Segurana de Redes: IDS em Ambiente Corporativo

Cleilton Nunes Sampaio1, Andr Luiz Nasserala Pires 2 1 Unio Educacional do Norte (Uninorte) !io "ranco#AC 2 Centro de Ci$ncias E%atas e &ecnol'(icas Uni)ersidade *ederal do Acre (U*AC) "ranco, AC "rasil
cleilton.sampaio@gmail.com, nasserala@gmail.com

!io

Abstract. The need for continuous monitoring of network assets, as well as actions and countermeasures related to security incidents, have added great value within the enterprise environment. Thus, it is essential that there be a tool to monitor, analyze and generate countermeasures according to the context of the intrusion and its degree of severity. Based on this, the aim of this paper is to present a tool that aids in the detection of the major events of intrusion by informing security managers and, when possible, generating actions capable of halting an attack. Resumo. A necessidade de monitoramento contnuo dos ativos de rede, alm de aes e contramedidas relacionadas aos incidentes de segurana, tem agregado grande valor dentro de ambientes corporativos. Dessa forma, essencial a existncia de uma ferramenta capaz de monitorar, analisar e gerar contramedidas de acordo com o contexto da intruso e seu grau de severidade. A partir disso, o objetivo desse artigo apresentar uma ferramenta capaz de auxiliar na deteco dos principais eventos de intruso, informar aos responsveis pela segurana e, quando possvel, gerar aes capazes de fazer cessar o ataque.

1. Introduo
Se(undo a norma +S,#+EC (2--.), com a e)olu/o das redes de computadores e o conse0uente relacionamento entres as redes pri)adas e p12licas atra)s da disponi2iliza/o de sistemas de in3orma/o e outros ser)i/os, as or(aniza/4es depararam5se com uma )asta (ama de amea/as pro)enientes de di)ersas 3ontes, por e%emplo, os ata0ues de 3or/a 2ruta6 &ais pro2lemas demandaram a necessidade de in)estimentos em mecanismos de se(uran/a da in3orma/o e das redes 0ue l7es do suporte, dentre eles os +8S9s (Intrusion Detection Systems)6 Le)ando em considera/o a )ariedade de amea/as presente num am2iente de redes, como poss:)el monitorar de 3orma proati)a e pre)enir tentati)as de in)aso no am2iente corporati)o; tendo em )ista a di3iculdade encontrada pelos administradores em detectar pro)<)eis tentati)as de in)aso, torna5se necess<rio um mecanismo capaz de alertar so2re tais e)id$ncias, en)iando in3orma/4es ao respons<)el pela se(uran/a (S&!E"E= PE!>+NS, 2--2)6 &endo em )ista o e%posto, esse arti(o o2?eti)a dar em2asamento @ necessidade de uma 3erramenta de monitoramento, ou se?a, um +8S, o 0ual ser)ir< de suporte @ pol:tica de se(uran/a da corpora/o, dando apoio direto ao respons<)el pela se(uran/a de 3orma 0ue o mesmo se?a mais proati)o em rela/o @s contra medidas6

2. Problemas de segurana provenientes da evoluo das redes

A cone%o dos computadores em redes criou in1meras portas de acesso aos sistemas computacionais, 3acilitando o acesso @ pontos 0ue este?am desprote(idos6 Auanto mais se aumenta a comple%idade das redes, 0uanto mais recursos so disponi2ilizados aos usu<rios e 0uanto mais in3orma/o re0uerida por este usu<rio, torna5se mais di3:cil (arantir a se(uran/a dos sistemas de in3orma/o6 Este pro2lema a(ra)ado cada )ez mais pela pouca rele)Bncia

