Você está na página 1de 63

FACULDADE INTEGRAL DIFERENCIAL

CURSO DE SISTEMAS DE INFORMAO

MRCIO FABIANO OLIVEIRA DE MOURA SANTOS

UTILIZAO DA FERRAMENTA DE DETECO DE INTRUSO SNORT PARA


SEGURANA DA INFORMAO NAS ORGANIZAES

TERESINA
2013

MRCIO FABIANO OLIVEIRA DE MOURA SANTOS

UTILIZAO DA FERRAMENTA DE DETECO DE INTRUSO SNORT PARA


SEGURANA DA INFORMAO NAS ORGANIZAES

Trabalho de concluso de curso apresentado


Faculdade Integral Diferencial como
requisito para concluso do curso de
graduao em Sistemas de Informao.
Orientador: Prof. Esp. Antnio de Pdua
Almeida Jnior

TERESINA
2013

MRCIO FABIANO DE OLIVEIRA MOURA SANTOS


UTILIZAO DA FERRAMENTA DE DETECO DE INTRUSO SNORT PARA
SEGURANA DA INFORMAO NAS ORGANIZAES
TRABALHO DE CONCLUSO DE CURSO
APRESENTADO FACULDADE INTEGRAL
DIFERENCIAL COMO REQUISITO PARA
CONCLUSO
DO
CURSO
DE
GRADUAO
EM
SISTEMAS
DE
INFORMAO.
ORIENTADOR: PROF. ESP. ANTNIO DE
PDUA ALMEIDA JNIOR

Monografia aprovada em: ____/____/______


BANCA EXAMIDADORA
______________________________________________
Prof. Esp. Antnio de Pdua Almeida Jnior
Orientador
______________________________________________
Prof(a).
______________________________________________
Prof(a).

AGRADECIMENTOS

Agradeo primeiramente a Deus, que minha fonte de inspirao de vida, que foi a
base qual sempre me sustentei nos momentos mais difceis e por ter iluminado meu
caminho nesta caminhada.
Em especial minha me Carmen Lcia, que minha razo de viver mulher admirvel,
valente, batalhadora, amiga, companheira, fonte infinita de carinho e amor que apesar
das dificuldades, nunca mediu esforos para me garantir uma tima educao, alm de
me ensinar a ser uma pessoa de bem e de bom carter sempre me incentivando a no
desistir.
Agradeo a minha falecida av Celeste que hoje se encontra com Deus pelo apoio,
fora e por me amparar em momentos de lutas.
Ao meu pai, Valter Cavalcante, por sempre me apoiar e me incentivar a crescer.
Agradeo tambm a todos os meus familiares que nunca perderam a f em mim, e a
todos os amigos e professores que sempre me apoiaram nesta luta.

Ter na empresa polticas de uso de computadores claras e fceis de guardar,


principalmente em companhias grandes, onde muitas pessoas no se conhecem e,
portanto, podem ser enganadas com mais facilidade.
Kevin Mitinick

SANTOS, M. F. O. de M. Utilizao da ferramenta de deteco de


intruso Snort para Segurana da Informao nas organizaes 2013 18f.
Trabalho de Concluso de Curso orientado pelo Prof. Esp. Antnio de Pdua
Almeida Jnior. Faculdade Integral Diferencial - FACID, Teresina, 2013.
RESUMO
O uso de dados informatizados hoje no mundo globalizado de suma importncia, pois
com o elevado crescimento tecnolgico, a necessidade do uso rpido e eficiente das
informaes aumenta a cada dia. Devido a isso, o nmero crescente de ataques de
invasores virtuais a sistemas computacionais tem aumentado constantemente,
acarretando em grandes prejuzos para as empresas. Um desses mtodos a
utilizao de Sistemas de Deteco de Intruso, que so sistemas que identificam
invasores mal intencionados em uma rede computacional, evitando ataques dos
mesmos atravs de alertas de intruso para um administrador ou usurio responsvel
pela segurana de uma rede de computadores. Este trabalho visa realizar testes de
deteco de intruso atravs da ferramenta Snort na plataforma Windows utilizando o
sistema operacional voltado para avaliao de segurana de redes e sistemas
Backtrack 5 R3 executando em uma mquina virtual VMware e da ferramenta Loic para
testes de negao de servios, para demonstrar o quanto a utilizao da ferramenta
Snort pode ser eficaz para amenizao de danos s informaes das organizaes.
Apesar da complexidade da instalao e da configurao desta ferramenta, fica claro
atravs dos resultados dos testes que a mesma serve de grande apoio para
profissionais de Segurana da informao. A primeira parte fala dos conceitos, objetivos
e mtodos que sero tratados no trabalho, apresentando uma viso geral dos mesmos,
exibindo alguns argumentos voltados para o crescimento tecnolgico. Na segunda
parte, so apresentados tpicos importantes na rea de segurana computacional que
servem como base para o tema em questo. As partes finais do trabalho abordam a
instalao e a configurao da ferramenta Snort apresentando tambm testes de
utilizao da mesma nos sistemas operacionais Windows 7 e Backtrack 5 R3, e
utilizando as ferramentas de teste citadas.
Palavras-Chave: Invasores Virtuais. Tipos de invases. Mecanismos de Segurana.

SANTOS, M. F. O. de M. The importance of using informations Security policies in


corporative environment 2013 18f. Monograph of completion targeted Prof. Esp.
Antnio de Pdua Almeida Jnior. Faculdade Integral Diferencial FACID, Teresina,
2013.
ABSTRACT
The use of computerized data is nowadays, highly important in the globalized world,
because with the raise of technological growth, the need of the fast and efficient use of
information increases the companies productivity more and more. Based on this reality,
it was observed that due to the high complexity of certain groups of information, it
became necessary the use of several methods and mechanisms of information in the
companies, based on the requirements oriented by Information Technology
professionals aiming the development of a group of rules that will be given to the
companies users, making it possible to minimize risks through the administration of the
dangers of losing information improving the informations security. The method
preventing risks that will be studied and analyzed is the using of Security Policies in the
Companies, their importance and where will be assessed the risks and vulnerabilities
which are subjected their assets, bringing forward suitable solutions to help minimize the
problems found.
Key words: Security Policies, risk prevention, vulnerabilities

LISTA DE FIGURAS

SUMRIO
1
2
2.1
2.2
2.3

INTRODUO..........................................................................................................8
REFERENCIAL TERICO................................................................................... 10
Segurana da Informao nas Organizaes.......................................................5
Principais ameaas s Informaes de uma Empresa........................................5
Definies de Mtodos de Segurana da Informao.........................................5

2.4 A Estrutura de uma Poltica de Segurana............................................................5


2
REFERENCIAL TERICO........................................................................................6
2.1 A importncia do uso das Polticas de Segurana das Informaes................6
2.2 Nveis de distribuio das informaes nas Organizaes...............................7
2.3 Principais ameaas s informaes de uma empresa........................................7
2.4 A Segurana no Uso da Informao....................................................................11
2.4.1 Estrutura bsica de um projeto de Segurana da Informao ......................12
3
METODOLOGIA.....................................................................................................13
4
RESULTADOS ESPERADOS................................................................................14
5
RECURSOS............................................................................................................15
6
Cronograma..........................................................................................................16
REFERNCIAS................................................................................................................17

10
1 INTRODUO
Com o crescimento da globalizao mundial e da Internet juntamente com o
avano da tecnologia computacional, a utilizao de computadores no cotidiano vem
evoluindo constantemente. A facilidade de acesso s informaes atravs de sistemas
computacionais foi um dos principais fatores que contribuiu para informatizao dos
dados nas organizaes aumentando a produtividade e o desenvolvimento econmico
das mesmas. Durante os ltimos anos, a internet obteve um crescimento elevado no
que diz respeito quantidade de usurios, e como consequncia disso, a quantidade
de ataques a sistemas computacionais tem aumentado sistematicamente. O nmero
crescente de ataques s organizaes se deve exposio de informaes importantes
das mesmas para intrusos. Com isso, surgiu a necessidade da criao de ferramentas
para detectar e prevenir estes ataques, visando manter a integridade dos dados.
A preocupao com a criao de solues para proteo de redes e
sistemas computacionais de acordo com a necessidade de segurana das
organizaes, levou implementao de vrios mecanismos de segurana. Dentre eles
encontram-se os Sistemas de Deteco e Preveno de Intruso, que so ferramentas
automatizadas responsveis por detectar e interromper tentativas de invaso a
sistemas computacionais.
Segundo Gonalves (2005), os tipos de deteco de invaso so: Deteces
por Anomalias, Por Assinaturas e por Sistemas Hbridos. Em sua obra, o autor fala
tambm sobre a classificao das ferramentas de deteco de intruso baseadas em
tipos de anlise. So elas: Deteco de Intruso Baseada em Hospedeiro e Deteco
de Intruso Baseada em Redes. Na pesquisa aplicada, foi utilizada a ferramenta
SNORT que um Sistema de Deteco por Assinaturas e Baseado em Redes.
A Utilizao da ferramenta SNORT para deteco de intrusos nas
organizaes identifica ataques s informaes dos sistemas computacionais das
mesmas.
Com os conceitos citados acima, podemos formular um problema: Qual a
principal vantagem da utilizao da ferramenta SNORT para deteco de ataques nas
organizaes?

