Segurança de acesso

(1)

(2)

 PRINCIPAIS TIPOS DE ATAQUES A REDES E COMO EVITÁ-LOS

• Segurança de acesso; • Senhas;

• Fragilidades e como corrigi-las; • Controle de acesso físico;

• Controles biométricos;

• Controles de acesso lógico; • Detecção de Intrusão;

• Histórico de acessos e auditoria; • Protocolos de Autenticação

(3)

 PRINCIPAIS TIPOS DE ATAQUES A REDES E COMO EVITÁ-LOS

• Segurança de acesso; • Senhas;

• Detecção de Intrusão;

(4)

 A Segurança de Acesso é hoje,

 tanto para acessos físicos a instalações

 quanto para acessos lógicos a plataformas computacionais ou equipamentos de rede,

uma das maiores preocupações das Empresas no que se relaciona a:  perda de receita, seja por fraudes, operações indevidas e até

mesmo roubos.

(5)

A Segurança de Acesso:

• O CONTROLE DE ACESSO, na Segurança da Informação, é composto dos processos de autenticação, autorização e auditoria.

• Neste contexto o controle de acesso pode ser entendido como:

• A habilidade de permitir ou negar a utilização de um objeto (uma entidade passiva, como um sistema ou arquivo) por um sujeito (uma entidade ativa, como um indivíduo ou um processo).

(6)

• A autenticação identifica quem acessa o sistema.

• A autorização determina o que um usuário autenticado pode fazer. • A auditoria diz o que o usuário fez.

(7)

• Para resolver – ou minimizar ao máximo a ocorrência de falhas nessa área – o profissional da área de segurança deve:

• Procurar uma solução de Acesso e Segurança que ofereça alta tecnologia em sistemas aliada a equipamentos de última geração.

(8)

• Uma solução que integre todas as rotinas de acesso e segurança de uma empresa, preferencialmente numa única aplicação.

• Que seja compatível com qualquer projeto de gerenciamento de segurança e,

• Proporcione proteção pessoal e patrimonial eficiente a todos os segmentos.

(9)

• Em resumo, o profissional da área de segurança deve: • Buscar a solução que:

Proporcione ao usuário a proteção do patrimônio da empresa, além de agilizar a tomada de decisão e a centralização do controle dos riscos.

(10)

Ataques na Internet

Ataques costumam ocorrer na Internet com diversos objetivos, visando diferentes alvos e usando variadas técnicas. Qualquer serviço, computador ou rede que seja acessível via Internet pode ser alvo de um ataque, assim como qualquer computador com acesso à Internet pode participar de um ataque.

(11)

Ataques na Internet

Os motivos que levam os atacantes a desferir ataques na Internet são bastante diversos, variando da simples diversão até a realização de ações criminosas. Alguns exemplos são:

Demonstração de poder: mostrar a uma empresa que ela pode ser

invadida ou ter os serviços suspensos e, assim, tentar vender serviços ou chantageá-la para que o ataque não ocorra novamente.

(12)

Ataques na Internet

Prestígio: vangloriar-se, perante outros atacantes, por ter conseguido

invadir computadores, tornar serviços inacessíveis ou desfigurar sites considerados visados ou difíceis de serem atacados; disputar com outros atacantes ou grupos de atacantes para revelar quem consegue realizar o maior número de ataques ou ser o primeiro a conseguir atingir um determinado alvo.

(13)

Ataques na Internet

Motivações financeiras: coletar e utilizar informações confidenciais de

usuários para aplicar golpes.

Motivações ideológicas: tornar inacessível ou invadir sites que

divulguem conteúdo contrário à opinião do atacante; divulgar mensagens de apoio ou contrárias a uma determinada ideologia.

(14)

Ataques na Internet

Motivações comerciais: tornar inacessível ou invadir sites e

computadores de empresas concorrentes, para tentar impedir o acesso dos clientes ou comprometer a reputação destas empresas.

(15)

SENHAS DE ACESSO:

• Uma conta de usuário, também chamada de "nome de usuário", "nome de login" e username, corresponde à identificação única de um usuário em um computador ou serviço. Por meio das contas de usuário é possível que um mesmo computador ou serviço seja compartilhado por diversas pessoas, pois permite, por exemplo, identificar unicamente cada usuário, separar as configurações específicas de cada um e controlar as permissões de acesso.

