search

Quais são as principais funções do IDS?

1 anos atrás
Comentários: 0
Visualizações: 70

Um IDS e IPS, acrônimos para Intrusion Detection System ou Sistema de Detecção de Intrusão e Intrusion Prevention System ou Sistema de Prevenção de Intrusão respectivamente, são sistemas que tem por função detectar e prevenir os acessos não autorizados às redes ou hosts de uma ou mais redes, sendo portanto grandes aliados dos(as) administradores(as) de redes na manutenção da segurança dos ambientes por eles(as) controlados.

Show

Por exemplo, um conjunto IDS/IPS instalado em um computador ou servidor é considerado do tipo HIDS/HIPS, ou seja, Host Intrusion Detection System/Host Intrusion Prevention System, que significam Sistema de Detecção de Intrusão baseado em Host/Sistema de Prevenção de Intrusão baseado em Host, assim chamados por atuarem na detecção e prevenção de intrusões com base no comportamento e no histórico do tráfego de dados do computador no qual está instalado. Neste tipo de instalação, podemos encontrar uma sub-categoria conhecida por Honeypot, que é aquela em que o computador no qual este sistema está instalado tem a finalidade de permitir o acesso do(o) invasor(a) a um ambiente controlado, para que assim o(a) administrador(a) da rede possa estudar a forma como o atacante agiu, além de observar seu comportamento e intenções após a suposta obtenção deste acesso à rede.

Já um conjunto IDS/IPS instalado em uma switch, ou roteador por exemplo, é considerado do tipo NIDS/NIPS, ou seja Network Intrusion Detection System/Network Intrusion Prevention System, que querem dizer Sistema de Detecção de Intrusão baseado em Rede/ Sistema de Prevenção de Intrusão baseado em Rede, sendo assim chamados por ter foco no monitoramento e atuação na rede em que estão acoplados, baseando-se no histórico de comportamento e tráfego de dados desta. Esses tipos podem ser combinados em soluções mistas, mesclando o monitoramento de rede(s) com hosts e servidores.

Vantagens de ter o serviço IPS/IDS integrado no seu firewall SonicWall:

– SonicWall possui um mecanismo de inspeção de pacotes profundos configurável e de alto desempenho que usa algoritmos de busca paralelos através da camada de aplicação para oferecer maiores capacidades de prevenção de ataque em relação aos fornecidos pelos firewalls de inspeção de pacotes tradicionais.

– A Prevenção de Intrusão Inter-Zona permite que os administradores apliquem a prevenção de intrusões não apenas entre cada zona de rede e a Internet, mas também entre zonas de rede internas.

– Extensa lista de assinaturas : o Serviço de Prevenção de Intrusão da SonicWall utiliza uma extensa base de dados de mais de 1.700 assinaturas de ataques e vulnerabilidades escritas para detectar e prevenir intrusões, worms, explorações de aplicativos e o uso de aplicativos peer-to-peer e de mensagens instantâneas.

– Banco de dados com atualizações automatizadas de assinaturas entregues através da arquitetura de execução distribuída da SonicWall, fornecendo proteção contra ameaças emergentes e reduzindo o custo total de propriedade.

– Solução escalável  que  garantem redes pequenas, médias e grandes com proteção total contra exploração de aplicativos, worms e tráfego malicioso.

– Serviço de Prevenção de Intrusão da SonicWall, permite aos administradores de rede criar políticas globais entre zonas de segurança e ataques de grupo por prioridade, simplificando a implantação e o gerenciamento em uma rede distribuída.

Este Artigo faz parte da Revista Infra Magazine 1 Ver Revista

Artigos Sistema de Detec��o de Intrus�o - Artigo Revista Infra Magazine 1

Do que se trata o artigo:

O presente artigo tem como objetivo principal a apresenta��o do conceito de Sistema de Detec��o de Intrus�o (Intrusion Detection System - IDS). IDSs t�m em sua ess�ncia o aux�lio � seguran�a do ambiente de computa��o em uma rede de computadores. Neste cen�rio, a coopera��o deve estar presente em v�rios n�veis. No artigo ser�o expostos conceitos, modelos e uma ferramenta dispon�vel ao usu�rio. Esta ferramenta � o Prelude-IDS, que servir� como demonstrativo da aplica��o em um ambiente real do conceito apresentado.


Para que serve:

O Sistema de Detec��o de Intrus�o pode ser utilizado em ambientes corporativos, assim como em redes locais, dependendo de seu modelo empregado. Basicamente tem-se um modelo baseado em host e outro baseado em rede. Sua funcionalidade principal � servir como uma segunda linha de defesa � invas�o, agindo posteriormente � constata��o da intrus�o no sistema. Sistemas neste caso pode ser a rede, um servidor ou um computador pessoal analisando as atividades da rede ou do computador em quest�o.


Em que situa��o o tema � �til:

Registros de invas�es s�o notados diariamente aos milhares por toda a Internet, assim como em redes locais cabeadas ou sem fio. Com a const�ncia no crescimento e na depend�ncia dos ambientes computacionais de produ��o, das mais diversas �reas, pela interliga��o de sistemas e acesso/armazenamento de dados de forma segura, � necess�rio agir de forma a evitar a invas�o de intrusos � rede. Por�m, esta premissa pode nem sempre ser verdadeira, o que faz do Sistema de Detec��o de Intrus�o uma importante ferramenta no aux�lio ao escopo de seguran�a da rede como um todo, uma vez que age ap�s a constata��o de uma prov�vel invas�o. � preciso pensar na seguran�a.