11
A instalao e a configurao correta da ferramenta de deteco de intruso
Snort visa detectar invases em sistemas computacionais amenizando danos que
podem ser causador por atacantes virtuais s organizaes.
Este trabalho tem como objetivo apresentar um breve estudo aplicado sobre
a ferramenta de deteco de intruso SNORT atravs da instalao e configurao
deste sistema, assim como conceituar suas estruturas, explicar seu funcionamento e
demonstrar alguns tipos de ataques que podem ser minimizados nas organizaes
atravs dela.
Um Sistema de Deteco de Intruso uma ferramenta extremamente
importante para monitorar, detectar e prevenir ataques de usurios mal intencionados a
determinados sistemas de informaes organizacionais. Atravs dele, possvel definir
a deteco de invasores como um processo de monitoramento de eventos e anlise
dos sinais de invases que ocorrem em um ambiente computacional.
Primeiramente, foram abordados contedos da rea de Segurana da
Informao nos quais so apresentados tpicos importantes que servem como base
para a pesquisa realizada. Em seguida, foram definidos conceitos que caracterizam
uma ferramenta de deteco de intruso assim como seu funcionamento e sua
estrutura. No final da pesquisa, foram apresentados testes prticos de invaso com
deteces de intruso.

12

2 REFERENCIAL TERICO

2.1 Segurana da Informao nas Organizaes

Nos dias de hoje, com o grande desenvolvimento tecnolgico e com as


variadas formas de armazenamentos informatizados dos dados nas empresas, tornouse necessrio utilizao de ferramentas de segurana da informao para detectar
variadas formas de ataque e prevenir riscos de perda de dados nas organizaes.
A definio do tratamento a ser dado informao obtida no ambiente
convencional ou ambiente de tecnologia da organizao e colocada em prtica aps,
elaborao e implantao de polticas de segurana que visam minimizar danos a
dados e ativos das empresas. A Utilizao dessas polticas aplica-se a todos os
usurios que utilizam informaes das organizaes (FONTES, 2008).
Um bem valioso para uma organizao a informao. Ela deve ser
protegida cuidada e gerenciada com o objetivo de garantir disponibilidade, integridade,
confidencialidade, legalidade e auditabilidade sem dependncia da forma com que os
dados so armazenados, processados ou transmitidos particularmente (FONTES,
2008).
A definio dos tipos de acessos s informaes e validaes de dados
particulares de uma empresa de responsabilidade do Gerente de Tecnologia da
Informao. De acordo com Fontes (2008, p.249), O Gestor da informao a pessoa
responsvel pela autorizao de acesso, validao de uso e definio dos demais
controles sobre informao. ele quem classifica os nveis de confidenciabilidade e
sigilo de cada usurio que so definidos geralmente pela Gerncia de Segurana da
empresa.
A diviso de informaes em uma organizao feita de acordo com a
necessidade dos funcionrios da mesma. Eles devem acessar apenas informaes e
ambientes previamente autorizados pelo Gestor de Tecnologia da Informao, sendo

13
que, qualquer tentativa de acesso no autorizado ser considerada violao de
segurana podendo ocorrer penalidades a quem os pratica.

2.1.2

Principais ameaas s Informaes de uma Empresa

Existem trs caractersticas principais que identificam s ameaas de


Segurana da informao nas organizaes. Segundo Silva, Carvalho e Torres (2003)
so elas:

Perda de confidencialidade: Quando h quebra de sigilo e exposio sem

autorizao de informaes de um determinado grupo particular de usurios.


Perda de Integridade: Manuseio de informao por uma pessoa no autorizada
que executa alteraes ilegais sem o consentimento do proprietrio das

informaes.
Perda de Disponibilidade: Ocorre quando acontece a inacessibilidade das
informaes a quem necessita delas.

2.1.3

Tipos de atacantes virtuais

De acordo com Carvalho (2005), a definio de atacante d-se pessoa


que realiza um ataque a um determinado sistema. O termo mais utilizado pela mdia
para definir um atacante conhecido como hacker. Este um termo menos genrico,
pois existem ramificaes do mesmo. Originalmente, o nome hacker era atribudo a
usurios avanados que utilizavam seus conhecimentos para invadir sistemas, sem o
intuito de causar danos, mas apenas com um desafio suas habilidades.
Os principais motivos da ocorrncia de perdas de confidencialidade,
integridade e disponibilidade, esto ligados principalmente falta de preparao
adequada dos funcionrios das empresas, que, na maioria das vezes, devido falta de
conhecimento, fornecem dados importantes a pessoas no autorizadas. Existe uma
vasta categoria de invasores digitais. So elas:

14

Hackers: Ao contrrio do que muitos pensam, um curioso por natureza que


tem como hobby adquirir conhecimentos na rea de informtica e tecnologia com
objetivo ajudar os menos favorecidos. So especialistas em segurana de

dados que usam sua inteligncia para fazer bem.


Black Hats ou Crackers: Usurio que possui um alto grau de conhecimento,
mas, infelizmente o utiliza para fazer o mal. So antiticos e no possuem
nenhum respeito por usurios, bancos de dados ou sistemas podendo invadi-los
apenas para deixar sua marca. Nesta categoria encontram-se espies industriais
mestres em programao, ex-piratas computacionais, adolescentes com
conhecimento em invaso dentre outros. So os principais inimigos dos hackers,
pois suas aes so totalmente opostas. Utilizam conhecimentos avanados em
programao e tcnicas de redes para roubar dados secretos confidenciais de
sistemas atravs de tcnicas de invaso, alm de piratear softwares dentre
outros crimes virtuais.

Script Kiddies: Este tipo de usurio diferentemente dos Crackers, possui pouco
conhecimento tcnico e utilizam ferramentas disponveis na internet para invaso
de sistemas. So tambm conhecidos como novatos, ou newbies sendo a
maioria dos atacantes existentes. So as ameaas mais comuns enfrentadas
pelas empresas. Estes atacantes no possuem um alvo definido, podendo atingir
qualquer tipo de organizao que esteja conectada internet.

Carders: Os Cardes so usurios mal intencionados responsveis pela


realizao de compras atravs da internet utilizando cartes de crdito roubados
ou simplesmente gerados por softwares especficos para este fim.

Cyber Punks: So hackers com alto grau de conhecimento nos quais sua
principal preocupao com a privacidade dos usurios em relao ao governo,
pois os mesmos a acreditam que estes possam estar acessando informaes
privadas dos cidados. Geralmente, eles utilizam criptografia para garantir a
privacidade dos dados. Surgiram na dcada de 80 e so referenciados como
hackers dos tempos romnticos, nos quais as invases eram feitas por puro
divertimento e desafio. So eles que encontram falhas em softwares, em

15
protocolos e em sistemas operacionais e divulgam as mesmas, ajudando as
empresas desenvolvedoras dos softwares a corrigirem suas falhas.

Insiders: So hackers responsveis pela maioria das invases a sistemas


computacionais e incidentes de segurana nas empresas. Os insiders so de
difcil deteco, pois geralmente so usurios descontentes com a empresa, e
uma vez tendo acesso a um terminal, podem apagar arquivos importantes,
inserir vrus e manipular dados dos sistemas, podendo tambm divulgar
informaes secretas ou at mesmo vend-las para fortes concorrentes da
mesma.

Coders:

Os

Coders

so

conhecimentos construindo

hackers

que

costumam

programas, escrevendo

compartilhar

livros e

seus

ministrando

palestras sobre seus feitos. Foram hackers famosos que hoje trabalham
legalmente. O caso mais conhecido foi o de Kevin Mitinick, hacker que cumpriu
pena por crimes computacionais e que hoje impedido pela justia de utilizar
computadores e trabalhar como consultor tcnico, mas mesmo assim, muito
requisitado para realizao de palestras relacionadas segurana.

White Hats: So mais conhecidos como hackers do bem ou hackers ticos que
utilizam seus conhecimentos para procura de vulnerabilidades apresentando
correes para as mesmas. Estes so consultores legalizados de segurana
computacional. So responsveis por efetuar testes de invaso analisando a
segurana da informao das empresas.

Defacers: So hackers que modificam sites da web a fim de passarem uma


mensagem poltica, religiosa ou de poder intelectual. A grande maioria desses
invasores pertence a cls que podem desconfigurar inmeros sites em variados
pases para deixarem a sua mensagem. Eles criam seus prprios cdigos para
explorar falhas, suas prprias ferramentas de automao de buscas por
vulnerabilidades e falhas em sistemas computacionais.

