FACULDADE DE COMPUTAÇÃO DE MONTES CLAROS - FACOMP

ESPECIALIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO EM REDES DE

COMPUTADORES
PROF. EXPEDITO DE FREITAS

SISTEMA DE DETECÇÃO DE INTRUSO (IDS)

Raimundo Alexandrino de Santana1

Tiago Coutinho Pimenta 2

Resumo

Neste artigo procura-se discutir os aspectos do Sistema de Detecção de Intruso

(IDS). Analisar, como o IDS se insere na segurança da informação em Redes de
Computadores, assim como verificar suas características, problemas e, o comportamento
dessa ferramenta conjuntamente com outros dispositivos de segurança.

Abstract
In this article it tries to discuss the aspects of the System of Detection of
Intruder (IDS). to Analyze, like IDS interferes in the security of the information in Nets of
Computers, as well as verifying their characteristics, problems and, the behavior of that tool
jointly with device of security.

Palavras – Chave Intruso, IDS, Sistema, Segurança.

1
Acadêmicos da Especialização: Segurança da Informação em Redes de Computadores da FACOMP
2
Acadêmicos da Especialização: Segurança da Informação em Redes de Computadores da FACOMP.
1. Introdução
A internet é a principal personagem da revolução tecnológica em que se vive
hoje, sem se dar conta disso. As redes de computadores foram e estão sendo a mola
propulsora dessa quebra de paradigmas sociais. O uso das redes de corporativas
tornou-se trivial e cresce de maneira exponencial juntamente com seus problemas de
insegurança que é um óbice transcendente atingindo o limite da produtividade e da
funcionalidade das organizações. Essas redes trazem velocidade e eficiência que significa
alta competitividade enquanto a falta de segurança nos meios que as habitam pode
resultar em enormes prejuízos.

1.1Os crimes virtuais e os reais

No mundo da segurança, seja pensando em violência urbana ou em
“crackers” é marcado pela evolução contín ua, no qual novos ataques têm como
resposta novas formas de proteção, que levam ao desenvolvimento de novas técnicas
de ataques, de maneira que um ciclo é formado. Não é por acaso que é no elo mais
fraco da corrente que os ataques acontecem. Esses atos mudaram de foco e toma
uma dimensão mais complexa, pois a rede interna é parte mais vulnerável por
envolver pessoas, com culturas e objetivos diferentes. Essas pessoas acabam
fragilizando o sistema interno seja por imprudência, negligência, imperícia ou,
até má fé. Conforme TANENBAUM (4ª Ed. 2003, p.767) demonstra que muitos
ataques são proporcionados pelos próprios funcionários ou ex-funcionários, que
conhecem os procedimentos da empresa em relação à segurança e como os sistemas
funcionam, assim acabam facilitando senhas de acesso, roubo de informações
importantes dentro da própria empresa, danos a base de dados, entre outros.

O cracker é um vândalo virtual, alguém que usa seus

conhecimentos para invadir sistemas, quebrar travas e senhas,
roubar dados etc. Alguns tentam ganhar dinheiro vendendo as
informações roubadas, outros buscam apenas fama ou
divertimento3.

3
MURIMOTO E. Carlos, http://www.hardware.com.br/cracker. Em 26 de junho de 2005. Acesso: 28 fev. 11
 De tempos em tempos os noticiários são compostos por alguns crimes “da
moda”, que vêm e vão. Como resposta, o policiamento é incrementado, o que resulta
na inibição daquele tipo de delito. Os criminosos passam então a praticar um novo
tipo de crime, que acaba virando notícia. E o ciclo assim continua. Já foi comprovada
uma forte ligação entre seqüestradores e ladrões de banco, por exemplo, na qual existe
uma constante migração entre as modalidades de crimes, onde o policiamento é
geralmente mais falho.

Esse mesmo comportamen to pode ser observado no mundo da

informação, de modo que também se deve ter em mente que a segurança deve ser
contínua e evolutiva. Isso ocorre porque o arsenal de defesa usado pela organização
pode funcionar contra determinados tipos de ataques; porém, pode ser falho contra
novas técnicas desenvolvidas para driblar esse arsenal de defesa.

1.2 O que é o IDS (Intrusion Detection System)

Uma das armas considerada como referência de proteção no sentido de
minimizar a vulnerabilidades dos bens computacionais corporativos, seja ele físico,
intelectual ou a própria reputação da empresa é o IDS (Sistemas de Detecção de Intruso)
que de modo simplificado ele monitora ações maliciosas de pessoas má intencionadas ou
de “Crakers” que age por facilitação ou fragilidade da rede interna . O IDS atua em
conjunto com outras tecnologias de segurança em redes, como “Firewalls”, “Proxies”,
“Roteadores” e “pilhas do protocolo TCP/IP”, promovendo assim, uma segurança relativa
no quesito integridade, privacidade e autenticidade de dados em uma rede. Os sensores do
IDS gera relatório dessas suspeições para o administrador de rede.

Sistema de detecção de intrusos- IDS (Intrusion Detection

System) refere-se a meios técnicos de descobrir em uma rede
quando esta está tendo acessos não autorizados que podem indicar
a ação de um cracker ou até mesmo funcionários mal
intencionados.4

