FACULDADE DE COMPUTAÇÃO DE MONTES CLAROS - FACOMPESPECIALIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO EM REDES DE

COMPUTADORESPROF. EXPEDITO DE FREITAS

SISTEMA DE DETECÇÃO DE INTRUSO (IDS)

Raimundo Alexandrino de Santana1

Tiago Coutinho Pimenta 2

Resumo

Neste artigo procura-se discutir os aspectos do Sistema de Detecção de Intruso

(IDS). Analisar, como o IDS se insere na segurança da informação em Redes de

Computadores, assim como verificar suas características, problemas e, o comportamento

dessa ferramenta conjuntamente com outros dispositivos de segurança.

Abstract

In this article it tries to discuss the aspects of the System of Detection of

Intruder (IDS). to Analyze, like IDS interferes in the security of the information in Nets of

Computers, as well as verifying their characteristics, problems and, the behavior of that tool

jointly with device of security.

Palavras – Chave Intruso, IDS, Sistema, Segurança.

1 Acadêmicos da Especialização: Segurança da Informação em Redes de Computadores da FACOMP2 Acadêmicos da Especialização: Segurança da Informação em Redes de Computadores da FACOMP.

1. Introdução

A internet é a principal personagem da revolução tecnológica em que se vive

hoje, sem se dar conta disso. As redes de computadores foram e estão sendo a mola

propulsora dessa quebra de paradigmas sociais. O uso das redes de corporativas

tornou-se trivial e cresce de maneira exponencial juntamente com seus problemas de

insegurança que é um óbice transcendente atingindo o limite da produtividade e da

funcionalidade das organizações. Essas redes trazem velocidade e eficiência que significa

alta competitividade enquanto a falta de segurança nos meios que as habitam pode

resultar em enormes prejuízos.

1.1Os crimes virtuais e os reais

No mundo da segurança, seja pensando em violência urbana ou em

“crackers” é marcado pela evolução contínua, no qual novos ataques têm como

resposta novas formas de proteção, que levam ao desenvolvimento de novas técnicas

de ataques, de maneira que um ciclo é formado. Não é por acaso que é no elo mais

fraco da corrente que os ataques acontecem. Esses atos mudaram de foco e toma

uma dimensão mais complexa, pois a rede interna é parte mais vulnerável por

envolver pessoas, com culturas e objetivos diferentes. Essas pessoas acabam

fragilizando o sistema interno seja por imprudência, negligência, imperícia ou,

até má fé. Conforme TANENBAUM (4ª Ed. 2003, p.767) demonstra que muitos

ataques são proporcionados pelos próprios funcionários ou ex-funcionários, que

conhecem os procedimentos da empresa em relação à segurança e como os sistemas

funcionam, assim acabam facilitando senhas de acesso, roubo de informações

importantes dentro da própria empresa, danos a base de dados, entre outros.

O cracker é um vândalo virtual, alguém que usa seus conhecimentos para invadir sistemas, quebrar travas e senhas, roubar dados etc. Alguns tentam ganhar dinheiro vendendo as informações roubadas, outros buscam apenas fama ou divertimento3.

3 MURIMOTO E. Carlos, http://www.hardware.com.br/cracker. Em 26 de junho de 2005. Acesso: 28 fev. 11

De tempos em tempos os noticiários são compostos por alguns crimes “da

moda”, que vêm e vão. Como resposta, o policiamento é incrementado, o que resulta

na inibição daquele tipo de delito. Os criminosos passam então a praticar um novo

tipo de crime, que acaba virando notícia. E o ciclo assim continua. Já foi comprovada

uma forte ligação entre seqüestradores e ladrões de banco, por exemplo, na qual existe

uma constante migração entre as modalidades de crimes, onde o policiamento é

geralmente mais falho.

Esse mesmo comportamento pode ser observado no mundo da

informação, de modo que também se deve ter em mente que a segurança deve ser

contínua e evolutiva. Isso ocorre porque o arsenal de defesa usado pela organização

pode funcionar contra determinados tipos de ataques; porém, pode ser falho contra

novas técnicas desenvolvidas para driblar esse arsenal de defesa.

1.2 O que é o IDS (Intrusion Detection System)

Uma das armas considerada como referência de proteção no sentido de

minimizar a vulnerabilidades dos bens computacionais corporativos, seja ele físico,

intelectual ou a própria reputação da empresa é o IDS (Sistemas de Detecção de Intruso)

que de modo simplificado ele monitora ações maliciosas de pessoas má intencionadas ou

de “Crakers” que age por facilitação ou fragilidade da rede interna . O IDS atua em

conjunto com outras tecnologias de segurança em redes, como “Firewalls”, “Proxies”,

“Roteadores” e “pilhas do protocolo TCP/IP”, promovendo assim, uma segurança relativa

no quesito integridade, privacidade e autenticidade de dados em uma rede. Os sensores do

IDS gera relatório dessas suspeições para o administrador de rede.

Sistema de detecção de intrusos- IDS (Intrusion Detection System) refere-se a meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados que podem indicar a ação de um cracker ou até mesmo funcionários mal intencionados.4

4 Wikipédia, http :// pt.wikipedia.org/Sistema_de_detecção_de_intrusos , acesso: em 28 fev. 2011

1.3 Como é o IDS

Detecção de intrusão é uma tentativa de monitorar estações ou fluxos de rede

com o intuito de descobrir ações de intrusos. Mais especificamente, um IDS tenta detectar

ataques ou usos impróprios e alerta o responsável pela rede do acontecimento. O

funcionamento é análogo ao de um sistema de detecção de ladrões, usado em casas para se

proteger de eventuais incidentes. O sistema domiciliar inicialmente precisa ser configurado

e ter especificado o que monitorar (janelas, portas, movimento) e para quem alertar ou

chamar em caso de uma invasão (polícia, donos da casa). No sistema computacional,

precisa-se também determinar o que se quer monitorar fluxos de rede, processos internos

de uma estação ou servidor, ou ainda um sistema de arquivos, por exemplo. É preciso

deixar claro para quem enviar os alarmes ou relatórios e como estes devem ser enviados,

tendo como alternativas o e-mail, pager, ou ainda um pacote SNMP.

