Escolar Documentos
Profissional Documentos
Cultura Documentos
Deteccao Vulnerabilidades
Deteccao Vulnerabilidades
Vulnerabilidades
Marco A. Trentin1, Gustavo S. Linden2, Alcides A. S. Coelho Jnior3, Andr L.
Fvero3
Universidade de Passo Fundo - Campus I - Bairro So Jos - Fone (54) 316 8354
FAX (54) 316 8364 Cx. P. 611 - 99001-970 - Passo Fundo-RS
trentin@upf.tche.br, {40579,27891}@lci.upf.tche.br, andre@atua.com.br
com os mesmos servios de rede [PROJECT, 2002]. Por no haver modificaes, para
tornar mais ou menos seguro, a Honeynet reflete exatamente a situao da segurana
encontrada na maioria das empresas atualmente. Pela grande capacidade de aprendizado
que a mesma possibilita, e por ser um sistema real, uma Honeynet apresenta grandes riscos,
porque o invasor pode conseguir acesso total aos computadores desta rede, e no possvel
prever o que ele far com esse controle. Mas o conhecimento adquirido pela anlise da
invaso muito maior do que a simples deteco da intruso, que o caso de um honeypot.
Aps verificar uma intruso, os passos do invasor so monitorados para descobrir tcnicas,
ferramentas e, claro, a real inteno da invaso, a fim de identificar quais os problemas
existentes na segurana desta rede.
O conhecimento adquirido com um honeypot limitado em comparao a uma Honeynet,
mas por outro lado os riscos envolvendo um honeypot comprometido so bem menores,
uma vez que o atacante nunca ter posse real do sistema.
3 IDS
IDS (Intrusion Detection System) um sistema, implementado por software, com o
objetivo de detectar intruses. Existem diversas ferramentas IDS, para diferentes
plataformas. Atualmente, percebe-se que os ataques ocorrem diariamente e so inmeros.
Com o uso de um IDS, pode-se saber quem so os atacantes, os alvos e as formas de
ataque, permitindo descobrir quais so os pontos vulnerveis de uma rede, ou seja, onde
atacantes podero focar seus ataques. Os IDS podem ser de dois tipos: IDS assinaturas/rede
ou de comportamento/host.
3.1 IDS de Assinatura ou de Rede
Este tipo de IDS analisa os pacotes que trafegam na rede, buscando identificar assinaturas
de ataques conhecidos. Um bom exemplo de IDS que funciona dessa forma o Snort
[CASWELL, 2002]. o software de deteco de instruo mais conhecido e utilizado
atualmente, sendo freeware, sob licena GPL. Ele funciona atravs da coleta e anlise de
todos os pacotes que trafegam em um segmento de rede, comparando-os com regras
(pass,log,alert) associadas a assinaturas, que so pacotes correspondentes a invases j
detectadas e guardadas em um banco de dados. As regras qualificam o que deve ser feito:
pass, se esse um trfego de rede normal e no implica na segurana da rede; log, registra
esse pacote para passar informaes ao gerente de rede sobre os pacotes que esto
trafegando na rede; alert, registra e alerta se algum pacote possuir contedo malicioso.
3.2 IDS de Comportamento ou de Host
Este tipo de IDS monitora as atividades de um computador, identificando diferenas no
padro dirio do mesmo. Ele tem a mesma funo que o IDS de assinaturas, porm ele
trabalha de forma diferente. Ele possui informaes do padro de comportamento dirio do
sistema. Se o sistema que esta sendo monitorado sair do seu padro, so coletados pacotes e
informaes do que esta acontecendo, analisados e gerado um alerta, o que permite ao
usurio analisar a razo do alerta. Essa coleta de pacotes permite criar uma assinatura do
ataque, de forma que, se for um novo ataque, poder ser acrescentado no banco de dados do
IDS de assinaturas. Como esse sistema de deteco no se baseia em assinaturas e sim em
padres, possvel detectar novas formas de ataques. Ele bastante utilizado em pesquisas.
3.3 AIDE
AIDE (Advanced Intrusion Detection Environment) um ambiente avanado de deteco
de intruso, que tem a finalidade de detectar intruses em um host, atravs da comparao
de arquivos previamente determinados do host com uma comparao feita anteriormente e
armazenada em um banco de dados, que pode estar local ou remotamente. Atravs desta
comparao, ele consegue identificar a modificao de qualquer arquivo importante
(previamente determinado) dentro do banco de dados. Este software roda em plataformas
Unix, e um substituto freeware, sob licena GPL, do Tripwire [LEHTI, 2002].
4 Configurao atual da Honeynet
A nossa Honeynet encontra-se dentro do Laboratrio Computacional de Pesquisa do Curso
de Cincia da Computao, da Universidade de Passo Fundo RS, e composta por quatro
computadores. Em trs destes esto instalados distribuies de sistemas operacionais com
kernel Linux, e no quarto est instalado o Windows 2000 Server. Todos encontram-se em
um mesmo segmento. Um computador (gateway) controla o fluxo de um tnel, o qual
permite o acesso da Internet a esta Honeynet. Este gateway tambm tem a finalidade de
isolar a Honeynet do resto da rede da Universidade. Isto importante, pois esta rede tem
por finalidade trazer subsdios para um projeto de pesquisa na rea de segurana,
principalmente atravs da monitorao de invases reais, vindas de toda a Internet. Como
estes computadores possuem IP real e esto abertos a invases, este gateway no pode
permitir que ataques sejam realizados rede corporativa de nossa Universidade, a partir de
nossa Honeynet. Ento, por motivos de segurana, este tnel utilizado para poder
conduzir o trfego da Honeynet diretamente ao roteador, e assim Internet, no permitindo
com isso que este trfego passe por redes inseguras.
7 Concluso
Um computador que for conectado na Internet nunca est 100% seguro, principalmente se
forem utilizadas as configuraes que acompanham o cd-rom da distribuio do sistema
operacional. Quanto mais desatualizado o sistema operacional, menos seguro ele se torna,
isso porque o nmero de bugs maior, permitindo assim mais tempo para que os crackers
transformem estes bugs em vulnerabilidades.
Neste pouco tempo de existncia de nossa Honeynet, pode-se perceber o quanto
computadores com IP real sofrem tentativas de ataques, e com grandes chances de sucesso.
Por isto, a preocupao com segurana em empresas que dependam de computadores, com
acesso a Internet, para o sucesso de seus negcios, deve ser constante e sempre atualizada.
Uma vez que uma Honeynet pode ser atacada, e os invasores obeterem sucesso,
imperativo que as pessoas que a administram tambm cerquem-se de cuidados para que o