IDS IPS e Entropia

8/3/2019 IDS IPS e Entropia

1/74

FUNDAO DE APOIO ESCOLA TCNICA DO ESTADO DO RIO DE JANEIRO

INSTITUTO SUPERIOR DE TECNOLOGIA EM CINCIA DA COMPUTAO

LABORATRIO NACIONAL DE COMPUTAO CIENTFICA

SAULO VITOR BORBA EVANGELISTA

SISTEMAS DE DETECO DE INTRUSOS E SISTEMAS DE

PREVENO DE INTRUSOS:PRINCPIOS E APLICAO DE ENTROPIA

PETRPOLIS2008


2/74

2


SISTEMAS DE DETECO DE INTRUSOS E SISTEMAS DEPREVENO DE INTRUSOS:

PRINCPIOS E APLICAO DE ENTROPIA

Trabalho de concluso de cursoapresentado ao Instituto Superior deTecnologia IST, como requisito parcialpara obteno de ttulo de tecnlogo emTecnologia da Informao e daComunicao.

ORIENTADOR: Prof. Fbio Borges

PETRPOLIS2008


3/74

3


SISTEMAS DE DETECO DE INTRUSOS E SISTEMAS DE

PREVENO DE INTRUSOS:PRINCPIOS E APLICAO DE ENTROPIA

Trabalho de concluso de cursoapresentado ao Instituto Superior deTecnologia IST, como requisito parcialpara obteno de ttulo de tecnlogo emTecnologia da Informao e daComunicao.

Aprovado em de de 2008

BANCA EXAMINADORA

______________________________________________Prof. Fbio Borges de Oliveira

Laboratrio Nacional de Computao Cientfica LNCC

_______________________________________________Prof. Wagner Vieira Leo


_______________________________________________Prof. Paulo Cabral Filho


_______________________________________________Prof. Luis Rodrigo Oliveira Gonalves


PETRPOLIS2008


4/74

4

minha famlia que muito meincentivou para concluso destetrabalho.


5/74

5

Agradecimentos

Ao Professores Fbio Borges, Wagner Vieira, Paulo Cabral e Luis Rodrigo;

Aos Professores que tambm contriburam para minha formao e s pessoas que de

alguma maneira ajudaram para concluso deste trabalho.


6/74

6

Quando Crbero, a mais vil dasbestas, nos descobriu, a bocaescancarou, exibindo os dentes eoutros membros, raivoso, agitado.

Dante Alighieri, A divinaComdia.


7/74

7

Resumo

A finalidade de um Sistema de Deteco de Intrusos detectar uma invaso e a de

um Sistema de Preveno de Intrusos de detectar e bloquear uma invaso. Para

implementao de um sistema de deteco encontramos algumas dificuldades como osconflitos gerados com outros meios de segurana como criptografia e redes com switches.

Existem hoje no mercado vrios programas de deteco de intrusos, tais como o Snort,

programa confivel e de fcil instalao, e equipamentos de preveno de intrusos como os

Appliances. Um novo conceito est sendo estudado para novas implementaes mais

eficazes para a deteco de intrusos, que a introduo de Entropia em sistemas capazes de

detectar intrusos, onde a Entropia calculada para medir os nveis de distribuio de

trfego e assim analisar se h alguma anomalia no trafego de rede.

Palavras-chaves

Sistemas de Deteco de Intrusos, Sistemas de Preveno de Intrusos, Snort, Appliances,Entropia.


8/74

8

Abstract

The purpose of an Intrusion Detection System is to detect an invasion and a system

of Intrusion Prevention is to detect and block an invasion. To implement a system to detect

find some difficulties as the conflicts generated by other means as security such encryptionand networks with switches. There are various programs on the market today for detecting

intruders, such as Snort, reliable and easy to program installation, and equipment for

preventing intruders such as appliances. A new concept is being studied for new

deployments more effective for detecting intruders, that is the introduction of entropy in

systems that can detect intruders, where the entropy is calculated to measure the levels of

distribution of traffic and thus examine whether there is an anomaly in the traffic network.


9/74

9

ndice

1 Introduo..................................................................................................................... 11

2 Camadas de Rede e Protocolos..................................................................................... 122.1 Modelo OSI ........................................................................................................... 12

2.2 Modelo TCP/IP ..................................................................................................... 15

3 IDS e IPS - Comparativo.............................................................................................. 17

3.1 Intrusos ................................................................................................................. 17

3.2 Tcnicas de Intruso ............................................................................................. 17

3.3 O que IDS? ........................................................................................................ 183.4 O que IPS? ......................................................................................................... 19

3.5 Terminologia referente a IDS/IPS ........................................................................ 19

3.6 Por que usar um IDS? .......................................................................................... 20

3.7 IDS - Funcionamento e composio ..................................................................... 20

3.8 Estratgias para IDS ............................................................................................ 21

3.9 Tipos de IDS ......................................................................................................... 22

3.10 Tipos de IPS .......................................................................................................... 24

3.11 Implementao de um IDS .................................................................................... 24

3.12 IDS - Servios ....................................................................................................... 25

3.13 Problemas comuns com IDS/IPS .......................................................................... 26

3.14 Implementao na rede ........................................................................................ 27

4 Desafios para um IDS................................................................................................... 29

4.1 IDS x SSL, IPSec ................................................................................................... 29

4.2 IDS em redes com switches .................................................................................. 32

4.3 IDS em redes de alta velocidade .......................................................................... 35

4.4 Distributed Denial of Service (DDoS) ................................................................. 36

4.5 IDS x Firewalls ..................................................................................................... 46


10/74

10

5 Segunda Lei da Termodinmica e Entropia ................................................................. 50

5.1 Relao entre a Segunda Lei da Termodinmica e a Entropia ............................ 50

5.2 A Segunda Lei da Termodinmica e a Entropia Conceitos ............................... 51

6 Entropia No-Extensiva de Tsallis e sua utilizao na Deteco de Anomalias deTrfego.................................................................................................................................. 54

6.1 Clculo de Entropia ............................................................................................. 54

6.2 Entropia de Shannon e Entropia No-Extensiva de Tsallis ................................. 55

7 Equipamentos e Programas .......................................................................................... 61

7.1 Snort ..................................................................................................................... 61

7.2 Ossec HIDS .......................................................................................................... 69

7.3 Appliance .............................................................................................................. 69

7.4 HLBR .................................................................................................................... 71

8 Concluso ..................................................................................................................... 72


11/74

11

1 IntroduoO conceito de Intrusion Detection System (IDS)surgiu nos anos 80 em estudos do

Stanford Research Institute. Conhecido como Project 6169 - Statistical Techniques

Development For An Audit Trail System, o projeto utilizava um algoritmo de altavelocidade que analisava os usurios com base nos seus perfis de comportamento.[1]

A partir dos IDS surgiu o Intrusion Prevention System (IPS) sistema que alm de

detectar ataques, interrompe, e tambm ser mencionado no trabalho. O IDS fornece uma

camada extra de proteo para um sistema computacional. Ele auxilia na proteo da rede.

Suponhamos que temos uma rede bem montada com firewalls, roteadores e switches

colocados em locais bem estudados, pois bem, pode-se achar que temos segurana, mas no

bem assim, toda essa tecnologia precisa de configurao e s vezes no so to bem

configuradas pelo administrador do sistema. a que entra o IDS para fornecer essa

proteo extra de que falamos. Em resumo IDS so ferramentas automatizadas e

inteligentes para detectar tentativas de intruso em tempo real e IPS so IDS que atravs de

outros mecanismos vo interromper o invasor ou fazer algo para det-lo.

O objetivo explicar o que um IDS e tambm mencionar os IPS, dando exemplos

dos sistemas disponveis no mercado e fazer uma anlise dos mesmos, e por fim dar nfase

na utilizao de Entropia em sistemas de deteco. Na introduo conceitua-se IDS e

menciona-se a sua importncia em uma rede de computadores. Dando incio ao trabalho feita uma sucinta abordagem dos protocolos para internet modelo Open Source

Interconnection (OSI) e modelo Transmission Control Protocol / Internet Protocol

(TCP/IP). Vale salientar que o IDS trabalha em cima do modelo OSI. No desenvolvimento

feito um comparativo do conjunto IDS/IPS analisando com mais aprofundamento estes

sistemas e abordado funcionamento e composio, implementao e tipos de IDS/IPS. So

mostrados os problemas na implementao desses sistemas tais como: IDS com Secure

Socket Layer(SSL), redes com switches, redes de alta velocidade e etc. feita a abordagem

da Segunda Lei da Termodinmica para o entendimento do conceito de Entropia e

mostrado a utilizao de Entropia num IDS. No ltimo captulo o Snort detalhado, IDS

muito utilizado devido a sua facilidade e bom desempenho, e feito uma exposio de

equipamentos e programas e suas caractersticas, chamando a ateno para os appliances

como IPSs.


12/74

12

2 Camadas de Rede e ProtocolosPara falarmos de IDS/IPS torna-se necessrio falarmos dos protocolos de Internet,

como se relacionam e os modelos que formam, pois o IDS vai agir diretamente nas

camadas desses modelos.

Os protocolos para internet so um grupo de protocolos de comunicao

caracterizados como pilhas, que so padres onde a Internet e a maioria das redes

funcionam.

Existem dois padres para internet mais conhecidos e utilizados. Um o OSI e o

outro o TCP/IP, nomeado dessa forma, pois o protocolo TCP e o protocolo IP so os mais

importantes. de costume se comparar o modelo OSI com o TCP/IP, mas estes possuem

algumas diferenas. O modelo TCP/IP uma forma reduzida do modelo OSI. O primeirotem cinco camadas e o segundo sete. Portanto, as camadas do modelo OSI no so iguais ao

modelo TCP, existem algumas diferenas de funes.

O IDS baseado em rede, que ser visto posteriormente, opera sobre camadas de rede

do modelo TCP e do modelo OSI, o qual ser explicado a seguir.

2.1 Modelo OSIPara facilitar a comunicao entre computadores foi criado o padro OSI com o

objetivo de que diferentes mquinas funcionando com diversos sistemas pudessem se

entender.

Cada camada desse modelo tem suas configuraes de regras e protocolos para

codificar e decodificar os dados que passam por essas camadas. Para se enviar uma

informao os dados comeam pela camada de aplicao e so passados para camadas de

baixo, tendo cada camada instrues especificas, at que chegue a camada fsica. Para o

recebimento o inverso feito.

