53 3.3.4 Seguranga dos Hosts Em termos de seguranga de Hosts, essa etapa envolve muito mais do que aspectos genéricos, mas também servigos bem especificos. Algumas consideragdes deverdo ser realizadas, como por exemplo, posicionamento no ambiente, acesso fisico ao servidor, quais equipamentos devem ter acesso ao servidor, quais usuirios, equipamentos ¢ administradores podem utilizar ou acessar o servidor. As permissGes que os usuérios poderdo ter no servidor (tipo de leitura, gravagao, remogiio ete.) é responsabilidade tmica da politica de seguranga adotada pela empresa, Por exemplo, em termos de servigos do servidor, todos os servigos desnecessirios deverdo ser desabilitados, sendo que a forma de desabilité-los dependera exclusivamente do sistema operacional em uso. Quanto a padronizagao ou no de equipamentos ou softwares, isso vai depender muito da politica de seguranga da instituigao. A padronizagdo pode ter como beneficios © custo de manutengdo, atualizagdo, treinamento, perfil de administradores ¢ demais, funcionérios téenicos. No entanto, a desvantagem é de que se for detectada alguma falha desse sistema, podera haver comprometimento de toda a instalagao. Isto poderé facilitar muito 0 trabalho de um invasor. Quanto 4 aquisigdo de um ambiente heterogéneo, temos duas vantagens. A primeira delas relaciona-se com a vantagem de isolar determinada rea se houver algum problema de seguranga em alguma maquina ou servigo. Esses dispositivos poderdo ser facilmente substituidos em um sistema que se encontra vulneravel. A segunda vantagem & uma questo ndo vinculada com seguranga, mas com a performance de equipamentos para determinadas ¢ especitficas atividades da instituigdo. Por exemplo, alguns sistemas operacionais so melhores para atuar como servidores. Existem softwares que possuem54 melhor desempenho para tarefas que exige m acesso répido 4 rede, banco de dados que atuam melhor em determinados tipos de ambiente, ete. 3.4 Seguranga em Rede Um dos meios basicos de protegao contra intrusfio em uma rede de computadores & a identificagdo desse usuario por meio de autenticagdo, bem como a criptografia dessas informa, mente s. Esses itens tém evoluido bastante nos tltimos anos, esp. a identificago digital [26]. No entanto, a area promissora serd a leitura de retina em conjunto com a leitura digital. Vamos destacar nesse tépico de seguranga em rede os dois modos prineipais, autenticacdo ¢ criptografia, a) Formas de Autenticagao problema atual de um software é ter certeza de que 0 usudrio seja realmente aquele que afirma ser. Para isso existem atualmente desde as senhas de acesso aos programas proprietarios, em conjunto com os leitores de digitais. Os leitores digitais so comuns em se tratando de acesso a academias, escolas e instituigdes que necessitam de maior seguranga no seu acesso, No entanto essas formas de autenticag’o caminham para uma identificagao de retina, e até mesmo faciais do usuario para prosseguir os seus servigos Algumas empresas como a Microvision, pesquisam a aplicagao de leitura de retina (Biometria) néo somente para identificagdo de usuarios, mas também como meio de comunica¢ao entre os usuarios de uma instituigao. Obviamente essa aplicagao é somada as anteriores como senhas ¢ leitura digital, dificultando com isso os meios de fraude.55 b) Firewall 0 firewall & um dispositivo que isola a rede local de sub-redes, outras redes, tipos de pacotes ¢ Intemet. Esse software pode funcionar em um computador ou hardware especifico ou até mesmo, dependendo da situagdo, em um computador comum. A sua utilizagdo é de grande importancia ¢ até mesmo indispensavel quando um servidor ou uma estagdo com arquivos compartilhados estiver ligado a Intemet. Como exemplo de Firewall, temos os mais populares, como Zone Alarme, Sygate Personal Firewall, Checkpoint Firewall. 