4
Wikipédia, http://pt.wikipedia.org/Sistema_de_detecção_de_intrusos, acesso: em 28 fev. 2011
 1.3 Como é o IDS
Detecção de intrusão é uma tentativa de monitorar estações ou fluxos de rede
com o intuito de descobrir ações de intrusos. Mais especificamente, um IDS tenta detectar
ataques ou usos impróprios e alerta o responsável pela rede do acontecimento. O
funcionamento é análogo ao de um sistema de detecção de ladrões, usado em casas para se
proteger de eventuais incidentes. O sistema domiciliar inicialmente precisa ser configurado
e ter especificado o que monitorar (janelas, portas, movimento) e para quem alertar ou
chamar em caso de uma invasão (polícia, donos da casa). No sistema computacional,
precisa-se também determinar o que se quer monitorar fluxos de rede, processos internos
de uma estação ou servidor, ou ainda um sistema de arquivos, por exemplo. É preciso
deixar claro para quem enviar os alarmes ou relatórios e como estes devem ser enviados,
tendo como alternativas o e-mail, pager, ou ainda um pacote SNMP.
Sistemas de gerenciamento de rede utilizam o Simple Network Management
Protocol (SNMP). Esse padrão de gerenciamento oferece diversas maneiras de visualizar o
sistema, incluindo uma visão global, intermediária e uma visão especifica do elemento de
rede. Na visão global é feita uma representação de como a rede está ligada em conjunto.
Essa visão nos mostra onde estão conectados os roteadores, anéis,segmentos e pontes. Já na
visão intermediária exibe uma amostragem de onde as workstations, concentradores
inteligentes, roteadores e pontes estão localizados em cada anel ou segmento individual. A
visão do elemento de rede é um visão gráfica expandida do dispositivo gerenciado
propriamente dito. Tal visão deve dar uma representação gráfica do elemento que está
sendo gerenciado. Em se tratando do Sistema IDS que utiliza esse protocolo, tem-se
ainda uma visão com mapeamento de bits do dispositivo.
Teoricamente, esse tipo de sistema seria somente passivo, observando pacotes
na rede ou processos em uma estação de trabalho e alertando os responsáveis. Porém,
apesar de não ser objeto desse estudo, há sistemas chamado IPS (Intrusion Prevention
Systems), Sistema de proteção contra Intruso, que possuem a habilidade de reagir às
invasões, deixando de ser um sistema exclusivamente de detecção e pode ser definido como
um sistema de reação a intrusão. Exemplos de reação podem ser um fechamento de
conexão, um bloqueio no firewall, execução de algum arquivo, ou ainda a desabilitação de
uma conta. Os sistemas IPS é um complemento do IDS.
 1.4 Snort

O SNORT é uma ferramenta IDS desenvolvido por Martin Roesch "open-source"

bastante popular por sua flexibilidade nas configurações de regras e constante atualização
frente às novas ferramentas de invasão . Outro ponto forte desta ferramenta é o fato de ter o
maior cadastro de assinaturas, ser leve, pequeno, fazer escaneamento do micro e verificar
anomalias dentro de toda a rede ao qual seu computador pertence. O código fonte é
otimizado, desenvolvido em módulos utilizando linguagem de programação C e, junto, com
a documentação, são de domínio público. O Snort conta ainda, com o permanente
desenvolvimento e atualização, que são feitos diariamente, tanto em relação ao código
propriamente dito, como das regras de detecção. Os padrões utilizados na construção das
regras de detecção das subversões são introduzidos no sistema de configuração, tão rápido
quando são enviados os alertas originados pelos órgãos responsáveis, como por exemplo o
CERT (Centro de Estudos para Resposta e Tratamento de Incidentes Computacionais),
Bugtraq (lista de discussão), entre outros.

Há outras ferramentas IDS bem mais sofisticada do que o Snort, todavia essa é
muito popular diante de sua performance e simplicidade. É muito leve, a utilização do
Snort é indicada para monitorar redes TCP/IP, onde pode detectar uma grande variedade do
tráfego suspeito, assim como ataques externos e então, fornece argumento para as decisões
dos administradores. Os módulos que o compõe o são ferramentas poderosas, capazes de
produzir uma grande quantidade de informação sobre os ataques monitorados, dado que é
possível avaliar tanto o cabeçalho quanto o conteúdo dos pacotes, além de disponibilizar,
por exemplo, a opção de capturar uma sessão inteira.

O Snort monitora o tráfego de pacotes em redes IP, realizando análises em tempo

real sobre diversos protocolos (nível de rede e aplicação) e sobre o conteúdo (hexa e
ASCII). Outro ponto positivo desse software é o grande número de possibilidades de
tratamento dos alertas gerados. O subsistema de registro e alerta é selecionado em tempo de
execução através de argumentos na linha de comando, são três opções de registro e cinco de
alerta. O registro pode ser configurado para armazenar pacotes decodificados e legíveis em
uma estrutura de diretório baseada em IP, ou no formato binário do tcpdump em um único
arquivo. Para um incremento de desempenho, o registro pode ser desligado completamente,
permanecendo os alertas. Já os alertas podem, ser enviados ao syslog, registrados num
arquivo de texto puro em dois formatos diferentes, ou ser enviados como mensagens
WinPopup usando o smbclient que é um sistema de envio de mensagens para determinadas
estações de trabalho.

Os alertas podem ser enviados para arquivo texto de forma completa e o alerta
rápido. O alerta completo escreve a mensagem de alerta associada à regra e a informação
do cabeçalho do pacote até o protocolo de camada de transporte. A opção de alerta rápido
escreve um subconjunto condensado de informação do cabeçalho alerta.

Existe também, a possibilidade de utilizar métodos como o Database Plug-in por

exemplo, para registrar pacotes em uma variedade de bases de dados diferentes (MySQL,
PostgreSQL, entre outros), as quais contam com recursos próprios para efetuar consultas,
correlações e dispõem de mecanismos de visualização para analisar dados.

Visão geral do Snort

Figura 01. Fonte: http://www.snort.com.br/default.asp

1.5 Desafios do IDS frente as tecnologias Fast ethernet, IPSec e SSL

Apesar da efetividade operacional do Snort, assim como qualquer outro
software IDS ainda apresentam desafios no tocante ao monitoramento em redes de alta
velocidades como a fast ethernet que pode trafegar com 100 Mbit/s e nas tecnologias
que envolvem criptografias como nos protocolos de segurança IPSec (Internet Protocol
Security) 5 e SSL (Security Sockets Layer) que são blindados com criptografia dificultando
assim o monitoramento do fluxo de suspeição.
Em Rede de computadores, Fast Ethernet é um termo para vários
padrões da Ethernet que levam o tráfego de dados à taxa nominal

5
Cyrille, LARRIEU, IDS, http://pt.kioskea.net/contents/detection/ids.php3: Acesso: 19 fev. 2011
 de 100 Mbit/s, contra a taxa de transmissão de 10 Mbit/s da
Ethernet original6

