IDS - Sistemas de detecção de intrusão

Abril 2017

O que é o sistema de detecção de intrusões

Chama-se IDS (Intrusion Detection System, em português, Sistema de detecção de intrusões) um mecanismo que ouve o tráfego na rede de maneira furtiva, para localizar atividades anormais ou suspeitas permitindo, assim, ter uma ação de prevenção em relação aos riscos de intrusão. Existem duas grandes famílias distintas de IDS: os N-IDS (Network Based Intrusion Detection System, em português, Sistema de detecção de intrusões baseado na rede), que garantem a segurança a nível da rede e os H-IDS (Host Based Intrusion Detection System, em português, Sistema de Detecção de Intrusões Baseado no Host), que asseguram se ocupam da segurança dos hóspedes.

O N-IDS necessita um material dedicado e constitui um sistema capaz de controlar os pacotes que circulam numa ou várias conexõe (s) de rede, com o objetivo de descobrir se um ato malicioso ou anormal está acontecendo. O N-IDS coloca uma ou várias placas de interface de rede do sistema dedicado em modo promíscuo (promiscuous mode), ou seja, em modo furtivo para que não tenham endereço IP nem tampouco uma pilha de protocolos associada. É bastante frequente encontrar vários IDS nas diferentes partes da rede e, em especial, colocar uma sonda fora da rede para estudar as tentativas de ataques, bem como, uma sonda interna para analisar os pedidos que atravessaram o firewall ou que efetuadas do interior:

schema de placement de N-IDS sur un réseau

O H-IDs reside em um hóspede específico e a gama destes softwares cobre, consequentemente, uma grande parte dos sistemas operacionais, como o Windows, o Solaris, HO-UX e Aix, o Linux, etc.

O H-IDs comporta-se como um deamon (demónio) ou um serviço standard em um sistema hóspede. Tradicionalmente, o H-IDS analisa informações específicas nos diários de registros (syslogs, messages, lastlog, wtmp…) e também captura os pacotes de redes que entram/saem do hóspede, para detectar sinais de intrusões (Recusa de Serviços, de Backdoors, cavalos de Troia, tentativas de acesso não - autorizados, execução de códigos maliciosos, ataques por profusão de buffeurs…).

As técnicas de detecção

O tráfego de rede (Internet) é constituído geralmente por datagramas IP. O N-IDS é capaz de capturar pacotes de dados quando circulam nas conexões físicas nas quais está conectado. Ele consiste em uma pilha de protocolos TCP/IP que reúne os datagramas IP e as conexões TCP.

Para reconhecer as instruções ele lança mão de várias técnicas, vejamos quais são elas:

Verificação da pilha de protocolos: um número de intrusões, como por exemplo Ping-Of-Death e TCP Stealth Scanning recorrem a violações dos protocolos IP, TCP, UDP, e ICMP com o objetivo de atacar um computador. Uma simples verificação do protocolo pode mostrar os pacotes inválidos e assinalar este tipo de técnica, que é muito usada.

Verificação dos protocolos aplicativos: numerosas intrusões utilizam comportamentos inválidos dos protocolos, como, por exemplo, WinNuke, que utiliza dados NetBIOS inválidos (adição de dados OOB data). Para detectar eficazmente este tipo de intrusão, o N-IDS deve repetir uma grande variedade de protocolos aplicativos como NetBIOS, TCP/IP, etc. Esta técnica é rápida (não é necessário procurar sequências de bytes no banco de assinaturas), elimina em parte os falsos alertas e mostra-se, por isso, mais eficiente. Por exemplo, graças à análise dos protocolos o N-IDS distinguirá um acontecimento de tipo Back Orifice PING (perigosidade baixa) de um acontecimento de tipo Back Orifice COMPROMISE (perigosidade elevada).

Reconhecimento dos ataques por Pattern Matching (correpondência de padrões): esta técnica de reconhecimento de intrusões é o mais antigo método das análise do N-IDS e é, ainda, muito comum. Trata-se da identificação de uma intrusão pelo simples exame de um pacote e o reconhecimento em uma sequência de bytes do pacote de uma sequência característica de uma dada assinatura. Por exemplo, a investigação da cadeia de caracteres
/cgi-bin/phf
, que indica uma tentativa de exploração do certificado CGI (Certificado de segurança Digital), chamado 'phf'. Este método é utilizado como complemento de filtros nos endereços IP de origem, usados pelas conexões, pelas portas fontes e/ou de destino. Pode-se usar este método de reconhecimento para determiná-lo com a sucessão ou a combinação de flags TCP (bandeiras).