3.5. Sistemas de Detecgio de Intrusao 3.5.1 Definicao Segundo Crosbie [27], uma intrusao pode ser definida como sendo “um conjunto de agdes que tentam comprometer a integridade, confidencialidade ou disponibilidade de recursos” em um sistema computacional. Um sistema de detecgao de intrusio (SDI) realiza o processo de monitorar os eventos ocorridos em um sistema ou rede de computadores, analisando-os através de assinaturas de intruso, ou desvio de padrdo, em perfis de comportamento, As intrusdes causadas por usuarios. Usuario, no contexto deste trabalho, deve ser entendido como um servidor, uma estagdo, um enderego ou faixa de enderego IP, um nome de dominio, ou simplesmente um individuo nao autorizado tentando acessar um sistema através da Intemet ou rede local e por usuérios legitimos tentando abusar de seus e financeiros. O privilégios, motivados pelos mais diversos valores de ganhos pessoais conceito inicial sobre sistema de detecgio de intrusio foi proposto pela primeira vez em 1980 por James [28]56 3.5.2 Vantagens dos sistemas de Detecgao de Intrusaio Os sistemas de detecgao de intrusdo possuem diversas caracteristicas que Ihes conferem papel importante dentro da infra-estrutura de seguranga de uma organizagao. Em Zamboni [29], as seguintes caracteristicas so identificadas como desejaveis para esses sistemas: + Estar em execugdo continua com a minima supervisdo humana; * Ser tolerante a falhas; * Resistir 4 subversao; * Gerar o minimo de overhead possivel no ambiente onde esté sendo executado, de forma a nio interferir nas operagdes normais; * Tera habilidade de ser configurado de acordo com a politica de seguranga do ambiente que esta sendo monitorado; * Adaptar-se as mudangas do ambiente e dos comportamentos dos usuarios através do tempo, uma vez que novas aplicagées sendo instaladas, usuarios trocando de atividade ou novos recursos sendo disponibilizados podem causar mudangas nos padrdes de uso dos recursos do ambiente; * Monitorar um grande nimero de hosts e providenciar resultados em tempo habil e de maneira exat * Apresentar uma moderada degradagiio de servigo, no caso de algum ‘componente do sistema ter seus servigos interrompidos por qualquer motivo; + Permitir uma reconfiguragdo dindmica, ou seja, no ser necessério reiniciar 0 SDI toda vez que um novo cenario for implementado As vantagens mais comuns dos SDI’s, segundo Bace [30], sdo relatadas a seguir:37 a) Deteeso de ataques explorando vulnerabilidades que no podem set corrigidas. Através de vulnerabilidades conhecidas, que em alguns casos ndo podem ser cortigidas facilmente em tempo habil, 0 invasor pode penetrar em muitas redes. A exemplo disso, existem os sistemas operacionais e sofiwares de navegacao na Intemet, onde constantemente ocorrem problemas envolvidos com a seguranga, b) Prevenir que intrusos examinem a rede. Quando os intrusos atacam uma rede, cles geralmente o fazem em ctapas. A primeira etapa é examinar o sistema em busca de alguma vulnerabilidade. Com um SDI, embora o iminente intruso possa continuar a analisar o sistema, ele seré detectado e os devidos alertas ativados ou acionados. Sendo que a palavra “Alerta” é aplicada como sendo uma mensagem de que um evento foi detectado. Possuindo informagdo sobre a atividade que foi detectada, bem como as especificagdes das ocorréncias (origem, destino, nome, tempo do evento, porta, servigo, informagio de usuarios ¢ outros). c) Documentagdo de ameaga de invasao. importante entender a freqiiéncia e as caracteristicas dos ataques em um sistema computacional para medir o grau de hostilidade de um ambiente. Um SDI pode quantificar, caracterizar e verificar as ameagas de intrusio ¢ mau uso, intema ou externamente. 