Nos sistemas IDS de Rede (N-IDS) apresenta algumas deficiências em redes

muito segmentadas devido a grande quantidade de switchs e, consequentemente o
grande fluxo de dados onde se instalam os sensores do IDS e, devido a grande
quantidades de dados que trafegam por esses dispositivos de rede. Assim com a
criptografia é um problema para quase todos os elementos dos sistemas de detecção de
intrusos, aqui também no monitoramento do IDS de rede também fica prejudicado, pois
não consegue quebrar a criptografia neste local.
Os agentes do IDS baseado em host (H-IDS) analisam sinais de intrusão na
máquina nos quais estão insta lados, eles frequentemente usam os mecanismos de log do
sistema operacional e estão muito ligados aos recursos do sistema. Os sensores de posse
de assinaturas, ou banco de informações usuais do hosts agem procurando por atividades
anormais como em: tentativas de login, acesso à arquivos, alterações em privilégios do
sistema, etc.
Apresentam dificuldades de atuação quando alguns requisitos de software e de
Hardware como máquinas de estações de trabalho limitadas e sistemas operacionais com
fraco desempenho. Um trabalho relativamente árduo, porque param alguns setores do
órgão, sem falar a resistência de funcionários desconfiados, devido as inúmeras
instalações dos software citados que tem que ser máquina à máquina onde se quer
monitorar pois o objetivo do software tem se uma visão especificamente localizada.
Essas ações de apoio logístico tem que ser muito trabalhada com o recurso humano
pelos administradores de rede, fatores estes que acabam onerando a instalação desse tipo
de sistemas de defesa numa empresa.
A verificação de integridade de arquivos é uma atividade extra do IDS. Nesta ação
o sistema analisa os arquivos de informações escolhidamente importantes, colhe as
assinaturas em base de dados. Assinatura, neste caso, é uma técnica de extração do
tamanho do arquivo para na futuro, em caso de suspeição de alteração dos mesmos
compará-los com os antigos e ver se não houve alteração do tamanho. Nestes casos utiliza-
se entre outras funções o Hash que é processo matemático de redução de uma sequência de
Bytes para uma cadeia de bits de comprimento fixo.

6
Wikipédia, http://pt.wikipedia.org/wiki/Fast_Ethernet. Acesso: em 28 fev. 2011
 Neste processo de analise de assinaturas consome muito recurso de CPU, memória e
disco. Se não for hosts com bom poder de processamento, torna-se inviável devido a queda
de desempenho do sistema como um todo. Outro problema é quando o atacante modifica a
configuração da funcionalidade que atrasa ainda mais devido aos falsos positivos, travando
o sistema, ficando às vezes inoperante.

SSL e IPSec são usados para garantir privacidade, integridade e

autenticidade de informações com uso de encriptação, certificação
digital e autenticação de dispositivos.7

1.6 Os ataques no HTTP, HTTPS, IPSec do TCP/IP e o IDS

IDS baseados em rede, monitoram os cabeçalhos e o campo de dados dos

pacotes a fim de detectar possíveis invasores no sistema, além de acessos que podem
prejudicar a performance da rede. A implantação de criptografia (implementada via IPSec
e outras) nas transmissões de dados como elemento de segurança prejudica esse processo.
Tal ciframento pode ser aplicado no cabeçalho do pacote, na área de dados do pacote ou até
mesmo no pacote inteiro, impedindo e ou dificultando o entendimento dos dados por
entidades que não sejam o seu real destinatário.

Como referenciado acima , o SSL (Secure Socket Layer) é executado entre a camada de
transporte e de aplicação do TCP/IP, criptografando assim a área de dados dos pacotes.
Sistemas IDS não terão como identificar através do conteúdo dos pacotes ataques para
terminar as conexões ou até mesmo interagir com um firewall.

Outro exemplo é a implementação do IPSec, que é uma extensão do protocolo IP que é

bastante utilizada em soluções de VPN (Virtual Private Network). Existem dois modos de
funcionamento, o modo transporte e o modo túnel, descritos na RFC2401 de Kent,
Atkinson (1998).

Rede Privada Virtual (VPN) é uma rede de comunicações privada

normalmente utilizada por uma empresa ou um conjunto de
empresas e/ou instituições, construída em cima de uma rede de
comunicações pública (como por exemplo, a Internet). O tráfego de
dados é levado pela rede pública utilizando protocolos padrão, não

7
Thais BATISTA, Lucas PEREIRA,IPSec e SSL, http://www.metropoledigital.ufrn.br/aulas. Acesso: em 28
fev. 2011
 necessariamente seguros, por isso necessita de criptografar seus
dados para fornecer certa segurança na transação de dados8.

RFC (Request for Comments), é um documento que descreve os

padrões de cada protocolo da Internet previamente a serem
considerados um padrão, como exemplo a RFC 2626 do HTTP
versão 1.1- Hypertext Transfer Protocol. 9

No modo de transporte o IPSec é similar ao SSL, protegendo ou autenticando somente a

área de dados do pacote IP; já no modo túnel o pacote IP inteiro é criptografado e
encapsulado. Como pode ser notado no modo transporte um IDS pode verificar somente o
cabeçalho do pacote, enquanto o modo túnel nem o cabeçalho e nem a área de dados.

Com as recentes inovações dos produtos IDS uma ação inovadora foi a utilização de
VPN’s gateway-a-gateway onde um IDS é posicionado imediatamente após o gateway,
aonde o tráfego de saída da VPN ainda não foi processado e o tráfego entrante já foi
restaurado. Nesta posição não há barreiras a uma verificação completa. Podemos
vislumbrar algumas soluções para o uso de IDS’s com SSL e IPSec, por exemplo, com a
adição de agentes de IDS nas aplicações. Mais que clientes no host ou no sistema
operacional, muitos destes serviços de criptografia (notadamente o SSL) fazem parte da
própria aplicação (ex.: servidores Web, servidores IMAP, etc), tornando a implantação de
módulos de IDS na própria aplicação. Outra alternativa poderia ser a utilização de front-
end de descriptografia, nesse processo, momentaneamente pega os dados
descriptografados, dessa forma tornando uma solução semelhante ao IPSec gateway-a-
gateway. Portanto, apresenta-se como soluções atualizada de utilização de IDS baseados
em rede para a monitoração. Veja figuras abaixo com a Ilustração das inovações.

