| Texto-Arquivo: nº 137/02 - Semana de 16/06/2003 a 30/06/2003 | |
| Área: Informática | Tema: Detecção de Intrusos |
Detecção
do intrusos
Um
sistema computadorizado deve fornecer a confiabilidade, integridade e a garantia
de encontro às tentativas de um intruso. Entretanto, devido a conectividade
aumentado o mais e mais em sistemas da Internet, estamos sujeito ao ataque por intrusos.
Os sistemas da detecção do intruso (IDS) são usados por organizações
estender sua infra-estrutura da segurança de rede, detectando e respondendo a
acessos não-autorizado dos recursos no tempo real. Este papel discute o que é
um sistema da detecção do intruso, os modelos e as técnicas principais.
Que é IDS?
O ID é a sigla para detecção do intruso, que é a arte de detectar a atividade imprópria, incorreta, ou anômala. Um sistema da detecção de intrusos (IDS) analisa um sistema para mudanças do mesmo assim como os arquivos que trafegam na rede (interna/externa).
Este sistema analisa o tráfego normal da rede, sugerindo mudanças de configurações para detecção de um intruso ou um tráfego de rede suspeito. Assim os IDS protegem um sistema do ataque. Pode monitorar também a atividade da rede, examina a rede e as configurações de sistema para vulnerabilidades, analisam a integridade dos dados, entre outros. Dependendo dos métodos de detecção fornecida pelo usuário que configura o programa.
Tipos dos IDS
Há basicamente 3 tipos principais de IDS que estão sendo mais usados hoje: Rede baseada (um monitor do pacote), anfitrião baseado (procurando o exemplo em registros de sistema para a evidência da atividade maliciosa ou suspeita de uma aplicação (programa) em tempo real), e IDS baseados aplicação (aplicações específicas do monitor somente).
IDS Anfitrião-Baseados (HIDS)
Os
sistemas host-based eram o primeiro tipo de IDS a ser tornados e executado.
Estes sistemas coletam e analisam os dados que originam em um computador que
hospede (cliente) de um serviço, tal como um servidor web. Uma vez que estes
dados são agregados para um computador dado, podem ser analisados localmente ou
emitido a uma máquina da análise separado central. Um exemplo de um sistema
host-based são os programas que operam sobre um sistema e recebem registros do
exame da aplicação ou do sistema se operando. Estes programas são altamente
eficazes para detectar abusos de um invasor. Nos sistemas para baixo laterais,
host-based pode começar unwieldy. Com diversos endpoints possíveis em uma rede
grande, coletar e agregar a informação específica separada do computador para
cada máquina individual podem provar ineficiente e ineficaz.
As execuções host-based possíveis dos IDS incluem registros do evento da
segurança de Windows NT/2000, fontes de exame de RDMS, dados do exame dos
sistemas de gerência da empresa (tais como Tivoli), e UNIX Syslog em seus
formulários crus ou em seus formulários seguros tais como BSM Solaris; os
produtos comerciais host-based incluem RealSecure, ITA, squire, e Entercept,
etc..
IDS Rede-Baseados (NIDS)
NIDS são usados a monitorar as atividades que ocorrem em uma rede particular, detecção Rede-baseada do intruso analisam os pacotes dos dados que viajam sobre a rede real. Estes pacotes são examinados e comparados às vezes com os dados empíricos para verificar sua natureza: malicioso ou benigno. Têm a relação de n/w na modalidade promiscuous. Porque são responsáveis para a monitoração de uma rede, melhor que um único anfitrião, os sistemas Rede-baseados da detecção do intruso (NIDS) tendem a ser mais distribuídos do que IDS (host-based), em vez de analisar a informação que origina e reside em um computador, IDS rede-baseados usam técnicas como "pacote-packet-sniffing" para puxar dados dos pacotes do protocolo do orother de TCP/IP que viajam ao longo da rede. Este surveillance das conexões entre makes dos computadores de redes os IDS grandes em detectar tentativas do acesso da parte externa a rede confiada. Na maioria dos sistemas, rede-baseados seja o mais melhor em detectar as seguintes atividades:
Acesso desautorizado: Quando um usuário desautorizado entra com sucesso, ou tenta logon, estão seguidos melhor com IDS host-based. Entretanto, detectar o usuário desautorizado antes que seu entre a tentativa é realizado melhor com IDS rede-baseados.
