Sistema de Deteco de Intruso(IDS)Alunos: Fbio Furtado LeiteRian Rosrio*
A todo momento, um grande nmero de computadores so atacados ou invadidos. (Estimativas -> Em mdia: 1 site ou 1 computador a cada 10 minutos nos EUA)Existe uma enorme necessidade em rastrear e identificar estes ataques.O sistema que possui esta capacidade conhecido como IDS (Sistema de Deteco de Intruso).
INTRODUO*
IDS - Sistema de Deteco de Intruso: Sistema composto de hardware e software que trabalham juntos para identificar eventos inesperados, capaz de antecipar a ocorrncia de ataques.
Deteco de Intruso: o processo de identificar e relatar atividade maliciosa agindo em computadores e recursos da rede.INTRODUO*
*
*
Ataque: uma ao inteligente que ameaa a segurana de um sistema. Um ataque pode ter sucesso ou no e estar explorando uma vulnerabilidade no sistema alvo.Um ataque bem sucedido pode caracterizar uma invaso ou at mesmo a negao de servios no sistema alvo (DoS - Denial of Service).
Obs.: Ao longo do texto ser utilizado o termo IDS para caracterizar sistemas baseados em rede ou em host. Para os IDS baseados em rede utiliza-se tambm o acrnimo NIDS (Network Intrusion Detection System).
ALGUMAS DEFINIES*
Necessidade de um IDS Seguro: So alvo de ataques.O que melhor? Segurana por obscuridade ou no?Depende de conhecimento, tempo, dinheiro...Deve-se optar pela flexibilidade associada segurana.
Falsos positivos: Pacotes normais confundidos com tentativa de ataque.Falsos negativos: Deixa de alertar tentativas autnticas.
CONCEITOS BSICOS E DEFINIES *
Vulnerabilidade: uma falha no S.O., protocolo, servios ou quaisquer outros componentes no sistema que permitem acesso ou interveno de pessoas no autorizadas. A vulnerabilidade independe do ataque ou do tempo de observao.
Sensor: Agente principal de um IDS. Monitora um host ou rede a fim de identificar intruses, gravar logs e gerar mensagens alertando tais eventos. Estas mensagens podem ou no serem enviadas a uma estao de gerenciamento.
CONCEITOS BSICOS E DEFINIES *
Estao de gerenciamento: uma estao encarregada de administrar um ou mais sensores espalhados pela rede, o software utilizado deve ter uma interface grfica que permita configurao e monitorao dos agentes (Sensores IDS).
Evento: Ocorrncia na fonte de dados que detectada pelo sensor, a qual pode resultar num alerta sendo transmitido ou gravado.
CONCEITOS BSICOS E DEFINIES *
Respostas ou contramedidas: So aes que podem ser programadas na ocorrncia de um determinado evento. Ex.: aviso por e-mail, o fechamento da sesso que gerou o evento, o bloqueio de um usurio, a reconfigurao de um filtro de pacotes ou firewall.
Assinatura: a regra usada pelo analisador de eventos (parte do sensor IDS) para identificar os tipos de atividade suspeita, o mecanismo de anlise de assinaturas o mais utilizado pelos IDS.
DEFINIES E CONCEITOS BSICOS*
Classifica-se os IDSs quanto a(o): Funcionamento: Aviso antes, durante e depois;
Tecnologia utilizada: Anlise de Ass., estatist., Sist. adapt.
Sistema a ser monitorado: Baseado em rede, host e verificador de integridade de arquivo. TIPOS DE IDS*
IDS baseados em rede (NIDS)Sensores / Estaes de Gerenciamento.
IDS baseados em hostAnalisam sinais de instruo na mquina
Verificador de Integridade de ArquivosExaminam arquivos baseados em funes de hash. TIPOS DE IDS*
PRINCIPAIS IDSs COMERCIAIS*
CIDF - Common Intrusion Detection Framework
Interoperabilidade de IDS
CISL - Common Intrusion Specification Language
Transferncia de informao por identif. semnticos
IAP - Internet Intrusion AlertProtocolo para troca de dadosTENTATIVAS DE PADRONIZAO*
Caractersticas: Lista contendo assinaturas de ataque e o respectivo alerta a ser enviado.
