Trabalhos envolvendo a detecção de intrusão distribuída em ambientes de larga escala e o uso de padrões de Web Services ainda são raros na literatura relacionada. Contribui para isto o fato de que a detecção de intrusão em sistemas distribuídos de larga escala é uma área de pesquisa recente. O mesmo ocorre com as definições e padrões envolvendo Web Services.
Ainda são raras as propostas de detecção de intrusão em redes de larga escala. Sistemas como DShield.org e o myNetWatchman centralizam a análise e não permitem o compartilhamento direto de informações entre organizações ou redes distintas. Um dos poucos trabalhos nesta área é o IDF [Teo et al., 2003], que propõe mecanismos para a troca de informações sobre incidentes de segurança entre organizações por meio da Internet. Outra proposta é o DOMINO[Yegneswaran et al., 2004], no qual os dados coletados são compartilhados com a finalidade de prevenir ataques específicos de worms.
Propostas recentes de IDSs distribuídos [Zhang et al., 2003][Teo et al., 2003] [Tolba et al., 2005][Leu et al., 2005a][Leu et al., 2005b], em geral, ainda não usam formatos e protocolos pa- drões para a comunicação entre os elementos envolvidos na detecção. Contudo, a necessidade de se utilizar formatos comuns para a comunicação entre IDSs está presente na literatura. Um exemplo disso é a proposta de Bass [2002, 2004], na qual notificações de segurança são geradas em formatos nativos e transformadas em um formato único. Porém, infelizmente, este formato único não segue os padrões existentes.
Esforços recentes de padronização relacionados à troca de informações de segurança estão sendo desenvolvidos, principalmente, pelo IETF, através dos grupos de trabalho IDWG e INCH. Todas estas especificações são baseadas na linguagem XML [Bray et al., 2004].
São poucas as experiências na literatura ou mesmo de produtos que se utilizam destes padrões emergentes. Um dos IDSs mais populares, o Snort, pode utilizar um plugin que o permite enviar alertas no formato IDMEF. O DOMINO [Yegneswaran et al., 2004] e a família de IDSs STAT [Vigna et al., 2003] estendem o formato IDMEF para atender suas necessidades. O uso de padrões nestes casos é limitado e as extensões realizadas não são completamente compatíveis com a especificação original.
Um IDS que emprega o modelo do IDWG e Web Services é descrito em Park et al. [2003]. Infelizmente, o modelo usa apenas um método de detecção, centraliza a análise e, apesar de adotar o IDMEF internamente, não permite a integração com outros IDSs. Em outro modelo, apresentado em
Fagundes e Gaspary [2006], também é adotada a tecnologia de Web Services. Neste caso, a idéia de modelar mecanismos de análise usando componentes distribuídos é bastante interessante e pode ser potencializada se adotados os mecanismos propostos nesta Tese.
Um IDS que se aproxima da nossa proposta é o Prelude-ids. É um IDS híbrido que agrega e correlaciona alertas gerados por sensores de diversos tipos e fabricantes, distribuídos em uma rede de computadores. Porém o formato utilizado na comunicação com os sensores não é totalmente incompatível com o padrão original do IDMEF. Apesar disso, o gerenciador do Prelude-ids é capaz de formatar alertas em XML, o que facilita seu uso como sensor ou analisador em IDSs de larga escala, como o que propomos.
Ao contrário dos IDSs apresentados nesta seção, nossa proposta utiliza apenas formatos padro- nizados originais para a comunicação, possibilitando a integração de qualquer sensor, analisador ou gerenciador a uma composição de IDSs. O Prelude-ids e o Snort são usados como analisadores e sen- sores em nosso protótipo. Para isso, foram feitas modificações para torná-los totalmente compatíveis com os padrões originais.
Novas propostas para IDSs distribuídos incluem o uso de grades computacionais (Grids), como os projetos GIDA [Tolba et al., 2005], PGIDS [Leu et al., 2005a] e GIGS [Leu et al., 2005b]. Tais propostas distribuem a tarefa de análise dos dados coletados por sensores entre nodos de uma grade computacional. Apesar de não fazermos o uso de Grids, nossa proposta também pode ser aplicada em tal ambiente.
A abordagem de agentes móveis em detecção de intrusão, apesar de bastante estudada, demons- trou possuir graves restrições práticas, principalmente na questão de segurança, inviabilizando seu uso em ambientes de larga escala.
