• Nenhum resultado encontrado

Detecção de Intrusão

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "Detecção de Intrusão"

Copied!
4
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 4 páginas )

Texto

(1)

Detecção de Intrusão

Daiane Casagrande Patrício¹, Lidiane Rosso Raimundo¹, Rosana Correa da Silva¹, Daniel Pezzi da Cunha²

1Acadêmica do Curso de Ciência da Computação – Departamento de Ciência da Computação - Universidade do Extremo Sul Catarinense - UNESC, Criciúma-SC

2Professor do Curso de Ciência da Computação – Departamento de Ciência da Computação - Universidade do Extremo Sul Catarinense - UNESC, Criciúma-SC

{daianecp, lidianerosso}@pop.com.br, rcs1902@hotmail.com, dpc@unesc.net}

Resumo – O presente artigo tem como objeto de pesquisa os Sistemas de Detecção de Intrusão.

Como o assunto abrange um vasto campo para estudos e pesquisa, este artigo tem a finalidade de proporcionar uma noção básica sobre tais sistemas, reunindo os conceitos fundamentais desta tecnologia, que veio para auxiliar no controle da segurança, através do monitoramento preventivo contra ataques de invasores.

1. Introdução

À medida que os sistemas computacionais evoluem e tornam-se cada vez mais complexos, na mesma proporção, cresce também as tentativas de burlar um sistema de segurança, para ter acesso a um ambiente computacional. Para evitar que o sistema se transforme em um ambiente hostil e sujeito à falhas, a busca pela imunidade deve ser constante. Reis (2003) nos coloca que:

“A analogia entre segurança de computadores e o sistema imunológico humano

constitui uma rica fonte de inspiração para o desenvolvimento de novos mecanismos de defesa, sejam algoritmos e técnicas de detecção de intrusão, políticas de segurança mais atentas à existência de falhas ou sistemas complexos de segurança”.

Com base na analogia de Reis (2003), supõe-se que o sistema imunológico detectou a presença de uma bactéria. Imediatamente o organismo aciona um mecanismo de pesquisa a fim de obter informações sobre o invasor. Caso o invasor possa causar algum tipo de risco à saúde do organismo, células de defesa são geradas com a finalidade de exterminá-lo. Mudando os personagens desta história, de organismo para computador, pode-se dizer que a bactéria seria o invasor e que a ação do organismo seria um exemplo de detecção de intrusão.

2. Intrusões

“A intrusão ou ataque podem ser definidos como qualquer conjunto de ações que tentam comprometer a integridade, confidencialidade ou disponibilidade de um recurso computacional, independente do sucesso ou não destas ações”(Souza, 2002).

Especificando melhor os termos colocados pode-se dizer que:

ƒ a confidencialidade previne o acesso não-autorizado a recursos e informações; ƒ a integridade previne a alteração não-autorizada de recursos e informações; ƒ a disponibilidade garante a acessibilidade de recursos e informações.

(2)

Muitos ataques envolvem várias etapas ou fases. Segue abaixo as principais:

1. Coleta de informações: levantamento não-intrusivo de informações do sistema alvo, baseando-se normalmente em fontes públicas de informação.

2. Varredura: pesquisa a cerca do sistema alvo para descobrimento de características que possam auxiliar na intrusão.

3. Penetração: obtenção de acesso privilegiado não-autorizado, através de uma brecha ou vulnerabilidade do sistema.

4. Negação de serviço: comprometimento ou interrupções no funcionamento do sistema.

5. Remoção de rastros: remoção dos registros que possam identificar o ataque.

6. Criação de entradas: instalação de programas ocultos (backdoors) que permitam uma nova invasão ao sistema.

As etapas descritas acima não são regras para criação de um plano de ataque. Podem existir todas ou apenas algumas delas. Cabe destacar que as fases de varredura, penetração e negação de serviço ocorrem na maioria das vezes.

3. Detecção de Intrusões

Provavelmente muitas pessoas já devem ter ouvido falar sobre a detecção de intrusão, mas geralmente não compreendem porque precisam utilizá-la em seu sistema. Sem a detecção de intrusão, muitos ataques podem acontecer sem que sejam percebidos. Assim como não é possível obter informações sobre ataques que ocorrem de forma bem-sucedida, não é possível obter informações suficientes para poder prevenir um novo ataque (Santos, 2005).

O que mais preocupa é que sem um Sistema de Detecção de Intrusão - SDI, não se tem condições de identificar um ataque que não danifica recursos da máquina, mas que simplesmente captura informações, como um arquivo de senhas. Estes ataques até podem ser percebidos sem um SDI, mas pode ser tarde para aplicar medidas preventivas, já que na maioria das vezes os recursos e informações já podem estar comprometidos (Northcutt, 2002).

