IDS – Sistema de Detecção de Intrusos

Antes de serem abordados os conceitos de Sistema de Detecção de Intrusos (IDS), deve-se conhecer o que vem a ser uma intrusão em um sistema de informações. Um intruso, nesse domínio, pode ser definido como alguém que tenta invadir um sistema de informações ou fazer mau uso do mesmo. (NED, 1999). Logo, uma intrusão pode ser definida como: “Qualquer conjunto de ações que tentem comprometer a integridade, confidencialidade ou disponibilidade dos dados e/ou do sistema.” (HEADY, LUGER, MACCABE e SERVILLA, 1990). As intrusões, segundo Ned (1999), podem ser classificadas como:

Intrusão quanto ao mau uso do sistema – são os ataques realizados aos pontos fracos do sistema. Isto é, são os ataques que exploram as vulnerabilidades do sistema com a finalidade de utilizar de forma indevida as funcionalidades do mesmo. Esses ataques podem ser detectados, monitorando as ações que eles realizam nos ativos para explorar as suas vulnerabilidades;

Intrusão quanto à mudança de padrão – são detectadas via o monitoramento do comportamento da rede/sistema. Alterações de perfis previamente estabelecidos são um sinal de uma possível intrusão.

Apresentado o conceito de intrusão, pode-se agora explorar os conceitos de IDS.

Os IDS podem ser definidos como sistemas de software/hardware que automatizam o processo de monitoramento de eventos os quais ocorrem em sistemas computacionais, analisando-os com base em assinaturas criadas a partir de problemas de segurança (intrusões). Esse mecanismo de segurança serve basicamente para trazer informações sobre a rede, como, por exemplo, quantas tentativas de ataques (intrusão) foram recebidas por dia e qual tipo de ataque foi usado.

De acordo com Bace e Mell (2000), alguns aspectos podem ser considerados como motivadores para a utilização de um IDS, pois eles podem realizar:

1. a intimidação de usuários que buscam atacar ou fazer uso indevido de sistemas computacionais. O conhecimento, de parte daqueles usuários, de que a possibilidade de detecção das tentativas ou dos ataques realizados pode ser uma forma de se mudar o comportamento desses mesmos usuários;

2. a detecção de ataques e outros tipos de violações de segurança que não são previstas pelos demais mecanismos de segurança;

3. a existência de um histórico documentado com as ameaças ocorridas ao sistema de informação da organização junto à mesma;

4. atuação como controle de qualidade para o projeto e a administração de segurança, principalmente em organizações de grande escala e complexas;

5. melhorias das informações sobre as intrusões ocorridas, que servirão como referência para melhorar os diagnósticos, recuperação e correção das falhas existentes.

Por conseguinte, pode-se concluir que a utilização de IDS será mais um mecanismo o qual ajudará a organização que os adota a conhecer o que realmente se passa na sua rede, ajudando-a nas tomadas de decisão e atividades a serem realizadas durante ou após um incidente de segurança no seu sistema de informação.

Características do IDS

Entretanto, para que um IDS possa realmente ser um mecanismo de segurança eficiente, deve apresentar algumas características. Segundo Ned (1999), uma ferramenta de IDS deve possuir as seguintes características:

1. ser executado de forma contínua, sem interação humana e ser seguro o suficiente, de forma a permitir sua operação no modo promíscuo;

2. ser tolerante a falhas, de forma que a sua base de conhecimento não se torne inconsistente;

3. resistir às tentativas de alterações na sua base de conhecimento, mantendo um monitoramento para garantir a sua segurança;

4. prover o mínimo de impacto no funcionamento do sistema;

5. poder detectar mudanças quanto ao funcionamento normal do sistema;

6. ser de fácil configuração, de forma que qualquer alteração possa ser realizada rapidamente;

7. cobrir as mudanças do sistema durante o tempo, como no caso de uma nova aplicação que comece a fazer parte do sistema;

8. ser capaz de minimizar ao máximo os prováveis erros de detecção e análise de intrusões.

Quando se falou há pouco em minimizar possíveis erros de avaliação, fez-se referência aos seguintes tipos de erros da ferramenta IDS, por exemplo:

1. falso positivo – ocorre quando a ferramenta classifica uma ação como uma possível intrusão, embora, na verdade, trate-se de uma ação legítima;

2. falso negativo – ocorre quando uma intrusão real acontece, mas a ferramenta permite que ela passe como se fosse uma ação legítima;

3. subversão – ocorre quando o intruso modifica a operação da ferramenta de IDS para forçar a ocorrência de falso negativo.

Importante

Além das características citadas por Ned (1999), o IDS deve ser inteligente o suficiente para analisar todo o tráfego que passa por essa ferramenta e, assim, estabelecer um perfil desse tráfego.