Sistemas de gerenciamento de rede utilizam o Simple Network Management

Protocol (SNMP). Esse padrão de gerenciamento oferece diversas maneiras de visualizar o

sistema, incluindo uma visão global, intermediária e uma visão especifica do elemento de

rede. Na visão global é feita uma representação de como a rede está ligada em conjunto.

Essa visão nos mostra onde estão conectados os roteadores, anéis,segmentos e pontes. Já na

visão intermediária exibe uma amostragem de onde as workstations, concentradores

inteligentes, roteadores e pontes estão localizados em cada anel ou segmento individual. A

visão do elemento de rede é um visão gráfica expandida do dispositivo gerenciado

propriamente dito. Tal visão deve dar uma representação gráfica do elemento que está

sendo gerenciado. Em se tratando do Sistema IDS que utiliza esse protocolo, tem-se

ainda uma visão com mapeamento de bits do dispositivo.

Teoricamente, esse tipo de sistema seria somente passivo, observando pacotes

na rede ou processos em uma estação de trabalho e alertando os responsáveis. Porém,

apesar de não ser objeto desse estudo, há sistemas chamado IPS (Intrusion Prevention

Systems), Sistema de proteção contra Intruso, que possuem a habilidade de reagir às

invasões, deixando de ser um sistema exclusivamente de detecção e pode ser definido como

um sistema de reação a intrusão. Exemplos de reação podem ser um fechamento de

conexão, um bloqueio no firewall, execução de algum arquivo, ou ainda a desabilitação de

uma conta. Os sistemas IPS é um complemento do IDS.

1.4 Snort

O SNORT é uma ferramenta IDS desenvolvido por Martin Roesch "open-source"

bastante popular por sua flexibilidade nas configurações de regras e constante atualização

frente às novas ferramentas de invasão . Outro ponto forte desta ferramenta é o fato de ter o

maior cadastro de assinaturas, ser leve, pequeno, fazer escaneamento do micro e verificar

anomalias dentro de toda a rede ao qual seu computador pertence. O código fonte é

otimizado, desenvolvido em módulos utilizando linguagem de programação C e, junto, com

a documentação, são de domínio público. O Snort conta ainda, com o permanente

desenvolvimento e atualização, que são feitos diariamente, tanto em relação ao código

propriamente dito, como das regras de detecção. Os padrões utilizados na construção das

regras de detecção das subversões são introduzidos no sistema de configuração, tão rápido

quando são enviados os alertas originados pelos órgãos responsáveis, como por exemplo o

CERT (Centro de Estudos para Resposta e Tratamento de Incidentes Computacionais),

Bugtraq (lista de discussão), entre outros.

Há outras ferramentas IDS bem mais sofisticada do que o Snort, todavia essa é

muito popular diante de sua performance e simplicidade. É muito leve, a utilização do

Snort é indicada para monitorar redes TCP/IP, onde pode detectar uma grande variedade do

tráfego suspeito, assim como ataques externos e então, fornece argumento para as decisões

dos administradores. Os módulos que o compõe o são ferramentas poderosas, capazes de

produzir uma grande quantidade de informação sobre os ataques monitorados, dado que é

possível avaliar tanto o cabeçalho quanto o conteúdo dos pacotes, além de disponibilizar,

por exemplo, a opção de capturar uma sessão inteira.

O Snort monitora o tráfego de pacotes em redes IP, realizando análises em tempo

real sobre diversos protocolos (nível de rede e aplicação) e sobre o conteúdo (hexa e

ASCII). Outro ponto positivo desse software é o grande número de possibilidades de

tratamento dos alertas gerados. O subsistema de registro e alerta é selecionado em tempo de

execução através de argumentos na linha de comando, são três opções de registro e cinco de

alerta. O registro pode ser configurado para armazenar pacotes decodificados e legíveis em

uma estrutura de diretório baseada em IP, ou no formato binário do tcpdump em um único

arquivo. Para um incremento de desempenho, o registro pode ser desligado completamente,

permanecendo os alertas. Já os alertas podem, ser enviados ao syslog, registrados num

arquivo de texto puro em dois formatos diferentes, ou ser enviados como mensagens

WinPopup usando o smbclient que é um sistema de envio de mensagens para determinadas

estações de trabalho.

Os alertas podem ser enviados para arquivo texto de forma completa e o alerta

rápido. O alerta completo escreve a mensagem de alerta associada à regra e a informação

do cabeçalho do pacote até o protocolo de camada de transporte. A opção de alerta rápido

escreve um subconjunto condensado de informação do cabeçalho alerta.

Existe também, a possibilidade de utilizar métodos como o Database Plug-in por

exemplo, para registrar pacotes em uma variedade de bases de dados diferentes (MySQL,

PostgreSQL, entre outros), as quais contam com recursos próprios para efetuar consultas,

correlações e dispõem de mecanismos de visualização para analisar dados.

Visão geral do Snort

Figura 01. Fonte: http://www.snort.com.br/default.asp

1.5 Desafios do IDS frente as tecnologias Fast ethernet, IPSec e SSL

Apesar da efetividade operacional do Snort, assim como qualquer outro

software IDS ainda apresentam desafios no tocante ao monitoramento em redes de alta

velocidades como a fast ethernet que pode trafegar com 100 Mbit/s e nas tecnologias

que envolvem criptografias como nos protocolos de segurança IPSec (Internet Protocol

Security) 5 e SSL (Security Sockets Layer) que são blindados com criptografia dificultando

assim o monitoramento do fluxo de suspeição.

Em Rede de computadores, Fast Ethernet é um termo para vários padrões da Ethernet que levam o tráfego de dados à taxa nominal

5Cyrille, LARRIEU, IDS, http://pt.kioskea.net/contents/detection/ids.php3: Acesso: 19 fev. 2011

de 100 Mbit/s, contra a taxa de transmissão de 10 Mbit/s da Ethernet original6

Nos sistemas IDS de Rede (N-IDS) apresenta algumas deficiências em redes

muito segmentadas devido a grande quantidade de switchs e, consequentemente o

grande fluxo de dados onde se instalam os sensores do IDS e, devido a grande

quantidades de dados que trafegam por esses dispositivos de rede. Assim com a

criptografia é um problema para quase todos os elementos dos sistemas de detecção de

intrusos, aqui também no monitoramento do IDS de rede também fica prejudicado, pois

não consegue quebrar a criptografia neste local.