(16)

SENHAS DE ACESSO:

• A sua conta de usuário é de conhecimento geral e é o que permite a sua identificação. Ela é, muitas vezes, derivada do seu próprio nome, mas pode ser qualquer sequência de caracteres que permita que você seja identificado unicamente, como o seu endereço de e-mail. Para garantir que ela seja usada apenas por você, e por mais ninguém, é que existem os mecanismos de autenticação.

(17)

SENHAS DE ACESSO:

A senha (password) para acesso , faz parte dos mecanismos de autenticação.

• Existem três grupos básicos de mecanismos de autenticação, que se utilizam de:

• Aquilo que você é (informações biométricas, como a sua impressão digital, a palma da sua mão, a sua voz e o seu olho).

• Aquilo que apenas você possui (como seu cartão de senhas bancárias e um token gerador de senhas) e,

• Aquilo que apenas você sabe (como perguntas de segurança e suas senhas).

(18)

SENHAS DE ACESSO:

• Uma senha, ou password, serve para autenticar uma conta, ou seja, é usada no processo de verificação da sua identidade, assegurando que você é realmente quem diz ser e que possui o direito de acessar o recurso em questão. É um dos principais mecanismos de autenticação usados na Internet devido, principalmente, a simplicidade que possui.

(19)

SENHAS DE ACESSO:

Se uma outra pessoa souber a sua conta de usuário e tiver acesso à sua senha ela poderá usá-las para se passar por você na Internet e realizar ações em seu nome, como:

• acessar a sua conta de correio eletrônico e ler seus e-mails, enviar mensagens de spam e/ou contendo phishing e códigos maliciosos, furtar sua lista de contatos e pedir o reenvio de senhas de outras contas para este endereço de e-mail (e assim conseguir acesso a elas);

(20)

SENHAS DE ACESSO:

• acessar o seu computador e obter informações sensíveis nele armazenadas, como senhas e números de cartões de crédito;

• utilizar o seu computador para esconder a real identidade desta pessoa (o invasor) e, então, desferir ataques contra computadores de terceiros;

• acessar sites e alterar as configurações feitas por você, de forma a tornar públicas informações que deveriam ser privadas;

(21)

SENHAS DE ACESSO:

• acessar a sua rede social e usar a confiança que as pessoas da sua rede de relacionamento depositam em você para obter informações sensíveis ou para o envio de boatos, mensagens de spam e/ou códigos maliciosos.

(22)

SENHAS DE ACESSO:

Algumas das formas como a sua senha pode ser descoberta são:

• ao ser usada em computadores infectados. Muitos códigos maliciosos, ao infectar um computador, armazenam as teclas digitadas (inclusive senhas), espionam o teclado pela webcam (caso você possua uma e ela esteja apontada para o teclado) e gravam a posição da tela onde o mouse foi clicado (mais detalhes na Seção 4.4 do Capítulo Códigos Maliciosos (Malware);

(23)

SENHAS DE ACESSO:

• ao ser usada em sites falsos. Ao digitar a sua senha em um site falso, achando que está no site verdadeiro, um atacante pode armazená-la e, posteriormente, usá-la para acessar o site verdadeiro e realizar operações em seu nome (mais detalhes na Seção 2.3 do Capítulo Golpes na Internet);

• por meio de tentativas de adivinhação (mais detalhes na Seção 3.5 do Capítulo Ataques na Internet);

(24)

SENHAS DE ACESSO:

• ao ser capturada enquanto trafega na rede, sem estar criptografada (mais detalhes na Seção 3.4 do Capítulo Ataques na Internet);

• por meio do acesso ao arquivo onde a senha foi armazenada caso ela não tenha sido gravada de forma criptografada (mais detalhes no Capítulo Criptografia);

(25)

SENHAS DE ACESSO:

• com o uso de técnicas de engenharia social, como forma a persuadi-lo a entregá-la voluntariamente;

• pela observação da movimentação dos seus dedos no teclado ou dos cliques do mouse em teclados virtuais.