Este modelo compe-se de sete camadas que so: fsica, enlace, rede, transporte,

sesso, apresentao e aplicao.Veja figura 1:


13/74

13

Figura 1: Modelo de comunicao OSI. A camada Fsica onde teoricamente os dados

esto mais prximos dos impulsos eltricos [2].

2.1.1 Camada FsicaCamada de mais baixo nvel do protocolo ela quem define as caractersticas

tcnicas dos dispositivos eltricos. quem controla a velocidade da transmisso, define ascaractersticas eltricas e faz o controle de acesso. Este controle de acesso pode ser:

centralizado ou distribudo. No modo centralizado, uma mquina controla o acesso rede,

um exemplo seria a topologia estrela. J no modo distribudo todas as mquinas podem

fazer o controle de acesso. Um exemplo seria a rede em anel).

2.1.2 Camada de Ligao de dados ou enlaceEsta camada detecta e corrige os erros que vieram da camada fsica ordenando os

quadros. Faz a transmisso e recepo destes quadros e controla o fluxo de dados. Esta

camada tambm trabalha com um protocolo de comunicao. Dentre os existentes temos:

LAPB, PPP e NetBios.

0111000110001001000100000111111000101010100010001111110011

Aplicao

Transporte

Enlace

Rede

Transporte

Sesso

Apresentao

Enlace

Rede

Sesso

Apresentao

Aplicao

FsicaFsica


14/74

14

2.1.3 Camada de RedeFaz o endereamento dos pacotes. Todos os endereos que eram lgicos passam a

ser fsicos. Define rota para que o pacote chegue ao destino fazendo anlise de trfego e

definido qual o melhor caminho. Tambm faz a fragmentao de pacotes, controle decongestionamento e sequenciamento de pacotes.

2.1.4 Camada de TransporteNa transmisso esta camada pega os dados enviados pela camada de sesso e divide

em pacotes. Na recepo esta camada pega os pacotes da camada de rede e reconstitui o

dado para ser entregue a camada de sesso.

Esta camada faz a ligao das camadas de aplicao (nveis 5 a 7) e de nvel fsico

(1 a 3). A camada de transporte pode trabalhar em dois modos: orientado a conexo e no

orientado a conexo. Um exemplo de protocolo orientado a conexo o TCP e no

orientado temos o UDP. O modo orientado a conexo mais confivel, pois, permite

integridade e a correta seqncia ou ordenao dos dados.

2.1.5 Camada de SessoEsta camada permite que aplicaes diferentes em diferentes computadores possam

se comunicar. Tambm faz marcaes nos pacotes para que caso a rede tenha problemas de

comunicao, os dados sejam transmitidos de onde foram interrompidos.

2.1.6 Camada de ApresentaoFaz a converso do formato do dado recebido pela camada de aplicao em um

formato entendido pelo protocolo usado. Faz tambm a compactao dos dados e pode

trabalhar tambm com algum tipo de criptografia que ser descriptografado e

descompactado na camada de apresentao do computador receptor.

2.1.7 Camada de Aplicao


15/74

15

Esta camada faz a ligao entre os aplicativos e o protocolo de comunicao

utilizado. Por exemplo, entre um aplicativo de e-mail e o protocolo de comunicao

responsvel por este servio.

2.2 Modelo TCP/IPO modelo TCP/IP faz a unio de camadas como o caso das camadas de enlace e da

camada fsica mudando o nome para interface de rede ou somente fsica ou enlace. Isto por

sinal simplifica a entrega dos pacotes visto que a camada fsica define o tamanho dos

frames da camada de enlace. O protocolo TCP no tem todos os recursos do modelo OSI, e

nem se comunicam diretamente, porm a figura 2 visa apenas mostrar a mudana dos

nomes das camadas e a reduo do nmero de camadas no protocolo TCP. Uma das

principais diferenas entre esses dois modelos que o TCP no possui criptografia, por isso

introduzida uma forma de criptografia extra, o SSL.

Figura 2: Modelo de Comunicao TCP/IP, comparativo com modelo OSI. A camada deinterface de rede a mais prxima teoricamente, dos impulsos eltricos [2].

Este padro composto de quatro camadas: Aplicao, Transporte, Internet ou Rede

e Interface de rede.

0111000110001001000100000111111000101010100010001111110011

Aplicao

Transporte

Enlace

Rede

Transporte

Sesso

Apresentao

Rede

Fsica

Aplicao

Interface de rede


16/74

16

A camada de Interface de rede utiliza o padro Ethernet, a camada de rede o

protocolo IP, a camada de Transporte pode ter muitos padres utilizveis como UDP e

TCP, e a camada de aplicao utiliza, por exemplo, os protocolos HTTP (navegao na

World Wide Web), FTP (transporte de arquivos), SMTP (envio de email) e SSH (login

remoto seguro).

Para que seja feita a comunicao entre dois pontos na rede, sempre que os dados

passam de uma camada para outra no modelo de protocolo eles so passados com um

cabealho que permite a interao ou entendimento entre estas camadas. Por exemplo, os

dados da camada zero ou camada de interface de rede iniciam o pacote com o cabealho

para a camada um ou camada de rede. Os dados da camada um iniciam o pacote com o

cabealho para a camada dois ou camada de transporte e assim sucessivamente. Veja figura

3:

Figura 3: Padro de pilha TCP/IP [2].

CabealhoEthernet

CamadaInterface deRede

Dados

CabealhoTCPCamadaTransporte

CabealhoIpv4

Camada Rede

CabealhoAplicao

Dados

Dados

Dados


17/74

17

3 IDS e IPS - ComparativoNeste captulo estaremos explicando em conjunto IDS com IPS com o objetivo de

esclarecer o entendimento de cada sistema. Estes sistemas sero mostrados tanto no que diz

respeito a conceitos, quanto a funcionamento e implementao. Inicialmente segue noes

bsicas de intruso para em seguida atingirmos o objetivo do captulo.

3.1 IntrusosIntrusos so os invasores de um sistema e se classificam de trs maneiras:

Mascarado (invasor de fora da rede ou sistema): Invasor que no est autorizado aentrar no sistema e o invade para obter privilgios de um usurio legtimo;

Infrator (invasor de dentro da rede): um usurio real ou legtimo que no estautorizado a usar determinados recursos, mas os utiliza, ou ento, que est

autorizado, mas no os utiliza de forma lcita;

Usurio clandestino (invasor de dentro ou de fora da rede): Invasor que toma possede privilgios de administrador de um sistema para que se esquive de auditorias e

controles para acesso ou at mesmo para ludibriar provas auditrias contra este.

3.2 Tcnicas de IntrusoO principal objetivo de um intruso aumentar alguns privilgios dentro de um

sistema. Porm, esses privilgios so protegidos por senhas de usurio. Mas se um invasor

tem acesso a estas senhas ele pode obter estes privilgios. O administrador mantm essas


18/74

18

senhas em um arquivo, por isso necessrio que este esteja bem protegido. Abaixo segue

duas maneiras de se proteger esse arquivo de senhas:

Funo unidirecional ou no reversvel: A partir da entrada de uma senha o sistema

a transforma em um valor de tamanho fixo que no pode ser revertido. Assim, o sistema

no necessita de armazenar as senhas, mas somente os valores gerados a partir das mesmas.

Controle de acesso: Neste caso se limita ao extremo o acesso ao arquivo de senhas.

Agora descreveremos algumas tcnicas que invasores utilizam para a descoberta de

senhas:

1. Tentar senhas padro geralmente entregues com o sistema;2. Tentar senhas curtas;3. Tentar palavras de dicionrios on-line;4. Tentar senhas com informaes sobre seus usurios;5. Tentar nmeros de placa de automveis;6. Usar Cavalo-de-Tria para ludibriar restries de acesso;7. Utilizar-se de escutas clandestinas entre acesso remoto e sistemas fixos;

At o quinto mtodo podemos ver que so mtodos de tentativas e erros para

descoberta de senha, porm so de fcil defesa para os administradores de sistemas. J o

sexto item um pouco mais complicado, pois se trata de fazer com que um usurio legtimo

instale um Cavalo-de-Tria em sua mquina que far com que o invasor obtenha acesso,

por exemplo, a um arquivo de senhas que antes estaria protegido por criptografia, mas que

agora est descriptografado, pois um arquivo com privilgios para o usurio. Por fim, o

stimo item pode ser resolvido com criptografia do link.

As tcnicas de invaso no se baseiam apenas na descoberta de senhas, mas tambm

em vrias outras maneiras, tais como sobrecarga de um sistema com envio constante de

solicitaes.

3.3 O que IDS?O IDS tem por finalidade detectar uma ameaa ou intruso na rede. Pode se dizer

por analogia que o IDS como se fosse um alarme de um carro que soa quando algum

abre sua porta.


19/74

19

A monitorao e a deteco de intrusos eficientes so to importantes quanto chaves

e cadeados em nossas casas, assim comofirewalls em nossas redes.

Imaginemos que tenhamos um servidor Web conectado a internet e queremos que

clientes tenham acesso s pginas de Web. Pois bem, temos que pensar em segurana para

no haver alterao por parte de invasores. Umfirewall ou sistema de autenticao podero

prevenir os acessos sem autorizao, mas s vezes pode ser quebrada a regra dofirewall ou

do sistema de autenticao. Sendo o IDS um sistema implementado na rede para alertar

tentativas de acesso sem autorizao aos computadores, este pode auxiliar ou complementar

a segurana de um sistema j implementado com umfirewall.

3.4 O que IPS?O IPS complementa um IDS bloqueando a intruso e impedindo um dano maior

para a rede. uma ferramenta que detecta e bloqueia o invasor. Como foi dito o IDS

como se fosse um alarme de um carro que somente soa quando algum abre sua porta. J o

IPS dispara o alarme e tambm trava as rodas para que o invasor no leve o carro.

Uma boa forma de se obter segurana em uma rede fazer a preveno de invases.

Porm para a instalao de um IPS deve-se levar em conta que temos um sistema limpo, ou

seja, no esteja comprometido e deve-se possuir um conhecimento amplo do estado do

sistema para que no se tenha problema posterior.Para que o administrador da rede possa tomar alguma atitude quanto a uma invaso,

deve-se obter informaes no momento exato da invaso. A partir da deteco, um IPS

executar aes para interromper o ataque e evitar ataques futuros. Essas aes podem ser

desde o cancelamento de uma conexo at uma reconfigurao dofirewall para interromper

o ataque.