4) Controle de qualidade Com 0 uso continuo de um SDI, padrdes de utilizagdo do sistema monitorado problemas detectados tomam-se evidentes. Com essas informagdes, & possivel tomar visiveis falhas no projeto, configuragdo ¢ gerenciamento da seguranca, proporcionado a0 administrador a possibilidade de corrigi-las antes de ocorrer um incidente.58 Essas vantagens softem variagdes de acordo com alguns aspectos basicos que devem ser considerados quando do desenvolvimento dos SDI's, tais como: os métodos de anilises adotados, a escolha do tipo de monitoramento, o tempo entre a coleta anilise dos dados ¢ o tipo de resposta a ser dada, Esses tépicos serdo vistos com mais clareza nas segdes seguintes. 3.6 Métodos de Anilise de Detecgao de Intrusio Existem dois métodos principais de anilise de detecgo de intrusio, usados pelos SDI's para determinar a ocorréncia de uma intrusdo, conforme descritas em Bace [24]: a detecgo por anomalia ¢ a detecgdo por abuso. 3.6.1 Detecgo por anomalia © método de detecgdo de intrusio por anomalia ¢ baseado na observagio de desvios de comportamentos esperados em atividades, Essas atividades sao denominadas de ocorréncias detectadas como sendo de interesse do administrador, tais como: uma sesso de telnet inesperada relevantes dos usuarios ou processos do sistema monitorado. Os detectores de anomalia constroem perfis (profiles) que representam 0 comportamento normal dos usudrios, hosts ou conexées de rede. Esses perfis sao gerados através de dados histéricos coletados durante um perfodo normal de operagdo. Os sistemas de det jo de intrusio por anomalia baseiam-se na premissa de que um ataque difere da atividade normal, podendo, dessa forma, ser identificado. Porém, nem sempre a atividade anémala corresponde a uma atividade intrusiva. Por exemplo, um usuario que sempre trabalhou com determinada carga de uso da UCP Em pode necessitar de mais poder de processamento ¢ nem por isso é uma intru: Kumar [31], sdo apresentadas as seguintes definigdes de comportamento:59 * intrusive ¢ anémalo: a intrusio coincide com a anormalidade. Sio os verdadeiros positivos; * nao intrusivo e nio anémalo: nao ha intrusdo, nem anormalidade. Sio0 verdadeiros negativos. * infrusivo mas nfo andmalo: hd intrusio sem que haja comportamento * nfo intrusive mas andmalo: ndo hé intrusio, mas ha comportamento anormal. So os chamados falsos positivos. A ocorréncia de um grande nimero de falsos negativos e falsos positivos pode se tornar um problema dos SDI’s baseados em detecgdo por anomalia. Para reduzi-los, é preciso a definigdo cuidadosa dos limites que apontam a anormalidade. Para sustentar a implementagdo dos SDI's baseados nesse tipo de dete métodos foram propostos. As abordagens mais comuns so: 0 método estatistico, 0 gerador de prognésticos de padres e 0 uso de redes neurais. No método estatistico [32], inicialmente, os perfis de comportamento dos usuarios sio criados, Isto é feito através de um periodo de treinamento onde os usuarios so monitorados em suas atividades cotidianas. A medida que o sistema continua a operar normalmente, o detector cria o perfil atual, em intervalos regulares e compara-Ihe com 0 perfil original armazenado, Assim, se 0 desvio for demasiadamente grande, pode- se inferir que ha sinais de anormalidade, o que poderia implicar intrusio As principais vantagens desse método so que ele pode ser baseado em técnicas estatis bem conhecidas ¢ aprender 0 comportamento dos usudrios, adequando-se a mudangas no perfil. E justamente devido a essa grande adaptabilidade que ocorre a principal fragilidade dessa abordagem, jé que os sistemas baseados em estatistica podem60 gradualmente ser treinados por intrusos de tal forma que eventualmente os eventos intrusivos sejam considerados como normais. Outra desvantagem desse método € a dificuldade em se determinar um grau de tolerdncia adequado para que um perfil ndo seja considerado intrusivo (threshold). Se ele for muito alto ou muito baixo, entdo poderé haver um grande nimero de falso negativo ou falso positive. No gerador de prognésticos de padrées, tenta-se predizer os eventos futuros com base em eventos que ja ocorreram, conforme expde Teng [33]. Portanto, pode-se ter uma regra do tipo: El - E2 > (E3 = 80%, E4 = 15%, ES = 