Escolar Documentos
Profissional Documentos
Cultura Documentos
Cleilton Nunes Sampaio1, Andr Luiz Nasserala Pires 2 1 Unio Educacional do Norte (Uninorte) !io "ranco#AC 2 Centro de Ci$ncias E%atas e &ecnol'(icas Uni)ersidade *ederal do Acre (U*AC) "ranco, AC "rasil
cleilton.sampaio@gmail.com, nasserala@gmail.com
!io
Abstract. The need for continuous monitoring of network assets, as well as actions and countermeasures related to security incidents, have added great value within the enterprise environment. Thus, it is essential that there be a tool to monitor, analyze and generate countermeasures according to the context of the intrusion and its degree of severity. Based on this, the aim of this paper is to present a tool that aids in the detection of the major events of intrusion by informing security managers and, when possible, generating actions capable of halting an attack. Resumo. A necessidade de monitoramento contnuo dos ativos de rede, alm de aes e contramedidas relacionadas aos incidentes de segurana, tem agregado grande valor dentro de ambientes corporativos. Dessa forma, essencial a existncia de uma ferramenta capaz de monitorar, analisar e gerar contramedidas de acordo com o contexto da intruso e seu grau de severidade. A partir disso, o objetivo desse artigo apresentar uma ferramenta capaz de auxiliar na deteco dos principais eventos de intruso, informar aos responsveis pela segurana e, quando possvel, gerar aes capazes de fazer cessar o ataque.
1. Introduo
Se(undo a norma +S,#+EC (2--.), com a e)olu/o das redes de computadores e o conse0uente relacionamento entres as redes pri)adas e p12licas atra)s da disponi2iliza/o de sistemas de in3orma/o e outros ser)i/os, as or(aniza/4es depararam5se com uma )asta (ama de amea/as pro)enientes de di)ersas 3ontes, por e%emplo, os ata0ues de 3or/a 2ruta6 &ais pro2lemas demandaram a necessidade de in)estimentos em mecanismos de se(uran/a da in3orma/o e das redes 0ue l7es do suporte, dentre eles os +8S9s (Intrusion Detection Systems)6 Le)ando em considera/o a )ariedade de amea/as presente num am2iente de redes, como poss:)el monitorar de 3orma proati)a e pre)enir tentati)as de in)aso no am2iente corporati)o; tendo em )ista a di3iculdade encontrada pelos administradores em detectar pro)<)eis tentati)as de in)aso, torna5se necess<rio um mecanismo capaz de alertar so2re tais e)id$ncias, en)iando in3orma/4es ao respons<)el pela se(uran/a (S&!E"E= PE!>+NS, 2--2)6 &endo em )ista o e%posto, esse arti(o o2?eti)a dar em2asamento @ necessidade de uma 3erramenta de monitoramento, ou se?a, um +8S, o 0ual ser)ir< de suporte @ pol:tica de se(uran/a da corpora/o, dando apoio direto ao respons<)el pela se(uran/a de 3orma 0ue o mesmo se?a mais proati)o em rela/o @s contra medidas6
