Anterior Índice Próxima

2. Tipos de Detecção de Intrusão

Os sistemas de detecção de intrusão servem, como já foi dito, para indicar que alguma tentativa de intrusão foi feita no sistema. Para isso, existem dois tipos diferentes de detecção que podem ser empregados, os baseados na rede e os baseados na estação. Cada um tem uma maneira distinta de abordar o problema e o modo como isso é feito traz vantagens e desvantagens para cada tipo. Resumidamente, podemos dizer que os sistemas baseados na estação monitoram dados em uma determinada máquina, sejam eles processos, sistemas de arquivos e o uso de CPU, por exemplo; enquanto que os sistemas baseados na rede observam todo os dados trocados entre estações.

2.1 Baseada na Rede (SDIR)

SDIs baseados em Rede (SDIRs) monitoram todo o tráfego que passa através da rede. Os pacotes são capturados e é feita uma análise em cada um deles para verificar se este está dentro de padrões pré-determinados ou não, indicando respectivamente tráfego normal ou uma tentativa de ataque.

Em um meio compartilhado de difusão, os pacotes passam livremente e todas as interfaces a ele conectadas recebem estes pacotes. Dependendo do endereço de destino do nível de enlace do pacote, a interface o passa para o barramento interno da máquina para processamento posterior. Mas, a princípio, todas as interfaces recebem todo o tráfego. Sendo assim, é necessário posicionar o SDIR na rede que se quer proteger para que ele possa receber os pacotes necessários para sua análise, como mostrado na Fig. 2.1.


Fig. 2.1 - Detecção de intrusão em uma rede local de difusão

É importante frisar que estações de trabalho conectadas à rede também podem receber pacotes destinados a outras estações. Para que uma interface de rede consiga receber pacotes não destinados a ela, é necessária que ela trabalhe em um modo especial, chamado modo promíscuo. Existem basicamente dois modos de operação em uma interface de rede:

  • Normal, onde cada interface de rede verifica o endereço de destino do nível de enlace, também chamado endereço MAC (Medium Access Control), ou ainda endereço físico. Sendo o endereço do pacote idêntico ao endereço da interface, o pacote é repassado para processamente interno.

  • Promíscuo, onde a verificação feita no modo anterior é completamente ignorada e todos os pacotes são repassados para processamento. Esse processo também é chamado de "farejar" (sniff) a rede. Isso pode trazer problemas tanto para a estação de trabalho, que pode não suportar o processamento de todos os pacotes de uma rede local (seria necessário verificar o endereço de destino da camada de rede por software), quanto para a segurança da rede, que pode ficar comprometida devido a exposição de dados sigilosos, como autenticações.

Os SDIRs precisam trabalhar em modo promíscuo para que mesmo os pacotes não destinados a ele possam ser analisados. Tendo todas as informações que trafegam pela rede é possível ao sistema, por exemplo, detectar varreduras de portas (e.g., tentativas sucessivas de abertura de conexões TCP a diferentes portas), monitorar conexões ou datagramas maliciosos (e.g., verificação do conteúdo "GET /..%255c..%255cwinnt/system32/cmd.exe?/c+", que caracteriza um ataque antigo ao IIS, no pacote com destino ao servidor web) ou ainda verificar ataques de negação de serviço (e.g., através da falta de resposta de um servidor a uma requisição de um serviço).

Em redes comutadas, cada máquina recebe o tráfego que corresponde somente a ela. Ou seja, uma máquina A não receberia tráfego destinado a máquina B e vice-versa. Isso se deve ao conhecimento da localidade física de onde está conectada cada estação pelo comutador, ou seja, em qual porta está qual máquina, e ao fato da análise do endereço de destino do cabeçalho da camada de enlace. Para detectar intrusões em redes desse tipo, seria necessário algum tipo de artifício no comutador com o objetivo de fazer com que todo o tráfego que passa por ele seja enviado, além da porta do destinatário, para a porta onde está conectado o SDIR. Esse artifício é chamado de espelhamento de portas e tem objetivo de refletir o tráfego de outras portas para uma porta específica. O modo como ele é feito é mostrado na figura 2.2 onde a estação A passa um quadro para a estação B e este é refletido na porta do SDIR.


Fig. 2.2 - Detecção de intrusão baseado em espelhamento de portas no comutador

O modo como os SDIRs fazem a análise será mostrado no Capítulo 3.

2.2 Baseada na Estação (SDIE)

SDIs baseados na Estação (SDIEs) foram os primeiros sistemas de detecção de intrusão implementados. O objetivo deles é monitorar toda a atividade existente em uma estação específica. O funcionamento desses sistemas se dá através da coleta e análise de dados originados em uma máquina que hospeda um serviço. Depois de coletados, esses dados podem ser analisados localmente ou até enviados para uma máquina remota responsável pelo exame.

Um exemplo típico de um sistema de coleta de dados seria um sistema de registros (logs). Esses sistemas são responsáveis pelo armazenamento de ocorrências em aplicações que rodam na estação. Ou seja, as aplicações estão configuradas para enviar seus registros para este sistema e ele é o encarregado de armazená-los em uma série de arquivos. Um eventual sistema de análise usaria essa base de registros do sistema comparando-a com padrões pré-estabelecidos com o objetivo de detectar intrusões. A arquitetura de um sistema desse tipo pode ser visualizada na figura 2.3.


Fig. 2.3 - Arquitetura de um sistema de registros

SDIEs podem atuar em diversas áreas dentro de uma mesma estação com o objetivo comum de detectar intrusões. Eles podem monitorar, por exemplo, todo um sistema de arquivos através de uma comparação desse sistema com dados recolhidos anteriormente referentes a esse sistema detectando modificações. Isso poderia ser feito se as informações de arquivos críticos do sistema, como data da última modificação por exemplo, fossem recolhidos com antecedência a um teste de verificação da integridade do sistema de arquivos. Existem outros meios que podem ajudar na detecção de intrusos em estações, como o monitoramento da atividade de rede, monitoramento de atividades de login e do super-usuário (root), entre outras. Alguns deles serão apresentadas com mais detalhes no Capítulo 4.

2.3 Híbrida

Os dois tipos de detecção de intrusão apresentados se diferenciam bastante, mas se complementam. A medida que os SDIEs atuam somente em estações críticas, o SDIR atua analisando todo o tráfego de rede, inclusive aquele para estações que não contem um sistema de detecção rodando. Uma configuração bastante comum seria a de um SDIR para a rede local e SDIEs rodando nos servidores principais, como é mostrado na figura 2.4 abaixo.


Fig. 2.4 - Detecção de intrusão híbrida


Anterior Índice Próxima Copyright © 2003 Rafael P. Laufer