Os agentes do IDS baseado em host (H-IDS) analisam sinais de intrusão na

máquina nos quais estão insta lados, eles frequentemente usam os mecanismos de log do

sistema operacional e estão muito ligados aos recursos do sistema. Os sensores de posse

de assinaturas, ou banco de informações usuais do hosts agem procurando por atividades

anormais como em: tentativas de login, acesso à arquivos, alterações em privilégios do

sistema, etc.

Apresentam dificuldades de atuação quando alguns requisitos de software e de

Hardware como máquinas de estações de trabalho limitadas e sistemas operacionais com

fraco desempenho. Um trabalho relativamente árduo, porque param alguns setores do

órgão, sem falar a resistência de funcionários desconfiados, devido as inúmeras

instalações dos software citados que tem que ser máquina à máquina onde se quer

monitorar pois o objetivo do software tem se uma visão especificamente localizada.

Essas ações de apoio logístico tem que ser muito trabalhada com o recurso humano

pelos administradores de rede, fatores estes que acabam onerando a instalação desse tipo

de sistemas de defesa numa empresa.

A verificação de integridade de arquivos é uma atividade extra do IDS. Nesta ação

o sistema analisa os arquivos de informações escolhidamente importantes, colhe as

assinaturas em base de dados. Assinatura, neste caso, é uma técnica de extração do

tamanho do arquivo para na futuro, em caso de suspeição de alteração dos mesmos

compará-los com os antigos e ver se não houve alteração do tamanho. Nestes casos utiliza-

se entre outras funções o Hash que é processo matemático de redução de uma sequência de

Bytes para uma cadeia de bits de comprimento fixo.

6Wikipédia, http://pt.wikipedia.org/wiki/Fast_Ethernet. Acesso: em 28 fev. 2011

Neste processo de analise de assinaturas consome muito recurso de CPU, memória e

disco. Se não for hosts com bom poder de processamento, torna-se inviável devido a queda

de desempenho do sistema como um todo. Outro problema é quando o atacante modifica a

configuração da funcionalidade que atrasa ainda mais devido aos falsos positivos, travando

o sistema, ficando às vezes inoperante.

SSL e IPSec são usados para garantir privacidade, integridade e autenticidade de informações com uso de encriptação, certificação digital e autenticação de dispositivos.7

1.6 Os ataques no HTTP, HTTPS, IPSec do TCP/IP e o IDS

IDS baseados em rede, monitoram os cabeçalhos e o campo de dados dos

pacotes a fim de detectar possíveis invasores no sistema, além de acessos que podem

prejudicar a performance da rede. A implantação de criptografia (implementada via IPSec

e outras) nas transmissões de dados como elemento de segurança prejudica esse processo.

Tal ciframento pode ser aplicado no cabeçalho do pacote, na área de dados do pacote ou até

mesmo no pacote inteiro, impedindo e ou dificultando o entendimento dos dados por

entidades que não sejam o seu real destinatário.

Como referenciado acima , o SSL (Secure Socket Layer) é executado entre a camada de

transporte e de aplicação do TCP/IP, criptografando assim a área de dados dos pacotes.

Sistemas IDS não terão como identificar através do conteúdo dos pacotes ataques para

terminar as conexões ou até mesmo interagir com um firewall.

Outro exemplo é a implementação do IPSec, que é uma extensão do protocolo IP que é

bastante utilizada em soluções de VPN (Virtual Private Network). Existem dois modos de

funcionamento, o modo transporte e o modo túnel, descritos na RFC2401 de Kent,

Atkinson (1998).

Rede Privada Virtual (VPN) é uma rede de comunicações privada normalmente utilizada por uma empresa ou um conjunto de empresas e/ou instituições, construída em cima de uma rede de comunicações pública (como por exemplo, a Internet). O tráfego de dados é levado pela rede pública utilizando protocolos padrão, não

7 Thais BATISTA, Lucas PEREIRA,IPSec e SSL, http://www.metropoledigital.ufrn.br/aulas. Acesso: em 28 fev. 2011

necessariamente seguros, por isso necessita de criptografar seus dados para fornecer certa segurança na transação de dados8.

RFC (Request for Comments), é um documento que descreve os padrões de cada protocolo da Internet previamente a serem considerados um padrão, como exemplo a RFC 2626 do HTTP versão 1.1- Hypertext Transfer Protocol. 9

No modo de transporte o IPSec é similar ao SSL, protegendo ou autenticando somente a

área de dados do pacote IP; já no modo túnel o pacote IP inteiro é criptografado e

encapsulado. Como pode ser notado no modo transporte um IDS pode verificar somente o

cabeçalho do pacote, enquanto o modo túnel nem o cabeçalho e nem a área de dados.

Com as recentes inovações dos produtos IDS uma ação inovadora foi a utilização de

VPN’s gateway-a-gateway onde um IDS é posicionado imediatamente após o gateway,

aonde o tráfego de saída da VPN ainda não foi processado e o tráfego entrante já foi

restaurado. Nesta posição não há barreiras a uma verificação completa. Podemos

vislumbrar algumas soluções para o uso de IDS’s com SSL e IPSec, por exemplo, com a

adição de agentes de IDS nas aplicações. Mais que clientes no host ou no sistema

operacional, muitos destes serviços de criptografia (notadamente o SSL) fazem parte da

própria aplicação (ex.: servidores Web, servidores IMAP, etc), tornando a implantação de

módulos de IDS na própria aplicação. Outra alternativa poderia ser a utilização de front-

end de descriptografia, nesse processo, momentaneamente pega os dados

descriptografados, dessa forma tornando uma solução semelhante ao IPSec gateway-a-

gateway. Portanto, apresenta-se como soluções atualizada de utilização de IDS baseados

em rede para a monitoração. Veja figuras abaixo com a Ilustração das inovações.