dada ao assunto em rela/o @ a)assaladora necessidade de no)idades despe?adas nos usu<rios indi)iduais 0ue transportam as condi/4es de inse(uran/a )i)idas na computa/o pessoal para a computa/o corporati)a, 0uando na realidade o camin7o in)erso 0ue de)eria ser percorrido, com os usu<rios de computa/o domstica le)ando consi(o todos os procedimentos de se(uran/a adotados nas corpora/4es6 (+N*,CUS, 2-11) Como as or(aniza/4es, se?am elas p12licas ou pri)adas, perce2eram 0ue se tornaram )ulner<)eis, tem5se procurado, em al(uns casos, recuperar o tempo perdido implementando metodolo(ias e 3erramentas de se(uran/a, sendo 0ue o (rande dilema desta 0uesto a cria/o de um am2iente controlado e con3i<)el, mas 0ue no tire do usu<rio a a(ilidade proporcionada pela micro in3orm<tica nos 1ltimos anos6 (+N*,CUS, 2-11) Em (eral, sistemas inse(uros e%istem por tr$s moti)osC por descon7ecimento (na maioria das )ezes e%tremamente con)eniente), por ne(li($ncia ou por uma deciso dos n:)eis estrat(icos das or(aniza/4es em no adotar a se(uran/a6 D preciso con7ecer os riscos, sa2er 0uais as conse0u$ncias da 3alta de se(uran/a, identi3icar os pontos )ulner<)eis e determinar uma solu/o ade0uada para a or(aniza/o6 , primeiro passo para isso a)aliar o )alor do 2em e#ou recurso a ser prote(ido e sua importBncia para a or(aniza/o, o 0ue a?uda a de3inir 0uanto )ale a pena (astar com prote/o6 A an<lise do pro2lema de)e a2ordar tr$s aspectos 3undamentaisC con3idencialidade, inte(ridade e disponi2ilidade, sendo 0ue nin(um mel7or 0ue o propriet<rio da in3orma/o para determinar esta rele)Bncia6 (+N*,CUS, 2-11)
3.
A +n3orma/o um elemento de (rande importBncia para os ne('cios, conse0uentemente, possui )alor para uma or(aniza/o e precisa ser prote(ida de 3orma ade0uada6 Se(uran/a de +n3orma/4es )isa prote(er essas in3orma/4es de )<rias amea/as asse(urando a continuidade dos ne('cios, minimizando pre?u:zos e ma%imizando o retorno de in)estimentos6 Se(undo a norma +S,#+EC 1EEFFC2--. Se(uran/a de +n3orma/4es preser)a tr$s conceitos 2<sicosC con3idencialidade, inte(ridade e disponi2ilidade6 A Se(uran/a de +n3orma/4es dar5se5< atra)s de )<rias re(ras, procedimentos e 3erramentas de se(uran/a6 Essas re(ras de)em ser ela2oradas e mantidas por uma e0uipe respons<)el e de)em estar de acordo com as necessidades do 'r(o ou empresa onde sero aplicadas6 +mplementar procedimentos, re(ras e 3erramentas de se(uran/a de suma importBncia para (arantir a continuidade e um tempo m:nimo de 1downtime dos sistemas de in3orma/4es6 Gerir esses sistemas e%i(e a participa/o de todos os mem2ros de uma or(aniza/o, incluindo tam2m, 3ornecedores, clientes e consultoria especializada minimizando riscos e (arantindo a continuidade dos ne('cios6 D 3undamental 0ue uma or(aniza/o de3ina seus re0uisitos de se(uran/a para 0ue uma pol:tica se?a ela2orada6 Atra)s da a)alia/o de riscos poss:)el identi3icar 0uais so as amea/as, )ulnera2ilidades, pro2a2ilidade de tais ocorr$ncias e impacto estimado6 E%i($ncias le(ais de)em ser se(uidas por toda a or(aniza/o 2em como 3ornecedores e ser)i/os terceirizados6 8e)e5se criar uma pol:tica de se(uran/a, ou se?a, um documento 0ue de)e conter todas as re(ras e procedimentos de se(uran/a da or(aniza/o e uma pessoa ou e0uipe de se(uran/a respons<)el por mant$5lo e re)is<5lo de acordo com as necessidades da or(aniza/o (+S,#+EC 1EEFFC2--.)6 Com uma pol:tica de se(uran/a ela2orada e apro)ada pela (er$ncia, o (estor de se(uran/a de in3orma/o ter< uma dire/o e poder< (erenciar de uma maneira o2?eti)a as