A segurança dos elementos dos IDSs e a das comunicações entre estes elementos é rara na maioria dos sistemas de detecção de intrusão distribuídos.
A Tabela 3.5 ilustra as diferenças entre os IDSs distribuídos analisados e a nossa proposta, com relação aos mecanismos de comunicação utilizados e à possibilidade de interoperabilidade com outros IDSs.
3.6
Conclusões do Capítulo
Neste capítulo traçamos um breve histórico sobre a origem e o desenvolvimento dos sistemas de detecção de intrusão (IDSs). Foram discutidos os problemas relacionados à detecção de intrusão e apresentadas as principais soluções atualmente disponíveis na literatura científica. A necessidade de cooperação entre sistemas de detecção de intrusão, o uso de elementos heterogêneos e a combinação dinâmica destes elementos indicam a direção a ser seguida para a construção dos novos IDSs.
Apesar dos avanços na área de detecção de intrusão, a implantação de IDSs em ambientes de larga escala ainda carece de uma infra-estrutura condizente com tais redes. A falta de formatos padroniza- dos de comunicação e a carência de mecanismos de segurança são quase uma unanimidade. Também
Tabela 3.5: Interoperabilidade nos IDSs Distribuídos
IDS Comunicação Interoperabilidade com outros
IDSs
CSM Formato Próprio Não
AAFID Formato Próprio Não
INDRA Formato Próprio Não
EMERALD Formato Próprio Não
MADHID Formato Próprio Não
IDF Formato Próprio Não
GIDA Formato Próprio Não
GIDS Formato Próprio Não
PGIDS Formato Próprio Não
[Bass, 2002][Bass, 2004] Formato Próprio Não
DOMINO IDMEF alterado Uso de sensores
STAT IDMEF alterado Uso de sensores
Snort IDMEF desatualizado Exportação
Prelude-ids IDMEF alterado Uso de Sensores e Exportação
[Park et al., 2003] IDMEF Não
DShield.org Formato Próprio Uso de sensores
myNetWatchman Formato Próprio Uso de sensores
Agentes Móveis Formato Próprio Não
Composição de IDSs Diversos padrões (implementado IDMEF) Sim
não há um gerenciamento padronizado que permita a coordenação dos elementos de detecção de intrusão nestes ambientes de larga escala.
Portanto, a infra-estrutura proposta nesta Tese vem ao encontro das necessidades pertinentes à construção dos sistemas de detecção de intrusão em ambientes de larga escala. Tal infra-estrutura será apresentada no próximo capítulo.
Composição de IDSs
4.1
Introdução
Este capítulo detalha a proposta de uma nova abordagem para a construção de sistemas de detec- ção de intrusão de larga escala, que chamamos de composição de IDSs. Essas composições de IDSs envolvem a combinação de diversos sistemas de monitoramento que coletam e analisam dados de forma distribuída e oferecem a flexibilidade da configuração dinâmica para atender a novas situações, mesmo que temporárias. As composições de IDSs, nesta abordagem, fazem uso extensivo de esforços de padronização e estão fundamentadas em uma infra-estrutura de serviços e suportes. A adoção des- tes padrões torna possível a interoperabilidade e a comunicação entre elementos de uma composição e, mesmo, entre IDSs completos. Os IDSs materializados a partir da infra-estrutura proposta seguem a arquitetura orientada a serviços suportada pela tecnologia de Web Services [W3C, 2004], com o amplo uso de textos XML [Bray et al., 2004].
A próxima seção descreve o modelo geral para composição de IDSs e a infra-estrutura de serviços necessária. Na seção 4.3 é apresentado o modelo adotado para a comunicação segura nas composi- ções de IDSs. Na seção 4.4 está descrito o processo de criação e gerenciamento dos elementos de detecção de intrusão. Na seção 4.5 é apresentado o Serviço de Registro e Pesquisa. A seção 4.6 trata do mecanismo para a compatibilização de formatos. A seção 4.7 mostra a proposta para a criação e gerenciamento das composições. Na seção 4.8 são abordados os mecanismos necessários à segurança das composições. Na seção 4.9 são apresentados os requisitos para a auditoria nas composições de IDS. Algumas considerações sobre o modelo de composição de IDSs são traçadas na seção 4.10. Na última seção são apresentadas as conclusões deste capítulo.