Escolar Documentos
Profissional Documentos
Cultura Documentos
Existem basicamente três tipos de intrusões para um IDS detectar. Sendo denominados
conhecidos, quando possuem uma estrutura rígida e seu comportamento já é
devidamente conhecido e catalogado, generalizáveis, quando são parecidos com os
conhecidos, no entanto apresentam modificações em seu funcionamento e
desconhecidos são intrusões não muito difundidas ou mesmo uma versão muito
generalizada de uma intrusão conhecida, as quais tornam impossíveis os usos de regras
predefinidas para detecção.
Para detectar as operações ilegais na rede são usadas, nos casos conhecidos e
generalizáveis, a checagem de assinaturas, isto é, procura por padrões já pré-
estabelecidos de atividades de cunho malicioso. Ou, para invasões desconhecidas,
buscando anomalias, que são nada mais do que atividades/dados diferentes do perfil
tradicional da máquina/rede em que o IDS se encontra.
Network-Based
Wireless
Examina o trafego de rede em busca de ameaças que gerem padrões incomuns de fluxo
de dados como ataques DDos, alguns tipos de malware, violações de privacidade.
Sistemas NBA são os mais usados para monitorar o tráfego entre uma rede interna de
uma instituição e redes externas.
Host-Based
Rede exclusiva para o tráfego de dados do IDPS. Trata-se de uma rede isolada para o
IDPS a fim de protegê-lo e garantir banda suficiente para seu funcionamento.
Rede virtual dentro da rede monitorada criada para proteger o tráfego relativo ao IDPS,
sem isolá-lo dos possíveis problemas na rede monitorada.
A criptografia, como elemento de segurança do tráfego de informações, acaba por prejudicar outros elementos como os
sistemas de detecção de intrusos (IDS). Uma vez que, em algumas tecnologias, o campo de dados é criptografado, em
outras, o pacote inteiro o é (cabeçalhos e dados). Neste ambiente, uma ferramenta de IDS não será efetiva, pois os
dados de um ataque podem ser encobertos pela criptografia existente no mesmo.
- Enviar um alarme,
Os
IPSEC
Cada protocolo [ESP e AH7] suporta dois modos de uso: o modo transporte e o modo túnel. No modo transporte, o
protocolo provê proteção primariamente para os protocolos de camada superior; no modo túnel, os protocolos são
empregados como um túnel de pacotes IP." 8
Security Associations(SA)
Um fundamento importante do IPSec são as Security
Associations. Uma Security Association (SA) é um conjunto de parâmetros que
representa uma relação unidirecional entre um emissor e um receptor. Entre
estes parâmetros, estão: algoritmo de criptografia, chave de criptografia,
algoritmo de autenticação e chave de autenticação. As informações de uma SA
são comuns ao receptor e ao emissor. Para uma relação bidirecional, são
necessárias duas Security Associations.
Três parâmetros atuam como identificadores de uma SA:
• Security Parameters Index, um identificador numérico único de 32
bits, presente nos cabeçalhos dos protocolos IPSec;
• endereço IP de destino;
3. Implementação
Com o IPSec, a segurança é implementada na camada do IP. Isto faz com que ele seja
transparente para as aplicações, que não precisam ter seu código-fonte alterado para garantir
segurança. Além disso, pode ser facilmente utilizado em conjunto com o UDP, protocolo muito
usado atualmente em comunicações multimídia.
Diferentemente, as soluções de segurança mais comumente adotadas (SSL, TLS, SSH etc.)
operam nas camadas de transporte ou aplicação. Muitas vezes, estas são utilizadas devido à
complexidade da arquitetura e dos protocolos do IPSec, que exigem que a pilha TCP/IP seja
alterada ou estendida, de acordo com a opção de implementação.
O IPSec pode ser implementado de diversas maneiras, seja num terminal, em um roteador
ou firewall (para criar um gateway de segurança) ou em um dispositivo de segurança
independente. Na RFC 4301 [8], são definidas 3 alternativas de implementação para o IPSec:
Integração no IP
Se baseia na integração dos protocolos do IPSec na implementação nativa do IP, o que é viável
tanto para um terminal quanto para um gateway de segurança. Pode ser considerada a solução
padrão, mais elegante.
Entretanto, é preciso alterar o código-fonte da implementação IP, o que foi feito no Microsoft
Windows 2000 (sendo incluído nas versões posteriores) e no Linux Kernel 2.6. Um tutorial
simples sobre a utilização da pilha IPSec nativa do Ubuntu pode ser encontrado
em https://help.ubuntu.com/community/IPSecHowTo.
Bump-in-the-stack (BITS)
Para esta implementação, não é necessário o acesso ao código-fonte da pilha IP. Normalmente,
quando adotada, esta estratégia é aplicada a terminais da Internet.
Bump-in-the-wire (BITW)
Como será visto mais adiante, as três estratégias de implementação (integrada, BITS e BITW)
se relacionam com os dois modos de operação do IPSec.
7. Internet Key Exchange
Motivação
Funcionamento
Diffie-Hellman