1
amea/as @ se(uran/a6 E%istem )<rias re(ras, procedimentos e 3erramentas 0ue podem au%iliar o (estor de sistemas de in3orma/4es a identi3icar, controlar e at eliminar riscos de se(uran/a 0ue podem a3etar sistemas de in3orma/4es6 Eles 3azem parte de uma pol:tica de se(uran/a 0ue de)e ser con7ecida por todos os mem2ros da or(aniza/o permitindo ado/o de di3erentes medidas de acordo com cada situa/o6 ,s controles podem serC Fsicos, 2arreiras ou o2st<culos, or(anizados em n:)eis de acesso e usados para di3icultar o acesso no autorizado @ in3orma/o= ou Lgicos, so3tHares e protocolos se(uros 0ue au%iliam no monitoramento e no controle de acessos no autorizados @ sistemas de in3orma/4es6 Com esses controles poss:)el coletar in3orma/4es importantes, comoC 7or<rio de acesso, usu<rio de acesso, 3orma de acesso, tentati)as de ata0ues, 3al7as de so3tHares e )<rios outros tipos de in3orma/4es 0ue iro au%iliar o administrador a tomar decis4es importantes6 Iuitas empresas e or(aniza/4es 3azem uso de controles comoC firewall, 2+8S, anti5):rus, anti5spam, cripto(ra3ia e honeypots, para (arantir o m:nimo de perda e, conse0uentemente, um 2om andamento dos ne('cios6 Em am2ientes corporati)os instrumentos como, firewall, anti5):rus e cripto(ra3ia so muito usados para (arantir o m:nimo de se(uran/a6
Intrusion Detection System Sistema de 8etec/o de +ntruso *erramenta a2ordada6 , site da peopleHare pode ser acessado em 7ttpC##pplHare6sapo6pt#6
e)entos num nids (sistema de detec/o de intruso em rede) capaz de analisar as intera/4es e monitorar um )asto con?unto de m<0uinas, alm de ser capaz de capturar os pacotes 0ue tra3e(am pela rede6 Em 1ltima instBncia, temos os ids ati)os, os 0uais tentam 2lo0uear, responder com contra medidas ou alertar o administrador, en0uanto os passi)os restrin(em5se apenas a tare3a de re(istrar as in)as4es ou criar re(istros de ocorr$ncias 0ue aparecem depois do ata0ue (S&!E"E= PE!>+NS, 2--2)6 Alm do uso de um +8S, 7< muitos 3atores 0ue de)em ser le)ados em considera/o em rela/o @ se(uran/a na +nternet, dentre eles, podemos citarC o n:)el de se(uran/a do 3ireHall, a prepara/o dos usu<rios 3rente a ata0ues de en(en7aria social N, o n:)el de con3ian/a dos 3uncion<rios, as poss:)eis 2rec7as de per:metro, as poss:)eis in3ec/4es dos sistemas por 2acOdoors e a )enda no autorizada de in3orma/4es por um usu<rio6 &endo em )ista 0ue o atacante procura e%plorar o elo mais 3raco 0ue comp4e a de3esa, de)e5se or(aniz<5la em camadas, ou se?a, uma a2orda(em con7ecida como de3esa em pro3undidade6 A de3esa em pro3undidade parte do pressuposto de 0ue se uma camada 3al7ar, a outra pode sal)<5lo (CMESP+C>, et6 Al, 2--.)6 ,s +8Ss, em sua atua/o, utilizam5se de )<rios controles a 3im de detectar e tomar medidas necess<rias ao no comprometimento de um 7ost tido como um al)o em potencial6 Se(undo Guimares (2--Q, pa(6 2Q), um +8S 2em con3i(urado capaz de identi3icar e alertar o administrador de rede diante das se(uintes situa/4es de ata0ueC ata0ues de trans2ordamento ou 2u33er o)er3loH, e%plora/o do ser)idor 8NS, tentati)as de acesso com n:)el de administrador e tentati)as de acesso a 2ancos de dados