Phreaker: Invasor manaco por telefonia. um tipo de categoria parte que


pode ser formada por Hackers, Crackers ou nenhum dos dois. Os Phreakers
utilizam Softwares e equipamentos para poderem usar telefones de forma ilegal

16
e gratuitamente. Alguns so to avanados, que chegam a possuir acesso direto
s centrais de telefonia, podendo desligar ou ligar telefones ou alterar valores de

contas.
Funcionrios insatisfeitos: A grande maioria dos tipos de invasores so os
prprios funcionrios ou ex-funcionrios insatisfeitos das empresas que se
utilizam do conhecimento adquirido destruindo todos os dados dos sistemas.

2.1.4

Engenharia Social

Cada uma das categorias citadas acima capaz de utilizar diferenciados


ataques.
Vulnerabilidades existem e no so poucas, pois muitas so desconhecidas
e passam despercebidas pelas organizaes.
A Principal tcnica utilizada por usurios mal intencionados para roubos de
dados e informaes a Engenharia Social.
Segundo Peixoto (2006), um engenheiro Social utiliza a arte de enganar,
persuadir, influenciar e manipular pessoas.
O Perfil dos Engenheiros Sociais aparentemente o de uma pessoa bem
agradvel, educada, simptica, carismtica, criativa e dinmica dentre outras
caractersticas, possuindo uma conversa bastante envolvente e uma alta
capacidade de ganhar a confiana de um usurio.
2.1.4.1

Ferramentas Utilizadas por engenheiros Sociais

As principais Ferramentas utilizadas pelos Engenheiros Sociais para roubar


informaes nas organizaes so:

Telefones ou VoIP (voz sobre IP): Uso da personificao, pois o engenheiro

finge ser outra pessoa para poder enganar as pessoas.


Internet (Coleta de informaes): Coleta de informaes de usurios de
forma ilegal na internet como em sites clonados, Orkut etc.

17

E-mails Fakes: Envio de e-mails atrativos e persuasivos com informaes

falsas onde so extradas e reenviadas informaes pessoais dos usurios.


Spyware: Softwares espies utilizados na monitorao oculta das atividades
feitas no computador de um usurio etc.
2.1.5

Tcnicas utilizadas por invasores digitais

Existem muitos outros fatores como a vulnerabilidade das redes, roubo de


dispositivos de armazenamento etc. Invasores digitais utilizam vrias tcnicas para
roubar informaes. Segundo Assuno (2010), as principais tcnicas utilizadas por
invasores digitais so:

Footprinting: Tcnica de intruso que utiliza mtodos de busca para descobrir


informaes de e-mails de usurios, informaes de rede, links importantes e at
documentos desprotegidos. Utiliza vrias ferramentas de busca, como
buscadores de internet etc.

Varredura: Mais conhecida como escaneamento, faz uma varredura do sistema


alvo com objetivo de se descobrir os computadores ativos em uma rede, em
quais portas esses sistemas esto sendo executados e que servios esto
rodando vinculado s mesmas podendo tambm analisar qual Sistema
Operacional est sendo usado.

Enumerao: Identificao dos servios que esto sendo executados nas portas
dos sistemas descobertos, alm de descobrir o Sistema Operacional que est
sendo utilizado. Aqui dados so compilados sobre recursos disponveis tais como
compartilhamento e usurios que esto utilizando o sistema.

Procura por Falhas e Problemas: Nesta etapa, feia uma pesquisa para se
identificar falhas nos servios. facilitada aps a numerao onde podemos
descobrir quais os servios que estavam rodando no sistema. Aqui so utilizados
tambm scanners de vulnerabilidade para adiantar a pesquisa.

Mtodos de Burlar a Proteo: Mtodo que burla ferramentas utilizadas em um


sistema. Os mais atacados so os antivrus, os firewalls e os Sistemas de
Deteco de intrusos, mais conhecidos como IDS.

18

Engenharia Social: Tcnica j comentada, que utilizada por invasores para


roubar informaes enganando os usurios e induzindo-os entregar dados
importantes.

Explorao de Falhas: Etapa na qual as falhas do sistema so exploradas onde


j se fica sabendo tudo sobre ela. O objetivo aqui se aproveitar desses
problemas para obter total acesso aos dados com privilgios de Super Usurio
ou Administrador de dados do sistema.

Explorando M Configurao de Sistemas: Pode-se tambm, tirar proveito da


m configurao do sistema, identificando assim o nvel de segurana do mesmo
que caso seja fraco, facilita o roubo de senhas e informaes atravs da fora
bruta e outros variados mtodos.

Negao de Servios: Invalidao de um sistema web por sobrecarga na qual o


mesmo derrubado fazendo com que o acesso a ele e a seus recursos fiquem
indisponveis.

2.1.6

Definies de Mtodos de Segurana da Informao

Existem variadas formas de proteo contra ataques de invasores mal


intencionados sejam eles de qualquer origem. Mas para que as mesmas entrem em
vigor, necessrio que participem da elaborao das tcnicas de preveno
profissionais experientes da rea para que haja uma maior garantia de segurana das
informaes.
Segundo Silva, Carvalho e Torres (2003), os mecanismos formais que
definem so as Polticas, as normas e os procedimentos de proteo utilizados nas
organizaes. Atravs deles so encerrados os objetivos da segurana da
Organizao, definindo tambm os eixos onde se desenvolvero todas as atividades de
preveno e proteo. O responsvel pela segurana ajudar na criao desses trs
mecanismos ter que garantir o cumprimento dos preceitos neste conjunto de
documentao.

19
Outra caracterstica importante na segurana a Propriedade da Informao,
pois atravs dela, as necessidades reais de segurana podero ser aplicadas ao
usurio proprietrio que tem acesso a um grupo restrito de informaes. Os dados so
protegidos de acordo com a sua classificao, criando-se assim um procedimento para
gesto das informaes. A confidencialidade, a integridade e a disponibilidade tambm
so outros fatores importantes, pois tornam estvel o uso da informao. A Criao de
uma Poltica de Dados quando elaborada de forma adequada tambm um dos
principais fatores de segurana, pois atravs dela que a organizao ser protegida
contra perda de informao quando surgirem falhas de hardware, defeitos de Software,
erros humanos, intrusos, sabotagem e desastres naturais, podendo igualmente ser
utilizada para suporte ao arquivo (histrico) de dados (SILVA; CARVALHO; TORRES,
2003).
A Segurana fsica das informaes muito til, pois tanto o espao das
organizaes onde ficam localizados servidores quanto s partes fsicas internas dos
computadores terminais, tm que ser cuidadas, situadas em locais seguros, avaliadas e
se necessrio trocadas. A Estrutura das redes internas tambm precisa ser preservada,
pois, atravs delas que os dados transitam nas organizaes. Os componentes
crticos de armazenamento, processamento ou transmisso no podero encontrar-se
expostos demasiadamente para preveno de roubos e fraudes. O acesso sala de
processamento de dados e os componentes mais valiosos tero que ficar em locais
bem protegidos, longe de andares altos ou baixos em caso de edifcios, longe de vias
de circulao pblica ou condutas de gua e esgoto. Os sistemas de deteco de
combate a incndios tambm precisam ser apropriados, utilizando sistemas de
supresso por gs inerte no lugar de sprinklers de gua, evitando assim o risco de
danificar os aparelhos. Se possvel, que haja um com controle de acesso ao local via
carto, leitor digital, onde apenas usurios autorizados possam utilizar os recursos do
Central de Processamento de Dados.
2.2

Gesto de riscos

20
De acordo com Bezerra (2011), a ao e a interao dos objetivos em
relao s incertezas originam o risco, que se apresenta diariamente a toda e qualquer
atividade.
Nem sempre possvel identificar os riscos a no ser que haja aes para
identific-lo. Aes repentinas que fogem do controle humano como eventos de causas
naturais tambm caracterizam os riscos.
O que origina um risco a interao dos objetivos com as incertezas
apresentadas diariamente a toda e qualquer atividade desenvolvida.
O principal conceito de gesto de riscos est relacionado s atividades
formalizadas e coordenadas com objetivo de controlar e dirigir um conjunto de
instalaes e pessoas com suas devidas relaes e responsabilidades entre si
extremamente referentes a riscos nos negcios voltados para segurana da
informao.
A figura abaixo ilustra as principais atividades de gesto de riscos de
segurana da informao:
Figura 1 - Principais atividades de Gesto de Riscos da Segurana da Informao

Fonte: Bezerra (2011).

