O que é um sistema de deteção de intrusões (IDS)?

Os sistemas modernos de deteção de intrusões com­ple­men­tam efi­caz­mente as firewalls tra­di­ci­o­nais. São res­pon­sá­veis por analisar e mo­ni­to­ri­zar con­ti­nu­a­mente sistemas e redes inteiras em tempo real, iden­ti­fi­cando possíveis ameaças e alertando ra­pi­da­mente os ad­mi­nis­tra­do­res. A defesa efetiva contra os ataques é executada pos­te­ri­or­mente através de software adicional.

O que está por trás de um IDS (sistema de deteção de intrusões)?

Embora os atuais sistemas de segurança in­for­má­tica e de redes sejam muito avançados, os ci­be­ra­ta­ques também se tornam cada vez mais so­fis­ti­ca­dos. Para proteger efi­caz­mente as in­fra­es­tru­tu­ras sensíveis, deve con­si­de­rar a pos­si­bi­li­dade de adotar várias medidas de segurança. Neste contexto, um sistema de deteção de intrusões (IDS) é um com­ple­mento de primeira classe para a firewall: um IDS destaca-se na deteção precoce de ataques e ameaças po­ten­ci­ais, alertando ins­tan­ta­ne­a­mente os ad­mi­nis­tra­do­res, que podem tomar medidas de­fen­si­vas rápidas. No entanto, ainda mais im­por­tante é o facto de um sistema de deteção de intrusões também poder iden­ti­fi­car ataques que possam ter ul­tra­pas­sado as defesas da firewall.

Ao contrário de um sistema de prevenção de intrusões, por exemplo, um IDS não se defende por si próprio contra os ataques. Em vez disso, o sistema de deteção de intrusões analisa toda a atividade de uma rede e compara-a com padrões es­pe­cí­fi­cos. Quando são detetadas ati­vi­da­des in­vul­ga­res, o sistema alerta o uti­li­za­dor e fornece in­for­ma­ções de­ta­lha­das sobre a origem e a natureza do ataque.

Que tipos de sistemas de deteção de intrusões existem?

Os sistemas de deteção de intrusões clas­si­fi­cam-se em três tipos: baseados no host (HIDS), baseados na rede (NIDS) ou sistemas híbridos que combinam os prin­cí­pios dos sistemas HIDS e NIDS.

HIDS: sistemas de deteção de intrusões baseados no host

O sistema de deteção de intrusões baseado no anfitrião é a forma mais antiga de sistema de segurança. Neste caso, o IDS é instalado di­re­ta­mente no sistema em questão. Analisa os dados tanto ao nível do registo como do núcleo, exa­mi­nando também outros ficheiros do sistema. Para se adaptar à uti­li­za­ção de estações de trabalho autónomas, o sistema de deteção de intrusões baseado no host recorre aos chamados agentes de mo­ni­to­ri­za­ção, que pré-filtram o tráfego e enviam os re­sul­ta­dos para um servidor central. Embora seja muito preciso e completo, pode ser vul­ne­rá­vel a ataques como DoS e DDoS. Além disso, depende do sistema operativo es­pe­cí­fico.

NIDS: sistemas de deteção de intrusões baseados na rede

Um sistema de deteção de intrusões baseado na rede analisa os pacotes de dados trocados dentro de uma rede, iden­ti­fi­cando ra­pi­da­mente padrões in­vul­ga­res ou anormais para os comunicar. No entanto, gerir um grande volume de dados pode re­pre­sen­tar um ver­da­deiro desafio, o que poderia so­bre­car­re­gar o sistema de deteção de intrusões e di­fi­cul­tar uma mo­ni­to­ri­za­ção completa.

Sistemas híbridos de deteção de intrusões

Atu­al­mente, muitos for­ne­ce­do­res optam por sistemas híbridos de deteção de intrusões que integram ambas as abor­da­gens. Estes sistemas são compostos por sensores baseados no host, sensores baseados na rede e uma camada de gestão central onde os re­sul­ta­dos convergem para permitir uma análise apro­fun­dada e um maior controlo.

Objetivo e vantagens de um IDS

Um sistema de deteção de intrusões nunca deve ser con­si­de­rado nem utilizado como subs­ti­tuto de um firewall. Pelo contrário, é um com­ple­mento ideal que, em conjunto com o firewall, iden­ti­fica as ameaças de forma mais eficaz. Uma vez que o sistema de deteção de intrusões consegue analisar até mesmo a camada mais elevada do modelo OSI, é capaz de descobrir novas fontes de perigo até agora des­co­nhe­ci­das, mesmo que as defesas do firewall tenham sido violadas.