5%). Isto significa que dados os eventos E] e E2, com E2 ocorrendo depois de E1, existe 80% de chance de que o evento E3 ocorra em seguida, 15% de chance que F4 seja 0 proximo e 5% que ES ocorra, Assim, na ocorréncia de um determinado evento, ou uma série de eventos, & possivel saber quais os possiveis eventos subseqiientes. Da mesma forma que no método anterior, aqui € necessério primeiro haver um periodo de treinamento, Através do acompanhamento dos usudrios em suas atividades didrias, regras temporais que caracterizam os padrdes de comportamento podem ser geradas. Ha algumas vantagens nessa abordagem: ‘+ Padrdes seqiienciais baseados em regras podem detectar atividades andmalas que sdo dificeis nos outros métodos; Sistemas construidos usando esse modelo sto bastante adaptativos a mudangas. Isto se deve ao fato de que padrées de ma qualidade sdo continuamente eliminados, conservando-se os padrdes de alta qualidade; +E mais facil detectar usudrios que tentam treinar o sistema durante 0 periodo de aprendizagem;61 * Atividades anémalas podem ser det tadas muito rapidamente a partir do recebimento dos eventos de auditoria. Um problema desse método ¢ que determinados padrées de comportamento podem ndo ser detectados como andmalos, simplesmente porque ndo € possivel combind-los em nenhuma regra, Essa deficiéncia pode ser parcialmente resolvida acusando-se todos os eventos desconhecidos como intrusivos, correndo-se 0 risco de aumentar 0 niimero de falsos positivos ou como nao intrusivos, aumentando-se a probabilidade de falsos negativos. O uso de Redes Neurais tem sido a muitos anos objeto de pesquisa [34]. A idéia bisica é o treinamento de uma rede neural para predizer a préxima ago do usuério, dado © conjunto de suas ages anteriores. A rede é treinada com o conjunto das agées representativas. Qualquer evento predito que corresponda com a realidade, pode medir um desvio no perfil normal do usuario mediante a aplicagio de redes neurais. Algumas vantagens dessa abordagem sao que as redes neurais tém a capacidade de inferir dados com ruidos; © seu sucesso no depende de nenhuma suposigo sobre a natureza dos dados e so mais ficeis de se modificar para uma nova comunidade de usuarios. Entretanto, esse método tem alguns problemas, pois um pequeno conjunto de informagdes ira resultar em muitos falsos positivos, enquanto que um conjunto grande com informagies irrelevantes iré aumentar as chances de falsos negativos. Além disso, a topologia da rede 6 é determinada depois de muita tentativa e erro. © ponto forte desse tipo de detecglio ¢ a capacidade de reconhecer tipos de ataques que ndo foram previamente cadastrados, baseado apenas nos desvios de comportamento, enquanto que os pontos fracos podem ser o grande nimero de alarmes62 falsos gerados para uma rede treinada insuficientemente ¢ a necessidade de um grande periodo de treinamento off-line para se construir os perfis dos usuétios. 3.6.2 Detecgdo por abuso A deteccdo de intrusio por abuso esti relacionada a identificagdo de comportamentos intrusivos correspondentes a exploragiio de _vulnerabilidades conhecidas, comumente chamadas de assinaturas de ataque. Andlise de assinatura ¢ a busca por padrdes de configurago de sistema ou de atividades do usuario em um banco de dados de ataques conhecidos. Portanto, os SDI’s devem ser programados para detectar cada tipo conhecido de ataque. Os detectores de abuso analisam a atividade do sma, observando os eventos ou conjunto de eventos que sejam semelhantes a um. padrio pré-determinado que descreva uma intrusio conhecida. AS as jes consumadas, clas sao inaturas ndo servem apenas para detectar intrus titeis, também, para identificar tentativas de ataque. Assim, quando um conjunto de eventos satisfaz apenas parcialmente uma assinatura, pode ser um indicative de uma intrusio futura que j4 comegou. Sao conhecidas varias abordagens para implementar SDI’s baseados em detecedo por