1

IDS - Sistemas de Deteco de Intruso

Luiz Arthur

Atualmente nossa sociedade esta a cada dia mais dependente dos computadores e das redes de dados que os ligam. Isto se d devido ao fato de que so nesses equipamentos que est contido o maior bem da sociedade atual que a informao. Ento muito importante manter um sistema computacional, principalmente que esteja conectado a uma rede (Internet) seguro, de forma que as informaes contidos nesses sempre se mantenham integras, com um alto nvel de confidencialidade e disponibilidade. Assim, a segurana da informao em sistemas computacionais atuais no podem mais depender apenas de sistemas anti-vrus, ou apenas alguns Firewalls. So necessrios sistemas mais complexos que analisem a rede e interajam com est e seus elementos (hosts) de forma interativa, visando uma maior segurana da informao. Neste cenrio surgem os Sistemas de Deteco de Intruso. Pois, fazer a monitorao contra tentativas de ataques e intruso est se tornando fundamental para a segurana por exemplo, de uma empresa ou organizao. Assim, um IDS ou em portugus SDI basicamente um sistema capaz de analisar o trafego da rede ou o contedo de um computador e procurar possveis tentativas de ataques.

IDS - Sistemas de Deteco de Intruso

Luiz Arthur

No uma tarefa muito fcil descobrir se um computador ou uma rede foi invadido. Para saber se um computador ou uma rede foi invadido h necessidade de analisar a rede verificando uma srie de informaes, como: Registros de log (registro de armazenamento de eventos); Processos no autorizados; Contas de usurios; Sistema de Arquivos alterados; e outros.

Descobrir se um computador ou uma rede foi invadido uma tarefa muito difcil e demorada para se fazer, e os responsveis pela segurana da rede podem no dar conta de fazer tudo, havendo ento a necessidade de se utilizar os Sistemas de Deteco de Intruso (SDI) para fazer essas funes. O modo mais simples de definir um IDS seria descrev-lo como uma ferramenta especializada, capaz de ler e interpretar o contedo de arquivos de log de roteadores, Firewalls, servidores e outros dispositivos de rede e gerar um alerta sobre um possvel ataque, identificando se existe algum tentanto ou no invdir o sistema computacional.

IDS - Sistemas de Deteco de Intruso

Luiz Arthur

Um SDI normalmente formado por um banco de dados no qual so armazenados s assinaturas (cdigos) de ataques, isto bem semelhante ao funcionamento de um antivrus que contm as assinaturas ou cdigos dos vrus, ou seja, existem estruturas de dados que, por exemplo, se forem encontradas em um fluxo de rede iro identificar que esta acontecendo um determinado ataque. Tais assinaturas devem ser constantemente atualizadas assim como em um antivrus para que no passe nenhum cdigo novo despercebido, ou o sistema no ir identividar um ataque recem criado (um novo ataque). Se for detectada qualquer tentativa de ataque suspeita, o IDS deve gerar um alerta para o administrador do sistema computacional, esta resposta pode ser um e-mail, um aruqivo de log, emitir um alerta sonoro, alguma tipos de aes automticas para tentar avisar sobre o ataque ou mesmo tomar uma atitude para tentar bloquear o ataque, variando desde a desativao de links da Internet at a ativao de rastreadores e fazer outras tentativas de identificar atacantes. claro que essas respostas so geradas de acordo com as regras configuradas no Sistema de Deteco de Intruso.

IDS - Sistemas de Deteco de Intruso

Luiz Arthur

Bem antes de continuar falando sobre IDSs devemos ter em mente um problema causado por sistemas de deteco, que o de gerar alertas falsos ou de simplesmente no gerar uma alerta em um momento de invaso. Falso Positivo e Falso Negativo Falso positivo quando o sensor do IDS gera um alerta que no devia, ou seja, classifica uma atividade normal na rede como sendo um ataque. Quanto menos falsos positivos um IDS gerar melhor, pois quando um administrador examina um IDS e v um monte de alertas este pode pensar que o sistema est sendo atacado, e na verdade esses alertas so falsos, isto se d devido a m configurao do IDS, por exemplo. Outro problema gerado por este tipo de problema que como o IDS gera alertas falsos sobre ataques que no esto ocorrendo o administrador pode futuramente ignorar um ataque real pensando que este tambm um Falso Positivo. Falso negativo quando ocorre um ataque e o sensor do SDI no gera nenhum alerta. Existem algumas causas que podem gerar falsos negativos so elas: um ataque desconhecido, uma sobrecarga ou configurao errada no sensor. Falsos negativos no devem ocorrer, pois um falso negativo pode ser um ataque que passa despercebido pelo IDS e pode comprometer a segurana da rede ou das informaes contidas nos sistemas computacionais. Para evitar este tipo de problema recomendvel sempre mantar as assinaturas atualizadas, assim como se fosse um anti-vrus.

