Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Elvis Pontes
OBJETIVO
Este artigo tem como objetivo prover procedimentos e uma breve metodologia
estruturada, mas flexvel, para a seleo, especificao, avaliao, implementao E
configurao de tecnologias de sistemas de deteco de intruso (IDS), sistemas de
preveno de intruso (IPS) e sistemas de deteco e preveno (IDP) para proteo de
sistemas de informao e redes de dados. Procura-se, neste artigo, caracterizar
sumariamente as quatro principais classes de produtos IDP: produtos baseados em rede,
baseados em rede sem fio, softwares de deteco de comportamento anmalo de rede, e
baseados em host. Procura-se tambm caracterizar o ambiente mais propcio para
aplicao de cada classe de produto IDP. Para consecuo deste artigo, desenvolveu-se
uma pesquisa identificando os tipos de tecnologias disponveis, o escopo de aplicao e
as potencialidades das mesmas, de forma a se estabelecer dentro da anlise as
tecnologias mais aplicveis ao ambiente estudado, para satisfazer a necessidade de
controle especfico na mitigao eficiente e eficaz do risco determinado, em
alinhamento com a poltica de segurana estabelecida.
RESUMO
Para que se efetue adequadamente a avaliao de produtos IDP, h a necessidade, em
primeira mo, de serem definidos os permetros do ambiente e os requerimentos
genricos que estes produtos devem compreender. As caractersticas e metodologias de
produtos IDP so consideravelmente diversas. Portanto, uma boa soluo de IDP
implementada em uma organizao talvez no seja ideal e nem satisfaa os
requerimentos de uma outra. A principio, recomenda-se que as caractersticas dos
sistemas da organizao e, principalmente, do ambiente da rede de dados precisam ser
devidamente analisadas, assim um produto IDP pode ser selecionado de forma mais
alinhada com os requisitos e consequentemente monitorar os eventos de interesse dos
sistemas e/ou da rede. recomendvel tambm que a mesma metodologia seja adotada
no desenvolvimento de solues IDP. Aps a anlise dos sistemas e ambiente de rede de
dados, h de se definir os objetivos e metas que se desejam alcanar na aplicao da
soluo IDP. As polticas de segurana existentes no ambiente organizacional devem ser
revistas e analisadas antes da etapa de seleo dos produtos, pois estas servem como
especificao para muitas caractersticas que devam ser cobertas pelo produto IDP. H
ainda de se acrescentar a possibilidade de processos de auditoria, que podem ou no ser
institudos.
INTRODUO
Deteco de intruso o processo de monitoramento e anlise de eventos que ocorrem
em um sistema de computadores ou em uma rede de dados, em busca de sinais de
incidentes em potencial, os quais podem ser violaes ou ameaas iminentes de
violao das polticas de segurana.
Preveno de intruso o processo da realizao da deteco de intruso no
esforo de deter incidentes em potencial detectados.
Sistemas de deteco e preveno (IDPs) esto focados na identificao de
incidentes em potencial, controle de logs dos mesmos, no combate aos incidentes e em
report-los aos administradores de segurana. Adicionalmente, as organizaes usam
IDPs para outros propsitos, como na identificao de problemas com polticas de
segurana, na documentao de ameaas existentes, e na dissuaso de funcionrios,
terceirizados, prestadores de servio ou quaisquer indivduos que violem a poltica de
segurana. IDPs tornaram-se uma necessidade adicional a infra-estrutura de segurana
da maioria das grandes corporaes.
IDPs gravam informaes relacionadas a eventos observados, notificando e
reportando administradores de eventos importantes. Muitos IDPs podem tambm
responder a uma ameaa detectada no esforo de prevenir a mesma de explorar a
vulnerabilidade do sistema. Utilizam-se vrias tcnicas de resposta, que permitem ao
IDP combater o ataque por si s, alterando o ambiente de segurana (reconfigurando o
Firewall p. ex.), ou alterando o contedo do ataque.
Existem muitos tipos de tecnologias IDP, as quais so diferenciadas
principalmente pelos tipos de eventos que as mesmas podem monitorar e as formas que
so empregadas. Sero apresentados e discutidos quatro tipos de tecnologias IDP:
Baseado em rede monitora o trafego de rede para dispositivos ou
seguimentos de rede em particular e analisa a rede e a atividade de
protocolos de aplicao para identificar atividade maliciosa;
Baseado em redes sem fio monitora o trfego de rede sem fio e o
analisa para identificar atividade maliciosa e suspeita que envolva o
prprio protocolo de rede sem fio.