2.2.1 Ativos

21
Um ativo algo que agrega valor para uma determinada organizao e,
portanto, precisa de proteo.
Segundo a ABNT NBR ISO/IEC 17799 (2005), um ativo pode ser:

Ativo de Informao: Formados por documentao de sistemas


computacionais, bancos de dados, material de treinamento, planos de
continuidade, informaes arquivadas dentre outras.

Ativos de Softwares: So sistemas operacionais, ferramentas de


desenvolvimento de softwares, utilitrios e aplicaes.

Ativos fsicos: Formados por computadores, equipamentos de


comunicao, acomodaes, mdias magnticas dentre outros.

Servios: Informtica e servios de comunicao e utilidades gerais


como, por exemplo, eletricidade e ar condicionado.

2.2.2

Vulnerabilidade
O principal objetivo de uma atividade de identificao de

vulnerabilidades criar uma lista com as mesmas associadas aos ativos,


ameaas e controles.
A principal definio de vulnerabilidade segundo Bezerra (2011),
qualquer tipo de fraqueza que comprometa a segurana de sistemas de
informao.
2.2.3

Ameaa

O conceito de ameaa caracteriza-se por qualquer tipo de evento que


prejudique totalmente ou parcialmente as chances de um projeto atingir sucesso, ou
seja, as chances do mesmo atingir seus objetivos propostos dentro do prazo e do fluxo
de caixa estabelecidos.

22
De acordo com Bezerra (2005), ameaa so agentes ou condies que
exploram

as

vulnerabilidades,

causando

inmeros

incidentes

aos

ativos

comprometendo e gerando danos a variados negcios de uma organizao.


2.2.4

Risco

O produto da probabilidade de ocorrncia de uma determinada consequncia


negativa e seus impactos e consequncias caracterizam-se como risco. Podemos citar,
por exemplo, um a probabilidade de ocorrncia de um terremoto no Brasil que
mnima, mas o impacto disso seria devastador.
2.2.5

Impacto

A consequncia da concretizao do risco denominada impacto. Podemos


citar como exemplo a diminuio do nvel obtido nos objetivos de negcio. Isso
acarretaria um impacto negativo nas metas a serem atingidas pelo mesmo.
Ataques em tempo real funcionando como um sensor de deteco. Estes
sistemas servem para nos trazer informaes de quantos ataques sofremos por dia,
qual tipo de ataque e quais suas origens.

2.3 A Estrutura de uma Poltica de Segurana

Para elaborao de uma poltica para diminuio de riscos de perda de


informaes em uma empresa, necessria a criao de documentaes com medidas
de seguridade a serem implementadas.
Estes documentos so o Plano Global de segurana, a Poltica de
Segurana, as Normas de Segurana e os Procedimentos a serem tomados para
preveno de riscos (SILVA; CARVALHO; TORRES, 2003).
2.3.1

Plano Global de Segurana

23

O Plano Global de segurana o Principal documento responsvel pela


segurana das empresas.
Neste documento encontram-se a anlise de riscos, a estratgia e o plano de
ao para a implementao das medidas de preveno a serem tomadas em caso de
ataques e riscos.
2.3.2

Poltica de Segurana

um conjunto de regras gerais que definem os regulamentos de conduta de


uma empresa, referenciando todas as medidas polticas que contenham normas de
segurana podendo tambm impor penalidades aos que as infringirem.
As regras devem ser suficientemente genricas para que no haja
necessidade de reviso, exceto em caso de alterao profunda do contexto do negcio.
A Poltica de Segurana de uma empresa precisa ser de total conhecimento
de todos os colaboradores ligados a ela, desde a admisso dos mesmos.
2.3.3

Normas de Segurana

o documento onde se encontram todas as regras de segurana de uma


empresa detalhando as orientaes estabelecidas na Poltica de Segurana. Neste
documento estaro referenciadas todas as tecnologias e ferramentas que sero
utilizadas na segurana da empresa e as formas seguras de uso das mesmas.
2.3.4

Documento de Procedimento

Esse Documento responsvel pela descrio detalhada das operaes


indicando todos os seus passos sendo sujeito a alteraes com frequncia, pois o
mesmo no escrito somente por causa da segurana, mas, tambm, atravs de um
trabalho de sensibilizao juntamente com os tcnicos para que os mesmos possam
garantir a conformidade dos procedimentos descritos por eles juntamente com as
normas de segurana.
A Criao desses documentos necessrios para elaborao de um projeto de
segurana e preveno de riscos em uma empresa de suma importncia, podendo

24
ser visveis grandes resultados aps criao e implantao das Polticas de Segurana
nas organizaes.
Nas empresas, a administrao do risco identifica um conjunto de medidas
que permitem empresa avaliar o nvel de segurana em sua administrao (SILVA;
CARVALHO; TORRES, 2003).
2.4 Definio de Firewall
Segundo Gonalves (2005), um sistema de firewall definido como um
dispositivo de segurana que combina software e hardware para segmentar e controlar
o acesso entre redes de computadores distintas.
Com o elevado avano da tecnologia em redes computacionais, a
interligao entre terminais em locais diferentes se tornou algo comum nos dias atuais.
Juntamente com isso, surgiram-se grandes problemas relacionados a
ataques em redes computacionais, pois a possibilidade de um intruso acessar uma
determinada rede privada tendo acesso a informaes sigilosas tem aumentado a cada
dia. CARUSO & STEFFEN (2006, p.218) afirma que:
Normalmente, um Firewall instalado no ponto de interligao de uma
rede interna com a Internet. Todo o trfego, nos dois sentidos, tem de passar por
este ponto e, dessa forma, atender aos requisitos da poltica de segurana da
instalao.
Os Firewalls so a primeira barreira contra possveis ataques a sistemas
computacionais ou redes de computadores, isso devido eficcia no cumprimento de
sua funo. A figura abaixo ilustra a ao de um Firewall impedindo que programas ou
pessoas no autorizadas acessem sua rede.

25

Figura 2 - Firewall de uma rede de computadores

Fonte: http://toniinfo.com/firewall

2.5 Sistemas de deteco de Intruso


Com o crescimento da tecnologia da informao, a utilizao de ferramentas
de segurana computacional extremamente necessria para realizao de transaes
seguras.
Geralmente,

as instituies procuram

concentrar suas defesas em

ferramentas preventivas como, por exemplo, Firewalls, e com isso, acabam dando
pouca ateno s ferramentas responsveis pela deteco de invasores cibernticos.
Com o elevado crescimento da tecnologia da informao, um dos elementos
essenciais infraestrutura de segurana computacional das organizaes que pode
trabalhar juntamente com um firewall so as ferramentas de deteco de intruso. O
objetivo dessas ferramentas identificar tentativas de invases realizadas por usurios
mal intencionados s informaes de uma determinada organizao, proporcionando
uma viso sobre tudo o que acontece na infraestrutura de uma rede de computadores
pessoal ou de uma empresa.

26
Uma organizao que possua em sua estrutura de rede firewalls e
roteadores, devidamente configurados, poderia at evitar maioria dos ataques
cibernticos contra seus sistemas computacionais. No entanto, no existe qualquer tipo
de conhecimento sobre o que acontece no exterior de um permetro lgico de rede,
desconhecendo-se assim qualquer tipo de invaso.
Segundo Nogueira (2005), so os sistemas de deteco de intruso que se
referem a meios tcnicos de se descobrir acessos no autorizados que podem indicar
aes hackers ou at mesmo funcionrios mal intencionados. So dispositivos de
monitoramento de redes computacionais capazes de perceber a ocorrncia de ataques
ou comportamentos anormais produzindo uma resposta. As respostas providas por um
sistema de deteco de intruso tm como principal funo alertar o administrador de
uma determinada rede de computadores a ocorrncia de um ataque ou tentativa de
invaso ocorrida.
O Instituto Nacional de Padres e tecnologia define a deteco de intruso
como um processo de monitoramento de eventos e anlise dos sinais de intruses que
ocorrem em um ambiente computacional.
As intruses so os resultados de ataques provenientes da internet
estruturados por variados tipos de invasores autorizados e no autorizados que tentam
elevar seu nvel de privilgios. A Intruso uma possibilidade em potencial de um
acesso no autorizado s informaes que podem ser manipuladas ficando
inacessveis.
2.5.1

Definio de Intruso

Para entender melhor o conceito de intruso, preciso primeiramente


compreender o que vem a ser um intruso.
Um intruso pode ser identificado como um usurio com acesso ilegal a uma
determinada rea restrita.
No ambiente de redes e sistemas computacionais, um intruso pode ser
considerado, por exemplo, um usurio que faz o mau uso de um sistema computacional
ou tenta invadi-lo com fins maliciosos.

