Você está na página 1de 4

SISTEMA DE DETECO DE INTRUSOS - IDS (INTRUSION DETECTION SYSTEMS)

Parte essencial de um sistema de segurana, as ferramentas IDS, ou Intrusion Detection System, sem dvida
alguma nunca estiveram to em destaque na mdia como hoje.
Somente no ms de setembro, foram invadidas cerca de 500 pginas, onde a maioria dos ataques foram feitos por
hackers brasileiros, o que poderia ser evitado se algum deles usassem uma ferramenta IDS complementado seu
sistema de segurana.
Existem diversos tipos de ferramentas IDS para diferentes plataformas, porm as ferramentas IDS trabalham
basicamente de modo parecido, ou seja, analisando os pacotes que trafegam na rede e comparando-os com
assinaturas j prontas de ataques, identificando-os de forma fcil e precisa qualquer tipo de anomalia ou ataque
que possa vir a ocorrer na rede/computador.
Uma ferramenta IDS serve basicamente para trazer informaes sobre rede, informaes como:
- Quantas tentativas de ataques sofremos por dia;
- Qual tipo de ataque foi usado;
- Qual a origem dos ataques;
- Enfim, a partir dele, vai-se tomar conhecimento do que realmente se passa em sua rede e em casos extremos,
poder tomar as medidas cabveis para tentar solucionar qualquer problema.
Vantagens na reas do IDS
Os especialistas de segurana afirmam que os honeypots podem obter sucesso em reas onde os IDSs
tradicionais so procurados. Especialmente nas situaes a seguir:
- Excesso de dados Um dos problemas comuns com o IDS tradicional que eles geram um volume enorme de
alertas. Esse excesso de alertas resulta em gasto de tempo e recursos, alm de encarecer tambm a reviso de
dados.
- Falsos positivos. Um dos maiores problemas do IDS que muitos dos alertas gerados so falsos. Falsos
positivos representam um grande problema at mesmo para as empresas que gastam muito tempo ajustando
seus sistemas.
- Falsos negativos. As tecnologias IDS podem tambm encontrar dificuldades na identificao de ataques ou
comportamentos desconhecidos. Assim, tambm, qualquer atividade com um honeypot considerada anormal,
destacando quaisquer ataques novos ou conhecidos.
- Recursos. Um IDS necessita de hardware com muitos recursos para acompanhar o trfego de rede de uma
empresa. medida que uma rede aumenta sua velocidade e gera mais dados, o IDS deve se tornar maior para
que possa acompanh-la. (O gerenciamento de todos os dados tambm requer muitos recursos.)
- Criptografia. Cada vez mais empresas esto criptografando todos os seus dados, devido aos problemas de
segurana ou s regulamentaes (como HIPAA).

SNORT
O SNORT na opinio de muitos especialistas uma ferramenta muito simples de usar e com recursos
extraordinrios, eis alguns dos motivos que levaram ele a ter este conceito:
- um software livre;
- de fcil manuseio;
- uma ferramenta confivel ( usada pela SANS no seu on-line training);
- Tem verses para Linux e Windows;
- E pelo principal, funciona.
Como toda ferramenta IDS, nunca consegue-se 100% de acerto no que diz respeito aos ataques, pois sempre
acontecero os false positives ou alarmes falsos, porm de todas as ferramentas IDS, talvez o SNORT seja a
que menos false positive tenha.
Um dos motivos pela grande quantidade de pessoas que ajudam no desenvolvimento de novas assinaturas de
ataques, que vo desde ataques CGI, at o Lion Worm, praga essa que infecta sistemas rodando linux.
Outro ponto a favor do SNORT que o mesmo permite atualizao automtica de suas assinaturas de ataque via
internet. Com o SNORT, o prprio usurio personaliza sua regra de ataques e escolhe-os da forma que melhor se
adapta.
COMO OS HONEYPOTS AUMENTAM O IDS?
Leia: http://blog.segr.com.br/honeypots/
A evoluo dos honeypots pode ser entendida atravs da observao das maneiras como esses sistemas so
utilizados juntamente com os IDSs para evitar, detectar e ajudar a responder aos ataques. Os honeypots esto,
com certeza, encontrando seu lugar junto s solues de proteo contra intruses baseadas em rede ou em host.
Os honeypots podem evitar ataques de vrias maneiras.
- A primeira atravs da reduo ou interrupo de ataques automticos, como worms ou auto-rooters. Esses so
ataques que aleatoriamente verificam toda a rede procura de sistemas vulnerveis. (Os honeypots utilizam uma
variedade de truques de TCP para colocar o agressor em um padro pendente.)
- A segunda maneira a deteno de ataques humanos, em que os honeypots tentam distrair um agressor,
fazendo com que prestem ateno s atividades que no causam perdas ou danos, permitindo que as empresas
tenham tempo para responder ao ataque e bloque-lo.
O objetivo conhecer os processos e as tcticas dos piratas informticos atravs da utilizao de riscos. A sua
implementao exige um elevado nvel de competncias Os honeypots esto de volta para atrair os piratas
informticos, mas a verdade que poucas empresas implementam este sistema de engodo, baseado em
aplicaes especializadas, para analisar os mtodos e as tcticas dos hackers.
A tcnica dos honeypots consiste em instalar riscos informticos numa rede empresarial para neutralizar os
ataques de piratas;