3.5 Terminologia referente a IDS/IPS Alertas/Eventos

um aviso gerado pelo IDS quando este detecta determinada invaso. Este alerta

pode ser dado tanto local quanto remotamente.

Evaso


20/74

20

um ataque ao IDS sem que este detecte o mesmo, uma maneira que se encontra

de ludibriar o sistema.

FragmentaoFragmentao uma maneira de dividir os pacotes de tal forma que no ultrapasse o

limite da rede. A fragmentao utilizada para a evaso ou tambm em ataques de negao

de servio.

AssinaturasAssinaturas so ataques conhecidos. Atravs das assinaturas ou regras pode-se gerar

os alertas para atividades suspeitas. feita comparao dos dados com as assinaturas e a

so gerados os alertas.

3.6 Por que usar um IDS?Podemos nos perguntar por que usar um IDS. A resposta mais direta seria proteger

os dados e a integridade do sistema. Para se ter proteo de integridade quanto a intrusos na

Internet, somente senhas e segurana de arquivos no so suficientes. Devemos ter um bom

sistema de segurana para a proteo dos dados. No podemos somente entrar na Internet e

achar que ningum vai invadir. importante que o sistema previna acessos a arquivos

crticos ou bancos de dados de autenticao (como o NT SAM do Windows NT ou o Unix/etc/passwd) exceto por administradores de sistemas autorizados [3].

3.7 IDS - Funcionamento e composioO IDS faz anlises na rede e no Sistema Operacional, verificando as atividades dos

usurios, excesso de conexes, volume de dados, servios de rede e etc. Esses dados so

guardados em uma base de dados para que posteriormente de acordo com a configurao do

sistema este possa alertar uma intruso ou ameaa.As ferramentas de IDS detectam diversos tipos de situaes tais como:

Scans: verifica se h portas do sistema que se encontram abertas;


21/74

21

Ataques de comprometimento: o invasor obtm um Shell (terminal) com privilgiosde root (superusurio, permite fazer qualquer tipo de alterao no sistema) para

explorar vulnerabilidades;

Ataques Denial of Service (DoS): enviado um grande nmero de pacotes parasobrecarregar o desempenho do sistema comprometido [4].

De uma forma geral um IDS composto dos seguintes elementos:

Um dispositivo de acumulo de informaes: Esse dispositivo deve ser capaz decolher dados. Por exemplo, ele deve ser capaz de detectar mudanas em um disco

rgido, capturar pacotes em uma rede etc;

Um mecanismo para monitorao de processos: Um IDS deve ser capaz demonitorar a si mesmo e a rede a qual est protegendo, fazendo verificaes

constantes, para que possa enviar informaes para o administrador. O Snort,

programa de IDS, pode avisar que ouve um problema na rede atravs de mensagens

que no caso seriam enviadas para o arquivo/var/log/messages;

Capacidade de armazenamento de informaes: A partir do momento que asinformaes foram capturadas pelo dispositivo de acumulo de informaes essas

informaes devem ser armazenadas em algum lugar;

Dispositivo de controle e comando: No que se diz respeito a controle e comando oIDS deve ser fcil de controlar seu comportamento;

Um dispositivo de anlise: Deve-se ter um dispositivo de anlise para oadministrador poder analisar seu acervo de dados utilizando um aplicativo.

3.8 Estratgias para IDS3.8.1 Aplicativos IDS baseados em regras ou assinaturas

Este tipo de IDS geralmente mais fcil de instalar. Para se ter um IDS baseado em

assinaturas eficiente basta fazer com que o IDS carregue todas essas assinaturas e que se

faa uma constante atualizao destas. Assim, o IDS ser capaz de detectar os ataques

rede.


22/74

22

Essas assinaturas so ataques reais que foram identificados. J uma regra uma

linha de cdigo que informa ao IDS sobre determinada assinatura.

3.8.2 Aplicativos IDS baseados em anomaliasEsse mtodo bem trabalhoso e no to seguro assim, pois o que feito uma

coleta dos dados passados pela rede. O sistema rene informaes da atividade da rede e

forma uma base de dados. A partir da o sistema faz comparaes das ocorrncias da rede

com essa base de dados e alerta sobre atividades que esto fora do que de costume, ou de

normal acontece na rede. No entanto, se torna difcil configurar um sistema especificando o

que normal e o que anormal em se tratando de trfego de rede.

Pode-se pensar que uma constante deteco de invaso o mais eficaz, porm o

problema se fazer anlise de todas essas informaes. Por isso o que se aconselha fazer

anlises em intervalos de tempo, ou seja, baseadas em intervalos.

Esses intervalos podem ser no horrio que no tiver expediente, e tambm em

intervalos aleatrios durante o expediente. Todas essa informaes geradas podem ser

gravadas em uma base de dados de arquivos pequenos com alguns Mega Bytes.

3.9 Tipos de IDS3.9.1 Host Based Intrusion Detection System (HIDS)

O IDS de Host instalado em determinada mquina para avaliar o prprio host.

Analisa os eventos do sistema operacional, eventos de acesso e eventos de aplicao,

monitora as entradas, ou qualquer outra parte que represente tentativa de intruso. Bloqueia

tambm ataques que no so detectados pelo firewall como, por exemplo, protocolos

criptografados. O IDS tambm acusa uma tentativa suspeita como um usurio tentando

utilizar algo que ele no tenha permisso.

Existem dois tipos de aplicativos IDS baseados em host: Analisadores de eventos (listagem das ocorrncias em uma rede ou num

computador): Procura por conexes abertas de rede e monitoram portas do sistema;

Analisadores de unidades de disco do sistema: Analisa unidade de disco e outrosperifricos do sistema e cria uma base de dados. Essa base de dados como se fosse


23/74

23

a situao original do sistema e sempre que ocorrer uma mudana o IDS pode gerar

um alerta ou registrar a mudana.

3.9.2 Network Based Intrusion Detection System (NIDS)O NIDS instalado em um segmento de rede onde atravs de uma base de dados faz

comparaes necessrias com os pacotes de rede ou ento faz a decodificao e verifica os

protocolos de rede. O NIDS verifica os usurios externos no autorizados a entrar na rede,

DoS ou roubo de base dados.

O IDS baseado em rede opera sobre as camadas de rede do modelo (OSI/RM). Esse

tipo aplicativo baseado em rede bem interessante quando se quer analisar o trfego da

rede.

Um IDS baseado em rede se torna muito mais eficiente e de fcil controle peloadministrador quando se utiliza vrios servidores para aplicao do IDS. Um servidor para

captura de dados, outro para monitorao e armazenamento e um para anlise atenderia

necessidade de processamento e armazenagem dos dados. O servidor sensor detecta os

dados que passam pela rede e os envia para o servidor de armazenagem, este envia para o

servidor de anlise o arquivo que contm os pacotes enviados pelo sensor. O servidor de

anlise pode ento ler os pacotes onde esto armazenados ou selecionar os eventos da

estao de armazenagem.

O dispositivo de armazenagem pode deixar todos os eventos prontos para serem

enviados atravs de um servidor Web. O servidor para anlise pode ser um servidor Linux

com um navegador de Web. O administrador poder utilizar o navegador Web para acessar

o servidor Web do dispositivo de armazenamento. O administrador pode ainda utilizar um

Secure Shell (SSH) para acessar diretamente os eventos, ou seja, base de dados.

Vale salientar que um IDS precisa de muito processamento para seu funcionamento

e os arquivos de registros precisam de grande quantidade de espao no disco rgido. Assim

deve se levar em considerao, a idia de dividir o trabalho realizado por um IDS em

servidores diferentes.

3.9.3 IDS Distribudo Sistema de Deteco de Intrusos Distribudo (SDID)


24/74

24

Neste modelo so utilizados sensores NIDS localizado onde se proteja os servidores

pblicos e outros sensores analisando os hosts onde a rede teoricamente mais confivel.

Todos esses IDS se comunicam diretamente com uma estao de gerenciamento

centralizada. Os uploads (envio de dados) dos eventos de ataque podem ser feitos atravs

da estao de gerenciamento e armazenados em um banco de dados central. O download

(retirada de dados) de assinaturas de ataque so feitos pelos prprios sensores. Cada sensor

pode ter regras especificas para atender suas necessidades.

A comunicao entre os sensores e o gerenciador pode ser feita atravs de uma rede

privada ou atravs da prpria rede existente. Mas neste caso deve ser usada criptografia ou

Virtual Private Network(VPN).

3.10 Tipos de IPSExistem dois tipos de sistemas de preveno de intrusos no mercado:

3.10.1Host-Based(Baseados em host)Os sistemas baseados em host so programas de preveno de intrusos para serem

instalados diretamente em computadores;

3.10.2InLine (Em linha) todo dispositivo de hardware ou software habilitado a detectar e impedir ataques

maliciosos, verificando anomalias.

3.11 Implementao de um IDSAlguns fatores so importantes para implementao de um IDS:

Poltica de Segurana - Para a implementao de um IDS necessrio uma polticade segurana abrangente;

Anlise de custo - Existem vrios IDS em cdigo aberto, porm paraimplementao de um IDS com vrios servidores h necessidade de maiores

recursos;


25/74

25

Pessoal de suporte - necessrio pessoal especfico para implementao,manuteno e anlise do IDS.

3.12 IDS - Servios3.12.1 Identificao de Trfego

Um IDS deve sempre saber de onde veio a invaso, mostrando a porta e o endereo

de origem e de destino.

A possibilidade de informar todos os detalhes de um pacote que trafega pela rede

o elemento mais importante de um sistema IDS que registra o trfego de rede. Esses

detalhes sero descritos a seguir:

Tipo de protocolo O IDS informar se o pacote UDP, TCP, ICMP e etc;Origem o endereo de IP de origem;

Destino o endereo de IP de destino;

Porta de origem Caso seja um pacote UDP ou TCP, o aplicativo dir que porta o

host de origem utilizou;

Porta de destino a porta de host de destino;

Checksums (tipo de analisador de integridade) So os checksums que preservam a

integridade dos pacotes transmitidos;

Nmero de seqncia O IDS informa ordem que os pacotes so gerados atravs

dos nmeros de seqncia. Essa ordem pode ser importante para entender a natureza de um

ataque;

Informaes sobre os pacotes O IDS pode fazer pesquisas nos pacotes e analisar

seus contedos.