Deteco de comportamento anmalo de rede examina o trafego de
rede para identificar ameaas que gerem um trafego de rede anormal,
como ataques DDoS, escaneamento de portas e alguns tipos de malware.
Baseado em Host monitora as caractersticas de um nico host e os
eventos que ocorrem no mesmo de forma suspeita.
A proteo dos componentes IDP essencial para integridade dos mesmos, j
que estes so alvos de ataques que visam danific-los de forma a barrar deteces, ou
ataques que visam obter acesso a informaes privilegiadas, como configuraes de
hosts. Os IDPs so compostos de diversos componentes, incluindo sensores e agentes,
servidores de gerenciamento, servidores de dados e, usurios e consoles para
administrao. Todos os componentes de operao e aplicaes devem ser bem
guardados e mantidos atualizados.
Aes especficas de proteo incluem contas separadas para cada usurio IDP e
para o administrador, restrio e segregao de rede para melhor controle de acesso aos
componentes IDP e garantir que as comunicaes com o gerenciador IDP esto
protegidas adequadamente (criptografia de dados ou transmisso dos dados em rede
segregada).
Os administradores devem manter a segurana dos componentes IDP de forma
contnua, j que novas ameaas surgem todos os dias. A verificao de funcionalidade
de todos os componentes um ponto importante: monitoramento dos componentes
quanto detalhes de segurana, realizao de testes de vulnerabilidade peridicos,
verificao das respostas explorao de vulnerabilidades, atualizao e testes de
atualizao.
Outro ponto importante a realizao de back ups regulares das diversas
configuraes de todos os recursos IDP, conforme o preconizado nas polticas de
segurana.
A utilizao de tecnologias diversas de IDP deve ser considerada para alcanar
uma maior acuidade na deteco e preveno de atividades maliciosas.
Os tipos primrios de tecnologias IDP oferecem recursos diferentes para
ordenao de informao, registro de logs, deteco e preveno. Cada tipo de
tecnologia tem vantagens sobre a outra, como deteco de alguns eventos que outras
no realizam e deteco de alguns eventos com maior exatido que a outra. Em muitos
ambientes, uma soluo robusta de IDP no pode ser alcanada sem a utilizao de
vrios tipos de tecnologias IDP. Para a maioria dos ambientes, uma combinao de
tecnologias como a baseada em rede e a baseada em host necessria para a soluo
eficiente e efetiva do IDP.
Tecnologias IDP sem fio tambm pode ser necessrias se a organizao quiser
garantir que as mesmas precisam de proteo e monitoramento adicional. Tecnologias
de deteco de comportamento anmalo de rede (NBAD Network Behavior Anomaly
Detection) podem tambm ser implementadas se a organizao desejar recursos de
proteo adicional para ataques de negao de servios, worms, e outras ameaas que os
NBAD esto preparados para detectar.
Organizaes que planejam usar mltiplos tipos de tecnologias IDP ou mltiplos
produtos da mesma tecnologia IDP, deveriam considerar os pontos de integrao destas
tecnologias (ou a inexistncia destes pontos).
A integrao IDP freqentemente realizada quando uma organizao utiliza
vrios produtos IDP de um nico vendor, por ter um nico console que pode ser usado
no gerenciamento e monitoramento de mltiplos produtos.
Alguns produtos podem tambm compartilhar dados, o que aumenta a
velocidade de anlise e ajuda aos usurios a melhor priorizar as ameaas. Uma forma
mais limitada da integrao direta o uso de produtos IDP que fornece dados para outro.
Integrao indireta de IDPs so realizadas por softwares de segurana de
informao e gerenciamento de eventos (SIEM Security Information and Event
Management), que so desenvolvidos para importar informaes de vrios logs de
segurana relacionados, bem como efetuar a correlao de eventos entre os mesmos.
Softwares SIEM complementam os IDPs de formas diversas, incluindo a correlao de
eventos por diferentes tecnologias, visualizao de dados de vrias fontes de eventos e
provendo informao de suporte para outras fontes, ajudando os usurios a determinar a
exatido dos alertas IDP.