Como funciona um sistema de deteção de intrusões

O modelo híbrido é o mais comum entre os sistemas de deteção de intrusões, uma vez que utiliza abor­da­gens baseadas tanto no host como na rede. A in­for­ma­ção recolhida é analisada no sistema central de gestão, uti­li­zando três com­po­nen­tes distintos.

Con­tro­la­dor de dados

O con­tro­la­dor de dados recolhe todos os dados re­le­van­tes através de sensores e filtra-os com base na sua re­le­vân­cia. Isto inclui os dados pro­ve­ni­en­tes do anfitrião, incluindo ficheiros de registo e detalhes do sistema, bem como os pacotes de dados trans­mi­ti­dos através da rede. Entre outras coisas, o IDS recolhe e organiza os endereços de origem e destino e outros atributos críticos. Um requisito crucial é que os dados re­co­lhi­dos provenham de uma fonte fiável ou di­re­ta­mente do sistema de deteção de intrusões, para garantir a in­te­gri­dade dos dados e evitar a sua ma­ni­pu­la­ção prévia.

Ana­li­sa­dor

O segundo com­po­nente do sistema de deteção de intrusões é o ana­li­sa­dor, res­pon­sá­vel por avaliar todos os dados recebidos e pré-filtrados uti­li­zando vários padrões. Esta avaliação é realizada em tempo real, o que pode ser par­ti­cu­lar­mente exigente para a CPU e a memória principal. É essencial dispor de ca­pa­ci­dade su­fi­ci­ente para realizar uma análise rápida e precisa. Para tal, o ana­li­sa­dor utiliza dois métodos distintos:

• Detecção de uso indevido: na detecção de uso indevido, o ana­li­sa­dor examina os dados recebidos em busca de padrões de ataque re­co­nhe­ci­dos, ar­ma­ze­na­dos numa base de dados es­pe­cí­fica, que é atu­a­li­zada pe­ri­o­di­ca­mente. Quando um ataque coincide com uma as­si­na­tura pre­vi­a­mente registada, é possível iden­ti­ficá-lo numa fase inicial. No entanto, este método é ineficaz para detetar ataques que ainda não são co­nhe­ci­dos pelo sistema.
• Detecção de anomalias: para detetar anomalias, é ne­ces­sá­rio avaliar todo o sistema. Quando um ou mais processos se desviam das normas es­ta­be­le­ci­das, essas anomalias são as­si­na­la­das. Por exemplo, se a carga da CPU ul­tra­pas­sar um limiar es­pe­cí­fico ou se ocorrer um pico invulgar nos acessos às páginas, é ativado um alerta. O sistema de deteção de intrusões também pode analisar a sequência cro­no­ló­gica de vários eventos para iden­ti­fi­car padrões de ataque des­co­nhe­ci­dos. No entanto, é im­por­tante ter em conta que, em alguns casos, também podem ser no­ti­fi­ca­das anomalias ino­fen­si­vas.

Alerta

O terceiro e último com­po­nente do sistema de deteção de intrusões é o próprio alerta. Se for detetado um ataque ou alguma anomalia, o sistema informa o ad­mi­nis­tra­dor. Esta no­ti­fi­ca­ção pode ser enviada por e-mail, através de um alarme local ou por meio de uma mensagem no smartphone ou tablet.

Quais são as des­van­ta­gens de um sistema de deteção de intrusões?

Embora os sistemas de deteção de intrusões melhorem a segurança, não estão isentos de in­con­ve­ni­en­tes. Os IDS baseados no host podem ser vul­ne­rá­veis a ataques DDoS, e os sistemas baseados na rede podem apre­sen­tar problemas em con­fi­gu­ra­ções de rede de maior dimensão, o que pode resultar na perda de pacotes de dados. A deteção de anomalias, de­pen­dendo da con­fi­gu­ra­ção, pode disparar falsos alarmes. Além disso, todos os IDS são con­ce­bi­dos ex­clu­si­va­mente para a deteção de ameaças, pelo que requerem software adicional para garantir uma defesa eficaz contra os ataques.

Sistema de deteção de intrusões: o exemplo do Snort

Um dos sistemas de deteção de intrusões mais co­nhe­ci­dos e populares é o Snort. Esta fer­ra­menta de segurança, de­sen­vol­vida por Martin Roesch em 1998, não só é mul­ti­pla­ta­forma e de código aberto, como também oferece aos uti­li­za­do­res amplas medidas de prevenção, fun­ci­o­nando como um sistema de prevenção de intrusões. O programa está dis­po­ní­vel gra­tui­ta­mente e numa versão paga que permite, por exemplo, obter atu­a­li­za­ções mais ra­pi­da­mente.