CENTRO DE INOVAÇÃO VINCIT - UNICIV

PROF. ME. EDUARDO ALVES MORAES

DETECÇÃO DE INTRUSÃO, CONFIGURAÇÃO DE

PERÍMETRO E ANÁLISE DE LOGS:

MÓDULO 1
 LISTA DE ILUSTRAÇÕES

Figura 1 – Classificação dos Sistemas de Detecção de Intrusão. .................................. 7

Figura 2 – Módulos de Detecção de Intrusão (Visão genérica). ................................. 11
 SUMÁRIO

1 DETECÇÃO DE INTRUSÃO, CONFIGURAÇÃO DE

PERÍMETRO E ANÁLISE DE LOGS: MÓDULO 1 . . . . . . 3
1.1 Segurança da Informação . . . . . . . . . . . . . . . . . . . . . . . 3
1.2 Pilares da Segurança da Informação . . . . . . . . . . . . . . . . 4
1.3 Governança de Tecnologia em Segurança da Informação . . . 5
1.4 Incidente de Segurança da Informação . . . . . . . . . . . . . . . 5
1.5 Sistemas de Detecção de Intrusão . . . . . . . . . . . . . . . . . . 6
1.5.1 Métodos de detecção de intrusão . . . . . . . . . . . . . . . . . . 7
1.5.2 Arquitetura: posicionamento dos IDS quanto ao escopo de
atuação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.5.3 Arquitetura: posicionamento dos IDS quanto à localização .............10
1.5.4 Pós-detecção ........................................................................................................ 12
1.6 Exemplos e sistemas de detecção de intrusão
(Conteúdo Extra) .......................................................................................... 13
1.7 Considerações finais .................................................................................................. 14

2 QUESTÕES OBJETIVAS ........................................................................... 16

3 GABARITO DAS QUESTÕES OBJETIVAS .................................... 19

REFERÊNCIAS .............................................................................................. 20
 3

1 DETECÇÃO DE INTRUSÃO, CONFIGURAÇÃO DE

PERÍMETRO E ANÁLISE DE LOGS: MÓDULO 1

Este capítulo apresenta um estudo introdutório sobre sistemas de detecção de

intrusão aplica à segurança da informação, tipo de sistemas e funcionalidades. Os objetivos
deste capítulo é:

• Apresentar a segurança da informação em ambientes computacionais.

• Pilares da segurança da informação.

• O papel da governança de tecnologia da informação dentro d segurança.

• Visão geral sobre incidentes de segurança da informação.

• Exemplos de Sistemas de Detecção de Intrusão.

1.1 Segurança da Informação

Desde os primeiros computadores desenvolvidos, a tecnologia vem evoluindo cons-

tantemente e tais evoluções trouxeram grandes ferramentas de comunicação como a In-
ternet, entre outras. Como o aumento global da rede de computadores é constante, con-
sequentemente, o número de usuários conectados vem aumentando paralelamente. Nas
décadas de 80 e 90, o computador pessoal se popularizou, assumindo um papel funda-
mental na vida de indivíduos e organizações. Atualmente, as redes de computadores são
os principais meios que as empresas, organizações e governos utilizam na disponibilização
de diversos serviços de rede como Web Services, Bancos de Dados, Serviços em Nuvem,
dentre outros. Enquanto surgem novas ferramentas com o intuito de melhoria em deter-
minados segmentos, também são desenvolvidas ferramentas para o uso indevido das redes
de computadores como: quebra de senhas de segurança, exploração de vulnerabilidades
de sistemas, entre outras (NAKAMURA; GEUS, 2007).
O maior desafio não é apenas manter a disponibilidade de serviços destas redes,
mas também detectar a presença de indivíduos conectados, que por razões diversas, ten-
tam impedir o fornecimento dos serviços, ou interceptar as informações trocadas entre
os dispositivos. Grande parte dos administradores de sistemas computacionais, em um
dado momento, irão se deparar com um evento de intrusão de segurança durante suas
carreiras. Ter um plano de detecção de intrusão resultará em uma notificação mais ágil,
minimizando as consequências e permitindo uma rápida recuperação, em caso de algum
sinistro (KUROSE et al., 2010; JULISCH; DACIER, 2002).
 4

1.2 Pilares da Segurança da Informação

A informação é um ativo dentre muitos valiosos e essencial para os negócios de uma

organização, e deve ser protegida. Transmitida de várias maneiras, tais como: correios,
comunicação eletrônica ou até mesmo de forma verbal, ela deve ser protegida sempre de
forma adequada (ABNT, 2018). De acordo com Menezes, Cardoso e Rocha (2015), há
preocupação com os ativos de uma organização, o que as leva a investir em normas pelos
comitês e governos que auxiliem na implementação de mecanismos afim de reduzir o risco
de ameaças.
Devido a importância que a informação tem, é necessário que haja um plano de
segurança eficaz, garantindo que black hats ou demais grupos de invasores não obtenham
tais informações (LYRA, 2008; CAMPBELL; CRISTIANINI, 1998).
A segurança da informação protege a informação de vários tipos de ameaças para
assegurar a continuidade dos negócios. É importante ressaltar que quando se trata deste
assunto deve-se atentar a três princípios básicos, considerados os pilares da segurança da
informação, sendo eles:

• Confidencialidade: o acesso à informação deve ser restrito apenas para usuários ou

entidades autorizadas.