dada ao assunto em rela/o @ a)assaladora necessidade de no)idades despe?adas nos usu<rios indi)iduais 0ue transportam as condi/4es de inse(uran/a )i)idas na computa/o pessoal para a computa/o corporati)a, 0uando na realidade o camin7o in)erso 0ue de)eria ser percorrido, com os usu<rios de computa/o domstica le)ando consi(o todos os procedimentos de se(uran/a adotados nas corpora/4es6 (+N*,CUS, 2-11) Como as or(aniza/4es, se?am elas p12licas ou pri)adas, perce2eram 0ue se tornaram )ulner<)eis, tem5se procurado, em al(uns casos, recuperar o tempo perdido implementando metodolo(ias e 3erramentas de se(uran/a, sendo 0ue o (rande dilema desta 0uesto a cria/o de um am2iente controlado e con3i<)el, mas 0ue no tire do usu<rio a a(ilidade proporcionada pela micro in3orm<tica nos 1ltimos anos6 (+N*,CUS, 2-11) Em (eral, sistemas inse(uros e%istem por tr$s moti)osC por descon7ecimento (na maioria das )ezes e%tremamente con)eniente), por ne(li($ncia ou por uma deciso dos n:)eis estrat(icos das or(aniza/4es em no adotar a se(uran/a6 D preciso con7ecer os riscos, sa2er 0uais as conse0u$ncias da 3alta de se(uran/a, identi3icar os pontos )ulner<)eis e determinar uma solu/o ade0uada para a or(aniza/o6 , primeiro passo para isso a)aliar o )alor do 2em e#ou recurso a ser prote(ido e sua importBncia para a or(aniza/o, o 0ue a?uda a de3inir 0uanto )ale a pena (astar com prote/o6 A an<lise do pro2lema de)e a2ordar tr$s aspectos 3undamentaisC con3idencialidade, inte(ridade e disponi2ilidade, sendo 0ue nin(um mel7or 0ue o propriet<rio da in3orma/o para determinar esta rele)Bncia6 (+N*,CUS, 2-11)

3.

!ue " segurana de in#ormao

A +n3orma/o um elemento de (rande importBncia para os ne('cios, conse0uentemente, possui )alor para uma or(aniza/o e precisa ser prote(ida de 3orma ade0uada6 Se(uran/a de +n3orma/4es )isa prote(er essas in3orma/4es de )<rias amea/as asse(urando a continuidade dos ne('cios, minimizando pre?u:zos e ma%imizando o retorno de in)estimentos6 Se(undo a norma +S,#+EC 1EEFFC2--. Se(uran/a de +n3orma/4es preser)a tr$s conceitos 2<sicosC con3idencialidade, inte(ridade e disponi2ilidade6 A Se(uran/a de +n3orma/4es dar5se5< atra)s de )<rias re(ras, procedimentos e 3erramentas de se(uran/a6 Essas re(ras de)em ser ela2oradas e mantidas por uma e0uipe respons<)el e de)em estar de acordo com as necessidades do 'r(o ou empresa onde sero aplicadas6 +mplementar procedimentos, re(ras e 3erramentas de se(uran/a de suma importBncia para (arantir a continuidade e um tempo m:nimo de 1downtime dos sistemas de in3orma/4es6 Gerir esses sistemas e%i(e a participa/o de todos os mem2ros de uma or(aniza/o, incluindo tam2m, 3ornecedores, clientes e consultoria especializada minimizando riscos e (arantindo a continuidade dos ne('cios6 D 3undamental 0ue uma or(aniza/o de3ina seus re0uisitos de se(uran/a para 0ue uma pol:tica se?a ela2orada6 Atra)s da a)alia/o de riscos poss:)el identi3icar 0uais so as amea/as, )ulnera2ilidades, pro2a2ilidade de tais ocorr$ncias e impacto estimado6 E%i($ncias le(ais de)em ser se(uidas por toda a or(aniza/o 2em como 3ornecedores e ser)i/os terceirizados6 8e)e5se criar uma pol:tica de se(uran/a, ou se?a, um documento 0ue de)e conter todas as re(ras e procedimentos de se(uran/a da or(aniza/o e uma pessoa ou e0uipe de se(uran/a respons<)el por mant$5lo e re)is<5lo de acordo com as necessidades da or(aniza/o (+S,#+EC 1EEFFC2--.)6 Com uma pol:tica de se(uran/a ela2orada e apro)ada pela (er$ncia, o (estor de se(uran/a de in3orma/o ter< uma dire/o e poder< (erenciar de uma maneira o2?eti)a as
1

downtime &empo de parada de um sistema de in3orma/o.

