspectos de segurana em
sistemas de informao em redes TCP/IP julgue o prximo item.

[119] A abordagem de deteco de anomalias por contagem de eventos em intervalos

de tempo, com indicao de alarme em caso de ultrapassagem de um limiar, uma
abordagem com baixo ndice de falsos positivos e de falsos negativos na deteco de
intruso.
5) (Administrador de Rede - MC/2008 - CESPE) Com relao a IDS e firewalls, julgue:
[66] Em IDS baseado em assinaturas, necessrio ajuste destas visando reduo de
falsos-positivos.
[67] No que diz respeito ao posicionamento dos IDSs, recomenda-se que sejam
colocados prximos a dispositivos como firewalls, preferencialmente na rede interna e
com utilizao de mltiplos sensores.
6) (Tecnologias Jr - MCT/2008 - CESPE) Julgue os itens que se seguem acerca da
arquitetura e do gerenciamento dos sistemas de deteco de intruso (intrusion
detection systems IDS).
[114] Na abordagem de deteco estatstica de anomalias, definem-se regras de
comportamento a serem observadas para decidir se determinado comportamento
corresponde ao de um intruso.
[115] A utilizao de registros de auditoria como entrada para um sistema de deteco
de intruso pode-se dar com os registros nativos de sistemas e aplicaes, ou com
registros gerados com informaes especficas da deteco de intruso.
[116] A medio do tempo decorrido desde o ltimo login um indicador significativo
para a deteco de tentativas de quebra de uma conta de sistema operacional ociosa.
7) (Perito Criminal Federal - PF/2004 - CESPE) Os sistemas de informao possuem
diversas vulnerabilidades que podem ser exploradas para se comprometer a segurana
da informao. Para reduzir os riscos de segurana, empregam-se diversos
mecanismos de controle e de proteo fsica e lgica desses sistemas. Acerca das
vulnerabilidades e protees dos sistemas de informao, julgue os itens a seguir.
[102] Um sistema de deteco de intruso (IDS) por uso incorreto utiliza descries de
ataques previamente conhecidos (assinaturas) para identificar a ocorrncia de
ataques. Esse tipo de IDS tem como inconveniente a gerao de um nmero elevado
de falsos positivos quando ataques novos, para os quais ainda no foram especificadas
assinaturas de ataque convenientes, so lanados contra o sistema monitorado pelo
IDS.
8) Por que dizemos que, assim como os IDSs, os IPSs so entidades reativas, mas, ao
contrrio daqueles, atuam de forma ativa quando uma intruso est em andamento?
Respostas
1) F V F V F.
Com relao primeira afirmao acontece o contrrio, pois parte do trfego
malicioso bloqueado pelo firewal. Com relao segunda, espera-se que o IDS
identifique o trfego malicioso e o administrador compare os resultados com os
bloqueios feitos pelo firewall. A terceira afirmao falsa, pois a proatividade do IPS
diz respeito resposta; no intruso em si. A quarta afirmao verdadeira, pois os
IDSs de rede precisam sniffar o trfego silenciosamente. A ltima afirmao falsa,
salvo casos especficos de teste etc., pois o lugar do IDS dentro da rede no segmento
onde esto os equipamentos mais sensveis; s assim ele detectar intruses internas.

2) 2 3 1 5 4 7 6.
3) A afirmao [103] falsa. A situao descrita indica um falso negativo (indicao de
que no h intruso onde, de fato, houve).
4) A afirmao [119] falsa. Esta abordagem baseada na deteco por comportamento
normal. Este tipo de abodagem, relativamente abordagem por assinaturas,
apresenta alto ndice de falsos positivos.
5) A afirmao [66] verdadeira. O ajuste da assinatura a garantia de que as
informaes da base de assinaturas do IDS correspondem s formas com que os
ataques se manifestam. A afirmao [67] foi considerada verdadeira. Vale ressaltar
que a recomendao a que se refere o enunciado est em alguma bibliografia indicada
pela banca. Na prtica, cabe ao administrador decidir levando em conta vrios fatores,
conforme vimos nesta aula.
6) A afirmao [114] falsa. Na deteco por anomalias a nica coisa que se define a
priori o comportamente padro da rede, no o comportamente padro do atacante
(pois ele desconhecido). A afirmao [115] verdadeira. Ela apenas lista tipos de
fonte de informao que podem ser consideradas a fim de construir a base de dados
utilizada nas anlises feitas pelo IDS. A afirmao [116] obviamente falsa.
7) A afirmao [102] falsa. Ataques cujas assinaturas so desconhecidas geram elevao
do nmero de falsos negativos. Ou seja, o trfego relacionado ao ataque passar
despercebido pelo IDS, pois a sua assinatura ainda no conhecida.
8) Tanto IDSs quanto IPSs detectam incidentes em que o trfego do atacante j est na
rede ou no servidor a ser protegido (a intruso j ocorreu). Por isso so reativos.
Porm, enquanto o IDS (reativo e passivo) detecta a intruso e no toma uma medida
contra ela, o IPS (reativo, mas ativo) age com o objetivo de interromper a intruso at
que providncias definitivas sejam tomadas.
Referncias
SCARFONE, Karen; MELL, Peter. Guide to Intrusion Detection and Prevention Systems Special Publication 800-94. USA: National Institute of Standards and Technology, 2007. 127
pg. Disponvel em http://csrc.nist.gov/publications/nistpubs/800-94/SP800-94.pdf. Acesso
em: 08 dez. 2010.
CHAPMAN, D. Brent. Building Internet Firewalls. 2 ed. USA: OReilly, 2000.