3.12.2 Aplicao nos registros e definio de limitesUm IDS atualizado periodicamente coloca informaes em um arquivo de registro

ou em uma base de dados e define limites. Caso esse limite seja excedido o IDS poder

enviar um alerta.

Um IDS pode armazenar suas informaes em diversos lugares:


26/74

26

Arquivos de eventos do sistema Mensagens podem ser enviadas para arquivos deregistros j existentes como /var/log/messages e /var/log/security, no Red Hat

Linux;

Arquivos de texto simples e diretrios So diretrios e arquivos de textos quefuncionam como/var/log/messages , mas que so criados especificamente pelo IDS.

Cada novo host detectado poder ser nomeado com o endereo IP deste host. O IDS

ento separar os arquivos de acordo com o protocolo especfico;

Base de dados So armazenadas as informaes de maneira lgica e permite quesejam pesquisadas de forma eficiente. Depois de armazenadas essas informaes

elas podem ser passadas para um servidor Web e acessadas normalmente com um

navegador Web.

Alertas Os IDS trabalham com alertas para chamar a teno dos administradorespara uma possvel invaso. Esses alertas podem ser o envio de um evento a um

arquivo de registro de alertas, um alerta a um sistema remoto ou o envio de um e-

mail.

3.12.3 Configurao do sistemaAlguns aplicativos como o PortSentry oferece a possibilidade de reconfigurar o

Sistema Operacional ou ofirewall em caso de ataque;

3.12.4 Verificao de unidades de discoPossibilidade de se obter uma imagem da rede e do Sistema Operacional e assim

enviar alertas quando houver um evento anormal. obtida uma imagem instantnea do

sistema de arquivo e aps feita uma comparao com uma outra imagem tirada

posteriormente. Aplicativos como o Tripware protegem o sistema contra os Cavalos de

Tria que so aplicativos projetados para parecerem legtimos.

3.13 Problemas comuns com IDS/IPS3.13.1 Falsos Positivos

O IDS alerta determinada invaso, mas ela no existe, se trata de um alarme falso;


27/74

27

3.13.2 Falsos NegativosO IDS no detecta uma intruso, o sistema acha que o pacote de fluxo normal do

sistema;

3.13.3Desenho da Arquitetura

Quando o tamanho da rede dificulta a implantao e controle do combinado

IDS/IPS;

3.13.4 Freqentes UpdatesH necessidade de que todo o sistema esteja atualizado para que se tenha defendido

toda a infra-estrutura da rede.

3.14 Implementao na rede de costume colocar um NIDS antes do firewall para impedir que um usurio

externo venha conhecer a topologia de rede e um depois do firewall na Zona

Desmilitarizada (DMZ) para detectar algum ato que ofirewall no tenha detectado. Coloca-

se um tambm para detectar ataques advindos da rede interna e por fim HIDS para

servidores de risco, tais como WebServere servidores de email. Veja figura 4:


28/74

28

Figura 4: Modelo de arquitetura com NIDS e HIDS [5].


29/74

29

4 Desafios para um IDSExistem muitos desafios para um IDS. O projeto ou adaptao de um IDS em

ambientes diversos onde encontramos novas tecnologias de protocolos, tais como SSL e

Secure Internet Protocol (IPSec), evolues em infra-estrutura de redes comutadas eimplantao de IDS em redes de alta velocidade com, como a tecnologia ATM, so algum

deles. Existem tambm, outros problemas ou desafios, como a deteco de Distributed

Denial of Service (DDoS) e a utilizao de IDS em conjunto com firewalls. Diante dessa

problemtica ser exposto aqui, algumas alternativas de implementao e abordado o tema

de forma que o leitor tire concluses se vivel ou no esta implementao.

4.1 IDS x SSL, IPSecSabe-se que um IDS faz monitoraes tanto nos cabealhos dos pacotes quanto nos

campos de dados. Porm, com a necessidade de sigilo e proteo dos dados que transitam

pela rede se torna necessrio o uso de criptografia, o que dificulta a utilizao de IDS.

Dados que antes seriam analisados pelo IDS e que poderiam estar sendo alvos de ataques

podem vir a ser escondidos devido ao uso da criptografia.

4.1.1

SSL

Este protocolo executado entre a camada de transporte e a de aplicao.Veja

figura 5:

Aplicao HTTP LDAP IMAP

SSL (SECURE SOCKET LAYER)

Transporte TCP

Rede IP

Interface de rede Ethernet, PPP, Token Ring etc

Figura 5: Localizao do SSL nas camadas do protocolo TCP/IP.

A criptografia dos dados do pacoteTCP faz com que todo contedo das conexes

seja criptografado.


30/74

30

Os ataques na camada de aplicao so usados para invaso ou para DoS. Com a

criptografia o IDS no ter como registrar o ataque, e nem enviar um pacote TCP RESET

para ambos os participantes para terminar a conexo. Tambm no poder interagir com o

firewall para que este bloqueie endereos ou portas conforme configurado.

4.1.2 IPSecO IPSec uma extenso do protocolo IP empregado em implementaes VPN. Ele

trabalha com criptografia e assinatura digital.

Existem dois modos de funcionamento do IPSec: modo transporte e modo tnel. No

modo transporte ele fornece proteo para protocolos de camada superior antecipadamente.

J no modo tnel os protocolos so empregados como um tnel de pacotes IP.

Existem dois protocolos: o Authentication Header(AH) e o Encapsulating Security

Payload(ESP).

Um protocolo no modo transporte parecido com o SSL, protegendo somente a

poro de dados. J o modo tnel criptografa todo o pacote IP. Veja figura 6 e 7:

IP Header(cabealho) Payload(dados)

IP Header(original) IPSec Header Payload(dados)

Encrypted(criptografados)

Figura 6: IPsec no modo de transporte.

IP Header IPSec Header IP Header(original) Payload(dados)Encrypted(criptografado)

Figura 7: IPSec no modo tnel.

O AH prov integridade sem conexo, autenticao de dados, e um servio para

preveno de reenvio de pacotes.


31/74

31

O protocolo ESP prov criptografia, limitado fluxo de trfego confidencial e ainda

as caractersticas do AH. A diferena que o ESP no atua no cabealho dos pacotes.

Resumindo:

Modo Transporte: protege somente poro de dados; Modo Tnel: protege cabealho e poro de dados; AH: protege cabealho e poro de dados; ESP: protege somente poro de dados

Em um modo mquina a mquina o monitoramento no possvel com IDS baseado

em rede para fins de anlise de dados, pois os mesmos estariam criptografados. Veja figura

8.

Figura 8: IPSec mquina a mquina [6].

Uma soluo para o problema colocar o IDS de rede aps o dispositivo IPSec,

como mostrado no IPSec gateway-a-gateway na figura 9.


32/74

32

Figura 9: IPSec gateway-a-gateway [6].

4.2 IDS em redes com switchesO switch um dispositivo que permite a comutao de dados, ou seja, somente o

prprio destinatrio recebe a mensagem, os outros usurios da rede no vem tais dados.

Essa medida aumenta em muito o desempenho da rede, porm dificulta a implantao e

anlise da rede com um IDS.

A seguir ser mostrado trs possibilidades de implementar um IDS em redes

comutadas.

4.2.1 PortSPANSuponhamos que alguns dispositivos de rede tais como servidores e roteadores

estejam ligados a um switch com velocidade baixa, ento se coloca um IDS porta

Switched Port Analyzer (SPAN) de alta velocidade recebendo todo o trfego do switch.Assim, toda a rede ser monitorada.

Um exemplo de switch que disponibiliza essa possibilidade o switch CataLystda

Cisco.


33/74

33

4.2.2 Splitting Wire/Optical TapA utilizao de um Splitting Tap a colocao de uma escuta para monitorao de

trfego. Uma boa idia a colocao de um hub entre o switch e o equipamento de rede

para que seja enviada uma cpia do trfego que passa pelo hub para o IDS. Veja figura 10.Pode se utilizar este recurso tanto para cabos UTP, utilizado em redes Ethernet,

como para fibras ticas em redes ATM. Neste caso, pode-se utilizar um dispositivo

chamado Optical Tap. Veja figura 11.

Figura 10: Monitorao de pacotes em rede Ethernet, utilizando hubs ou wire tap.[6]

Figura 11: Optical Tap. [6]


34/74

34

4.2.3 Port MirrorEsta opo consiste em fazer um espelhamento de uma porta para outra que serve de

monitorao. Esta medida um pouco invivel, pois se coloca apenas um dispositivo por

IDS. Porm, o espelhamento de portas (port mirroring) em redes hierrquicas o maissensato. Veja figura 12.

Uma maneira de resolvermos problemas com relao a redes comutadas a

instalao de host based.

Sabemos que h duas variaes de host based: deteco de anomalia/atividade

suspeita e deteco de ataque baseado em rede. interessante anlise hbrida, porm

difcil encontrar um produto que faz as duas coisas: deteco de anomalias e trfego de

redes.

Figura 12: Switch comport mirrorem uma estrutura hierrquica de switches semport

span. [6]


35/74

35

4.3 IDS em redes de alta velocidadeAs redes de alta velocidade se tornam um problema devido dificuldade para

monitorao. Outro problema o tamanho dos pacotes, pois influencia diretamente na

anlise pelo IDS.Uma soluo para problemas como estes em sistemas IDS a separao do trfego

atravs de switches de balanceamento de trfego para IDS. Esses switches TopLayerpodem

dividir uma porta Gigabit-Ethernet em vrias portas Fast-Ethernet dividindo o trfego da

rede. Veja figura 13:

Figura 13: O trfego entre os switches Gigabit distribudo entre vrios IDS [6].

Deve-se atentar para esse tipo de medida, pois necessrio fazer uma consolidao

dos vrios eventos gerados pelos sensores. Hoje em dia, existem vrios ataques advindos

dos mais diversos locais com endereo IP diferente visando um objetivo comum. Por isso,

utilizando-se um sistema como o proposto acima se torna difcil descobrir esse ataque, pois

ele seria diludo no ambiente de rede.

