Sistema de detecção de intrusos: diferenças entre revisões

Com o acentuado crescimento das tecnologias de infra-estrutura tanto nos serviços quanto nos protocolos de rede torna-se cada vez mais difícil a implantação de sistema de detecção de intrusos. Esse fato está intimamente ligado não somente a velocidade com que as tecnologias avençam, mas principalmente com a complexidade dos meios que são utilizados para aumentar a segurança nas transmissões de dados.
Uma solução bastante discutida é a utilização de host-based IDS que analisam o tráfego de forma individual em uma rede.
Segue abaixo uma breve demonstração de como algumas tecnologias podem dificultar a utilização de sistemas de detecção de intrusos.

SSL, IPSec e outros

IDS baseadas em rede monitoram os cabeçalhos e o campo de dados dos pacotes a fim de detectar possíveis invasores no sistema, além de acessos que podem prejudicar a performance da rede (DoS. A implantação de criptografia (implementada via SSL, IPSec e outras) nas transmissões de dados como elemento de segurança prejudica esse processo. Tal ciframento pode ser aplicado no cabeçalho do pacote, na área de dados do pacote ou até mesmo no pacote inteiro, impedindo e ou dificultando o entendimento dos dados por entidades que não sejam o seu real destinatário.
Exemplificando, o SSL (Secure Socket Layer) é executado entre a camada de transporte e de aplicação do TCP/IP , criptografando assim a área de dados dos pacotes. Sistemas IDS não terão como identificar através do conteúdo dos pacotes ataques para terminar as conexões ou até mesmo interagir com um firewall.
Outro exemplo é a implementação do IPSec, que é uma extensão do protocolo IP que é bastante utilizada em soluções de VPN. Existem dói modos de funcionamento, o modo transporte e o modo túnel, descritos na RFC2401 de Kent, Atkinson (1998).
No modo de transporte o IPSec é similar ao SSL, protegendo ou autenticando somente a área de dados do pacote IP; já no modo túnel o pacote IP inteiro é criptografado e encapsulado. Como pode ser notado no modo transporte um IDS pode verificar somente o cabeçalho do pacote, enquanto o modo túnel nem o cabeçalho e nem a área de dados.

IDS em redes com switches

A implementação de IDSs em redes comutadas (no caso baseadas em switching) permitem a comunicação direta, não compartilhada entre dois dispositivos. Essa característica introduz algumas dificuldades para a implementação de IDSs se comparada as redes com transmissão por difusão.
Como nesse tipo de rede os dados trafegam diretamente para seus destinos (sem a difusão) torna-se preciso, na implantação de IDSs, algumas soluções específicas.
O uso de Port Span consiste na utilização de switches com IDS embutidos. A decisão de sua utilização deve ser discutida antes da compra dos concentradores de rede (switches).
O uso de Splitting Wire e Optical Tap é uma solução que consiste em colocar uma “escuta” posicionada entre um switch e um equipamento de rede que se deseja monitorar. Um meio bastante barato de se fazer isso(Ethernet e Fast Ethernet) é a colocação de um concentrador de rede por difusão (hub) na conexão que se deseja vistoriar. No caso de fibras óticas basta adicionar um dispositivo chamado optical tap. O uso de Port Mirror consistem em fazer no switch o espelhamento do tráfego de uma única porta para outra usada para o monitoramento. Esse método é semelhante ao wire tap porem é implantando no próprio switch.

IDS em redes de alta velocidade

A evolução tecnológica tem também permitido que um maior número de redes possuam altas velocidades de transmissão de dados. Sob o ponto de vista da implantação de IDS isso se torna um ponto bastante delicado que trás questões importantes na manutenção da infra estrutura de redes, destacando-se: Os softwares IDS conseguirão analisar toda a grande quantidade de dados que trafego na rede? O hardware de monitoramento suportará tamanho trafego? Os IDS não irão prejudicar a performance da rede se tornando um gargalo?.
Essas, e outras questões, tem sido bastante discutidas gerando várias soluções para contornar esses problemas ou problemas em potencial. Destacando-se:

• Aumentar o poder de processamento dos equipamentos
• Monitoração utilizando-se Target IDS definidas pelo administrador
• Direcionamento de tráfego, Toplayer
• Recursos de Filtragem dos IDS
• Segregação de IDS por serviço (IDS especialista)