Escolar Documentos
Profissional Documentos
Cultura Documentos
MÓDULO 1
LISTA DE ILUSTRAÇÕES
REFERÊNCIAS .............................................................................................. 20
3
ataques sofridas por dia, tipo de tentativa de ataque que foi utilizado, origem e destino
do ataque (LHOTSKY, 2013). Por meio dos logs do IDS, o administrador poderá ter o
conhecimento de boa parte das tentativas de ataque que estão sendo realizadas em seu
sistema, podendo se proteger melhor contra as futuras tentativas de invasões.
Sistemas de detecção de intrusão são tipicamente divididos em duas categorias:
baseado em conhecimento ou baseado em comportamento. Em relação a estratégia de
detecção adotada e em outras duas categorias: baseado em redes ou baseado em host
(SILVA; MAIA, 2004). A Figura 1 exibi uma classificação mais completa:
Para que a análise dos dados seja realizada, o IDS precisa seguir uma metodologia
de verificação (PAQUET, 2009). A detecção é baseada na premissa de que as atividades
intrusivas são diferentes das ações normais e, portanto, são possíveis de serem detectadas
(GHORBANI; LU; TAVALLAEE, 2009). Um IDS pode ser classificado em três categorias
no que diz respeito a sua forma de detecção de intrusão: baseado em assinaturas, baseado
em anomalias ou baseado em especificações.
do IDS (PIETRO; MANCINI, 2008). Este processo permite que o IDS realize uma
comparação entre todos os dados coletados com as assinaturas, verificando a ocor-
rência de ataques que já são conhecidos em seu banco de dados. Um exemplo de
IDS baseado em assinaturas é o IDS Suricata, que será visto mais à frente. Como
novas formas de ataques são criadas constantemente, as regras de detecção preci-
sam ser atualizadas com frequência (BURTON, 2003), evitando que ataques sejam
bem-sucedidos por serem desconhecidos. O método por assinatura é eficaz na de-
tecção de intrusos com ataques já conhecidos, porém quando o sistema se depara
com ataques desconhecidos de sua base de assinaturas, a chance do pacote indevido
ser detectado pelo IDS é nula. Neste ponto, pode-se evidenciar uma desvantagem: o
método de detecção baseado em assinaturas, mesmo sendo o método mais utilizado,
contém algumas limitações e desvantagens, já que para um IDS identificar um tipo
de ataque com precisão, ele compara uma informação obtida do ataque com a assi-
natura registrada em um banco de dados. Caso esta informação sobre o ataque não
esteja registrada e o ataque seja ainda desconhecido, o IDS fica impossibilitado de
identificar o ataque e, consequentemente, de gerar alertas.
Com o avanço das tecnologias aplicadas nos IDS, também foi desenvolvido um
métodos de detecção baseada em especificação (também chamado de método híbrido)
onde o IDS combina as estratégias de detecção por anomalias e por assinaturas por meio
9
Um IDS pode ser classificado quanto ao seu escopo de atuação: sistemas de detec-
ção baseados em host (HIDS - Host-based IDS ), sistemas de detecção baseados em redes
(NIDS - Network-based IDS ) e sistemas distribuídos ou híbridos, conforme explicado adi-
ante (PIETRO; MANCINI, 2008).
• Sistemas híbridos: Em paralelo aos pontos fortes e fracos dos HIDS e NIDS, exis-
tem também softwares que combinam as vantagens oferecidas pelos dois tipos de
sistemas, que são os IDS distribuídos ou híbridos. Sua definição ainda é complexa e
indistinta, pois varia muito de acordo com a sua funcionalidade, sua aplicação no am-
biente, topologia e diferencia-se também de um fabricante para outro (CASWELL;
BEALE, 2004). Uma característica importante que define um IDS distribuído ou
híbrido refere-se à utilização de vários IDS funcionando como sensores ou agentes,
que manipulam informações dos hosts e da rede, reportando os eventos encontrados
para um IDS único que funciona como servidor, para concluir um gerenciamento
centralizado. A vantagem dos IDS distribuídos ou híbridos é a utilização das capa-
cidades técnicas tanto de um HIDS quanto de um NIDS. Sendo assim, ataques que
não são detectados por um NIDS, podem ser suportados por um HIDS (NAKA-
MURA; GEUS, 2007). O IDS distribuído ou híbrido capacita a aplicação com as
diversas vantagens de duas categorias de IDS, os baseados em host e os baseados em
rede, oferecendo uma visão holística da rede e dos sistemas pontuais monitorados.