Autores: Edelberto Franco Silva e Eduardo Pagani Julio

Este artigo abordar� os conceitos e aplica��es do Sistema de Detec��o de Intrus�o (IDS) a fim de que, ao final, o leitor tenha a capacidade de visualizar como este mecanismo de seguran�a funciona, al�m de como preparar um ambiente integrado de detec��o de intrus�o. Mecanismos de seguran�a s�o cada vez mais necess�rios na busca para que se tenha confiabilidade, disponibilidade e integridade em ambientes computacionais e � exatamente este o ponto em que o IDS vem a colaborar. Ser�o apresentados os modelos de IDS, suas principais funcionalidades e sua finalidade. Ao final ser� abordada uma ferramenta de IDS assim como sua aplica��o em um ambiente real. Para a instala��o do IDS, o sistema operacional escolhido � o Linux, por�m n�o se faz necess�rio que sejam monitorados somente ambientes com este mesmo sistema operacional, uma vez que ser� demonstrada a interoperabilidade do IDS escolhido por meio de um padr�o proposto de formato de mensagens e alertas. Os principais fatores que levaram � escolha deste Sistema Operacional para testes partem desde sua aten��o � seguran�a do ambiente operacional como um todo, assim como a exist�ncia de in�meras ferramentas voltadas a este fim; al�m de apresentar v�rias distribui��es gratuitas o Linux � open source, ou seja, seu c�digo-fonte � aberto, acess�vel e pode ser modificado pelo usu�rio (experiente). A ferramenta de IDS a ser apresentada neste artigo � o Prelude-IDS. Cada componente ser� detalhado, assim como os sensores de terceiros dispon�veis e suas maiores virtudes.

Sistema de Detec��o de Intrus�o

Normalmente o que encontramos s�o mecanismos que tentam impedir o acesso indevido ao sistema. Mas quando o sistema se encontra comprometido por algum motivo, seja uma sess�o ativa esquecida por um usu�rio, uma falha de seguran�a de um software desatualizado instalado no servidor que gerencia toda a rede, ou em um dos computadores da rede participantes da rede local. Neste momento nos deparamos com uma intrus�o, e � a� que se faz necess�ria a utiliza��o de um mecanismo que identifique e alerte ou responda � atividade maliciosa em quest�o.

O Sistema de Detec��o de Intrus�o (Intrusion Detection System - IDS) pode ser definido como um sistema automatizado de seguran�a e defesa detectando atividades hostis em uma rede ou em um computador (host ou n�). Al�m disso, o IDS tenta impedir tais atividades maliciosas ou reporta ao administrador de redes respons�vel pelo ambiente. Trata-se de um mecanismo de segunda linha de defesa. Isto quer dizer que, somente quando h� evid�ncias de uma intrus�o/ataque � que seus mecanismos s�o utilizados. A primeira linha defensiva � aquela que tentar� limitar ou impedir o acesso ao ambiente, o que pode ser, por exemplo, um firewall. O IDS pode apresentar uma forma de resposta a algum tipo de ataque, trabalhando em conjunto com a primeira linha de defesa, por exemplo, incluindo regras no firewall ou bloqueando a sess�o em quest�o. Pode ainda reportar as atividades maliciosas constatadas aos outros n�s da rede.

O que � IDS e como funciona

Conforme os conceitos descritos em um dos artigos-base sobre IDS (ver refer�ncias ao final), podemos conceituar a detec��o de intrus�o como um processo de monitoramento de eventos que ocorrem em um sistema de computa��o ou em uma rede e tem o intuito de analisar poss�veis incidentes, poss�veis viola��es ou imin�ncias de viola��es �s regras de seguran�a deste ambiente. Incidentes podem ter v�rias causas, desde a a��o de malwares (worms, spywares etc.) at� ataques que visam o ganho n�o autorizado do ambiente em quest�o.

A utiliza��o de IDS como sistema de preven��o pode envolver desde alertas ao administrador da rede e exames preventivos at� a obstru��o de uma conex�o suspeita. Ou seja, o processo de detec��o de intrus�o � o de identificar e responder de maneira preventiva atividades suspeitas que possam interferir nos princ�pios da integridade, confiabilidade e disponibilidade. Al�m disso, as ferramentas de IDS s�o capazes de distinguir de onde se originaram os ataques, de dentro ou fora da rede em quest�o. Os IDS geralmente analisam arquivos locais em busca de rastros de tentativas mal-sucedidas de conex�o � m�quina, ou at� mesmo nas camadas do modelo de pilha TCP/IP abaixo da camada de aplica��o, como por exemplo, altera��es nos campos do cabe�alho do protocolo IP.

Considera��es sobre IDS:

� N�o � um software antiv�rus projetado para detectar softwares maliciosos tais como v�rus, trojans, e outros;

� N�o � usado como um sistema de registro de rede, por exemplo, para detectar total vulnerabilidade gerada por ataques DoS (Denial-of-Service) que venham a congestionar a rede. Para isso s�o usados sistemas de monitoramento de tr�fego de rede;

� N�o � uma ferramenta de avalia��o de vulnerabilidades, verificando erros e falhas de sistema operacional e servi�os de rede. Tal atividade � de ordem dos scanners de seguran�a que varrem a rede em busca destas mesmas falhas.

Em um modelo b�sico de IDS � poss�vel incluir alguns elementos. Primeiramente, as decis�es provenientes do IDS s�o baseadas sob a coleta de dados realizada. As fontes de dados podem incluir desde entradas pelo teclado, registros de comandos b�sicos a registros de aplica��es. As decis�es somente s�o tomadas quando se tem uma quantidade significativa de dados em sua base que confirmam a maliciosidade daquele computador. Os dados s�o armazenados por tempo indefinido (que podem ser apagados posteriormente), para mais tarde servirem de refer�ncia, ou ent�o temporariamente, esperando o processamento. Os dados coletados com informa��es iguais (considerados, portanto, elementos homog�neos), s�o cruciais para o trabalho do IDS. Um ou mais algoritmos s�o executados, procurando evid�ncias para que se tomem rapidamente decis�es contra as atividades suspeitas.

Geralmente os IDS s�o controlados por configura��es que especificam todas suas a��es. Estas configura��es ditam onde os dados ser�o coletados para an�lise, assim como qual resposta ser� resultado para cada tipo de intrus�o. O melhor ajuste de configura��es ajuda a definir uma maior prote��o ao ambiente, por�m, o contr�rio, provavelmente, ser� prejudicial. O IDS gera um alarme, � ele o respons�vel por todo o tipo de sa�da, desde respostas autom�ticas, alerta de atividades suspeitas ao administrador e notifica��o ao usu�rio.

