Escolar Documentos
Profissional Documentos
Cultura Documentos
Resumo
Abstract
In this article it tries to discuss the aspects of the System of Detection of
Intruder (IDS). to Analyze, like IDS interferes in the security of the information in Nets of
Computers, as well as verifying their characteristics, problems and, the behavior of that tool
jointly with device of security.
1
Acadêmicos da Especialização: Segurança da Informação em Redes de Computadores da FACOMP
2
Acadêmicos da Especialização: Segurança da Informação em Redes de Computadores da FACOMP.
1. Introdução
A internet é a principal personagem da revolução tecnológica em que se vive
hoje, sem se dar conta disso. As redes de computadores foram e estão sendo a mola
propulsora dessa quebra de paradigmas sociais. O uso das redes de corporativas
tornou-se trivial e cresce de maneira exponencial juntamente com seus problemas de
insegurança que é um óbice transcendente atingindo o limite da produtividade e da
funcionalidade das organizações. Essas redes trazem velocidade e eficiência que significa
alta competitividade enquanto a falta de segurança nos meios que as habitam pode
resultar em enormes prejuízos.
3
MURIMOTO E. Carlos, http://www.hardware.com.br/cracker. Em 26 de junho de 2005. Acesso: 28 fev. 11
De tempos em tempos os noticiários são compostos por alguns crimes “da
moda”, que vêm e vão. Como resposta, o policiamento é incrementado, o que resulta
na inibição daquele tipo de delito. Os criminosos passam então a praticar um novo
tipo de crime, que acaba virando notícia. E o ciclo assim continua. Já foi comprovada
uma forte ligação entre seqüestradores e ladrões de banco, por exemplo, na qual existe
uma constante migração entre as modalidades de crimes, onde o policiamento é
geralmente mais falho.
4
Wikipédia, http://pt.wikipedia.org/Sistema_de_detecção_de_intrusos, acesso: em 28 fev. 2011
1.3 Como é o IDS
Detecção de intrusão é uma tentativa de monitorar estações ou fluxos de rede
com o intuito de descobrir ações de intrusos. Mais especificamente, um IDS tenta detectar
ataques ou usos impróprios e alerta o responsável pela rede do acontecimento. O
funcionamento é análogo ao de um sistema de detecção de ladrões, usado em casas para se
proteger de eventuais incidentes. O sistema domiciliar inicialmente precisa ser configurado
e ter especificado o que monitorar (janelas, portas, movimento) e para quem alertar ou
chamar em caso de uma invasão (polícia, donos da casa). No sistema computacional,
precisa-se também determinar o que se quer monitorar fluxos de rede, processos internos
de uma estação ou servidor, ou ainda um sistema de arquivos, por exemplo. É preciso
deixar claro para quem enviar os alarmes ou relatórios e como estes devem ser enviados,
tendo como alternativas o e-mail, pager, ou ainda um pacote SNMP.
Sistemas de gerenciamento de rede utilizam o Simple Network Management
Protocol (SNMP). Esse padrão de gerenciamento oferece diversas maneiras de visualizar o
sistema, incluindo uma visão global, intermediária e uma visão especifica do elemento de
rede. Na visão global é feita uma representação de como a rede está ligada em conjunto.
Essa visão nos mostra onde estão conectados os roteadores, anéis,segmentos e pontes. Já na
visão intermediária exibe uma amostragem de onde as workstations, concentradores
inteligentes, roteadores e pontes estão localizados em cada anel ou segmento individual. A
visão do elemento de rede é um visão gráfica expandida do dispositivo gerenciado
propriamente dito. Tal visão deve dar uma representação gráfica do elemento que está
sendo gerenciado. Em se tratando do Sistema IDS que utiliza esse protocolo, tem-se
ainda uma visão com mapeamento de bits do dispositivo.
Teoricamente, esse tipo de sistema seria somente passivo, observando pacotes
na rede ou processos em uma estação de trabalho e alertando os responsáveis. Porém,
apesar de não ser objeto desse estudo, há sistemas chamado IPS (Intrusion Prevention
Systems), Sistema de proteção contra Intruso, que possuem a habilidade de reagir às
invasões, deixando de ser um sistema exclusivamente de detecção e pode ser definido como
um sistema de reação a intrusão. Exemplos de reação podem ser um fechamento de
conexão, um bloqueio no firewall, execução de algum arquivo, ou ainda a desabilitação de
uma conta. Os sistemas IPS é um complemento do IDS.
1.4 Snort
Há outras ferramentas IDS bem mais sofisticada do que o Snort, todavia essa é
muito popular diante de sua performance e simplicidade. É muito leve, a utilização do
Snort é indicada para monitorar redes TCP/IP, onde pode detectar uma grande variedade do
tráfego suspeito, assim como ataques externos e então, fornece argumento para as decisões
dos administradores. Os módulos que o compõe o são ferramentas poderosas, capazes de
produzir uma grande quantidade de informação sobre os ataques monitorados, dado que é
possível avaliar tanto o cabeçalho quanto o conteúdo dos pacotes, além de disponibilizar,
por exemplo, a opção de capturar uma sessão inteira.
Os alertas podem ser enviados para arquivo texto de forma completa e o alerta
rápido. O alerta completo escreve a mensagem de alerta associada à regra e a informação
do cabeçalho do pacote até o protocolo de camada de transporte. A opção de alerta rápido
escreve um subconjunto condensado de informação do cabeçalho alerta.
5
Cyrille, LARRIEU, IDS, http://pt.kioskea.net/contents/detection/ids.php3: Acesso: 19 fev. 2011
de 100 Mbit/s, contra a taxa de transmissão de 10 Mbit/s da
Ethernet original6
6
Wikipédia, http://pt.wikipedia.org/wiki/Fast_Ethernet. Acesso: em 28 fev. 2011
Neste processo de analise de assinaturas consome muito recurso de CPU, memória e
disco. Se não for hosts com bom poder de processamento, torna-se inviável devido a queda
de desempenho do sistema como um todo. Outro problema é quando o atacante modifica a
configuração da funcionalidade que atrasa ainda mais devido aos falsos positivos, travando
o sistema, ficando às vezes inoperante.
Como referenciado acima , o SSL (Secure Socket Layer) é executado entre a camada de
transporte e de aplicação do TCP/IP, criptografando assim a área de dados dos pacotes.
Sistemas IDS não terão como identificar através do conteúdo dos pacotes ataques para
terminar as conexões ou até mesmo interagir com um firewall.
7
Thais BATISTA, Lucas PEREIRA,IPSec e SSL, http://www.metropoledigital.ufrn.br/aulas. Acesso: em 28
fev. 2011
necessariamente seguros, por isso necessita de criptografar seus
dados para fornecer certa segurança na transação de dados8.
Com as recentes inovações dos produtos IDS uma ação inovadora foi a utilização de
VPN’s gateway-a-gateway onde um IDS é posicionado imediatamente após o gateway,
aonde o tráfego de saída da VPN ainda não foi processado e o tráfego entrante já foi
restaurado. Nesta posição não há barreiras a uma verificação completa. Podemos
vislumbrar algumas soluções para o uso de IDS’s com SSL e IPSec, por exemplo, com a
adição de agentes de IDS nas aplicações. Mais que clientes no host ou no sistema
operacional, muitos destes serviços de criptografia (notadamente o SSL) fazem parte da
própria aplicação (ex.: servidores Web, servidores IMAP, etc), tornando a implantação de
módulos de IDS na própria aplicação. Outra alternativa poderia ser a utilização de front-
end de descriptografia, nesse processo, momentaneamente pega os dados
descriptografados, dessa forma tornando uma solução semelhante ao IPSec gateway-a-
gateway. Portanto, apresenta-se como soluções atualizada de utilização de IDS baseados
em rede para a monitoração. Veja figuras abaixo com a Ilustração das inovações.
IPSec Gateway-a-Gateway
Os Crackers adoram esses locais devido a vulnerabilidade de não oferecer certa segurança
na transmissão de dados (sem criptografia) para aplicar seus golpes. Comumente usam os
scripts .Asp para invadir servidores. Isto posto, faz-se necessário ainda mais o
incremento do IDS nessa transações de dados.
Pode-se dizer que o IDS é “o espião dos espiões” , pois ele se infiltra com
os mesmos “modus operandi” dos atacantes revelando seus comportamentos, os
caminhos e as “presas”. Nesse sentido, é criado um mapa com identificação mais
precisa dentro da rede computacional de quem são os possíveis malfeitores, o que eles
buscam e, o mais importante, a partir daí criar os mecanismo de defesa mais robusto,
preciso e centralizado ou ajustá-los em determinada área dentro da organização.