8 Wikipédia, http://pt.wikipedia.org/wiki/VPN. Acesso: em 01 março 20119 Wikipédia, http://pt.wikipedia.org/wiki/RFC. Acesso: em 01 março 2011

IPSec Gateway-a-Gateway

Figura 02. Fonte: http://www.rnp.br/newsgen/0011/ids.html

Observe na figura 02 que sensor do IDS está no servidor Web para conseguir capturar os

dados antes da criptografia ele se aloja justamente na pilha do protocolo TCP/IP na

camada equivalente a de apresentação do modelo OSI oferecido o serviço pela aplicação

do TCP/IP. Esta camada tem o papel de criptografar de um lado e descritografar do lado

destino, então neste sentido o sensor do IDS pega os dados sem a blindagem, assim

conseguindo monitorar mesmos com com o IPSec e o SSL.

HTTP (HyperText Transfer Protocol - Protocolo de Transferência de Hipertexto) é um

protocolo usado para a transmissão de dados no sistema World-Wide Web. Cada vez que se

aciona um link, seu browser realiza uma comunicação com um servidor Web através

deste protocolo.

Os Crackers adoram esses locais devido a vulnerabilidade de não oferecer certa segurança

na transmissão de dados (sem criptografia) para aplicar seus golpes. Comumente usam os

scripts .Asp para invadir servidores. Isto posto, faz-se necessário ainda mais o

incremento do IDS nessa transações de dados.

principal objetivo de uso de um Sistema de Detecção de Intrusão (IDS) é o de levantar

informações de atividade maléficas ao sistema, como ataques passivos e ativos. Neste os

ataques provocam danos como roubo de senhas, destruição de HD de servidor como todo

seu ativo informativo, alteração de dados em bancos, entre outros. Já aqueles são

invasões mais sutis porque geralmente agem sem alterações, “às escondidas”, sem danos

nem alteração funcional dos sistemas continuando a funcionar normalmente. Ataques

passivos são considerados os mais perigosos porque vislumbra instalação de spyware como

Key Loggers, Scrin Loggers intuitivamente a fim de furtar dados financeiro de

funcionários, informações importantes da organização e destruição de arquivos, entre

outros malefícios.

Key logger (registrador do teclado ) é um programa de computador do tipo spyware cuja finalidade é registrar tudo o que a vítima digita, a fim de capturar suas senhas, números de cartão de crédito e afins.10

É importante frisar que o IDS é um dispositivo de rastreamento de atividades

indevidas em uma rede, ou seja, serve para buscar informações de desvio de

comportamento, seja por usuários ou não da rede, a fim de fazer auditorias ou criar

padrões de segurança nos setores estratégicos dentro da própria organização.

Pode-se dizer que o IDS é “o espião dos espiões” , pois ele se infiltra com

os mesmos “modus operandi” dos atacantes revelando seus comportamentos, os

caminhos e as “presas”. Nesse sentido, é criado um mapa com identificação mais

precisa dentro da rede computacional de quem são os possíveis malfeitores, o que eles

buscam e, o mais importante, a partir daí criar os mecanismo de defesa mais robusto,

preciso e centralizado ou ajustá-los em determinada área dentro da organização.

Modus Operandi não é apenas uma expressão jurídica, é também um termo utilizado em administração de empresas. O modus operandi de uma tarefa é um padrão pré-estabelecido que dita as maneiras de como agir em determinados processos.11

2.1 O IDS não é antivírus

O IDS é um sistema de detecção, não obstante, muita gente imagina ser uma

espécie de antivírus com a função de eliminar invasores. Essa ferramenta faz parte do

arcabouço de segurança projetado mais especificamente para corporações devido o grande

volume de informações e de funcionários que utilizam a redes ou sistemas. É também o

primeiro elemento a ser implantado para projetar uma política sólida de segurança da

informação. Em etapas posteriores são implantados Sistemas de Proteção de Intrusos

(IPS) funcionando como uma espécie de antivírus, que apesar de não ser objeto desse

estudo é de fundamental importância na dialética de entendimento dos serviços de

segurança que envolvem tanto o monitoramento quanto o contra ataque, na proteção dos

sistemas computacionais corporativos ou não.

O IPS complementa um IDS bloqueando a intrusão e impedindo um dano maior para a rede. É uma ferramenta que detecta e bloqueia

10 Wikipédia, http://pt.wikipedia.org/wiki/Keylogger. Acesso: em 01 março 201111 Nelson Batista TEMBRA,Estudo de Caso, http:// www.ecodebate.com.br. Acesso: em 28 fev. 2011

invaor.12

2.2 A dinâmica do crime e do IDS Segurança é um processo continuo e dinâmico. Tem suas vertentes voltadas

para os “eventos da moda” . Assim como na segurança pública hoje o IDS trabalha de

forma integrada e inteligente. Procura os locais com freqüência de ataques e se junta a

órgãos especifico daquela área para monitorar as “ações delituosas”. Com o Firewall faz

uma parceria importante para saber se o inimigo é externo ou interno. O Firewall é como

se fosse barreiras policiais próximos às cidades e tem precípua finalidade de não deixar

entrar “bandido” no município. Analogamente, o conjunto IDS, Roteadores e Proxies

teriam virtudes de descrever quem é e, o caminho percorrido do inimigo interno, pois

o Proxy deixa registrado qual máquina da rede acessou outra máquina na própria rede ou

fora dela e o roteador deixa a marca dessa trajetória percorrida.

Firewall é o nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. (Wikipédia, http://pt.wikipedia.org/wiki/Firewall)13

Hipoteticamente, o IDS tem agentes secretos. Disfarcadamente ninguém sabe

o que eles fazem, exceto seu superior (administrador de rede), e suas principais armas

são olhos bem abertos e ouvidos antenados além de altíssimas doses de destreza

(estratégia) sintetizado em sensores instalados onde está o foco de problema. Esses

sensores são os citados agentes. São os braços ramificados do mecanismo de segurança

adaptáveis às “zonas quentes” onde se concentram suspeição de ações delituosas. O

crime muda constantemente, por isso o foco de policiamento do IDS tem vários ângulos.

Ora, bandidos preferem arrombamentos à residências ( como nos hosts) a procura de jóias

e dinheiro, por ventura as vítimas fáceis não tem o cuidado de guardá-los em locais mais

seguros como em bancos, ora pessoas, mais precisamente, idosos e crianças são abordados

por meliantes nas ruas (redes) devido a facilidade de fuga e a vulnerabilidade das vítimas.