Segundo Northcutt (2001) a maioria dos SDIs possuem três componentes fundamentais:

ƒ Fonte de Informações: são as diferentes fontes de informações sobre eventos, usadas para determinar quando um ataque ocorre. As fontes de informações podem ser um host ou uma rede – também podem ser consideradas apenas um segmento da rede.

ƒ Análise: é a parte do sistema de detecção de intrusão que verifica os eventos derivados da fonte de informações, determinando quando estes eventos indicam que uma intrusão está ocorrendo ou já ocorreu. Os métodos de análise são as detecções baseadas em assinaturas e as detecções baseadas em anomalias.

ƒ Resposta: é o conjunto de ações que o SDI faz quando detecta uma intrusão. Estas ações são tipicamente agrupadas em medidas ativas e passivas, onde medidas ativas envolvem a intervenção automatizada em parte do sistema e medidas passivas abrangem a geração de alertas e relatórios para interpretação e intervenção humana.

(3)

3.1. SDI baseado em rede

Um SDI baseado em rede consiste em um conjunto de sensores que são distribuídos em vários pontos da rede para monitorar o tráfego através da análise dos pacotes da rede. Desta forma, poucos SDIs instalados podem monitorar uma grande rede e não interferir no seu desempenho. Por outro lado, podem ter dificuldades em analisar todos os pacotes numa rede grande ou sobrecarregada em períodos de tráfego intenso. Um outro ponto importante é que os SDIs baseados em rede não podem analisar informações criptografadas. Para monitorar um tráfego que foi criptografado, Northcutt (2002) sugere colocar o SDI no primeiro ponto da rede no qual o trafego decodificado passa.

3.2. SDI baseado em host

Um SDI baseado em host opera sobre as informações coletadas de um único host e pode detectar ataques que não são descobertos pelo SDI baseado em rede. Este tipo de SDI também não analisa informações criptografadas, mas pode operar em ambientes de tráfego criptografados. Basta instalar um SDI baseado em host na estação que faz o envio dos dados, antes da encriptação, e outro após a recepção, quando os dados são decriptados. Os SDIs baseados em

host são mais difíceis de gerenciar, pois para cada máquina a ser monitorada deve ser instalado e

configurado um SDI.

3.3. Detecção baseada em assinaturas

Este tipo de detecção analisa as atividades do sistema procurando por eventos que correspondam a padrões pré-definidos de ataques e outras atividades maliciosas. Estes padrões são conhecidos como assinaturas e geralmente cada assinatura corresponde a um ataque. Uma desvantagem desta técnica de detecção é que ela pode detectar somente ataques conhecidos, ou seja, que estão incluídos no conjunto de assinaturas que o SDI possui, necessitando-se assim de constante atualização deste conjunto (Northcutt, 2002).

3.4. Detecção baseada em anomalias

Este tipo de análise parte do princípio que os ataques são ações diferentes das atividades normais de sistemas. Detectores baseados em anomalias constroem um perfil que representa o comportamento normal de um usuário, host e conexão de rede. Estes detectores monitoram a rede e usam várias medidas para determinar quando os dados monitorados estão fora do normal, ou seja, desviando do perfil. Como ela detecta comportamentos não usuais, acaba detectando sintomas de ataques sem um conhecimento prévio deles, além de produzir informações que podem ser usadas na definição de assinaturas de detectores baseados em assinaturas. Uma desvantagem é a geração de um grande número de alarmes falsos devido ao comportamento imprevisível de usuários e do próprio sistema (Northcutt, 2002).

4. Exemplos de Ferramentas

Identificação Descrição Produto: Snort

Categoria: SDI baseado em rede Licença: Freeware

Plataforma: Unix e Windows NT/2000/XP URL: http://www.snort.org

O Snort é um exemplo de SDI baseado em rede, gratuito, desenvolvido pela Sourcefire. Utilizando a análise por assinaturas, ele é capaz de detectar quando um ataque está sendo realizado. Baseado nas características do ataque, ele pode alterar ou remodelar sua

(4)

configuração de acordo com as necessidades e avisar ao administrador do ambiente sobre o ataque.

