ANÁLISE DE FERRAMENTAS DE IDS (INTRUSION DETECTION SYSTEM)

ANÁLISE DE FERRAMENTAS DE IDS (INTRUSION DETECTION SYSTEM)

Alisson Ferreira ¹

¹ Acadêmico da disciplina de Segurança de Sistemas do Curso de Sistemas de Informação

Resumo: Pensando em detectar e impedir o acesso indevido de seus sistemas este artigo irá abordar as formas de se defender de uma invasão propriamente dita, utilizando-se de uma ferramenta chamada IDS (Intrusion Detection System), que pode ser utilizado em qualquer sistema para rede, além de ser de fácil utilização em redes locais e servidores web, também pode ser acessado remotamente pelo administrador.

INTRODUÇÃO

Para impedir a invasão de servidores e até simples computadores pessoais deve se utilizar de ferramentas eficazes. Um exemplo de ferramenta mais utilizada é o IDS e com isso será explicado a Detecção e Invasão utilizando essa ferramenta de defesa de sistemas. O objetivo deste artigo será apresentado uma introdução à utilização da ferramenta IDS, assim como seu funcionamento.

Existem diversas ferramentas que contribuem significativamente para melhoria da segurança de uma rede, tais como: a criptografia, que estabelece um nível de proteção para dados, o uso de Firewalls estabelecem uma lógica na entrada e saída da rede controlando o tráfego a nível de pacotes, a VPN que cria um túnel criptografado entre 2 pontos de rede, dentre outros.

1. IDS – INTRUSION DETECTION SYSTEM

A detecção de invasão é necessária na maioria de servidores e para redes de trabalho, esta função é feira por um tipo de ferramenta chamada IDS (Intrusion Detection System). O IDS é ferramenta utilizada para detectar e impedir a invasão ou ameaças na rede em tempo real, e utiliza-se de técnicas como controle de tráfego, filtros, rotinas de backup, etc (LIMA, 2005).

As ferramentas de detecção de intrusão bem como os Honeypot s, não são ferramentas criadas para a prevenção e correção de ataques como um firewall ou mesmo um antivírus ao qual detecta trata e assegura-se de que o atacante não possa usufruir de um serviço, as ferramentas de detecção de intrusão estão lá para alertar o gerente de rede, em vários níveis da rede , podendo ser utilizadas antes ou depois da ação de um firewall, para gerar relatórios de como o atacante se comporta em uma invasão (ROSSETO, 2012).

Mesmo com todas essas técnicas é imprescindível a interação humana, como se trata de um software existe a possibilidade de ludibriá-lo, mas isso se torna mais difícil de acontecer, com uma boa análise do logs, relatórios e alertas dados pelo sistema. Um firewall ou sistema de autenticação poderão prevenir os acessos sem autorização, mas às vezes pode ser quebrada a regra do firewall ou do sistema de autenticação. Sendo o IDS um sistema implementado na rede para alertar tentativas de acesso sem autorização aos computadores, este pode auxiliar ou complementar a segurança de um sistema já implementado com um firewall (EVANGELISTA, 2008).

“Um firewall ou sistema de autenticação poderão prevenir os acessos sem autorização, mas às vezes pode ser quebrada a regra do firewall ou do sistema de autenticação. Sendo o IDS um sistema implementado na rede para alertar tentativas de acesso sem autorização aos computadores, este pode auxiliar ou complementar a segurança de um sistema já implementado com um firewall” (EVANGELISTA, 2008).

Os IDS são ferramentas complementares no processo de gestão de segurança da informação, pois apesar dos esforços empregados para automatizar a tarefa de detecção e respectivas respostas, é imprescindível a interação humana na análise dos filtros, alertas e relatórios gerados, objetivando medidas apropriadas dadas as circunstâncias envolvidas (LIMA, 2005).

Dessa forma se pode perceber que IDS é uma ferramenta muito necessária para proteção da sua rede, o IDS trabalha principalmente verificando a rede e o sistema monitorando todas as atividades dos usuários, como quantidade de acessos, serviços utilizados, tráfego de dados, etc., armazena essas informações e dependendo das configurações feitas pelo administrador, o alerta de uma ameaça ou invasão. Assim é importante entender o que pode acontecer quando se está usando o IDS, segundo Evangelista (2008) o Quadro 1 mostra as terminologias referentes ao IDS:

Alertas/Eventos

É um aviso gerado pelo IDS quando este detecta determinada invasão. Este alerta pode ser dado tanto local quanto remotamente.

Evasão

É um ataque ao IDS sem que este detecte o mesmo, é uma maneira que se encontra de ludibriar o sistema.

Fragmentação

Fragmentação é uma maneira de dividir os pacotes de tal forma que não ultrapasse o limite da rede. A fragmentação é utilizada para a evasão ou também em ataques de negação de serviço.

Assinaturas

Assinaturas são ataques conhecidos. Através das assinaturas ou regras pode-se gerar os alertas para atividades suspeitas. É feita comparação dos dados com as assinaturas e aí são gerados os alertas.

Quadro 1: Terminologias referentes ao IDS, segundo Evangelista (2008)

Existem 2 tipos de IDS o HIDS (Host Based Intrusion Detection System) que o IDS de Host e o NIDS (Network Based Intrusion Detection System) que monitora a rede.

 HIDS (Host Based Intrusion Detection System)

O IDS de host analisa o próprio host do sistema, monitorando assim os eventos de acesso, eventos de aplicação, as entradas físicas de dispositivo e qualquer outra forma de acesso local. “Bloqueia também ataques que não são detectados pelo firewall como, por exemplo, protocolos criptografados.” (EVANGELISTA, 2008). O IDS de host pode detectar conexões de rede abertas e monitorar as portas do sistema gerando um log dessas ações, e também verificar todos os dispositivos do sistema e gravar estes dados de forma que se houver alguma alteração destes dispositivos ele gera um alerta para o administrador.

Os sistemas de detecção de intrusão baseados em host possuem mecanismos e procedimentos de análise que verificam sinais de intrusão exclusivamente nas máqui-nas onde estão instalados, geralmente tomando como base para esta análise recursos locais,

...