Em comparação, os “crackers” fazem a mesma coisa, observam e atacam as redes (ruas)

ou as próprias máquinas (casas) dependendo apenas da facilidade (vulnerabilidade) de

12 Saulo BORBA e E., IDS e IPS, local: Rio de Janeiro, Petrópolis-2008. Acesso: em 28 fev. 201113Wikipédia, http://pt.wikipedia.org/wiki/Firewall). Acesso: 28 fev. 2011

cada uma delas. Por isso, os sensores específicos do IDS como o N-IDS (Network

Intrusion Detection System), ou seja, os sensores de redes, disfarçados de “sniffers”

varrem as redes ocultamente em pontos estratégicos na busca de movimentação anormal

registrando prováveis atividade clandestina de “crackers”. Mas, quando os “agentes”

montam campanas em determinados imóveis na captura de flagrante de bandidos são os

sensores “comensalista”, associando-se a servidores, principalmente de e-mails, placa de

redes em modo promiscuo (deixando entrar e sair quem quiser) e DNS (Domain Name

System), um tipo de correio, que se registra origem e destino das conexões, onde

normalmente os invasores deixam rastros no cometimento de suas ilegalidades. Nesse

sentido, poder-se-ia chamar sensores de host ou H-IDS (Host-based Intrusion Detection

System), sensor IDS baseado em invasões de máquinas (hosts). Há ainda operações

A sigla DNS (Domain Name Systema) é uma espécie de sistema para a tradução de nome de sites em IP e vice-versa. Quando se digita www.google.com.br, ele converte este hipotético IP 10.15.56.19 no site acima14.

conjuntas dos sensores do IDS (de hosts e redes), denominadas de “pente fino” onde

rastreiam todos os suspeitos sejam nas ruas (redes) ou nas residências (hosts) procurando

provas materiais contra o crime, são situações alarmantes de infestações maliciosas como

recentemente ocorreu no caso do Rio de Janeiro onde Exército, Marinha, Aeronáutica,

Polícias Estadual, Federal e, principalmente a conscientização da população (dos usuários)

que trouxe uma certa traquilidade recolocando a segurança em níveis aceitáveis,

exatamente o grande objetivo dos Sistemas de Detecção de Intruso.

2.3 A blindagem do crime

As conexões organizada chamadas de máfias é uma modalidade evoluída da

criminologia tradicional. Nesses casos, o crime é mais difícil de combater porque usam

certa blindagem (criptografia) provocada, às vezes, por proteção e envolvimento de

poderosos. A investigação, na maioria das vezes, é feita por organismos mais

especializados como a Polícia Federal, sem desmerecer as outras forças. Todavia, não

deixa de ser um desafio o desbaratamento dessa arquitetura criminosa porque normalmente

14 Baixaki, http://www.baixaki.com.br/artigos. Acesso: 28 fev. 2011

o meliante é diferenciado, mais instruído, está também em uma melhor performance. Em

muitos casos, principalmente em fraudes que envolvem milhões há a participação de

funcionários dessas instituições que facilitam acesso ou passam informações privilegiadas,

além de relatos de propinas a policiais para não acharem nada de irregular. Assim,

analogamente o IDS tem suas dificuldades e, em muitos casos chega a ser um desafio,

pois a revolução das redes trouxe exigência constantes de maior conectividade como a

Fast Ethernet, ATM, Gigabit Ethernet e, em breve, 10Gigabit Ethernet para as redes

locais, além das já faladas tecnologias de segurança em rede que envolve criptografia

como IPSec (Internet Protocol Security) e SSL (Security Sockets Layer) contudo, as

soluções de IDS não têm acompanhado esta evolução, o que ainda ocasiona um impasse

para o monitoramento das mesmas.

A Fast Ethernet está se tornando uma das tecnologias mais consagradas e econômicas de rede de alta velocidade.15

SSL e IPSec são usados para garantir privacidade, integridade e autenticidade de informações com uso de encriptação, certificação digital e autenticação de dispositivos.16

2.4 A arte de combate do IDS

Diante das dificuldades, o IDS projeta estratégias, como dizia “Sun Tzu,

Arte da guerra”, que o princípio geral da guerra era manter o estado inimigo intacto. Em

resumo, um dos disfarces de adaptação dos sensores do IDS é de agregar-se aos protocolos

de rede como na pilha do TCP/IP, nos IMAP ou POP, antes de ser criptografados, dessa

forma se consegue abstrair gama considerável de atividades indecorosas porque quaisquer

acessos de usuário na rede ativa o sensor denotado por tipos acesso remoto como o “telnet”

e “rlogin” que são um dos artifícios usado pelos “crackres” na tentativa de invadir

máquinas e servidores na rede local como se estivesse nela, objetivando subtrair

informações ou instalar software maliciosos para furtar senhas e posteriormente aplicar

golpes. Veja detalhes na figura1 de como IDS captura dados dos atacantes na pilha

TCP/IP.

Pilha de protocolo TCP/IP

15 Eliane, Ferraz, http://elianeferraz.vilabol.uol.com.br/fast.htm. Acesso: 28 fev. 201116 Thais Batista, Lucas Pereira, http://www.metropoledigital.ufrn.br/aulas. Acesso: 28 fev. 2011

Figura 1. Fonte: http:// www.faetec.rj.gov.br

Padrão de pilha TCP/IP

CabeçalhoEthernet

Camada Interface de Rede

Dados

CabeçalhoIpv4

Camada Rede

Dados

Cabeçalho TCP Camada Transporte

Dados

CabeçalhoAplicação

Dados

Figura 2. Fonte: http:// www.faetec.rj.gov.br .