abuso. As mais comuns so: a utilizagdo de sistemas especialistas; a de modelo; a andlise de estados de transigo e 0 uso de redes neurais. Os femas especialistas so sistemas inteligentes que capturam o conhecimento de especialistas humanos em dominios limitados, geralmente na forma de regras do tipo IF-THEN. A combinago entre as fases de aquisi¢ao dos dados ¢ a ago propriamente dita € feita de acordo com a comparagdo entre os eventos atuais, capturados através dos mecanismos de auditoria do sistema operacional ¢ as regras ja estabelecidas pelo engenheiro de conhecimento. As condig6es "IF" do sistema especialista codificam 063 conhecimento sobre os ataques, declarando suas caracteristicas. Entdo, satisfeitas tais condigdes, as agdes "THEN" so executadas [35] Ha algumas vantagens nessa abordagem, a saber: {) com um conjunto de regras bem definido, & possivel ter-se um sistema gil e com pouca sobrecarga; ii) varios critérios podem ser analisados para se identificar um ataque e ainda manter o sistema especialista leve e eficiente; ¢, teoricamente, & possivel deduzir simbolicamente a ocorréncia de uma intrusdo baseada apenas nos dados recebidos, © método apresenta muitas desvantagens. Somente ataques conhecidos ¢ bem definidos podem ser detectados, 0 que exige uma constante atualizagdo da base de regras. Segundo Lunt (36], os sistemas especialistas so criados a semelhanga de quem 0s programou, sendo limitado pelo conhecimento do programador ou do responsavel pela seguranga, Outra desvantagem & a dificuldade que ha em tirar conclusdes sobre situagdes consideradas ambiguas, devido a existéncia de conflitos nos fatos assumidos pelos antecedentes das regras. De acordo com a Deteegao por Modelo, certos cendi 5 (cendrios so seqiiéncias de comportamento que podem caracterizar uma intrusdo) de ataque podem ser inferidos através do monitoramento de determinadas atividades. Assim, se um conjunto de eventos ocorrer da forma descrita nos cendrios, entdo é possivel detectar a tentativa de ataque. Esse modelo é baseado em trés importantes médulos, conforme descrito por Garvey [37] 0 ANTICIPATOR busca no banco de dados os cendrios que melhor expressam as atividades atuais do sistema. Ento, ele tenta predizer os proximos passos da possivel tentativa de ataque de acordo com o cenario escolhido. Depois, essas informagdes so transmitidas ao PLANNER, encarregado de traduzir os passos hipotéticos em um. formato compativel com sua provavel representagdo no sistema de auditoria,64 Por fim, ao INTERPRETER cabe procurar nos registros auditados somente os provaveis eventos. Com esse esquema, é possivel supor as ages futuras que o invasor ird realizar e confirmar ou rejeitar tais suspeitas através do monitoramento e andlise dos registros de Jog do sistema. A vantagem dos SDI’s baseados no método de det ‘go por modelo é permitir a emissio de conclusées, ainda que parciais, sobre situagdes ambiguas. E também possivel reduzir a quantidade de processamento exigida por cada registro auditado, através de uma monitoragdo superficial, buscando somente aqueles eventos necessarios para a confirmagao do cenério de intrusdo. A desvantagem dos SDI's baseados nesse método é de nfo detectar situagdes que no tenham sido especificamente evidenciadas. Poucos sao os relatos de protétipo desse modelo implementado, ficando-se dividas sobre a eficiéneia de sua execugdo, em fungio dos célculos envolvidos Segundo Porras [38], a detecgdo por abuso baseada na andlise de estado de transigo considera que um sistema monitorado pode ser representado como uma seqiéncia de transigdo de estados. Uma transigao acontece quando alguma condigao booleana é tida como verdadeira, por exemplo, a abertura de um determinado arquivo. Sucessivos estados esto conectados por arcos que representam os eventos necessirios para a mudanga de estado ocor Os tipos de eventos permitidos so descritos no modelo e no precisam ter uma correspondéncia