� interessante que se tenha em mente o fato dos alertas n�o serem conclusivos ou que possa haver exist�ncia de erros tanto de an�lise como de configura��o, o que pode gerar os chamados falsos positivos, que s�o alertas, ou a��es, em resposta a evid�ncias encontradas pelo IDS, por�m de forma equivocada. A mesma fr�gil configura��o pode gerar falsos negativos, que se conceitua pela falta de alerta ou decis�o para um ataque real. Busca-se sempre que o IDS tenha o menor n�mero de falsos positivos e falsos negativos quanto poss�vel.

Tipos de IDS

A detec��o de intrus�o pode ser classificada em tr�s categorias: detec��o por assinatura ou mau uso (Misuse Detection), detec��o por anomalia (Anomaly Detection) e detec��o baseada em especifica��o (Specification-based Detection). A seguir ser�o explicadas de forma mais detalhada cada uma destas categorias.

Detec��o por assinatura

Detectores deste tipo analisam as atividades do sistema procurando por eventos ou conjuntos de eventos que correspondam a padr�es pr�-definidos de ataques e outras atividades maliciosas. Estes padr�es s�o conhecidos como assinaturas. Geralmente cada assinatura corresponde a um ataque ou outra atividade espec�fica. � natural e simples pensar em um exemplo t�pico deste tipo de evid�ncia, onde o atacante tenta se logar no sistema por meio de um acesso remoto, por exemplo o SSH (Secure Shell), e erra a senha por mais de tr�s vezes. Por meio de uma assinatura encontrada nos logs (registros) do sistema, ou seja, a linha correspondente ao erro de autentica��o, � ent�o emitido ao administrador um alerta e bloqueado o acesso do atacante, conforme a configura��o do IDS realizada pelo administrador.

A seguir listamos as vantagens e desvantagens da utiliza��o deste tipo de detec��o.

Vantagens da detec��o baseada em assinaturas:

� S�o muito eficientes na detec��o (comparando-se com a detec��o baseada em anomalias) sem gerar grande n�mero de alarmes falsos;

� Podem diagnosticar o uso de uma ferramenta ou t�cnica espec�fica de ataque.

Desvantagens da detec��o baseada em assinaturas:

� Estes tipos de detectores somente podem detectar ataques conhecidos, ou seja, que est�o inclu�dos no conjunto de assinaturas que o IDS possui, necessitando-se assim de constante atualiza��o deste conjunto (assim como os antiv�rus);

� A maioria destes detectores possui assinaturas muito espec�ficas, n�o detectando dessa forma as variantes de um mesmo ataque.

Detec��o por anomalia

Detectores baseados em anomalias identificam comportamentos n�o usuais (anomalias) em um computador ou na rede. Eles funcionam a partir do pressuposto que ataques s�o diferentes da atividade normal e assim podem ser detectados por sistemas que identificam estas diferen�as. Este tipo de detec��o constr�i um perfil que representa o comportamento normal de usu�rio, n�s e conex�es de rede. Este perfil � constru�do a partir de dados coletados em um per�odo de opera��o considerado normal, geralmente sob a supervis�o do administrador da rede em quest�o. Estes detectores monitoram a rede e usam uma variedade de medidas para determinar quando os dados monitorados est�o fora do normal, ou seja, desviando do perfil.

Um exemplo cl�ssico a este tipo de detec��o � quando um usu�rio espec�fico utiliza sempre o acesso � Internet durante certo per�odo do dia, no hor�rio comercial, por exemplo. Imaginemos que este usu�rio � um gerente da empresa que est� sendo monitorada pelo IDS baseado em anomalias. Este IDS passou toda uma semana criando o perfil deste usu�rio e, a partir do �ltimo dia daquela semana, emprega seu perfil como mandat�rio ao hor�rio permitido de utiliza��o da Internet. Certo dia, ap�s a detec��o estar ativa, o gerente deseja utilizar o acesso � Internet durante a madrugada para entregar um relat�rio de �ltima hora, nada usual conforme o perfil criado. A resposta a esta detec��o realizada pelo IDS baseado em anomalia � o bloqueio do acesso � Internet para aquele usu�rio/terminal, que poderia ser uma verdade se n�o houvesse esta exce��o, por�m foi tratada na verdade como um falso positivo.

Infelizmente, este tipo de detec��o geralmente produzir� um grande n�mero de alarmes falsos, pois o comportamento de usu�rios e sistemas pode variar amplamente. Apesar desta desvantagem, pesquisadores afirmam que a detec��o baseada em anomalias pode identificar novas formas de ataques, coisa que a detec��o baseada em assinatura n�o pode fazer. Al�m disso, algumas formas de detec��o baseadas em anomalias produzem uma sa�da que pode ser usada como fonte de informa��es para detectores baseados em assinaturas. Por exemplo, um detector baseado em anomalias pode gerar um n�mero que representa a quantidade normal de arquivos acessados por um usu�rio particular, com isso um detector baseado em assinaturas pode possuir uma assinatura que gera um alarme quando esse n�mero excede 10%, por exemplo.

Ainda que alguns IDSs comerciais incluam formas limitadas de detec��o de anomalias, poucos, se nenhum, confiam somente nesta tecnologia. As detec��es de anomalias existentes em sistemas comerciais geralmente giram em torno da detec��o de scans de rede ou portas. Entretanto, a detec��o por anomalias continua na �rea de pesquisa e pode se tornar muito importante para a o desenvolvimento de IDSs no futuro de forma cada vez mais robusta.

A seguir s�o listadas as vantagens e desvantagens da utiliza��o da detec��o por anomalia.

Vantagens da detec��o por anomalias:

� Detecta comportamentos n�o usuais, logo possui a capacidade de detectar sintomas de ataques sem um conhecimento pr�vio deles;

� Produz informa��es que podem ser usadas na defini��o de assinaturas para detectores baseados em assinaturas.