2.5 O agentes disfarçados do IDS

Pela destreza do “tcpdump” até que poderia ser comparado ao “Bond”, como

nos filmes de 007. Este agente, o “tcpdump”, com apenas um comando consegue-se

esmiuçar a da vida de muitos bandidos virtuais. Essa ferramenta tem poder de super

usuário (root) e com um simples comando como o: # tcpdump -i eth0 src host

192.168.0.1 pode levantar atividades de crimes cibernéticos organizados como invasão de

bancos e desvios tanto de dinheiro quanto de informações de clientes, conforme alguns

casos investigados no Banco do Brasil na década de 80 em que quadrilhas usavam

especialista em informática para invadir sistema remotamente usando “Ping” (procurar

determinado servidor e se está ligado na rede pelo endereço IP), “Portscan” (fazer

varredura de portas de servidor a fim descobrir falhas de portas abertas e invadir) e

“Spoofing” (depois que invade a maquina usa IP falso para não levantar suspeita e, dessa

forma, entrava nos software aplicava os desvios de centavos de milhares de contas para

uma única, como divulgado em: “Investigação Forense” , tese de monografia de pós-

graduação de Adriana Ribeiro Teixeira da Universidade federal de Lavras em Minas

Gerais, no ano de 2009. Como se vê, “tcpdump” especificamente no comando acima citado

rastreia toda anomalia de uma rede desde do gateway até qualquer máquina que tiver

fazendo operação suspeita naquele circuito interno, o que geralmente acontece com as

invasões desses criminosos. Pode, o fato ser elucidado pelo volume de transação na rede e

nos horários fora de expedientes, nesses casos. Mesmo sendo uma técnica antiga, até hoje

ainda é reaplicado o golpe porque a modalidade criminosa como foi dito é círculo vicioso,

sempre volta com novas versões.

“Tcpdump” é uma ferramenta utilizada para monitorar os pacotes trafegados numa rede de computadores. Ela mostra os cabeçalhos dos pacotes que passam pela interface de rede.17

Costuma-se, neste artigo chamar os sensores de “agentes”, haja vista a

semelhança de inteligência dos mesmos. A capacidade de aprendizado deles é formidável

diante da sensibilidade de alteração de perfil de uma rede, detecção padrões de ataques

somados a outras interferências, com isso, gera um aparato de informações pré

determinantes para uma boa política de segurança do administrado de redes.

Para essa missão tem-se batalhão de agentes sub-divididos em fases de

treinamentos que envolve tática e técnica. São estrategicamente posicionado em locais de

atuação pré-definidos numa prévia da política de segurança. A primeira fase é o sub-

sensor estático que deve possuir informações das assinaturas de ataques conhecidos

(compara-se ao perfil dos usuários normais do sistema, então, o que foge a regra é

disparado um alerta). Na seguinte etapa o sensor passa a ser sub-sensor inteligente, que

inicialmente passa por um período de aprendizado e adaptação, para o conhecimento dos

padrões funcionais da rede. Dependendo do volume de tráfego na rede, esse período pode

ser variável. Após essa fase o sensor entra na face de aprendiz, ou seja, já tem condições de

reconhecer padrões que fogem da normalidade da rede e tomarem a devidas providências.

17 Wikipédia, http://pt.wikipedia.org.br. Acesso: em 28 fev. 2011

2.6 Possíveis desvios de condutas

No mundo real cometimento de falhas pela polícia, infelizmente acontece com

freqüência e, às vezes, o resultado disso é catastrófico, como em mortes de inocentes por

ações policiais confundindo com bandidos, maculando o nome de corporações fortíssimas.

Os jornais são categóricos em falar que é por falta de treinamento das corporações. Na

tecnologia não pode ser diferente. Sensores tem que também “fortes treinamentos” no

sentido de adaptabilidade que pode levar dias apenas colhendo informações estranhas de

fato para, só depois agir de verdade.

Mas, mesmo nos meios tecnológico, ocorre a corrupção, é lógico que é por uma

forma diferenciada, pode também ocorrer indiretamente facilitação para os “Crackers” ,

além das desses aproveitar as falhas inerente do sistema e invadir o próprio IDS e alterar

sua forma de avaliação das ameaças. Um dos problemas gerado nessa anomalia é

chamados “falsos positivos”, espécie de alarme falso . O IDS rastreia o invasor como se

normal fosse não emitindo um alerta para a central de ataque, deixando assim, os

“crackers” atuarem livremente provocando danos imensuráveis ao sistema. Outro artifício

desses meliantes é “falso negativo” que é também alteração da configuração do sistema

IDS a fim de notificar uma alteração da rede como normal, nesse caso, ele emite sinal como

se fosse “falso negativo”, não ativando o sistema de alerta. Nesse esquema os crackers

muda a configuração do IDS, e divide os pacotes UDP em pequenos pedaços para não

congestionar e não alterar a rede. Por isso, os sensores do IDS têm que ter treinamento

duradouro e constante atualização da rede, para criar uma base de assinaturas consistente,

além configurações fortes nas barreiras de entrada na rede como nos firewalls, sem falar no

numa atenção mais voltada ao fortalecimento da engenharia humana do órgão, no sentido

gerar conscientização e conseqüente punição relativo aos cuidados com senhas de acesso e

outras fraquezas inerentes a atividades humana dentro da corporação.

Os sensores devem interagir entre si a fim de construírem uma matriz de eventos que tem por objetivo a qualificação do padrão de ataque, minimizando, desta forma, a ocorrência de alertas falsos (falso positivo). Outras características fundamentais são: o gerenciamento centralizado, a possibilidade do sensor interagir com outros elementos de rede como firewall, roteadores e consoles de gerência; e a possibilidade de

construir uma base de conhecimento centralizada de forma a permitir uma visão ampla do nível de segurança da rede.

Classificação das intrusões

Uma intrusão pode ser definida como:

“Qualquer conjunto de ações que tentem comprometer a integridade, confidencialidade ou disponibilidade dos dados e/ou sistema.18

Essas intrusões são classificadas como:

- Intrusão devido ao mau uso do sistema: são ataques realizados aos pontos

conhecidos dos sistemas, ou seja, os pontos chamados fracos, que podem ser detectados a

partir de determinados objetos que são monitorados de certas ações realizadas.

- Intrusão devido à mudança de padrão: através de algumas mudanças de uso em

relação ao sistema padrão, são detectadas as intrusões. Primeiro monta-se um perfil do

sistema, em seguida através de monitoração, procura-se por divergências significantes em

relação ao perfil construído. 