27
Estudos cientficos relatam que grande parte das aes de intruso ocorrem
externamente, e isso tem acontecido com frequncia aps o grande crescimento da
internet. Pesquisas relatam que a maior parte dos ataques a sistemas e a redes
computacionais so de origem interna atravs de funcionrios insatisfeitos que
possuem acesso s informaes das organizaes, conhecendo as estruturas e o
funcionamento das redes de computadores das mesmas, pois infelizmente, a grande
maioria das organizaes se preocupa somente com os ataques externos.
Uma intruso pode ser tambm definida como qualquer conjunto de aes
que tem como objetivo atingir ou comprometer a integridade, confidencialidade e a
disponibilidade dos dados de um sistema.
Simplificando o conceito de intruso, podemos afirmar que algum que
invade ou tenta invadir um sistema utilizando o mesmo para fins maliciosos.
Geralmente, todos os tipos de intruses encontram-se definidas nas polticas
de segurana das empresas, pois enquanto no for definido o que liberado e o que
restrito em um sistema, torna-se intil o entendimento do que intruso.
2.5.2

Classificao dos tipos de Intruses

As intruses podem ser classificadas em duas classes. So elas:


Intruso devido ao mau uso do sistema: Este tipo de intruso realiza ataques
aos pontos fracos do sistema conhecido pelo invasor.
Intruso devido mudana de padro: A deteco feita com a observao
de mudanas de uso em relao ao padro normal do sistema.
2.5.3 Classes de Invasores virtuais
Segundo Marcelo e Pitanga (2003), existem duas classes de invasores
mal intencionados. So elas:

Invasores aleatrios: uma espcie de invasor que atua como uma


metralhadora giratria, ou seja, realiza ataques para todos os lados visando

28
derrubar qualquer usurio que for atingido. So indivduos capazes de
passar dias varrendo redes computacionais procura de vtimas e
servidores vulnerveis para tentar invadi-los. Este tipo de invasor possui
conhecimento inicial utilizando-se das famosas receitas de bolo de invaso.

Invasores direcionados: So invasores muito perigosos que estudam seus


alvos profundamente, elaborando estratgias j obtendo uma estratgia para
interpretar uma invaso. Este tipo de atacante deve ser identificado e
eliminado rapidamente de uma rede ou sistema, pois a permanncia do
mesmo pode ocasionar ataques quase irreversveis.
2.5.4

Identificao de servios de misso crtica

O envolvimento de usurios em um sistema de extrema importncia, pois


atravs deles os recursos sero utilizados eficientemente.
Na implementao de um sistema de deteco de intruso, assuntos
importantes, como por exemplo, vulnerabilidades e riscos precisam ser tratados com
prioridade mxima.
Para que a utilizao de um sistema para detectar intrusos seja eficiente,
preciso que haja um conhecedor profundo da estrutura de redes ou do sistema no qual
o mesmo se encontra instalado.
2.5.4.1

Usurios envolvidos em sistemas de deteco de intruso

Diversos tipos de usurios precisam estar presentes na identificao de


servios de misso crticas em um sistema de deteco de intrusos. Os principais deles
so:

Responsveis pela segurana da informao;

Administradores de rede;

Administradores de banco de dados;

Gerente Geral;

29

Administradores de sistemas operacionais;

Donos dos respectivos dados.

2.5.5

Ataques Falsos e ataques verdadeiros

Existem alguns tipos de ataques a sistemas nos quais dificilmente possvel


detectar se os mesmos so verdadeiros ou falsos. Estes tipos de ataques so
conhecidos como Falsos positivos e Falsos negativos.
2.5.5.1

Falsos positivos

Falsos positivos so alertas gerados por um sistema de deteco de intruso


identificando um falso ataque contra um sistema quando na verdade trata-se de uma
ao verdadeira. Estes podem gerar srios problemas, pois geram muitos alertas que
podem ocultar um ataque verdadeiro fazendo com que o administrador da rede perca
muito tempo analisando um ataque inexistente.
2.5.5.2

Falsos negativos

Falsos negativos so ataques verdadeiros no detectados por um sistema de


deteco de intruso. Infelizmente, um sistema deste tipo pode no reconhecer
determinados certos tipos de ataques. H duas possibilidades: ou o sistema de
deteco de intrusos est sobrecarregado ou ento o invasor obteve sucesso com o
ataque, pois mesmo no foi detectado pelo sistema. So informaes falsas e inteis
que prejudicam os administradores de rede.
2.5.6

Funcionamento de um sistema de Deteco de intruso

A utilizao de um sistema de deteco de intruso til quando um firewall


no consegue detectar um trfego malicioso em um sistema em rede.

30

Um sistema de deteco de intruso funciona da seguinte forma:

Os sensores detectam eventos que posteriormente sero analisados.

A ferramenta para detectar invases determina se houve algum comportamento


intrusivo.

Ocorre o armazenamento nos registros de eventos com a deciso tomada pelo


sistema em relao ao ataque ocorrido para uma futura anlise.

lanada uma reao de resposta ao ataque detectado.


Figura 3 - Sistema de Deteco de Intruso

Fonte: http://www.pkfavantedge.com/technology/ids-a-technical-understanding

Os sistemas de deteco de intruso so alarmes virtuais de rede ou sistema


em tempo real que avisam aos administradores sobre possveis ataques, para que os
mesmos possam tomar providncias em relao a ataques que esto ocorrendo
atravs das informaes de intruso capturadas por estes sistemas. Estes so

31
totalmente eficazes para ajudar no controle de segurana da informao das
organizaes.
2.5.7

Aes de um sistema de deteco de intruso

Um sistema responsvel pela deteco de intrusos no pode responder por


todos os problemas relacionados segurana da informao. Um dos principais
objetivos deste tipo de sistema detectar manipulaes de intruses provenientes de
computadores indesejveis normalmente realizadas por variados tipos de usurios mal
intencionados. Ele detecta atividades suspeitas em uma rede monitorando e registrando
eventos permitindo que o administrador de um determinado sistema decida como parar
o ataque. Estes sistemas trabalham em modo promscuo, recebendo uma cpia do
trfego de rede. As respostas providas por este tipo de sistema alertam ao
administrador do sistema ou da rede de sobre a existncia de invasores virtuais.
2.5.8

Comparao entre firewall e Sistema de Deteco de Intruso

Um firewall tem como funo filtrar pacotes que trafegam em uma


determinada infraestrutura de rede. Infelizmente, este no possui a caracterstica de
alertar um administrador de um sistema de redes sobre um determinado trfego
malicioso.
Os firewalls geralmente so projetados para restringir ou permitir
determinados trfegos em redes computacionais baseados nos Protocolos de Internet
de origem, de endereos destino e nas portas. A anlise de trfego realizada por um
sistema de deteco de intruso bem mais complexa.
Podemos fazer uma analogia comparando um firewall porta de entrada de
um prdio, um administrador de rede ou sistema ao vigilante do prdio e um sistema de
deteco de intruso como um alarme colocado na entrada do prdio. Quando um
invasor mal intencionado tenta entrar sem permisso no prdio, o alarme soa e o
vigilante avisado sobre uma invaso e tenta impedi-la.

32

Figura 4 - Sistema de Deteco de Intruso e Firewall em uma rede

Fonte: http://www.mknod.com.br/?q=ids

Apesar das discrepncias entre firewall e Sistemas que detectam intrusos,


ambos so de extrema importncia para segurana da informao das organizaes.
2.5.9

Ataques planejados

De acordo com o tipo de atacante, a invaso de sistemas tm motivos


variados. O que motiva um Script Kiddie, por exemplo, a atacar um site ou uma rede,
a alta curiosidade e vontade de experimentar algo novo. Deve-se tomar muito cuidado

33
com os este tipo de atacante, pois na maioria das vezes no sabem o que esto
fazendo e nem os danos que podem causar.
Geralmente, os Scripts Kiddies no planejam seus ataques, pois simplesmente
conseguem seus exploits com algum Coder e ficam tentando invadir sites e sistemas
computacionais, pois no possuem um alvo certo.
Os Cyber Punks, White Hats e Black Hats, so tipos de hackers que
planejam seus ataques, pois antes de tentarem invadir um alvo, podem passar dias
buscando informaes sobre a vtima. Os ataques sero realizados somente aps a
anlise de todas as informaes colhidas.
2.5.9.1

Projeto de ataque

De acordo com Nogueira (2005), o planejamento de um ataque leva um


tempo para ser desenvolvido. Aproximadamente 90% dos hackers possuem um
esquema com todos os passos necessrios para atingir um determinado alvo. As
principais caractersticas de um projeto de ataque so:

Obteno de informaes sobre a instituio alvo.

Varredura de portas na qual o hacker verifica todas as portas abertas na


mquina-alvo com objetivo de encontrar servios que rodam nas mesmas para
visualizar as verses dos processos para dar incio a um ataque.

Escanneamento de Vulnerabilidades: Utilizados para procurar por falhas em


determinados servios especficos.

Relatrio com todos os pontos Fracos do alvo em questo.