• Integridade: este princípio garante a exatidão e completeza da informação, onde ela

deve se manter intacta, livre de qualquer tipo de alteração.

• Disponibilidade: este princípio garante que a informação esteja disponível quando

solicitada por usuário ou entidade autorizada (TOTVS, 2018).

Uma falha de segurança em uma empresa pode acarretar grandes prejuízos, os

quais podem ser refletidos em seu fluxo econômico como a perda da credibilidade da
empresa perante a concorrência, podendo ocasionar um afastamento de investidores e
clientes devido à falta de segurança, entre outras perdas incalculáveis (SILVA, 2012).
Segundo a TOTVS (2018) indaga ainda que, a segurança da informação tem grande
importância nos negócios das organizações, onde seus dados são considerados ativos neces-
sários para tomadas de decisão, relacionamento com o cliente e gestão empresarial. Para
tal, é necessário o uso adequado de medidas de segurança que reduzam os riscos de acessos
indevidos, fraudes ou quebra de sigilo. Afirma ainda que a utilização de tecnologias como
criptografia e firewall podem ser ferramentas importantes para auxiliar no aumento de
segurança no ambiente de TI.
 5

1.3 Governança de Tecnologia em Segurança da Informação

Para a elaboração de um plano que garanta os aspectos básicos da informação

(confidencialidade, integridade e disponibilidade), que garanta a continuidade dos servi-
ços de redes de computadores, que gerencie os incidentes de segurança e que seja parte
integral da governança corporativa, é necessária a elaboração de um conjunto estruturado
de competências e habilidades estratégicas na área de tecnologia da informação, com foco
no planejamento, implantação, controle, monitoramento de sistemas e gestão de projetos.
A governança de T.I. (Tecnologia da Informação) é o conjunto de práticas, padrões e
relacionamentos estruturados, assumidos não apenas pelos responsáveis da área de T.I.,
mas também por executivos, gestores, técnicos e usuários de uma organização, com a
finalidade de garantir controles efetivos, minimizar os riscos, ampliar o desempenho, oti-
mizar a aplicação de recursos de T.I. a custos otimizados, prestar suporte à tomada de
decisões estratégicas e consequentemente alinhar TI aos objetivos negociais, gerenciando
os processos ligados à segurança da informação (FREITAS, 2010).

1.4 Incidente de Segurança da Informação

Os incidentes de segurança reportados no Brasil têm mostrado uma tendência de

crescimento nos últimos anos, segundo as estatísticas da CERT.br (CERT.BR - Centro
de Estudos Resposta e Tratamento de Incidentes de Segurança no Brasil, 2020). Dos
665.079 incidentes reportados, 59,85% são ataques do tipo scan, 4,60% são ataques do tipo
fraude ou páginas falsas, 3,99% são ataques que comprometem servidores Web, 10,25%
são ataques de negação de serviços distribuídos, 20,15% são ataques do tipo worm, 0,18%
são ataques do tipo invasão à sistemas e os 0,97% restantes são as demais categorias
de ataques menos expressivas. Tais informações reforçam a demanda por ferramentas
dedicadas à defesa das redes de computadores.
Uma das principais ferramentas de defesa é o Sistema de Detecção de Intrusão
(IDS – Intrusion Detection System). O IDS analisa os hosts e tráfego, gerando logs1
e alertas ou até mesmo tomando ações pré-determinadas pelo administrador da rede,
caso sejam detectadas atividades maliciosas como ataques a servidores, alterações de
permissões de acessos, entre outras, fornecendo uma camada extra de segurança. Em
suma, os IDS englobam o processo de monitoramento de redes e dos hosts, notificando
a ocorrência de atividades não autorizadas (GRANADILLO; EL-BARBORI; DEBAR,
2016). Intrusão é toda atividade que pode resultar em alteração de privilégios de usuários
e permissões em arquivos, instalação de malware, acesso não autorizado a arquivos e
sistemas, ataques de negação de serviços, presença de worms e vírus, estouros de buffers,
entre outros (EBRAHIMI et al., 2011). Com a análise dos logs gerados pelos IDS, os
1 Log: Processo de descrição e registro de eventos relacionados ao sistema computacional.
 6

administradores conseguem efetivar um plano de detecção e resposta às intrusões.