um a um com os registros de auditoria, Para o estado final (comprometido) ser alcangado, diversas condigdes precisam ser satisfeitas. Assim, se todas as condigées intermediarias forem verdadeiras, entio ¢ quase certo que uma tentativa de intrusdo esté ocorrendo. Entretanto, se alguma dessas condigdes é falsa, a probabilidade de uma intrusdo diminui,65 Algumas vantagens dessa abordagem ¢ poder detectar ataques cooperativos, mesmo aqueles que variam entre varias sessdes de usuario e prever o acontecimento de ataques iminentes, podendo-se, com isso, tomar medidas preventivas. As desvantagens so que: j) os padrées de ataques podem especificar somente uma seqiiéneia de eventos, ao invés de formas mais complexas; ii) ndo hi um mecanismo eficiente que reconhega as tentativas parciais de ataque; iii) essa abordagem no pode detectar "negagdo de servigo", falhas de login, variagdes do uso normal etc, pois esses itens ndo so gravados pelos mecanismos de Jog e, portanto, nao podem ser de estado. representados por diagramas de transi Assim como na detecgdo de intrusdo por anomalia, as redes neurais tém sido utilizadas para reconhecer padrdes de ataques ou assinaturas [39]. Mas, diferentemente da primeira abordagem, aqui © mais interessante dessa tecnologia ¢ sua capacidade de Por exemplo, dado um ataque que ndo seja exatamente igual & sua descrigZo armazenada, a rede neural pode reconhecé-lo simplesmente pelas semethangas existentes com a descrigao, Cansian [40] desenvolveu um sistema que utiliza redes neurais para detectar padres de intrusio em redes de computadores. Ele atua capturando e decifrando pacotes, para realizar inferéncias acerca do estado de seguranga das sessées, utilizando um sistema de pré-filtragem e classificaciio. Como resultado, a rede neural fornece um néimero que, baseado em informagdes de assinaturas de ataques anteriores, indicard a gravidade de um determinado evento. As vantagens e desvantagens do uso de redes neurais na detecgdo por abuso sto andlogas aquelas apresentadas na detec¢do por anomalia, De forma geral, a limitagdo principal da abordagem de detecedo por abuso é que somente vulnerabilidades conhecidas so detectadas. Assim, novas técnicas de intrusio66 devem ser constantemente adicionadas. Outra limitagao desse método tem a ver com consideragdes praticas sobre o que ¢ auditado. Por outro lado, o método de detecgdo por abuso tem sido o mais utilizado pelos sistemas de detecgdo de intrusdo, pois os estudos mostram que cerea de 93% das tentativas de intrusdo ocorrem a partir de pequenas variagdes de padrdes bem definidos de comportamento [25]. Além disso, outros fatores importantes que fazem com que esse método seja o mais preferido pelos sistemas comerciais, esto relacionados com a facilidade de configuragao, custo computacional reduzido ¢ pequeno comprometimento do desempenho. Quanto ao niimero de falsos positivos, a literatura disponivel mostra que os sistemas de detecgo de intrusio por abuso geram menos alarmes falsos do que ‘0s que usam 0 método de deteceao por anomalia [40] Conforme deserito anteriormente os dois meétodos possuem vantagens ¢ desvantagens quanto 4 sua utilizagdo. Conseqiientemente, uma combinagiio de ambos pode gerar um sistema de detecgdo de intrusdo com maior capacidade para detectar atividades maliciosas em um ambiente computacional, 3.6.3 Detectores de Intrusao baseados em Rede ‘A maioria dos sistemas de detecso de intrusdo esta classificada nessa categoria, Esses sistemas detectam intrusio através da captura e andlise de pacotes que trafegam na rede, podendo, com isso, monitorar varios hosts conectados ao mesmo segmento de rede. ‘As vantagens dos SDI’s baseados em rede so que: i) se localizados em pontos estratégicos, podem monitorar uma rede bem extensa; ij) tem pouco impacto na rede monitorada, exigindo um minimo esforgo de instalagdo, pois os sensores sao dispositivos passivos; iii) diversas técnicas podem