Largura de faixa theft/denial do serviço: estes ataques escolhem recursos de sobrecarga da rede, causando a negativa a um serviço específico (web-pages/e-mail/ftp, entre outros). Os pacotes que iniciam e desencadeiam estes ataques podem ser melhor observado com uso de IDS rede-baseados.
Alguns
downsides possíveis aos IDS rede-baseados incluem payloads encrypted do pacote
e redes elevadas da velocidade, de quais inibem a eficácia do interceptação
do pacote e deter a interpretação do pacote. Os exemplos de IDS baseados rede
incluem a sombra, Snort!, Dragon, NFR, RealSecure, e NetProwler. Um tópico
importante sobre o NIDS é onde instalar o "sensor", dentro ou fora do
firewall. Umas citações interessantes do livro do diretor Stephen Northcutt de
GIAC de SANS', Manual De um Analista - Detecção do intruso da rede.
"IDS vem antes que o firewall detecte um ataque e depois é a detecção do
intruso.... Em uma rede comutada (rede interna+rede externa), desde que nós não
temos transmitir, nós temos duas opções de instalação do NIDS, em usar um
cubo forçar uma transmissão ou em usar um espelho-porto no interruptor."
A Aplicação Baseou IDS
A aplicação específica do monitor dos IDS somente tais como sistemas de gerência
da base de dados, sistemas de gerência web, sistemas de contabilidade etc.. Freqüentemente
detectam ataques com a análise de limas de registro da aplicação e podem
geralmente identificar muitos tipos de ataque ou de atividades suspeitas. Às
vezes os IDS (aplicação-baseados) podem mesmo seguir atividade desautorizada
dos usuários individuais. Podem também trabalhar com dados encriptado, usando
serviços aplicação-baseados de encryption/decryption.
Modelos dos IDS
IDS knowledge-based (modelo assinatura-baseado) que alertam os administradores antes que um intruso invada, usando uma ataques comuns.
IDS behavioral (modelo da anomalia) todas essas trilhas usam o recurso para anomalias & a atividade maliciosa.
Alguns IDSes são serviços autônomos que trabalham no fundo e aguardam até detectar alguma atividade fora de padrão, registrando todos os pacotes suspeitos da parte externa. Outros programas combinam ferramentas padrão do sistema, configurações modificadas, e registrar logs.
IDS Knowledge-based
O
reconhecimento baseou assinaturas do uso dos sistemas sobre ataques para
detectar exemplos de ataques similares. Os modelo de sistemas baseados
conhecimento são mais-usados dos IDS. As assinaturas são os testes padrões
que identificam ataques verificando várias opções no pacote, como portos do
endereço da fonte, do endereço de destino, da fonte e do destino, bandeiras,
payload entre outras opções. A coleção destas assinaturas compõe uma base
de conhecimento usada pelo IDS comparar todas as opções do pacote que passam
perto e verificam se combinarem um teste padrão conhecido. As assinaturas têm
as mesmas limitações que um remendo - não é possível escrever a assinatura
até que o corte materializado.
Links & Referências Úteis:
http://www-rnks.informatik.tu-cottbus.de
- lista dos sistemas da detecção do intrusos.
http://www.securityfocus.com
- introdução aos sistemas da detecção do intrusos.
http://www.lIDS.org
- sistema da detecção do intruso em Linux.
http://www.snort.org
- o sistema aberto da detecção do intruso.
http://www.sans.org/resources/idfaq/
- FAQ da detecção de intrusos.
- Importante: Se você tiver algum problema técnico e não conseguir extrair o texto, mande-nos um E-mail citando o nome do texto correspondente (consultoria@ragconsultores.com.br ) e enviaremos prontamente a você.
C O L A B O R A N D O C O M O C R E S C I M E N T O D E S E U S P R O F I S S I O N A I S