amea/as @ se(uran/a6 E%istem )<rias re(ras, procedimentos e 3erramentas 0ue podem au%iliar o (estor de sistemas de in3orma/4es a identi3icar, controlar e at eliminar riscos de se(uran/a 0ue podem a3etar sistemas de in3orma/4es6 Eles 3azem parte de uma pol:tica de se(uran/a 0ue de)e ser con7ecida por todos os mem2ros da or(aniza/o permitindo ado/o de di3erentes medidas de acordo com cada situa/o6 ,s controles podem serC Fsicos, 2arreiras ou o2st<culos, or(anizados em n:)eis de acesso e usados para di3icultar o acesso no autorizado @ in3orma/o= ou Lgicos, so3tHares e protocolos se(uros 0ue au%iliam no monitoramento e no controle de acessos no autorizados @ sistemas de in3orma/4es6 Com esses controles poss:)el coletar in3orma/4es importantes, comoC 7or<rio de acesso, usu<rio de acesso, 3orma de acesso, tentati)as de ata0ues, 3al7as de so3tHares e )<rios outros tipos de in3orma/4es 0ue iro au%iliar o administrador a tomar decis4es importantes6 Iuitas empresas e or(aniza/4es 3azem uso de controles comoC firewall, 2+8S, anti5):rus, anti5spam, cripto(ra3ia e honeypots, para (arantir o m:nimo de perda e, conse0uentemente, um 2om andamento dos ne('cios6 Em am2ientes corporati)os instrumentos como, firewall, anti5):rus e cripto(ra3ia so muito usados para (arantir o m:nimo de se(uran/a6

$. Introduo aos sistemas de dete%o de intruso

Iesmo no sendo a solu/o de3initi)a de se(uran/a, sistemas de detec/o de intruso, +ntrusion 8etection SJstems (+8Ss), representam uma importante tcnica de monitoramento, cu?a principal 3un/o detectar a/4es maliciosas, tais como tentati)as de ata0ues e o2ten/o de in3orma/4es (Amoroso, 1FFF), (Proctor, 2--1)6 Eles so con7ecidos como detectores de in)as4es6 A partir de e)entos detectados, os sistemas de resposta ati)a, no caso dos +8S ati)os, tentam 2lo0uear os ata0ues ou responder com contra medidas ou ainda alertar os administradores de 0ue est< ocorrendo um ata0ue6 E%istem tam2m os +8S passi)os, os 0uais apenas re(istram a in)aso ou criam re(istros de ocorr$ncias 0ue s' aparecem depois 0ue o ata0ue aconteceu (S&!E"E= PE!>+NS, 2--2)6 ,s sistemas de detec/o de intruso podem ser classi3icados, se(undo o escopo de monitoramento utilizado, ou se?a, rede ou 7ost6 8e acordo com o site peopleHareK, um ids um con?unto de componentes (sensores, console e en(iner), de 7ardHare ou so3tHare com a 3un/o de detectar, identi3icar e responder @s ati)idades no autorizadas ou anomalias encontradas no sistema monitorado6 Este site prop4e a se(uinte classi3ica/o para um idsC mtodo de detec/o 2aseado em con7ecimento ou comportamento= coleta de e)entos em 7osts, redes e 7:2ridos= se(undo a reati)idade, ou se?a, ati)os e passi)os6 , mtodo de detec/o 2aseado em con7ecimento le)a em considera/o a ati)idade do sistema em 2usca de detectar padr4es de ata0ues ou instru/4es con7ecidos6 Esse padro tem como principal )anta(em a 2ai%a ocorr$ncia de 3alsos positi)os6 L< o mtodo de detec/o 2aseado em comportamento le)a em considera/o a detec/o de anomalias no comportamento do sistema6 &em como )anta(em a possi2ilidade de detectar no)as 3ormas de ata0ue, porm, aca2a (erando muitos 3alsos positi)o e re0uer 0ue se?a de3inido o 0ue considera5se um comportamento normal6 A coleta de e)entos, no caso dos M+8S, monitora, o comportamento dos componentes de cada m<0uina, ou se?a, 7ardHare, sistema operacional e inte(ridade de ar0ui)os, por e%emplo6 Possui como principal )anta(em o 3ato de estar 7ospedado diretamente na m<0uina 0ue est< sendo analisada6 Suas principais des)anta(ens so a 0ueda de rendimento da m<0uina 0ue o 7ospeda e o 3ato de no possuir uma )iso (eral da rede6 Em contrapartida, a coleta de
2 K

