Tipos de IDS

IDS podem ser instalados em diferentes locais de uma rede, e isso caracteriza seu tipo e as ações que ele desempenhará. Nesta seção, iremos apresentar os três tipos mais comuns de IDS.

IDS baseado em host (HIDS)

Esse tipo de IDS procura por indícios de intrusão na máquina onde está instalado. Em geral, com base em informações de arquivos de log do sistema operacional, eles procuram por atividades que não são comuns, como tentativas de login ou tentativas de alteração em privilégios do sistema. Por exemplo, se algum usuário tentar logar como administrador no Linux usando o comando su, o sistema vai gravar tal tentativa em um log de ações e incluir o login do usuário que fez a tentativa com o horário. A Figura 2 mostra algumas informações do sistema que podem ser analisadas por um HIDS.

Dentre as vantagens de um HIDS, vale destacar:

• A capacidade de monitorar atividades do sistema tais como acesso a arquivos, modificação de permissões, login e logout de usuários etc;
• A dependência da topologia da rede;
• Não necessidade de hardware adicional.

Algumas de suas desvantagens são:

• Escalabilidade (dificuldade de gerenciar e configurar todos os hosts que devem ser monitorados);
• Dependência do Sistema Operacional (um HIDS que funciona no Windows é diferente de um para o Linux ou para Mac OS X);
• Capacidade de comprometer o desempenho do host monitorado.

Perceba que a Figura 3 ilustra a arquitetura típica de uma rede com um HIDS.

IDS baseado em rede (NIDS)

Esse tipo de IDS monitora o tráfego de uma rede ou segmento dela. Em geral, sua operação exige que a interface de rede do IDS opere em modo promíscuo ― como também ocorre nos sniffers. No modo promíscuo, todos os pacotes “avistados” pela interface de rede de uma máquina serão recebidos, mesmo que não sejam destinados a ela.

Normalmente, o NIDS captura os cabeçalhos e, opcionalmente, parte do conteúdo dos pacotes e os compara com uma série de padrões conhecidos característicos de ataques. Atualmente, o NIDS mais utilizado no mundo é o Snort. Esse tipo de IDS em geral é dividido em duas partes, as quais veremos a seguir.

• Sensores: são posicionados nos segmentos de rede que se deseja monitorar. Realizam a captura e análise do tráfego de rede. Os sensores são instalados em uma máquina específica, mas, por atuarem em modo promíscuo, um único sensor tem a capacidade de detectar tentativas de intrusão destinadas a todas as máquinas da rede monitorada (ou originadas nelas).
• Estação de gerenciamento: é uma estação que gerencia os sensores. Em geral, o software da estação de gerenciamento possui uma boa interface gráfica que permite a configuração dos sensores e visualização dos alarmes por eles gerados.

A Figura 4 ilustra a arquitetura de uma rede com um NIDS. Vale salientar que, muitas vezes, a comunicação entre sensores e o console usa criptografia. Dentre as vantagens de um NIDS, podemos destacar:

• Possibilidade de monitorar estações de trabalho e servidores com sistemas operacionais e aplicações bastante distintas;
• Possibilidade de detectar diversos tipos de ataques;
• Detecção de ataques em tempo real;
• Ausência de impacto no desempenho da rede ou hosts monitorados.

Dentre suas desvantagens, temos:

• Perda de pacotes em redes saturadas;
• Impossibilidade de monitorar tráfego criptografado;
• Dificuldade de uso em redes que utilizam switches.

IDS híbrido

Os dois tipos de IDS apresentados anteriormente podem se complementar, uma vez que os HDIS atuam em estações e o NIDS analisa o tráfego de rede. Dessa forma, podemos utilizar um NIDS para detectar ataques destinados às estações clientes da rede local (ou que partem delas), e um HIDS em cada um dos servidores da rede. A Figura 5 mostra uma rede que utiliza este tipo de solução.