Tutoriais
O QUE É E COMO FUNCIONA A FERRAMENTA IDS By ThorKing
A detecção de Intrusão é uma das áreas de maior expansão, pesquisa e investimento na segurança em redes de computadores. Com o grande crescimento da interconexão de computadores em todo o mundo, materializado pela Internet, é verificado um conseqüente aumento nos tipos e no número de ataques a esses sistemas, gerando uma complexidade muito elevada para a capacidade dos tradicionais mecanismos de prevenção. Para maioria das aplicações atuais, desde redes corporativas simples até sistemas de e-commerce ou aplicações bancárias, é praticamente inviável a simples utilização de mecanismos que diminuam a probabilidade de eventuais ataques.
Um ataque força, em casos extremos, causa interrupções totais dos serviços para que um lento e oneroso processo de auditoria e de posterior restauração manual seja feito. Isso justifica todo o investimento feito visando a criação de mecanismos que ultrapassem a barreira da simples prevenção, garantindo aos sistemas um funcionamento contínuo e correto mesmo na presença de falhas de segurança, principal objetivo dos chamados Sistemas de Detecção de Intrusão (IDS - Intrusion Detection Systems).
Basicamente, podemos definir IDS como uma ferramenta inteligente capaz de detectar tentativas de invasão em tempo real. Esses sistemas podem atuar de forma a somente alertar as tentativas de invasão, como também em forma reativa, aplicando ações necessárias contra o ataque.
Em outras palavras o IDS é um sistema de configurações e regras que tem como objetivo gerar alertas quando detectar pacotes que possam fazer parte de um possível ataque.
Existem diversos tipos de ferramentas IDS para diferentes plataformas, porém as ferramentas IDS trabalham basicamente de modo parecido, ou seja, analisando os pacotes que trafegam na rede e comparando-os com assinaturas já prontas de ataques, identificando-os de forma fácil e precisa qualquer tipo de anomalia ou ataque que possa vir a ocorrer em sua rede/computador.
Uma ferramenta IDS serve basicamente para nos trazer informações sobre nossa rede, informações como:
Quantas tentativas de ataques sofremos por dia;
Qual tipo de ataque foi usado;
Qual a origem dos ataques;
Enfim, a partir dele, você vai tomar conhecimento do que realmente
se passa em sua rede e em casos extremos, poderá tomar as medidas
cabíveis para tentar solucionar qualquer problema.
Além da divisão pelas técnicas de reconhecimento
de ataque, os IDSs podem ser também classificados em dois tipos
principais:
*Sistemas baseados em Rede (NIDS) -Estes tipos de sistemas são colocados na rede, perto do sistema ou sistemas a serem monitorados. Eles examinam o tráfego de rede e determinam se estes estão dentro de limites aceitáveis.
*Sistemas baseados em Host (HIDS) - Estes tipos de sistemas rodam no sistema que está sendo monitorado. Estes examinam o sistema para determinar quando a atividade no sistema é aceitável.
NIDS - Sistemas de Detecção de Intrusão de Rede
A grande parte dos sistemas comerciais de detecção de
intrusão é baseada em rede.
Nesse tipo de IDS os ataques são capturados e analisados através
de pacotes de rede.
Ouvindo um segmento de rede, o NIDS pode monitorar o tráfego
afetando múltiplas estações que estão conectadas
ao segmento de rede, assim protegendo essas estações.
Os NIDSs também podem consistir em um conjunto de sensores ou estações espalhados por vários pontos da rede. Essas unidades monitoram o tráfego da rede, realizando análises locais do tráfego e reportando os ataques a um console central. As estações que rodam esses sensores devem estar limitadas a executar somente o sistema de IDS, para se manterem mais seguras contra ataques. Muitos desses sensores rodam num modo chamado "stealth", de maneira que torne mais difícil para o atacante determinar as suas presenças e localizações.
