Sistemas de detecção de intrusão (IDS)

Maio 2015

Introdução aos sistemas de detecção de intrusões

Chama-se IDS (Intrusion Detection System) a um mecanismo que ouve o tráfego na rede de maneira furtiva, para localizar actividades anormais ou suspeitas e permitindo assim ter uma acção de prevenção sobre os riscos de intrusão.

Existem duas grandes famílias distintas de IDS:

  • Os N-IDS (Network Based Intrusion Detection System), asseguram a segurança a nível da rede.
  • Os H-IDS (Host Based Intrusion Detection System),asseguram a segurança a nível dos hóspedes.



O N-IDS necessita um material dedicado e constitui um sistema capaz de controlar os pacotes que circulam numa ou várias ligaçõe(s) de rede, com o objectivo de descobrir se um acto malicioso ou anormal tem lugar. O N-IDS coloca uma ou várias placas de interface rede do sistema dedicado em modo promiscuidade (promiscuous mode), estão então em modo “furtivo” para que não tenham endereço IP. Também não têm não pilha de protocolo associada. É frequente encontrar vários IDS nas diferentes partes da rede e em especial colocar uma sonda fora da rede para estudar as tentativas de ataques bem como uma sonda internamente, para analisar os pedidos que atravessaram o firewall ou efectuadas do interior.

 

schema de placement de N-IDS sur un réseau



O H-IDs reside num hóspede específico e a gama destes softwares cobre, por conseguinte, uma grande parte dos sistemas de exploração comoWindows, Solaris, Linux, HP-UX, Aix, etc…


O H-IDs comporta-se como um demónio ou um serviço standard num sistema hóspede. Tradicionalmente, o H-IDS analisa informações específicas nos diários de registos (syslogs, messages, lastlog, wtmp…) e também captura os pacotes redes que entram/saem do hóspede, para detectar sinais de intrusões (Recusa de Serviços, de Backdoors, cavalos de troia, tentativas de acesso não - autorizados, execução de códigos maliciosos, ataques por profusão de buffeurs…).

As técnicas de detecção

O tráfego rede (em todo o caso na Internet) é constituído geralmente por datagramas IP. Uns N-IDS é capaz de capturar os pacotes quando circulam nas ligações físicas sobre às quais está conectado. Os N-IDS consiste numa pilha de TCP/IP que reúne os datagramas IP e as conexões TCP. Pode aplicar as técnicas seguintes para reconhecer as intrusões:

  • Verificação da pilha protocolar : Um número de intrusões, como por exemplo “Ping-Of-Death” e “TCP Stealth Scanning” recorrem a violações dos protocolos IP, TCP, UDP, e ICMP com o objectivo de atacar uma máquina. Uma simples verificação protocolar pode realçar os pacotes inválidos e assinalar este tipo de técnica muito usada.
  • Verificação dos protocolos aplicativos : numerosas intrusões utilizam comportamentos protocolares inválidos, como por exemplo “WinNuke”, que utiliza dados NetBIOS inválidos (adição de dados OOB data). Para detectar eficazmente este tipo de intrusão, o N-IDS deve re-aplicar uma grande variedade de protocolos aplicativos como NetBIOS, TCP/IP,…

Esta técnica é rápida (não é necessário procurar sequências de bytes na exaustividade da base de assinaturas), elimina em parte os falsos alertas e mostra-se, por conseguinte, mais eficiente. Por exemplo, graças à análise protocolar o N-IDS distinguirá um acontecimento de tipo “Back Orifice PING” (perigosidade baixa) de um acontecimento de tipo “Back Orifice COMPROMETIDO” (perigosidade elevada).

  • Reconhecimento dos ataques por “Pattern Matching”: Esta técnica de reconhecimento de intrusões é o mais antigo método de análise do N-IDS e é ainda muito corrente.

Trata-se da identificação de uma intrusão pelo simples exame de um pacote e o reconhecimento numa sequência de bytes do pacote de uma sequência caraterística de uma assinatura precisa. Por exemplo, a investigação da cadeia de caracteres “/cgi-bin/phf”, que indica uma tentativa de exploração do certificado CGI chamado “phf”. Este método é também utilizado em complemento de filtros nos endereços IP fonte, destino utilizados pelas conexões, as portas fontes e/ou destino. Pode-se acoplar este método de reconhecimento para o afinar com a sucessão ou a combinação de flags TCP.

  • Esta técnica é generalizada nos NIDs de tipo “Network Grep”, baseado na captura dos pacotes brutos numa ligação supervisionada, e comparação via um parser de tipo “expressões regulares” que vai tentar fazer corresponder as sequências da base de assinaturas byte por byte com o conteúdo do pacote capturado.

