Administração e gerência
de redes
Aula 11
Sistemas de detecção de intrusos
Prof. Diovani Milhorim
IDS: Sistemas de detecção de intrusos
Um sistema de detecção de intrusos
geralmente detecta manipulações de
sistemas de computadores indesejadas,
normalmente através da internet. Essas
manipulações normalmente vêm de
ataques produzidos por hackers.
IDS: Sistemas de detecção de intrusos
Os IDS são usados para detectar
vários tipos de comportamentos maliciosos
que podem comprometer a segurança e a
confiabilidade de um sistema. Eles incluem
ataques pela rede contra serviços
vulneráveis, ataques baseados em uma
estação, como aumento de privilegio,
logins não autorizados e malware.
IDS: Sistemas de detecção de intrusos
Existem três tipos de IDS presentes hoje
no mercado, além do hibrido, que seria
uma combinação de técnicas. São eles:
- Baseados na estação;
- Baseados na rede;
- Baseados em pilhas;
IDS: Sistemas de detecção de intrusos
IDS baseados na estação:
Os sistemas baseados em estação foram os
primeiros tipos de IDS a serem desenvolvidos e
implementados. Eles começaram no inicio dos
anos 80. Os IDS de estação podem ser instalados
em diferentes tipos de maquinas, como
servidores, estações de trabalho e notebook.
Esses sistemas coletam e analisam dados
originados nos computadores que hospedam um
serviço.
IDS: Sistemas de detecção de intrusos
IDS baseados na estação:
Uma vez que o dado é agregado em um dado
computador, ele pode ser analisado localmente
ou enviado para uma maquina central de analise.
Um exemplo de sistema baseado em estação são
programas que operam em um sistema e
recebem aplicações ou logs do sistema
IDS: Sistemas de detecção de intrusos
IDS baseados na estação:
Vantagens dos IDS baseados em estação:
 Como podem monitorar eventos localmente, os IDS de
estação conseguem detectar ataques que não
conseguem ser detectados por IDS de rede;
 Trabalham em ambientes onde o trafego seja
criptografado, desde que os dados sejem encriptados na
estação antes do envio ou decriptados nos host após o
recebimento;

Não são afetados por switches;
IDS: Sistemas de detecção de intrusos
IDS baseados na estação;
Desvantagens dos IDS baseados em estação:




São de difícil monitoramento, já que em cada estação deve ser
instalado e configurado um IDS;
Podem ser desativados por DoS;
Recursos computacionais são consumidos nas estações
monitoradas, com diminuição do desempenho.
O IDS pode ser atacado e desativado, escondendo um ataque,
se as fontes de informações residirem na estação monitorada.
Alguns IDS de estação comercializados: RealSecure, ITA,
Squire, e Entercept.
IDS: Sistemas de detecção de intrusos
IDS baseados na rede:
A maioria dos IDS comerciais é baseada em
rede. Analisam pacotes de dados que trafegam
pela rede examinados e algumas vezes
comparados com dados empíricos para verificar a
sua natureza: maliciosa ou benigna. Pelo fato de
serem responsáveis pelo monitoramento da rede,
ao invés de uma simples estação, os IDS de rede
tem a tendência de serem mais distribuídos do
que os IDS baseados em estação
IDS: Sistemas de detecção de intrusos
IDS baseados na rede:
IDS de rede usa técnicas como “packet-sniffing”,
para pegar dados do TCP/IP ou pacotes de outros
protocolos pela rede. IDS de rede são ótimos em
detectar tentativas de acesso por fora da rede
confiável. Normalmente consistem em um
conjunto de sensores implantado em diversas
partes da rede, monitorando o trafego, realizando
analises e relatando ataques a uma central.
IDS: Sistemas de detecção de intrusos
IDS baseados na rede:
Vantagens do IDS baseado em rede:



Com um bom posicionamento, pode haver apenas
poucos IDS instalados para monitorar uma rede grande;
Um pequeno impacto é provocado na rede com a
instalação desses IDS, pois são passivos, e não
interferem no funcionamento da rede;
Difíceis de serem percebidos por atacantes e com
grande segurança contra ataques;
IDS: Sistemas de detecção de intrusos
IDS baseados na rede:
Desvantagens do IDS baseado em rede:




Podem falhar em reconhecer um ataque em um momento de
trafego intenso;
Em redes mais modernas baseadas em switches, algumas das
vantagens desse tipo de IDS não se aplicam;
Não conseguem analisar informações criptografadas, sendo um
grande problema, visto que muitos atacantes utilizam
criptografia em suas invasões;
Grande parte não pode informar se o ataque foi ou não bem
sucedido, podendo apenas alertar quando o ataque foi iniciado.
IDS: Sistemas de detecção de intrusos
IDS baseados em pilha:
Essa é a tecnologia de IDS mais nova.Este tipo de IDS
funciona integrando próximo à pilha TCP/IP, permitindo que
pacotes sejam vistos quando eles fazem seu caminho
através das camadas OSI. Vendo os pacotes desse jeito
permite ao IDS verificar o pacotes da pilha antes que o
sistema operacional ou a aplicação tenham a chance de
processar os pacotes. Esse IDS deve olhar o trafego
entrando e saindo do sistema. Monitorando apenas pacotes
de rede destinados apenas para uma simples estação.
IDS: Sistemas de detecção de intrusos
Métodos de detecção:
Para cada um dos tipos de detecção, existem
duas técnicas bastante utilizadas para detectar
intrusos: detecção de anomalias e detecção de
assinaturas:
 Detecção de Anomalia
 Detecção de Assinaturas
IDS: Sistemas de detecção de intrusos
Métodos de detecção: Detecção de Anomalia
O IDS que usa essa técnica estabelece uma base com
padrões de uso normal, e tudo o que desviar bastante disso
será marcado como uma possível intrusão. O que é
considerado anomalia pode variar, mas normalmente,
qualquer incidente que ocorra com freqüência de mais ou
menos dois desvios padrões da norma estatística gera uma
preocupação. Esses detectores constroem um padrão de
comportamento para os usuários, hosts e conexões de
rede.
IDS: Sistemas de detecção de intrusos
Métodos de detecção: Detecção de Anomalia
Vantagens da detecção por anomalias:


Como detecta comportamentos não usuários,
pode detectar um ataque sem conhecimento
prévio do mesmo.
Gera informações que podem ser usadas para
definir assintauras;
IDS: Sistemas de detecção de intrusos
Métodos de detecção: Detecção de Anomalia
Desvantagens da detecção por anomalias:


É comum produzir grande numero de alarmes
falsos, devido a comportamentos imprevisíveis
dos usuários e de sistema.
Devem ser realizadas muitas sessões para
coletar dados para o sistema, com o intuito de
caracterizar os padrões de comportamento;
IDS: Sistemas de detecção de intrusos
Métodos de detecção: Detecção de assinaturas
Detecção de assinaturas envolve a procura em
trafego de rede de bytes ou seqüências de
pacotes conhecidos como maliciosos. Uma
vantagem chave desse método é que assinaturas
são fáceis de serem desenvolvidas e entendidas
se sabida o comportamento da rede que se esta
tentando identificar.
IDS: Sistemas de detecção de intrusos
Métodos de detecção: Detecção de assinaturas
Os eventos gerados por um IDS baseado em assinaturas
podem comunicar o que causou o alerta. Também, testes
de correlacionamento podem ser executados bem rápido
em modernos sistemas, então a energia necessária para
executar essas checagens pode ser mínima para um
conjunto de regras. Como exemplo, se o sistema só se
comunicar via DNS, ICMP e SMTP, todas as outras
assinaturas
podem
ser
removidas.
IDS: Sistemas de detecção de intrusos
Métodos de detecção: Detecção de assinaturas
Para sistemas baseados em estação, um
exemplo de assinatura é três logins falhos. Já
para IDS de rede, uma assinatura pode ser
simplesmente teste padrão que combina com
uma porção de pacotes de redes, como por
exemplo, assinaturas de pacotes e/ou assinaturas
de cabeçalho que possam indicar ações não
autorizadas.
IDS: Sistemas de detecção de intrusos
Métodos de detecção: Detecção de assinaturas
Vantagens da detecção baseada em assinaturas.

Comparadas às detecções por anomalia, são muito mais
eficientes, gerando um numero bem menor de alarmes falsos.
Desvantagens da detecção baseada em assinaturas.


Somente identificam ataques conhecidos, por isso, necessita
de uma constante atualização no conjunto de assinaturas;
Como grande parte das assinaturas são muito especificas,
ataques variantes não são detectados;
IDS: Sistemas de detecção de intrusos
Política do IDS
Antes de instalar o sistema de detecção de intrusos na rede, uma
política para detectar intrusos e tomar ações quando essas
atividades são encontradas, deve ser criada. Essa política deve
ditar as regras do IDS e como elas serão aplicadas.






Quem irá monitorar o IDS?
Quem irá administrar o IDS
Quem irá manipular os incidentes e como
Relatório.
Updates de assinaturas.
Documentação
IDS: Sistemas de detecção de intrusos
SNORT




Snort é um software livre de detecção de intrusão para rede
desenvolvido inicialmente por Martin Roesch,
Executa análise de protocolo (baseado em rede), buscando
padrões de conteúdo e pode ser usado para detectar uma
variedade de ataques.
Esta ferramenta é suportada em arquiteturas RISC e CISC e
em plataformas das mais diversas, como várias distros
Linux
(Red
Hat,
Debian,Slackware,
etc...)
OpenBSD, FreeBSD, NetBSD, Solaris, SunOS, etc..
No Brasil existe o projeto Snort-BR, um esforço para a criação
de uma comunidade de usuários da ferramenta opensource para IDS no país.