Desvantagens da detec��o por anomalias:

� Geralmente produz um grande n�mero de alarmes falsos devido ao comportamento imprevis�vel de usu�rios e sistemas;

� Requer muitas sess�es para coleta de amostra de dados do sistema, de modo a caracterizar os padr�es de comportamento normais.

Detec��o baseada em especifica��o

Define um modelo muito mais complexo que os anteriores, j� que sua an�lise pode ser realizada nas camadas abaixo da camada de aplica��o da pilha de protocolos da Internet ou no n�vel de controle do sistema operacional. Ela se restringe � opera��o correta de um programa ou protocolo, e monitora a execu��o do programa com respeito � defini��o estipulada. Essa t�cnica pode fornecer a descoberta de ataques previamente desconhecidos, com isso potencializando sua atividade, al�m de apresentar taxas muito baixas de falsos positivos. Este modelo de detec��o n�o � t�o amplamente divulgado como os demais citados neste artigo especialmente por sua maior complexidade de desenvolvimento e restri��o � aplica��o que se destina, uma vez que ele visa, por exemplo, uma �nica aplica��o.

Pode-se pensar em um exemplo para este modelo de detec��o onde ser� realizada uma pr�-an�lise das chamadas de um servidor de FTP ao n�cleo do sistema operacional. Todas as chamadas e principalmente as consideradas cr�ticas ao sistema s�o analisadas a fim de se observar poss�veis altera��es posteriores com objetivos maliciosos. Este tipo de detec��o � considerada de mais baixo n�vel do que as demais citadas neste artigo, o que tamb�m demonstra um conhecimento muito mais profundo das a��es realizadas pelo programa a ser analisado assim como do sistema operacional e das fun��es de rede.

IDS baseado em rede

Este tipo de IDS tem por objetivo detectar ataques pela an�lise dos pacotes que trafegam pela rede atrav�s de uma escuta em um segmento de rede (como um sniffer- farejador de pacotes). Com isso, um IDS tem a capacidade de monitorar o tr�fego de todos os n�s que est�o conectados neste segmento, protegendo-os.

IDSs baseados em rede (Network Intrusion Detection System - NIDS) geralmente consistem de um conjunto de sensores colocados em v�rios pontos da rede que monitoram o tr�fego, realizando uma an�lise local do mesmo e relatando ataques a um console central de gerenciamento. Como os sensores s�o limitados a executarem somente o IDS, eles podem ser mais facilmente protegidos contra ataques.

Este tipo de IDS garante que, com poucos IDSs instalados, mas bem posicionados, pode se monitorar uma grande rede. � geralmente simples adicionar esse tipo de IDS a uma rede e s�o considerados bem seguros a contra ataques. Por�m, apresentam algumas desvantagens, como a dificuldade em processar todos os pacotes em uma rede grande e sobrecarregada. Assim, podem falhar no reconhecimento de um ataque lan�ado durante per�odos de tr�fego intenso, al�m de muitas das vantagens dos IDSs baseados em rede n�o se aplicarem �s redes mais modernas baseadas em switches, pois estes segmentam a rede, necessitando assim de ativar portas de monitoramento nesses equipamentos para que o sensor funcione corretamente. Outra grande desvantagem do IDS baseado em rede � o de n�o poder analisar informa��es criptografadas, j� que essas somente ser�o visualizadas na m�quina de destino.

Um exemplo de coloca��o em uma rede de um IDS baseado em rede pode ser visto na Figura 1.

Quais são as principais funções do IDS?

Figura 1. IDS baseado em Rede.

IDS baseado em host

Este tipo de IDS � instalado em um host que ser� alertado sobre ataques ocorridos contra a pr�pria m�quina. Este IDS avalia a seguran�a deste host como base em arquivos de log do sistema operacional, log de acesso e log de aplica��o, por exemplo. Tem grande import�ncia, pois fornece seguran�a a tipos de ataques em que o firewall e um IDS baseado em rede n�o detectam, como os baseados em protocolos criptografados, j� que est�o localizados no destino da informa��o.

Um exemplo de sua utiliza��o pode ser visto na Figura 2, onde um IDS baseado em host avisa aos demais sistemas de IDSs dos outros n�s sobre a presen�a de um intruso.

Quais são as principais funções do IDS?

Figura 2. IDS baseado em Host.

O IDS baseado em host monitora as conex�es de entrada no host e tenta determinar se alguma destas conex�es pode ser uma amea�a. Monitora tamb�m arquivos, sistema de arquivos, logs, ou outras partes do host em particular, que podem ter atividades suspeitas representando uma tentativa de intrus�o ou at� mesmo uma invas�o bem sucedida.

Alguns HIDS possuem a capacidade de interpretar a atividade da rede e detectar ataques em todas as camadas do protocolo, aumentando assim a sua capacidade de bloqueio a determinados ataques que n�o seriam notados pelo firewall ou pelo IDS de rede, tais como pacotes criptografados. Esta an�lise � restrita a pacotes direcionados ao host protegido pelo IDS.

Um exemplo de tentativa suspeita que � detectada pelo IDS baseado em host � o login sem sucesso em aplica��es que utilizam autentica��o de rede. Desta forma, o sistema IDS informar� ao administrador de rede que existe um usu�rio tentando utilizar uma aplica��o que ele n�o tem permiss�o.

Para ilustrar os conceitos, � apresentado o IDS Prelude, abordando seus componentes e m�todo de funcionamento. Ao final estaremos aptos, de forma conceitual, a seguir o passo a passo de instala��o deste IDS no Linux.

O Prelude-IDS

O Prelude-IDS � um IDS h�brido, ou seja, � um produto que permite a unifica��o em um sistema centralizado a v�rios tipos de aplica��es, sejam elas de c�digo-fonte aberto ou propriet�rio, al�m de poder interoperabilizar as fun��es de um NIDS com as de um HIDS, sendo em sua ess�ncia um NIDS. A fim de implementar tal tarefa, o Prelude-IDS utiliza o padr�o IDMEF (Intrusion Detection Message Exchange Format) que permite que diferentes tipos de sensores gerem eventos utilizando uma mesma linguagem. Este modelo � baseado na premissa de que n�o se deve confiar em uma �nica fonte de informa��o para uma an�lise de seguran�a, j� que m�todos diferentes de an�lise t�m vantagens diferentes. Assim, o Prelude-IDS decidiu unificar estes m�todos em um �nico produto, produzindo uma ferramenta bastante completa de seguran�a.