1.5 Sistemas de Detecção de Intrusão

Existem ferramentas de proteção a redes de computadores contra ameaças exter-

nas e invasores como firewalls, uso de criptografia, sistemas de filtro de conteúdo, controle
de acesso, dentre outras. Porém estes sistemas de proteção normalmente não são capazes
de monitorar as atividades dos invasores que obtiveram acesso autenticado dentro de uma
rede de computadores através de meios suspeitos. Devido a este fato, torna-se crucial o
monitoramento das informações contidas nos pacotes de dados que atravessam estas bar-
reiras de proteção, acrescentando assim uma camada de segurança dentro de um segmento
de rede e nos hosts.
Segundo Nakamura e Geus (2007), o IDS (Intrusion Detection System) é um ele-
mento importante dentro de um plano de segurança da informação, pois tem como princi-
pal objetivo analisar o tráfego de rede e os dispositivos que a compõem a fim de detectar
atividades maliciosas, suspeitas, impróprias e incorretas dentro de um segmento de rede e
nos hosts. É uma ferramenta especializada em ler e interpretar conteúdos de pacotes. Ao
identificar o pacote como uma possível ameaça, o IDS executa suas atividades de acordo
com a abordagem escolhida pelo administrador do sistema, podendo ser um registro de
log ou alguma ação proativa (CASWELL; BEALE, 2004).
A utilização de IDS não envolve apenas a geração de alertas para o administra-
dor do sistema, mas também a análise dos eventos de segurança, exames preventivos e
obstruções de conexões suspeitas. O processo de detecção de intrusão é o de identificar
atividades suspeitas que possam interferir nos princípios da integridade, confidencialidade
e disponibilidade. Além disso, os IDS são capazes de distinguir de onde se originaram os
ataques, de dentro ou fora da rede em questão, analisando arquivos locais em busca de
rastros ou tentativas malsucedidas de conexão aos computadores de uma rede.
Os primeiros IDS tiveram início na década de 80 com o trabalho de Anderson
(1980). O autor observou que relatórios de auditoria em sistemas computacionais podiam
conter informações que auxiliariam no rastreamento de usos impróprios dos sistemas e
acessos indevidos, proporcionando um entendimento do comportamento de usuários mal-
intencionados. O trabalho de Anderson (1980) forneceu o fundamento necessário para
os estudos e desenvolvimento de IDS. Denning e Neumann (1985) observaram que os
invasores tinham hábitos diferentes de usuários comuns do sistema, e que estas diferenças
poderiam ser notadas, tornando-se possível o desenvolvimento de uma ferramenta de
detecção automatizada.
Uma das vantagens da utilização do IDS é o registro dos alertas em seus logs,
que possuem informações úteis para o administrador de sistemas, tais como tentativas de
 7

ataques sofridas por dia, tipo de tentativa de ataque que foi utilizado, origem e destino
do ataque (LHOTSKY, 2013). Por meio dos logs do IDS, o administrador poderá ter o
conhecimento de boa parte das tentativas de ataque que estão sendo realizadas em seu
sistema, podendo se proteger melhor contra as futuras tentativas de invasões.
Sistemas de detecção de intrusão são tipicamente divididos em duas categorias:
baseado em conhecimento ou baseado em comportamento. Em relação a estratégia de
detecção adotada e em outras duas categorias: baseado em redes ou baseado em host
(SILVA; MAIA, 2004). A Figura 1 exibi uma classificação mais completa:

Figura 1 – Classificação dos Sistemas de Detecção de Intrusão.

Fonte: Elaborado pelo próprio autor.

1.5.1 Métodos de detecção de intrusão

Para que a análise dos dados seja realizada, o IDS precisa seguir uma metodologia
de verificação (PAQUET, 2009). A detecção é baseada na premissa de que as atividades
intrusivas são diferentes das ações normais e, portanto, são possíveis de serem detectadas
(GHORBANI; LU; TAVALLAEE, 2009). Um IDS pode ser classificado em três categorias
no que diz respeito a sua forma de detecção de intrusão: baseado em assinaturas, baseado
em anomalias ou baseado em especificações.

• Detecção baseada em conhecimento(Misuse Detection): também chamados

em sistemas baseados em assinaturas, que são regras que definem características
de invasões ou ataques já conhecidos, e são previamente configuradas nos sensores
 8

do IDS (PIETRO; MANCINI, 2008). Este processo permite que o IDS realize uma
comparação entre todos os dados coletados com as assinaturas, verificando a ocor-
rência de ataques que já são conhecidos em seu banco de dados. Um exemplo de
IDS baseado em assinaturas é o IDS Suricata, que será visto mais à frente. Como
novas formas de ataques são criadas constantemente, as regras de detecção preci-
sam ser atualizadas com frequência (BURTON, 2003), evitando que ataques sejam
bem-sucedidos por serem desconhecidos. O método por assinatura é eficaz na de-
tecção de intrusos com ataques já conhecidos, porém quando o sistema se depara
com ataques desconhecidos de sua base de assinaturas, a chance do pacote indevido
ser detectado pelo IDS é nula. Neste ponto, pode-se evidenciar uma desvantagem: o
método de detecção baseado em assinaturas, mesmo sendo o método mais utilizado,
contém algumas limitações e desvantagens, já que para um IDS identificar um tipo
de ataque com precisão, ele compara uma informação obtida do ataque com a assi-
natura registrada em um banco de dados. Caso esta informação sobre o ataque não
esteja registrada e o ataque seja ainda desconhecido, o IDS fica impossibilitado de
identificar o ataque e, consequentemente, de gerar alertas.

