Um sistema de detecção de intrusão (SDI) é um produto baseado em software ou hard- wareque visa automatizar o processo de detecção de intrusão [7–10].
Em geral, os SDI usam um conjunto de características (aqui referenciados como atribu- tos) extraídas dos pacotes que estão trafegando na rede ou extraídas do registro de uma atividade no log do sistema para detectar uma possível atividade indesejada ou desautorizada, que poderá resultar em um alerta. Alerta é dito como sendo uma mensagem de que uma atividade sus- peita foi detectada, contendo as especificações das ocorrências (origem, destino, porta, serviço, informação de usuários, entre outros) [46].
O conceito de sistema de detecção de intrusão foi proposto pela primeira vez por James Anderson [47], sendo difundido somente em 1987, com a publicação do artigo intitulado Um Modelo de Detecção de Intrusão, elaborado por Dorothy Denning [48]. Nos anos seguintes, outros modelos foram apresentados na tentativa de aumentar a segurança de um computador ou rede de computadores, dentre eles, os baseados nos métodos de classificação têm sido aplicados com sucesso [13–17,32]. Alguns desses modelos serão apresentados no decorrer deste capítulo. Um modelo que representa o funcionamento de um SDI, por intermédio de um conjunto de componentes, por fluxo de informações e pelas suas funcionalidades básicas, é o Common Intrusion Detection Framework(CIDF) [49], conforme ilustrado na Figura 2.1.
Com base na Figura 2.1, o módulo de monitoramento é composto por detectores, cuja responsabilidade é observar o tráfego de rede e/ou registros de ocorrência nos arquivos de audi- toria de um sistema computacional e enviar informações a respeito do que foi monitorado para os demais componentes do sistema. Os detectores, no contexto deste trabalho, são dispositivos de software chamados de detectores de rede (ou sniffers) quando realizam o monitoramento de pacotes em um segmento de rede e chamados de detectores de host quando coletam in- formações em arquivos de auditoria em computadores ou em servidores críticos, tais como, atividades suspeitas em logon, manipulação (criação, alteração e deleção) de grupos, usuários e objetos, privilégios de processos e usuários e uso de recursos do sistema monitorado, dentre outros.
Os detectores podem coletar um conjunto de atributos específicos da rede e dos servi- dores monitorados e também podem ser dotados de diferentes funcionalidades, tais como pos-
Detecção de Intrusão em Redes de Computadores 12
Figura 2.1 Relacionamento entre os componentes do modelo CIDF [50], adaptado pela autora
Saída: alto nível, atividades interpretadas
Saída: reações às intrusões
Módulo Analisador Módulo de Monitoramento Módulo de Contramedidas Saída: Armazenamento das intrusões Saída: reações às intrusões
Saída: atividades em baixo nível
Fonte de captura de atividades da rede Módulo de Armazenamento Módulo de Monitoramento Módulo de Contramedidas
suir a capacidade de realizar cálculos, como por exemplo: calcular a taxa de conexões, tendo o mesmo serviço vindo de diferentes hosts; a contagem de conexões, tendo o mesmo host destino e mesmo serviço e emitir o resultado como informação a ser analisada pelo sistema de detecção de intrusão. O conjunto de atributos coletados pelos detectores é avaliado pelo módulo anali- sador do CDIF, com o objetivo de verificar se o mesmo corresponde, de fato, a uma atividade maliciosa ou trata-se apenas de uma atividade normal do sistema.
Seguindo o fluxo de informação do CDIF, caso um incidente de segurança seja identifi- cado, o módulo de contramedidas é acionado para reagir às tentativas de invasão ou mau uso. Os tipos de reações a serem tomadas pelo módulo de resposta podem variar, de acordo com a segurança da corporação, tendo, obrigatoriamente, respostas padrão no caso de detecção de novos ataques. As reações são as mais diversas, podendo simplesmente enviar notificações ao administrador ou reagir de forma mais ativa, coletando-se informações adicionais do atacante, alterando as configurações do ambiente ou realizando-se ações diretas contra o intruso.
Por fim, as informações provenientes do módulo de monitoramento e dos mecanismos analisadores são registradas pelo módulo de armazenamento para serem úteis na identificação de tentativas de ataques provenientes de uma mesma origem ou domínio, ou simplesmente, para serem utilizadas em investigações futuras por parte dos administradores de segurança.
As vantagens mais comuns em se utilizar um SDI, segundo [7], são relatadas a seguir: • Detectar ataques explorando vulnerabilidades que não podem ser corrigidas
Detecção de Intrusão em Redes de Computadores 13 Por meio de vulnerabilidades conhecidas, que em alguns casos não podem ser corrigidas, o invasor pode penetrar em muitas redes. A exemplo disso, têm-se os sistemas herdados, cujo sistema operacional pode ter sido descontinuado, impossibilitando que o mesmo seja atualizado. Mesmo em sistemas passíveis de atualização, os administradores podem não dispor de tempo para instalar todas as atualizações necessárias em uma grande quantidade de computa- dores. Outra situação ocorre quando há a necessidade do uso de serviços e protocolos de rede que são notoriamente problemáticos e sujeitos a ataques. Embora, de maneira ideal, todas es- sas vulnerabilidades possam ser sanadas, na prática isso nem sempre é possível. Assim, uma boa solução pode ser o uso de SDI para detectar e, possivelmente, prevenir tentativas de ataque explorando tais vulnerabilidades.
• Prevenir que intrusos examinem a rede
Quando intrusos atacam uma determinada rede, eles geralmente o fazem em etapas. A primeira etapa é examinar o sistema em busca de alguma vulnerabilidade. Na ausência de um sistema de detecção de intrusão, o intruso se sente livre para fazer o seu trabalho sem riscos e pode descobrir com facilidade os pontos fracos do sistema e explorá-los. Com um SDI, embora o iminente intruso possa continuar a analisar o sistema, ele poderá ser detectado e os devidos alertas poderão ser dados.
• Documentar ameaças de invasão
É importante entender a frequência e as características dos ataques em um sistema com- putacional para medir o grau de hostilidade de um ambiente. Com isso, é possível tomar as medidas de segurança adequadas para proteger a rede. Um SDI pode quantificar, caracterizar e verificar as ameaças, internas ou externas, de intrusão e mau uso.
• Controlar qualidade
Com o uso contínuo de um SDI, padrões de utilização do sistema monitorado e proble- mas detectados tornam-se evidentes. Com essas informações, é possível tornar visíveis falhas no projeto, configuração e gerenciamento da segurança, proporcionado ao administrador a pos- sibilidade de corrigi-las antes de ocorrer um incidente.
Existem várias abordagens que podem ser utilizadas no desenvolvimento dos compo- nentes de um SDI. Essas abordagens determinam as características de cada SDI, influenciando na atuação desse SDI. A seguir, serão apresentadas as principais abordagens utilizadas no pro- jeto desses componentes, classificadas quanto aos métodos de análises adotados, tipo de moni- toramento, tempo entre a coleta e análise dos dados e o tipo de resposta a ser dada.
Detecção de Intrusão em Redes de Computadores 14