Segundo BECE, podemos destacar as vantagens do IDS baseados em rede:
A implementação de um NIDS tem pouco impacto sobre a performance da rede. Eles geralmente ficam em modo passivo, apenas escutando o tráfego da rede sem interferir no seu funcionamento. NIDs bem posicionados podem monitorar uma grande rede. Os IDSs baseados em rede podem ser muito seguros contra a maioria dos ataques, além de ficarem invisíveis aos atacantes.
E também as desvantagens:
Os NIDs podem ter dificuldade em processar todos os pacotes em uma
rede que possua um grande tráfego de dados. Eles não
podem analisar o tráfego de informações criptografadas
Esse problema vem aumentando em função da utilização
de VPNs pelas organizações (e pelos
atacantes também).
Muitas vantagens dos NIDSs não se aplicam mais as modernas redes baseadas em switches. Os switches dividem as redes em pequenos segmentos (usualmente uma estação por porta) e provêm ligações lógicas diretas entre as estações no mesmo equipamento. A maioria dos switchs não tem um sistema de monitoramento de portas e isso limita ao NIDS apenas analisar uma estação. Mesmo que o switch possua o recurso de monitoramento, apenas uma porta não poderá receber todo o tráfego passando pelo equipamento.
A maioria dos NIDSs não podem reconhecer se um ataque foi bem sucedido. Eles apenas apontam que um ataque foi iniciado. Dessa maneira eles apenas detectam um ataque, sendo que o administrador de sistemas deve verificar se o host apontado foi atacado.
Alguns IDSs baseados em rede têm problemas em lidar com pacotes
de dados fragmentados. Esses tipos de pacotes podem até tornar
um NIDs instável ou mesmo travar o seu funcionamento.
HIDS - Sistemas de Detecção de Instrução de Host
Os HIDSs operam sobre informações coletadas em computadores individuais.Através disso os HIDs podem analisar as atividades das estações com confiança e precisão, determinando exatamente quais processos e usuários estão envolvidos em um tipo particular de ataque no sistema operacional. Além disso, ao contrário dos sistemas baseados em rede, os baseados em host (estação) podem ver as conseqüências de uma tentativa de ataque, como eles podem acessar diretamente e monitorar os arquivos e processos do sistema usualmente alvos de ataques.
Alguns HIDSs suportam um gerenciamento centralizado e relatórios que podem permitir que um apenas um console possa gerenciar várias estações. Outros geram mensagens em formatos que são compatíveis com os sistemas de gerenciamento de redes.
Segundo BECE, podemos descrever as vantagens dos IDSs baseados em host:
Esse tipo de IDS tem a capacidade de monitorar eventos locais de um host, podendo detectar ataques que não poderiam ser detectados por um IDS de rede. Eles podem operar em um ambiente onde o tráfego de rede é criptografado, a informação é analisada antes de ser criptografada na origem, ou depois de ser decriptada no destino.
Quando o IDS de host opera em nível de sistema operacional, ele pode ajudar a detectar 'Trojan Horses' ou outros tipos de ataques que envolvam problemas de integridade nos programas.
E também as desvantagens:
Esse tipo de IDS é difícil de se gerenciar porque cada
host monitorado precisa ser configurado.
Como as informações utilizadas para análise do
HIDS estão armazenadas no host, um atacante pode invadir o sistema
e desabilitar essas funcionalidades.
Os HIDSs não podem reconhecer ataques que sejam destinados a rede inteira porque apenas conseguem monitorar os pacotes de redes recebidos pelo próprio host.
Um IDS baseado em host consome recursos de processamento do host monitorado,
influenciando na sua performance.
Agora para completar o tutorial segue baixo segue algumas feramentas para segurança:
Advanced Administrative Tools v.5.92
Descrição: Advanced Administrative Tools v.5.92 é uma
ferramenta de diagnóstico de multiplas ameaças numa rede
.
Operating System(s): Windows
Home Page: http://www.glocksoft.com
Bastille
Descrição: O programa Bastille tem como objetivo melhorar
a segurança em máquinas Linux e Unix.
