Um sistema de detecção de intrusão (IDS) é um aplicativo ou dispositivo usado para coletar e analisar informações que passam por uma rede ou host. Um IDS é projetado para analisar, identificar e relatar qualquer violação ou uso indevido de uma rede ou host.
Vamos dar uma olhada como funciona um IDS. Um IDS é usado para monitorar e proteger redes detectando atividades mal-intencionadas e relatando-as a um grupo ou contato, como um administrador de rede. Uma vez que as atividades desse tipo são detectadas, um administrador é alertado.
Aqui estão algumas coisas para se manter em mente à medida que avançamos. Um IDS:
- Foi concebido para detectar comportamentos maliciosos ou não-padrão;
- Reúne informações de uma rede para detectar violações da política de segurança;
- Relata violações e desvios a um administrador ou proprietário de sistema;
Um IDS de rede (NIDS) é um sniffer de pacotes. A diferença entre um sniffer de pacotes e um NIDS é que um NIDS inclui um mecanismo de regras, que compara o tráfego contra um conjunto de regras que determinam a diferença entre tráfego e atividades legítimas e maliciosas.
Os Quatro Tipos de Sistemas de Detecção de Intrusão
Na prática, existem quatro tipos de IDSs, cada um oferecendo capacidades únicas que os outros não tem. Vamos primeiro discutir os tipos disponíveis e onde cada um se encaixa. Então vamos entender cada um.
- O primeiro tipo, e um dos mais comuns, é o NIDS. O NIDS foi projetado para inspecionar cada pacote que atravessa a rede pela presença de comportamento malicioso ou prejudicial e, quando a atividade maliciosa é detectada, emite um alerta. O NIDS é capaz de monitorar o tráfego do roteador para o próprio host. Muito parecido com um sniffer de pacotes, um NIDS opera de forma semelhante a uma placa de rede em modo promíscuo. Na prática, este tipo de IDS pode assumir a forma de um computador dedicado ou o mais comum que é o design caixa-preta (que é um dispositivo dedicado).
- O próximo tipo principal de IDS é o sistema de detecção de intrusão baseado em host (HIDS), que está instalado em um servidor ou computador. Um HIDS é responsável por monitorar as atividades em um sistema. É capaz de detectar o uso indevido de um sistema, incluindo abusos internos. Sua localização em um host coloca o HIDS próximo às atividades que ocorrem com um host, bem como em uma posição perfeita para lidar com ameaças nesse host. HIDSs são comumente disponíveis na plataforma Windows, mas são encontrados em sistemas Linux e Unix também.
- Os monitores de arquivos de log (Log File Monitors – LFMs) monitoram arquivos de log criados por serviços de rede. O IDS do LFM pesquisa os registros e identifica eventos maliciosos. Como os NIDS, esses sistemas procuram padrões nos arquivos de log que sugerem uma intrusão. Um exemplo típico seria parsers para arquivos de log do servidor HTTP que procuram intrusos que tentam usar brechas de segurança bem conhecidas, como o ataque phf. Um exemplo de um programa de monitoramento de arquivos de log é swatch.
- Mecanismos de verificação de integridade de arquivos, como o Tripwire, verificam cavalos de Tróia ou arquivos que tenham sido modificados, indicando que um intruso já esteve lá.
Outra forma de mecanismo de proteção é conhecida como verificador de integridade do sistema (também conhecido como um verificador de integridade de arquivos), que procura alterações em arquivos que podem ser sugestivos de um intruso. Eles também podem monitorar outros objetos, como o registro.
O funcionamento interno de um IDS
O objetivo principal de um IDS é detectar e alertar um administrador sobre um ataque. O administrador pode então determinar, com base nas informações recebidas do IDS, quais as medidas a serem tomadas.
Um IDS funciona da seguinte maneira:
- O IDS monitora as atividades de rede por anomalias, isto é, assinaturas, regras personalizadas ou comportamentos que podem indicar um ataque, tentativa de reconhecimento ou outro comportamento mal-intencionado. Se a atividade detectada corresponder a assinaturas que o IDS tem no registro ou um ataque conhecido, o IDS relata a atividade a um administrador, que então decidirá o que fazer. Com base na configuração no IDS, o sistema também pode tomar ações adicionais, como enviar mensagens de texto ou enviar um e-mail.
- Se o pacote passa o estágio de anomalia, então a análise de protocolo está feita.
Métodos de detecção do IDS
Então, quais mecanismos permitem que um IDS determine o que é um ataque ou o que não é? O que funciona com o mecanismo de regras? Um dos três métodos será utilizado: assinatura, anomalia ou detecção de protocolo.
Detecção por assinatura
A primeira forma de detecção ou reconhecimento baseia-se numa assinatura. Este método é também chamado de detecção de uso indevido. O sistema compara o tráfego com os modelos conhecidos e, quando os resultados são encontrados, relata o ataque.
A correspondência de padrões é a forma mais básica de detecção e é usada em muitos sistemas. O processo baseia-se na comparação de padrões conhecidos contra tráfego capturado. Esses modelos podem estar procurando alterações ou padrões nos sinalizadores do tráfego TCP.
O reconhecimento de assinatura é eficaz na detecção de ataques conhecidos e fraco na detecção de outros que não estão em seu banco de dados. Existe também uma ligeira possibilidade de que outro tráfego não relacionado a um ataque desencadeie um falso positivo. As assinaturas impróprias podem causar falsos positivos e falsos negativos.