• Detecção baseada em comportamento (Anomaly Detection): também cha-

mados de IDS baseados em anomalias, eles criam dinamicamente uma espécie de
perfil de comportamento, registrando todas as atividades rotineiras durante um pe-
ríodo determinado. Quando o host ou a rede tem uma alteração no comportamento
previsto no perfil diagnosticado pelo IDS, ele interpreta como uma anomalia, carac-
terizando uma tentativa ou ocorrência de um ataque (CASWELL; BEALE, 2004).
Uma das vantagens do método de detecção por anomalia é a capacidade de detectar
ataques ainda desconhecidos pelo IDS. Mesmo que o ataque seja desconhecido, ele
tende a ter um comportamento fora do perfil anteriormente diagnosticado, sendo
detectado pelo IDS. Outra vantagem é produzir informações que podem ser usadas
na definição de novas assinaturas para o IDS baseado em assinaturas. Uma desvan-
tagem reside na fase de criação do perfil. Se o host ou a rede sofrerem algum tipo
de ataque que não seja identificado a tempo, o IDS registra no perfil como uma
ação normal, permitindo que futuros ataques do mesmo gênero passem despercebi-
dos pelo IDS (CASWELL; BEALE, 2004; PAQUET, 2009). Outra desvantagem é
a geração de um volume grande de alertas falsos devido ao comportamento impre-
visível de usuários e sistemas. Muitas sessões podem ser necessárias para coleta de
amostras de dados do sistema na etapa de criação de perfil, de modo a caracterizar
padrões de comportamento normais.

Com o avanço das tecnologias aplicadas nos IDS, também foi desenvolvido um
métodos de detecção baseada em especificação (também chamado de método híbrido)
onde o IDS combina as estratégias de detecção por anomalias e por assinaturas por meio
 9

de técnicas de expressões regulares onde são criadas previamente as especificações de

funcionamento da rede e dos sistemas (UPPULURI; SEKAR, 2001). Estas especificações
são compostas por comportamentos considerados normais e situações consideradas como
tentativas de invasão (LYDON, 2004). Uma vantagem é o baixo volume de alertas falsos
positivos, caso as especificações sejam configuradas corretamente por um especialista com
conhecimento sobre o sistema monitorado. A desvantagem é que o volume das especifica-
ções tende a aumentar conforme a necessidade de segurança, deixando o IDS lento.

1.5.2 Arquitetura: posicionamento dos IDS quanto ao escopo de atuação

Um IDS pode ser classificado quanto ao seu escopo de atuação: sistemas de detec-
ção baseados em host (HIDS - Host-based IDS ), sistemas de detecção baseados em redes
(NIDS - Network-based IDS ) e sistemas distribuídos ou híbridos, conforme explicado adi-
ante (PIETRO; MANCINI, 2008).

• Sistemas baseados em host (HIDS): A detecção baseada em host tem como

ênfase a instalação do sistema de detecção em máquinas específicas. Normalmente
o HIDS é instalado em servidores ou máquinas com funções críticas, que necessitam
de um monitoramento e segurança mais específicos, de acordo com a necessidade
da rede (BACE, 2000; BURTON, 2003). O HIDS possui mecanismos que possibili-
tam monitorar diversas atividades da máquina hospedeira, como: análise do uso de
hardware, sistema operacional, alterações em pastas, alterações nos privilégios dos
usuários, entre outras atividades disponíveis. Um trojan, por exemplo, programado
para alterar permissões de acessos do sistema pode ser instalado em um servidor,
sendo programado para que toda vez que o servidor for reiniciado, o trojan execute
atividades como alteração de permissão de usuários, dando possíveis permissões in-
devidas para que black hats invadam o servidor. Esta ação maliciosa provavelmente
passaria despercebida pelo administrador da rede caso não houvesse nenhum tipo
de monitoramento. Porém com a utilização de HIDS, tal alteração de arquivos seria
alertada. Após a detecção de alterações nos arquivos, o HIDS gera logs registrando
todas as alterações ocorridas. Uma das vantagens da utilização do HIDS é que,
como as análises são realizadas em determinados ativos, ele permite que as regras
de detecção de intrusão possam ser elaboradas de acordo com a necessidade de cada
host (CASWELL; BEALE, 2004). A desvantagem é que o HIDS limita-se apenas
no host que está sendo monitorado.

• Sistemas baseados em redes (NIDS): O NIDS realiza o monitoramento dos

pacotes que transitam dentro de um segmento de rede. O processo de detecção
é realizado com a captura dos pacotes, análise dos cabeçalhos e seus conteúdos
 10

(BURTON, 2003). O processo de verificação de pacotes acontece com a integração

de dois elementos do NIDS: os sensores e o console. Os sensores são responsáveis pela
captura dos pacotes, pela formatação e pela análise do tráfego da rede. Normalmente
são instalados em diversos pontos dentro de um segmento de rede. Já o console
realiza o gerenciamento integrado dos sensores, funcionando como uma interface
para o usuário. O NIDS conta com dois padrões de instalação: modo inline e modo
passivo. No modo inline, o NIDS é instalado em pontos críticos de conexões entre
redes, capturando e analisando o tráfego em tempo real (LHOTSKY, 2013). Um
ponto positivo deste padrão é a possibilidade da detecção e ação proativa em tempo
real. Em contrapartida deve-se lembrar que, em determinadas organizações, o fluxo
de dados dentro de um segmento de rede é alto e que a presença de um IDS no modo
inline pode causar queda de desempenho. No modo passivo, também conhecido
como promíscuo, o NIDS atua na análise de uma cópia do tráfego que é enviada
para ele. Um ponto negativo é o tempo de resposta a invasões, ou seja, um ataque
possivelmente chegará ao alvo enquanto o NIDS realiza sua análise.