Uma outra abordagem analisar somente elementos de interesse do administradorcomo, por exemplo, roteadores (implementao chamada de Target IDS). Outra opo a

segregao de IDS por servio, onde um IDS configurado somente para analisar eventos

relativos a email, outro somente HTTP etc.


36/74

36

4.4 Distributed Denial of Service (DDoS)Hoje h uma constante preocupao quando tratamos de segurana, principalmente

nos ataques feitos por invasores que acabam afetando sites famosos, e nesse meio que

escutamos muito sobre negao de servio ou DoS.A idia desse tipo de ataque enviar um nmero excessivo de requisies a um

computador alvo e tornar este indisponvel para os servios que so disponibilizados.

Intruso Distribuda a forma de se invadir determinado sistema utilizando

mquinas espalhadas pelo mundo inteiro e atravs dessa unio de mquinas fazer uma

interveno em conjunto no alvo em foco.

Os ataques de DDoS so resultantes da unio de intruso distribuda e negao de

servio. Computadores de diversos lugares trabalham em conjunto para inutilizar um alvo.

Pode-se dizer que um ataque DoS s que em escala muito maior, utilizando diversas

mquinas.

Os primeiros ataques DDoS documentados surgiram em agosto de 1999, no entanto,

esta categoria se firmou como a mais nova ameaa na Internet na semana de 7 a 11 de

Fevereiro de 2000, quando vndalos cibernticos deixaram inoperantes por algumas horas

sites como o Yahoo, EBay, Amazon e CNN. Uma semana depois, teve-se notcia de

ataques DDoS contra sites brasileiros, tais como: UOL, Globo e IG, causando com isto uma

certa apreenso generalizada [7].Outras repercusses causadas por ataques DDoS foram o caso do site da Alldas, da

RIAA, da SCO e o site da Al Jazira. Isso mostra que os ataque DoS e DDoS geram

prejuzos de formas incalculveis, tanto na parte financeira como na parte das informaes

[8]. Assim a idia aqui falar do que se trata um DDoS e como um IDS pode auxiliar

contra essa ameaa.

4.4.1 Entendendo o ataque


37/74

37

4.4.1.1 Personagens

Figura 14: Ataque DDoS [7].

Para entendermos o funcionamento de um ataque vamos conhecer os personagens

principais e usaremos a nomenclatura abaixo:

Atacante: o invasor. O indivduo que realmente planeja e coordena o ataque.

Possui sua mquina individual que pode ser um computador de mesa ou umNotebook;

Master: Computador que programado para comandar os agentes.Agente: Computador que realmente realiza o ataque DoS contra um ou mais alvos

ou vtimas, conforme o desejo do atacante.

Vtima: Mquina que recebe o ataque. ocupada por um grande nmero de

pacotes, sobrecarregando toda a rede e resultando na paralisao desta e conseqentemente

dos servios oferecidos.

Alm destes personagens existe ainda mais dois que tambm so importantes:

Cliente: Aplicao que est no master e que realmente tem o controle dos ataques e

envia comandos aos daemons.

Daemon: Processo que est sendo executado no agente, que recebe e executa os

comandos advindos do cliente.

4.4.1.2 O ataque


38/74

38

Um ataque DDoS feito em trs fases: a primeira quando se faz a intruso em

mquinas para se obter acesso privilegiado, ou seja, acesso de root. Na segunda so

instalados softwares nestas mquinas invadidas para a montagem da rede de ataque. E a

terceira quando se envia um nmero grande de pacotes contra as vtimas, concretizando o

ataque.

Fase 1: Obtendo acesso de root segue-se as seguintes etapas:

1. feito um estudo das portas e das vulnerabilidades das redes alvo, ou seja, onde sequer fazer o ataque. Costuma-se focar redes de banda larga e com pouco

monitoramento.

2. Em seguida o atacante explora as vulnerabilidades encontradas com o objetivoprincipal de obter o acesso de root;

3. Por fim com o endereo IP das mquinas invadidas montada a rede de ataque.Fase 2: Para a instalao do software DDoSsegue-se as seguintes etapas:

1. utilizada uma conta de um usurio para instalar as verses compiladas dasferramentas de ataque;

2. As ferramentas de DDoS sendo instaladas vo permitir agora que as mquinassejam controladas remotamente. Essas mquinas que podero ser agentes ou

masters.

3. A definio de qual mquina ser master e qual ser agente quem escolhe oatacante. As mquinas master no so muito manuseadas e nem monitoradas pelos

administradores. J as mquinas agentes tm acesso a Internet por links rpidos.

4. Com o daemon instalado nos agentes, estes ficam prontos para receber os comandosdos masters. A mquina master registra uma lista de IP das mquinas agentes ativas.

Com essa conexo entre masters e agentes j se pode organizar os ataques;

As fases 1 e 2 so realizadas imediatamente uma aps a outra e de forma

automatizada. Por isso as informaes de vulnerabilidade so de suma importncia para a

instalao rpida das ferramentas de DDoS.

Fase 3: Realizando o ataque:


39/74

39

O atacante pode controlar uma ou mais mquinas master e estas por sua vez podem

controlar muitas mquinas agentes. A partir da pode-se disparar os pacotes consolidando o

ataque. Os agentes ficam aguardando as instrues do master para atacar um ou mais de um

endereo IP em determinado espao de tempo.

O atacante ordenando o ataque, as vtimas tero suas mquinas congestionadas por

um grande nmero de pacotes, interrompendo o link de rede e assim paralisando os

servios.

4.4.2 Classificao dos ataques DDoSSabemos que o objetivo de um ataque de DDoS consumir os recursos do alvo

enviando um grande nmero de pacotes com a finalidade de que este no possa fornecer

seus servios. Assim podemos classificar um ataque DDoS em termos de recurso

consumido. Este dividido em recursos internos do hostou capacidade de transmisso de

dados.

Um exemplo especfico de ataque de recursos interno seria o ataque por inundao

de SYN.A. Segue-se no ataque os seguintes passos:

1. O atacante por meio de seus escravos ou agentes os instrui a entrar em contato como servidor Web do alvo;

2. Os agentes enviam por comando do atacante, pacotes SYN(sincronismo/inicializao), com endereamento IP errado de retorno, para o alvo;

3. Para cada pacote SYN o alvo retorna um pacote SYN/ACK (sincronizar/confirmar)tentando formar uma conexo TCP, porm este endereo de origem no existe,

ento o alvo fica esperando finalizar falsas conexes.

Um exemplo para o ataque que limita os recursos para a transmisso de dados o

ataque distribudo utilizando o protocolo Internet control Message Protocol (ICMP).

Seguem-se as seguintes etapas para o ataque:

1. O atacante por meio das mquinas mestres instrui as mquinas escravas ou agentesa enviar pacotes ICMP ECHO (pacote que solicita aos destinatrios um resposta)

com um endereo de IP falsificado do alvo para vrias mquinas que atuam como

refletoras;


40/74

40

2. Essas mquinas refletoras de posse do endereo IP do alvo respondem com umpacote chamado ECHO REPLY tentando manter uma conexo;

3. O alvo que pode ser um roteador fica congestionado com os pacotes ECHO REPLYdas mquinas refletoras.

Outra maneira de classificar um ataque DDoS dividi-lo em diretos ou refletores.

No ataque direto o atacante instala softwares zumbis em sites da Internet. Instala softwares

zumbis em mquinas mestres que por sua vez instalam softwares zumbis em mquinas

escravas ou agentes, que vo disparar seu ataque contra o alvo ou vtima. J no ataque

refletor acrescentado uma nova camada de mquinas em relao ao ataque direto. Essa

camada chamada de refletora. Os zumbis escravos enviam pacotes para as mquinas

refletoras cujas respostas sero enviadas para a mquina alvo. Esse tipo de ataque muito

mais prejudicial do que um ataque direto, pois envolve um nmero muito maior demquinas.

4.4.3 VulnerabilidadesUm atacante precisa conhecer as vulnerabilidades das mquinas nas quais deseja

invadir. Esse processo conhecido com varredura, mas para isso torna-se necessrio ter

uma estratgia que permita o conhecimento destas vulnerabilidades. Abaixo segue algumas

estratgias de varredura: Aleatria: Mquinas comprometidas sondam endereos IP utilizando endereos de

origem diferentes;

Lista de acerto: Uma lista de mquinas com grande possibilidade de vulnerabilidadeso analisadas. Este processo lento. Porm, feita a anlise, e assim que as

mquinas comearem a ser infectadas, estas tambm passam a auxiliar na anlise de

vulnerabilidades e a infectar outras mquinas, o que torna a varredura muito mais

eficiente;

Topolgica: A partir de uma mquina infectada tira-se informao desta para seanalisar outras mquinas;

Subrede local: Logo que uma mquina que est atrs de umfirewall invadida, estaprocurar alvos na rede local. Para isto ela utilizar os endereos de sub-rede que

anteriormente estavam protegidos pelofirewall.


41/74

41

4.4.4 Ferramentas de ataque DDoSOs ataques DDoS no so nenhuma novidade. Desde seu surgimento em 1998 as

ferramentas de DDoS vm se desenvolvendo constantemente, ficando mais sofisticadas ecom melhores interfaces. Veja tabela 1:

1 Fapi2 Blitznet3 Trin004 TFN

5 Stacheldraht6 Shaft

7 TFN2K8 Trank

9 Trin00 win version

Tabela 1: Ordem de surgimento das ferramentas de DDoS.

Dentre estas aqui mostradas as principais ferramentas de DDoS so: Trin00, TFN,Stacheldraht e TFN2K.

4.4.4.1 Trin00Ferramenta distribuda que lana ataques coordenados de DDoS do tipo UDP flood.

Geralmente uma rede Trin00 composta por uma proporo muito maior de agentes do que

de masters. Algumas caractersticas so:

O controle remoto do master pelo atacante feito por conexo TCP; A comunicao master - agente feita via pacotes UDP ou TCP; A comunicao agente - master feita por pacotes UDP. Ao ser inicializado um daemon, este anuncia para o master sua disponibilidade

enviando uma mensagem, ao master. Este por sua vez tem uma lista de IP dasmquinas agentes que esto ativas e que esto sendo controladas pelo master. Um

nome comum encontrado no master como cliente o master.c e alguns dos nomes

de daemons que tm sido vistos nos agentes so: ns, http, trinix e etc. Essas

aplicaes no necessitam de privilgios de root.