A principal vantagem desta técnica reside na facilidade da sua actualização e evidentemente na quantidade importante de assinaturas contidas na base dos NIDS. No entanto, não há nenhuma certeza de que quantidade rima com qualidade. Por exemplo, os 8 bytes “CE63D1D2 16E713CF” quando são dispostos no início dos dados do protocolo UDP, indicam tráfego Back Orifice com uma palavra-passe por defeito. Ainda que 80% das intrusões utilizem a palavra-passe configurada por defeito, os outros 20% utilizam senha personalizadas e não são reconhecida absolutamente pelos NIDS. Por exemplo, se se alterar a palavra-passe “evade”, então a sequência de bytes transformar-se-á em “8E42A52C 0666BC4A”, o que se traduzirá automaticamente por uma ausência de sinalização dos NIDS. Esta técnica provoca também inelutavelmente um número importantes de falsos alertas ou falsos positivos.



Existem ainda outros métodos para detectar e assinalar uma intrusão, como o reconhecimento dos ataques por Pattern Matching Stateful e/ou a auditoria de tráfego de redes perigosas ou anormais.

Em conclusão, um N-IDS perfeitos é um sistema que utiliza o melhor de cada uma das técnicas citadas acima.

As diferentes acções IDS


Os principais métodos utilizados para assinalar e bloquear as intrusões nos N-IDS são os seguintes:

  • Reconfiguração de equipamento terceiro (firewall, ACL sobre routers) : Ordem enviada pelos N-IDS a um equipamento terceiro (filtro de pacotes, firewalls) para reconfiguração imediata com o objectivo de bloquear um intruso fonte de intrusões. Esta reconfiguração é possível através da passagem das informações que detalham um alerta (em cabeça (s) de pacote (s)).
  • Envio de um trap SNMP a um hipervisor terceiro : Envio do alerta (e o detalhe das informações que o constituem) em formato de um datagrama SNMP a uma consola terceira como HP OpenView, Tivoli, Cabletron Spectrum, etc.
  • Envio de um e-mail a um ou vários utilizadores : Envio de um e-mail para uma ou várias caixas de correio para notificar uma intrusão séria.
  • Registo (log) do ataque : Salvaguarda dos detalhes do alerta numa base de dados central, como por exemplo as informações seguintes: timestamp, @IP do intruso, @IP do alvo, protocolo utilizado, payload).
  • Salvaguarda dos pacotes suspeitos : Salvaguarda do conjunto dos pacotes redes (raw packets) capturados e/ou único (s) os pacotes que desencadearam um alerta.
  • Início de uma aplicação : Lançamento de um programa externo para executar uma acção específica (envio de uma mensagem sms, emissão de um alerta auditivo…).
  • Envio de um “ResetKill” : Construção de um pacote TCP FIN para forçar o fim de uma conexão (unicamente válido sobre técnicas de intrusão que utilizam o protocolo de transporte TCP).
  • Notificação visual do alerta : Afixação do alerta numa ou várias consola(s) de gestão.

Os desafios IDS

Os editores e a imprensa especializada falam cada vez mais de IPS (Intrusion Prevention System) em substituição dos IDS “tradicionais” ou para os distinguir.

O IPS é um Sistema de Prevenção/Protecção contra as intrusões e não apenas de reconhecimento e sinalização das intrusões, como a maior parte dos IDS. A principal diferença entre um IDS (rede) e um IPS (rede) reside principalmente em 2 características:

  • o posicionamento em corte na rede do IPS e não apenas à escuta na rede para o IDS (tradicionalmente posicionado como um sniffer na rede).
  • a possibilidade de bloquear imediatamente as intrusões e independentemente do tipo de protocolo de transporte utilizado e sem reconfiguração de um equipamento terceiro, o que induz que o IPS é constituído em como nativo numa técnica de filtragem de pacotes e meios de bloqueio (drop connection, drop offending packets, block intruder,…).



Artigo redigido a 29 de Janeiro de 2003 [mailto:cyrille.larrieu2@free.fr Cyrille LARRIEU].

Para uma leitura offline, é possível baixar gratuitamente este artigo no formato PDF:
Sistemas-de-deteccao-de-intrusao-ids .pdf

A ver igualmente


Intrusion detection systems (IDS)
Intrusion detection systems (IDS)
Sistema de detección de intrusiones (IDS)
Sistema de detección de intrusiones (IDS)
Systeme zur Erkennung von Intrusionen (IDS)
Systeme zur Erkennung von Intrusionen (IDS)
Systèmes de détection d'intrusion (IDS)
Systèmes de détection d'intrusion (IDS)
Intrusion Detection System (IDS)
Intrusion Detection System (IDS)
Este documento, intitulado « Sistemas de detecção de intrusão (IDS) »a partir de Kioskea (pt.kioskea.net) está disponibilizado sob a licença Creative Commons. Você pode copiar, modificar cópias desta página, nas condições estipuladas pela licença, como esta nota aparece claramente.