Antes de avaliar os produtos IDP, as organizaes deveriam definir os requisitos
dos produtos devem satisfazer. Os tcnicos que efetuam a avaliao precisam entender
as caractersticas do sistema organizacional e ambientes de rede, ento um IDP pode ser
selecionado de forma a ser compatvel com estes requisitos, tornando-se, assim, pronto
para efetuar monitoramento dos eventos de interesse nos sistemas e/ou redes.
Os objetivos e metas devem ser articulados, de forma a serem alcanados pelo
uso de um IDP, como a deteco e preveno de ataques comuns, identificao de erros
de configurao de dispositivos de rede sem fio, e deteco de uso incorreto dos
sistemas e recursos de rede das organizaes. Devem tambm ser revistas as polticas de
segurana existentes, as quais servem como especificao bsica para muitos dos
recursos que os produtos IDP devem prover. Adicionalmente, deve-se analisar os pontos
de auditoria externas, bem como a necessidade de produtos especficos para satisfazer
essa necessidade, ou no.
Deve-se levar em considerao as restries de recursos. Deve-se, ainda,
considerar a necessidade de definio dos seguintes grupos de requisitos:
Condies de segurana incluindo coleta de dados, registro de log,
deteco e preveno;
Performance incluindo capacidade mxima e dispositivos para
mensurao de performance;
Gerenciamento incluindo projeto e implementao, operao e
manuteno (software updates), treinamento, documentao e suporte
tcnico;
Ciclo e vida e custos.
Durante a fase de avaliao de produtos IDP, as organizaes devem considerar
o uso da combinao de vrias fontes de dados, nas caractersticas de recursos dos
produtos.
Fontes de dados comuns desse produtos incluem testes de laboratrio ou testes
de aplicaes reais, informao fornecida pelo vender, revises de terceiros e/ou
experincia por outros profissionais dentro da organizao ou recomendaes de outras
organizaes. Quando do uso de dados por outras partes, organizaes devem
considerar se as mesmas so fidedignas,
Infelizmente IDPs no fornecem resultados de deteco completamente exatos.
A gerao de falsos positivos (evento normal tomado como ato de intruso) e falsos
negativos (eventos maliciosos vistos como trfego normal) um processo comum no
uso de IDPs. Costuma-se configurar (tune) os IDPs de forma que a diminuir os falso
negativos e aumentar os falsos positivos para que menos atos maliciosos tenham
sucesso. No entanto, este comportamento sugere um overhead de processamento.
Muitos IDPs tambm oferecem dispositivos para compensar tcnicas de evaso
em ataques, que modificam o formato ou tempo da atividade maliciosa, alterando sua
aparncia.
A maioria dos IDPs usam mltiplas metodologias de deteco, tanto
separadamente quanto integradas, para prover mais extensa e exata deteco. As
principais classes de metodologias de deteco so:
Baseado em assinatura: que compara assinaturas conhecidas com eventos
observados. Novos tipos de ataques que no possuem uma assinatura no
podem ser detectados;
Deteco baseada em comportamento anmalo: compara definies e
perfis de qual atividade de rede considerada normal contra eventos
observados para determinar desvios de padro. Muito bom para novos
tipos de ataques. Problemas comuns a incluso de atividade normal
como atividade maliciosa;
Analise de protocolo Statefull: compara perfis pr determinados de
definies geralmente aceitas de atividade de protocolos com desvios nos
eventos analisados. Ao contrrio da metodologia anterior, esta baseia-se
em perfis universais determinados e desenvolvidos por vendors que
especificam como protocolos em particular devem ou no devem ser
usados. Exige muito processamento e o desenvolvimento de modelos
muito difcil (quase impossvel).
COMPONENTES
Os componentes tpicos em uma soluo IDP so:
Sensores ou Agentes: monitoram e analisam a atividade de rede. Agentes
so usados em solues IDP host.
Servidor de gerenciamento: dispositivo centralizado que recebe
informaes dos sensores ou agentes e as gerencia. Nesse servidor ainda
so correlacionados todos os eventos de todos os sensores.
Servidor de base de dados: o repositrio para informaes de eventos
gravados pelos sensores, agentes e/ou servidores de gerenciamento;
Console: um programa que fornece uma interface para os usurios IDP
e administradores.
ARQUITETURAS
IDP BASEADO EM REDE
Como referido anteriormente ele monitora o trafego de rede para dispositivos ou
seguimentos de rede em particular e analisa a rede e a atividade de protocolos de
aplicao para identificar atividade maliciosa.