IPSec Gateway-a-Gateway

Figura 02. Fonte: http://www.rnp.br/newsgen/0011/ids.html

8
Wikipédia, http://pt.wikipedia.org/wiki/VPN. Acesso: em 01 março 2011
9
Wikipédia, http://pt.wikipedia.org/wiki/RFC. Acesso: em 01 março 2011
Observe na figura 02 que sensor do IDS está no servidor Web para conseguir capturar os
dados antes da criptografia ele se aloja justamente na pilha do protocolo TCP/IP na
camada equivalente a de apresentação do modelo OSI oferecido o serviço pela aplicação
do TCP/IP. Esta camada tem o papel de criptografar de um lado e descritografar do lado
destino, então neste sentido o sensor do IDS pega os dados sem a blindagem, assim
conseguindo monitorar mesmos com com o IPSec e o SSL.

HTTP (HyperText Transfer Protocol - Protocolo de Transferência de Hipertexto) é um

protocolo usado para a transmissão de dados no sistema World-Wide Web. Cada vez que se
aciona um link, seu browser realiza uma comunicação com um servidor Web através
deste protocolo.

Os Crackers adoram esses locais devido a vulnerabilidade de não oferecer certa segurança
na transmissão de dados (sem criptografia) para aplicar seus golpes. Comumente usam os
scripts .Asp para invadir servidores. Isto posto, faz-se necessário ainda mais o
incremento do IDS nessa transações de dados.

principal objetivo de uso de um Sistema de Detecção de Intrusão (IDS) é o de levantar

informações de atividade maléficas ao sistema, como ataques passivos e ativos. Neste os
ataques provocam danos como roubo de senhas, destruição de HD de servidor como todo
seu ativo informativo, alteração de dados em bancos, entre outros. Já aqueles são
invasões mais sutis porque geralmente agem sem alterações, “às escondidas”, sem danos
nem alteração funcional dos sistemas continuando a funcionar normalmente. Ataques
passivos são considerados os mais perigosos porque vislumbra instalação de spyware como
Key Loggers, Scrin Loggers intuitivamente a fim de furtar dados financeiro de
funcionários, informações importantes da organização e destruição de arquivos, entre
outros malefícios.
 Key logger (registrador do teclado ) é um programa de
computador do tipo spyware cuja finalidade é registrar
tudo o que a vítima digita, a fim de capturar suas
senhas, números de cartão de crédito e afins.10

É importante frisar que o IDS é um dispositivo de rastreamento de atividades

indevidas em uma rede, ou seja, serve para buscar informações de desvio de
comportamento, seja por usuários ou não da rede, a fim de fazer auditorias ou criar
padrões de segurança nos setores estratégicos dentro da própria organização.

Pode-se dizer que o IDS é “o espião dos espiões” , pois ele se infiltra com
os mesmos “modus operandi” dos atacantes revelando seus comportamentos, os
caminhos e as “presas”. Nesse sentido, é criado um mapa com identificação mais
precisa dentro da rede computacional de quem são os possíveis malfeitores, o que eles
buscam e, o mais importante, a partir daí criar os mecanismo de defesa mais robusto,
preciso e centralizado ou ajustá-los em determinada área dentro da organização.
Modus Operandi não é apenas uma expressão jurídica, é também
um termo utilizado em administração de empresas. O modus
operandi de uma tarefa é um padrão pré-estabelecido que dita as
maneiras de como agir em determinados processos.11

2.1 O IDS não é antivírus

O IDS é um sistema de detecção, não obstante, muita gente imagina ser uma
espécie de antivírus com a função de eliminar invasores. Essa ferramenta faz parte do
arcabouço de segurança projetado mais especificamente para corporações devido o grande
volume de informações e de funcionários que utilizam a redes ou sistemas. É também o
primeiro elemento a ser implantado para projetar uma política sólida de segurança da
informação. Em etapas posteriores são implantados Sistemas de Proteção de Intrusos
(IPS) funcionando como uma espécie de antivírus, que apesar de não ser objeto desse
estudo é de fundamental importância na dialética de entendimento dos serviços de
segurança que envolvem tanto o monitoramento quanto o contra ataque, na proteção dos
sistemas computacionais corporativos ou não.

O IPS complementa um IDS bloqueando a intrusão e impedindo um

dano maior para a rede. É uma ferramenta que detecta e bloqueia

10
Wikipédia, http://pt.wikipedia.org/wiki/Keylogger. Acesso: em 01 março 2011
11
Nelson Batista TEMBRA,Estudo de Caso, http:// www.ecodebate.com.br. Acesso: em 28 fev. 2011
 invaor.12

2.2 A dinâmica do crime e do IDS

Segurança é um processo continuo e dinâmico. Tem suas vertentes voltadas
para os “eventos da moda” . Assim como na segurança pública hoje o IDS trabalha de
forma integrada e inteligente. Procura os locais com freqüência de ataques e se junta a
órgãos especifico daquela área para monitorar as “ações delituosas”. Com o Firewall faz
uma parceria importante para saber se o inimigo é externo ou interno. O Firewall é como
se fosse barreiras policiais próximos às cidades e tem precípua finalidade de não deixar
entrar “bandido” no município. Analogamente, o conjunto IDS, Roteadores e Proxies
teriam virtudes de descrever quem é e, o caminho percorrido do inimigo interno, pois
o Proxy deixa registrado qual máquina da rede acessou outra máquina na própria rede ou
fora dela e o roteador deixa a marca dessa trajetória percorrida.

