Aproveitando o ócio ocasionado pelo Carnaval, estudei sobre IDS, inclusive destaco a excelente monografia do Rodrigo Rubira. Logo, esse post é baseado no estudo da mesma. Abaixo segue o compilado.
IDS é uma ferramenta de hardware ou software, em muitos casos até ambos, que é fundamental para a proteção em uma rede de computadores. É um dispositivo dotado de inteligência, que é capaz de detectar atividades maliciosas e tentativas de invasão em tempo real. O mesmo não só alerta sobre tentativas de explorações de vulnerabilidades, como também é apto para efetuar ações necessárias para um contra ataque, como por exemplo, adicionar uma regra no firewall. O IDS tem como objetivo detectar ações anormais, impróprias e incorretas. Vale ressaltar que esse sistema é adequado para detectar ataques provenientes de portas validas que transpõem o firewall.
O sistema do IDS emprega uma base de assinaturas conhecidas ou desvio de comportamento para realizar suas detecções. E semelhante a muitos sistemas de segurança da informação, ao identificar sinas de possíveis ataques, o IDS “soa o alarme” e adverte o responsável.
Classificação
Preferencialmente esses sistemas são classificados pelo modo como detectam os ataques, logo se classifica em Por Assinatura e Por Anomalia.
O IDS Por Assinatura é composto de uma tabela pré-configurada de ataques existentes, assim comparando todo o tráfego com esta tabela, e inferindo se é um ataque ou não.
Já o IDS Por Anomalia, conhece a arquitetura dos protocolos, assim sendo capaz de detectar algum tipo de mudança na mesma.
IDS Híbridos?
Grande parte dos detectores adotam a combinação dessas duas tecnologias, Por Assinatura e Por Anomalia, observando que os mesmos ainda podem ser divididos em quatro grupos, conforme sua funcionalidade e posição na estrutura da Rede. São eles:
• Host IDS (HIDS) - Detector de Intrusão para local host;
• Network IDS (NIDS) - Detector de Intrusão para Redes;
• IDS ativo - Detector de intrusos que permite atuação em conexões avaliadas como ataque;
• IDS passivo - Detector de intrusos que simplesmente lança alertas frente a um ataque.
Efetividade
O IDS apresenta uma camada que agrega mais proteção. Existem alguns motivos para utilizar esse sistema, abaixo seguem alguns:
• Firewalls apenas agem sob ataques; IDS detectam varreduras;
• Os firewalls não são proativos, seguem regras pré-estabelecidas que ordinariamente não enxergam a camada de aplicação; IDS detectam anomalias ao funcionamento ideal e aprendem ataques baseados em assinaturas que podem ser instaladas automaticamente;
• IDS servem como base para uma análise forense e facilitam a auditoria do sistema instalado;
• IDS são capacitados para interagir com outras tecnologias de segurança, como pro exemplo, firewalls, controladores de banda e antivírus para prover um alto grau de segurança às redes.
Vulnerabilidades
• Fragmentação: Para real avaliação do pacote se faz necessário o reassembly do mesmo, observando que para a remontagem do pacote é necessário o recebimento de todos os fragmentos;
• Criptografia: Pacotes criptografados podem trazer ataques que não serão detectados pelas ferramentas de segurança, se as mesmas estiveram mal posicionadas;
• Falsos Positivos: São alarmes falsos, onde um detector de intruso gera um alerta acreditando ter sofrido um ataque sem que o mesmo tenha acontecido. Esse fato acarreta numa grande quantidade de logs tornando impossível o uso do sistema IDS;
• Falsos Negativos: É um ataque verídico que o IDS considera tráfego legítimo.
• Velocidade do Link VS Parser: Muitos detectores não suportam o aumento da demanda de pacotes, gerando assim falsos negativos.
Com os avanços alcançados com estudos, escrevo novos posts. Até :)