Produto: RealSecure

Categoria: SDI baseado em rede e host Licença: Shareware

Plataforma: Windows NT/2000/XP, Solaris, HP/UX, AIX

URL: http://www.iss.net

O RealSecure foi desenvolvido pela ISS -Internet Security System. Trata-se de uma ferramenta híbrida, ou seja, combina detecção baseada em host e em rede em uma única plataforma, de maneira integrada. Reconhece ataques em rede em tempo real analisando pacotes à medida que estes passam pela rede, comparando sua base de dados de assinaturas dos ataques conhecidos até então. Também analisa artigos de log para auxiliar na identificação dos ataques.

Produto: PortSentry

Categoria: SDI baseado em host Licença: Freeware

Plataforma: Unix.

URL: http://www.psionic.com

O PortSentry é um ISD baseado em host desenvolvido para plataforma Unix e distribuído gratuitamente. Quando detecta uma varredura, executa uma função que esconde o sistema do ataque.

5. Considerações Finais

Os Sistemas de Detecção de Intrusão surgiram para auxiliar a monitoração de computadores e também na monitoração de redes de computadores, como uma forma preventiva de ataques. Eles complementam a segurança de uma rede, fornecendo informações de grande valia para a análise de máquinas e redes invadidas.

Entretanto os Sistemas de Detecção de Intrusão ainda são difíceis de configurar e operar. Geralmente não podem ser eficientemente usados por pessoas inexperientes, já que o processo de ajuste e posicionamento de um Sistema de Detecção de Intrusão não é nada trivial. É necessário realizar uma análise do tráfego da rede e, a partir dessa análise, ajustar os tipos de informações que deverão ser monitoradas e em quais pontos da rede deve ser feita essa monitoração.

Referências

Northcutt, Stephen; Novak, Judy; Mclachlan, Donald. Segurança e prevenção em redes. São Paulo: Berkeley, 2001.

Northcutt, Stephen; Zeltser, Lenny; Winters, Scott; [et al]. Desvendando segurança em redes: o guia definitivo para fortificação de perímetros de redes usando firewalls, VPNs, roteadores e sistemas de detecção de invasores. Rio de Janeiro: Campus, 2002.

Reis, Marcelo. Forense computacional e sua aplicação em segurança imunológica. Dissertação de Mestrado. Universidade Estadual de Campinas. Instituto de Matemática, Estatística e Computação Cientifica, Campinas - SP, 2003.

Santos, Bruno. Detecção de intrusos utilizando o Snort. Monografia de Pós-Graduação. Universidade Federal de Lavras, Lavras - MG, 2005.

Souza, Marcelo. Readaptação do modelo ACME para detecção de novas técnicas de intrusão. Monografia de Graduação. UNESP – Departamento de Ciência da Computação e Estatística, São José do Rio Preto - SP, 2002.

Referências

Descarregar agora ( PDF - 4 páginas - 154.16 KB )

Documentos relacionados

GOVERNO DO DISTRITO FEDERAL SECRETARIA DE ESTADO DE EDUCAÇÃO SUBSECRETARIA DE EDUCAÇÃO BÁSICA SUBSECRETARIA DE GESTÃO DE PESSOAS

Local de realização da avaliação: Centro de Aperfeiçoamento dos Profissionais da Educação - EAPE , endereço : SGAS 907 - Brasília/DF. Estamos à disposição

para a Caracterização de Filmes Multicamadas

É possível observar que, utilizando-se a velocidade 0,05 cm/s, as bandas de EVOH e poliamida são melhor visualizadas, sugerindo que esse polí- meros encontram-se em camadas

BIS Working Papers No 205

Analogous to the conventional wisdom that the first-round effect of negative price shocks should not elicit a monetary response, the same could be said for positive supply

CURRENT ACCOUNT ADJUSTMENT IN INDUSTRIALIZED COUNTRIES

1 In brief, we find that a typical current account reversal begins when the current account deficit is about 5 percent of GDP, that it is associated with slowing income growth and

The end of the second world war was inspiring a wave of innovation

basis of output, valued in dollars, India and South Korea will replace Italy and Spain in the world's Top Ten by 2026, while continued rapid growth elsewhere in Asia will narrow the

The Myth of Post-Reform Income Stagnation in Brazil

The implied increase in real income (controlling for relative price changes) that would explain the change in durable goods holdings and ownership shown in Table 7 and Figure 9

Global Imbalances and Financial Stability Miranda Xafa

In this model, interest rate or exchange rate adjustments can occur only if the growth differential between the United States and Euro area/Japan reverses (demand shifts), or

E STIMANDO O D ESALINHAMENTO

Quando a análise tem por foco avaliar questões de equilíbrio externo e interno de uma economia, o importante é ter um indicador da evolução do preço relativo entre bens