IDS - Detecção de Intrusos
SISTEMA DE DETECÇÃO DE INTRUSOS - IDS (INTRUSION DETECTION SYSTEMS)
Parte essencial de um sistema de segurança, as ferramentas IDS, ou Intrusion Detection System, sem dúvida alguma nunca estiveram tão em destaque na mídia como hoje.
Somente no mês de setembro, foram invadidas cerca de 500 páginas, onde a maioria dos ataques foram feitos por hackers brasileiros, o que poderia ser evitado se algum deles usassem uma ferramenta IDS complementado seu sistema de segurança.
Existem diversos tipos de ferramentas IDS para diferentes plataformas, porém as ferramentas IDS trabalham basicamente de modo parecido, ou seja, analisando os pacotes que trafegam na rede e comparando-os com assinaturas já prontas de ataques, identificando-os de forma fácil e precisa qualquer tipo de anomalia ou ataque que possa vir a ocorrer na rede/computador.
Uma ferramenta IDS serve basicamente para trazer informações sobre rede, informações como:
- Quantas tentativas de ataques sofremos por dia;
- Qual tipo de ataque foi usado;
- Qual a origem dos ataques;
- Enfim, a partir dele, vai-se tomar conhecimento do que realmente se passa em sua rede e em casos extremos, poderá tomar as medidas cabíveis para tentar solucionar qualquer problema.
Vantagens na áreas do IDS
Os especialistas de segurança afirmam que os honeypots podem obter sucesso em áreas onde os IDSs tradicionais são procurados. Especialmente nas situações a seguir:
- Excesso de dados Um dos problemas comuns com o IDS tradicional é que eles geram um volume enorme de alertas. Esse excesso de alertas resulta em gasto de tempo e recursos, além de encarecer também a revisão de dados.
- Falsos positivos. Um dos maiores problemas do IDS é que muitos dos alertas gerados são falsos. Falsos positivos representam um grande problema até mesmo para as empresas que gastam muito tempo ajustando seus sistemas.
- Falsos negativos. As tecnologias IDS podem também encontrar dificuldades na identificação de ataques ou comportamentos desconhecidos. Assim, também, qualquer atividade com um honeypot é considerada anormal, destacando quaisquer ataques novos ou conhecidos.
- Recursos. Um IDS necessita de hardware com muitos recursos para acompanhar o tráfego de rede de uma empresa. À medida que uma rede aumenta sua velocidade e gera mais dados, o IDS deve se tornar maior para que possa acompanhá-la. (O gerenciamento de todos os dados também requer muitos recursos.)
- Criptografia. Cada vez mais empresas estão criptografando todos os seus dados, devido aos problemas de segurança ou às regulamentações (como HIPAA).
SNORT
O SNORT na opinião de muitos especialistas é uma ferramenta muito simples de usar e com recursos extraordinários, eis alguns dos motivos que levaram ele a ter este conceito:
- É um software livre;
- É de fácil manuseio;
- É uma ferramenta confiável (é usada pela SANS no seu on-line training);
- Tem versões para Linux e Windows;
- E pelo principal, funciona.
Como toda ferramenta IDS, nunca consegue-se 100% de acerto no que diz respeito aos ataques, pois sempre acontecerão os “false positives” ou alarmes falsos, porém de todas as ferramentas IDS, talvez o SNORT seja a que menos “false positive” tenha.
Um dos motivos é pela grande quantidade de pessoas que ajudam no desenvolvimento de novas assinaturas de ataques, que vão desde ataques CGI, até o Lion Worm, praga essa que infecta sistemas rodando linux.
Outro ponto a favor do SNORT é que o mesmo permite atualização automática de suas assinaturas de ataque via internet. Com o SNORT, o próprio usuário personaliza sua regra de ataques e escolhe-os da forma que melhor se adapta.
COMO OS HONEYPOTS AUMENTAM O IDS?
Leia: http://blog.segr.com.br/honeypots/
A evolução dos honeypots pode ser entendida através da observação das maneiras como esses sistemas são utilizados juntamente com os IDSs para evitar, detectar e ajudar a responder aos ataques. Os honeypots estão, com certeza, encontrando seu lugar junto às soluções de proteção contra intrusões baseadas em rede ou em host.
Os honeypots podem evitar ataques de várias maneiras.
- A primeira é através da redução ou interrupção de ataques automáticos, como worms ou auto-rooters. Esses são ataques que aleatoriamente verificam toda a rede à procura de sistemas vulneráveis. (Os honeypots utilizam uma variedade de truques de TCP para colocar o agressor em um “padrão pendente”.)
- A segunda maneira é a detenção de ataques humanos, em que os honeypots tentam distrair um agressor, fazendo com que prestem atenção às atividades que não causam perdas ou danos, permitindo que as empresas tenham tempo para responder ao ataque e bloqueá-lo.
O objetivo é conhecer os processos e as tácticas dos piratas informáticos através da utilização de riscos. A sua implementação exige um elevado nível de competências Os honeypots estão de volta para atrair os piratas informáticos, mas a verdade é que poucas empresas implementam este sistema de engodo, baseado em aplicações especializadas, para analisar os métodos e as tácticas dos hackers.
A técnica dos honeypots consiste em instalar riscos informáticos numa rede empresarial para neutralizar os ataques de piratas;
Para ser verdadeiramente útil, o sistema de chamariz deve ser configurado de forma coerente com o resto da segurança da rede empresarial. Pode constituir assim um complemento de um sistema IDS;
Na rede, o honeypot pode ser colocado numa zona desmilitarizada (DMZ) dedicada ou na rede local, consoante o caso;
A oferta de software é constituída por produtos que funcionam, primariamente, sob Unix ou Linux;
Os honeypots são apenas um elemento de uma política de segurança mais global. Ainda estão pouco divulgados.