42/74

42

4.4.4.2 TFN Tribe Flood NetworkFerramenta distribuda que lana ataques DoS a uma ou mais de uma mquina

vtima, por meio de outras mquinas que j esto comprometidas. Algumas caractersticasso:

Pode gerar ataques UDP flood, SYN flood, ICMP flood e Smurf/Fraggle(mecanismo de envio de pacotes para endereos de broadcasting);

Permite esconder o endereo origem dos pacotes o que dificulta a identificao doatacante;

O controle remoto do master feito pelo atacante realizado por comandosexecutados por meio do programa cliente e pode ser utilizado qualquer meio de

conexo, tais como rsh, telnet e etc;

A comunicao cliente daemons ou master agente feita por meio de pacotesICMP_ECHOREPLY;

O TFN assim como o Trin00 trabalha com uma lista do IP das mquinas com osdaemons instalados;

O nome tribe utilizado para a aplicao cliente e o nome td usado paraidentificar os daemons instaladas nos agentes. Estas aplicaes devem ser

executadas com privilgio de root.

4.4.4.3 STACHELDRAHTFerramenta distribuda que lana ataques DoS a uma ou mais de uma mquina

vtima, por meio de outras mquinas que j esto comprometidas. Pode-se dizer que esta

ferramenta uma juno da Trin00 e da TFN adicionada de mais alguns itens como

criptografia na comunicao entre atacante e master (telnet criptografado) e constante

atualizao dos agentes. Assim como a Trin00, a STACHELDRAHT composta por umaproporo maior de agentes do que de masters. Algumas caractersticas so:

Gerar ataques UDPflood, SYNflood, ICMPfloode Smurf/Fraggle; O controle remoto do master pelo atacante feito por conexo TCP; A comunicao entre masters e agentes e vice-versa feita por meio de pacotes

TCP e ICMP;


43/74

43

Programas clientes costumam vir com o nome de mserv e daemons com nomes deleaf ou td. Estas aplicaes devem ser executadas com privilgio de root.

4.4.4.4 TFN2K - TRIBLE FLOOD NETWORK 2000Ferramenta distribuda de DoS que foi escrita pelo mesmo autor da TFN, Mixter.

Algumas caractersticas so:

Pode gerar ataques UDPflood, SYNflood, ICMPfloode Smurf/Fraggle ou ainda adaemon pode ser instruda para alternar entre estes ataques;

O controle remoto do master pelo atacante feito via pacotes TCP, UDP, ICMP ouos trs aleatoriamente;

No h confirmao (ACK) de recepo de comandos como no TFN, ao invs dissoso enviados vrios comandos iguais para que pelo menos um chegue ao objetivo.

Abaixo segue a tabela 2 que um comparativo de meios de comunicao entre os

personagens de um ataque DDoS para cada ferramenta de DDoS:

Comunicao Trin00 TFN Stacheldraht TFN2K

Atacante-Master 27665/tcp icmp_echoreply 16660/tcp icmp/udp/tcp

Master-Agente 27444/udp ou1524/tcp

icmp_echoreply 65000/tcp,icmp_echoreply

icmp/udp/tcp

Agente-Master 31335/udp icmp_echoreply65000/tcp,

icmp_echoreplyicmp/udp/tcp

Tabela 2: Comparativo de meios de comunicao entre os personagens de um ataque DDoS

para cada ferramenta de DDoS.

4.4.5 Linhas de defesaBasicamente pode-se dizer que existem trs linhas de defesa contra ataque DDoS:

Preveno do ataque: O objetivo no negar o servio para usurios legtimos, maspermitir a resistncia do alvo. A tcnica determinar o consumo de recursos e o

fornecimento recursos reservas;


44/74

44

Detectar o ataque: O objetivo fazer a deteco o mais cedo possvel. A tcnica fazer uma busca por comportamentos suspeitos;

Rastear e identificar a origem do ataque: O objetivo prevenir ataques futuros apartir da origem do ataque. A tcnica de anlise da origem no to vivel quanto a

ataques em andamento, pois no traz resultados imediatos.

4.4.6 Como se defender do DDoSNo existe uma maneira totalmente eficaz para se defender de um ataque de DDoS

devido a fora e arquitetura do mesmo. A soluo perfeita seria configurar os computadores

para que estes no permitissem a invaso com o objetivo de formao de uma rede de

DDoS.

Apesar das dificuldades de se encontrar uma forma ideal de se proteger, existem

mtodos de defesa como, por exemplo, um plano de contingncia que uma forma de

defesa contra ataques de fora-bruta que consome recursos da rede devido a sua origem ser

de redes numerosas e com muitos recursos.

Uma poltica de segurana pode proteger contra ataques de DDoS, porm, ela deve

garantir que:

Usurios legtimos no venham a colaborar para possveis ataques; As senhas escolhidas devem ter um tamanho adequado e devem ser trocadas

periodicamente;

O acesso parte fsico deve ser feito apenas por administradores; Deve-se fazer constante atualizao do sistema; Os programas antivrus devem estar atualizados; Portas abertas devero somente ser as que esto sendo utilizadas; A largura de banda deve ser estipulada por servidor; Deve-se criar diretrizes para recebimentos de pacotes para endereo de

broadcasting;

Pode ser feito o bloqueio de endereos de internet na possibilidade de um ataque; Um plano de reao ideal para garantir uma boa resposta no momento crucial;


45/74

45

A implantao de um IDS, tomando o cuidado de se fazer uma verificao da redepara ver se a mesma no est comprometida.

4.4.6.1 DetecoNo que se diz respeito deteco de ataques DDoS temos como principal

dificuldade a criptografia. Por outro lado, h possibilidade da modificao do cdigo fonte

de forma que senhas e portas sejam alteradas quando se trata de preveno.

No entanto, h possibilidade de deteco e existem vrias maneiras de se fazer isso,

desde mtodos convencionais como Auditoria e Ferramentas de Deteco Especficas at

mtodos mais modernos como a instalao de IDS.

4.4.6.2 Deteco de anomalias de trfego (DDoS) usando Entropia No-ExtensivaPodemos fazer uma analogia quando falamos de anomalias de trfego e DDoS e

chegamos a concluso que se trata da mesma coisa. A principal caracterstica das anomalias

de trfego so as alteraes danosas que estas podem ocasionar rede. A Entropia No-

Extensiva analisa esse tipo de problema e existem formas de Entropia (que a avaliao do

padro de comportamento do trfego) como a de Shannon e a de Tsallis. Vrios estudos

foram feitos e concluiu-se que este tipo de deteco flexvel e permite um bom

desempenho. Mais adiante falaremos com detalhes desta utilizao de Entropia na deteco

de anomalias.

4.4.6.3 Algumas Ferramentas de Deteco de Negao de ServioO Zombie Zapper bloqueia um ataque em andamento. Se um IDS detecta que a rede

est sendo usada como base de ataque, o Zombie Zaper por meio de comandos enviados ao

Agente interrompe o ataque.

Find DDoS uma ferramenta desenvolvida pelo FBI justamente pelo grande

nmero de ataques de DDoS. O Find DDoS faz a localizao do Master e do Agente das

ferramentas de ataque DDoS, tais como Trin00, TFN2K, Tribe Flood Network e

Stacheldraht.


46/74

46

DDoS Ping que um programa desenvolvido pelo Robin Keir, torna mais fcil e

acessvel sua utilizao por possuir boa interface grfica. Detecta Agente com as seguintes

ferramentas Trin00, Stacheldraht e Tribe Food Network. A busca feita por meio de

mensagens ICMP e UDP enviadas para endereos IP que foram definidos pelo usurio.

4.4.7 Concluses relativas a ataques DDoSO DDoS passaram a preocupar quando suas ferramentas de ataque se popularizaram

na Internet. Estas ferramentas facilitam tanto a execuo de um ataque DDoS que mesmo

pessoas pouco experientes conseguem lanar um ataque desse tipo.

Ataques a protocolos podem ser evitados aps a descoberta de suas

vulnerabilidades. J os ataques de fora-bruta, ou seja, de DDoS so um pouco mais

complicados, pois devem ser detectados e combatidos em sua origem. Ameaas DDoS

sempre existiro quando uma mquina est conectada porque sempre h possibilidade de se

receber um grande nmero de dados.

Com a Internet nada mais cem por cento seguro, quando se est conectado.

Existem maneiras de se diminuir um ataque DDoS, mas nada infalvel. Tudo vai depender

da disponibilidade de tempo e experincia do atacante.

Uma soluo que est sendo estudada a implementao de vrios sistemas de

segurana que sero colocados em lugares estratgicos na Internet cuja finalidade seria

interromper esse tipo de ataque em sua origem. A partir do momento que um ataque DDoS

fosse detectado ento roteadores reduziriam ou bloqueariam o trfego. Posteriormente este

poderia liberar o trfego de forma que no inundasse os destinatrios.

Ataques recentes mostraram que tanto as redes locais quanto a Internet esto

vulnerveis a ataques DDoS. Assim de grande importncia, principalmente para os

administradores de rede, uma maior ateno no desenvolvimento dos mtodos de ataque de

preveno de DDoS, ou seja, novidades em IDSs.

4.5 IDS xFirewalls4.5.1 DefinindoFirewall


47/74

47

Um firewall um dispositivo de rede de computadores que analisa o trfego entre

redes. Ele pode impedir que dados no autorizados ou que possam vir a prejudicar a rede

entrem na mesma.

Costuma-se relacionar o conceito defirewall com proteo completa de uma rede de

computadores, porm umfirewall se restringe at o nvel quatro do modelo OSI.

A idia do Termo parede de fogo tem sua origem justamente pela funo que

desempenha esse equipamento. O que ele faz o mesmo que uma parede, pois no deixaria

passar o fogo. No entanto, neste caso o equipamento no deixa passar os dados nocivos que

prejudicariam a rede.

Os firewalls so encontrados tanto em hardware quanto em software, ou ento na

juno dos dois. Sua instalao muito relativa, pois depende do tamanho, da

complexidade de regras de entrada e sada e da segurana desejada na rede.Osfirewalls se classificam da seguinte forma:

Filtro de pacotes; Proxy firewall; Stateful firewall; Firewall de aplicao; Comandos e opes defirewall.

4.5.1.1 Filtro de pacotesEste tipo de sistema analisa os pacotes que passam da camada 2 de enlace para a

camada 3 de rede do modelo OSI.