A evolução dos ataques e pequenas variações de ataques pode resultar na necessidade de várias assinaturas para um único ataque. Apenas uma única mudança de bit pode desencadear a necessidade de criar uma nova assinatura.
Embora esses problemas possam parecer barrar a implementação de tais sistemas ou pelo menos causar alguma preocupação, este tipo de IDS é amplamente usado.
IDSs baseados em assinatura também têm outro inconveniente potencial: A assinatura
Arquivos devem ser atualizados regularmente. Se um banco de dados de assinatura não for atualizado regularmente, os falsos negativos começarão a ocorrer com mais regularidade. Isso significa que os ataques que deveriam ter sido detectados pelo IDS passaram por não detectados.
Detecção de anomalia
A detecção de anomalias é diferente da detecção de assinaturas na forma como detecta possíveis ataques. Neste sistema, qualquer atividade que não corresponda a algo no banco de dados é considerada uma anomalia. Além disso, qualquer desvio do banco de dados configurado é considerado como um ataque e aciona uma ação adicional. Ao contrário do sistema baseado em assinatura, este tipo de sistema deve ser configurado para entender o que é a atividade normal em uma rede, de modo que ele pode detectar desvios a partir desta linha de base. Se o sistema não é configurado como o que constitui o comportamento normal em uma rede, falsos positivos e negativos podem facilmente tornar-se um problema.
Não é raro que os sistemas baseados em anomalias sejam instalados.
Um modo de aprendizagem permite observar como a sua rede específica se parece ao longo de um período de tempo. Uma vez que um período de observação suficiente passou e um perfil de tráfego típico foi estabelecido, você pode alternar o dispositivo em um modo ativo, e ele vai agir como um IDS normal.
Detecção de Protocolo
O terceiro tipo de detecção utilizado pelos IDSs é a detecção de anomalias de protocolo. Baseia-se nas anomalias que são específicas para um determinado protocolo. Para determinar quais anomalias estão presentes, o sistema usa especificações conhecidas para um protocolo e, em seguida, usa isso como um modelo para comparar o tráfego. Através do uso deste projeto, novos ataques podem ser descobertos.
Este método pode detectar novos ataques antes da detecção de anomalia pura ou detecção por assinatura. O método de detecção depende do uso ou mau uso do protocolo e não do método de ataque em rápida mudança. Ao contrário dos dois métodos anteriores, a detecção de anomalias de protocolo não exige que você baixe atualizações de assinaturas. Alarmes neste tipo de sistema são normalmente apresentados de forma diferente de outros, e assim você deve consultar os guias dos fabricantes, porque cada um pode ser diferente.
Sinais de uma invasão
Então, que tipo de atividades são indicações de um ataque potencial? A que tipo de ações um IDS pode responder? Vejamos atividades que podem indicar que uma invasão ocorreu.
Os sistemas de prevenção de intrusões (Intrusion Prevention System – IPS) funcionam de forma muito semelhante aos IDS, com a capacidade adicional de cortar um ataque bloqueando o tráfego ou bloquear um sistema no nível do host, frustrando assim o ataque.
Intrusões do sistema host
O que é um indicador de um ataque a um host? Uma ampla gama de atividades poderia ser interpretada como um ataque:
- Anomalias no sistema de arquivos, como arquivos desconhecidos, atributos de arquivos alterados e / ou alteração de arquivos;
- Novos arquivos ou pastas que aparecem sem explicação ou cuja finalidade não pode ser determinada. Novos arquivos podem ser um sinal de itens como um rootkit ou um ataque que pode ser espalhado por uma rede;
- Presença de rogue suid ou sgid em um sistema Linux;
- Modificações desconhecidas ou inexplicáveis dos arquivos;
- Extensões de arquivo desconhecidas;
- Nomes de arquivos Cryptic;
- Extensões duplas, como programa.exe.exe
Isto não é uma lista exaustiva. À medida que os invasores evoluem, os ataques também podem ser usados contra um alvo.
Intrusões de rede
As indicações de um potencial ataque de rede ou intrusão incluem os seguintes:
- Aumento do uso e inexplicado da largura de banda da rede;
- Sondas ou serviços em sistemas na rede;
- Solicitações de conexão de IPs desconhecidos fora da rede local;
- Tentativas de login repetidas de hosts remotos;
- Mensagens desconhecidas ou inexplicadas em arquivos de log;
Sinais não específicos de intrusão
Podem aparecer outros sinais que podem indicar a presença de um intruso ou intrusão potencial em andamento:
- Modificações no software do sistema e nos arquivos de configuração;
- Logs ou logs ausentes com permissões ou propriedade incorretas;
- O sistema falha ou reinicia;
- Lacunas na auditoria do sistema;
- Processos não familiares;
- Uso de logins desconhecidos;
- Logins fora do horário de trabalho;
- Presença de novas contas de usuário;
- Falhas nos arquivos de auditoria do sistema;
- Diminuição do desempenho do sistema;
- Falha ou reinicialização do sistema de forma inexplicada;
Tenha em mente que você precisa verificar regularmente os logs por comportamento do sistema inexplicado ou desconhecido. No entanto, como resultado de algumas das técnicas que vimos, esses conteúdos podem ser alterados ou removidos completamente. Sempre verifique o sistema ou ambiente completamente antes de assumir automaticamente que você tem uma invasão.
Sugestões de livros:
Diego Macêdo
Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.