Entende5se por en(en7aria social a tcnica de usar persuaso e#ou 3raude para o2ter acesso aos sistemas de in3orma/o (ICCLU!E, Stuart et6 Al, 2--K)6 . , site o3icial do ,ssec 7ids est< acess:)el a partir da url 7ttpC##HHH6ossec6net6 Q Este termo, ao p da letra, si(ni3ica U3onte a2ertaV ou Uc'di(o 3onte a2ertoV e sur(iu inicialmente em 1FFS, usado por pro(ramadores para identi3icar seus produtos como pro(ramas no propriet<rios ou so3tHare li)re (*E!!A!+,2--E)6 E Licen/a de So3tHare Li)re 0ue se tornou con7ecida como copJle3t (c'pia li)re) em oposi/o ao copJrit7t (*E!!A!+, 2--E)6 S Sistema desen)ol)ido por Linus &or)alds a partir do aprimoramento do Oernel do Iini% e distri2uido so2 a licen/a GNU 5 GPL6 Seu nome pro)eniente da 3uso do nomes Linus e Iini% (*E!!A!+, 2--E)6
usaremos a instala/o do tipo SE!TE!6 No caso da instala/o do tipo ser)er, o administrador conse(uir< monitorar, de 3orma centralizada, no s' a m<0uina local, mas tam2m poder< adicionar ao monitoramento outras m<0uinas da rede 0ue possuem o ,ssec instalado atuando como a(ente6 Uma das )anta(ens desse tipo de instala/o a possi2ilidade de en)iar respostas autom<ticas para os a(entes sendo monitorados6 No ocorrendo erros, o ,ssec est< pronto para ser usado6 A con3i(ura/o padro do ,ssec praticamente no re0uer inter)en/o do usu<rio, restando a este apenas in3ormar a lin(ua(em pre3erencial da instala/o, o tipo da instala/o do ,ssec, o ser)idor de smtp 0ue ser< usado para en)iar os e5mails com os alertas, o e5mail de 0uem ir< rece2er os alertas e as m<0uinas 0ue 3aro parte da white list do ,ssec, ou se?a, a0uelas 0ue no sero le)adas em considera/o 0uando da aplica/o das contra medidas de se(uran/a e a op/o de se 7a2ilitar a active response, 0ue so as respostas autom<ticas ou contra medidas realizadas pelo ,ssec con3orme o n:)el de se)eridade dos e)entos detectados6 Com e%ce/o das op/4es de tipo de instala/o (local, ser)er e a(ent) e lin(ua(em pre3erencial da instala/o, todas as demais con3i(ura/4es podem ser realizadas ap's a 3erramenta estar instalada, atra)s do ar0ui)o de con3i(ura/o do ,ssec, ou se?a, #)ar#ossec#etc#ossec6con36 Para a de3ini/o do ser)idor de smtp e do e5mail 0ue rece2er< os alertas, usa5se a re(ra a2ai%oC
As op/4es descritas acima t$m a 3un/o de optar pelo en)io de noti3ica/4es, in3ormar o e5mail para noti3ica/o, in3ormar o ser)idor de smtp e de onde pro)eniente o e5mail com a noti3ica/o, respecti)amente6 ,utra op/o de )ital importBncia a re(ra onde sero de3inidas as m<0uinas as 0uais as contra medidas no se aplicam, ou se?a, as m<0uinas da ta( W white list !"white list 6 8e3ini5se essa lista, con3orme a re(ra a2ai%oC