Firewall é o nome dado ao dispositivo de uma rede de

computadores que tem por objetivo aplicar uma política de
segurança a um determinado ponto de controle da rede. (Wikipédia,
http://pt.wikipedia.org/wiki/Firewall)13

Hipoteticamente, o IDS tem agentes secretos. Disfarcadamente ninguém sabe

o que eles fazem, exceto seu superior (administrador de rede), e suas principais armas
são olhos bem abertos e ouvidos antenados além de altíssimas doses de destreza
(estratégia) sintetizado em sensores instalados onde está o foco de problema. Esses
sensores são os citados agentes. São os braços ramificados do mecanismo de segurança
adaptáveis às “zonas quentes” onde se concentram suspeição de ações delituosas. O
crime muda constantemente, por isso o foco de policiamento do IDS tem vários ângulos.
Ora, bandidos preferem arrombamentos à residências ( como nos hosts) a procura de jóias
e dinheiro, por ventura as vítimas fáceis não tem o cuidado de guardá-los em locais mais
seguros como em bancos, ora pessoas, mais precisamente, idosos e crianças são abordados
por meliantes nas ruas (redes) devido a facilidade de fuga e a vulnerabilidade das vítimas.
Em comparação, os “crackers” fazem a mesma coisa, observam e atacam as redes (ruas)
ou as próprias máquinas (casas) dependendo apenas da facilidade (vulnerabilidade) de

12
Saulo BORBA e E., IDS e IPS, local: Rio de Janeiro, Petrópolis-2008. Acesso: em 28 fev. 2011
13
Wikipédia, http://pt.wikipedia.org/wiki/Firewall). Acesso: 28 fev. 2011
cada uma delas. Por isso, os sensores específicos do IDS como o N-IDS (Network
Intrusion Detection System), ou seja, os sensores de redes, disfarçados de “sniffers”
varrem as redes ocultamente em pontos estratégicos na busca de movimentação anormal
registrando prováveis atividade clandestina de “crackers”. Mas, quando os “agentes”
montam campanas em determinados imóveis na captura de flagrante de bandidos são os
sensores “comensalista”, associando-se a servidores, principalmente de e-mails, placa de
redes em modo promiscuo (deixando entrar e sair quem quiser) e DNS (Domain Name
System), um tipo de correio, que se registra origem e destino das conexões, onde
normalmente os invasores deixam rastros no cometimento de suas ilegalidades. Nesse
sentido, poder-se-ia chamar sensores de host ou H-IDS (Host-based Intrusion Detection
System), sensor IDS baseado em invasões de máquinas (hosts). Há ainda operações

A sigla DNS (Domain Name Systema) é uma espécie

de sistema para a tradução de nome de sites em IP e
vice-versa. Quando se digita www.google.com.br, ele
converte este hipotético IP 10.15.56.19 no site acima14.

conjuntas dos sensores do IDS (de hosts e redes), denominadas de “pente fino” onde
rastreiam todos os suspeitos sejam nas ruas (redes) ou nas residências (hosts) procurando
provas materiais contra o crime, são situações alarmantes de infestações maliciosas como
recentemente ocorreu no caso do Rio de Janeiro onde Exército, Marinha, Aeronáutica,
Polícias Estadual, Federal e, principalmente a conscientização da população (dos usuários)
que trouxe uma certa traquilidade recolocando a segurança em níveis aceitáveis,
exatamente o grande objetivo dos Sistemas de Detecção de Intruso.

2.3 A blindagem do crime

As conexões organizada chamadas de máfias é uma modalidade evoluída da
criminologia tradicional. Nesses casos, o crime é mais difícil de combater porque usam
certa blindagem (criptografia) provocada, às vezes, por proteção e envolvimento de
poderosos. A investigação, na maioria das vezes, é feita por organismos mais
especializados como a Polícia Federal, sem desmerecer as outras forças. Todavia, não
deixa de ser um desafio o desbaratamento dessa arquitetura criminosa porque normalmente
14
Baixaki, http://www.baixaki.com.br/artigos. Acesso: 28 fev. 2011
o meliante é diferenciado, mais instruído, está também em uma melhor performance. Em
muitos casos, principalmente em fraudes que envolvem milhões há a participação de
funcionários dessas instituições que facilitam acesso ou passam informações privilegiadas,
além de relatos de propinas a policiais para não acharem nada de irregular. Assim,
analogamente o IDS tem suas dificuldades e, em muitos casos chega a ser um desafio,
pois a revolução das redes trouxe exigência constantes de maior conectividade como a
Fast Ethernet, ATM, Gigabit Ethernet e, em breve, 10Gigabit Ethernet para as redes
locais, além das já faladas tecnologias de segurança em rede que envolve criptografia
como IPSec (Internet Protocol Security) e SSL (Security Sockets Layer) contudo, as
soluções de IDS não têm acompanhado esta evolução, o que ainda ocasiona um impasse
para o monitoramento das mesmas.
A Fast Ethernet está se tornando uma das tecnologias
mais consagradas e econômicas de rede de alta
velocidade.15

SSL e IPSec são usados para garantir privacidade,

integridade e autenticidade de informações com uso de
encriptação, certificação digital e autenticação de
dispositivos.16

2.4 A arte de combate do IDS

Diante das dificuldades, o IDS projeta estratégias, como dizia “Sun Tzu,
Arte da guerra”, que o princípio geral da guerra era manter o estado inimigo intacto. Em
resumo, um dos disfarces de adaptação dos sensores do IDS é de agregar-se aos protocolos
de rede como na pilha do TCP/IP, nos IMAP ou POP, antes de ser criptografados, dessa
forma se consegue abstrair gama considerável de atividades indecorosas porque quaisquer
acessos de usuário na rede ativa o sensor denotado por tipos acesso remoto como o “telnet”
e “rlogin” que são um dos artifícios usado pelos “crackres” na tentativa de invadir
máquinas e servidores na rede local como se estivesse nela, objetivando subtrair
informações ou instalar software maliciosos para furtar senhas e posteriormente aplicar
golpes. Veja detalhes na figura1 de como IDS captura dados dos atacantes na pilha
TCP/IP.
Pilha de protocolo TCP/IP

15
Eliane, Ferraz, http://elianeferraz.vilabol.uol.com.br/fast.htm. Acesso: 28 fev. 2011
16
Thais Batista, Lucas Pereira, http://www.metropoledigital.ufrn.br/aulas. Acesso: 28 fev. 2011
 Figura 1. Fonte: http:// www.faetec.rj.gov.br

Padrão de pilha TCP/IP

Cabeçalho Dados
Ethernet
Cabeçalho Dados
Camada Ipv4
Interface de
Rede Cabeçalho Dados
Camada Rede TCP
Camada Cabeçalho
Transporte
Dados
Aplicação

Figura 2. Fonte: http:// www.faetec.rj.gov.br .

