IDS-Intrusion Detection System
Chama-se IDS (Intrusion Detection System) a um
mecanismo que ouve o tráfego na rede de maneira
furtiva, para localizar atividades anormais ou suspeitas e
permitindo assim ter uma acção de prevenção sobre os
riscos de intrusão.
IDS-Intrusion Detection System
Existem duas grandes famílias distintas de IDS:
•Os N-IDS (Network Based Intrusion Detection System), asseguram a segurança
a nível da rede.
•Os H-IDS (Host Based Intrusion Detection System),asseguram a segurança a
nível dos hóspedes.
IDS-Intrusion Detection System
O N-IDS necessita um material dedicado e
constitui um sistema capaz de controlar os
pacotes que circulam numa ou várias ligações
de rede, com o objetivo de descobrir se um ato
malicioso ou anormal tem lugar.
IDS-Intrusion Detection System
O H-IDs comporta-se como um serviço num sistema hóspede.
Tradicionalmente, o H-IDS analisa informações específicas nos diários de registros
(syslogs, messages, lastlog, wtmp…) .
Captura os pacotes de rede que entram/saem do hóspede, para detectar sinais de
intrusões
IDS-Intrusion Detection System
As técnicas de detecção
O tráfego da rede (Internet) é constituído geralmente por datagramas IP.
O N-IDS é capaz de capturar os pacotes quando circulam nas ligações físicas
sobre às quais está conectado.
O N-IDS consiste numa pilha de TCP/IP que reúne os datagramas IP e as
conexões TCP.
Podemos aplicar as técnicas seguintes para reconhecer as intrusões:
IDS-Intrusion Detection System
Verificação da pilha protocolar :
Um número de intrusões, como por exemplo “Ping-Of-Death” e “TCP Stealth
Scanning” recorrem a violações dos protocolos IP, TCP, UDP, e ICMP com o objetivo
de atacar uma máquina. Uma simples verificação protocolar pode realçar os pacotes
inválidos e assinalar este tipo de técnica muito usada.
Verificação dos protocolos aplicativos :
Numerosas intrusões utilizam comportamentos protocolares inválidos, como por
exemplo “WinNuke”, que utiliza dados NetBIOS inválidos (adição de dados OOB
data). Para detectar eficazmente este tipo de intrusão, o N-IDS deve re-aplicar uma
grande variedade de protocolos como NetBIOS, TCP/IP
IDS-Intrusion Detection System
Reconhecimento dos ataques por “Pattern Matching”:
Esta técnica de reconhecimento de intrusões é o mais antigo método de análise do
N-IDS e é ainda muito usada
Esta técnica é generalizada nos NIDs de tipo “Network Grep”, baseado na captura
dos pacotes brutos numa ligação supervisionada, e comparação via um parser
de tipo “expressões regulares” que vai tentar fazer corresponder as sequências da
base de assinaturas byte por byte com o conteúdo do pacote capturado.
IDS-Intrusion Detection System
IDS-Intrusion Detection System
O MODELO CONCEITUAL DE UMA FERRAMENTA DE IDS
Devido a grande variedade de sistemas de IDS, foi proposto um modelo chamado
CIDF (Common Intrusion Detection Framework) que agrupa um conjunto de
componentes que define uma ferramenta de IDS:
*
*
*
*
Gerador de Eventos (E-boxes);
Analizador de Eventos (A-boxes);
Base de dados de Eventos (D-boxes);
Unidade de Resposta (R-boxes).
IDS-Intrusion Detection System
Segundo a padronização do CIDF, existe um modelo de linguagem para troca de
informações entre os componentes, o CISL - Common Intrusion Specification Language
- este formato é referenciado como GIDO - Generalized Intrusion Detection Objects.
O Gerador de Eventos - (E-box)
A função deste componente é obter os eventos a partir do meio externo ao CIDF, ou
seja, ele "produz" os eventos mas não os processa, isso fica a cargo do componente
especializado na função de processamento, que, por sua vez, após analisar os eventos
(violação de política, anomalias, intrusão) envia os resultados para outros componentes.
IDS-Intrusion Detection System
O Analisador de Eventos - (A-box)
Este componente, basicamente, recebe as informações de outros componentes,
as analisa e as envia de forma resumida para outros componentes, ou seja,
recebe os dados de forma bruta, faz um refinamento e envia para outros.
A Base de Dados de Eventos - (D-box)
A função deste componente é armazenar os eventos e/ou resultados para uma
necessidade futura.
A Unidade de Resposta - (R-box)
Este componente é responsável pelas ações, ou seja, matar o processo,
reinicializar a conexão, alterar a permissão de arquivos, notificar as estações de
gerência, etc.
IPS-Intrusion Prevention System
Um sistema de prevenção de intruso (em inglês: Intrusion Prevention
System) é um dispositivo de segurança de rede que monitora o tráfego e/ou
atividades dos sistema em busca de comportamentos maliciosos ou não desejáveis,
em tempo real, para bloquear ou prevenir essas atividades.
Um IPS baseado em rede, por exemplo, vai operar em linha para monitorar todo o
tráfego em busca de códigos maliciosos ou ataques.
Quando um ataque é detectado, é possível bloquear os pacotes danosos enquanto
o tráfego normal continua seu caminho.
IPS-Intrusion Prevention System
IPS-Intrusion Prevention System
Os IPS possuem algumas vantagens sobre sistemas de detecção de intrusão (IDS).
Uma vantagem é que eles são projetados para estar em linha com os fluxos de tráfego e
impedir ataques em tempo real.
Além disso, a maioria das soluções IPS têm a capacidade de olhar (decodificar) 7
protocolos como HTTP, FTP, SMTP e que prevê uma maior sensibilização.
A possibilidade de bloquear imediatamente as intrusões e independentemente do tipo
de protocolo de transporte utilizado e sem reconfiguração de um equipamento
terceiro.
O que induz que o IPS é constituído como nativo numa técnica de filtragem de pacotes
e meios de bloqueio (drop connection, drop offending packets, block intruder,…).
IPS-Intrusion Prevention System
IPS-Intrusion Prevention System