As actives responses podem ser 7a2ilitadas @ critrio do usu<rio e de3inem, por padro, a aplica/o de dois comandos ipta2les 0ue so acionados por um tempo predeterminado e de acordo com o n:)el de se)eridade dos e)entos6 So elasC 7ost5denJ, para ne(ar acesso aos ser)i/os da m<0uina e 3ireHall5drop, para dropar todos os pacotes pro)enientes do +P de ata0ue6 A sinta%e da ta( Wacti)e5responseX demonstrada a2ai%oC
Ap's serem aplicados esses re3inamentos, o ,ssec est< pronto para uso e ?< estar< emitindo os alertas con3ormes os e)entos 3orem detectados6 Para o am2iente de simula/o proposto para a demonstra/o da 3erramenta sero utilizados os se(uintes componentesC uma esta/o com sistema operacional U2untu 1-61-, simulando o ser)idor atacado= uma esta/o com sistema operacional U2untu 1-61-, simulando o atacante 1 e outra esta/o com o HindoHs )ista simulando o atacante 26 Ser< utilizada a *erramenta de detec/o de intruso 2aseada em 7ostC ,ssec M+8S )erso 26.61 para linu%6
.. /studo de Caso
Para a simula/o de 3ocus de intruso e demonstra/o da atua/o do M+8S adotado, ou se?a, o ,ssec M+8S, sero 3eitos testes de penetra/o a partir do am2iente proposto no dia(rama acima, acompan7ados das respecti)as contra medidas adotadas e mensa(ens (eradas em cada caso6
4. Con%luso Neste tra2al7o 3oi e)idenciada a importBncia do uso de uma 3erramenta computacional 0ue au%ilie, ?untamente com as demais pol:ticas de se(uran/a adotadas pela corpora/o, o tra2al7o do administrador de redes no 0ue se re3ere inte(ridade, disponi2ilidade, con3idencialidade, autenticidade e no rep1dio da in3orma/o6 &oda)ia, )ale ressaltar 0ue, a ado/o de um Sistema de 8etec/o de +ntruso 5 +8S, em2ora de suma importBncia, representa apenas uma
das camadas poss:)eis de serem implementadas no a2ran(ente conte%to da <rea de se(uran/a da in3orma/o e no (arante, se usado isoladamente, um n:)el de se(uran/a dese?<)el6 &endo em )ista o 0ue 3oi e%posto no par<(ra3o anterior, su(ere5se como mel7oramento desse tra2al7o, o desen)ol)imento de um estudo de caso a2ordando o uso de um Sistema de 8eteco e Pre)en/o de +ntruso em !edes +8S#+PS, por e%emplo o SN,!&, em con?unto com um 3ireHall de per:metro, o 0ue aumentaria o n:)el de se(uran/a e mel7oraria a solu/o proposta6
Re#er7n%ias
CMESP+C>, !6 Pilliam et6 al6 *ireHall e Se(uran/a na +nternetC!epelindo o MacOer Ardiloso6 26ed6 Porto Ale(reC "ooOman, 2--.6 E8PA!8, G6 Amoroso6 +ntrusion 8etectionC An introduction to internet sur)eilance, correlation, traps, trace 2acO, and response6 Net "ooOs, 1FFF6 *E!!A!+, *a2r:cio Au(usto6 Curso Pr<tico de Linu%6 So PauloC 8i(erati "ooOs, 2--E6 +N*,CUS, Se(uran/a das +n3orma/4es em !edes6 Ys6d6Z6 8ispon:)el EmC W7ttpC##HHH6inter3ocus6com62r#Na)e(acao#!edes#Se(uranca[de[redes#Se(uranca[de[red es6asp%X6 Acesso emC -S ?an6 2-116 ICCLU!E, Stuart et6 al6 MacOers E%postosC Se(redos e solu/4es para a se(uran/a de redes6 CampusC So Paulo, 2--K6 PA8!\, +N&E!NAC+,NAL6+S,#+EC 1EEFFC tecnolo(ia da +n3orma/oC c'di(o de pr<tica para (esto da se(uran/a de in3orma/4es6 !io de Laneiro, 2--.6 P!,C&,!, E6 Paul6 &7e pratical intrusion detection 7and2ooO6 Prentice Mall P&!, 2--16 S&!E"E, Iatt7eH= PE!>+NS, C7arles6 *ireHalls6 So PauloC IaOron "ooOs, 2--26