Prevenção, detecção e reação
Um honeypot não impedirá um pirata de entrar na rede, mas como a totalidade do tráfego originado pelo intruso fica registrado e pode ser analisado, é possível obter informações que permitirão, da próxima vez, bloquear o mesmo ataque.
Posto em outros termos, o honeypot não bloqueia um ataque ou uma determinada porta e não impede que os “vilões” fiquem à espreita do lado de fora da rede.
No entanto, é sempre preferível que os piratas se agitem à volta de recursos secundários em vez de tentarem penetrar em servidores estratégicos.
No que se refere à detecção, os ganhos são, pelo contrário, consideráveis. A razão para isso é simples - se as ferramentas complementares, como os IDS de rede, forem expostas a grandes fluxos de tráfego, terão grande dificuldade em enfrentá-los.
Uma das estratégias dos hackers consiste em ocupar um IDS, de modo a fazê-lo gerar um número máximo de alarmes.
O outro risco dos IDS é precisamente o dos falsos negativos, que se traduz na incapacidade de detectar um ataque validado. Devido à sua própria natureza, os honeypots estão menos sujeitos às técnicas de evasão utilizadas para contornar os IDS.
Finalmente, a resposta (ou reação) é o domínio que é necessário estudar com cuidado. A detecção de pouco vale quando não se tem uma capacidade de resposta adequada.
Um honeypot é um host que pode ser colocado off-line para se extraírem lições específicas.
- Onde colocá-lo?
- Na rede?
- Numa zona desmilitarizada (DMZ) ou na rede local?
- No primeiro caso, irá procurar obter informações sobre os piratas externos, e no segundo, sobre os piratas internos (empregados desonestos).
É ainda possível jogar com os endereços IP e com a tradução de endereços para fazer crer ao hacker que o servidor atacado se encontra instalado na LAN da empresa. Deste modo, o honeypot situado na DMZ não será indicado no servidor Domain Name System (DNS).
Embora existam formas de criar um honeypot, é fundamental que a configuração seja feita em função dos objetivos visados e que, em caso algum, a arquitetura honeypot se possa tornar numa vulnerabilidade para o sistema da empresa.
Os honeypots podem ser implementados tanto com base em produtos comerciais (como o ManTrap da Recourse Technologies), como utilizando um Unix livre (ou um Linux), configurados de forma personalizada.
Os mecanismos utilizados variam da monitorização das portas (NukeNabber) até aos chamarizes que interagem com o pirata, acabando o conjunto por constituir um verdadeiro sistema especificamente configurado.
Considerações
Como todas as tecnologias, os honeypots também têm seus problemas, sendo que o maior deles é o seu limitado campo de visão. Os honeypots só capturam as atividades direcionadas contra eles e não detectam ataques contra outros sistemas.
Por essa razão, os especialistas de segurança não recomendam que esses sistemas substituam as tecnologias de segurança já existentes, mas vêm os honeypots como uma tecnologia complementar de rede e de proteção contra intrusões baseadas em host.
As vantagens trazidas pelos honeypots às soluções de proteção contra intrusões são difíceis de serem ignoradas, principalmente agora que os honeypots de proteção estão começando a ser implementados. Com o tempo, à medida que as implementações se proliferarem, os honeypots poderão se tornar um elemento essencial nas operações de uma empresa no nível corporativo.
Por este e outros motivos, os analistas de segurança resolveram não só depender de si mesmos para fazer a segurança de um sistema, mas também estudar mais o outro lado - o lado de quem vê o código-fonte de um software - encontrando falhas e tentando explorá-las, como ocorre muito no mundo open source, uma vez que com os códigos abertos, o risco de encontrar um bug e explorar a falha em um software desse tipo será muito maior.
É muito importante um sistema de alarme na rede, que avise quando da presença de algum tráfego de pacotes suspeitos e/ou de prováveis vulnerabilidades nos sistemas operacionais e aplicativos de internet/intranet.
Não há rede totalmente segura. A sua rede já foi, está sendo, ou será atacada. Não há como fugir, o que se pode fazer é aumentar as barreiras de segurança para diminuirmos os riscos.
Referências
Intrusion Detection, Theory and Practice by David “Del” Elson, March 27, 2000 http://www.securityfocus.com/frames/index.html
Dragon Intrusion Detection http://www.enterasys.com/ids
KENT S.; ATKINSON, R. Security Architecture for the Internet Protocol – RFC2401, The Internet Society, 1998: http://www.ietf.cnri.reston.va.us/rfc/rfc2401.txt
SHADOW Indications Technical Analysis Coordinated Attacks and Probes, Naval Surface Warfare Center Dahlgren Division, 14 de dezembro de 1998, http://www.nswc.navy.mil/ISSEC/CID/co-ordinated_analysis.txt
SASHA; LIFELINE. Distributed tools, Phrack magazine, 2000, v.10, n.56 http://www.phrack.com/search.phtml?view&article=p56-12
SASHA; BEETLE. A strict anomoly detection model for ids, Phrack magazine, 2000, v.10, n.56 http://www.phrack.com/search.phtml?view&article=p56-12
Abraços,
Ranieri Marinho de Souza
Segurança da Informação
Encontrei neste site o que eu queria para intruzos e rastreijantes.Vou uzar o SNORT.Me aparece sempre o Anti-Virus Norton Segurit Scan. Já tenho o meu anti-virus.E o mesmo da uma limpeza no computador. Não seiu se é o mesmo antiviros , ou é VIRUS. O seu site esta de parabens e desde já agradeço as instrusções que encontrei nele .Obrigado.
Saudações.
Muito obrigado pelas informações que encontrei no site. Agora sei como implementa essa informações nos treinamento para usuários de redes.