#datagrama

New Post has been published on http://www.mf200.cf/sistemas-de-deteccao-de-intrusoes/

Sistemas de detecção de intrusões

Chama-se IDS (Intrusion Detection System) a um mecanismos que filtra o tráfego na rede de maneira fortuita, para localizar actividades anormais ou suspeitas e permitindo assim ter uma acção de prevenção sobre os riscos de intrusão.

Existem duas grandes famílias distintas de IDS:

Os N-IDS (Network Based Intrusion Detection System), asseguram a segurança a nível da rede.

Os H-IDS (Host Based Intrusion Detection System), assegura a segurança a nível dos hóspedes.

O N-IDS necessita de material dedicado e constitui um sistema capaz de controlar os pacotes que circulam numa ou várias ligações de rede, com o objectivo de  descobrir se um acto malicioso ou anormal tem lugar.

O N-IDS coloca uma ou várias placas de interface de rede do sistema dedicado em modo promiscuidade (promiscuous mode), estão então em modo “furtivo” para que não tenham endereço IP. Também não têm pilha de protocolo associado. É frequente encontrar vários IDS nas diferentes partes da rede e em especial colocar uma sonda fora da rede para estudar as tentativas de ataques bem como uma sonda internamente, para analisar os pedidos que atravessaram o firewall ou efectuadas do interior.

O H-IDS reside num hóspede especifico e a gama destes softwares corre, por conseguinte, numa grande parte dos sistemas operativos exploradores como o Windows, Solares, Linux, HP-UX, Axis entre outros.

O H-IDS comporta-se como um demónio ou um serviço standard num sistema hóspede. Tradicionalmente, o H.IDS analisa informações especificas nos diários de registos (syslogs, messages, lastlog, wtmp…) e também captura os pacotes nas redes que entram/saem os hóspedes, para detectar sinais de intrusões (Recusa de Serviços, de Backdoors, cavalos de troia, tentativas de acesso não – autorizados, execução de códigos maliciosos, ataques por profusão de buffeurs, entre outros…).

As técnicas de detecção

 O tráfego de rede (em todo o caso na Internet) é constituído por datagramas IP. Os N-IDS são capazes de capturar os pacotes quando circulam nas ligações físicas sobre as quais está ligado. O N-IDS consiste numa pilha de TCP/IP que reúne os datagramas IP e as ligações TCP. Pode aplicar as técnicas seguintes para reconhecer as intrusões:

Verificação da pilha protocolar: Um número de intrusões, como por exemplo “Pings-Of-Death” e “TCP Stealth Scanning” recorrem a violações dos protocolos IP, TCP, UDP e ICMP com o objectivo de atacar uma máquina. Uma simples verificação protocolar pode realçar os pacotes inválidos e assinalar este tipo de técnica muito usada.

Verificação dos protocolos aplicativos: numerosas intrusões utilizam comportamentos protocolares inválidos, como por exemplo “WinNuke”, que utiliza dados NetBIOS inválidos (adição de dados OOB data).  Para detectar eficazmente este tipo de intrusão, o N-IDS, deve replicar uma grande variedade de protocolos aplicativos como NetBIOS, TCP/IP entre outros…

Esta técnica é rápida (não é necessário procurar sequências de bytes na exaustividade da base de assinatura), elimina em parte os falsos alertas e mostra-se, por conseguinte,  mais eficiente. Por exemplo, graças à análise protocolar o N-IDS distinguirá um acontecimente de tipo “Back Orifice PING” (perigosidade baixa) de um acontecimento do tipo “Back Orifice COMPROMETIDO” (perigosidade elevada).

Reconhecimento dos ataques por “Pattern Matching”: Esta técnica de reconhecimento de intrusões é o mais antigo método de análise do N-IDS e é ainda muito corrente.

Trata-se da identificação de uma intrusão pelo simples exame de um pacote e o reconhecimento numa sequência de bytes do pacote com uma assinatura característica e precisa. Por exemplo, a investigação da cadeia de caracteres “/cgi-bin/phf”, que indica uma tentativa de exploração do certificado CGI chamdo “phf”.