As regras podem envolver endereo de origem e destino e as portas TCP/IP. Uma

das desvantagens seria a falta de controle dos tipos de pacotes o que permitiria a injeo de

pacotes simulados na sesso.

4.5.1.2 Proxy firewallIniciado em 1995 por Marcus Ranum o proxy recebe os dados de uma conexo e

antes de enviar para o solicitante faz uma anlise destes dados. Para que seja enviado para o

solicitante feito um novo pedido o qual quem controla ofirewall.

Algumas desvantagens so:


48/74

48

1. A cada nova soluo na internet necessrio um modelo compatvel deproxy;2. Os proxies trazem perda de desempenho na rede, pois teria que ter o

processamento tanto do gateway quanto doproxy;

4.5.1.3 Stateful firewallTrata-se de um tipo de firewall que inspeciona todos os pacotes em todas as

camadas do padro OSI. Possui a segurana de um gateway e a velocidade de um filtro de

pacotes, transparente aos usurios e permite ao administrador a adio de novos servios

de Internet com muita facilidade, somente por definio de novas Tuplas. H facilidade na

manuteno e instalao e de baixo custo.

4.5.1.4 Firewall de AplicaoAnalisa o protocolo da aplicao e define decises dentro de suas particularidades.

Este tipo defirewall exige um conhecimento muito grande dos protocolos de internet e no

processamento dos ataques focados na camada de aplicao. Exige ainda uma constante

evoluo na tecnologia das necessidades computacionais de umfirewall de aplicao. Estas

necessidades advm dos algoritmos e das regras de deteco e tambm da velocidade do

trnsito de pacotes pela rede. H ainda grande necessidade de altos recursos

computacionais para o processamento da criptografia e descriptografia dos pacotes que

passam por ele.

Para mais conhecimento a respeito do firewall de aplicao consulte a ApRisco

(Associao Profissional de Risco).

4.5.1.5 Comandos e Opes de FirewallMasquerade: opo que associada ao comando Iptables traduz endereos de rede

dos pacotes que passam pelo servidorfirewall.Redirect: opo que associada ao comando Iptables ou Ipchains configura um

sistema transparent proxing.

4.5.2 Firewall ou IDS
http://www.aprisco.org.br/http://www.aprisco.org.br/http://www.aprisco.org.br/


49/74

49

Costumamos nos perguntar o porqu de usarmos um IDS se j temos um firewall.

Sabendo que ofirewall permite conexes com o servidor de FTP e se algum tenta baixar o

passwd do servidor de ftp o firewall poder at reconhecer o trfego, mas no far o

bloqueio. J o IDS detectar essa movimentao e gerar um alerta. Se estivermos falando

de IPS este poder bloquear o trfego.

Em se tratando de modelo OSI os filtros de pacotes dos firewalls geralmente

trabalham nas camadas de rede e de transporte. Aps as aplicaes das regras, que so

checagem de endereos IP, protocolos e nmero de porta, os pacotes so filtrados com base

nessas checagens.

Osfirewalls simplesmente fazem essa checagem e filtram os pacotes que ele achar

fora da normalidade com base em regras pr-estabelecidas, assim, o firewall no faz uma

anlise do que est sendo feito pelo usurio. J o IDS trabalha tanto nas camadas trs equatro do modelo OSI como tambm na camada sete, ou seja, de aplicao. Ele busca por

Trojans, ataques de negao de servio etc. Como visto anteriormente existem dois tipos de

firewalls que atuam tambm na camada de aplicao: o stateful firewall que de baixo

custo e ofirewall de aplicao que exige um grande recurso computacional.

Podemos ento fazer a seguinte concluso:

Firewall = Trabalha de forma esttica (na maioria dos casos);

IDS/IPS = Trabalha de forma dinmica.


50/74

50

5 Segunda Lei da Termodinmica e EntropiaO leitor pode estar se perguntando o porqu de um captulo falando de

Termodinmica e Entropia, o fato que este conceito far com que possamos ver como a

Entropia pode ser usada em aplicaes de deteco de intrusos.

Um grande nome da astrofsica, o britnico Arthur Eddington fez a seguinte

concluso: Se a sua teoria contrariar alguma lei da fsica tudo bem, possvel que a lei

deva ser modificada. Mas se essa lei for a Segunda Lei da Termodinmica, pode jogar sua

teoria no lixo.

5.1 Relao entre a Segunda Lei da Termodinmica e a EntropiaA segunda lei da termodinmica uma das leis naturais mais importantes que

existe. Na sua forma simplria, que teve origem no sculo XIX proposta por Rudolf

Clausius, mdico alemo, e Lord Kelvin, fsico ingls, ela fala que o calor se transfere de

um corpo mais quente para um mais frio.

Por mais simples que possa parecer essa lei, ela nos trs uma informao de grande

valia, pois, nos mostra a causa de a desordem sempre tender a crescer e a ordem tender a

decrescer. Tambm nos d uma idia da passagem do tempo e do porqu do nosso

envelhecimento e outras questes tambm importantes sobre o mundo e a vida. Porm, oque nos interessa mesmo a idia de ordem e desordem conhecida como entropia.

Vamos por partes, comeando com fatos que so familiares para todo mundo.

Quando voc pe um cubo de acar no caf, o cubo dissolve. Uma vez dissolvido voc

no ver os gros de acar voltarem a formar o cubo [9].

Se voc abrir uma garrafa de perfume em um quarto fechado, voc sentir o cheiro

agradvel se espalhando pelo quarto. Isso ocorre por que as molculas de perfume chocam-

se entre si, escapando da garrafa, e, aos poucos, vo se chocando tambm com as molculas

de ar no quarto, e o perfume vai se difundindo. Voc no ver o aroma agradvel

desaparecer devido ao fato de todas as molculas espontaneamente no terem resolvido

voltar para a garrafa [9].

Mais um exemplo: voc quebra um ovo e prepara uma omelete. Jamais voc ver a

omelete se transformar de volta em um ovo. Todos esses processos mostram que existe uma


51/74

51

direo preferencial para a passagem do tempo. Se voc visse uma omelete se

transformando em um ovo, voc imediatamente concluiria, por mais estranho que fosse que

o tempo estivesse voltando. [9]

Estes exemplos (o ovo, o perfume e o cubo de acar) tm uma caracterstica em

comum, pois todos eles passam por um processo e terminam desorganizados (a omelete, o

perfume espalhado e o cubo de acar dissolvido). Esse processo no ocorre

especificamente com esses exemplos, pois isso ocorre com todo sistema que no troca

energia com o exterior. [9]

Sabe-se que a entropia a quantidade de desordem de um sistema, assim quanto

mais ordem, menor a entropia. No exemplo dado, o cubo de acar e a xcara de caf

possuem uma entropia menor do que a dos gros de acar dissolvidos no caf. Essa

comparao, ou seja, crescimento na entropia define a segunda lei da termodinmica: dadoum sistema isolado a entropia nunca tende a diminuir, porm, pode crescer ou ainda se

manter. A segunda lei tambm tem relao com a passagem de tempo, pois de costume

definir a passagem de tempo com o crescimento da entropia.

Podemos nos perguntar se a segunda lei no est em contradio com a teoria da

evoluo, pois, ns viemos de seres unicelulares totalmente simples e hoje somos seres com

formao biolgica muito organizada. A resposta j foi dada acima quando se fala na

segunda lei onde somente sistemas isolados que no trocam informao e energia com o

exterior e conseqentemente tendem a no se organizarem. E sabemos que este no o caso

dos seres vivos.

Todos os animais precisam de alimentao para produo de energia. Para se ter

vida, precisa-se de harmonia com outros seres, assim, no se pode viver isoladamente.

5.2 A Segunda Lei da Termodinmica e a Entropia Conceitos

5.2.1 EntropiaEntropia definida como uma grandeza termodinmica que se associa ao grau de

desordem. uma medida de parte da energia que no se transforma em trabalho. uma

funo de estado que aumenta seu valor durante um processo natural em um sistema capaz

de no fazer trocas de energia.


52/74

52

5.2.2 Segunda Lei da TermodinmicaDe acordo com o Princpio da Conservao da Energia em qualquer transformao

natural, a energia total ou final sempre constante. A primeira Lei da Termodinmica

reafirma essa idia, porm no prev a possibilidade da realizao dessa transformao.Existem muitos eventos que satisfazem essa Lei, mas que so praticamente impossveis de

acontecer.

A Segunda Lei da Termodinmica define que um corpo de maior temperatura passa

seu calor para um de menor temperatura, porm a possibilidade de o inverso acontecer

segundo a Primeira Lei, existe, mas praticamente impossvel, devido aos sistemas

tenderem ao equilbrio.

Em resumo a Segunda Lei da Termodinmica define que em uma transformao

natural, a energia vai de uma forma organizada para uma forma mais desorganizada,

conceito anteriormente visto como Entropia e que tem ntima ligao com essa Lei.

Essa Lei foi definida por Clausius da seguinte forma:

O calor no passa espontaneamente de um corpo para outro de temperatura mais

alta.

Visto que o calor uma forma de energia que sofreu certa degradao, a sua

converso em alguma outra forma de energia no to simples, embora a Primeira Lei

defenda essa possibilidade. Assim Kelvin e Planck definiram a Segunda Lei da

Termodinmica da seguinte forma:

impossvel construir uma mquina, operando em ciclos, cujo nico efeito seja

retirar calor de uma fonte e converte-lo integralmente em trabalho.

Imaginemos um recipiente com cem bolinhas vermelhas num recipiente fechado e

cem bolinhas azuis acima destas. Em seguida pegamos o recipiente e o agitamos. Existe a

possibilidade dessas bolinhas retornarem a posio inicial, porm essa possibilidade

muito pequena. Outro exemplo seria um baralho ordenado por naipes e valores que aps serembaralhado, para retornar a posio inicial seria praticamente impossvel sua ordenao

depois de uma nova tentativa de ordenao por meio de embaralhamento.

Os fenmenos naturais tendem a irem sempre para os estados mais provveis. Por

isso a idia de tudo sempre passar de um sistema ordenado para um desordenado. Retira-se

ento a seguinte concluso:


53/74

53

medida que o Universo evolui, a desordem sempre aumenta.

Em todos os fenmenos naturais, a tendncia uma evoluo para um estado de

maior desordem.