Possui suporte �s linguagens de programa��o C, C++, Python, Ruby, Lua e Perl, de modo que � poss�vel converter aplica��es de seguran�a existentes para a estrutura do Prelude-IDS. O framework do Prelude � descrito pela Figura 3. Ele fornece tamb�m sensores que funcionam como analisadores do registro, como � o caso do Prelude-LML. Um sensor de Prelude-IDS pode ser um programa que � capaz de trabalhar em conjunto com o framework Prelude-IDS.

O Prelude tem a habilidade de encontrar atividades maliciosas em conjunto com outros tipos de sensores, listados a seguir, al�m de mais de cem tipos de registros de sistema (syslog), entre outros, a fim de melhorar sua evid�ncia ao apontar um ataque:

AuditD: fornece um espa�o para o usu�rio criar suas regras de auditoria, bem como armazenar e pesquisar registros nos arquivos de auditoria a partir do kernel 2.6. Possui um plugin de detec��o de intrus�o que analisa os eventos em tempo real e envia por meio de alertas IDMEF ao Prelude Manager;

Nepenthes: � uma ferramenta de emula��o de atividades de malwares, atuando passivamente neste tipo de emula��o com a inten��o de tentar explorar tais falhas;

NuFW: � uma ferramenta que funciona como uma extens�o para o Netfilter (Firewall Linux), que substitui as regras comuns baseadas no gerenciamento de IPs, por informa��es mais detalhadas sobre os dados dos computadores e dos usu�rios em si. Sua inten��o � agregar maior fidelidade �s fontes, j� que endere�os IPs s�o trivialmente forjados;

OSSEC: � um HIDS open source desenvolvido por um brasileiro. Ele executa a an�lise de logs, verifica��o de integridade, monitoramente de registro (no caso do Windows) e detec��o de rootkit, al�m de prover resposta ativa e alerta em tempo real;

PAM: Linux-PAM � um sistema de bibliotecas que lida com as tarefas de autentica��o de aplica��es no sistema. A biblioteca oferece uma interface para a concess�o de privil�gios de programas (como o login e su);

Samhain: � um sistema open source multiplataforma de detec��o de intrus�o baseado em host (HIDS) para POSIX (Unix, Linux, Cygwin/Windows) que fornece verifica��o de integridade de arquivos, bem como detec��o de rootkits, monitoramento de portas, detec��o de arquivos execut�veis SUID desonestos e processos ocultos;

SanCP: � uma ferramenta de seguran�a de rede projetada para coletar informa��es estat�sticas sobre o tr�fego de rede, bem como, grav�-lo em um arquivo utilizando o formato pcap para fins de auditoria, an�lise hist�rica e descoberta de atividades da rede;

Snort: � um IDS de rede (NIDS) capaz de desenvolver an�lise de tr�fego em tempo real e registro de pacote em redes IP. Executa an�lise de protocolos e analisa padr�es de conte�do, podendo ser considerado um IDS que trabalha tanto com o m�todo de detec��o por anomalia quanto por assinatura, por exemplo, para a detec��o de ataques do tipo :

o buffer overflows: sucintamente pode ser descrito como o estouro do limite de espa�o de mem�ria para certa aplica��o, o que pode gerar desde problemas na execu��o da aplica��o at� a explora��o de dados por meio de acesso a endere�os de mem�ria utilizados por outras aplica��es;

o stealth port scans: baseado no escaneamento de portas com a finalidade de encontrar aplica��es rodando no computador de destino, e pode ter como objetivo explorar falhas e conseguir acesso por meio destas portas. V�rias t�cnicas s�o utilizadas para esta verifica��o, sendo a baseada no three-way Handshake do TCP uma das mais eficientes;

o ataques CGI: visam a explora��o de falhas que possam existir entre a aplica��o e o servidor controlados pelo suporte CGI;

o SMB probes: explora��o da checagem de compartilhamento que utiliza o SMB;

o OS fingerprinting: tem o intuito de descobrir o Sistema Operacional utilizado pela poss�vel v�tima;

o Al�m de outras.

Por padr�o, oferece em torno de 20 mil regras (somando-se as regras da Vulnerability Research Team e do Emerging Threads).

Quais são as principais funções do IDS?

Figura 3. Framework do Prelude-IDS.

Dica DevMan

: IDMEF � um protocolo experimental proposto para trocas de mensagens entre sistemas de detec��o de intrus�o automatizados. Os sistemas de detec��o podem usar o relat�rio de alerta sobre eventos que considerem suspeitos. O desenvolvimento deste formato padr�o tem como objetivo permitir a interoperabilidade entre fontes, sejam elas comerciais ou abertas.

Componentes do Prelude-IDS

Ser�o apresentados os componentes que formam o framework do Prelude-IDS, desde seu sensor de coleta at� sua biblioteca de conex�o e armazenagem de dados.