Modus Operandi não é apenas uma expressão jurídica, é também
um termo utilizado em administração de empresas. O modus
operandi de uma tarefa é um padrão pré-estabelecido que dita as
maneiras de como agir em determinados processos.11
10
Wikipédia, http://pt.wikipedia.org/wiki/Keylogger. Acesso: em 01 março 2011
11
Nelson Batista TEMBRA,Estudo de Caso, http:// www.ecodebate.com.br. Acesso: em 28 fev. 2011
invaor.12
12
Saulo BORBA e E., IDS e IPS, local: Rio de Janeiro, Petrópolis-2008. Acesso: em 28 fev. 2011
13
Wikipédia, http://pt.wikipedia.org/wiki/Firewall). Acesso: 28 fev. 2011
cada uma delas. Por isso, os sensores específicos do IDS como o N-IDS (Network
Intrusion Detection System), ou seja, os sensores de redes, disfarçados de “sniffers”
varrem as redes ocultamente em pontos estratégicos na busca de movimentação anormal
registrando prováveis atividade clandestina de “crackers”. Mas, quando os “agentes”
montam campanas em determinados imóveis na captura de flagrante de bandidos são os
sensores “comensalista”, associando-se a servidores, principalmente de e-mails, placa de
redes em modo promiscuo (deixando entrar e sair quem quiser) e DNS (Domain Name
System), um tipo de correio, que se registra origem e destino das conexões, onde
normalmente os invasores deixam rastros no cometimento de suas ilegalidades. Nesse
sentido, poder-se-ia chamar sensores de host ou H-IDS (Host-based Intrusion Detection
System), sensor IDS baseado em invasões de máquinas (hosts). Há ainda operações
conjuntas dos sensores do IDS (de hosts e redes), denominadas de “pente fino” onde
rastreiam todos os suspeitos sejam nas ruas (redes) ou nas residências (hosts) procurando
provas materiais contra o crime, são situações alarmantes de infestações maliciosas como
recentemente ocorreu no caso do Rio de Janeiro onde Exército, Marinha, Aeronáutica,
Polícias Estadual, Federal e, principalmente a conscientização da população (dos usuários)
que trouxe uma certa traquilidade recolocando a segurança em níveis aceitáveis,
exatamente o grande objetivo dos Sistemas de Detecção de Intruso.
15
Eliane, Ferraz, http://elianeferraz.vilabol.uol.com.br/fast.htm. Acesso: 28 fev. 2011
16
Thais Batista, Lucas Pereira, http://www.metropoledigital.ufrn.br/aulas. Acesso: 28 fev. 2011
Figura 1. Fonte: http:// www.faetec.rj.gov.br
17
Wikipédia, http://pt.wikipedia.org.br. Acesso: em 28 fev. 2011
2.6 Possíveis desvios de condutas
No mundo real cometimento de falhas pela polícia, infelizmente acontece com
freqüência e, às vezes, o resultado disso é catastrófico, como em mortes de inocentes por
ações policiais confundindo com bandidos, maculando o nome de corporações fortíssimas.
Os jornais são categóricos em falar que é por falta de treinamento das corporações. Na
tecnologia não pode ser diferente. Sensores tem que também “fortes treinamentos” no
sentido de adaptabilidade que pode levar dias apenas colhendo informações estranhas de
fato para, só depois agir de verdade.
Mas, mesmo nos meios tecnológico, ocorre a corrupção, é lógico que é por uma
forma diferenciada, pode também ocorrer indiretamente facilitação para os “Crackers” ,
além das desses aproveitar as falhas inerente do sistema e invadir o próprio IDS e alterar
sua forma de avaliação das ameaças. Um dos problemas gerado nessa anomalia é
chamados “falsos positivos”, espécie de alarme falso . O IDS rastreia o invasor como se
normal fosse não emitindo um alerta para a central de ataque, deixando assim, os
“crackers” atuarem livremente provocando danos imensuráveis ao sistema. Outro artifício
desses meliantes é “falso negativo” que é também alteração da configuração do sistema
IDS a fim de notificar uma alteração da rede como normal, nesse caso, ele emite sinal como
se fosse “falso negativo”, não ativando o sistema de alerta. Nesse esquema os crackers
muda a configuração do IDS, e divide os pacotes UDP em pequenos pedaços para não
congestionar e não alterar a rede. Por isso, os sensores do IDS têm que ter treinamento
duradouro e constante atualização da rede, para criar uma base de assinaturas consistente,
além configurações fortes nas barreiras de entrada na rede como nos firewalls, sem falar no
numa atenção mais voltada ao fortalecimento da engenharia humana do órgão, no sentido
gerar conscientização e conseqüente punição relativo aos cuidados com senhas de acesso e
outras fraquezas inerentes a atividades humana dentro da corporação.