Clausius inseriu o conceito matemtico de Entropia no conceito estatstico de

desordem. Com essa relao, a Entropia aumenta quando aumenta a desordem nos

processos naturais. Assim:

As transformaes naturais sempre levam a um aumento na Entropia do Universo.

Uma variao de entropia entende-se com sendo a ineficcia da energia do sistema

em uma evoluo natural. Assim, um sistema sempre tende a diminuir a possibilidade de se

conseguir uma energia aproveitvel.

Falando em transformao natural, quando esta ocorre, uma forma de energia se

converteu em calor, diminuindo energia total do sistema e aumentando a Entropia domesmo. Em resumo podemos dizer que essa quantidade de calor uma medida parcial do

aumento de Entropia.


54/74

54

6 Entropia No-Extensiva de Tsallis e sua utilizao na Deteco deAnomalias de Trfego

Anomalias so alteraes nos enlaces de rede no muito comuns e que merecem um

pouco de ateno, pois, podem trazer complicaes posteriores. Para se fazer deteco

desse tipo de anomalias falaremos neste captulo da Entropia No-Extensiva de Tsallis que

uma variao da Entropia de Shannon. Esse tipo de Entropia uma proposta bem atraente

devido a sua flexibilidade no nvel de deteco, pois podemos ajustar o nvel de acordo com

a necessidade, e tambm pelo seu desempenho se comparado com outras abordagens.

A partir da metrologia de redes podemos obter vrias concluses no que diz respeito

Internet e a redes em geral de pequeno porte. Alteraes significativas e pouco comuns

nos enlaces de rede, com ou sem inteno. Essas alteraes so provenientes de DDoS e

problemas com encaminhamentos de endereos IP, que inclui falha em equipamentos e m

configurao de roteadores. Para se obter um diagnstico de anomalias, esbarramos em

algumas dificuldades tais como a variedade das anomalias e o volume de dados, pois

dificulta a anlise.

Este diagnstico a deteco, identificao e quantificao das anomalias. Detectar

seria analisar a rede e verificar alguma anomalia em determinado perodo. Identificar o

mesmo que, a partir de uma base de dados fazermos a classificao da anomalia. Por fim, a

quantificao a contagem do volume de situaes anmalas. A deteco de grande valiaporque permite tomarmos uma linha de ao rapidamente aps a identificao.

Sabe-se que a probabilidade do nvel de trfego nos ns de entrada e sada de uma

rede pode ser utilizada para quantificao das anomalias atravs de Entropia. A proposta,

contudo no trabalhar com a Entropia de Shannon, idia muito utilizada para deteco de

anomalias, mas sim com uma generalizao da mesma que Entropia No-Extensiva de

Tsallis.

A Entropia No-Extensiva de Tsallis bastante flexvel devido possibilidade da

variao do nvel de sensibilidade das deteces. Ela melhora o desempenho quanto

deteco e diminui os falsos negativos.

6.1 Clculo de EntropiaO clculo de Entropia feito para quatro categorias:


55/74

55

1- Entropia de portas de origem;2- Entropia de portas de destino;3- Entropia de endereos de origem;4- Entropia de endereos de destino;

A classificao da anomalia obtida de um cruzamento entre os quatro valores de

Entropia. As caractersticas de uma anomalia so obtidas por meio do nvel de concentrao

e disperso das categorias mencionadas anteriormente. A Entropia no-extensiva de Tsallis

apesar de ser utilizada hoje em dia em diversas situaes, com esta abordagem a que

estamos nos referindo que a deteco de anomalias, no ainda difundida e nem

abordada. Posteriormente falaremos do clculo prtico, ou matemtico de Entropia.

6.2 Entropia de Shannon e Entropia No-Extensiva de TsallisNeste tpico mencionaremos o conceito de Teoria da Informao para entendimento

da Entropia de Shannon e sua utilizao na deteco de anomalias. Em seguida faremos a

abordagem da Entropia No-Extensiva de Tsallis para obteno de uma viso amplificada e

de melhor desempenho para anlise de anomalias.

6.2.1 Teoria da InformaoTeoria da informao um ramo da teoria da probabilidade e da matemtica

estatstica que lida com sistemas de comunicao, transmisso de dados, criptografia,

codificao, teoria do rudo, correo de erros, compresso de dados e etc. Ela no deve ser

confundida com tecnologia da informao e biblioteconomia [10].

Claude E. Shannon conhecido como o pai da teoria da informao foi o primeiro a

tratar da comunicao como um problema matemtico embasado na estatstica onde

determina o nvel de eficincia de um canal de comunicao atravs das ocorrncias dos

bits. Esta teoria tem relao com a perda de informaes quando h compresso de dados e

tambm quando se transmite um sinal em um canal com problemas de rudo. Atravs dessa

teoria Shannon definiu a medida de Entropia.


56/74

56

Esta entropia que foi definida por Shannon tem ligao direta com a entropia

definida pelos fsicos. H uma relao entre a entropia definida na termodinmica e na

teoria da informao. Esta teoria de Shannon mede a incerteza em um espao desordenado.

6.2.2 Entropia de ShannonPode-se dizer que uma medida ligada quantidade de informaes e de incerteza

em um dado sistema com base na probabilidade de um determinado fenmeno acontecer

[11]. A Entropia utilizada para determinar atravs de um volume de dados o

comportamento destes, onde esse volume pode ser de fluxos IP ou ento quantidade de

bytes. Atravs desse volume de dados determinamos se o fluxo de dados est concentrado,

onde grande parte dos dados est indo para um nico ponto de rede, ou disperso, quando o

trfego est distribudo. Atravs desse trfego podemos calcular a probabilidade do fluxo

de dados nos ns e determinar o nvel de entropia em cada ponto de rede.

Entropia de Shannon:

i

n

i

i PPHs 21

log

=

Onde: n nmero de eventos;

Pi a distribuio da probabilidade;

Hs varia entre 0 n2log que determina o grau de caoticidade da distribuio de

probabilidade Pi e pode ser usada para determinar a capacidade do canal necessria para

transmitir a informao;

Observaes:

Hs = 0, concentrao mxima (todo o trfego para um nico ponto);

Hs = maxHs , dispero total (trfego distribudo uniformemente com probabilidadede 1/n).

Podemos concluir que quanto maior a Entropia, mais disperso est o trfego e

melhor funciona o sistema. Quanto maior a proximidade da probabilidade de um evento

ocorrer em determinado ponto do sistema, mais disperso este ser, e assim vice-versa. Fica

ento a frmula definida da seguinte maneira:


57/74

57

nnn

Hsn

i

2

1

2

max log1

log1

=

=

=

6.2.3 Entropia e sua utilizao na deteco de anomaliasAtravs do fluxo de dados podemos agrupar o fluxo de entrada e de sada por cada

ponto de domnio. Assim, podemos calcular as probabilidades de cada ponto de entrada

chamado origem e cada ponto de sada chamada destino. A partir desse conceito podemos

definir quatro categorias importantes quanto deteco de anomalias:

1.

Origem concentrada e destino concentrado (CC);2. Origem concentrada e destino disperso (CD);3. Origem dispersa e destino concentrado (DC);4. Origem dispersa e destino disperso (DD).

Analisando a ilustrao abaixo veremos a indicao de trfego de entrada e sada

nos pontos de presena: Na figura 15, as setas maiores indicam um grande volume de

trfego, enquanto que as setas menores indicam menor trfego nos demais pontos. Se todas

as setas estiverem com o mesmo tamanho ento isso indicar que o padro de trfego est

uniforme. Veja figura 15:


58/74

58

Figura 15: Demonstrativo de concentrao disperso de trfego num domnio IP.

Anlise:

1 caso: O trfego entra predominantemente pelos pontos 1 e 6 e sai com maior

concentrao pelo ponto 5, caracterizando um padro definido como Concentrado-

Concentrado (CC);

2 caso: O trfego entra predominantemente pelos pontos 1 e 6 e sai aps o

roteamento distribudo uniformemente por todos os pontos de presena restantes

caracterizando o padro Concentrao-Disperso (CD);

3 caso: O trfego entra uniformemente distribudo por todos os pontos e sai de

forma concentrada pelo ponto 5 caracterizando o padro Disperso-Concentrao (DC);

4 caso: O trfego entra e sai uniformemente distribudo por todos os pontos,

caracterizando o padro de trfego Disperso-Disperso (DD).

Na figura 16 mostraremos como um padro de trfego pode determinar algumas

situaes em que h ocorrncia de anomalias.


59/74

59

Figura 16: Como se caracteriza uma anomalia atravs dos padres de trfego.

Anlise:

1 caso: Transmisso Multicast onde o ponto de presena 2 recebe todo o trfego e

aps sua replicao no domnio retransmitida pelos ponto 5, 6, 7 e 8 definindo um trfego

CD (Concentrao - Disperso);

2 caso: Trata-se de um Ataque Distribudo de Negao de Servio (Distributed

Denial of Service - DDoS) e neste caso feito por intermdio dos pontos 1, 2, 3 e 4 ondeestes recebem os fluxo com os endereos destinados a um nico ponto, neste caso o ponto

6, assim sendo define-se um padro de trfego DC ( Disperso Concentrao).

6.2.4 Entropia No Extensiva de Tsallis Clculo e Utilizao na deteco deanomalias

6.2.4.1 Clculo da Entropia No Extensiva de TsallisA Entropia No Extensiva de Tsallis uma generalizao da Entropia de Shannon.

1

1

1

=

=

q

Pi

Hq

n

i

q

Onde: n o total de elementos;


60/74

60

Pi a probabilidade de um evento ocorrer;

q define o grau de extensividade do sistema, ou seja, a sensibilidade do

sistema quanto deteco de anomalias.

logo: 0


61/74

61

7 Equipamentos e ProgramasVrios equipamentos e programas de IDS e IPS esto disponveis atualmente. Como

IDS destacamos o Snort, e citamos o Ossec HIDS e como IPS citamos os Appliances e o

HLBR. Cabe salientar que o objetivo dar maior destaque para o Snort como IDS.

7.1 SnortO Snort um sistema de deteco de intruso

baseado em rede, onde aplicado em segmentos de

rede para deteco de intrusos. uma ferramenta muito

utilizada por administradores de rede, pois uma

ferramenta

IDS IPS e Entropia

Documents

Transcript of IDS IPS e Entropia