2.5 O agentes disfarçados do IDS

Pela destreza do “tcpdump” até que poderia ser comparado ao “Bond”, como
nos filmes de 007. Este agente, o “tcpdump”, com apenas um comando consegue-se
esmiuçar a da vida de muitos bandidos virtuais. Essa ferramenta tem poder de super
usuário (root) e com um simples comando como o: # tcpdump -i eth0 src host
192.168.0.1 pode levantar atividades de crimes cibernéticos organizados como invasão de
bancos e desvios tanto de dinheiro quanto de informações de clientes, conforme alguns
casos investigados no Banco do Brasil na década de 80 em que quadrilhas usavam
especialista em informática para invadir sistema remotamente usando “Ping” (procurar
determinado servidor e se está ligado na rede pelo endereço IP), “Portscan” (fazer
varredura de portas de servidor a fim descobrir falhas de portas abertas e invadir) e
“Spoofing” (depois que invade a maquina usa IP falso para não levantar suspeita e, dessa
forma, entrava nos software aplicava os desvios de centavos de milhares de contas para
uma única, como divulgado em: “Investigação Forense” , tese de monografia de pós-
graduação de Adriana Ribeiro Teixeira da Universidade federal de Lavras em Minas
Gerais, no ano de 2009. Como se vê, “tcpdump” especificamente no comando acima citado
rastreia toda anomalia de uma rede desde do gateway até qualquer máquina que tiver
fazendo operação suspeita naquele circuito interno, o que geralmente acontece com as
invasões desses criminosos. Pode, o fato ser elucidado pelo volume de transação na rede e
nos horários fora de expedientes, nesses casos. Mesmo sendo uma técnica antiga, até hoje
ainda é reaplicado o golpe porque a modalidade criminosa como foi dito é círculo vicioso,
sempre volta com novas versões.

“Tcpdump” é uma ferramenta utilizada para monitorar

os pacotes trafegados numa rede de computadores. Ela
mostra os cabeçalhos dos pacotes que passam pela
interface de rede.17

Costuma-se, neste artigo chamar os sensores de “agentes”, haja vista a

semelhança de inteligência dos mesmos. A capacidade de aprendizado deles é formidável
diante da sensibilidade de alteração de perfil de uma rede, detecção padrões de ataques
somados a outras interferências, com isso, gera um aparato de informações pré
determinantes para uma boa política de segurança do administrado de redes.

Para essa missão tem-se batalhão de agentes sub-divididos em fases de

treinamentos que envolve tática e técnica. São estrategicamente posicionado em locais de
atuação pré-definidos numa prévia da política de segurança. A primeira fase é o sub-
sensor estático que deve possuir informações das assinaturas de ataques conhecidos
(compara-se ao perfil dos usuários normais do sistema, então, o que foge a regra é
disparado um alerta). Na seguinte etapa o sensor passa a ser sub-sensor inteligente, que
inicialmente passa por um período de aprendizado e adaptação, para o conhecimento dos
padrões funcionais da rede. Dependendo do volume de tráfego na rede, esse período pode
ser variável. Após essa fase o sensor entra na face de aprendiz, ou seja, já tem condições de
reconhecer padrões que fogem da normalidade da rede e tomarem a devidas providências.

17
Wikipédia, http://pt.wikipedia.org.br. Acesso: em 28 fev. 2011
 2.6 Possíveis desvios de condutas
No mundo real cometimento de falhas pela polícia, infelizmente acontece com
freqüência e, às vezes, o resultado disso é catastrófico, como em mortes de inocentes por
ações policiais confundindo com bandidos, maculando o nome de corporações fortíssimas.
Os jornais são categóricos em falar que é por falta de treinamento das corporações. Na
tecnologia não pode ser diferente. Sensores tem que também “fortes treinamentos” no
sentido de adaptabilidade que pode levar dias apenas colhendo informações estranhas de
fato para, só depois agir de verdade.

Mas, mesmo nos meios tecnológico, ocorre a corrupção, é lógico que é por uma
forma diferenciada, pode também ocorrer indiretamente facilitação para os “Crackers” ,
além das desses aproveitar as falhas inerente do sistema e invadir o próprio IDS e alterar
sua forma de avaliação das ameaças. Um dos problemas gerado nessa anomalia é
chamados “falsos positivos”, espécie de alarme falso . O IDS rastreia o invasor como se
normal fosse não emitindo um alerta para a central de ataque, deixando assim, os
“crackers” atuarem livremente provocando danos imensuráveis ao sistema. Outro artifício
desses meliantes é “falso negativo” que é também alteração da configuração do sistema
IDS a fim de notificar uma alteração da rede como normal, nesse caso, ele emite sinal como
se fosse “falso negativo”, não ativando o sistema de alerta. Nesse esquema os crackers
muda a configuração do IDS, e divide os pacotes UDP em pequenos pedaços para não
congestionar e não alterar a rede. Por isso, os sensores do IDS têm que ter treinamento
duradouro e constante atualização da rede, para criar uma base de assinaturas consistente,
além configurações fortes nas barreiras de entrada na rede como nos firewalls, sem falar no
numa atenção mais voltada ao fortalecimento da engenharia humana do órgão, no sentido
gerar conscientização e conseqüente punição relativo aos cuidados com senhas de acesso e
outras fraquezas inerentes a atividades humana dentro da corporação.

Os sensores devem interagir entre si a fim de construírem uma matriz de

eventos que tem por objetivo a qualificação do padrão de ataque,
minimizando, desta forma, a ocorrência de alertas falsos (falso positivo).
Outras características fundamentais são: o gerenciamento centralizado, a
possibilidade do sensor interagir com outros elementos de rede
como firewall, roteadores e consoles de gerência; e a possibilidade de
 construir uma base de conhecimento centralizada de forma a permitir uma
visão ampla do nível de segurança da rede.