(26)

SENHAS DE ACESSO:

Cuidados a serem tomados ao usar suas contas e senhas:

• certifique-se de não estar sendo observado ao digitar as suas senhas; • não forneça as suas senhas para outra pessoa, em hipótese alguma; • certifique-se de fechar a sua sessão ao acessar sites que requeiram o

uso de senhas. Use a opção de sair (logout), pois isto evita que suas informações sejam mantidas no navegador;

(27)

SENHAS DE ACESSO:

Cuidados a serem tomados ao usar suas contas e senhas: • elabore boas senhas, conforme descrito na Seção 8.2;

• altere as suas senhas sempre que julgar necessário, conforme descrito na Seção 8.3;

• não use a mesma senha para todos os serviços que acessa (dicas de gerenciamento de senhas são fornecidas na Seção 8.4);

(28)

SENHAS DE ACESSO:

• ao usar perguntas de segurança para facilitar a recuperação de senhas, evite escolher questões cujas respostas possam ser facilmente adivinhadas (mais detalhes na Seção 8.5);

• certifique-se de utilizar serviços criptografados quando o acesso a um site envolver o fornecimento de senha (mais detalhes na Seção 10.1 do Capítulo Uso seguro da Internet);

(29)

SENHAS DE ACESSO:

• procure manter sua privacidade, reduzindo a quantidade de informações que possam ser coletadas sobre você, pois elas podem ser usadas para adivinhar a sua senha, caso você não tenha sido cuidadoso ao elaborá-la;

• mantenha a segurança do seu computador (mais detalhes no Capítulo Segurança de computadores);

(30)

SENHAS DE ACESSO:

• seja cuidadoso ao usar a sua senha em computadores potencialmente infectados ou comprometidos. Procure, sempre que possível, utilizar opções de navegação anônima.

(31)

SENHAS DE ACESSO: Elaboração de senhas

Alguns elementos que você não deve usar na elaboração de suas senhas são:

• Qualquer tipo de dado pessoal: evite nomes, sobrenomes, contas de usuário, números de documentos, placas de carros, números de telefones e datas (estes dados podem ser facilmente obtidos e usados por pessoas que queiram tentar se autenticar como você).

(32)

Alguns elementos que você não deve usar na elaboração de suas senhas são:

• Sequências de teclado: evite senhas associadas à proximidade entre os caracteres no teclado, como "1qaz2wsx" e "QwerTAsdfG", pois são bastante conhecidas e podem ser facilmente observadas ao serem digitadas.

(33)

• Palavras que façam parte de listas: evite palavras presentes em listas publicamente conhecidas, como nomes de músicas, times de futebol, personagens de filmes, dicionários de diferentes idiomas, etc. Existem programas que tentam descobrir senhas combinando e testando estas palavras e que, portanto, não devem ser usadas.

(34)

SENHAS DE ACESSO:

Alguns elementos que você deve usar na elaboração de suas senhas são: • Números aleatórios: quanto mais ao acaso forem os números usados melhor, principalmente em sistemas que aceitem exclusivamente caracteres numéricos.

• Grande quantidade de caracteres: quanto mais longa for a senha mais difícil será descobri-la. Apesar de senhas longas parecerem, a princípio, difíceis de serem digitadas, com o uso frequente elas

(35)

SENHAS DE ACESSO:

Alguns elementos que você deve usar na elaboração de suas senhas são: • Diferentes tipos de caracteres: quanto mais "bagunçada" for a senha mais difícil será descobri-la. Procure misturar caracteres, como números, sinais de pontuação e letras maiúsculas e minúsculas. O uso de sinais de pontuação pode dificultar bastante que a senha seja descoberta, sem necessariamente torná-la difícil de ser lembrada.

(36)

SENHAS DE ACESSO:

Gerenciamento de contas e senhas

• Quantas contas e senhas diferentes precisa memorizar e combinar para acessar todos os serviços que utiliza e que exigem autenticação? Atualmente, confiar apenas na memorização pode ser algo bastante arriscado.

(37)

SENHAS DE ACESSO:

• Para resolver este problema muitos usuários acabam usando técnicas que podem ser bastante perigosas e que, sempre que possível, devem ser evitadas. Algumas destas técnicas e os cuidados que você deve tomar caso, mesmo ciente dos riscos, opte por usá-las são:

(38)

SENHAS DE ACESSO:

• Reutilizar as senhas: usar a mesma senha para acessar diferentes contas pode ser bastante arriscado, pois basta ao atacante conseguir a senha de uma conta para conseguir acessar as demais contas onde esta mesma senha foi usada.

