Anterior Índice Próxima

4. Análise de Detecção de Intrusão Baseada na Estação

Conforme visto na seção 2.2, os sistemas de detecção de intrusão baseados na estação monitoram diversas atividades que ocorrem internamente em uma estação. Porém, existem diversas possibilidades de escolhas do que é possível monitorar dentro de uma estação. Neste capítulo serão analisados algumas das possíveis atividades que podem ser monitoradas.

4.1 Monitoramento da Atividade de Rede

É possível monitorar todos os pacotes que entram e saem de uma estação. Os pacotes que entram são verificados antes de serem passados para processamento pela estação e os pacotes que saem são verificados pouco antes de serem colocados na rede. Este monitor pode ser visto como um sistema de detecção de intrusão de rede restrito a analisar somente o fluxo destinado a e originado de uma mesma máquina. Dito isso, todos os conceitos explicados relacionados a SDIRs podem ser aplicados estes monitores, inclusive análises por assinaturas, protocolo e estado do protocolo.

Uma vantagem ao monitorar a atividade da rede na estação emissora ou receptora do tráfego é a possibilidade de analisar o conteúdo dos pacotes que passam criptografados na rede. Nas estações finais, como esse tráfego é descriptografado, o conteúdo real dos pacotes pode ser verificado e caso apresente alguma anomalia, ela pode ser detectada. Isso não aconteceria caso estivesse sendo usado um sistema de intrusão que somente captura os pacotes que passam pela rede e os analisa, dado que ele não teria acesso as informações encriptadas. Sendo assim, ele não poderia, por exemplo, fazer uma análise do protocolo que estaria sendo protegido e somente poderia analisar o protocolo responsável pela criptografia dos dados.

4.2 Monitoramento da Atividade de Login

Um dos artifícios que se pode usar para detectar intrusões é o acesso de usuários à estação. Através do horário em que ele é feito e dependendo do usuário tem-se o conhecimento de que uma possível intrusão ocorreu. Para isso, é preciso ter um perfil de acesso de todos os supostos usuários do sistema; caso contrário, não há como esse monitoramento ser possível já que não existiria uma base de dados para comparação.

4.3 Monitoramento da Atividade do Super-usuário

Alcançar os privilégios de super-usuário sempre foi o objetivo da maioria das invasões. Geralmente, em sistemas normais, a atividade do super-usuário só é vista em processos de manutenção do sistema, ou seja, sua atividade real não é muito grande se a rede for simples. Uma linha de defesa que pode ser utilizada é o monitoramento das atividades do super-usuário para que se tenha um registro de todas suas atividades realizadas.

A tarefa de monitorar essas atividades poderia ser feita através de um sistema de registros (logs) que armazenasse todos os comandos executados por esse usuário. A partir desse registros, programas podem ser executados para varrê-los temporariamente e notificar se alguma atividade estranha for detectada.

4.4 Monitoramento do Sistema de Arquivos

Uma vez tendo sido o sistema comprometido por algum invasor, este será alterado através da modificação de arquivos deste sistema. Como exemplos, os arquivos de registros muito provavelmente serão alterados com o objetivo de apagar as trilhas deixadas pelo processo de invasão; programas podem ser baixados para a estação comprometida com o objetivo de manter o acesso a ela através de backdoors; e ainda podem ser instalados programas com o objetivo de farejar a rede procurando senhas usadas em protocolos onde a mesma passa em aberto, isto é, sem nenhum tipo de proteção ou criptografia.

Um monitoramento do sistema de arquivos, embora sendo uma atividade passiva, isto é, não toma nenhuma atitude mesmo ao detectar diferenças nos arquivos, serve para avisar ao administrador de rede quais arquivos sofreram alterações e quais foram adicionados. Essa informação é importante para recuperar o sistema de uma invasão, podendo assim separar os arquivos que sofreram algum tipo de alteração dos inalterados.

Para seu funcionamento, é necessário estabelecer uma base de dados que contém diversas informações importantes sobre arquivos cruciais para o funcionamento do sistema. Essas informações são todas relacionadas a arquivos e podem ser, por exemplo:

  • Tamanho;
  • Data da última modificação e da criação;
  • Somas de verificação MD5 ou SHA-1;
  • Permissões;

Tendo essa base de dados, o programa responsável por monitorar o sistema de arquivo checaria se os arquivos presentes foram alterados através de uma comparação dos valores atuais do sistema com os valores encontrados nessa base de dados. Sendo os valores atuais do sistema, pode-se presumir que houve algum tipo de invasão.

É importante frisar que, se a estação tiver sido comprometido e se os dados necessários para esse tipo de monitoramento ficarem armazenados na mesma estação, não é mais possívell confiar no sistema de monitoramento dado que o invasor pode ter alterado a base de dados que servia de comparação para o verificador de integridade do sistema de arquivos. O ideal é que esses dados fiquem armazenados em uma outra máquina, isolada e protegida ao máximo, para que seja possível saber as modificações reais feitas pelo invasor.

Anterior Índice Próxima Copyright © 2003 Rafael P. Laufer