Operating System(s): Linux
Home Page: http://www.bastille-linux.org/
DumpSec
Descrição: DumpSec é um programa de auditoria
para Windows NT/2000 que leva permissões e configurações
para um arquivo externo que pode ser analizado por um administrador
com objetivo de melhorar a segurança.
Operating System(s): Windows
Home Page: http://www.systemtools.com/somarsoft/
Ethereal
Descrição:Ethereal é um analizador de tráfico
de rede,ou "sniffer", para Unix e sistemas operacionais semelhantes.
Operating System(s): Mac OS X, Windows, Linux/UNIX
Home Page: http://www.ethereal.com/
FileAudit
Descrição:FileAudit usa a função de auditoria
para arquivos e diretórios do Windows NT/2000.
Operating System(s): Windows
Home Page: http://www.copernet.com
Fragrouter: kit detector de intrusão para rede
Descrição: Fragrouter é um programa para rotear
tráfico de rede de tal maneira que consegue iludir a maior parte
dos detectores de intrusos nos sistemas.
Operating System(s): Linux/UNIX
Home Page: http://www.anzen.com/research/nidsbench/
Libnet Packet Assembly System
Descrição: Libnet é uma API para ajudar com a
construção e manejo dos pacotes numa rede. Ele permite
um meio de escrever nos pacotes de baixo nível.
Operating system(s): Mac OS X, Linux/UNIX
Home Page: http://www.packetfactory.net/Projects/Libnet/
Mail Essentials
Descrição: Mail Essentials é um bom testador e
anti-virus gateway para Trocas/SMTP.
Operating System(s): Windows
Home Page: http://www.gfi.com
Mrtg
Descrição: O Multi Router Traffic Grapher(MRTG) é uma
ferramenta para monitorar o tráfego carregado nas redes-links.
MRTG gera páginas contendo images GIF que fornecem ao VIVO uma
representação visual do tráfego.
Operating system(s): Linux/UNIX, Windows
Home Page: http://ee-staff.ethz.ch/~oetiker/webtools/mrtg/
Nessus
Descrição: Nessus é um rápido,confiável,
e scanner de segurança remoto e modular.
Operating System(s): Linux/UNIX, Windows
Home Page: http://www.nessus.org
NMAP: The Network Mapper
Descrição:Nmap foi projetado para permitir ao administrador
de sistema e curiosos para scanear grandes redes para determinar quais
hosts estão disponíveis e que serviços estão
oferecendo.
Operating system(s): Linux
Home Page: http://www.insecure.org/nmap/
Descrição:Ntop mostra o uso corrente da rede. Ele mostra
uma lista de hosts que no momento estão usando a rede e gera
relatórios sobr e(IP e não IP) tráfego gerado
por cada host.
Operating system(s): Linux/UNIX, Windows
Home Page: http://www.ntop.org/ntop.html
NTRama
Descrição:NTRama é um utilitário de rede
que captura toda chave de dados conectados a uma rede Windows NT/2000
e mantém estas informações num banco de dados(ODBC)
tipo banco de dados central.
Operating System(s): Windows
Home Page: http://www.copernet.com
OpenSSH
Descrição: Ssh(Secure Shell) é um programa para
logar a um outro computador atraves de uma rede, para executar comandos
numa máquina remota, e mover arquivos de uma máquina
para outra. Ele é um substituto para rlogin, rsh, rcp, e rdist.
Operating system(s): Linux/UNIX
Home Page: http://www.openssh.com
OpenSSL
Descrição: O OpenSSL Projeto é um esforço
colaborativo para desenvolver um robusto, cheio de utilitários,
e Fonte aberta(gratuito) que usa o Secure Sockets Layer(SSL v2/v3)
e protocolos da Transport Layer Security(TLS v1) bem como uma poderosa
biblioteca de criptografia. O projeto é adminitrado por uma
comunidade mundial de voluntários que usam a internet para se
comunicar,planejam, e desenvolvem o kit OpenSSL e sua documentação.
