Um sistema de detecção de intrusos geralmente detecta manipulações de sistemas de computadores indesejadas, normalmente através da internet. Essas manipulações normalmente vêm de ataques de hackers.
Os IDS são usados para detectar vários tipos de comportamentos maliciosos que podem comprometer a segurança e a confiabilidade de um sistema. Eles incluem ataques pela rede contra serviços vulneráveis, ataques baseados em uma estação, como aumento de privilegio, logins não autorizados e malware.
Um IDS é composto de diversos componentes: sensores, que geram eventos de segurança; console para monitorar eventos e alertas e controlar os sensores; e um mecanismo central que grava os eventos registrados pelo sensor na base de dados e usa um sistema de regras para gerar alertas a partir dos eventos de segurança recebidos. Umas vez que é detectado alguma intrução, alertas são enviados, e podem haver dois yipos de resposta, ativa ou passiva. Na ativa, respostas aos incidentes são geradas pelo próprio sistema, enquanto que na passiva, são gerados apenas relatórios para que o administrador venha a tomar as medidas que julgar necessárias.
Os IDS são divididos em alguns métodos de detecção, como: baseados em assinatura e detecção de anomalias. Intrusos tem assinaturas, como vírus de computadores, que podem ser detectados usando-se software. Tenta-se achar pacotes de dados que contenham quaisquer assinaturas conhecidas relacionadas a intrusos ou anomalias relacionadas a protocolos de Internet. Baseado em um conjunto de assinaturas e regras, o sistema de detecção pode achar atividades suspeitas e gerar alertas. Detecção de intrusos baseadas em anomalias geralmente dependem de anomalias nos pacotes presentes nos cabeçalhos dos pacotes. Em alguns casos esses métodos podem produzir resultados melhores comparados aos IDS baseados em assinaturas. Geralmente, IDS capturam dados da rede e aplicam suas regras a esses dados ou detectam anomalias neles.
Os IDS geralmente são apenas passivos, somente observando o sistema e gerando alertas para os responsáveis por este sistema. Porém, em alguns casos, o sistema pode reagir em caso de uma intrusão ser detectada, como por exemplo fechar a conexão, bloquear a partir do firewall ou até mesmo desabilitar uma conta.
- HoneyPots ( Potes de Mel ):
Honey pots, ou potes de mel, na tradução para o português, possuem uma grande importância para os sistemas de detecção de intrusos. São sistemas usados para enganar hackers expondo vulnerabilidades conhecidas deliberadamente. Uma vez que o hacker ache um pote de mel, e comum que esse hacker fique em torno desse pote por algum tempo. Durante esse tempo, pode-se catalogar as atividades do hacker para descobrir sobre suas ações e técnicas. Uma vez sabida essas técnicas, pode-se usar essas informações mais tarde para melhorar a segurança nos servidores atuais.
Existem diferentes maneiras de construir e colocar os potes de mel. O pote deve possuir serviços comuns rodando nele, que podem ser servidores de http ( porta 80 ), servidores de ftp ( porta 21 ), entre outros. Devem ser colocados em lugares próximos aos servidores produtivos, para que os hackers possam tomá-lo como sendo um servidor real. Pode também haver a configuração do firewall para redirecionar o trafego em algumas portas para um pote de mel, onde o intruso estará achando que esta se conectando a um servidor real. A criação de mecanismos de alerta devem ser cuidadosas para que quando o pote de mel estiver comprometido, a notificação ser imediata. Uma boa idéia é mater os arquivos de log em algumas outras maquinas para quanto o pote estiver compromissado, o hacker não poder ter a habilidade de deletar esses arquivos.
Como o pote de mel deve parecer real, devem ser criados alguns arquivos de dados, contas de usuários , entre outros, todos falsos, para garantir que o hacker pense que se trata mesmo de um sistema real, o que fará com que o hacker queira ficar mais tempo no pote, e poderemos assim gravar mais atividades do mesmo.
O pote de mel só terá sentido se as informações coletadas por ele forem usadas de alguma maneira.
|