• procure não usar a mesma senha para assuntos pessoais e profissionais;

• jamais reutilize senhas que envolvam o acesso a dados sensíveis,

SEGURANÇA LÓGICA E FÍSICA DE REDES

(39)

SENHAS DE ACESSO:

• Usar opções como "Lembre-se de mim" e "Continuar conectado": o uso destas opções faz com que informações da sua conta de usuário sejam salvas em cookies que podem ser indevidamente coletados e permitam que outras pessoas se autentiquem como você.

• use estas opções somente nos sites nos quais o risco envolvido é bastante baixo;

• jamais as utilize em computadores de terceiros.

(40)

SENHAS DE ACESSO:

• Salvar as senhas no navegador Web: esta prática é bastante arriscada, pois caso as senhas não estejam criptografadas com uma chave mestra, elas podem ser acessadas por códigos maliciosos, atacantes ou outras pessoas que venham a ter acesso ao computador.

(41)

Detecção de intruso

O uso de métodos de detecção de intrusos começou a aparecer nos últimos anos. Usando métodos de detecção de intrusos, podemos coletar e usar informações de tipos de ataques conhecidos e descobrir se alguém está tentando atacar a rede. A informação coletada desse modo pode ser usada para melhorar a segurança da rede como também para usos legais. Produtos comercias, bem como de código aberto, estão disponíveis para esses objetivos.

(42)

Muitas ferramentas de avaliação de vulnerabilidades também estão disponíveis hoje no mercado, e podem ser usadas para avaliar diferentes tipos de falhas de segurança presentes na rede. Um sistema de segurança abrangente consiste de variadas ferramentas, incluindo:

- Firewalls que podem ser usados para bloquear trafego de dados, tanto de entrada como de saída;

(43)

Um sistema de detecção de intrusos geralmente detecta manipulações de sistemas de computadores indesejadas, normalmente através da internet. Essas manipulações normalmente vêm de ataques de Cackers.

(44)

Os IDS são usados para detectar vários tipos de comportamentos maliciosos que podem comprometer a segurança e a confiabilidade de um sistema. Eles incluem ataques pela rede contra serviços vulneráveis, ataques baseados em uma estação, como aumento de privilegio, logins não autorizados e malware.

Intrusion detection system

Sistema de detecção de intrusos IDS

(45)

Um IDS é composto de diversos componentes: sensores, que geram eventos de segurança; console para monitorar eventos e alertas e controlar os sensores; e um mecanismo central que grava os eventos registrados pelo sensor na base de dados e usa um sistema de regras para gerar alertas a partir dos eventos de segurança recebidos. Umas vez que é detectado alguma intrusão, alertas são enviados, e podem haver dois yipos de resposta, ativa ou passiva.

(46)

Na ativa, respostas aos incidentes são geradas pelo próprio sistema, enquanto que na passiva, são gerados apenas relatórios para que o administrador venha a tomar as medidas que julgar necessárias.

(47)

Detecção de intrusos baseadas em anomalias geralmente dependem de anomalias nos pacotes presentes nos cabeçalhos dos pacotes. Em alguns casos esses métodos podem produzir resultados melhores comparados aos IDS baseados em assinaturas. Geralmente, IDS capturam dados da rede e aplicam suas regras a esses dados ou detectam anomalias neles.

(48)

Os IDS geralmente são apenas passivos, somente observando o sistema e gerando alertas para os responsáveis por este sistema. Porém, em alguns casos, o sistema pode reagir em caso de uma intrusão ser detectada, como por exemplo fechar a conexão, bloquear a partir do firewall ou até mesmo desabilitar uma conta.

(49)

- HoneyPots ( Potes de Mel ):

Honey pots, ou potes de mel, na tradução para o português, possuem uma grande importância para os sistemas de detecção de intrusos. São sistemas usados para enganar hackers expondo vulnerabilidades conhecidas deliberadamente.

(50)

Uma vez que o cracker ache um pote de mel, e comum que esse cracker fique em torno desse pote por algum tempo. Durante esse tempo, pode-se catalogar as atividades do cracker para descobrir sobre suas ações e técnicas. Uma vez sabida essas técnicas, pode-se usar essas informações mais tarde para melhorar a segurança nos servidores atuais.

(51)

Existem diferentes maneiras de construir e colocar os potes de mel. O pote deve possuir serviços comuns rodando nele, que podem ser servidores de http ( porta 80 ), servidores de ftp ( porta 21 ), entre outros. Devem ser colocados em lugares próximos aos servidores produtivos, para que os Crackers possam tomá-lo como sendo um servidor real.