Classificação das intrusões

Uma intrusão pode ser definida como:

“Qualquer conjunto de ações que tentem comprometer a
integridade, confidencialidade ou disponibilidade dos dados
e/ou sistema.18

Essas intrusões são classificadas como:

- Intrusão devido ao mau uso do sistema: são ataques realizados aos pontos
conhecidos dos sistemas, ou seja, os pontos chamados fracos, que podem ser detectados a
partir de determinados objetos que são monitorados de certas ações realizadas.
- Intrusão devido à mudança de padrão: através de algumas mudanças de uso em
relação ao sistema padrão, são detectadas as intrusões. Primeiro monta-se um perfil do
sistema, em seguida através de monitoração, procura-se por divergências significantes em
relação ao perfil construído.
Como a intrusão de mau uso segue padrões bem definidos elas podem ser
descobertas através da comparação de padrões em relação a auditoria do
sistema. Por exemplo, uma tentativa de criar um arquivo com setup pode
ser detectada através da analise dos logs realizados pelas chamadas ao
sistema, call system. Uma intrusão devido a mudança de padrões é
detectada observando-se divergências significantes em relação à utilização
normal do sistema. Pode-se construir um modelo a partir de valores
derivados da operação do sistema.19

A intrusão devido à mudança de padrão, não existe um parâmetro a seguir no

monitoramento, tornando-se difícil de serem detectadas. Desta forma se trabalha com
aproximações de mudanças de padrões no sistema. O mais eficaz é trabalhar com a
combinação de pessoa com programa, desta forma o sistema seria monitorado
constantemente a procura de intrusão ao mesmo tempo em que teria a capacidade de
ignorar as ações de usuários legítimos.

18
(Disponível em: < http://www.absoluta.org/seguranca/seg_ids.htm> Acesso em: 26 outubro 2010).
19
(Disponível em: < http://www.absoluta.org/seguranca/seg_ids.htm> Acesso em: 26 outubro 2010).
Detecção de intrusão (alterar aqui)

Muitas ferramentas de IDS realizam suas operações a partir da análise de

padrões do sistema operacional e da rede tais como: utilização de CPU,
I/O de disco, uso de memória, atividades dos usuários, número de
tentativas de login, número de conexões, volume de dados trafegando no
segmento de rede, entre outros.20

Alguns dados colhidos da análise formam a base da informação sobre a

utilização do sistema em vários momentos do tempo. E em outros, formam bases com
padrões de ataques já previamente montadas. Possibilitando também a inserção de bases de
dados com novos parâmetros.
Com as informações obtidas, a ferramenta de IDS identifica as tentativas de
intrusões e também possibilita registrar as técnicas utilizadas.
As ferramentas de IDS possuem algumas características relacionadas abaixo:

1. Deve rodar continuamente sem interação humana e deve ser

segura o suficiente de forma a permitir sua operação em background; mas
não deve ser uma caixa preta;

2. Ser tolerante a falhas, de forma a não ser afetada por uma queda
do sistema, ou seja, sua base de conhecimento não deve ser perdida
quando o sistema for reinicializado;
3. Resistir as tentativas de mudança (subversão) de sua base, ou
seja, deve monitorar a si próprio de forma a garantir sua segurança;
4. Ter o mínimo de impacto no funcionamento do sistema;
5. Poder detectar mudanças no funcionamento normal;
6. Ser de fácil configuração, cada sistema possui padrões diferentes
e a ferramenta de IDS deve ser adaptada de forma fácil aos diversos
padrões;

7. Cobrir as mudanças do sistema durante o tempo, como no caso de

uma nova aplicação que comece a fazer parte do sistema; 8.
21
Ser difícil de ser enganada.

SNORT

20
(Disponível em: < http://www.absoluta.org/seguranca/seg_ids.htm> Acesso em: 28 outubro
2010).
21
(Disponível em: < http://www.absoluta.org/seguranca/seg_ids.htm> Acesso em: 28 outubro
2010).
 É também um tipo de “sniffer”. Simples de se usar e seus recursos são
extraordinários. Serve de espião da rede e registra tudo nos arquivos de log. Mas, como
todas as ferramentas IDS, não possuem cem por cento de acertos em suas detecções, por
causa de alguns problemas como os “falso positivo”. Porém, ela é a mais operante desse
tipo de problema entre as ferramentas.
Algumas características:
- É um software livre;
- É de fácil manuseio;
- É uma ferramenta confiável (é usada pela SANS no seu
online training).
- Tem versão para Linux e Windows.
- E pelo principal funciona.22

Problemas de Utilização do IDS

Existem alguns erros que podem acontecer no sistema que são classificados
como falso positivo, falso negativo e erros de subversão. O “falso positivo” é quando uma
ferramenta classifica uma ação como uma possível intrusão, quando ela é autentica.Já
“falso negativo” é quando uma intrusão real acontece e a ferramenta não detecta, deixando
assim ela passar como uma ação autentica. Os “erros de subversão” são quando o intruso
modifica a ferramenta de IDS, para força a ocorrência de falso negativo.

IDS versus o SSL

O SSL (Secure Sockets Layer) é uma tecnologia de segurança que é comumente

utilizada para codificar os dados trafegados entre o computador do usuário e um website. O
protocolo SSL, através de um processo de criptografia dos dados, previne que os dados
trafegados possam ser capturados, ou mesmo alterados no seu curso entre o navegador

22
(Disponível em: < http://blog.segr.com.br/ids/> Acesso em: 02 novembro 2010).
(browser) do usuário e o site com o qual ele está se relacionando, garantiria, desta forma,
transações de informações sigilosas como os dados de cartão de crédito.
O SSL é uma camada do protocolo de rede, situada exatamente abaixo da
camada de aplicação, com a responsabilidade de gerenciar um canal de comunicação
seguro entre o cliente e o servidor. O SSL foi desenvolvido pela Netscape Communications
Corporation, atualmente, é implementado na maioria dos browsers da WWW tais como o
Netscape, Internet Explorer, Mozilla FireFox entre outros.
O protocolo é disposto entre duas camadas. No nível mais baixo, sobre algum
protocolo de transporte confiável (como TCP). O SSL é executado entre a camada de
transporte e de aplicação onde efetivamente o IDS faz o monitoramento.
As ferramentas IDS, principalmente as N_IDS (baseadas em redes) fazem suas
monitorações nos cabeçalhos dos pacotes e também em seu campo de dados, possibilitando
assim, a verificação de ataques no nível de aplicação (para pacotes TCP e UDP).
A criptografia da porção de dados dos pacotes TCP faz com que todo o
conteúdo (dados) das conexões, inclusive das URLs (Universal Resource Identifier)-
sistema de endereçamento da Web- seja criptografado, impossibilitando a análise dos
pacotes pelos Sistemas de Detecção de Intrusos -IDS’s.