18
(Disponível em: < http://www.absoluta.org/seguranca/seg_ids.htm> Acesso em: 26 outubro 2010).
19
(Disponível em: < http://www.absoluta.org/seguranca/seg_ids.htm> Acesso em: 26 outubro 2010).
Detecção de intrusão (alterar aqui)
2. Ser tolerante a falhas, de forma a não ser afetada por uma queda
do sistema, ou seja, sua base de conhecimento não deve ser perdida
quando o sistema for reinicializado;
3. Resistir as tentativas de mudança (subversão) de sua base, ou
seja, deve monitorar a si próprio de forma a garantir sua segurança;
4. Ter o mínimo de impacto no funcionamento do sistema;
5. Poder detectar mudanças no funcionamento normal;
6. Ser de fácil configuração, cada sistema possui padrões diferentes
e a ferramenta de IDS deve ser adaptada de forma fácil aos diversos
padrões;
SNORT
20
(Disponível em: < http://www.absoluta.org/seguranca/seg_ids.htm> Acesso em: 28 outubro
2010).
21
(Disponível em: < http://www.absoluta.org/seguranca/seg_ids.htm> Acesso em: 28 outubro
2010).
É também um tipo de “sniffer”. Simples de se usar e seus recursos são
extraordinários. Serve de espião da rede e registra tudo nos arquivos de log. Mas, como
todas as ferramentas IDS, não possuem cem por cento de acertos em suas detecções, por
causa de alguns problemas como os “falso positivo”. Porém, ela é a mais operante desse
tipo de problema entre as ferramentas.
Algumas características:
- É um software livre;
- É de fácil manuseio;
- É uma ferramenta confiável (é usada pela SANS no seu
online training).
- Tem versão para Linux e Windows.
- E pelo principal funciona.22
Existem alguns erros que podem acontecer no sistema que são classificados
como falso positivo, falso negativo e erros de subversão. O “falso positivo” é quando uma
ferramenta classifica uma ação como uma possível intrusão, quando ela é autentica.Já
“falso negativo” é quando uma intrusão real acontece e a ferramenta não detecta, deixando
assim ela passar como uma ação autentica. Os “erros de subversão” são quando o intruso
modifica a ferramenta de IDS, para força a ocorrência de falso negativo.
22
(Disponível em: < http://blog.segr.com.br/ids/> Acesso em: 02 novembro 2010).
(browser) do usuário e o site com o qual ele está se relacionando, garantiria, desta forma,
transações de informações sigilosas como os dados de cartão de crédito.
O SSL é uma camada do protocolo de rede, situada exatamente abaixo da
camada de aplicação, com a responsabilidade de gerenciar um canal de comunicação
seguro entre o cliente e o servidor. O SSL foi desenvolvido pela Netscape Communications
Corporation, atualmente, é implementado na maioria dos browsers da WWW tais como o
Netscape, Internet Explorer, Mozilla FireFox entre outros.
O protocolo é disposto entre duas camadas. No nível mais baixo, sobre algum
protocolo de transporte confiável (como TCP). O SSL é executado entre a camada de
transporte e de aplicação onde efetivamente o IDS faz o monitoramento.
As ferramentas IDS, principalmente as N_IDS (baseadas em redes) fazem suas
monitorações nos cabeçalhos dos pacotes e também em seu campo de dados, possibilitando
assim, a verificação de ataques no nível de aplicação (para pacotes TCP e UDP).
A criptografia da porção de dados dos pacotes TCP faz com que todo o
conteúdo (dados) das conexões, inclusive das URLs (Universal Resource Identifier)-
sistema de endereçamento da Web- seja criptografado, impossibilitando a análise dos
pacotes pelos Sistemas de Detecção de Intrusos -IDS’s.
IDS no TCP/IP
Considerações Finais:
REFERÊNCIAS