Este método é também utilizado em complemento de filtros nos endereços IP fonte, destino utilizados pelas ligações, as portas fontes e/ou destino. Pode-se acoplar este método de reconhecimento para afinar com a sucessão ou a combinação de flags TCP.

Esta técnica é generalizada nos NIDs de tipo “Network Grep”, baseado na captura dos pacotes brutos numa ligação supervisionada,e comparação via um parser detipo “expressões regulares” que vai tentar fazer corresponder as sequências da base de assinaturas byte por byte com o conteúdo do pacote capturado.

A principal vantagem desta técnica reside na  facilidade da sua actualização e evidentemente na quantidade importante de assinaturas contidas na base dos NIDS. No entanto, não há nenhuma certeza de que quantidade rima com qualidade. Por exemplo,os 8 bytes “CE63D1D2 16E713CF” quando são dispostos no inicio dos dados do protocolo UDP, indicam tráfego Back Orifice com uma palavra-passe por defeito.

Ainda que 80% das intrusões utilizem a palavra-passe configurada por defeito, os outros 20% utilizam senha personalizadas e não são reconhecidas absolutamente pelos NIDS. Por exemplo, se alterar a palavra-passe “evade”, então a sequência de bytes transformar-se-á em “8E42A52C 0666BC4A”, o que se traduzirá automaticamente por uma ausência de sinalização dos NIDS. Esta técnica provoca também e inevitavelmente um número importante de falsos alertas ou positivos.

Existem ainda outros métodos para detectar e assinalar uma intrusão, como o reconhecimento dos ataques por Pattern Matching Stateful e/ou a auditoria de tráfego de rede perigosas ou anormais.

Em conclusão, um N-IDS perfeito é um sistema que utiliza o melhor de cada uma das técnicas citadas acima.

As diferentes acções do IDS

Os principais métodos utilizados para assinalar e bloquear as intrusões nos N-IDS são os seguintes:

Reconhecimento de equipamento terceiro (firewall, ACL sobre routers, entre outros): Ordem enviada pelos N-IDS a um equipamento terceiro (filtrode pacotes, firewalls) para reconfiguração imediata com o objectivo de bloquear um intruso fonte de intrusões. Esta reconfiguração é possível através da passagem das informações que detalham um alerta  (em cabeça (s) de pacotes (s)).

Envio de um trap SNMP a um hipervisor terceiro: Envio do alerta (e o detalhe das informações que o constituem) em formato de um datagrama SNMP a uma consola terceira como HP OpenView, Cabletron Spectrum, entre outros.

Envio de um e-mail a um ou vários utilizadores: Envio de um e-mail para uma ou várias caixas de correio para notificar uma intrusão séria.

Registo (log) do ataque: Salvaguarda dos detalhes do alerta numa base de dados central, como por exemplo as informações seguintes: timestamp, @IP do intruso, @IP do alvo, protocolo utilizado, payload).

Salvaguarda dos pacotes suspeitos: Salvaguarda do conjunto dos pacotes de rede (raw packects) capturados e/ou único (s) os pacotes que desencadearam um ou mais alertas.

Inicio de uma aplicação: Lançamento de um programa externo para executar uma acção especifica (envio de uma mensagem sms, emissão de um alerta auditivo, entre outros…).

Envio de um “ResetKill”: Construção de um pacote TCP FIN para forçar o fim de uma ligação (unicamente válido sobre técnicas de intrusão que utilizam o protocolo de transporte TCP).

Notificação visual do alerta: Afixação do alerta numa ou várias consolas de gestão.

 Os desafios do IDS

Os editores e a impresa especializada falam cadavez mais de IPS (Intrusion Prevention System) em substituição dos IDS “tradicionais” ou para os distinguir.

O IPS é um Sistema de Prevenção/Protecção contra as intrusões e não apenas de reconhecimento e sinalização das intrusões, como a maior parte dos IDS.

A principal diferença  entre um IDS (rede) e um IPS (rede) reside em 2 características:

  O posicionamento em corte na rede doIPS e não apenas à escuta na rede para o IDS (tradicionalmente posicionado como um sniffer na rede).