Intrusion Detection System Sistema de 8etec/o de +ntruso *erramenta a2ordada6 , site da peopleHare pode ser acessado em 7ttpC##pplHare6sapo6pt#6

e)entos num nids (sistema de detec/o de intruso em rede) capaz de analisar as intera/4es e monitorar um )asto con?unto de m<0uinas, alm de ser capaz de capturar os pacotes 0ue tra3e(am pela rede6 Em 1ltima instBncia, temos os ids ati)os, os 0uais tentam 2lo0uear, responder com contra medidas ou alertar o administrador, en0uanto os passi)os restrin(em5se apenas a tare3a de re(istrar as in)as4es ou criar re(istros de ocorr$ncias 0ue aparecem depois do ata0ue (S&!E"E= PE!>+NS, 2--2)6 Alm do uso de um +8S, 7< muitos 3atores 0ue de)em ser le)ados em considera/o em rela/o @ se(uran/a na +nternet, dentre eles, podemos citarC o n:)el de se(uran/a do 3ireHall, a prepara/o dos usu<rios 3rente a ata0ues de en(en7aria social N, o n:)el de con3ian/a dos 3uncion<rios, as poss:)eis 2rec7as de per:metro, as poss:)eis in3ec/4es dos sistemas por 2acOdoors e a )enda no autorizada de in3orma/4es por um usu<rio6 &endo em )ista 0ue o atacante procura e%plorar o elo mais 3raco 0ue comp4e a de3esa, de)e5se or(aniz<5la em camadas, ou se?a, uma a2orda(em con7ecida como de3esa em pro3undidade6 A de3esa em pro3undidade parte do pressuposto de 0ue se uma camada 3al7ar, a outra pode sal)<5lo (CMESP+C>, et6 Al, 2--.)6 ,s +8Ss, em sua atua/o, utilizam5se de )<rios controles a 3im de detectar e tomar medidas necess<rias ao no comprometimento de um 7ost tido como um al)o em potencial6 Se(undo Guimares (2--Q, pa(6 2Q), um +8S 2em con3i(urado capaz de identi3icar e alertar o administrador de rede diante das se(uintes situa/4es de ata0ueC ata0ues de trans2ordamento ou 2u33er o)er3loH, e%plora/o do ser)idor 8NS, tentati)as de acesso com n:)el de administrador e tentati)as de acesso a 2ancos de dados

&. Instalao e %on#igurao de um IDS

8e acordo com o site o3icial ., o ,ssec um sistema open source Q, pass:)el de redistri2u/o e#ou modi3ica/o so2 os termos da licen/a GNU E()erso K), como pu2licado pela *S* *ree So3tHare *oundation6 Con3orme mencionado anteriormente, ele atua como um 7ids, e tem seu 3oco principal no 7ost 7ospedeiro no 0ual o mesmo instalado, sendo compat:)el com a maioria dos sistemas operacionais, incluindo Linu%, Iac,S, Solaris, MP5UR, A+R e PindoHs6 8adas as peculiaridades de cada S6,6, deste ponto em diante, tomaremos como sistema padro para demonstra/o e instala/o da 3erramenta o Linu%6 &endo em )ista 0ue o instalador do ,ssec necessita compilar a 3erramenta a partir do c'di(o 3onte a primeira )ez 0ue ela e%ecutada, necess<rio 0ue o sistema possua um compilador6 A maioria dos sistemas Linu%S ou "S8 possuem um compilador C6 Por e%emplo, em am2ientes Linu%#"S8, 3a/a o doHnload (H(et 7ttpC##HHH6ossec6net#3iles#ossec57ids526.616tar6(z) da 3erramenta e teste a inte(ridade do ar0ui)o com o comando md.#s7a1 ossec57ids5latest6tar6(z6 Em se(uida, descompacta5se o ar0ui)o 2ai%ado' entra5se no diret'rio da instala/o e e%ecuta5se o script de instala/o contido na pasta da 3erramenta, ou se?a, .(install.s)' escol7endo5se a lin(ua(em e o tipo da instala/o6 M< tr$s tipos de instala/oC SE!TE!, AGEN& e L,CAL6 No nosso caso,
N

Entende5se por en(en7aria social a tcnica de usar persuaso e#ou 3raude para o2ter acesso aos sistemas de in3orma/o (ICCLU!E, Stuart et6 Al, 2--K)6 . , site o3icial do ,ssec 7ids est< acess:)el a partir da url 7ttpC##HHH6ossec6net6 Q Este termo, ao p da letra, si(ni3ica U3onte a2ertaV ou Uc'di(o 3onte a2ertoV e sur(iu inicialmente em 1FFS, usado por pro(ramadores para identi3icar seus produtos como pro(ramas no propriet<rios ou so3tHare li)re (*E!!A!+,2--E)6 E Licen/a de So3tHare Li)re 0ue se tornou con7ecida como copJle3t (c'pia li)re) em oposi/o ao copJrit7t (*E!!A!+, 2--E)6 S Sistema desen)ol)ido por Linus &or)alds a partir do aprimoramento do Oernel do Iini% e distri2uido so2 a licen/a GNU 5 GPL6 Seu nome pro)eniente da 3uso do nomes Linus e Iini% (*E!!A!+, 2--E)6