Com exceo dos sensores, pode-se dizer que os IDPs baseados em rede so
idnticos s outras tecnologias. Os sensores esto disponveis em dois formatos:
sensores APPLIANCE (software e hardware especiais) e sensores em SOFTWARE.
Como referido anteriormente, recomenda-se a utilizao de redes de
gerenciamento para a implantao da estrutura de IDPs baseados em rede. Os pontos de
instalao dos sensores dentro da rede de dados da corporao um ponto de importante
observao. Os sensores pode ser instalados em dois modos:
INLINE quando o trfego de rede flui pelo sensor;
PASSIVO quando os sensores monitoram cpias do trfego de rede.
Geralmente recomenda-se o uso de sensores INLINE, pois assim os mtodos de
preveno podem ser utilizados em prontido, enquanto no caso dos sensores passivos
os mtodos de preveno no so usados.
Os sensores podem coletar informaes como o Sistema Operacional utilizados
nos hosts, a verso deste sistema operacional, quais aplicaes e verses so usadas para
que os hosts se comuniquem com a rede, etc.
As tecnologias IDP baseadas em rede tambm podem controlar um registro de
logs extensivo, relacionado aos dados de eventos detectados; a maioria tambm realiza
captura de pacotes. Portanto, a maioria dos produtos desta tecnologia oferece vastos
recursos de captura e deteco.
Observe-se que a combinao de metodologias como deteco baseada em
assinaturas, deteco baseada em comportamento anmalo e anlise de protocolo
stateful, utilizada para realizar anlises detalhadas de protocolos comuns. importante
considerar esta combinao para elevar a exatido da deteco e consequentemente da
ao preventiva empregada.
Apesar das diversas vantagens e caractersticas positivas apresentadas acima,
uma grande desvantagem a impossibilidade de detectar ataques quando o trfego
feito de forma criptografada. Nesta situao sugere-se empregar uma soluo baseada
em host para efetuar a anlise antes da realizao da criptografia ou aps os dados
serem decifrados. Em outras palavras, deve-se empregar o IDP baseado em host nos
pontos finais da comunicao.
Outro ponto negativo a incapacidade dos IDPs baseados em rede no serem
aptos a realizar uma anlise completa quando h uma carga excessivamente grande de
trfego na rede. Recomenda-se determinar a prioridade de anlise do trfego ou
simplesmente desabilitar a analise de determinados pontos quando nessa situao.
Porm, os IDPs baseados em rede, por definio, acabam por ser sujeitos a ataques
DDoS (grande volume de trfego).
As caractersticas de preveno fornecidas pelos sensores dos IDPs baseados em
rede so, por exemplo, finalizar sesses TCP (reset), realizao de inline Firewall,
alterao de uso de largura de banda, alterao de contedo malicioso. Ambos, INLINE
e sensores PASSIVOS, podem reconfigurar outros dispositivos de segurana, ou
executar programas ou scripts de terceiros para outras aes de preveno.
Abaixo a arquitetura recomendada para implantao tanto de sensores
PASSIVOS, como sensores INLINE.
Observe-se que os sensores INLINE atuam aps o FIREWALL. Por outro lado,
sensores passivos so instalados de forma a monitorar pontos chaves de redes,
exatamente em sua diviso ou segregao. Alguns mtodos de monitoramento usados
pelos sensores passivos so: Spanning port, Network tap, IDS Load Balancer
Um IDP wireless monitora o trfego de uma rede sem fio e analisa os protocolos
de rede sem fio para identificar atividades suspeitas. Os componentes da tecnologia IDP
wireless so os mesmos que a baseada em rede: sensores, consoles, servidores de dados,
servidores de gerenciamento. Entretanto, um sensor de IDP wireless, monitora apenas
um canal por vez, portanto, somente com amostras de trfego ao contrrio dos
sensores de IDPs baseados em rede.
Quanto maior o tempo de um canal monitorado, maior vai ser a probabilidade
que o sensor perca atividade maliciosa nos outros canais. Para que isso no ocorra, os
sensores trocam de canal diversas vezes por segundo.