Esta técnica é generalizada nos NIDs de tipo Network Grep (rede Grep), baseado na captura dos pacotes brutos em uma conexão supervisionada, e na comparação via um parser (analisador) de tipo expressões regulares que vai tentar ver se há correspondência nas sequências do banco de assinaturas, byte por byte, com o conteúdo do pacote capturado.

A principal vantagem desta técnica reside na facilidade da sua atualização e evidentemente na quantidade das assinaturas contidas na base dos NIDS. No entanto, não há nenhuma certeza de que quantidade rima com qualidade. Por exemplo, os 8 bytes
CE63D1D2 16E713CF
quando são dispostos no início dos dados do protocolo UDP, indicam o tráfego Back Orifice com uma senha padrão. Mesmo que, 80% das intrusões, utilizem a senha configurada por padrão, os outros 20% utilizam senhas personalizadas e não são absolutamente reconhecidas pelos NIDS. Por exemplo, se uma senha for alterada - evadir-se, a sequência de bytes transformar-se-á em
8E42A52C 0666BC4A
, o que se traduzirá automaticamente por uma ausência de sinalização dos NIDS. Esta técnica provoca inegavelmente um número importantes de falsos alertas ou falsos positivos.

Existem, igualmente, métodos para detectar e assinalar uma intrusão, como o reconhecimento dos ataques por Pattern Matching Stateful (padrão correspondente) e/ou a auditoria de tráfego de redes perigosas ou anormais.

Resumindo, um N-IDS perfeito é um sistema que utiliza o melhor de cada uma das técnicas citadas acima.

Os métodos dos IDS

Os principais métodos utilizados para assinalar e bloquear as intrusões nos N-IDS são os seguintes:


Reconfiguração de equipamento de terceiros (firewall, ACL nos roteadores): é uma ordem enviada pelos N-IDS a um equipamento de terceiro (filtro de pacotes, firewalls) para reconfiguração imediata com o objetivo de bloquear um intruso na fonte de intrusões. Esta reconfiguração é possível através da passagem das informações que detalham um alerta.

Envio de um trap SNMP a um hipervisor de terceiro (armadilha SNMP): é o envio do alerta (e o detalhe das informações que o constituem) em formato de um datagrama SNMP a um console de um terceiro como HP OpenView, Tivoli, Cabletron Spectrum, etc.

Envio de um e-mail a um ou vários usuários: é o envio de um e-mail para uma ou várias caixas de correio para notificar uma intrusão considerada muito séria.

Registro (log) do ataque : é o backup dos detalhes do alerta em um banco de dados central, como, por exemplo, as informações imestamp, @IP do intruso, @IP do alvo, protocolo utilizado, payload).

Backup dos pacotes suspeitos: é o backup do conjunto dos pacotes redes (raw packets) capturados e/ou dos pacotes que desencadearam um alerta.

Início de uma aplicação: é o lançamento de um programa externo para executar uma ação específica (envio de uma mensagem SMS, emissão de um alerta auditivo, etc.)..

Envio de um ResetKill: é a construção de um pacote TCP FIN para forçar o fim de uma conexão (unicamente válido para as técnicas de intrusão que utilizam o protocolo de transporte TCP).

Notificação visual do alerta: é a exibição do alerta em um ou vários console(s) de gerenciamento.

Quais são os desafios e as características dos IDS

Os editores e a crítica especializada enfatizam cada vez mais a importância de substituir os IDS tradicionais pelos IPS ou pelo menos, a necessidade de distingui-los.


O IPS é, na verdade, um sistema de prevenção e de proteção contra as intrusões e não somente um simples sistema de reconhecimento e de alertas de intrusões, como a maior parte dos IDS. A diferença entre um IDS (rede) e um IPS (rede) reside principalmente em 2 características: no posicionamento como corte na rede do IPS, não somente na escuta da rede como para o IDS (tradicionalmente posicionado como um sniffer na rede) e na possibilidade de bloquear imediatamente as intrusões, sem relação com o tipo de protocolo de transporte utilizado nem na reconfiguração de um equipamento de terceiros, evidenciando que o IPS é constituído nativamente como uma técnica legítima para filtrar os pacotes e os meios de bloqueio (drop connection, drop offending packets, block intruder,…).


.

Veja também


Intrusion detection systems (IDS)
Intrusion detection systems (IDS)
Sistema de detección de intrusiones (IDS)
Sistema de detección de intrusiones (IDS)
Systèmes de détection d'intrusion (IDS)
Systèmes de détection d'intrusion (IDS)
Intrusion Detection System (IDS)
Intrusion Detection System (IDS)
Program komputerowy
Program komputerowy
Última modificação: 23 de abril de 2017 às 08:06 por ninha25.
Este documento, intitulado 'IDS - Sistemas de detecção de intrusão ', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.