Вы находитесь на странице: 1из 2

19/02/13 SNORT Brasil - Como funciona

www.snort.com.br/comofuncionaids.asp#nids 1/2
Snort
The Open Source Network Intrusion Detection System
Recursos
Martin Roesch

Desenvolvedor do Snort e
Fundador do Sourcefire
Documentao

Informaes e Manuais de como
instalar o Snort.
Regras

Informaes e exemplos de
regras
FAQ
Dvidas sobre o Snort ?
News

Mantenha-se atualizado de tudo
que acontece no mundo Snort
Links

Lista de Links Nacionais sobre
Snort
Mais informaes tcnicas
no site da Comunidade Snort:
www.snort.org.br
Acesso rpido:
O que e como funciona uma ferramenta IDS ?
Sistemas baseados em Rede (NIDS)
Sistemas baseados em Host (HIDS)
:: O que e como funciona uma ferramenta IDS? ::
A deteco de Intruso uma das reas de maior expanso, pesquisa e investimento na
segurana em redes de computadores. Com o grande crescimento da interconexo de
computadores em todo o mundo, materializado pela Internet, verificado um conseqente
aumento nos tipos e no nmero de ataques a esses sistemas, gerando uma complexidade
muito elevada para a capacidade dos tradicionais mecanismos de preveno. Para maioria das
aplicaes atuais, desde redes corporativas simples at sistemas de e-commerce ou
aplicaes bancrias, praticamente invivel a simples utilizao de mecanismos que
diminuam a probabilidade de eventuais ataques.
Um ataque fora, em casos extremos, causa interrupes totais dos servios para que um
lento e oneroso processo de auditoria e de posterior restaurao manual seja feito. Isso
justifica todo o investimento feito visando a criao de mecanismos que ultrapassem a barreira
da simples preveno, garantindo aos sistemas um funcionamento contnuo e correto mesmo
na presena de falhas de segurana, principal objetivo dos chamados Sistemas de Deteco
de Intruso (IDS - Intrusion Detection Systems).
Basicamente, podemos definir IDS como uma ferramenta inteligente capaz de detectar
tentativas de invaso em tempo real. Esses sistemas podem atuar de forma a somente alertar
as tentativas de invaso, como tambm em forma reativa, aplicando aes necessrias contra
o ataque.
Em outras palavras o IDS um sistema de configuraes e regras que tem como objetivo
gerar alertas quando detectar pacotes que possam fazer parte de um possvel ataque.
Existem diversos tipos de ferramentas IDS para diferentes plataformas, porm as ferramentas
IDS trabalham basicamente de modo parecido, ou seja, analisando os pacotes que trafegam
na rede e comparando-os com assinaturas j prontas de ataques, identificando-os de forma
fcil e precisa qualquer tipo de anomalia ou ataque que possa vir a ocorrer em sua
rede/computador.
Uma ferramenta IDS serve basicamente para nos trazer informaes sobre nossa rede,
informaes como:
Quantas tentativas de ataques sofremos por dia;
Qual tipo de ataque foi usado;
Qual a origem dos ataques;
Enfim, a partir dele, voc vai tomar conhecimento do que realmente se passa em sua rede e
em casos extremos, poder tomar as medidas cabveis para tentar solucionar qualquer
problema.
^Topo^
Alm da diviso pelas tcnicas de reconhecimento de ataque, os IDSs podem ser tambm
classificados em dois tipos principais:
Sistemas baseados em Rede (NIDS) - Estes tipos de sistemas so colocados na rede,
perto do sistema ou sistemas a serem monitorados. Eles examinam o trfego de rede e
determinam se estes esto dentro de limites aceitveis.
Sistemas baseados em Host (HIDS) - Estes tipos de sistemas rodam no sistema que
est sendo monitorado. Estes examinam o sistema para determinar quando a atividade
no sistema aceitvel.
:: NIDS - Sistemas de Deteco de Intruso de Rede ::
A grande parte dos sistemas comerciais de deteco de intruso baseada em rede.
Nesse tipo de IDS os ataques so capturados e analisados atravs de pacotes de rede.
Ouvindo um segmento de rede, o NIDS pode monitorar o trfego afetando mltiplas estaes
que esto conectadas ao segmento de rede, assim protegendo essas estaes.
Os NIDSs tambm podem consistir em um conjunto de sensores ou estaes espalhados por
vrios pontos da rede. Essas unidades monitoram o trfego da rede, realizando anlises locais