Como a intrusão de mau uso segue padrões bem definidos elas podem ser descobertas através da comparação de padrões em relação a auditoria do sistema. Por exemplo, uma tentativa de criar um arquivo com setup pode ser detectada através da analise dos logs realizados pelas chamadas ao sistema, call system. Uma intrusão devido a mudança de padrões é detectada observando-se divergências significantes em relação à utilização normal do sistema. Pode-se construir um modelo a partir de valores derivados da operação do sistema.19

A intrusão devido à mudança de padrão, não existe um parâmetro a seguir no

monitoramento, tornando-se difícil de serem detectadas. Desta forma se trabalha com

aproximações de mudanças de padrões no sistema. O mais eficaz é trabalhar com a

combinação de pessoa com programa, desta forma o sistema seria monitorado

constantemente a procura de intrusão ao mesmo tempo em que teria a capacidade de

ignorar as ações de usuários legítimos. 

18 (Disponível em: < http://www.absoluta.org/seguranca/seg_ids.htm> Acesso em: 26 outubro 2010).19(Disponível em: < http://www.absoluta.org/seguranca/seg_ids.htm> Acesso em: 26 outubro 2010).

Detecção de intrusão (alterar aqui)

Muitas ferramentas de IDS realizam suas operações a partir da análise de padrões do sistema operacional e da rede tais como: utilização de CPU, I/O de disco, uso de memória, atividades dos usuários, número de tentativas de login, número de conexões, volume de dados trafegando no segmento de rede, entre outros.20

Alguns dados colhidos da análise formam a base da informação sobre a

utilização do sistema em vários momentos do tempo. E em outros, formam bases com

padrões de ataques já previamente montadas. Possibilitando também a inserção de bases de

dados com novos parâmetros.

Com as informações obtidas, a ferramenta de IDS identifica as tentativas de

intrusões e também possibilita registrar as técnicas utilizadas.

As ferramentas de IDS possuem algumas características relacionadas abaixo:

1. Deve rodar continuamente sem interação humana e deve ser

segura o suficiente de forma a permitir sua operação em background; mas

não deve ser uma caixa preta;

2. Ser tolerante a falhas, de forma a não ser afetada por uma queda

do sistema, ou seja, sua base de conhecimento não deve ser perdida

quando o sistema for reinicializado;

3. Resistir as tentativas de mudança (subversão) de sua base, ou

seja, deve monitorar a si próprio de forma a garantir sua segurança;

4. Ter o mínimo de impacto no funcionamento do sistema;

5. Poder detectar mudanças no funcionamento normal;

6. Ser de fácil configuração, cada sistema possui padrões diferentes

e a ferramenta de IDS deve ser adaptada de forma fácil aos diversos

padrões;

7. Cobrir as mudanças do sistema durante o tempo, como no caso de

uma nova aplicação que comece a fazer parte do sistema; 8.

Ser difícil de ser enganada.21

SNORT

20 (Disponível em: < http://www.absoluta.org/seguranca/seg_ids.htm> Acesso em: 28 outubro 2010).21 (Disponível em: < http://www.absoluta.org/seguranca/seg_ids.htm> Acesso em: 28 outubro

2010).

É também um tipo de “sniffer”. Simples de se usar e seus recursos são

extraordinários. Serve de espião da rede e registra tudo nos arquivos de log. Mas, como

todas as ferramentas IDS, não possuem cem por cento de acertos em suas detecções, por

causa de alguns problemas como os “falso positivo”. Porém, ela é a mais operante desse

tipo de problema entre as ferramentas.

Algumas características:

- É um software livre;- É de fácil manuseio;- É uma ferramenta confiável (é usada pela SANS no seu online training).- Tem versão para Linux e Windows.- E pelo principal funciona.22

Problemas de Utilização do IDS

Existem alguns erros que podem acontecer no sistema que são classificados

como falso positivo, falso negativo e erros de subversão. O “falso positivo” é quando uma

ferramenta classifica uma ação como uma possível intrusão, quando ela é autentica.Já

“falso negativo” é quando uma intrusão real acontece e a ferramenta não detecta, deixando

assim ela passar como uma ação autentica. Os “erros de subversão” são quando o intruso

modifica a ferramenta de IDS, para força a ocorrência de falso negativo.

IDS versus o SSL

O SSL (Secure Sockets Layer) é uma tecnologia de segurança que é comumente

utilizada para codificar os dados trafegados entre o computador do usuário e um website. O

protocolo SSL, através de um processo de criptografia dos dados, previne que os dados

trafegados possam ser capturados, ou mesmo alterados no seu curso entre o navegador

22 (Disponível em: < http://blog.segr.com.br/ids/> Acesso em: 02 novembro 2010).

(browser) do usuário e o site com o qual ele está se relacionando, garantiria, desta forma,

transações de informações sigilosas como os dados de cartão de crédito.

O SSL é uma camada do protocolo de rede, situada exatamente abaixo da

camada de aplicação, com a responsabilidade de gerenciar um canal de comunicação

seguro entre o cliente e o servidor. O SSL foi desenvolvido pela Netscape Communications

Corporation, atualmente, é implementado na maioria dos browsers da WWW tais como o

Netscape, Internet Explorer, Mozilla FireFox entre outros.

O protocolo é disposto entre duas camadas. No nível mais baixo, sobre algum

protocolo de transporte confiável (como TCP). O SSL é executado entre a camada de

transporte e de aplicação onde efetivamente o IDS faz o monitoramento.

As ferramentas IDS, principalmente as N_IDS (baseadas em redes) fazem suas

monitorações nos cabeçalhos dos pacotes e também em seu campo de dados, possibilitando

assim, a verificação de ataques no nível de aplicação (para pacotes TCP e UDP).

A criptografia da porção de dados dos pacotes TCP faz com que todo o

conteúdo (dados) das conexões, inclusive das URLs (Universal Resource Identifier)-

sistema de endereçamento da Web- seja criptografado, impossibilitando a análise dos

pacotes pelos Sistemas de Detecção de Intrusos -IDS’s.