usaremos a instala/o do tipo SE!TE!6 No caso da instala/o do tipo ser)er, o administrador conse(uir< monitorar, de 3orma centralizada, no s' a m<0uina local, mas tam2m poder< adicionar ao monitoramento outras m<0uinas da rede 0ue possuem o ,ssec instalado atuando como a(ente6 Uma das )anta(ens desse tipo de instala/o a possi2ilidade de en)iar respostas autom<ticas para os a(entes sendo monitorados6 No ocorrendo erros, o ,ssec est< pronto para ser usado6 A con3i(ura/o padro do ,ssec praticamente no re0uer inter)en/o do usu<rio, restando a este apenas in3ormar a lin(ua(em pre3erencial da instala/o, o tipo da instala/o do ,ssec, o ser)idor de smtp 0ue ser< usado para en)iar os e5mails com os alertas, o e5mail de 0uem ir< rece2er os alertas e as m<0uinas 0ue 3aro parte da white list do ,ssec, ou se?a, a0uelas 0ue no sero le)adas em considera/o 0uando da aplica/o das contra medidas de se(uran/a e a op/o de se 7a2ilitar a active response, 0ue so as respostas autom<ticas ou contra medidas realizadas pelo ,ssec con3orme o n:)el de se)eridade dos e)entos detectados6 Com e%ce/o das op/4es de tipo de instala/o (local, ser)er e a(ent) e lin(ua(em pre3erencial da instala/o, todas as demais con3i(ura/4es podem ser realizadas ap's a 3erramenta estar instalada, atra)s do ar0ui)o de con3i(ura/o do ,ssec, ou se?a, #)ar#ossec#etc#ossec6con36 Para a de3ini/o do ser)idor de smtp e do e5mail 0ue rece2er< os alertas, usa5se a re(ra a2ai%oC

*igura 1. Con#igurao do servio de noti#i%ao +*onte: Autor,.

As op/4es descritas acima t$m a 3un/o de optar pelo en)io de noti3ica/4es, in3ormar o e5mail para noti3ica/o, in3ormar o ser)idor de smtp e de onde pro)eniente o e5mail com a noti3ica/o, respecti)amente6 ,utra op/o de )ital importBncia a re(ra onde sero de3inidas as m<0uinas as 0uais as contra medidas no se aplicam, ou se?a, as m<0uinas da ta( W white list !"white list 6 8e3ini5se essa lista, con3orme a re(ra a2ai%oC

*igura 2. De#inio da -)ite list +*onte: Autor,.

As actives responses podem ser 7a2ilitadas @ critrio do usu<rio e de3inem, por padro, a aplica/o de dois comandos ipta2les 0ue so acionados por um tempo predeterminado e de acordo com o n:)el de se)eridade dos e)entos6 So elasC 7ost5denJ, para ne(ar acesso aos ser)i/os da m<0uina e 3ireHall5drop, para dropar todos os pacotes pro)enientes do +P de ata0ue6 A sinta%e da ta( Wacti)e5responseX demonstrada a2ai%oC

*igura 3. Con#igurao da a%tive response +*onte: Autor,.

Ap's serem aplicados esses re3inamentos, o ,ssec est< pronto para uso e ?< estar< emitindo os alertas con3ormes os e)entos 3orem detectados6 Para o am2iente de simula/o proposto para a demonstra/o da 3erramenta sero utilizados os se(uintes componentesC uma esta/o com sistema operacional U2untu 1-61-, simulando o ser)idor atacado= uma esta/o com sistema operacional U2untu 1-61-, simulando o atacante 1 e outra esta/o com o HindoHs )ista simulando o atacante 26 Ser< utilizada a *erramenta de detec/o de intruso 2aseada em 7ostC ,ssec M+8S )erso 26.61 para linu%6

*igura $. Ambiente de rede para simulao +*onte: Autor,.

.. /studo de Caso
Para a simula/o de 3ocus de intruso e demonstra/o da atua/o do M+8S adotado, ou se?a, o ,ssec M+8S, sero 3eitos testes de penetra/o a partir do am2iente proposto no dia(rama acima, acompan7ados das respecti)as contra medidas adotadas e mensa(ens (eradas em cada caso6

Caso 1: Ata!ues de #ora bruta

Como mencionado, poss:)el de3inir, a partir do n:)el de se)eridade do ata0ue, as contra medidas 0ue sero adotadas pelo +8S6 Neste caso, adotou5se o n:)el de se)eridade E (sete), ou se?a, ati)idades suspeitas com n:)el de se)eridade in3eriores ao adotado sero apenas monitoradas e in3ormadas ao administrador atra)s do e5mail in3ormado na con3i(ura/o6

*igura &. Ata!ue de #ora bruta ao SS0 +*onte: Autor,.