Operating system(s): Linux/UNIX
Home Page: http://www.openssl.com
SAINT
Descrição: O Security Administrator´s Integrated
Network Tool (SAINT) é uma atualização de uma
versão melhorada do SATAN.
Operating System(s): Linux/UNIX
Home Page: http://www.wwdsi.com/saint/
SATAN
Descrição: O Security Administrator Tool para análise
de redes(SATAN) é um scanner de segurança projetado para
encontrar vulnerabilidades num dado sistema scaneado.
Operating System(s): UNIX (can be compiled for Linux)
Home Page: http://www.fish.com/satan/
scotty/tkined
Description: Scotty é uma Tcl extensão para construir
administração aplicações usando Tcl (e
Tk). Tkined é um editor que permite desenhar mapas mostrando
sua configuração de rede .
Operating system(s): Linux/UNIX
Home Page: http://www.home.cs.utwente.nl/~schoenw/scotty/
Security-Enhanced Linux
Descrição: A National Security Agency tem reportado para
a comunidade suas mudanças no kernel do Linux para melhora da
segurança.
Operating System(s): Linux
Home Page: http://www.nsa.gov/selinux/
Snort
Descrição: Snort é um software de detecção
de intrusão de sistema de fonte aberto(gratuito), capaz de analisar
tráfego em tempo real e produzir logs de pacotes em redes IP.
Operating system(s): Linux/UNIX, Windows
Home Page: http://www.snort.org/
Sudo
Descrição: Sudo é um programa projetado para permitir
ao sysadmin dar limitadas senhas de root para usuários e logar
atividade da senha root .
Operating system(s): Linux/UNIX
Home Page: http://www.courtesan.com/sudo/
TITAN
Titan é uma coleção de programas, cada uma delas
objetiva minorar problemas potencias de segurança numa particular
configuração de um sistema Unix .
Operating system(s): UNIX
Home Page: http://www.fish.com/titan/
Trinux
Descrição: Trinux é uma ramdisk-based Linux distribuição
que carrega a partir de um simples floppy disk, carrega seus pacotes
de HTTP/FTP servidores, um FAT/EXT2/NTFS filesystem, ou adicionais
floppies e contém precompiladas versões do popular Open
Source network security tools para scaneador de portas, pacotes sniffing,
vulnerabilidades scanning, detecção sniffer , construção
de pacote, active/passive OS fingerprinting, monitoração
de rede, session hijacking, detecção de intruso, e mais.
Operating System(s): Linux
Home Page: http://www.trinux.org
Tripwire
Descrição: Tripwire é uma ferramenta que checa
para ver se houve mudança no seu sistema. O programa monitora
atributos de chave dos arquivos que não devem mudar, incluindo
assinatura binária,tamanho, mudança de tamanho esperada,
etc.
Operating System(s): Linux
Home Page: http://www.tripwire.org
UserLock
Descrição: UserLock ultrapassa um risco potencial de
segurança impedindo logons concorrentes simultaneos.
Operating System(s): Windows
Home Page: http://www.copernet.com
YASSP
Yassp ié um pacote de segurança para Solaris. O comportamento
default(valor padrão inicial) desliga a maior parte dos serviços
, o qual é util para um externo e exposto servidor como um firewall,
um servidor web ,um servidor ftp. Estes serviços podem voltar
via uma configuração de arquivos.
Operating system(s): Solaris
Home Page: http://www.yassp.org/
Zlib
zlib 1.1.3 é uma biblioteca de propósito
geral de compressão de dados.
Operating system(s): Linux/UNIX, Windows
Home Page: http://www.info-zip.org/pub/infozip/zlib/
Quer enviar seu Tutorial?
Envie um e-mail para thorking@gmail.com sem anexos mande no corpo do e-mail.
Obrigado!