Thursday, September 5, 2002

Tamanduá Network Intrusion Detection System

Gustavo Scotti, consultor estratégico da Axur Information Security.

É com muito orgulho que estamos lançando a nova versão do Tamanduá Network Intrusion Detection System. Em sua nova versão 1.2. – testada e atualizada em conjunto com a comunidade mundial de segurança da informação, o Tamanduá NIDS explora o que há de mais eficaz na arte da detecção de intrusos pela análise de pacotes de rede.

Durante seu período de teste, onde apenas desenvolvedores experientes estavam em condições de operá-lo, o sistema aprendeu muito; sua evolução resultou em um software adaptado às necessidades reais do dia-a-dia de um administrador de rede.

Base ao retorno da comunidade de segurança, conseqüência única do nosso empenho em oferecer uma tecnologia “um passo a frente” ao que já existe no mercado de código aberto, o Tamanduá Labs, centro de desenvolvimento de tecnologia da Axur Information Security (www.axur.com.br) comprova mais uma vez a alta qualidade dos produtos 100% nacionais.

O esforço conjunto e a capacidade técnica de altíssimo nível da ViaConnect (www.viaconnect.inf.br), com o desenvolvimento das regras que hoje servem o Tamanduá NIDS, foi fundamental para o sucesso deste projeto.

Dentro as novas características do Tamanduá NIDS – além da fácil instalação e da interface amigável, podemos destacar:

IDS Distribuído
O Tamanduá trabalha de forma distribuída. O console centraliza as configurações, regras e registros, enquanto os sensores são distribuídos em sua rede.

Sniffer Inteligente
Os mecanismos de coleta e distribuição de dados são feitos através de comunicação assíncrona e de plug-ins. O Tamanduá NIDS pode analisar a ameaça em diferentes pacotes de rede, seguindo a sessão da conexão, ao invés de análises simples, em pacotes isolados.

Defragmentação
O sniffer inteligente faz o processo de defragmentação – a análise é ideal mesmo em uma situação onde a fragmentação é intencional, como ocorre com o fragroute. Além disso, cada fragmento é processado, permitindo uma análise de vulnerabilidades baseada na má formação de pacotes fragmentados.

Suporte a Mini-MTU
Se o MTU da interface de rede utiliza, intencionalmente, pacotes com uma quantidade reduzida de dados, ainda assim não comprometerá a análise da sessão. Por exemplo, se procuramos pela palavra “AXUR”, e esta palavra estiver distribuída em quatro pacotes de rede, o Tamanduá NIDS conseguirá identificar a assinatura através de seu mecanismo de Mini-MTU. Em outras palavras: uma análise baseada na pesquisa de dados (string match), vai comparar o dado com o conteúdo do pacote, e havendo uma parcial checagem correta, esta se estenderá ao próximo pacote da sessão.

Sistema rodando em múltiplas threads
O Tamanduá roda em 3 threads distintas: (1) capture thread , coleta os pacotes de rede e insere os dados a uma lista de análise; (2) analyze thread, realiza a análise da fila de pacotes gerada pela capture thread e distribui esses pacotes para cada plug-in registrado sob a função de análise de rede; e (3) administrative thread , que se encarrega das funções administrativas do software, do controle dos plug -ins e sistema operacional.

Mecanismo MLB (Multi-Layered Boolean)
Tecnologia exclusiva; organiza as assinaturas provendo instruções confiáveis capazes de garantir que o ataque está mesmo ocorrendo. Significa que através desta tecnologia do Tamanduá Labs, é possível que não haja falsos-positivos (dependendo, logicamente, das assinaturas disponíveis). O sistema Tamanduá NIDS, possui um formato de assinatura extremamente simples, ficando muito fácil criar e personalizar cada regra a sua necessidade.

Instruções Complexas
As instruções do Tamanduá NIDS incluem padrões de RFC para os protocolos IP, TCP, UDP e ICMP. Possui também eficientes instruções de análise para os dados de aplicação, como strlen, string, data e log, esta última que registra porções do pacote, deixando os registros mais completos e ricos em informações.

Registro em Banco de Dadoss
O software Tamanduá NIDS possui um mecanismo nativo que registra os dados em uma base do tipo MySQL. Desta forma fica extremamente simples manipular os dados e gerar seus próprios relatórios, utilizando a sintaxe SQL.

Registros de Pacotes
O Tamanduá NIDS pode gravar toda a sessão ativa de uma assinatura, para a sua posterior averiguação, ou até para simular a sessão gravada. Um exemplo prático desta característica seria a necessidade de registrar a sessão de todos os operadores de mainframe, com acesso administrativo. Cada sessão pode ser gravada e posteriormente “executada”, onde o responsável pela segurança poderá visualizar a sessão do usuário em tempo proporcional ou acelerado – ferramenta Tamanduá Packet Replayer, disponível somente na versão comercial.

Plug-ins de Resposta Imediata
Nesta versão do software Tamanduá, há dois tipos de resposta. O response-exec e o response-reset. Operando no sensor, estes plug-ins disparam ações proativas para eliminar a ameaça. Você pode, por exemplo, colocar um IP em quarentena no firewall ou interromper a sessão de rede. Há ainda a possibilidade de utilizar uma regra que force o plug-in de resposta imediata ser acionado.

Relatórios Dinâmicos em Web
O Tamanduá vem com uma interface de visualização dos registros que faz filtros pelo sensor, perfil e por intervalos de tempo (diário, semanal e mensal).

Contato
A nova versão do Tamanduá já está disponível para download, e não requer a compra de licenças: http://tamandua.axur.org.

Por enquanto, a versão 1.2 do Tamanduá está disponível apenas para UNIX e depende de alguns pré -requisitos, descritos no seu manual, disponível no website oficial.