do trfego e reportando os ataques a um console central. As estaes que rodam esses
sensores devem estar limitadas a executar somente o sistema de IDS, para se manterem
mais seguras contra ataques. Muitos desses sensores rodam num modo chamado "stealth", de
maneira que torne mais difcil para o atacante determinar as suas presenas e localizaes.
Segundo BECE, podemos destacar as vantagens do IDS baseados em rede:
A implementao de um NIDS tem pouco impacto sobre a performance da rede. Eles
19/02/13 SNORT Brasil - Como funciona
www.snort.com.br/comofuncionaids.asp#nids 2/2
geralmente ficam em modo passivo, apenas escutando o trfego da rede sem interferir no seu
funcionamento. NIDs bem posicionados podem monitorar uma grande rede. Os IDSs baseados
em rede podem ser muito seguros contra a maioria dos ataques, alm de ficarem invisveis
aos atacantes.
E tambm as desvantagens:
Os NIDs podem ter dificuldade em processar todos os pacotes em uma rede que possua um
grande trfego de dados. Eles no podem analisar o trfego de informaes criptografadas
Esse problema vem aumentando em funo da utilizao de VPNs pelas organizaes (e pelos
atacantes tambm).
Muitas vantagens dos NIDSs no se aplicam mais as modernas redes baseadas em switches.
Os switches dividem as redes em pequenos segmentos (usualmente uma estao por porta) e
provm ligaes lgicas diretas entre as estaes no mesmo equipamento. A maioria dos
switchs no tem um sistema de monitoramento de portas e isso limita ao NIDS apenas analisar
uma estao. Mesmo que o switch possua o recurso de monitoramento, apenas uma porta no
poder receber todo o trfego passando pelo equipamento.
A maioria dos NIDSs no podem reconhecer se um ataque foi bem sucedido. Eles apenas
apontam que um ataque foi iniciado. Dessa maneira eles apenas detectam um ataque, sendo
que o administrador de sistemas deve verificar se o host apontado foi atacado.
Alguns IDSs baseados em rede tm problemas em lidar com pacotes de dados fragmentados.
Esses tipos de pacotes podem at tornar um NIDs instvel ou mesmo travar o seu
funcionamento.
^Topo^
:: HIDS - Sistemas de Deteco de Instruo de Host ::
Os HIDSs operam sobre informaes coletadas em computadores individuais.
Atravs disso os HIDs podem analisar as atividades das estaes com confiana e preciso,
determinando exatamente quais processos e usurios esto envolvidos em um tipo particular
de ataque no sistema operacional. Alm disso, ao contrrio dos sistemas baseados em rede,
os baseados em host (estao) podem ver as conseqncias de uma tentativa de ataque,
como eles podem acessar diretamente e monitorar os arquivos e processos do sistema
usualmente alvos de ataques.
Alguns HIDSs suportam um gerenciamento centralizado e relatrios que podem permitir que
um apenas um console possa gerenciar vrias estaes. Outros geram mensagens em
formatos que so compatveis com os sistemas de gerenciamento de redes.
Segundo BECE, podemos descrever as vantagens dos IDSs baseados em host:
Esse tipo de IDS tem a capacidade de monitorar eventos locais de um host, podendo detectar
ataques que no poderiam ser detectados por um IDS de rede. Eles podem operar em um
ambiente onde o trfego de rede criptografado, a informao analisada antes de ser
criptografada na origem, ou depois de ser decriptada no destino.
Quando o IDS de host opera em nvel de sistema operacional, ele pode ajudar a detectar
'Trojan Horses' ou outros tipos de ataques que envolvam problemas de integridade nos
programas.
E tambm as desvantagens:
Esse tipo de IDS difcil de se gerenciar porque cada host monitorado precisa ser configurado.
Como as informaes utilizadas para anlise do HIDS esto armazenadas no host, um
atacante pode invadir o sistema e desabilitar essas funcionalidades.
Os HIDSs no podem reconhecer ataques que sejam destinados a rede inteira porque apenas
conseguem monitorar os pacotes de redes recebidos pelo prprio host.
Um IDS baseado em host consome recursos de processamento do host monitorado,
influenciando na sua performance.
^Topo^