2.5.9.2

xitos de ataques

Quando um atacante obtm xito em um ataque, as consequncias podem


fazer com que o mesmo execute vrias aes. So elas:

Monitoramento do sistema alvo.

Desvio de informaes e prejuzos imagem da empresa alvo.

34

Alterao de dados, servios e aplicaes, Desfigurao de sites.

Negao e corrupo de servios do sistema, fraudes financeiras.


2.6 Metodologias de Sistemas de Deteco de Intruso
Variados tipos de mecanismos de deteco de intruso podem ser utilizados.
Cada uma dessas ferramentas possuem caractersticas que se adaptam a

diferentes tipos de ambientes. As metodologias destas ferramentas podem ser:


Deteco por Anomalias, Deteco por assinaturas e sistemas hbridos.
2.6.1 Deteco por Anomalias
Este mtodo de deteco de intruso tem como objetivo identificar variados
desvios de padres de utilizao de recursos que se encontram em um sistema por
parte dos atacantes. Consiste em identificar comportamentos anmalos em um
determinado host ou em uma rede local.
Atravs deste mtodo, assume-se que os ataques diferem das atividades
comuns e que podem ser detectados pelo sistema que identifica essas discrepncias.
Estes

detectores

de

anomalias

criam

perfis

que

representam

comportamento normal de um usurio, host ou conexo de rede a partir de um histrico


dos dados coletados durante o perodo normal de operao da rede na qual o mesmo
se encontra instalado. A partir disto o sistema coleta eventos e utiliza uma variedade de
medidas para determinar o monitoramento baseado nas normas pr-estabelecidas.
2.6.1.1

Vantagens

O sistema que detecta intrusos por anomalias capaz de identificar todo o


comportamento anormal em relao sua estrutura, sendo capaz de descobrir
sintomas de um ataque sem precisar conhecer seus detalhes. Outra vantagem que os

35
detectores de anomalias produzem informaes que podem ser utilizadas para definir
assinaturas de ataques computacionais.
2.6.1.2

Desvantagens

Uma desvantagem deste mtodo devido produo de uma elevada


quantidade de falsos positivos devido a comportamentos imprevisveis de usurios.
Outro ponto negativo desta metodologia devido cansativa criao de uma tabela
comparativa entre trfegos comuns e anormais.

2.6.2

Deteco por assinaturas

a metodologia mais utilizada, tambm conhecida por Deteco por abusos,


pois alm ser mais rpida, gera uma menor quantidade de falsos positivos do que os
sistemas de deteco por anomalias.
Este tipo de mtodo possui uma base de dados com informaes padres de
ataques (assinaturas) que so utilizadas para comparar com o possvel ataque
detectado. Caso o padro de ataque esteja na base de dados, o ataque detectado.
Este sistema fortemente acoplado s assinaturas dos ataques mais conhecidos.
Quando um padro encontrado na base de dados, gerado um alerta para informar
ao administrador da rede ou do sistema sobre um possvel ataque.
A base de dados na qual ficam armazenadas as assinaturas precisa ser
atualizada constantemente para que o sistema funcione corretamente contra novos
ataques.
2.6.2.1

Vantagens

36
Uma grande vantagem deste mtodo devido a sua rapidez e ao menor
ndice de falsos positivos em relao deteco por anomalia. O sistema em questo
pode identificar rapidamente e eficientemente um ataque seja ele atravs de algum
software malicioso ou de alguma tcnica hacker.
2.6.2.2

Desvantagens

A principal desvantagem deste tipo de sistema que o mesmo permite


somente a deteco de ataques conhecidos e devido a isso, a base de assinaturas
precisa ser atualizada constantemente para que o mesmo possa ser eficiente contra
novos ataques. Grande parte destes sistemas so fortemente ligados s definies de
assinaturas para poder prevenir as possveis variaes dos ataques mais comuns
limitando o raio de ao do sistema.
2.6.3

Sistemas Hbridos

Nenhuma deteco de intruso capaz detectar todo tipo de invaso


existente, pois tanto a metodologia de intruso por anomalias quanto a por assinaturas
possuem problemas. Devido a isso, uma tima opo seria unir estas duas
metodologias para que a segurana das redes computacionais ficasse mais eficiente. A
metodologia hbrida caracteriza-se pela juno das duas metodologias citadas
anteriormente.
2.7 Arquitetura de um Sistema de Deteco de Intruso
A arquitetura de um sistema para deteco intrusos pode ser classificada por
diferentes abordagens de monitorao e anlise. A forma de classificao mais comum
de um sistema deste tipo agrupando-os de acordo com a fonte de informao
utilizada.
. Alguns sistemas analisam primeiramente as informaes geradas pelo
sistema operacional e por alguns softwares procura de indcios de invaso. Os

37
sistemas de intruso so basicamente definidos em trs arquiteturas: Baseada em
Rede, Baseada em Host e Baseada em Kernel.
2.7.1

Arquitetura Baseada em Rede

Os sistemas com arquitetura baseada em rede so capazes de capturar todo


o trfego de uma rede, e a partir disso, podem identificar uma possvel ao de
intruso.
Esta arquitetura utiliza um adaptador de rede que executado no modo
promscuo para escutar e analisar todo o trfego em tempo real de uma rede.
Sistemas detectores de intruso baseados em redes armazenam os eventos
registrados da captura da rede enviando em seguida alertas de acordo com a
configurao realizada pelo especialista no sistema.
A utilizao desta arquitetura permite ao administrador da rede identificar
rapidamente a invaso, guardando as evidncias de um ataque tomando em seguida
medidas necessrias para um maior nvel de proteo do sistema.
Um dos grandes problemas dos sistemas baseados em rede o caso da
centralizao de arquivos de registro de eventos conhecidos como logs na mquina,
pois caso algum hacker consiga invadir a rede ou o sistema, poder apagar ou
modificar as evidncias de sua entrada no sistema.
2.7.1.1

Vantagens

Como citado anteriormente, os sistemas de deteco de intruso Baseado


em rede capaz de capturar tudo o que passa em uma rede identificando possveis
aes de invasores. As principais vantagens da utilizao desta arquitetura so as
seguintes:

O sistema no causa impacto no desempenho da rede;

Identificao de ataques em tempo real;

Eficincia durante a deteco de varredura de portas;

38

Deteco de variados tipos de ataques;

Utilizao de um adaptador de redes em promscuo para escutar e analisar todo


o trfego em tempo real;

Independncia de arquitetura de sistemas operacionais.


2.7.1.2

Desvantagens

Os principais problemas que geram desvantagens nos sistemas de deteco


de intruso baseado em redes so:

Incapacidade de monitoramento de informaes criptografadas;

Dificuldade de processar pacotes em uma rede com grande trfego de dados;

Caso a rede esteja congestionada, pode haver perda de pacotes;

Dificuldade de remontar pacotes fragmentados;

No funcionam bem com switches devido s conexes entre estaes atravs


dos mesmos.
2.7.2

Arquitetura Baseada em Host ou servidor


Os sistemas de deteco de intrusos baseados em Hosts fazem o

monitoramento de um sistema baseado nos eventos registrados em arquivos


conhecidos como logs.
Neste tipo de arquitetura, as aplicaes so executadas dentro dos
servidores que sero observados. So sistemas que geram uma assinatura
de todo o disco e grava todos em um local para poder posteriormente
confrontar informaes.
Este tipo de arquitetura instalado em servidores com a funo de
alertar e identificar ataques e tentativas de acesso no autorizado aos
mesmos, no caso em que a segurana se focaliza em informaes contidas
em um servidor. Neste caso, os usurios no precisam ser monitorados.
Nenhum hardware necessrio para implementar este tipo de arquitetura.

39
De forma tpica, o sistema de deteco de intruso baseado em
host utiliza um modelo de deteco por anomalias na qual a sesso corrente
de um determinado usurio comparada com um padro considerado o
comportamento normal do mesmo atravs de algoritmos complexos que
visam determinar um comportamento diferente no sistema.
2.7.2.1

Vantagens

Os sistemas de deteco de intruso Baseado em host como citado


anteriormente, detecta intruses atravs de algum comportamento fora do normal na
rede ou sistema.
As principais Vantagens deste tipo de arquitetura so:

Capacidade de associao de usurios a eventos para detectar intruses;

Este tipo de sistema capaz de identificar ataques no encontrados por


sistemas baseados em redes;

O sistema pode analisar dados encriptados que foram decriptados no servidor;

Na ocorrncia de um ataque, o sistema informa ao administrador que o host est


sendo invadido.
2.7.2.2

Desvantagens

Um Sistema de deteco de intruso com arquitetura baseada em host


funciona sobre informaes coletadas em servidores individuais. As principais
desvantagens deste tipo de sistema so:

Caso algum tipo de ataque desative o sistema operacional, o sistema baseado


em host para de funcionar;

necessria a instalao do sistema em todos os servidores que fizerem parte


do sistema;

Podem no ser eficientes na ocorrncia de um ataque de negao de servios;

Necessidade de recursos do host para poder operar.