• Sistemas híbridos: Em paralelo aos pontos fortes e fracos dos HIDS e NIDS, exis-
tem também softwares que combinam as vantagens oferecidas pelos dois tipos de
sistemas, que são os IDS distribuídos ou híbridos. Sua definição ainda é complexa e
indistinta, pois varia muito de acordo com a sua funcionalidade, sua aplicação no am-
biente, topologia e diferencia-se também de um fabricante para outro (CASWELL;
BEALE, 2004). Uma característica importante que define um IDS distribuído ou
híbrido refere-se à utilização de vários IDS funcionando como sensores ou agentes,
que manipulam informações dos hosts e da rede, reportando os eventos encontrados
para um IDS único que funciona como servidor, para concluir um gerenciamento
centralizado. A vantagem dos IDS distribuídos ou híbridos é a utilização das capa-
cidades técnicas tanto de um HIDS quanto de um NIDS. Sendo assim, ataques que
não são detectados por um NIDS, podem ser suportados por um HIDS (NAKA-
MURA; GEUS, 2007). O IDS distribuído ou híbrido capacita a aplicação com as
diversas vantagens de duas categorias de IDS, os baseados em host e os baseados em
rede, oferecendo uma visão holística da rede e dos sistemas pontuais monitorados.

1.5.3 Arquitetura: posicionamento dos IDS quanto à localização

Implementações práticas de sistemas de detecção de intrusão apresentam uma

combinação de agentes de monitoração ou sensores (NIDS ou HIDS) com módulos de
processamento dos dados capturados, módulos de detecção e ferramentas de gerência,
conforme observado na Figura 2.
 11

Figura 2 – Módulos de Detecção de Intrusão (Visão genérica).

Fonte: Elaborado pelo próprio autor.

De acordo com a arquitetura e localização, os IDS podem ser classificados em

centralizados, hierárquicos e distribuídos.

• IDS centralizados possuem em sua arquitetura, um ou mais módulos de monito-

ração (também denominados agentes), responsáveis pela coleta dos dados a serem
analisados e que transmitem todas estes dados coletados para um módulo central
(também denominado gerente) responsável pela análise, detecção e resposta. Este
modelo, conhecido como agente-gerente em sistemas de gerência, pode ser empre-
gado independentemente da classificação quanto a estratégia e escopo dos módulos
agentes.

• IDS hierárquicos, assim como os sistemas centralizados, apresentam o modelo

agente-gerente, porém permitindo sua configuração em vários níveis distintos. No
sistema centralizado, todos os agentes de monitoração estavam subordinados (envi-
avam informações e se reportavam) a um único módulo central ou gerente. Sistemas
hierárquicos permitem subdivisões neste modelo. Agentes que coletam informações
referentes a rede (NIDS) podem estar subordinados ao módulo gerente de redes.
Agentes que analisam computadores específicos (HIDS) podem estar subordinados
ao módulo gerente de hosts.

• IDS distribuídos permitem que parte (ou todo) do processamento de análise e

 12

detecção seja realizado pelo módulo (agente) de coleta. Distribuem assim a inteli-
gência do sistema entre os módulos gerentes e os diversos agentes que compõem o
sistema.

1.5.4 Pós-detecção

Um IDS também possui dois modelos de utilização: modo passivo e modo reativo
(POTLURI; DIEDRICH, 2016).

• No modo passivo, o IDS não realiza nenhuma ação proativa em relação ao ataque,
por exemplo, o descarte do pacote. Neste cenário, o IDS gera um log e envia para
o administrador da rede para visualização. Sistemas de detecção de intrusão que,
ao detectar um padrão de ataque, apenas geram notificações para um operador ou
administrador especialista por meio de console de gerenciamento, são classificados
como IDS passivos. Estas notificações ou alertas podem ser geradas e enviadas por
meio de diversos padrões e protocolos (e-mails para o administrador responsável,
alertas SNMP etc). O IETF (Internet Engineering Task Force) possui um grupo de
trabalho denominado Intrusion Detection Exchange Format, cuja missão é padroni-
zar os mecanismos de comunicação, bem como a linguagem de comunicação, entre
sistemas de detecção e entre agentes e módulos de gerência. Os seguintes documen-
tos RFC (Request for Comments foram gerados por este grupo de trabalho com o
objetivo de padronizar a troca de informações entre módulos de um IDS ou entre
vários IDS distintos:

– Intrusion Detection Message Exchange Requirements;

– Intrusion Detection Message Exchange Format;
– Intrusion Detection Exchange Protocol (IDXP).

