Embed Size (px)
Citation preview
19/02/13 SNORT Brasil - Como funciona
www.snort.com.br/comofuncionaids.asp#nids 1/2
Snort
The Open Source Network Intrusion Detection System
Recursos
» Martin Roesch
Desenvolvedor do Snort eFundador do Sourcefire
» Documentação
Informações e Manuais de comoinstalar o Snort.
» Regras
Informações e exemplos deregras
» FAQ
Dúvidas sobre o Snort ?
» News
Mantenha-se atualizado de tudoque acontece no mundo Snort
» Links
Lista de Links Nacionais sobreSnort
Mais informações técnicas no site da Comunidade Snort:
www.snort.org.br
Acesso rápido:
O que é e como funciona uma ferramenta IDS ?Sistemas baseados em Rede (NIDS)Sistemas baseados em Host (HIDS)
:: O que é e como funciona uma ferramenta IDS? ::
A detecção de Intrusão é uma das áreas de maior expansão, pesquisa e investimento nasegurança em redes de computadores. Com o grande crescimento da interconexão decomputadores em todo o mundo, materializado pela Internet, é verificado um conseqüenteaumento nos tipos e no número de ataques a esses sistemas, gerando uma complexidademuito elevada para a capacidade dos tradicionais mecanismos de prevenção. Para maioria dasaplicações atuais, desde redes corporativas simples até sistemas de e-commerce ouaplicações bancárias, é praticamente inviável a simples utilização de mecanismos quediminuam a probabilidade de eventuais ataques.
Um ataque força, em casos extremos, causa interrupções totais dos serviços para que umlento e oneroso processo de auditoria e de posterior restauração manual seja feito. Issojustifica todo o investimento feito visando a criação de mecanismos que ultrapassem a barreirada simples prevenção, garantindo aos sistemas um funcionamento contínuo e correto mesmona presença de falhas de segurança, principal objetivo dos chamados Sistemas de Detecçãode Intrusão (IDS - Intrusion Detection Systems).
Basicamente, podemos definir IDS como uma ferramenta inteligente capaz de detectartentativas de invasão em tempo real. Esses sistemas podem atuar de forma a somente alertaras tentativas de invasão, como também em forma reativa, aplicando ações necessárias contrao ataque.
Em outras palavras o IDS é um sistema de configurações e regras que tem como objetivogerar alertas quando detectar pacotes que possam fazer parte de um possível ataque.
Existem diversos tipos de ferramentas IDS para diferentes plataformas, porém as ferramentasIDS trabalham basicamente de modo parecido, ou seja, analisando os pacotes que trafegamna rede e comparando-os com assinaturas já prontas de ataques, identificando-os de formafácil e precisa qualquer tipo de anomalia ou ataque que possa vir a ocorrer em suarede/computador.
Uma ferramenta IDS serve basicamente para nos trazer informações sobre nossa rede,informações como:
Quantas tentativas de ataques sofremos por dia;Qual tipo de ataque foi usado;Qual a origem dos ataques;
Enfim, a partir dele, você vai tomar conhecimento do que realmente se passa em sua rede eem casos extremos, poderá tomar as medidas cabíveis para tentar solucionar qualquerproblema.
^Topo^
Além da divisão pelas técnicas de reconhecimento de ataque, os IDSs podem ser tambémclassificados em dois tipos principais:
Sistemas baseados em Rede (NIDS) - Estes tipos de sistemas são colocados na rede,perto do sistema ou sistemas a serem monitorados. Eles examinam o tráfego de rede edeterminam se estes estão dentro de limites aceitáveis.
Sistemas baseados em Host (HIDS) - Estes tipos de sistemas rodam no sistema queestá sendo monitorado. Estes examinam o sistema para determinar quando a atividadeno sistema é aceitável.
:: NIDS - Sistemas de Detecção de Intrusão de Rede ::A grande parte dos sistemas comerciais de detecção de intrusão é baseada em rede.Nesse tipo de IDS os ataques são capturados e analisados através de pacotes de rede.
Ouvindo um segmento de rede, o NIDS pode monitorar o tráfego afetando múltiplas estaçõesque estão conectadas ao segmento de rede, assim protegendo essas estações.