detecção seja realizado pelo módulo (agente) de coleta. Distribuem assim a inteli-
gência do sistema entre os módulos gerentes e os diversos agentes que compõem o
sistema.
1.5.4 Pós-detecção
Um IDS também possui dois modelos de utilização: modo passivo e modo reativo
(POTLURI; DIEDRICH, 2016).
• No modo passivo, o IDS não realiza nenhuma ação proativa em relação ao ataque,
por exemplo, o descarte do pacote. Neste cenário, o IDS gera um log e envia para
o administrador da rede para visualização. Sistemas de detecção de intrusão que,
ao detectar um padrão de ataque, apenas geram notificações para um operador ou
administrador especialista por meio de console de gerenciamento, são classificados
como IDS passivos. Estas notificações ou alertas podem ser geradas e enviadas por
meio de diversos padrões e protocolos (e-mails para o administrador responsável,
alertas SNMP etc). O IETF (Internet Engineering Task Force) possui um grupo de
trabalho denominado Intrusion Detection Exchange Format, cuja missão é padroni-
zar os mecanismos de comunicação, bem como a linguagem de comunicação, entre
sistemas de detecção e entre agentes e módulos de gerência. Os seguintes documen-
tos RFC (Request for Comments foram gerados por este grupo de trabalho com o
objetivo de padronizar a troca de informações entre módulos de um IDS ou entre
vários IDS distintos:
• No modo reativo, o IDS não só realiza o envio de logs para o administrador como
também executa ações pré-definidas para cada tipo de ataque detectado. Sistemas
de detecção de intrusão podem, ao detectar um padrão de ataque, tentar atuar
ativamente no sistema ameaçado para protegê-lo de forma automática da ameaça.
Esta classe de sistema tem sido alvo de pesquisas recentes e tem se destacado com
denominação própria : sistemas de prevenção de intrusão. SDIs ativos e baseado em
redes podem, por exemplo, enviar pacotes de término (pacotes TCP com flags FIN
e RST) de conexão para a fonte de fluxos de pacotes que sejam considerados intru-
são. Podem possuir integração com roteadores de borda – roteadores localizados no
perímetro entre as redes locais de uma organização e redes externas com a Internet
- ou Firewalls e realizar a criação de regras que filtrem determinado fluxo de pacotes
ou determinado endereço de origem.
13
• Suricata: IDS que usa conjuntos de regras para monitorar o tráfego de rede e
dispara alertas sempre que ocorrerem eventos suspeitos. O Suricata oferece um me-
canismo de vários segmentos, o que significa que ele pode realizar análise de tráfego
de rede com mais velocidade e eficiência. Foi desenvolvido pela Open Information
Security Foundation. Uma versão beta foi lançada em dezembro de 2009, com o
primeiro lançamento padrão seguindo em julho de 2010.
2 QUESTÕES OBJETIVAS
• ( ) A. Integridade diz que o acesso à informação deve ser restrito apenas para
usuários ou entidades autorizadas;
• ( ) B. Disponibilidade diz que o acesso à informação deve ser restrito apenas
para usuários ou entidades autorizadas;
• ( ) C. Confidencialidade diz que o acesso à informação deve ser restrito apenas
para usuários ou entidades autorizadas;
• ( ) D. Criptografia é considerada um dos pilares da segurança da informação;
• ( ) E. Nenhuma das respostas anteriores;
17
6. Um IDS é:
REFERÊNCIAS