ser usadas para camuflar os sensores67 de rede, deixando-os invisiveis aos intrusos; iv) € possivel monitorar ataques distribuidos a rede. Entretanto, essa categoria de SDI tem alguns pontos negativos, mostrados a seguir Em longos periodos de trifego intenso na rede, os sensores podem no conseguir capturar todos os pacotes necessirios para andlise, podendo, dessa forma, nao reconhecer tentativas de ataque; © Ainda na possivel inferir informasao alguma sobre o conteiido de pacotes criptografados. Enquanto as organizagdes optam pela criptografia para manter a confidencialidade das suas informag6es, os intrusos a usam para melhorar as chances de sucesso de seus ataques; * Os sensores de rede no conseguem operar bem com os switches modemos, pois esses geralmente no possuem portas de monitoramento universal, o que limita bastante a capacidade de captura de pacotes; ‘A maioria dos SDI's bascados em rede nao indica se a intrusdo foi bem sucedida, 86 hé a indicaso que a tentativa de intrusio comesou. Determinar se houve éxito ou no, ¢ importante para o administrador de seguranga. 3.6.4 Detectores de Intrusao baseados em Host Este tipo de Detector de Intrusdo examina trilhas de auditoria e arquivos de logs para monitorar eventos locais em um sistema de computador em particular, podendo detectar ataques que nao sZo vistos pelo SDI baseado em rede. Os sistemas de detecsdo de intrusio baseados em host operam analisando as atividades de algum dos computadores da rede em particular. Isto permite ao SDI coletar informagdes que refletem o que esté acontecendo nos computadores de uma68 forma bastante precisa, Para tanto, é geralmente utilizado 0 mecanismo de auditoria do sistema operacional. Assim, 0 sensor de host tem acesso aos diversos logs do sistema. Dentre outras, as vantagens dessa abordagem sao que o sistema pode: i) monitorar © acesso 4 informagdo em termos de "quem acessou o qué"; ii) mapear atividades problemiticas com um usurio especifico; iii) rastrear mudangas de comportamento associadas com mau uso; iv) operar em ambientes criptografados; v) distribuir a carga do monitoramento ao redor dos diversos computadores da rede. Dentre as desvantagens encontram-se: j) a atividade da rede nao é visivel pelos sensores de host e, dessa forma, alguns tipos de ataques nao podem ser identificados; if) © acionamento dos mecanismos de auditoria acarreta uma sobrecarga no sistema; iii) as, vezes, & requerido um espago em disco considerdvel para os registros; iv) as vulnerabilidades dos sistemas operacionais podem ser usadas para corromper os sensores de host; v) os sensores de host so espec a, 0 que em maior custo no desenvolvimento. 3.6.5 Detectores de Intrusao baseados em Aplicagio Este Detector de Intrusio examina 0 comportamento de um programa de aplicagdo, geralmente na forma de arquivos de Jog. Esses SDI’s so um subconjunto dos SDI's baseados em host. Os SDI's baseados em aplicagdo so um subconjunto dos baseados em host, que analisam os eventos ocorridos nas aplicagdes. A maior fonte de informagio sto os arquivos de log das transagdes das aplicagdes. ‘A habilidade para interagir com a aplicagdo diretamente, através do conhecimento do dominio ou aplicagdo especifica incluida na maquina de anilise, permite que sejam69 detectados comportamentos suspeitos, oriundos de usuérios tentando exceder 0 uso de seus privilégios. Essa abordagem possui algumas vantagens, tais como: monitorar a interagdo entre usudtios © aplicagdo, permitindo que sejam tragadas atividades desautorizadas para usuarios individuais e trabalhar em ambientes criptografados, desde que a interago seja no ponto final da transagio, onde as informagdes so apresentadas aos usuarios na forma descriptografada As desvantagens so que pode ser mais vulnerével a ataques do que na abordagem baseada em host, pois os logs de aplicago so menos protegidos do que as trilhas de auditoria dos sistemas operacionais. Como os eventos monitorados so a0 nivel de usudrio, um SDI, baseado em aplicagdo, nfo pode detectar “cavalos de tréia”, ou outro tipo de ataque & aplicagao. Portanto, com base nessa exposigdo, pode-se coneluir que é desejével um SDI que combine as vantagens apresentadas pelas trés abordagens, para ter-se informagio suficiente para uma andlise mais precisa. 