Neste capítulo foram apresentados os principais conceitos de segurança, que estão sempre relacionados à manutenção das três propriedades básicas: integridade, confidencialidade e disponibilidade. Por-
tanto, quando uma ou mais dessas propriedades são quebradas, ocorre uma violação de segurança. As violações de segurança, em geral, são possibilitadas pela existência de defeitos ou fraquezas em um sistema, conhecidas como vulnerabilidades, podendo ser exploradas intencionalmente ou acidental- mente, o que gera ameaças aos sistemas. Quando acontece uma tentativa de exploração intencional de uma vulnerabilidade, há então um ataque. Se o ataque for bem sucedido, ocorre uma intrusão no sistema.
A fim de se estabelecer regras do que é ou não permitido em um sistema informático, é necessária uma política de segurança. Os mecanismos de segurança concretizam as políticas. O objetivo desses mecanismos é evitar, detectar e recuperar de ataques os sistemas.
Nenhum sistema computacional é invulnerável. Por isso, avaliar os riscos associados a um sistema ou projeto é essencial. Um método para a avaliação dos riscos de um projeto ou produto é a gestão de riscos.
Neste capítulo também foram apresentados os principais conceitos relacionados à tecnologia de Web Services. Uma série de especificações e tecnologias que são agrupadas para permitir a interope- rabilidade e a segurança necessária para a comunicação entre os mais diversos aplicativos.
Detecção de Intrusão Distribuída
Neste capítulo são apresentadas as principais experiências em detecção de intrusão distribuída, cujos resultados positivos ou negativos auxiliaram no desenvolvimento desta Tese. A evolução dos sistemas de detecção de intrusão é marcada pelo desenvolvimento de diversos sistemas comerciais e inúmeras propostas científicas, sobre as quais foi sendo fundamentado o alicerce dos IDSs atuais. Portanto, para propor uma infra-estrutura para a construção de sistemas de detecção de intrusão de larga escala é necessário entender a evolução dos sistemas de detecção de intrusão.
Na primeira seção deste capítulo são apresentados um breve histórico da detecção de intrusão e conceitos básicos de construção de IDSs distribuídos, que são adotados nesta Tese. Na seção 3.2 será abordada uma taxonomia para classificação dos elementos de detecção de intrusão. Na seção 3.3 são resumidos os novos padrões para detecção de intrusão. Na seção 3.4 os principais trabalhos relacionados à detecção de intrusão distribuída são discutidos. Na seção 3.5 são traçadas algumas considerações sobre a construção de IDSs distribuídos e a relação destes sistemas com esta Tese. Finalmente, na seção 3.6 são apresentadas as conclusões deste capítulo.
3.1
Histórico e Modelo Geral de Detecção de Intrusão
O estudo de planejamento de tecnologia de segurança computacional feito por Anderson [1972] realizava uma tentativa de definição do que seria necessário para se estabelecer uma vigilância dos sistemas computacionais. As questões levantadas naquele trabalho, sobre o que analisar, como anali- sar e como proteger o sistema de vigilância e suas informações, permanecem como objeto de estudo até hoje [McHugh, 2001].
Diversos estudos relatam a evolução histórica da segurança computacional e das técnicas e meca- nismos de detecção de intrusão [Bace, 2000][McHugh, 2001][Axelsson, 2000][Sherif e Dearmond, 2002]. Os primeiros estudos formalmente documentados sobre possíveis intrusões em sistema com- putacionais datam do início da década de 70, quando Karger e Schell [1974, 2002] executaram uma avaliação do sistema operacional Multics e Stryker [1974] analisou a segurança do sistema Univac.
Em ambos os casos foram descobertas vulnerabilidades que poderiam permitir a um usuário não confiável acessar ou modificar informações protegidas.
Apesar de existirem discussões anteriores sobre questões de segurança, foi somente com Ander- son [1980] que se teve o primeiro framework coerente sobre a detecção de intrusões. Preocupado com o nível das informações de segurança registradas nas trilhas de auditoria, procurou identificar as ameaças existentes até então para criar um mecanismo de monitoramento que complementasse as informações disponíveis em um sistema, com o objetivo de detectar possíveis ataques e invasões ao mesmo. Contudo, somente em meados da década de 80, Denning definiu o que seria o primeiro modelo de detecção de intrusão [Denning, 1986][Denning, 1987]. Os métodos de análise usados atualmente em detecção de intrusão fogem pouco daquele modelo, que se baseia em: sujeitos que iniciam uma atividade em um sistema alvo; objetos que são entidades gerenciadas pelo sistema; re-
gistros de auditoria que são gerados pelo sistema em resposta a ações dos sujeitos sobre os objetos; perfis que caracterizam o comportamento de sujeitos em relação a objetos; registros de anomalias
que são gerados quando um comportamento anormal é observado e; por fim, regras de atividade que definem as ações a serem realizadas quando uma determinada condição é satisfeita.
Configuração Configuração Notificação Resposta Alertas Eventos Política de Segurança Atividades Origens de Dados Sensores Operador Gerenciadores Analisadores Administrador
Figura 3.1: Modelo básico de um IDS
Ainda não existe uma padronização para construção de sistemas de detecção de intrusão. Con- tudo, o modelo de relacionamento definido pelo grupo Intrusion Detection Working Group (IDWG)
do IETF (Internet Engineering Task Force)1em Wood e Erlinger [2002], representado na Figura 3.1,
serve como parâmetro para entender o relacionamento entre os elementos de um sistema de detecção de intrusão, que é formado basicamente por: origem de dados onde ocorrem as atividades de sujeitos sobre objetos; sensor(es) que gera(m) eventos (ou registros de auditoria); analisadores que verifi- cam nos eventos indícios de anomalias, gerando alertas. Os gerenciadores são responsáveis pela
configuração do sistema e pelo envio de notificações aos operadores a partir de alertas. Além dos
operadores, há também a interferência humana no papel de administradores do sistema, que definem as políticas de segurança. É sempre desejável a existência de mecanismos de resposta que façam o rastreio dos eventos suspeitos para a correta identificação e responsabilização do sujeito atacante. A resposta também envolve a notificação de eventos e pode ser executada automaticamente pelo IDS ou manualmente pelo operador. Os elementos deste modelo podem estar contidos em um único sistema monolítico ou podem estar distribuídos em vários sistemas de uma rede de computadores.
Tabela 3.1: Classificação dos sensores para detecção de intrusão Externa Escuta de pacotes na rede
Sensor de rede integrado Dados Brutos Interna
Sensor de aplicação integrado
Registros de auditoria do sistema operacional Nível de sistema
Registros de utilização ( acc ounting log ) Nível de aplicação Registros de Aplicações
Origem da Informação
Dados de Registros
Metadados Alertas de sistemas de detecção de intrusão