Exemplos de regras para IDS:alert tcp any any -> 10.1.1.0/24 80 (content: /cgi-bin/phf; msg:Este um teste do bug PHF;)
Tipos de logs e alertas (Snort): Ex.: Alert.txt, WinPopupANLISE DE ASSINATURAS*
IP SpoofingInseroEvasoDenial of Service DoSDefesa contra os ataques aos IDS
VULNERABILIDADE DOS SISTEMAS DE DETECO DE INTRUSO*
Para redes com Switch Para Denial of Service no IDS Para IDS em modo Stealth (Invisvel)ALGUMAS SOLUES ENCONTRADAS*
Caractersticas:Faz a anlise dos arquivos de log.
Componentes do sistema:Snortwat.pl e snortwat_cf.pl
SnortWAT (Snort Web Administration Tool)SISTEMA DE GERNCIA PARA UM IDS*
Este sistema permite a gerncia de um sensor Snort, pela Web, com sesses encriptadas usando SSL.SnortWAT (Snort Web Administration Tool)SISTEMA DE GERNCIA PARA UM IDS*
Arquitetura do Sistema: As estaes de gerncias se comunicam com o SnortWAT via programa stunnel (gratuito) gerando a interface SSL.O stunnel aciona diretamente o SnortWAT pois est rodando no inetd, cnhecido como super-server ou super-deamon em sistemas UNIX.O SnortWAT analisa os arquivos de log e configurao do IDS, as informaes para o stunnel e deste para o browser. utilizado o mecanismo de autenticao provido pelo protocolo HTTP.SnortWAT (Snort Web Administration Tool)SISTEMA DE GERNCIA PARA UM IDS*
Funcionalidades: Ativa e desativa o IDS; Exibe o arquivo de assinaturas (nmero de linhas); Exibe o log de todos os pacotes (nmero de linhas); Exibe o log por IP especfico; Remove e compacta arquivos de logs; Resolve IPs e realiza traceroute nos mesmos;SnortWAT (Snort Web Administration Tool)SISTEMA DE GERNCIA PARA UM IDS*
Novos conceitos vem motivando a integrao e gerncia de Sistemas de Deteco de Intruso e Firewalls.A simplificao gradativa dos sistemas de gerncia de IDS faro desta tarefa uma tarefa cada vez mais eficiente e automtica. Para que isso ocorra:
Os IDS devem estar configurados, ou se comportar de forma mais prxima possvel dos sistemas monitorados; Os IDS devem ter mecanismos de proteo contra ataques, principalmente DoS;CONCLUSO*
Os IDS devem ter mecanismos para intercomunicao com outros agentes no sistema; Os IDS devem ter interfaces fceis, prticas e intuitivas de configurao e anlise de eventos; IDS e firewalls so fundamentais, mas de nada adianta se estes no estiverem configurados adequadamente. As interfaces de admin. justificam-se principalmente por facilitar a configurao dos sistemas IDS.CONCLUSO*
Potencialidade de deteco; Descrio tcnica do ataque; Escalabilidade; Baixa taxa de falsos positivos; Boa usabilidade no ambiente de testes e resultados.UM BOM IDS DEVE POSSUIRAS SEGUINTES CARACTERSTICAS*
T. H. Ptacek, T. N. Newsham, Insertion, Evasion, and Denial of Service: EludingNetwork Intrusion Detection, Secure Networks, Inc, January, 1999.M. Roesch Snort Lightweight Intrusion Detection for Networks, Stanford Telecommunications,Inc, November, 2004.Y. Fyodor, Snortnet A Distributed Detection System, Kyrgyz Russian SlavicUniversity, June 26, 2005SecurityFocus http://www.securityfocus.comOpenSSL - http://www.openssl.comRFC2828 - Internet Security GlossaryRFC2196 - Site Security HandbookRavel - COPPE/UFRJ 10 de dezembro, 2000 44IETF - Internet Engineering Task Force - http://www.ietf.orgArachNIDS - http://www.whitehats.com
REFERNCIAS BIBLIOGRFICAS*FIM
*