3.7 Consideragées Finais Com este capitulo procurou-se especificar os riscos que esto envolvidos em uma rede de computadores, destacando os tipos de ataques técnicos, ataques locais, ataques remotos. Destaca-se nos ataques no técnicos o uso da engenharia social como um dos maiores riscos para instituigdes que possuam informagées sigilosas ou extremamente necessérias ou bésicas para o funcionamento de servigos, especialmente servigos piblicos, Para esses © outros riscos & necessdrio que seja realizada uma politica de seguranga, desde 0 mais alto ao mais baixo nivel de hierarquia funcional. Devem existir70 procedimentos padrio de seguranga, bem como a quem os funciondrios deveram se dirigir diante de situagdes inesperadas e fora dos padres de seguranga. Alm de treinamentos, semindrios, simulagdes ¢ avaliagdes entre os funcionarios para a melhoria da seguranga, destaca-se que isto é necessario para que todos possam trabalhar com seguranga e possam assim manter um determinado nivel de produtividade. A seguir foram destacados os principais tipos de ataques como middle on the man, analisadores de trifego (sniffers) para espionagens, quebras de senha, ataques com cavalos de tréia, ataques a bibliotecas, ataques em camadas etc. ‘Apés uma longa lista de ferramentas que podem ser utilizadas para invasio em uma rede de computadores, foi destacado o tipo de ferramentas voltadas para a defesa dessa rede de computadores, destacando as principais ferramentas utilizadas pelos administradores de uma rede de computadores (atualizagGes, corregdes, virus, firewall ete.). Foi dado um enfoque especial aos Sistemas de Detecgo de Intrusio (SDIs), os seus principais tipos (baseado em host, baseado em rede e aplicagao) e a sua aplicagao. proximo capitulo vai destacar 0 sistema de detecedo de intrusdo SNORT, um SDI baseado em Rede, mostrando seus prineipais componentes, como eles atuam isoladamente e como atuam em conjunto com os demais componentes do sistema.4 DEFINICAO, ESTRUTURA E METODOLOGIA DE AVALIACAO DO SOFTWARE DE DETECCAO DE TRUSAO SNORT Este capftulo destaca 0 sistema de detecgo de intrusos (SDI) denominado SNORT [41]. Este software participante do projeto GNU do inglés (Fundagao de Software Livre) [42] & um software de cédigo aberto de dominio publico, possui grandes potencialidades ¢ uma grande quantidade de adeptos ao redor do mundo. Ele & utilizado em servidores de bancos de dados, provedor de acesso & Internet ¢ em grandes © pequenas instituigdes que estejam interligadas via rede de computadores. Neste capitulo é mostrado a sua estrutura ¢ funcionamento de seus principais componentes, os seus concorrentes € 0 futuro dos SDI. A existéncia do capitulo (SNORT) possui como justificativa a aplicagdo em um sistema elétrico de poténcia (SEP) que utilize uma rede de computadores, tendo o objetivo de tratar os ataques sobre 0 ponto de vista denominado de “abuso”. iste capitulo também abordard os métodos utilizados para realizar testes para detectar, através do software SNORT (detecgdo por assinatura ou por abuso), as possiveis evidéncias de tentativa de invasto A rede de computadores e/ou equipamentos microprocessados. Os sistemas de detecgo de intrusos sao avaliados quanto as seguintes caracteristicas: (a) capacidade do Sistema de Detecgdo de Intrusos (SDD), (6) escalabilidade e (c) taxa de falsos positivos que so gerados. A metodologia utilizada & composta por cinco etapas: (a) selegdo dos ataques, (b) selegdo de ferramentas, (c) geragdo do trifego dos cenéri de avaliagdo, (d) montagem do ambiente de avaliagdo (©) andlise dos SDIs.