• No modo reativo, o IDS não só realiza o envio de logs para o administrador como
também executa ações pré-definidas para cada tipo de ataque detectado. Sistemas
de detecção de intrusão podem, ao detectar um padrão de ataque, tentar atuar
ativamente no sistema ameaçado para protegê-lo de forma automática da ameaça.
Esta classe de sistema tem sido alvo de pesquisas recentes e tem se destacado com
denominação própria : sistemas de prevenção de intrusão. SDIs ativos e baseado em
redes podem, por exemplo, enviar pacotes de término (pacotes TCP com flags FIN
e RST) de conexão para a fonte de fluxos de pacotes que sejam considerados intru-
são. Podem possuir integração com roteadores de borda – roteadores localizados no
perímetro entre as redes locais de uma organização e redes externas com a Internet
- ou Firewalls e realizar a criação de regras que filtrem determinado fluxo de pacotes
ou determinado endereço de origem.
 13

1.6 Exemplos e sistemas de detecção de intrusão

(Conteúdo Extra)

• Snort: é um sistema de prevenção a intrusões na rede (intrusion prevention system

– IPS) open-source, mantido e desenvolvido pela Cisco. A ferramenta se destaca por
sua capacidade de analisar tráfegos em tempo real e registrar pacotes de protocolo
TCP (Transmission Control Protocol).
Em função dessa versatilidade, o Snort consegue desempenhar o papel de três tipos
de aplicações cruciais para monitorar um servidor. Logo, ele pode ser usado como
sniffer de pacotes (de modo similar ao tcpdump), registrador de pacotes e/ou um
sistema avançado de prevenção à intrusão.
Tem habilidade de analisar em tempo real o tráfego e realizar o registro dos pacotes
em redes IP. Ele é capaz de executar análises de protocolos, buscar e associar padrões
de conteúdo, detecção de ataques, entre outras. Ele também oferece alguns serviços
básicos como priorizar a qualidade de serviço, controlar o tráfego massivo de dados,
etc.

• Tripwire: é um IDS open-source para monitoramento de alerta de mudanças e inte-

gridade de arquivos numa gama de sistemas. Ele funciona como um HIDS, coletando
detalhes sobre o sistema de arquivos e a configuração da máquina e, armazenando
essas informações para referência e validar o estado atual do sistema.
O software procura monitorar os arquivos e diretórios críticos do sistema, identi-
ficando possíveis alterações não intencionais. O Tripwire faz uso de um banco de
dados com snapshots de arquivos e diretórios especificados em um momento especí-
fico no tempo. O conteúdo do banco de dados deve ser gerado antes que o sistema
esteja em risco de intrusão, e depois de criado o software realiza a comparação do
banco com o sistema atual e relata quaisquer modificações, adições ou exclusões.
Dentre as opções de configuração do Tripwire é possível receber alertas via e-mail
se determinados arquivos forem alterados e verificar a integridade de forma auto-
matizada.

• Zeek IDS: é um framework de análise de rede de software livre e de código aberto;

foi desenvolvido em 1994 por Vern Paxson e foi originalmente chamado de "Bro IDS"
em referência ao "Big Brother" de George Orwell, do romance "Nineteen Eighty-
Four". Foi projetado para ser um monitor de segurança de rede, mas também pode
ser usado como um sistema de detecção de intrusão de rede (NIDS), juntamente
com uma análise adicional ao vivo de eventos de rede.
Zeek baseia-se tanto na parte da assinatura quanto na busca por anomalia. Seu mo-
nitoramento passivo permite que as análises convertam o tráfego capturado em uma
 14

série de eventos a serem interpretados para realizar as ações cabíveis. O funciona-

mento é realizado com o uso de uma linguagem própria e permite ao administrador
realizar operações e configurações versáteis dentro do sistema. Dada sua importân-
cia, reservamos a seção 6 deste trabalho e uma aplicação prática para descrevermos
melhor este sistema.

• Suricata: IDS que usa conjuntos de regras para monitorar o tráfego de rede e
dispara alertas sempre que ocorrerem eventos suspeitos. O Suricata oferece um me-
canismo de vários segmentos, o que significa que ele pode realizar análise de tráfego
de rede com mais velocidade e eficiência. Foi desenvolvido pela Open Information
Security Foundation. Uma versão beta foi lançada em dezembro de 2009, com o
primeiro lançamento padrão seguindo em julho de 2010.

• OSSEC: O Ossec é uma ferramenta de detecção de intrusão baseada em hosts

que monitora logs de serviços e sistemas, faz verificação de integridade de arquivos,
monitoramento de política, detecção de rootkits, envia alertas em tempo real e
resposta ativa, ou seja, executa uma ação baseado em um evento. É uma ferramenta
muito granular e personalizável.

1.7 Considerações finais

Um síntese vista até o momento: A segurança da informação está diretamente rela-

cionada com proteção de um conjunto de informações, no sentido de preservar o valor que
possuem para um indivíduo ou uma organização. São propriedades básicas da segurança
da informação: confidencialidade, integridade, disponibilidade, autenticidade e legalidade.
Um IDS é capaz de detectar acessos não autorizados à rede de computadores,
indicando a presença de usuários mal intencionados, tentando denigrir os serviços pres-
tados pela rede. O IDS trabalha analisando ocorrências tanto nos hosts como na rede,
comparando-as com as assinaturas de ataques ou anomalias já conhecidas e devidamente
armazenadas em seu banco de dados, evitando que possa ocorrer danos mais severos.
Uma sugestão de leitura é o Livro "Sistema de Detecção de Intrusão", escrito por
Ferreira Ed’ (2015). Uma pequena sinopse: Com a evolução tecnológica e a populariza-
ção dos equipamentos computacionais, as redes de computadores tornaram-se onipresente
na sociedade. Todos os benefícios desta comunicação plena vieram acompanhados pe-
los problemas relacionados à segurança, pois, os usuários possuem origem global, que
igualmente são seguidos pelos malfeitores, que podem estar, virtualmente, em qualquer
lugar do planeta. Com este cenário calamitoso, é imperativo que recursos de segurança
sejam implantados, especialmente para identificar ações nocivas que podem interferir, ou
até mesmo paralisar os serviços disponíveis aos usuários legítimos da rede. Nesta obra
é apresentado o resultado de uma pesquisa que culminou com a proposta de Sistema
 15

de Detecção de Intrusão em duas camadas, com o emprego de wavelets e redes neurais.