(52)

Pode também haver a configuração do firewall para redirecionar o trafego em algumas portas para um pote de mel, onde o intruso estará achando que esta se conectando a um servidor real. A criação de mecanismos de alerta devem ser cuidadosas para que quando o pote de mel estiver comprometido, a notificação ser imediata. Uma boa ideia é manter os arquivos em algumas outras maquinas para quanto o pote estiver compromissado, o hacker não poder ter a habilidade de deletar esses arquivos.

(53)

Como o pote de mel deve parecer real, devem ser criados alguns arquivos de dados, contas de usuários , entre outros, todos falsos, para garantir que o hacker pense que se trata mesmo de um sistema real, o que fará com que o hacker queira ficar mais tempo no pote, e poderemos assim gravar mais atividades do mesmo.

O pote de mel só terá sentido se as informações coletadas por ele forem usadas de alguma maneira.

(54)

Tipos de Detecção

Existem três tipos de IDS presentes hoje no mercado, além do hibrido, que seria uma combinação de técnicas. São eles:

- Baseados na estação; - Baseados na rede; - Baseados em pilhas;

(55)

Tipos de Detecção

- Baseados na estação;

• Os sistemas baseados em estação foram os primeiros tipos de IDS a serem desenvolvidos e implementados. Eles começaram no inicio dos anos 80. Os IDS de estação podem ser instalados em diferentes tipos de maquinas, como servidores, estações de trabalho e notebook. Esses sistemas coletam e analisam dados originados nos computadores que hospedam um serviço, como servidor de web.

(56)

Tipos de Detecção

- Baseados na estação;

• Uma vez que o dado é agregado em um dado computador, ele pode ser analisado localmente ou enviado para uma maquina central de analise. Um exemplo de sistema baseado em estação são programas que operam em um sistema e recebem aplicações ou logs do sistema operacional. Esses programas são altamente efetivos para detectar abusos de dentro. Residindo em sistemas confiáveis, eles estão perto dos usuários autênticos da rede.

(57)

Vantagens dos IDS baseados em estação:

• Como podem monitorar eventos localmente, os IDS de estação conseguem detectar ataques que não conseguem ser detectados por IDS de rede;

• Trabalham em ambientes onde o trafego seja criptografado, desde que os dados sejam encriptados na estação antes do envio ou decriptados nos host após o recebimento;

• Não são afetados por switches;

(58)

Desvantagens dos IDS baseados em estação:

• São de difícil monitoramento, já que em cada estação deve ser instalado e configurado um IDS;

• Podem ser desativados por DoS;

• Recursos computacionais são consumidos nas estações monitoradas, com diminuição do desempenho;

• O IDS pode ser atacado e desativado, escondendo um ataque, se as fontes de informações residirem na estação monitorada;

(59)

Alguns IDS de estação comercializados: • RealSecure;

• ITA, Squire; • Entercept.

(60)

Detecção Baseada na Rede

A maioria dos IDS comerciais é baseada em rede. Os IDS baseados em rede analisam pacotes de dados que trafegam pela rede. Esses pacotes são examinados e algumas vezes comparados com dados empíricos para verificar a sua natureza: maliciosa ou benigna. Pelo fato de serem responsáveis pelo monitoramento da rede, ao invés de uma simples estação, os IDS de rede tem a tendência de serem mais distribuídos do que os IDS baseados em estação.

(61)

Softwares, ou em alguns casos aparelhos de hardware, residem em um ou mais sistemas conectados numa rede, e são usados para analisar dados, como pacotes de rede. Ao invés de analisar informação que reside e é originada em um computador, IDS de rede usa técnicas como “packet-sniffing”, para pegar dados do TCP/IP ou pacotes de outros protocolos passando sozinhos pela rede.

(62)

Essa vigilância das conexões entre computadores faz com que IDS de rede sejam ótimos em detectar tentativas de acesso por fora da rede confiável. Os IDS baseados em rede normalmente consistem em um conjunto de sensores implantado em diversas partes da rede, monitorando o trafego, realizando analises e relatando ataques a uma central.