IDS - Sistemas de Deteco de Intruso

Luiz Arthur

Tipos de Sistemas de Deteco de Intruso Conforme a sua arquitetura, os SDI podem ser: baseados em redes, baseados em host e distribudos. Sistemas de Deteco de Intruso Baseado em Host Os Sistemas de Deteco de Intruso baseados em Host (SDIH ou em ingls HIDS) foram os primeiros IDS que surgiram, seu objetivo monitorar todas as atividades existentes em um determinado host. Sendo que este captura somente o trafego destinado ou nico host (e no a uma rede) no gerando muita carga para a CPU. Os SDIHs podem atuar em diversas reas dentro de um mesmo host, como por exemplo, analise de todo o sistema de arquivos, monitoramento da atividade da rede, monitoramento de atividades de login e do usurio. Essas ferramentas analisam os sistemas atravs de dados coletados na prpria mquina. Sistemas de Deteco de Intruso Baseado em Rede Um sistema de deteco de invaso de rede uma mquina ou um software que monitora conexes de rede procura de sinais de invaso, negao de servio, violaes de diretivas ou outra atividade incomum especificada pelo administrador.

IDS - Sistemas de Deteco de Intruso

Luiz Arthur

O Sistema de Deteco de Intruso de Rede tambm chamado de SDIR ou em ingls NIDS, observar uma rede ou um grupo de mquinas. Os NIDS trabalham com interfaces de rede em modo promiscuo, ou seja, todos os pacotes que circulam pela rede sero capturados pelo IDS, independente do destino. Esses pacotes que forem capturados sero analisados um-a-um, para que o IDS saiba se tais pacotes contm informaes ditas normais ou se podem ser considerados uma tentativa de ataque. Os NIDS so compostos geralmente por dois componentes, so eles: os sensores e as estaes de gerenciamento. Os sensores so dispositivos (de hardware ou software), colocados em segmentos distintos da rede, para farejar e analisar a rede procurando assinaturas que poderiam indicar um ataque. As estaes de gerenciamento podem possuir uma interface grfica e so responsveis por receber os alarmes dos sensores informando ao administrador da rede sobre ataques, por exemplo. claro que os dois podem ser instalados em uma mesma mquina, dependendo do tipo do IDS.

IDS - Sistemas de Deteco de Intruso

Luiz Arthur

Vantagens dos NIDS so: Que um nico sensor pode monitorar toda a rede ou um segmento da rede o que permite uma economia na sua implementao; Os NIDS no interfere no trafego da rede, somente analisa as informaes que esto passando pela rede; invisvel para os invasores, pois no gera nenhuma resposta que possa indicar sua presena. Desvantagens dos NIDS so: Se tiver muito trafego na rede o IDS pode no conseguir ser rpido o suficiente par monitorar todo o trafego que circula pelo segmento da rede e um ataque pode passar despercebido; Alguns NIDS tm problemas em redes com switches, pois o switch cria uma conexo direta entre a origem e o destino do pacote, deste modo o sensor no consegue capturar todos os pacotes; No reconhece dados criptografados, pois no consegue comparar as regras com o contedo do pacote; Alguns NIDS no conseguem remontar os pacotes fragmentados (pacotes divididos em varias partes); No consegue informar se o ataque foi ou no bem sucedido

IDS - Sistemas de Deteco de Intruso

Luiz Arthur

Vantagens de HIDS so: Podem trabalhar em redes com criptografia, como analisa o host, verifica os dados antes de serem criptografados ou depois de serem descritografados; O HIDS consegue monitorar eventos locais, como alteraes em arquivos do sistema; No tem problemas em redes com switches, pois analisa o contedo que entra e sai do host no qual est instalado, no importa se o switche envia os pacotes para a rede inteira ou somente para a mquina destino; Detecta cavalos de tria e outros ataques que envolvem brechas na integridade dos softwares. Desvantagens dos HIDS so: Dificuldade de gerenciar vrios HIDS; O atacante que conseguir invadir o host em que o SDI est instalado pode comprometer ou desabilitar o SDI; No pode detectar scan de portas ou outra ferramenta de varredura que tenha como alvo toda a rede, porque s analisa os pacotes direcionados ao host em que est instalado; Se a quantidade de informao for muita, pode ser necessrio adicionar mais rea (espao em disco), para o armazenamento dos logs; O SDIH influncia no desempenho do host em que est instalado porque consome recursos para o processamento das informaes e regras do IDS.