40

2.7.3

Arquitetura Baseada em Kernel

Este tipo de arquitetura relativamente novo. Teve incio com o sistema


GNU/Linux que utiliza o ncleo Linux em sua estrutura.
Este tipo de metodologia inclui variadas formas de preveno de ataques do
tio buffer overflow, abuso de funes como usurio root ou raiz, alm de aumentar a
proteo do sistema de arquivos, bloquear sinais, melhorar o modelo de controle de
acesso dentre outros.
Nesta arquitetura destacam-se dois projetos: O Sistema de Deteco de
Intruso Linux e o OpenWall GNU/*/Linux.
2.8 Principais Ferramentas de Deteco de Intruso
Existe uma vasta quantidade de sistemas de deteco de Intruso atualmente.
Maioria delas est disponvel para download na internet tanto gratuitamente
quanto com licenciamento privado. A tabela da figura abaixo mostra as ferramentas de
deteco de intruso mais utilizadas atualmente:
Figura 5 - Ferramentas de deteco de intruso mais utilizadas

41

Fonte: http://www.catalao.ufg.br/cc/disc/sas/ataques_ids.pdf

Existem algumas ferramentas utilizadas para avaliao de segurana de


diversos tipos de sistemas em rede, incluindo os sistemas de deteco de intruso, que
visam testar o desempenho dos mesmos. As mais utilizadas so o sistema operacional
Backtrack R3 que totalmente voltado para testes de variados tipos de ataques, e a
ferramenta Loic utilizada para testes de negao de servios.
3 METODOLOGIA

42
Trata-se de uma pesquisa aplicada do tipo experimental. Foi selecionado
para fins de testes o sistema de deteco de intruso Snort devido a sua eficincia na
deteco de intruso e por ser considerado o mais leve, alm de ser de gratuito,
baseado em assinatura e de cdigo aberto, sendo tambm um dos mais confiveis
sistemas da categoria e por realizar alertas em tempo real.
Neste captulo, apresentaremos a instalao e a configurao do Snort e das
ferramentas de apoio utilizadas para dar suporte ao mesmo.
Foram utilizados para testes um ambiente virtualizado utilizando o software
Virtualbox com o sistema operacional Backtrack 5 R3 executando em um computador
com Windows 7 instalado e a ferramenta para testes de negao de servios Loic
disponveis para download nos seguintes sites:

VMware: http://www.vmware.com/br/try-vmware.html

Backtrack 5 R3: http://www.backtrack-linux.org/downloads

Loic: http://sourceforge.net/projects/loic/files/loic

3.1 INSTALAO DO SNORT


Vamos dar incio instalao do sistema de deteco de intruso Snort no
sistema operacional Windows 7. Feito isso, exibiremos a ferramenta em funcionamento.
Para instalarmos o snort, devemos primeiramente fazer o download da
ferramenta no site www.snort.org de acordo com o sistema operacional que vai ser
utilizado, pois h diversas verses destinadas a variadas plataformas no site.
No nosso caso, utilizaremos o Snort instalado e configurado na plataforma
Windows.
Figura 6 - Pgina para download da ferramenta Snort e de suas regras

43

Fonte: www.snort.org

Aps isso, para que o sistema funcione de forma eficiente, necessrio o


download das regras de instalao (Rules) da verso do Snort a ser utilizada, pois
atravs das mesmas, ser possvel detectar os tipos de intruses.
necessrio tambm o download da ferramenta de apoio Winpcap que um
componente para anlise de rede e captura de plataformas Windows 32 bits. O
Winpcap pode ser baixado no site http://www.winpcap.org.
Figura 7 - Pgina para download do Winpcap

44
Fonte: http://www.winpcap.org

Aps o download das ferramentas, o prximo passo instalar o Winpcap que


servir de apoio ferramenta de deteco de Intruso.
Figura 8 - Tela de Instalao do Winpcap

A etapa seguinte a da instalao padro do Sistema de deteco d Intruso


Snort propriamente dito.
Figura 9 - Tela de instalao do Snort

45

3.2 CONFIGURAO DA FERRAMENTA SNORT


Aps o download e a instalao do Snort e de suas ferramentas de apoio,
necessrio configurar a ferramenta para que o sistema saiba quais os tipos de ataques
devem ser detectados.
As regras de assinaturas de ataques baixadas no site do Snort precisam ser
copiadas e coladas dentro da pasta de regras do Snort (Rules).
Figura 10 - Pasta principal do Snort no diretrio Windows

46

Na pasta principal do Snort, existe um arquivo chamado snort.conf que


possui as informaes necessrias para que a mquina na qual o sistema for instalado
possa entender o que deve ser feito durante a execuo da ferramenta.
Neste arquivo h tambm configuraes da rede e do arquivo que contm
as regras e as assinaturas de ataques.
Veja a seguir como fazer a configurao do arquivo snort.conf:
Primeiramente, deve-se abrir a pasta principal do Snort e em seguida a pasta
etc, pois o arquivo snort.conf encontra-se nesta segunda. Em seguida, o arquivo
snort.conf precisa ser aberto com algum editor de texto simples, como por exemplo
bloco de notas, notepad++ dentre outros para ser configurado.
Figura 11 Arquivo de configurao do Snort na pasta principal

47

Snort

utiliza

dentro

arquivo

snort.conf

uma

varivel

chamada

HOME_NET, que serve para que no seja necessrio especificar o endereo IP mais
de uma vez em todos os arquivos de regras e assinaturas de ataque. necessrio que
a varivel HOME_NET seja associada ao endereo da rede local.

Figura 12 - Varivel HOME_NET

48

Existe uma varivel chamada EXTERNAL_NET que pode ser setada para
servidores de nome, dependendo da necessidade de cada configurao.
recomendvel que esta varivel seja associada ao valor ANY, pois com isso
possvel que todo trfego que passe por ela seja filtrado.
Para configurar a ferramenta Snort, necessrio setar alguns campos do
arquivo snort.conf. Primeiramente, deve-se adicionar ao Snort o endereo que se
deseja proteger. Para isso necessrio localizar o campo abaixo e substituir a varivel
ANY pelo endereo da rede a ser protegida:
# Setup the network addresses you are protecting
ipvar HOME_NET ANY (Endereo IP a ser protegido)
Em seguida, dependendo da necessidade, pode-se ou no configurar o DNS
utilizado na rede citada. Isso possvel aps a localizao do campo abaixo, no qual a
varivel $HOME_NET substituda pelo DNS em questo.
# List of DNS servers on your network

49
ipvar DNS_SERVERS $HOME_NET
Aps isso, configura-se o caminho no qual se encontram os arquivos de
regras de ataques localizando-se o trecho abaixo, e substituindo os campos rules,
so_rules e../prepoc_rules pelos seus devidos caminhos na pasta do snort no
diretrio principal.
# Path to your rules files (this can be a relative path)
# Note for Windows users: You are advised to make this an absolute path,
# such as: c:\snort\rules
var RULE_PATH ../rules
var SO_RULE_PATH ../so_rules
var PREPROC_RULE_PATH ../preproc_rules
A prxima etapa a configurao dos atalhos para as bibliotecas de prprocessamento dinmico e motorizao dinmica, que so responsveis pelo
funcionamento

do

Snort

atravs

dos

arquivos

contidos

na

pasta

snort_dynamicpreprocessor e snort_dynamicengine localizadas no diretrio principal


do Windows.
# path to dynamic preprocessor libraries
dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/
# path to base preprocessor engine
dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so
O prximo passo configurar o caminho no diretrio principal no qual se
encontram as bibliotecas com as regras dinmicas na pasta lib no diretrio principal
onde se encontra o snort.
# path to dynamic rules libraries
dynamicdetection directory /usr/local/lib/snort_dynamicrules

50
Logo em seguida, setamos o caminho no qual se encontram os Metadados
de dados de referncia. Por padro o o snort pede que no modifique os caminhos,
mas necessrio indicar o atalho no qual se encontram os arquivos classication.config
e reference.config.
# metadata reference data. do not modify these lines
include classification.config
include reference.config
Ento, setamos o log de alerta de deteco de intruso adicionando-se o
campo output alert fast: alerts.ids no trecho abaixo e finalizamos a configurao da
ferramenta de deteco de intruso Snort.
# output log_tcpdump: tcpdump.log
output alert_fast: alerts.ids
Aps as configuraes da ferramenta, devem-se apresentar ao Snort os
arquivos de regras que sero lidos quando o mesmo for iniciado. O trecho no qual se
encontram as especificaes destes arquivos encontram-se no final do arquivo
snort.conf . Abaixo segue um exemplo desses arquivos de regras:
# dynamic library rules
include $SO_RULE_PATH/bad-traffic.rules
include $SO_RULE_PATH/chat.rules
include $SO_RULE_PATH/dos.rules
include $SO_RULE_PATH/exploit.rules
include $SO_RULE_PATH/icmp.rules
include $SO_RULE_PATH/imap.rules
include $SO_RULE_PATH/misc.rules
include $SO_RULE_PATH/multimedia.rules
include $SO_RULE_PATH/netbios.rules
include $SO_RULE_PATH/nntp.rules