(63)

Em geral, IDS de rede são melhores em detectar as seguintes atividades: - Acesso desautorizado de fora: quando um usuário desautorizado loga com sucesso, ou tenta logar, são melhores monitorados por IDS de estação. Entretanto, detectar usuários desautorizados antes da tentativa de log is melhor realizado por IDS de rede;

- Denial of Service ( Negação de Serviço ): os pacotes que iniciam esses ataques podem melhor ser percebidos com o uso de IDS de rede;

(64)

Vantagens do IDS baseado em rede:

- Com um bom posicionamento, pode haver apenas poucos IDS instalados para monitorar uma rede grande;

- Um pequeno impacto é provocado na rede com a instalação desses IDS, pois são passivos, e não interferem no funcionamento da rede;

- Difíceis de serem percebidos por atacantes e com grande segurança contra ataques;

(65)

Desvantagens do IDS baseado em rede:

- Podem falhar em reconhecer um ataque em um momento de trafego intenso;

- Em redes mais modernas baseadas em switches, algumas das vantagens desse tipo de IDS não se aplicam;

- Não conseguem analisar informações criptografadas, sendo um grande problema, visto que muitos atacantes utilizam criptografia em suas invasões;

- Grande parte não pode informar se o ataque foi ou não bem sucedido, podendo apenas alertar quando o ataque foi iniciado.

(66)

Detecção Baseada em Pilhas

Essa é a tecnologia de IDS mais nova e varia bastante de vendedor para vendedor. Este tipo de IDS funciona integrando próximo à pilha TCP/IP, permitindo que pacotes sejam vistos quando eles fazem seu caminho através das camadas OSI. Vendo os pacotes desse jeito permite ao IDS puxar pacotes da pilha antes que o sistema operacional ou a aplicação tenham a chance de processar os pacotes.

(67)

Detecção Baseada em Pilhas

Esse IDS deve olhar o trafego entrando e saindo do sistema. Monitorando apenas pacotes de rede destinados apenas para uma simples estação, o principio é fazer com que o IDS tenha baixo overhead suficiente para que todos os sistemas na rede possam rodar esse IDS

(68)

(69)

Métodos de Detecção

Para cada um dos tipos de detecção, existem duas técnicas bastante utilizadas para detectar intrusos: detecção de anomalias e detecção de assinaturas.

- Detecção de Anomalias - Detecção de Assinaturas

(70)

Detecção de Anomalias

O IDS que usa essa técnica estabelece uma base com padrões de uso normal, e tudo o que desviar bastante disso será marcado como uma possível intrusão. O que é considerado anomalia pode variar, mas normalmente, qualquer incidente que ocorra com freqüência de mais ou menos dois desvios padrões da norma estatística gera uma preocupação. Esses detectores constroem um padrão de comportamento para os usuários, hosts e conexões de rede.

(71)

Vantagens da detecção por anomalias:

- Como detecta comportamentos não usuários, pode detectar um ataque sem conhecimento prévio do mesmo;

- Gera informações que podem ser usadas para definir assintauras;

(72)

Desvantagens da detecção por anomalias:

- É comum produzir grande numero de alarmes falsos, devido a comportamentos imprevisíveis dos usuários e de sistemas;

- Devem ser realizadas muitas sessões para coletar dados para o sistema, com o intuito de caracterizar os padrões normais de comportamento;

(73)

Detecção de Assinaturas

Detecção de assinaturas envolve a procura em trafego de rede de bytes ou sequências de pacotes conhecidos como maliciosos. Uma vantagem chave desse método é que assinaturas são fáceis de serem desenvolvidas e entendidas se sabida o comportamento da rede que se esta tentando identificar. Os eventos gerados por um IDS baseado em assinaturas podem comunicar o que causou o alerta.

(74)

Também, testes de correlacionamento podem ser executados bem rápido em modernos sistemas, então a energia necessária para executar essas checagens pode ser mínima para um conjunto de regras. Como exemplo, se o sistema só se comunicar via DNS, ICMP e SMTP, todas as outras assinaturas podem ser removidas.

(75)

Para sistemas baseados em estação, um exemplo de assinatura é três logins falhos. Já para IDS de rede, uma assinatura pode ser simplesmente teste padrão que combina com uma porção de pacotes de redes, como por exemplo, assinaturas de pacotes e/ou assinaturas de cabeçalho que possam indicar ações não autorizadas.