Sensores IDP wireless esto disponveis de formas diversas. Um sensor dedicado
pode ser fixo ou dispositivo mvel que realiza funes IDP, mas no passa trfego de
rede da fonte ao destino. Um outro tipo de sensor wireles disponvel o que opera em
conjunto com pontos de acesso de rede sem fio (APs) ou switches sem fio Pelo fato de
sensores dedicados focarem-se em deteco e no se importarem com trfego wireless,
eles oferecem recursos de deteco mais robustos. Entretanto, estes sensores so mais
deficeis de se adquirir, instalar e manter do que os sensores acoplados em APs, pelo fato
de exigirem outro hardware e software adicional.
Componentes de IDP wireless sempre estaro interconectados via uma rede com
cabeamento. Os controles nos pontos de separao da rede sem fio e rede com
cabeamento devem ser considerados, como rede de gerenciamento e etc.
A escolha da localizao dos sensores para IDPs wireless completamente
diferente que em quaisquer outras tecnologias IDP. Os sensores de IDP sem fio devem
ser instalados de forma que possam monitorar a abrangncia do sinal sem fio. Muitas
vezes os sensores devem ser instalados onde no deveria haver atividade de rede sem fio
dentro da organizao, analogamente tm-se os canais e bandas. Outras consideraes:
segurana fsica do sensor, abrangncia, disponibilidade de conexo a rede cabeada,
custo e localizaes de APs/switches, conforme a figura abaixo.
IDP Wireless
IDP hosts
Durante a instalao de alguns agentes, comoum a alterao da arquitetura
interna dos hosts. Algumas camadas, chamadas shims ou calos, de cdigo so
implementadas. Apesar de ser menos intrusivo, a no utilizao destes shims menos
precisa e as aes de preveno menos eficientes.
Dentre os recursos esto o extensivo controle de log de dados relacionados a
eventos detectados e podem ser detectados diversos tipos de atividade maliciosa.
Tcnicas de deteco, incluindo analise de cdigo, analise de trfego de rede, filtro de
trfego de rede, monitoramento de sistema de arquivos, analise de log e monitoramento
de configurao de rede. A combinao de diversas tcnicas de deteco tendem a ser
mais precisas, pois podem monitorar diferentes caractersticas dos hosts. Devem ser
determinadas quais caractersticas devem ser monitoradas para seleo dos produtos
IDP.
As solues de IDP host geralmente necessitam de bastante configuraes e
sintonia, devido as diferenas intrnsecas de atividade de cada host (programao, entre
outros.
Limitaes:
Tcnicas de deteco peridicas (poucas vezes ao dia) incidentes
podem ocorrer nesse meio tempo;
Envio de dados de alerta aos servidores de gerenciamento em batch
somente em algumas horas por dia demora pra aes de resposta;
Consumo de recursos no host pelos agentes;
Conflitos com outros sistemas como firewalls pessoais, clientes VPN, etc.
Recursos de preveno:
Tcnicas de anlise de cdigo para prevenir que cdigos maliciosos
sejam executados efetivo para ataques desconhecidos;
Analise de trafego de rede, pode impedir que trafego de entrada ou sada
que contenha ataques de camada de rede, transporte ou aplicao,
ataques de protocolo wireless e outras aplicaes no autorizadas e
protocolos.
Filtro de trafego de rede, funciona como um firewall baseado em host e
pra acessos no autorizados e aceita o uso de polticas, negando
violaes as mesmas.
Monitoramento de sistema de arquivos que preveni que os arquivos
sejam acessados, modificados, substitudos ou apagados,
consequentemente a instalao de um malware.
Restries em medias removveis;
Deteco de ativao ou uso de dispositivos audiovisuais;
Monitoramento do status de processos em execuo e falhas de
reinicializao de outros processos.
CONCLUSO
As tecnologias e metodologias aplicadas aos IDP variam consideravelmente,
assim como variam as necessidades de uma organizao para outra. Recomenda-
se,tambm estudar e avaliar as diversas solues IDP disponveis no mercado para
adquirir as que mais se adequam s necessidades. Mltiplas plataformas IDP de
fornecedores distintos sugerem grande necessidade de interao. O uso de ferramentas
como SIEM Security Information and Event Management Software pode auxiliar
muito nessa interao.
Adicionalmente alguns requisitos gerais precisam ser definidos para grupos mais
especializados de necessidades:
Recursos de segurana, incluindo obteno de informaes, log, deteco
e preveno;
Performance, incluindo capacidade mcima e dispositivos de
performance;
Gerenciamento, incluindo projeto e implementao, operao e
manuteno e treinamento, documentao e suporte tcnico;
Custo de ciclo de vida, tanto inicial como custo de manutenao.