Os bons resultados obtidos mostraram que trata-se de uma abordagem promissora que
poderá contribuir significativamente na área de segurança em redes de computadores.
Demais sugestões de leitura de livros e artigos publicados em congressos nacionais
e internacionais encontram-se ao final deste documento, nas referências.
 16

2 QUESTÕES OBJETIVAS

1. Quanto aos pilares da Segurança da Informação, é correto afirmar que:

• ( ) A. sua descrição está disposta na ABNT NBR ISO/IEC 20000;

• ( ) B. são representados pelos dispositivos Firewall, IDS e Anti-vírus;
• ( ) C. são regidos apenas e exclusivamente pelo Centro de Estudos Resposta e
Tratamento de Incidentes de Segurança no Brasil.;
• ( ) D. sua descrição está disposta na ABNT NBR ISO/IEC 9000;
• ( ) E. são representação pela Integridade, Confidencialidade e Disponibilidade;

2. Ainda, quanto aos pilares da Segurança da Informação, é correto afirmar que::

• ( ) A. Integridade diz que o acesso à informação deve ser restrito apenas para
usuários ou entidades autorizadas;
• ( ) B. Disponibilidade diz que o acesso à informação deve ser restrito apenas
para usuários ou entidades autorizadas;
• ( ) C. Confidencialidade diz que o acesso à informação deve ser restrito apenas
para usuários ou entidades autorizadas;
• ( ) D. Criptografia é considerada um dos pilares da segurança da informação;
• ( ) E. Nenhuma das respostas anteriores;
 17

3. Segundo a CERT.BR - Centro de Estudos Resposta e Tratamento de Incidentes

de Segurança no Brasil (2020), dos 665.079 incidentes registrados, 10,25% foram
ataques DoS. Sua característica é:

• ( ) A. do tipo onde o atacante utiliza um computador ou um conjunto de

computadores para tirar de operação um serviço, computador ou rede;
• ( ) B. notificação ou notificações de atividades maliciosas relacionadas com o
processo automatizado de propagação de códigos maliciosos na rede;
• ( ) C. um tipo de ataque bem sucedido que resulte no acesso não autorizado a
um computador ou rede;
• ( ) D. notificações de varreduras em redes de computadores, com o intuito
de identificar quais computadores estão ativos e quais serviços estão sendo
disponibilizados por eles. É amplamente utilizado por atacantes para identificar
potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços
habilitados em um computador;
• ( ) E. um caso particular de ataque visando especificamente o comprometimento
de servidores Web ou desfigurações de páginas na Internet.

4. Ainda, segundo a CERT.BR - Centro de Estudos Resposta e Tratamento de Inci-

dentes de Segurança no Brasil (2020), dos 665.079 incidentes registrados, 59,85%
foram ataques Scan. Sua característica é:

• ( ) A. do tipo onde o atacante utiliza um computador ou um conjunto de

computadores para tirar de operação um serviço, computador ou rede;
• ( ) B. notificação ou notificações de atividades maliciosas relacionadas com o
processo automatizado de propagação de códigos maliciosos na rede;
• ( ) C. um tipo de ataque bem sucedido que resulte no acesso não autorizado a
um computador ou rede;
• ( ) D. notificações de varreduras em redes de computadores, com o intuito
de identificar quais computadores estão ativos e quais serviços estão sendo
disponibilizados por eles. É amplamente utilizado por atacantes para identificar
potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços
habilitados em um computador;
• ( ) E. um caso particular de ataque visando especificamente o comprometimento
de servidores Web ou desfigurações de páginas na Internet.
 18

5. IDS hierárquicos são:

• ( ) A. IDS de monitoramento de pacotes que transitam dentro de um segmento

de rede;
• ( ) B. também são chamados de IDS baseados em anomalias;
• ( ) C. apresentam o modelo agente-gerente, porém permitindo sua configuração
em vários níveis distintos, permitindo subdivisões neste modelo de IDS;
• ( ) D. tem como ênfase a instalação do sistema de detecção em máquinas
específicas;
• ( ) E. Nenhuma das respostas anteriores.

6. Um IDS é:

• ( ) A. Um sistema de tradução de Cabeçalho IP;

• ( ) B. Um sistema capaz de identificar atividades suspeitas que possam interferir
nos princípios da integridade, confidencialidade e disponibilidade;
• ( ) C. Um sistema que funciona como uma espécie de "muralha de fogo";
• ( ) D. Um sistema que atribui automaticamente endereços IP;
• ( ) E. n.d.a.