Prelude Manager: � um servidor de alta disponibilidade que aceita conex�es a partir de sensores distribu�dos e/ou outros gerentes, e salva os eventos recebidos para uma m�dia especificada pelo usu�rio (banco de dados, arquivo de log, e-mail, etc.). � um concentrador capaz de lidar com um grande n�mero de conex�es e processamento de grandes quantidades de eventos. O Prelude Manager vem com v�rios plugins como os de filtragem (por crit�rios de impacto reportados pela mensagem do IDMEF, limiares de consulta, etc.) e envio de alertas ao administrador por SMTP;

LibPrelude: � uma biblioteca que permite conex�es seguras entre os sensores e o Prelude Manager, fornece, ainda, uma API (Application Programming Interface) para comunica��o com os subsistemas do Prelude, que fornece as funcionalidades necess�rias para a gera��o e emiss�o de alertas em IDMEF, al�m de garantir retransmiss�o de alertas para momentos de interrup��o tempor�ria. Portanto, � a biblioteca utilizada por terceiros para integra��o ao Prelude-IDS;

LibPreludeDB: a biblioteca em quest�o � uma camada de abstra��o sobre o tipo e o formato do banco de dados para armazenamento das mensagens, permitindo ao desenvolvedor utilizar sua base de armazenamento de mensagens IDMEF sem a necessidade de SQL, independentemente do tipo ou formato da base de dados;

Prelude-LML: � um analisador de log que permite ao Prelude coletar e analisar logs do sistema a fim de encontrar evid�ncias de a��es maliciosas; transforma-o em um alerta IDMEF e ent�o envia ao Prelude Manager. � poss�vel customizar a an�lise de logs por meio de cria��o de regras (assinaturas). Hoje j� avalia mais de 400 regras, dentre elas aplica��es conhecidas, como Squid, Sudo, Cacti, Asterisk, OpenSSH, Apache, etc.;

Prelude-Correlator: permite, por meio de cria��o de regras utilizando a linguagem Lua, conectar e buscar alertas em um servidor remoto do Prelude Manager e ativar corre��es localmente, conforme suas regras para aquele incidente. Mensagens IDMEF s�o geradas como alerta de corre��o;

Prewikka: � a interface Web com o usu�rio (GUI � Graphical User Interface) que prov� v�rias facilidades na an�lise e administra��o do Prelude. Al�m da visualiza��o de alertas, � poss�vel saber o status tanto do Prelude Manager como dos sensores.

Dica DevMan

: Lua � uma linguagem de programa��o poderosa, r�pida e leve, projetada para estender aplica��es, sejam elas em C, C++, Java, C#, Smalltalk, Fortran, Ada, Erlang, e outras linguagens de script, como Perl e Ruby. Suas caracter�sticas a fazem uma linguagem ideal para configura��o, automa��o (scripting) e prototipagem r�pida. Lua est� presente em muitos jogos (e.g. World of Warcraft) e o middleware para TV Digital Ginga. Essa linguagem foi criada na PUC-Rio.

Na Figura 4 � poss�vel visualizar uma arquitetura simples do Prelude-IDS, onde temos v�rios sensores, por exemplo, o Prelude-LML, se conectando a um Prelude Manager que, por sua vez, armazena os dados coletados em uma base de dados (podemos pensar aqui em um banco de dados MySQL) e as exibe ao administrador por meio da GUI, o Prewikka.

Quais são as principais funções do IDS?

Figura 4. Arquitetura simples de um ambiente com Prelude-IDS.

Ap�s a demonstra��o de toda a estrutura do Prelude-IDS, � poss�vel iniciar a parte pr�tica deste artigo, mostrando como instalar o Prelude IDS em uma esta��o com o sistema operacional Linux.

Instala��o do Prelude-IDS

Para a instala��o do Prelude-IDS utilizamos a vers�o dispon�vel no momento da escrita do artigo, o Linux Ubuntu 9.10 de codinome Karmic, com o kernel 2.6.31 instalado por padr�o. As vers�es dos componentes do Prelude-IDS foram instaladas de modo a facilitar este guia, todas elas estavam dispon�veis no reposit�rio universe do Ubuntu. Apesar da vers�o corrente do Prelude-IDS ser a 1.0 e ser suportada pela vers�o 10.04 do Ubuntu Linux (codinome Lucid), utilizaremos as vers�es a seguir, uma vez que adotamos a vers�o 9.10 do Ubuntu em toda a confec��o deste artigo. As vers�es dos componentes de Prelude-IDS foram:

� Prelude Manager: 0.9.14.2-2;

� LibPrelude: 0.9.24.1-1;

� LibPreludeDB: 0.9.15.3-1;

� Prelude-LML: 0.9.14-2;

� Prelude-Correlator: 0.9.0~beta5-1;

� Prewikka: 0.9.17.1.

Baixando os pacotes necess�rios

A seguir, mostraremos a etapa em que se faz necess�rio o download dos pacotes do Prelude-IDS, assim como a de alguns outros pacotes. Utilizaremos o comando apt-get em todo este processo. Pressupomos que o usu�rio logado no momento � o root. � poss�vel assumir este controle com o comando sudo �s.

Na Listagem 1 pode-se observar a instala��o da base de dados MySQL, que armazenar� os alertas, e o Apache, servidor web que servir� para a visualiza��o das alertas.

Listagem 1. Instalando pacotes do MySQL e Apache.


  apt-get install mysql-server-5.1 apache2

Conforme pode-se notar na Figura 5,ser� necess�ria a cria��o de uma senha para o acesso do usu�rio root � base de dados do MySQL. Essa senha ser� utilizada novamente durante a instala��o do Prelude-IDS.

Quais são as principais funções do IDS?

Figura 5. Tela de instala��o do MySQL.

O pr�ximo passo que temos a seguir � a instala��o do Prelude Manager, o gerente, que � feito com o comando da Listagem 2, assim como o resultado esperado. Ap�s a instala��o do prelude-manager � necess�rio alterar o conte�do do arquivo /etc/default/prelude-manager de RUN para yes, conforme exibido na �ltima linha da Listagem 2, e rodar o comando /etc/init.d/prelude-manager start. As telas de configura��o com o banco de dados s�o representadas pelas Figuras 6, 7 e 8.

Listagem 2. Instala��o e resultado do Prelude Manager.


  apt-get install prelude-manager
   
  dbconfig-common: writing config to /etc/dbconfig-common/prelude-manager.conf
  granting access to database prelude for prelude@localhost: success.
  verifying access for prelude@localhost: success.
  creating database prelude: success.
  verifying database prelude exists: success.
  populating database via sql...  done.
  dbconfig-common: flushing administrative password
  Generating 1024 bits RSA private key... This might take a very long time.
  [Increasing system activity will speed-up the process].
  Generation in progress... X
  +++++O.+++++O
   
  Created profile 'prelude-manager' with analyzerID '1559276264123084'.
  Changed 'prelude-manager' ownership to UID:113 GID:122.
   * prelude-manager disabled, please adjust the configuration to your needs 
   * and then set RUN to 'yes' in /etc/default/prelude-manager to enable it.