Para ser verdadeiramente til, o sistema de chamariz deve ser configurado de forma coerente com o resto da
segurana da rede empresarial. Pode constituir assim um complemento de um sistema IDS;
Na rede, o honeypot pode ser colocado numa zona desmilitarizada (DMZ) dedicada ou na rede local, consoante o
caso;
A oferta de software constituda por produtos que funcionam, primariamente, sob Unix ou Linux;
Os honeypots so apenas um elemento de uma poltica de segurana mais global. Ainda esto pouco divulgados.
Preveno, deteco e reao
Um honeypot no impedir um pirata de entrar na rede, mas como a totalidade do trfego originado pelo intruso
fica registrado e pode ser analisado, possvel obter informaes que permitiro, da prxima vez, bloquear o
mesmo ataque.
Posto em outros termos, o honeypot no bloqueia um ataque ou uma determinada porta e no impede que os
viles fiquem espreita do lado de fora da rede.
No entanto, sempre prefervel que os piratas se agitem volta de recursos secundrios em vez de tentarem
penetrar em servidores estratgicos.
No que se refere deteco, os ganhos so, pelo contrrio, considerveis. A razo para isso simples - se as
ferramentas complementares, como os IDS de rede, forem expostas a grandes fluxos de trfego, tero grande
dificuldade em enfrent-los.
Uma das estratgias dos hackers consiste em ocupar um IDS, de modo a faz-lo gerar um nmero mximo de
alarmes.
O outro risco dos IDS precisamente o dos falsos negativos, que se traduz na incapacidade de detectar um
ataque validado. Devido sua prpria natureza, os honeypots esto menos sujeitos s tcnicas de evaso
utilizadas para contornar os IDS.
Finalmente, a resposta (ou reao) o domnio que necessrio estudar com cuidado. A deteco de pouco vale
quando no se tem uma capacidade de resposta adequada.
Um honeypot um host que pode ser colocado off-line para se extrarem lies especficas.
- Onde coloc-lo?
- Na rede?
- Numa zona desmilitarizada (DMZ) ou na rede local?
- No primeiro caso, ir procurar obter informaes sobre os piratas externos, e no segundo, sobre os piratas
internos (empregados desonestos).
ainda possvel jogar com os endereos IP e com a traduo de endereos para fazer crer ao hacker que o
servidor atacado se encontra instalado na LAN da empresa. Deste modo, o honeypot situado na DMZ no ser
indicado no servidor Domain Name System (DNS).

Embora existam formas de criar um honeypot, fundamental que a configurao seja feita em funo dos
objetivos visados e que, em caso algum, a arquitetura honeypot se possa tornar numa vulnerabilidade para o
sistema da empresa.
Os honeypots podem ser implementados tanto com base em produtos comerciais (como o ManTrap da Recourse
Technologies), como utilizando um Unix livre (ou um Linux), configurados de forma personalizada.
Os mecanismos utilizados variam da monitorizao das portas (NukeNabber) at aos chamarizes que interagem
com o pirata, acabando o conjunto por constituir um verdadeiro sistema especificamente configurado.
Consideraes
Como todas as tecnologias, os honeypots tambm tm seus problemas, sendo que o maior deles o seu limitado
campo de viso. Os honeypots s capturam as atividades direcionadas contra eles e no detectam ataques contra
outros sistemas.
Por essa razo, os especialistas de segurana no recomendam que esses sistemas substituam as tecnologias de
segurana j existentes, mas vm os honeypots como uma tecnologia complementar de rede e de proteo contra
intruses baseadas em host.
As vantagens trazidas pelos honeypots s solues de proteo contra intruses so difceis de serem ignoradas,
principalmente agora que os honeypots de proteo esto comeando a ser implementados. Com o tempo,
medida que as implementaes se proliferarem, os honeypots podero se tornar um elemento essencial nas
operaes de uma empresa no nvel corporativo.
Por este e outros motivos, os analistas de segurana resolveram no s depender de si mesmos para fazer a
segurana de um sistema, mas tambm estudar mais o outro lado - o lado de quem v o cdigo-fonte de um
software - encontrando falhas e tentando explor-las, como ocorre muito no mundo open source, uma vez que
com os cdigos abertos, o risco de encontrar um bug e explorar a falha em um software desse tipo ser muito
maior.
muito importante um sistema de alarme na rede, que avise quando da presena de algum trfego de pacotes
suspeitos e/ou de provveis vulnerabilidades nos sistemas operacionais e aplicativos de internet/intranet.
No h rede totalmente segura. A sua rede j foi, est sendo, ou ser atacada. No h como fugir, o que se pode
fazer aumentar as barreiras de segurana para diminuirmos os riscos