IDS versus o IPSec

O IPSec é uma extensão do protocolo IP que tem sido bastante empregado na

implementação de soluções de VPN’s por oferecer confidencialidade (criptografia) e
integridade (assinatura digital) dos pacotes IP processados. Em suas especificações, existem
dois modos de funcionamento, o modo transporte (transport mode) e o modo túnel (tunnel
mode).
No modo transporte, o protocolo provê proteção primariamente para os
protocolos de camada superior; no modo túnel, os protocolos são empregados como um
túnel de pacotes IP. Neste modo, há dois protocolos: o AH (Authentication Header), como
definido na RFC 2402, que provê integridade sem conexão, autenticação da origem dos
dados, e um serviço opcional para o reenvio de pacotes e, o ESP (Encapsulating Security
Payload), definido na RFC 2406, pode prover confidencialidade (criptografia) e limitado
fluxo de tráfego confidencial. Ele pode também prover integridade sem conexão,
autenticação da origem dos dados e um serviço de prevenção de reenvio de pacotes. A
diferença entre os dois protocolos é que o ESP não atua no cabeçalho dos pacotes IP, só no
campo de dados.
Como se pode observar, o funcionamento no modo transporte é similar ao do
SSL, protegendo ou autenticando apenas a porção de dados do pacote IP, entretanto ele
pode encapsular outros protocolos de camada de transporte, como o UDP. Já no modo
túnel, o pacote IP inteiro é criptografado, dessa forma nem o cabeçalho do pacote original
pode ser verificado por um IDS.
Nas topologias VPN’s com IPSec, ora às vezes, são implementada.
Analogicamente, seria locais ideais para rastreamento de intrusão, todavia oferece os
mesmos problemas devido a criptografia de dados na rede e, conseqüentemente a
velocidade de trafego de dados e más configurações, por exemplo, sem autenticação de
usuários das VPN’s, além destes serviços serem providos na camada IP, eles podem ser
usados por qualquer protocolo de camada superior, como TCP, UDP, ICMP, RIP, etc.
Assim, os ataques podem ser efetivados em qualquer protocolo sobre IP, dificultando, até
então, a implementação do Sistema IDS.

Figura 01 - IPSec máquina-a-máquina

Atente para o fato de que, no esquema representando pela figura acima, o

monitoramento e análise não possível com IDS baseado em rede. Ao contrário, da figura
abaixo, onde é possível o monitoramento com sistema IDS.

Figura 02 - IPSec Gateway-a- Gateway

IDS versus o HTTP

HTTP (HyperText Transfer Protocol - Protocolo de Transferência de

Hipertexto). É um protocolo usado para a transmissão de dados no sistema World-Wide
Web. Cada vez que você aciona um link, seu browser realiza uma comunicação com um
servidor da Web através deste protocolo.
As ferramentes IDS conseguem monitorar esse protocolo de aplicação devido
não ser criptografado sua transação de dados. Os Crackers usam essa vulnerabilidade para
aplicar seus golpes. Comumente usam os scripts .Asp para invadir servidores. Mas com a
utilização dos IPS(Sistema de Proteção de Intrusão) pode proteger seu dispositivo.
Um IDS pode facilmente detectar um ataque. O mesmo não acontece se o
protocolo SSL for utilizado.

IDS versus o HTTPS

HTTPS (HyperText Transfer Protocol secure ), é uma implementação do

protocolo de aplicação sobre uma camada SSL ou do TLS. Essa camada adicional permite
que os dados sejam transmitidos através de uma conexão criptografada e que se verifique a
autenticidade do servidor e do cliente através de certificados digitais. A porta TCP usada
por norma para o protocolo HTTPS é a 443.
Os ataques que ocorrem no nível de aplicação podendo ser usados, tanto para
uma invasão, como para indisponibilização do serviço (DoS). Dessa forma, os sistemas de
detecção de intrusos não terão como registrar o ataque, nem como terminar uma conexão
(enviando um pacote TCP Reset para ambos os participantes), ou mesmo interagir com um
firewall para que este bloqueie a conexão.

IDS no TCP/IP

O IDS trabalha essencialmente nos pacotes de dados, então a camada de

transporte onde se encontram o TCP/IP é um ponto crucial para analise de intrusões.
Devido o tráfego de rede ser constituído geralmente por datagramas IP. O N-IDS é capaz
de capturar os pacotes quando circulam nas ligações físicas sobre às quais está conectado.
A atividade do N-IDS é a análise de critérios da pilha protocolar de determinado número de
intrusões, como por exemplo “Ping-Of-Death”(ping da morte) e “TCP Stealth Scanning”
(varredura de portas) recorrentes nos protocolos IP, TCP, UDP, e ICMP. Essas alterações
são suspeitas de ataques em uma máquina.
O IDS também fica “antenado”, apesar de ser uma antiga técnica dos crackers,
mas muito usado até hoje. O sistema fica “ligado” no comportamento do protocolos TCP
devido a suspeita de intrusão por “WinNuke”(programa malicioso que derruba conexão
TCP), para isso, os Crackers através da vulnerabilidade geralmente da porta 139, altera
dados NetBIOS deixando-os inválidos inserindo OOB data (Também conhecido como
“OOB Attack”, estabelece uma conexão com um equipamento e enviar uma seqüência
qualquer de caracteres, além de derrubar o servidor). O sistema de detecção intrusão
monitora principalmente a rede, especialmente a porta 139, na saída do servidores, dessa
forma pega o trafego dos hosts onde potencialmente o ataque acontece devido os servidores
serem mais protegidos.

Considerações Finais:
REFERÊNCIAS

Disponível em: <http://www.absoluta.org/seguranca/seg_ids.htm> Acesso em: 15 outubro de 2010.

Disponível em: <http://blog.segr.com.br/ids/> Acesso em: 02 novembro de 2010

Disponível em: <http://en.wikipedia.org/wiki/Intrusion_detection_system> Acesso em: 15 outubro

de 2010.

Disponível em: <http://www.segr.com.br/> Acesso em: 28 outubro de 2010.

Disponível em: <http://www.pcwebopedia.com/Secure_Socket_Layer.htm> Acesso em: 30

outubro de 2010.

Disponível em: <http://www.pcwebopedia.com/Secure_Socket_Layer.htm > Acesso em: 03

Novembro de 2010.