Quais são as principais funções do IDS?

Figura 6. Tela de inicializa��o da configura��o do Prelude-Manager com o MySQL.

Quais são as principais funções do IDS?

Figura 7. Escolha do Banco de Dados MySQL.

Quais são as principais funções do IDS?

Figura 8. Senha do usu�rio root criada na instala��o do MySQL.

Feito isto, instalaremos o Prelude-LML executando o comando da Listagem 3. Por�m, aten��o ao erro reportado aqui. Este erro existe porque � necess�rio que o processo do passo da Listagem 4 seja executado a fim de registrar o sensor do Prelude-LML junto ao prelude-manager. Somente desta forma o Prelude-LML poder� se comunicar com o prelude-manager e enviar seus alertas a ele.

Listagem 3. Instala��o e resultado do Prelude �LML.


  apt-get install prelude-lml
  * erro na hora de inicializar, isto porque e necessario o comando:
  prelude-admin register "prelude-lml" "idmef:w" <manager address> --uid 0 --gid 0

Listagem 4. Passos para o registro do Prelude �LML.


  // Abra outro terminal
  ---------
  TERMINAL 2
  root@salomao-ubuntu:~# prelude-admin registration-server prelude-manager
  The "ne5mpjua" password will be requested by "prelude-admin register"
  in order to connect. Please remove the quotes before using it.
   
  Generating 1024 bits Diffie-Hellman key for anonymous authentication...
  Waiting for peers install request on 0.0.0.0:5553...
  -----------
  E insira no terminal anterior a senha gerada: ne5mpjua
   
  TERMINAL 1
  ter� como resultado as linhas:
  Enter the one-shot password provided on 127.0.0.1: 
  Confirm the one-shot password provided on 127.0.0.1: 
   
  Connecting to registration server (127.0.0.1:5553)... Authentication succeeded.
  -----------
  TERMINAL 2
  e dever� confirmar "Y" na tela anterior o
  Connection from 127.0.0.1:40864...
  Registration request for analyzerID="276627230846594" permission="idmef:w".
  Approve registration? [y/n]:  y
  127.0.0.1:40864 successfully registered.
  ------------
   
  TERMINAL 1
  Successful registration to 127.0.0.1:5553.
  ------------

Ao final desses passos, para que o ambiente do Prelude-IDS esteja completo, precisamos apenas do Prelude-Correlator e da interface Web de administra��o, o Prewikka. A instala��o dos pacotes � realizada pelo comando da Listagem 5.

Listagem 5. Instala��o do Prelude-Correlator e Prewikka.


  apt-get install prelude-correlator prewikka
   
  Setting up prelude-correlator (0.9.0~beta5-1) ...
   * prelude-correlator disabled, please adjust the configuration to your needs 
   * and then set RUN to 'yes' in /etc/default/prelude-correlator to enable it.

A Listagem 5, assim como a Listagem 2, pede a altera��o do conte�do de um arquivo cuja op��o RUN dever� estar como �yes�. Esse arquivo est� localizado em /etc/default/prelude-correlator e � necess�ria a execu��o do comando /etc/init.d/prelude-correlator start. Assim que a instala��o do Prewikka iniciar, tem-se as telas de configura��o do banco de dados para sua futura conex�o e exibi��o na p�gina Web, conforme as Figuras 9, 10 e 11.

Quais são as principais funções do IDS?

Figura 9. In�cio da configura��o do banco de dados para Prewikka.

Quais são as principais funções do IDS?

Figura 10. Sele��o do banco de dados utilizado.

Quais são as principais funções do IDS?

Figura 11. Senha do usu�rio root criada na instala��o do MySQL.

Para que o servidor Prewikka seja executado, � necess�rio rodar o seguinte comando: prewikka-httpd. Talvez seja mais interessante rodar esse comando em um script de inicializa��o. Pode ser criado na pasta /etc/init.d/seuscript.sh e utilizado o comando update-rc.d para adicion�-lo � inicializa��o. O Prewikka � acessado via browser pelo endere�o, em nosso caso: HTTP://localhost:8000.

A Figura 12 mostra sua interface Web onde a aba ativa � a de alertas. Nela podemos ver os alertas gerados pelos sensores conectados ao prelude-manager. � poss�vel visualizar alertas de sensores diferentes, como snort e prelude-lml (sshd, netfilter � firewall do Linux). A interface web disp�e de mais possibilidades para a administra��o do ambiente de rede. � poss�vel, por exemplo, visualizar o status dos sensores, assim como estat�sticas de todos os alertas e atividades do IDS. Fica claro que se trata de um ambiente de boa integra��o com as ferramentas e facilidade de visualiza��o do ambiente de produ��o onde o Prelude-IDS se encontra em atividade.

Quais são as principais funções do IDS?

Figura 12. Tela de alerta de eventos da interface web Prewikka.

Ainda � poss�vel a integra��o de maneira simples do IDS Snort, citado anteriormente. A �nica necessidade que se tem � a de registr�-lo como um sensor, ap�s sua instala��o e configura��o padr�o, assim como realizado nos passos da Listagem 4 para o Prelude-LML.

Conclus�o

Neste artigo foram apresentados os conceitos de IDS, assim como seus modelos b�sicos, baseados em rede e host, seus tipos de detec��o e ainda a ferramenta Prelude-IDS, esta �ltima sendo abordada com a finalidade de apresentar uma aplica��o de c�digo-aberto real onde � poss�vel perceber os conceitos de IDS. O Prelude-IDS foi abordado exatamente por ser uma ferramenta integradora de IDS e n�o somente um �nico e isolado sistema.

� interessante que se procure analisar os sensores que hoje se integram a este IDS, a fim de torn�-lo o mais completo poss�vel. O OSSEC e o Snort merecem destaque neste ponto. Tamb�m � necess�rio dar aten��o � corre��o de eventos por meio do Prelude-Correlator, al�m da estrutura��o e cria��o de bases de alertas replicados para que n�o haja somente um ponto de armazenamento de dados e falhas. Replica��es s�o feitas de maneira simples, alterando apenas uma diretiva em alguns poucos arquivos de configura��o do Prelude-IDS.