Os NIDSs também podem consistir em um conjunto de sensores ou estações espalhados porvários pontos da rede. Essas unidades monitoram o tráfego da rede, realizando análises locaisdo tráfego e reportando os ataques a um console central. As estações que rodam essessensores devem estar limitadas a executar somente o sistema de IDS, para se manteremmais seguras contra ataques. Muitos desses sensores rodam num modo chamado "stealth", demaneira que torne mais difícil para o atacante determinar as suas presenças e localizações.
Segundo BECE, podemos destacar as vantagens do IDS baseados em rede:
A implementação de um NIDS tem pouco impacto sobre a performance da rede. Eles
19/02/13 SNORT Brasil - Como funciona
www.snort.com.br/comofuncionaids.asp#nids 2/2
geralmente ficam em modo passivo, apenas escutando o tráfego da rede sem interferir no seufuncionamento. NIDs bem posicionados podem monitorar uma grande rede. Os IDSs baseadosem rede podem ser muito seguros contra a maioria dos ataques, além de ficarem invisíveisaos atacantes.
E também as desvantagens:
Os NIDs podem ter dificuldade em processar todos os pacotes em uma rede que possua umgrande tráfego de dados. Eles não podem analisar o tráfego de informações criptografadasEsse problema vem aumentando em função da utilização de VPNs pelas organizações (e pelosatacantes também).
Muitas vantagens dos NIDSs não se aplicam mais as modernas redes baseadas em switches.Os switches dividem as redes em pequenos segmentos (usualmente uma estação por porta) eprovêm ligações lógicas diretas entre as estações no mesmo equipamento. A maioria dosswitchs não tem um sistema de monitoramento de portas e isso limita ao NIDS apenas analisaruma estação. Mesmo que o switch possua o recurso de monitoramento, apenas uma porta nãopoderá receber todo o tráfego passando pelo equipamento.
A maioria dos NIDSs não podem reconhecer se um ataque foi bem sucedido. Eles apenasapontam que um ataque foi iniciado. Dessa maneira eles apenas detectam um ataque, sendoque o administrador de sistemas deve verificar se o host apontado foi atacado.
Alguns IDSs baseados em rede têm problemas em lidar com pacotes de dados fragmentados.Esses tipos de pacotes podem até tornar um NIDs instável ou mesmo travar o seufuncionamento.
^Topo^
:: HIDS - Sistemas de Detecção de Instrução de Host ::Os HIDSs operam sobre informações coletadas em computadores individuais.Através disso os HIDs podem analisar as atividades das estações com confiança e precisão,determinando exatamente quais processos e usuários estão envolvidos em um tipo particularde ataque no sistema operacional. Além disso, ao contrário dos sistemas baseados em rede,os baseados em host (estação) podem ver as conseqüências de uma tentativa de ataque,como eles podem acessar diretamente e monitorar os arquivos e processos do sistemausualmente alvos de ataques.
Alguns HIDSs suportam um gerenciamento centralizado e relatórios que podem permitir queum apenas um console possa gerenciar várias estações. Outros geram mensagens emformatos que são compatíveis com os sistemas de gerenciamento de redes.
Segundo BECE, podemos descrever as vantagens dos IDSs baseados em host:
Esse tipo de IDS tem a capacidade de monitorar eventos locais de um host, podendo detectarataques que não poderiam ser detectados por um IDS de rede. Eles podem operar em umambiente onde o tráfego de rede é criptografado, a informação é analisada antes de sercriptografada na origem, ou depois de ser decriptada no destino.
Quando o IDS de host opera em nível de sistema operacional, ele pode ajudar a detectar'Trojan Horses' ou outros tipos de ataques que envolvam problemas de integridade nosprogramas.
E também as desvantagens:
Esse tipo de IDS é difícil de se gerenciar porque cada host monitorado precisa ser configurado.Como as informações utilizadas para análise do HIDS estão armazenadas no host, umatacante pode invadir o sistema e desabilitar essas funcionalidades.
Os HIDSs não podem reconhecer ataques que sejam destinados a rede inteira porque apenasconseguem monitorar os pacotes de redes recebidos pelo próprio host.
Um IDS baseado em host consome recursos de processamento do host monitorado,
influenciando na sua performance.
^Topo^