IDS versus o IPSec

O IPSec é uma extensão do protocolo IP que tem sido bastante empregado na

implementação de soluções de VPN’s por oferecer confidencialidade (criptografia) e

integridade (assinatura digital) dos pacotes IP processados. Em suas especificações, existem

dois modos de funcionamento, o modo transporte (transport mode) e o modo túnel (tunnel

mode).

No modo transporte, o protocolo provê proteção primariamente para os

protocolos de camada superior; no modo túnel, os protocolos são empregados como um

túnel de pacotes IP. Neste modo, há dois protocolos: o AH (Authentication Header), como

definido na RFC 2402, que provê integridade sem conexão, autenticação da origem dos

dados, e um serviço opcional para o reenvio de pacotes e, o ESP (Encapsulating Security

Payload), definido na RFC 2406, pode prover confidencialidade (criptografia) e limitado

fluxo de tráfego confidencial. Ele pode também prover integridade sem conexão,

autenticação da origem dos dados e um serviço de prevenção de reenvio de pacotes. A

diferença entre os dois protocolos é que o ESP não atua no cabeçalho dos pacotes IP, só no

campo de dados.

Como se pode observar, o funcionamento no modo transporte é similar ao do

SSL, protegendo ou autenticando apenas a porção de dados do pacote IP, entretanto ele

pode encapsular outros protocolos de camada de transporte, como o UDP. Já no modo

túnel, o pacote IP inteiro é criptografado, dessa forma nem o cabeçalho do pacote original

pode ser verificado por um IDS.

Nas topologias VPN’s com IPSec, ora às vezes, são implementada.

Analogicamente, seria locais ideais para rastreamento de intrusão, todavia oferece os

mesmos problemas devido a criptografia de dados na rede e, conseqüentemente a

velocidade de trafego de dados e más configurações, por exemplo, sem autenticação de

usuários das VPN’s, além destes serviços serem providos na camada IP, eles podem ser

usados por qualquer protocolo de camada superior, como TCP, UDP, ICMP, RIP, etc.

Assim, os ataques podem ser efetivados em qualquer protocolo sobre IP, dificultando, até

então, a implementação do Sistema IDS.

Figura 01 - IPSec máquina-a-máquina

Atente para o fato de que, no esquema representando pela figura acima, o

monitoramento e análise não possível com IDS baseado em rede. Ao contrário, da figura

abaixo, onde é possível o monitoramento com sistema IDS.

Figura 02 - IPSec Gateway-a- Gateway

IDS versus o HTTP

HTTP (HyperText Transfer Protocol - Protocolo de Transferência de

Hipertexto). É um protocolo usado para a transmissão de dados no sistema World-Wide

Web. Cada vez que você aciona um link, seu browser realiza uma comunicação com um

servidor da Web através deste protocolo.

As ferramentes IDS conseguem monitorar esse protocolo de aplicação devido

não ser criptografado sua transação de dados. Os Crackers usam essa vulnerabilidade para

aplicar seus golpes. Comumente usam os scripts .Asp para invadir servidores. Mas com a

utilização dos IPS(Sistema de Proteção de Intrusão) pode proteger seu dispositivo.

Um IDS pode facilmente detectar um ataque. O mesmo não acontece se o

protocolo SSL for utilizado.

IDS versus o HTTPS

HTTPS (HyperText Transfer Protocol secure ), é uma implementação do

protocolo de aplicação sobre uma camada SSL ou do TLS. Essa camada adicional permite

que os dados sejam transmitidos através de uma conexão criptografada e que se verifique a

autenticidade do servidor e do cliente através de certificados digitais. A porta TCP usada

por norma para o protocolo HTTPS é a 443.

Os ataques que ocorrem no nível de aplicação podendo ser usados, tanto para

uma invasão, como para indisponibilização do serviço (DoS). Dessa forma, os sistemas de

detecção de intrusos não terão como registrar o ataque, nem como terminar uma conexão

(enviando um pacote TCP Reset para ambos os participantes), ou mesmo interagir com um

firewall para que este bloqueie a conexão.

IDS no TCP/IP

O IDS trabalha essencialmente nos pacotes de dados, então a camada de

transporte onde se encontram o TCP/IP é um ponto crucial para analise de intrusões.

Devido o tráfego de rede ser constituído geralmente por datagramas IP . O N-IDS é capaz

de capturar os pacotes quando circulam nas ligações físicas sobre às quais está conectado.

A atividade do N-IDS é a análise de critérios da pilha protocolar de determinado número de

intrusões, como por exemplo “Ping-Of-Death”(ping da morte) e “TCP Stealth Scanning”

(varredura de portas) recorrentes nos protocolos IP, TCP, UDP, e ICMP. Essas alterações

são suspeitas de ataques em uma máquina.

O IDS também fica “antenado”, apesar de ser uma antiga técnica dos crackers,

mas muito usado até hoje. O sistema fica “ligado” no comportamento do protocolos TCP

devido a suspeita de intrusão por “WinNuke”(programa malicioso que derruba conexão

TCP), para isso, os Crackers através da vulnerabilidade geralmente da porta 139, altera

dados NetBIOS deixando-os inválidos inserindo OOB data (Também conhecido como

“OOB Attack”, estabelece uma conexão com um equipamento e enviar uma seqüência

qualquer de caracteres, além de derrubar o servidor). O sistema de detecção intrusão

monitora principalmente a rede, especialmente a porta 139, na saída do servidores, dessa

forma pega o trafego dos hosts onde potencialmente o ataque acontece devido os servidores

serem mais protegidos.

Considerações Finais:

REFERÊNCIAS

Disponível em: <http://www.absoluta.org/seguranca/seg_ids.htm> Acesso em: 15 outubro de 2010.

Disponível em: <http://blog.segr.com.br/ids/> Acesso em: 02 novembro de 2010

Disponível em: <http://en.wikipedia.org/wiki/Intrusion_detection_system> Acesso em: 15 outubro

de 2010.

Disponível em: <http://www.segr.com.br/> Acesso em: 28 outubro de 2010.

Disponível em: <http://www.pcwebopedia.com/Secure_Socket_Layer.htm> Acesso em: 30

outubro de 2010.

Disponível em: <http://www.pcwebopedia.com/Secure_Socket_Layer.htm > Acesso em: 03 Novembro de 2010.