SISTEMA DE DETECÇÃO DE INTRUSOS

2.1 REVISÃO DE LITERATURA

2.1.1 Sistemas de Redes de Computadores

Uma simples definição de uma rede seria que ela consiste em dois ou mais computadores que estão interligados entre si, podendo assim compartilhar informações.

2.1.1.1 Segurança

A necessidade de segurança surge a partir do momento em que algo está ameaçado. Ela vem junto com a história do homem, do interesse de segurança própria, da família, dos bens, etc. E é criada naturalmente para garantir a sobrevivência das espécies.

Ao comprar uma casa, ou qualquer outro bem material, é inevitável a preocupação com a sua segurança. Por isso pode-se tomar alguns cuidados, como a construção de muros altos ao seu redor, utilizar cadeados fortes nas portas e janelas, a implantação de alarmes, monitoramento de câmeras de segurança, fazer um seguro da casa, e até casos extremos, que são tomados geralmente por pessoas de grande influencia na sociedade, como a contratação de seguranças/vigias, etc. O mesmo ocorre nas redes dos computadores. Todos buscam a proteção de suas informações, e podem tomar cuidados como utilizar a criptografia, antivírus, Backup de Dados até a utilização de firewalls, IDS (Sistemas de detecção de Intrusos), etc.

A segurança da informação esta ameaçada de muitas maneiras, desde o roubo da CPU até invasões na rede. As empresas grandes que possuem sites, por exemplo, se não investirem em segurança, podem por em risco informações financeiras de seus clientes, como senhas de cartões de créditos, números de documentos, etc. Por isso a importância de se tomar medidas relacionadas a proteção das informação.

Segundo Souza (2010) antes de qualquer atitude, para se manter um sistema seguro, deve-se ter quatro conceitos básicos bem definidos: Confidencialidade, Integridade, Disponibilidade e Irretratabilidade:

• Confidencialidade: preserva as informações privadas e íntimas. Ou seja, somente pessoas autorizadas podem ter acesso às informações.

• Integridade: garante a originalidade do pacote que é trafegado. A informação enviada deve ser a mesma que é recebida, sem sofrer nenhuma alteração.

• Disponibilidade: garante que as informações estarão disponíveis aos usuários quando necessário.

• Irretratabilidade: garante que os pacotes que trafegam na rede tenham autorias definidas, não permitindo o envio de dados sem autoria ou com autoria falsa.

Segundo Abreu (2008) medidas preventivas, detectáveis ou corretivas podem e devem ser tomadas para auxiliar a segurança das informações. As preventivas são tomadas para evitar incidentes, alguns exemplos são a utilização de antivírus, firewall, criptografia, fazer configurações adequadas, backup de arquivos, etc. As Detectáveis identificam anormalidades existentes no sistema ou na rede. Os Sistemas de Detecção de Intrusos é um exemplo. E as corretivas são as medidas tomadas após a ação danosa, com intuito de minimizar os impactos causados. Como por exemplo, a restauração de backup.

2.1.1.2 Ataques

Existem diferentes tipos de ataques, até mesmo na internet é possível encontrar sem muito esforço softwares prontos. Técnicas de invasão não são praticadas somente por hackers ou crackers, mas o administrador da rede também deve utilizá-las para testar as vulnerabilidades existentes no sistema. Continuando com a idéia de Souza (2010), abaixo segue alguns tipos de ataques e atacantes:

• Engenharia social: É quando o atacante utiliza meios sociais, como o diálogo, para conseguir informações importantes. Um grande exemplo é o filme “Operation takedown” onde Kevin Mitnick utiliza da engenharia social para conseguir informações e assim dar sequência ao seu ataque.

• Ataque físico: Em muitas instituições é comum acharmos senhas escritas em papéis coladas ao monitor, ou perto do computador, para ajudar os usuários a não esquecê-las. O que muitos não pensam é que qualquer outra pessoa pode assim ter acesso as senhas com facilidade. Essa técnica é conhecida como ataque físico.

• Mapeamento da rede e Busca de Vulnerabilidades: Baseada na utilização do ping ou outras ferramentas para conseguir informações sobre o alvo. Assim é possível descobrir o sistema operacional (S.O) usado e até mesmo senhas sem criptografia. Informações como estas sobre o alvo facilitam o descobrimento das vulnerabilidades existentes e utilizá-las para o ataque.

• Quebra de senhas: O atacante utiliza softwares para quebrar as senhas do alvo. John the Riper é um exemplo de programa utilizado.

• Ataques no nível de aplicação: O ataque consiste através das vulnerabilidades existentes na camada de aplicação do modelo OSI. Ao explorar essa vulnerabilidade o atacante consegue o acesso ao host-alvo.

Mas para que ataques existam necessita-se de usuários interagindo por trás deles. Abaixo segue alguns dos diferentes tipos de atacantes:

• Hackers: Podemos defini-los como usuários bem intencionados. Os hackers utilizam o seu alto conhecimento na área da informação para modificar softwares de forma legal.

• •Crackers: Ao contrário do hacker, os crackers invadem computadores com intenções maliciosas, como a quebra de sistemas, o acesso a senhas, informações, etc. por diversão ou visando o lucro.

• Pichadores Digitais: Tomam atitudes semelhantes aos pichadores de muros. Deixando suas assinaturas com o objetivo de serem reconhecidos.

• Vândalos: Agem simplesmente por prazer.

• Espiões: Buscam informações confidenciais da vítima.

2.1.1.3 Ameaças e Vulnerabilidades

As vulnerabilidades são fraquezas, espaços que não estão seguros, estão vulneráveis a ataques. É através desses espaços que muitos crackers aproveitam para efetuar uma invasão. Daí a importância de uma configuração responsável, para minimizar as possíveis vulnerabilidades existentes.

Vulnerabilidade é uma falha que pode permitir a condução de um ataque que, por conseguinte, pode causar a quebra de um ou mais dos três princípios da Segurança da Informação: Confidencialidade, Integridade e Disponibilidade. As vulnerabilidades em si não provocam incidentes, pois são apenas possibilidades de exploração por um agente causador, de forma intencional ou

...