Links

Prelude-IDS � IDS H�brido
http://www.prelude-technologies.com

Snort - NIDS
http://www.snort.org

Snort BR � Comunidade brasileira do Snort
http://www.snort.org.br

OSSEC - HIDS
http://www.ossec.net

ua � A linguagem de programa��o
http://www.lua.org

Survey sobre IDS
http://cseweb.ucsd.edu/classes/fa01/cse221/projects/group10.pdf

Pacotes do Prelude-IDS para Ubuntu
http://packages.ubuntu.com/search?keywords=prelude

Stealth TCP Port Scanning
http://hatsecurity.com/2008/05/21/stealth-tcp-port-scanning/

Guide to Intrusion Detection and Prevention Systems
http://csrc.ncsl.nist.gov/publications/nistpubs/800-94/SP800-94.pdf

Confira outros conte�dos:

Plano PRO

  • Forma��o FullStack completa
  • Projetos reais
  • Professores online
  • Exerc�cios gamificados
  • Certificado de autoridade

Quais são as principais funções do IDS?

Por Devmedia Em 2011

Quais são as IDS?

Tipos de IDS.
Sistemas de Detecção de Intrusão Baseado em Host (HIDS) ... .
Sistemas de Detecção de Intrusão Baseado em Rede (NIDS) ... .
Sistema de prevenção de intrusão baseado em host (HIPS) ... .
Sistema de prevenção de intrusão baseado em rede (NIPS).

O que é sistema id?

SISTEMA NACIONAL DE IDENTIFICAÇÃO, RASTREAMENTO E AUTENTICAÇÃO DE MERCADORIAS.

Quais são as duas características dos sensores IPS e IDS?

A principal diferença entre eles é que o IDS é um sistema de monitoramento, enquanto o IPS é um sistema de controle. O IDS não altera os pacotes de rede de nenhuma maneira, já o IPS impede que o pacote seja entregue com base em seu conteúdo, da mesma forma como um firewall impede o tráfego por endereço IP.

Qual a principal diferença entre o IDS é IPS?

No que diz respeito à segurança, o IDS é um sistema passivo, enquanto o IPS é uma sistema com soluções ativas. Isso se mostra quando, na hora de agir, o IDS se mostra um software que automatiza o procedimento de detectar um intruso e o IPS se mostra um software que previne e impede os ciberataques.

quais são principais funções ids IPS segurança IDS Security NIDS Intrusion ids

Postagens relacionadas

Quais são as formas de extinção da concessão de serviços públicos?
Quais são as formas de extinção da concessão de serviços públicos?

Quais são os principais impactos ambientais na floresta Amazônica?
Quais são os principais impactos ambientais na floresta Amazônica?

Horário de ônibus de São Francisco do Sul para Joinville Verdes Mares
Horário de ônibus de São Francisco do Sul para Joinville Verdes Mares

São atitudes corretas com relação a vítima de grandes hemorragias?
São atitudes corretas com relação a vítima de grandes hemorragias?

Qual a cidade de Minas mais alta?
Qual a cidade de Minas mais alta?

Quais são as principais diferenças entre Estado e governo Brainly?
Quais são as principais diferenças entre Estado e governo Brainly?

Como são as manchas de HPV?
Como são as manchas de HPV?

Quais as principais características das metodologias tradicionais?
Quais as principais características das metodologias tradicionais?

Quais são as características fundamentais de um Estado Democrático de Direito?
Quais são as características fundamentais de um Estado Democrático de Direito?

Quais as mudanças nas formas de trabalho atualmente?
Quais as mudanças nas formas de trabalho atualmente?

How many factors of 400 are not multiples of 2
How many factors of 400 are not multiples of 2

A relatively new discipline, motion graphics began with
A relatively new discipline, motion graphics began with

A policy loan is made possible by
A policy loan is made possible by

Its a small world meaning
Its a small world meaning

Which of the following nutrients yield energy?
Which of the following nutrients yield energy?

What was the significance of the first continental congress in 1774?
What was the significance of the first continental congress in 1774?

When was Fairfield CA founded?
When was Fairfield CA founded?

When assessing the intensity of a patients pain, which question by the nurse is appropriate
When assessing the intensity of a patients pain, which question by the nurse is appropriate

How many liters of water must be added to 16 liters of milk and water contains 10% water to make it 20% water in it?
How many liters of water must be added to 16 liters of milk and water contains 10% water to make it 20% water in it?

How many spectral lines are obtained when an electron drops from 4th Shell to ground shell?
How many spectral lines are obtained when an electron drops from 4th Shell to ground shell?

Publicidade

ÚLTIMAS NOTÍCIAS

Best way to season ribs for the oven
1 anos atrás . por StylizedIntermission
Where to buy sk8 the infinity manga
1 anos atrás . por WholesaleManga
Esqueci de tomar o antibiótico na hora certa o que fazer
1 anos atrás . por ProMusician
What is the correct order in which sound waves are transmitted through the ear I tympanic membrane II ossicles III external auditory canal IV cochlea?
1 anos atrás . por NutritiousAlligator
Which is the correct order of events of sound transmission through the ear 1 sound waves strike the eardrum?
1 anos atrás . por UsedBroth
2022 mazda cx-5 grand touring reserve vs signature
1 anos atrás . por BurlyProjection
How do you make glasses on little alchemy?
1 anos atrás . por HomemadeHeadset
What is the 5 benefits in planting trees?
1 anos atrás . por FavoredPlurality
The Nine Lives of Chloe King Alek
1 anos atrás . por SignificantPriesthood
Where can I watch Rick and Morty
1 anos atrás . por AntisepticCollege

Publicidade

Populer

Publicidade

Sobre

Jurídica

Ajuda

Social

homeendefrjakoptzhhi
direito autoral © 2024 cemle Inc.