Caso 2: 1onitoramento de integridade de ar!uivos do sistema

D poss:)el de3inir 0uais diret'rios sero monitorados pelo ,ssec a 3im de 0ue o administrador sai2a 0uais ar0ui)os 3oram alterados atra)s da c7eca(em do 7as7 md. do ar0ui)o6

*igura .. Adio indevida de privil"gio de a%esso via SS0 +*onte: Autor,.

Caso 3: 1onitoramento de sess2es de usu3rio

Uma )ez 0ue o administrador a)isado automaticamente da altera/o de inte(ridade do ar0ui)o, con3orme e%emplo acima, o mesmo pode a(ir antes 0ue o usu<rio mal intencionado 3a/a seu primeiro acesso, des3azendo a altera/o 0ue 7a)ia sido 3eita6 Ainda assim, o ,ssec monitora cada tentati)a de esta2elecimento de sesso por parte dos usu<rios, desde a )alida/o da sen7a at o encerramento da sesso6 A 3i(ura a2ai%o demonstra um e%emplo de acesso ss7 no autorizadoC

*igura 4. 5entativa de a%esso no autori6ado via SS0 +*onte: Autor,.

4. Con%luso Neste tra2al7o 3oi e)idenciada a importBncia do uso de uma 3erramenta computacional 0ue au%ilie, ?untamente com as demais pol:ticas de se(uran/a adotadas pela corpora/o, o tra2al7o do administrador de redes no 0ue se re3ere inte(ridade, disponi2ilidade, con3idencialidade, autenticidade e no rep1dio da in3orma/o6 &oda)ia, )ale ressaltar 0ue, a ado/o de um Sistema de 8etec/o de +ntruso 5 +8S, em2ora de suma importBncia, representa apenas uma

das camadas poss:)eis de serem implementadas no a2ran(ente conte%to da <rea de se(uran/a da in3orma/o e no (arante, se usado isoladamente, um n:)el de se(uran/a dese?<)el6 &endo em )ista o 0ue 3oi e%posto no par<(ra3o anterior, su(ere5se como mel7oramento desse tra2al7o, o desen)ol)imento de um estudo de caso a2ordando o uso de um Sistema de 8eteco e Pre)en/o de +ntruso em !edes +8S#+PS, por e%emplo o SN,!&, em con?unto com um 3ireHall de per:metro, o 0ue aumentaria o n:)el de se(uran/a e mel7oraria a solu/o proposta6

Re#er7n%ias
CMESP+C>, !6 Pilliam et6 al6 *ireHall e Se(uran/a na +nternetC!epelindo o MacOer Ardiloso6 26ed6 Porto Ale(reC "ooOman, 2--.6 E8PA!8, G6 Amoroso6 +ntrusion 8etectionC An introduction to internet sur)eilance, correlation, traps, trace 2acO, and response6 Net "ooOs, 1FFF6 *E!!A!+, *a2r:cio Au(usto6 Curso Pr<tico de Linu%6 So PauloC 8i(erati "ooOs, 2--E6 +N*,CUS, Se(uran/a das +n3orma/4es em !edes6 Ys6d6Z6 8ispon:)el EmC W7ttpC##HHH6inter3ocus6com62r#Na)e(acao#!edes#Se(uranca[de[redes#Se(uranca[de[red es6asp%X6 Acesso emC -S ?an6 2-116 ICCLU!E, Stuart et6 al6 MacOers E%postosC Se(redos e solu/4es para a se(uran/a de redes6 CampusC So Paulo, 2--K6 PA8!\, +N&E!NAC+,NAL6+S,#+EC 1EEFFC tecnolo(ia da +n3orma/oC c'di(o de pr<tica para (esto da se(uran/a de in3orma/4es6 !io de Laneiro, 2--.6 P!,C&,!, E6 Paul6 &7e pratical intrusion detection 7and2ooO6 Prentice Mall P&!, 2--16 S&!E"E, Iatt7eH= PE!>+NS, C7arles6 *ireHalls6 So PauloC IaOron "ooOs, 2--26