Essa análise irá gerar uma base de conhecimento a partir da qual o IDS passará a ter condições de estabelecer um conjunto de assinaturas (padrões de ataques) que a rede poderá sofrer.

O IDS faz uso de padrões para detectar intrusões através de uma descrição precisa (assinatura) do tipo de ataque. A detecção de intrusões pode ser tão simples, quando relacionada a padrão específico, como tipos de pacotes, ou tão complexa quanto o estado de uma máquina ou a descrição de uma rede neural, que mapeia múltiplos sensores para representações abstratas. Esses sistemas podem acusar falsos alarmes, quando as assinaturas são amplas, ou seja, pertencem às intrusões e atividades normais. As assinaturas podem ser desenvolvidas de diferentes formas, como:

• tradução das manifestações de ataques; • aprendizado automático; e, • aprendizado via utilização de informações de sensores.

Sendo assim, com o objetivo de visualizar melhor a arquitetura de um IDS, a figura 1 apresenta os componentes de uma arquitetura básica.

Modelo de IDS

Modelo de IDS

A seguir, encontra-se a descrição de cada um desses componentes:

• origem de dados – componente em que ocorrem as atividades de sistema;

• sensores – componente responsável pela geração de eventos para auditoria;

• analisador de evento – componente responsável pela detecção de intrusão. Ele recebe os dados dos sensores e faz uma análise buscando por anomalias ou padrões que caracterizem um possível ataque;

• gerente – componente responsável pela configuração do sistema e por notificar os operadores;

• operador – componente responsável por analisar os alertas; ele pode dar uma resposta, ou não;

• administrador – componente responsável por definir as políticas de segurança.

Tipos de IDS

São definidos 2 tipos de IDS, os baseado em máquina e os baseado na rede.

IDS baseado em máquina

A maioria dos sistemas de coleta baseada em máquina capta dados de forma contínua, de acordo com o uso do sistema operacional. Porém coletas periódicas de estados do sistema também podem prover dados para revelar mudanças inesperadas.

Esses sistemas de coleta, muitas vezes modulares dentro do IDS, não devem expor os dados coletados e os arquivos de logs a ameaças. A escolha de itens a serem auditados e o nível de detalhes a ser registrado nessa auditoria direcionam o processo de detecção de intrusão.

IDS baseado na rede

Tem como objetivo observar o tráfego de rede que chega e sai em sistemas, buscando sinais de intrusão nos dados deste. Este método é o mais utilizado pelos programas de detecção de intrusão.

Esta abordagem tem como vantagem a utilização de um sensor no monitoramento de várias máquinas, trabalhando na detecção de ataques a elas. E, como desvantagens: a não detecção de ataques realizados a partir de um console (local); a dificuldade de detectar ataques a serviços que utilizam criptografia no canal de comunicação.

Estratégias de Controle do IDS

As estratégias de controle do IDS são responsáveis em determinar como os elementos de uma tal ferramenta são controlados, bem como as entradas e saídas de pacotes são gerenciadas. São especificados 3 tipos dessas estratégias. Acompanhe.

Centralizada

Todo o monitoramento, a detecção e o relatório das informações são controlados diretamente por um monitor central. Conforme apresentado na figura 2, o IDS console recebe as informações dos IDS de máquina e de rede.

Estratégia de controle centralizado

Estratégia de controle centralizado

Distribuída parcialmente

Nessa estratégia, o monitoramento e a detecção são controlados por um nó de controle local, que está hierarquicamente subordinado a dispositivo central, o qual reporta as suas informações. A figura 3 mostra que para cada sub-rede existe um IDS console que coleta as informações e as repassa para o IDS da empresa.

Estratégia de controle distribuída parcialmente

Estratégia de controle distribuída parcialmente

Distribuída totalmente

Nessa estratégia, o monitoramento e a detecção são realizados por agentes, em as decisões às respostas são realizadas em pontos de análise. A figura 4 apresenta os agentes em pontos do sistema computacional onde eles são responsáveis em coletar e tomar as devidas decisões.

Estratégia de controle distribuída totalmente

Estratégia de controle distribuída totalmente

Referências

BACE, Rebeca e MELL, Peter. Intrusion detection systems, NIST Special Publication on IDS, 2000.

Heady, Luger, Maccabe e Servilla, 1990.

NED, Frank. Ferramentas de IDS, Boletim bimestral sobre tecnologia de redes produzido e publicado pela RNP – Rede Nacional de Ensino e Pesquisa, n. 5, v.3, 1999.

MAFRA, Paulo Manoel. IDS, LCMI – Florianópolis: UFSC, 2005.

Autor: Ms. Luiz Otávio Botelho Lento

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *