Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Abstract. The need for continuous monitoring of network assets, as well as actions
and countermeasures related to security incidents, have added great value within
the enterprise environment. Thus, it is essential that there be a tool to monitor,
analyze and generate countermeasures according to the context of the intrusion and
its degree of severity. Based on this, the aim of this paper is to present a tool that
aids in the detection of the major events of intrusion by informing security managers
and, when possible, generating actions capable of halting an attack.
Resumo. A necessidade de monitoramento contnuo dos ativos sde rede, alm de
aes e contra medidas relacionadas aos incidentes de segurana, tm agregado
grande valor dentro de ambientes corporativos. Dessa forma, essencial a
existncia de uma ferramenta capaz de monitorar, analisar e gerar contra medidas
de acordo com o contexto da intruso e seu grau de severidade. A partir disso, o
objetivo desse artigo apresentar uma ferramenta capaz de auxiliar na deteco
dos principais eventos de intruso, informar aos responsveis pela segurana e,
quando possvel, gerar aes capazes de fazer cessar o ataque.
1. Introduo
Segundo a norma ISO/IEC (2005), com a evoluo das redes de computadores e o
consequente relacionamento entres as redes privadas e pblicas atravs da disponibilizao de
sistemas de informao e outros servios, as organizaes depararam-se com uma vasta gama
de ameaas provenientes de diversas fontes, por exemplo, os ataques de fora bruta. Tais
problemas demandaram a necessidade de investimentos em mecanismos de segurana da
informao e das redes que lhes do suporte, dentre eles os IDSs (Intrusion Detection
Systems). Levando em considerao a variedade de ameaas presente num ambiente de redes,
como possvel monitorar de forma proativa e prevenir tentativas de invaso no ambiente
corporativo? tendo em vista a dificuldade encontrada pelos administradores em detectar
provveis tentativas de invaso, torna-se necessrio um mecanismo capaz de alertar sobre tais
evidncias, enviando informaes ao responsvel pela segurana (STREBE; PERKINS,
2002).
Tendo em vista o exposto, esse artigo objetiva dar embasamento necessidade de uma
ferramenta de monitoramento, ou seja, um IDS, o qual servir de suporte poltica de
segurana da corporao, dando apoio direto ao responsvel pela segurana de forma que o
mesmo seja mais proativo em relao s contra medidas.
legais devem ser seguidas por toda a organizao bem como fornecedores e servios
terceirizados.
Deve-se criar uma poltica de segurana, ou seja, um documento que deve conter todas
as regras e procedimentos de segurana da organizao e uma pessoa ou equipe de segurana
responsvel por mant-lo e revis-lo de acordo com as necessidades da organizao (ISO/IEC
17799:2005). Com uma poltica de segurana elaborada e aprovada pela gerncia, o gestor de
segurana de informao ter uma direo e poder gerenciar de uma maneira objetiva as
ameaas segurana.
Existem vrias regras, procedimentos e ferramentas que podem auxiliar o gestor de
sistemas de informaes a identificar, controlar e at eliminar riscos de segurana que podem
afetar sistemas de informaes. Eles fazem parte de uma poltica de segurana que deve ser
conhecida por todos os membros da organizao permitindo adoo de diferentes medidas de
acordo com cada situao. Os controles podem ser: Fsicos, barreiras ou obstculos,
organizados em nveis de acesso e usados para dificultar o acesso no autorizado
informao; ou Lgicos, softwares e protocolos seguros que auxiliam no monitoramento e no
controle de acessos no autorizados sistemas de informaes. Com esses controles
possvel coletar informaes importantes, como: horrio de acesso, usurio de acesso, forma
de acesso, tentativas de ataques, falhas de softwares e vrios outros tipos de informaes que
iro auxiliar o administrador a tomar decises importantes. Muitas empresas e organizaes
fazem uso de controles como: firewall, 2IDS, anti-vrus, anti-spam, criptografia, honeypots
para garantir o mnimo de perda e, consequentemente, um bom andamento dos negcios. Em
ambientes corporativos instrumentos como, firewall, anti-vrus, criptografia so muito usados
para garantir o mnimo de segurana.
novas formas de ataque, porm, acaba gerando muitos falsos positivo e requer que seja
definido o que considera-se um comportamento normal.
A coleta de eventos, no caso dos hids, monitora, o comportamento dos componentes
cada mquina, ou seja, hardware, sistema operacional e integridade de arquivos, por exemplo.
Possui como principal vantagem o fato de estar hospedado diretamente na mquina que est
sendo analisada. Suas principais desvantagens so a queda de rendimento da mquina que o
hospeda e o fato de no possuir uma viso geral da rede. Em contrapartida, a coleta de eventos
num nids capaz de analisar as interaes e monitorar um vasto conjunto de mquinas, alm
de ser capaz de capturar os pacotes que trafegam pela rede.
Em ltima instncia, temos os ids ativos, os quais tentam bloquear, responder com
contra medidas ou alertar o administrador, enquanto os passivos restringem-se apenas a tarefa
de registrar as invases ou criar registros de ocorrncias que aparecem depois do ataque
(STREBE; PERKINS, 2002).
Alm do uso de um IDS, h muitos fatores que devem ser levados em considerao em
relao segurana na Internet, Dentre eles, podemos citar: o nvel de segurana do firewall,
a preparao dos usurios frente a ataques de engenharia social4, o nvel de confiana dos
funcionrios, as possveis brechas de permetro, as possveis infeces dos sistemas por
backdoors e a venda no autorizada de informaes por um usurio. Tendo em vista que o
atacante procura explorar o elo mais fraco que compe a defesa, deve-se organiz-la em
camadas, ou seja, uma abordagem conhecida como defesa em profundidade. A defesa em
profundidade parte do pressuposto de que se uma camada falhar, a outra pode salv-lo
(CHESWICK, et. Al, 2005).
Os IDSs, em sua atuao, utilizam-se de vrios controles a fim de detectar e tomar
medidas necessrias ao no comprometimento de um host tido como um alvo em potencial.
Segundo Guimares (2006, pag. 26), um IDS bem configurado capaz de identificar e alertar
o administrador de rede diante das seguintes situaes de ataque: ataques de transbordamento
ou buffer overflow, explorao do servidor DNS, tentativas de acesso com nvel de
administrador e tentativas de acesso a bancos de dados
5. Instalao e configurao de um IDS
De acordo com o site oficial 5, o Ossec um sistema open source 6, passvel de redistribuo
e/ou modificao sob os termos da licena GNU 7(verso 3), como publicado pela FSF Free
Software Foundation. Conforme mencionado anteriormente, ele atua como um hids, e tem seu
foco principal no host hospedeiro no qual o mesmo instalado, sendo compatvel com a
maioria dos sistemas operacionais, incluindo Linux, MacOS, Solaris, HP-UX, AIX e
Windows.
Dadas as peculiaridades de cada S.O., deste ponto em diante, tomaremos como sistema
padro para demonstrao e instalao da ferramenta o Linux. Tendo em vista que o
instalador do Ossec necessita compilar a ferramenta a partir do cdigo fonte a primeira vez
que ela executada, necessrio que o sistema possua um compilador. A maioria dos
sistemas Linux8 ou BSD possuem um compilador C. Por exemplo, em ambientes Linux/BSD,
4
Entende-se por engenharia social a tcnica de usar persuaso e/ou fraude para obter acesso aos sistemas de
informao (MCCLURE, Stuart et. Al, 2003).
5
O site oficial do Ossec hids est acessvel a partir da url http://www.ossec.net.
6
Este termo, ao p da letra, significa fonte aberta ou cdigo fonte aberto e surgiu inicialmente em 1998,
usado por programadores para identificar seus produtos como programas no proprietrios ou software livre
(FERRARI,2007).
7
Licena de Software Livre que se tornou conhecida como copyleft (cpia livre) em oposio ao copyritht
(FERRARI, 2007).
Sistema desenvolvido por Linus Torvalds a partir do aprimoramento do kernel do Minix e distribuido sob a
licena GNU - GPL. Seu nome proveniente da fuso do nomes Linus e Minix (FERRARI, 2007).
de um tempo predeterminado. So elas: host-deny, para negar acesso aos servios da mquina
e firewall-drop, para dropar todos os pacotes provenientes do IP de ataque. A sintaxe da tag
<active-response> demonstrada abaixo e configurada para ser aplicada para todos os
eventos que atingirem a severidade nvel seis, por um tempo de seiscentos segundos.
<active-response>
<command> nome da regra </command>
<location>local</location>
<level> nvel de severidade </level>
<timeout> tempo em segundos </timeout>
</active-response>
Aps serem aplicados esses refinamentos o Ossec est pronto para uso e j estar
emitindo os alertas conformes os eventos forem detectados.
Para o ambiente de simulao sero proposto para a demonstrao da ferramenta sero
utilizados os seguintes componentes: uma estao com sistema operacional Ubuntu 10.10,
simulando o servidor atacado; uma com sistema operacional Ubuntu 10.10 simmulando o
atacante 1 e uma estao com o windows vista simulando o atacante 2.
3.Ferramenta de deteco de intruso baseada em host: Ossec HIDS verso 2.5.1 para linux;
destination
all -- 192.168.0.115
anywhere
destination
all -- 192.168.0.115
anywhere
Referncias
CHESWICK, R. William et. al. Firewall e Segurana na Internet:Repelindo o Hacker
Ardiloso. 2.ed. Porto Alegre: Bookman, 2005.
EDWARD, G. Amoroso. Intrusion Detection: An introduction to internet surveilance,
correlation, traps, trace back, and response. Net Books, 1999.
FERRARI, Fabrcio Augusto. Curso Prtico de Linux. So Paulo: Digerati Books, 2007.
INFOCUS, Segurana das Informaes em Redes. [s.d.]. Disponvel
<http://www.interfocus.com.br/seguranca.htm>. Acesso em: 08 jan. 2011.
Em:
MCCLURE, Stuart et. al. Hackers Expostos: Segredos e solues para a segurana de redes.
Campus: So Paulo, 2003.
PADRO INTERNACIONAL.ISO/IEC 17799: tecnologia da Informao: cdigo de prtica
para gesto da segurana de informaes. Rio de Janeiro, 2005.
PROCTOR, E. Paul. The pratical intrusion detection handbook. Prentice Hall PTR, 2001.
STREBE, Matthew; PERKINS, Charles. Firewalls. So Paulo: Makron Books, 2002.