IDS - Sistemas de Deteco de Intruso

Luiz Arthur

SDI distribudo Os Sistemas de Deteco de Intruso Distribudos (SDID) funcionam em uma arquitetura gerenciador/investigao. Este tipo de sistema utiliza sensores, os quais ficam em locais distantes e se reportam a uma estao central de gerenciamento. Estes sensores podem agir no modo promiscuo como os sensores de um HIDS, ou podem agir no modo no-promiscuo como os de um HIDS ou uma combinao entre os dois. Os sensores destes tipos de sistemas devem mandar as informaes a uma estao central de gerenciamento. Nesta estao central de gerenciamento feito um upload dos logs de ataques e armazenados em um banco de dados. Algumas vantagens do uso de SDID so: O Downloads de novas assinaturas de ataque pode ser feito nos sensores, de acordo com a necessidade; As regras de cada sensor podem ser personalizadas para atender as suas necessidades individuais. Uma desvantagem do uso de SDID que para fazer a comunicao entre os sensores e a estao central de gerenciamento deve se utilizar algum tipo de segurana extra, como criptografia, tecnologia VPN ou uma rede privada.

10

IDS - Sistemas de Deteco de Intruso

Luiz Arthur

Deteco de invaso baseado em assinaturas Este mtodo trabalha coletando dados (de rede ou host) e compara com regras (que identificam os ataques), que so os cdigos (assinaturas) do IDS ao qual se est utilizando. Essas assinaturas so fornecidas pelo desenvolvedor do IDS, mas se houver necessidade tambm pode se desenvolver assinaturas prprias ou adquiri-las de sites especializados em segurana e adaptar de acordo com o IDS. A deteco de intruso por assinatura normalmente gera um menor nmero de falsos positivos, ou seja, alertas falsos se comparados aos demais mtodos de deteco. O mtodo de deteco baseado em assinaturas por sua vez mais rpido e especifico na procura por padres de ataques j conhecidos, mas quando aparecem novos padres de ataques, este mtodo se torna ineficiente. Uma assinatura composta por uma seqncia de bytes que representam ou especificam um ataque. Quando encontrado no trafego da rede algum cdigo que seja idntico s assinaturas, uma provvel indicao de ataque. Os SDI utilizam esta abordagem para a deteco de intruso, atravs da utilizao de expresses regulares, anlise de contexto ou linguagens de assinatura, os pacotes de rede so analisados e comparados com uma base de dados de assinaturas.

11

IDS - Sistemas de Deteco de Intruso

Luiz Arthur

Deteco baseado em anomalias (comportamento) Este mtodo de deteco tem um registro do histrico das atividades que so consideradas normais na rede, a partir desses registros do histrico que o sistema descobre o que permitido ou no na rede, se encontrar algo que no est dentro do padro do sistema, gerado um alerta. Este mtodo de deteco mais complicado para se configurar, pois muito difcil saber o que ou no padro em uma determinada rede. A principal vantagem deste mtodo de deteco que ele capaz de detectar qualquer tipo de ataques novos e desconhecidos. Mas por outro lado a desvantagem que ele gera um nmero muito grande de alertas. A maioria desses alertas podem ser falsos, ou seja, apenas uma atividade que o usurio no costuma a fazer, e que o sistema no tinha registro desta atividade. Por exemplo, o mtodo de deteco baseado em anomalias tem um registro no qual um usurio s faz login em um determinado sistema durante o dia, se acaso for detectado que este usurio ta fazendo login no sistema de madrugada, deve emitir um alerta.

12

IDS - Sistemas de Deteco de Intruso

Luiz Arthur

OSSEC HIDS O ossec hids um sistema de deteco de intruso baseado em Host de cdigo fonte aberto que possui como desenvolvedor principal o brasileiro Daniel Cid. O OSSEC HIDS realiza operaes de analise de Logs, integridade de sistemas, monitorao de registros do Windows, deteco de rootkits, alertas e resposta ativa (regras no firewall). possvel instalar o OSSEC localmente, para monitorar uma nica mquina, mas se for necessrio monitorar vrias mquinas possvel configurar uma como servidor e as demais como agentes, sendo que as agentes iram enviar informaes para o gerente que fica responsvel por analisar e apresentar as informaes geradas pelos IDS, isto d uma alta escalabilidade ao IDS. Suporta os seguintes tipos de logs: Unix pam, sshd (OpenSSH) , Unix telnetd, Samba, Su, Sudo, Proftpd, Pure-ftpd, vsftpd, Solaris ftpd, Imapd and pop3d, Horde imp, Named (bind), Postfix, Sendmail, Iptables firewall, Solais ipfilter firewall, AIX ipsec/firewall, Netscreen firewall, Snort IDS, Apache web server (access log and error log), IIS web server, Squid proxy, Windows event logs, Generic unix authentiction (adduser, logins, etc). O OSSEC pode ser instalado nos seguintes Sistemas Operacionais: OpenBSD, Linux, FreeBSD, Solaris, MacOSX, Windows XP/2000 ( no caso do windwos somente o agente).

13

IDS - Sistemas de Deteco de Intruso

Luiz Arthur

OSSEC HIDS O OSSEC-HIDS pode ser obtido na site: www.ossec.net

14 fim

IDS - Sistemas de Deteco de Intruso

Luiz Arthur

15 fim

IDS - Sistemas de Deteco de Intruso

Luiz Arthur