Snort  
The Open Source Network Intrusion Detection System  
Recursos
» Martin Roesch
  Desenvolvedor do Snort e Fundador do Sourcefire
» Documentação
  Informações e Manuais de como instalar o Snort.
» Regras
  Informações e exemplos de regras
» FAQ
  Dúvidas sobre o Snort ?
» News
  Mantenha-se atualizado de tudo que acontece no mundo Snort
» Links
  Lista de Links Nacionais sobre Snort
:: A Necessidade de um IDS ::

Um sistema de computação deverá prover confidência, integridade e garantia contra negação de serviços, mas o aumento da conectividade e a vasta quantidade de aplicações financeiras sendo executadas na Internet criam um cenário sempre mais propenso a intrusões. Estas tentativas de subversão tentam explorar falhas do sistema operacional como também em programas aplicativos específicos.

Projetar e implementar um sistema completamente seguro ainda é uma realidade distante e migrar a base de sistemas instalados para um estado confiável tomaria muito tempo. Os métodos de criptografia possuem seu próprios problemas, podendo ser quebrados.

Sistemas vulneráveis que podem ser atacados a qualquer momento fazem parte do cenário atual. Logo, se ataques estão ocorrendo nos sistemas, a descoberta deve ocorrer o mais cedo possível, preferencialmente em tempo real. É isso que um sistema de detecção de intrusão basicamente faz.

Um IDS não utiliza medidas preventivas, quando um ataque é descoberto age como um informante. A maneira mais comum para descobrir intrusões é a utilização dos dados das auditorias gerados pelos sistemas operacionais e ordenados em ordem cronológica de acontecimento, sendo possível a inspeção manual destes registros, o que não é uma prática viável pois estes arquivos de logs apresentam tamanhos consideráveis.

O IDS automatiza a tarefa de analisar estes dados da auditoria. Estes dados são extremamente úteis pois podem ser usados para estabelecer a culpabilidade do atacante
e são freqüentemente o único modo de descobrir uma atividade sem autorização, detectar a extensão dos danos e prevenir tal ataque no futuro, tornando desta forma o IDS uma ferramenta extremamente valiosa para análises em tempo real e também após a ocorrência de um ataque.

As intrusões podem ser classificadas em seis tipos principais:

  • Tentativas de arrombar;
  • Ataques mascarados;
  • Penetração do sistema de controle de segurança;
  • Vazamento;
  • Negação de serviço;
  • Uso malicioso.

Todos este tipos de intrusão podem ser monitorados pela análise dos perfis de comportamentos atípicos, violações de regras de segurança, padrões específicos de atividades, uso de recursos dos sistemas ou uso de privilégios especiais.

Para, as técnicas de descoberta de intrusão podem ser classificadas em dois grandes grupos. Descoberta de anomalias e descoberta de abusos. Vejamos cada um deles.

a) Descoberta de Anomalias:
Esta técnica de descoberta de intrusos assume que toda a atividade intrusa é necessariamente anômala. Isso significa que se pudéssemos estabelecer um perfil de atividade normal para um sistema, poderíamos teoricamente, comparar todos os demais perfis com o estabelecido, traçando um quadro de atividade que foge do padrão, gerando desta forma novos perfis automaticamente. Existe o problema dos prováveis erros que podem ocorrer quando se usa esta técnica, classificados em:

  • Falso Positivo: quando a ferramenta classifica uma ação como possível intrusão, quando na verdade trata-se de uma ação legítima.
  • Falso Negativo: ocorre quando uma intrusão real acontece, mas a ferramenta permite que ela seja concluída como se fosse uma ação legítima.
  • Subversão: ocorre quando o intruso modifica a operação da ferramenta IDS para forçar a ocorrência de falso negativo. Os sistemas de descoberta de anomalias são computacionalmente caros pela necessidade de armazenar grandes bases de perfis, surgindo a descoberta de abusos.

b) Descoberta de Abusos:
O conceito envolvendo este método está em poder representar os modos de ataques em formas de um padrão ou assinatura, de forma que até variações do mesmo ataque podem ser descobertas. Significa que estes sistemas não descobrem vírus distintos mas podem descobrir
muitos ou todos os padrões de ataques conhecidos, sendo porém de pequena utilidade para padrões desconhecidos.

Um fato importante a notar é que sistemas de descoberta de anomalias tentam descobrir o "comportamento ruim" enquanto sistemas de detecção de abusos tentam descobrir comportamento ruim "conhecido".

Um dos principais assuntos relacionados a esta técnica está na forma de como escrever assinaturas que abrangem todas as possíveis variações do ataque pertinente e como escrever assinaturas que não enumerem nenhuma atividade não intrusa. Para escrever regras é necessário conhecer em quais tipos de situações podem-se enquadrar as tentativas de ataque:

  • a) Risco: exposição acidental ou impossível de prever da informação, violação da integridade das operações devido ao mau funcionamento do equipamento ou aplicações incompletas ou incorretas.
  • b) Vulnerabilidade: uma falha conhecida ou suspeita do equipamento, aplicativo ou operação que expõem o sistema a penetração ou revelação acidental das informações.
  • c) Ataque: uma formulação especifica ou execução de um plano para levar a cabo uma ameaça.
  • d) Penetração: habilidade para obter sem autorização acesso a arquivos e programas ou controle de um sistema de computador.

Todos estes ataques são providos por intrusos que são classificados em dois tipos, sendo eles:

  • a) Intrusos Externos: são usuários que não possuem autorização das máquinas que estão atacando.
  • b) Intrusos Internos: representados pelos usuários que possuem acesso as máquinas e seus recursos, mas não todos.
^Topo^