(76)

Vantagens da detecção baseada em assinaturas:

- Comparadas às detecções por anomalia, são muito mais eficientes, gerando um numero bem menor de alarmes falsos;

(77)

Política do IDS

Antes de instalar o sistema de detecção de intrusos na rede, uma política para detectar intrusos e tomar ações quando essas atividades são encontradas, deve ser criada. Essa política deve ditar as regras do IDS e como elas serão aplicadas. Deve conter os seguintes componentes, que podem ser adicionados de outros dependendo dos requerimentos.

(78)

Política do IDS

- Quem irá monitorar o IDS? Dependendo do IDS, pode haver mecanismos de alerta que provenham informações sobre atividades de intrusos. Alguém deverá monitorar as atividades de intrusos e a política deverá definir a(s) pessoa(s) responsável(is).

- Quem irá administrar o IDS? Como em todos os sistemas, deve ser estabelecida uma rotina de manutenção do IDS.

(79)

Política do IDS

- Quem irá manipular os incidentes e como? Se não tiver nenhuma manipulação de incidentes, não há o porquê de se instalar um IDS. Dependendo da gravidade do incidente, poderá ser necessário o envolvimento de agencias do governo.

- Qual será o escalonamento do processo? O escalonamento do processo basicamente a estratégia de resposta ao incidente. A política deverá descrever claramente quais incidentes deverão ser escalonados para uma escala maior.

(80)

Política do IDS

- Relatório. Relatórios devem ser gerados mostrando o que aconteceu durante o ultimo dia, semana ou mês.

- Updates de assinaturas. Hackers sempre estão criando novos tipos de ataques, que serão detectados pelo IDS se este souber sobre os ataques em forma de assinaturas.

(81)

Política do IDS

- Documentação e necessária para todos os projetos. A política do IDS deve descrever que tipo de documentação será feita quando ataques forem detectados. A documentação pode incluir um simples log ou o registro completo da atividade do intruso.

(82)

Conclusão

Sistemas de detecção de intrusos possuem uma grande importância na segurança de redes hoje em dia. Os IDS ainda estão bastante imaturos, muito trabalho de pesquisa ainda deve ser feito.

(83)

Conclusão

Não há como fazer um sistema de detecção totalmente seguro, assim como nada em redes pode ser considerado cem por cento seguro, pois possivelmente sempre haverá uma maneira de burlar o sistema, porém cada vez mais deve-se investir em técnicas para tornar os IDS difíceis de serem percebidos pelos intrusos.

(84)

Conclusão

Também ainda há um grande numero de alarmes falsos gerados, e infelizmente, também há alguns casos em que o ataque acontece e não há alarme. Esses problemas deverão ser reduzidos, a fim de haver uma maior eficiência nos IDS.

(85)

Conclusão

Novas técnicas de invasão e ataques a sistema crescem a cada dia, por isso é sempre importante uma implementação de uma boa política de IDS, pois este deverá ser atualizado constantemente a fim de buscar novas assinaturas que surgirem, e também relatórios deverão ser gerados para prevenções a futuras invasões.

(86)

1- Qual a diferença entre IDS baseado na estação e baseado na rede?

2- O que são assinaturas? Como é feita a detecção baseada em assinaturas?

3- Como funciona a detecção baseada em anomalias?

4- Qual a diferença entre respostas ativas e passivas? Cite exemplos.

5- O que são honeypots ( ou potes de mel ), e como eles são importantes para a detecção de intrusos?

(87)

Bibliografia

[1] REHMAN, Rafeeq Ur. Intrusion Detection Systems with Snort. Prentice Hall PTR, New Jersey, USA, 2003.

[2] Honey Pot Project, em http://project.honeynet.org/ [3] Snort, em http://www.snort.org

[4] IDS detection approaches, em http://seclists.org/focus-ids/2007/Oct/0014.html

(88)

[5] Focus on IDS, em http://www.securityfocus.com/

[6] IDS, what is it and why do we need it?, em www.ixact.ch/english/pagesnav/framesE4.htm?IN&IN_Im.htm

[7] An Introduction to IDS, em

http://www.securityfocus.com/infocus/1520

[8] Host-Based IDS vs Network-Based IDS, em http://www.windowsecurity.com/articles/Hids_vs_Nids_Part1.html

(89)

[9] Amorim, M E; Maestrelli, M. Sistemas de Detecção de Intrusos. CAT Informática, CBPF-NT-009/04.

[10] Intrusion Detection Systems, em

http://www.windowsecurity.com/articles/Intrusion.html