Detector de Intrusos
A maneira mais comum para descobrir intrusões é a utilização dos dados das auditorias gerados pelos sistemas operacionais e ordenados em ordem cronológica de acontecimento, sendo possível à inspeção manual destes registros, o que não é uma prática viável, pois estes arquivos de logs apresentam tamanhos consideráveis.
Nos últimos anos, a tecnologia de detecção de intrusão (Intrusion Detection System – IDS) tem se mostrado uma grande aliada dos administradores de segurança. Basicamente, o que tais sistemas fazem é tentar reconhecer um comportamento ou uma ação intrusiva, através da análise das informações disponíveis em um sistema de computação ou rede, para alertar um administrador e / ou automaticamente disparar contra-medidas. Para realizar a detecção, várias tecnologias estão sendo empregadas em produtos comerciais ou em projetos de pesquisas, as tecnologias utilizadas incluem análise estatística, inferência, inteligência artificial, data mining, redes neurais e diversas outras.
Um IDS automatiza a tarefa de analisar dados da auditoria. Estes dados são extremamente úteis, pois podem ser usados para estabelecer a culpabilidade do atacante e na maioria das vezes é o único modo de descobrir uma atividade sem autorização, detectar a extensão dos danos e prevenir tal ataque no futuro, tornando desta forma o IDS uma ferramenta extremamente valiosa para análises em tempo real e também após a ocorrência de um ataque.
Classificação de Detectores de Intrusão
O IDS tem como principal objetivo detectar se alguém está tentando entrar em um sistema ou se algum usuário legítimo está fazendo mau uso do mesmo. Esta ferramenta é executada constantemente em background e somente gera uma notificação quando detecta alguma ocorrência que seja suspeita ou ilegal. Os sistemas em uso podem ser classificados com relação a sua forma de monitoração (origem dos dados) e aos mecanismos (algoritmos) de detecção utilizados.
Quanto à Origem dos Dados
Existem basicamente dois tipos de implementação de ferramentas IDS:
- Host Based IDS (HIDS) – são instalados em servidores para alertar e identificar ataques e tentativas de acesso indevido à própria máquina, sendo mais empregados nos casos em que a segurança está focada em informações contidas em um servidor;
- Network Based IDS (NIDS) – são instalados em máquinas responsáveis por identificar ataques direcionados a toda a rede, monitorando o conteúdo dos pacotes de rede e seus detalhes como informações de cabeçalhos e protocolos.
Os sistemas NIDS podem monitorar diversos computadores simultaneamente. Todavia, sua eficácia diminui na medida em que o tamanho e a velocidade da rede aumenta, pela necessidade de analisar os pacotes mais rapidamente. Além disso, o uso de protocolos cifrados (baseados em SSL – Secure Socket Layer) torna o conteúdo dos pacotes opaco ao IDS. A velocidade da rede e o uso de criptografia não são problemas para os sistemas HIDS. Todavia, como esse sistema é instalado na própria máquina a monitorar, pode ser desativado por um invasor bem-sucedido. Existem IDS que trabalham de forma híbrida, ou seja,combinando as duas técnicas citadas anteriormente.
Quanto à Forma de Detecção
Muitas ferramentas de IDS realizam suas operações a partir da análise de padrões do sistema operacional e da rede tais como: utilização de CPU, E/S de disco, uso de memória, atividades dos usuários, número de tentativas de login, número de conexões, volume de dados trafegando no segmento de rede entre outros. Estes dados formam uma base de informação sobre a utilização do sistema em vários momentos ao longo do dia. Algumas ferramentas possuem bases com padrões de ataque (assinaturas) previamente constituído, permitindo também a configuração das informações já existentes bem como inclusão de novos parâmetros. As técnicas usadas para detectar intrusões podem ser classificadas em:
- Detecção por assinatura – os dados coletados são comparados com uma base de registros de ataques conhecidos (assinaturas). Por exemplo, o sistema pode vasculhar os pacotes de rede procurando seqüências de bytes que caracterizem um ataque de buffer overflow contra o servidor WWW Apache;
- Detecção por anomalia – os dados coletados são comparados com registros históricos da atividade considerada normal do sistema. Desvios da normalidade são sinalizados como ameaças.
- Detecção Híbrida – o mecanismo de análise combina as duas abordagens anteriores, buscando detectar ataques conhecidos e comportamentos anormais.
A detecção por assinatura é a técnica mais empregada nos sistemas de produção atuais. Um exemplo de IDS baseado em assinatura é o SNORT. Os sistemas antivírus também adotam a detecção por assinatura. A detecção de intrusão por anomalia ainda é pouco usada em sistemas de produção.
Enviar um comentário
Enviar um comentário