7. Quanto ao escopo de atuação, um IDS pode ser classificado como:

• ( ) A. TCP, UDP e ICMP;

• ( ) B. TCP e UDP;
• ( ) C. Interno e Externo;
• ( ) D. NIDS, HIDS e Distribuídos;
• ( ) E. Assinatura, Anomalia e Especificação;

8. Quanto ao método de detecção, um IDS pode ser classificado como:

• ( ) A. TCP, UDP e ICMP;

• ( ) B. TCP e UDP;
• ( ) C. Interno e Externo;
• ( ) D. NIDS, HIDS e Distribuídos;
• ( ) E. Assinatura, Anomalia e também uma combinação dos dois;
 19

REFERÊNCIAS

ABNT. Information technology – security techniques – information security management

systems – overview and vocabulary: Iso / iec 27000. 2018.
ANDERSON, J. P. Computer security threat monitoring and surveillance. Technical
Report, James P. Anderson Company, 1980.
BACE, R. G. Intrusion detection. [S.l.]: Sams Publishing, 2000.

BURTON, J. D. Cisco security professional’s guide to secure intrusion detection

systems. [S.l.]: Syngress Publ., 2003.
CAMPBELL, C.; CRISTIANINI, N. Simple learning algorithms for training support
vector machines. University of Bristol: Bristol, UK, 1998.
CASWELL, B.; BEALE, J. Snort 2.1 intrusion detection. [S.l.]: Syngress, 2004.

CERT.BR - Centro de Estudos Resposta e Tratamento de Incidentes de Segurança no

Brasil. Estatísticas dos Incidentes Reportados ao CERT.br. 2020. Disponível em:
<https://www.cert.br/stats/incidentes/>. Acesso em: 20 de setembro de 2021.

DENNING, D.; NEUMANN, P. G. Requirements and model for IDES - A

Real-time Intrusion Detection Expert System. [S.l.]: SRI International, 1985.
EBRAHIMI, A. et al. Automatic attack scenario discovering based on a new alert
correlation method. In: IEEE. Systems Conference (SysCon), 2011 IEEE
International. [S.l.], 2011. p. 52–58.
ED’, F. Sistema de Detecção de Intrusão. AV Akademikerverlag GmbH & Company
KG, 2015. ISBN 9783841701510. Disponível em: <https://books.google.com.br/books?
id=XGiNjgEACAAJ>.

FREITAS, M. P. C. d. Governança de TI. Gerência de Projetos de Tecnologia da

Informação-Unisul Virtual, 2010.
GHORBANI, A. A.; LU, W.; TAVALLAEE, M. Network intrusion detection and
prevention: concepts and techniques. [S.l.]: Springer Science & Business Media,
2009. v. 47.
GRANADILLO, G. G.; EL-BARBORI, M.; DEBAR, H. New types of alert correlation
for security information and event management systems. In: IEEE. New Technologies,
Mobility and Security (NTMS), 2016 8th IFIP International Conference on.
[S.l.], 2016. p. 1–7.
JULISCH, K.; DACIER, M. Mining intrusion detection alarms for actionable knowledge.
In: ACM. Proceedings of the eighth ACM SIGKDD international conference
on Knowledge discovery and data mining. [S.l.], 2002. p. 366–375.
KUROSE, J. F. et al. Redes de Computadores e a Internet: uma abordagem
top-down. [S.l.]: Pearson, 2010.
 20

LHOTSKY, B. Instant OSSEC host-based intrusion detection system. [S.l.]:

Packt Publishing Ltd, 2013.

LYDON, A. Compilation for Intrusion Detection Systems. Tese (Doutorado) —

Ohio University, 2004.
LYRA, M. R. Segurança e Auditoria em Sistemas de Informação. Rio de Janeiro:
Ciência Moderna, 2008.
MENEZES, P. M.; CARDOSO, L. M.; ROCHA, F. G. Segurança em redes de
computadores uma visão sobre o processo de pentest. Interfaces Científicas-Exatas e
Tecnológicas, v. 1, n. 2, p. 85–96, 2015.
NAKAMURA, E. T.; GEUS, P. L. de. Segurança de Redes em Ambientes
Cooperativos. [S.l.]: Novatec Editora, 2007.
PAQUET, C. Implementing Cisco IOS network security (IINS):(CCNA
security exam 640-553)(authorized self-study guide). [S.l.]: Pearson Education
India, 2009.
PIETRO, R. D.; MANCINI, L. V. Intrusion detection systems. [S.l.]: Springer
Science & Business Media, 2008. v. 38.

POTLURI, S.; DIEDRICH, C. High performance intrusion detection and prevention

systems: A survey. In: ACADEMIC CONFERENCES AND PUBLISHING LIMITED.
ECCWS2016-Proceeding for the 15th European Conference on Cyber
Warfare and Security. [S.l.], 2016. p. 260.
SILVA, A. E. N. d. Segurança da Informação: Vazamento de informações. [S.l.]:
Ciência Moderna, 2012.
SILVA, R. M.; MAIA, M. Redes neurais artificiais aplicadas a detecção de intrusos em
redes tcp/ip. SSI 2004 Simpósio de Segurança da Informação, 2004.
TOTVS. Explicamos os procedimentos de segurança da informação que você deve adotar.
2018. Disponível em: <https://www.totvs.com/blog/negocios/seguranca-da-informacao/
>. Acesso em: 20 de setembro de 2021.

UPPULURI, P.; SEKAR, R. Experiences with specification-based intrusion detection.

In: SPRINGER. Recent Advances in Intrusion Detection. [S.l.], 2001. p. 172–189.