Este artigo foi escrito a fim de explicar e exemplificar o funcionamento de IDS, Firewall e HoneyPots. As mesmas citadas anteriormente são ferramentas de seguranças ou utilizadas para prover esta.
IDS: Sistema de detecção de intrusos ou simplesmente IDS ( em inglês: Intrusion detection system) refere-se a meios técnicos de descobrir em uma rede possíveis tentativas de acessos não autorizados que podem indicar.
Com o acentuado crescimento das tecnologias de infra-estrutura tanto nos serviços quanto nos protocolos de rede torna-se cada vez mais difícil a implantação de sistema de detecção de intrusos ou detecção de intrusão. Esse fato está intimamente ligado não somente a velocidade com que as tecnologias avançam, mas principalmente com a complexidade dos meios que são utilizados para aumentar a segurança nas transmissões de dados.
Uma solução bastante discutida é a utilização de host-based IDS que analisam o tráfego de forma individual em uma rede. No host-based o IDS é instalado em um servidor para alertar e identificar ataques e tentativas de acessos indevidos.
Segue abaixo uma breve demonstração de como algumas tecnologias podem dificultar a utilização de sistemas de detecção de intrusos.
SSL, IPSec e outros
IDS baseadas em rede, ou network-based, monitoram os cabeçalhos e o campo de dados dos pacotes a fim de detectar possíveis invasores no sistema, além de acessos que podem prejudicar a performance da rede. A implantação de criptografia (implementada via SSL, IPSec e outras) nas transmissões de dados como elemento de segurança prejudica esse processo. Tal ciframento pode ser aplicado no cabeçalho do pacote, na área de dados do pacote ou até mesmo no pacote inteiro, impedindo e ou dificultando o entendimento dos dados por entidades que não sejam o seu real destinatário.
Firewall é o nome dado ao dispositivo/software de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos não autorizados de uma rede para outra.
O firewall funciona como um porteiro permitindo ou negando acesso ao computador ou a rede. Vale ressaltar ainda que existem firewalls que são instalados diretamente na máquina do “cliente” estes são chamados de firewall pessoal.
HoneyPot (em português, Pote de Mel) é um recurso computacional de segurança dedicado a ser sondado, atacado ou comprometido.
Existem dois tipos de honeypots: os de baixa interatividade e os de alta interatividade.
Honeypots de baixa interatividade
Em um honeypot de baixa interatividade são instaladas ferramentas para emular sistemas operacionais e serviços com os quais os atacantes irão interagir. Desta forma, o sistema operacional real deste tipo de honeypot deve ser instalado e configurado de modo seguro, para minimizar o risco de comprometimento.
O honeyd é um exemplo de ferramenta utilizada para implementar honeypots de baixa interatividade.
Honeypots de alta interatividade
Nos honeypots de alta interatividade os atacantes interagem com sistemas operacionais, aplicações e serviços reais.
Exemplos de honeypots de alta interatividade são as honeynets reais e as honeynets virtuais.
Honeynet
Definição 1: uma Honeynet é uma ferramenta de pesquisa, que consiste de uma rede projetada especificamente para ser comprometida, e que contém mecanismos de controle para prevenir que seja utilizada como base de ataques contra outras redes.
Definição 2: uma Honeynet nada mais é do que um tipo de honeypot. Especificamente, é um honeypot de alta interatividade, projetado para pesquisa e obtenção de informações dos invasores. É conhecido também como “honeypot de pesquisa”.
Uma vez comprometida, a honeynet é utilizada para observar o comportamento dos invasores, possibilitando análises detalhadas das ferramentas utilizadas, de suas motivações e das vulnerabilidades exploradas.
Uma honeynet normalmente contém um segmento de rede com honeypots de diversos sistemas operacionais e que fornecem diversas aplicações e serviços. Também contém mecanismos de contenção robustos, com múltiplos níveis de controle, além de sistemas para captura e coleta de dados, e para geração de alertas.
Existem dois tipos de honeynets: as honeynets reais (ou simplesmente honeynets) e as honeynets virtuais.