51
include $SO_RULE_PATH/p2p.rules
include $SO_RULE_PATH/smtp.rules
include $SO_RULE_PATH/snmp.rules
include $SO_RULE_PATH/specific-threats.rules
include $SO_RULE_PATH/web-activex.rules
include $SO_RULE_PATH/web-client.rules
include $SO_RULE_PATH/web-iis.rules
include $SO_RULE_PATH/web-misc.rules
Aps concluir todas as etapas, executa-se o snort no prompt de comando
atravs do cdigo de execuo snort -c c:\snort\etc\snort.conf -l c:\snort\log -i2 -K ascii
Figura 13 - Comandos de execuo do Snort

52
Figura 14 - Inicializao do Snort

A ferramenta SNORT tem a capacidade de detectar grandes quantidades de


ataques, alm de identificar muitos outros tipos de padres anmalos de trfego.
Uma importante caracterstica desta ferramenta a capacidade enviar de
alertas em tempo real, podendo notificar administradores de sistemas sobre problemas
de segurana que estejam ocorrendo no momento em uma rede computacional.
O Snort muito bem documentado e tem uma grande comunidade de
utilizadores na web. Aps a implementao de um conjunto de regras para o Snort,
voc pode identificar comportamentos inesperados que, de outra forma, poderiam
consumir toda a largura de banda de uma rede.
A instalao e configurao do Snort no so triviais e, dependendo da
quantidade de trfego na rede, possivelmente ir requerer uma mquina de
monitorizao dedicada, com bons recursos.
Existe tambm uma interface grfica para ferramenta Snort chamada Snort
Report para visualizar o relatrio com os resultados das intruses detectadas.
Informaes

sobre

Snort

http://www.symmetrixtech.com.

Report

podem

ser

obtidas

atravs

do

Site

53

4 RESULTADOS E DISCUSSO
Foram apresentados neste trabalho alguns conceitos de segurana da
informao, alm da configurao e instalao um sistema de deteco de intruso
responsvel pela proteo de redes corporativas contra invasores virtuais.
A utilizao desta ferramenta reduz os riscos de perda de informaes mais
comuns nas organizaes.
Aps a concluso das etapas de instalao e configurao da ferramenta
Snort, foram realizados testes virtuais simulando um ambiente de rede real utilizando
um computador com o sistema operacional Windows 7 com o Snort em execuo e
uma mquina virtual VMware Player com o sistema operacional Backtrack 5 R3 para
testes de invases.
Os resultados dos testes atravs da ferramenta Snort para Windows 7, sero
mostrados em uma interface grfica chamada Snort Report atravs de tabelas.
Figura 15 - Backtrack 5 r3 instalado na mquina virtual VMware no Winows 7

54

4.1 Testes de intruses


Para dar incio teste de invaso, deve-se primeiramente executar a
Ferramenta Snort no Windows 7.
Figura 16 - Ferramenta Snort em execuo no Windows 7

55

O Backtrack 5 R3 uma das distribuies Linux mais conhecidas. O mesmo


totalmente voltado para testes de segurana computacional, analisando as
vulnerabilidades das plataformas operacionais e realizando testes de invases.
Para a realizao deste primeiro experimento, necessrio a utilizao da
ferramenta Nmap, que um dos programas para teste que vem com o Backtrack.
O Nmap uma ferramenta de segurana utilizada para deteco de
computadores e servios atravs de varredura em uma rede atravs da criao de um
mapa desta rede. Para execut-lo, abrimos o terminal de comando do Backtrack e
digitamos o comando Nmap mais o endereo IP. Feito isso, o Nmap inicia uma
varredura de portas. Esta etapa realizada com Snort em execuo. A figura abaixo
ilustra a execuo do Nmap no sistema operacional Backtrack r3.
Figura 17 - Terminal Backtrack R3 executando o Nmap

56

Vamos agora ao segundo teste de Intruso. Ser realizado agora um ataque


de Negao de Servios distribudo com o Backtrack 5 r3. Para isso, deve-se utilizar o
console da ferramenta Metasploit Framework no Backtrack 5 R3.

57
Figura 18 - Atalho para ferramenta Metasploit no Backtrack 5 R3

Aps

abrir

console,

digite

no

campo

msf

comando

use

auxiliary/dos/tcp/synflood para configurar o ataque e tecle enter.


Figura 19 - Tela de configurao de ataque de Negao de Servios Distribudo

No console, em auxiliary(synflood) digite o comando set Rhost mais o


endereo a ser atacado e tecle enter. No campo seguinte, configuramos o intervalo de

58
tempo no qual o evento ir acontecer atravs do comando set timeout. No caso foram
selecionados 15 segundos. Em seguida, inicia-se o ataque utilizando o comando Run.
Figura 20 - Ataque de Negao de Servios Distribudo sendo executado

Aps a realizao dos ataques atravs do Backtrack 5 R3 com o Snort em


execuo, os mesmos so detectados pela ferramenta e salvos em arquivos de
eventos.
Em seguida, os arquivos com os logs de eventos so analisados pela
aplicao Snort Report exibindo os resultados de deteco para o administrador da
rede. A tabela na figura abaixo:
Figura 21 - Relatrio de ataques do Snort Report

O sistema operacional Backtrack R3 utiliza uma verso do Snort embutida


em sua estrutura. Foi realizado um teste utilizando esta verso, no qual o sistema de

59
deteco de intruso executado na mquina virtual com Backtrack instalado no
Windows 7 configurado para proteger o prprio Windows colocando o endereo de
rede do terminal do mesmo. A configurao a mesma utilizada na verso para o
Windows, pois basta alterar os mesmos campos citados. Para abrir o terminal de
configurao do Snort no Backtrack 5R3, abra um terminal e digite o comando vim
/etc/snort/snort.conf. Aps isso surgir a tela com as configuraes. Aps completar a
configurao, executa-se o Snort.
Figura 22 - Snort no Backtrack 5 R3

Para este ltimo teste, utilizaremos a ferramenta Loic para um ataque de Negao
de Servios Digitando o endereo de rede da vtima e iniciando uma varredura.
Figura 23 - Software Loic utilizado para teste de Negao de Servios

60

Aps o ataque, a ferramenta Snort utilizada pelo Backtrack detecta o ataque


por Negao de servios.
Figura 24 Ataque de Negao de Servios detectado pelo Snort no Backtrack 5 R3

Os testes realizados neste captulo mostraram como a ferramenta Snort para


deteco de intruso trabalha.
A instalao e a configurao deste tipo de sistema no so nem um pouco
trivial, mas apesar desta dificuldade, a utilizao do mesmo serve de colaborao para
segurana das informaes das organizaes.

61

5 CONCLUSO
A necessidade da utilizao de um sistema de deteco de intruso vem
crescendo constantemente.
Devido ao grande desenvolvimento da tecnologia da informao, as
vulnerabilidades dos sistemas computacionais tm aumentado muito, juntamente com
os ataques virtuais.
Com isso, atravs da utilizao da ferramenta de deteco de intruso Snort,
foi possvel concluir atravs de simulaes de ataques a sistemas em rede e da
identificao dos mesmos, o quo til um sistema de deteco de intruso.
Apesar da complexidade da instalao e da configurao deste tipo de
sistema, foi possvel detectar atravs do mesmo, ataques simulados pelo sistema
operacional Backtrack 5 R3 e pela ferramenta de teste de ataque de negao de
servios Loic, visando assim amenizar danos causados por invasores virtuais s
organizaes.
Portanto, conclui-se que a utilizao de um sistema de deteco de intrusos
em um determinado ambiente de rede computacional, serve como um grande apoio
segurana das informaes das empresas.

62

REFERNCIAS
ASSUNO, Marcos Flvio Arajo. Guia do hacker brasileiro. Florianpolis: Visual
Books, 2002.
ASSUNO, Marcos Flvio Arajo. Segredos do hacker tico. 3. ed. Florianpolis:
Visual Books, 2010.
BAKER, Andrew R.; ESLER, Joel; ALDER, Raven. Snort: IDS and IPs Toolkit. Syngress
Publishing, 2007.
BEZERRA, Edson Kowask; Gesto de riscos de TI. Rio de Janeiro: RNP/ESR, 2013.
CARUSO & STEFFEN. Segurana em informtica e de informaes. So Paulo:
Editora Senac, 1999.
CARVALHO, Luciano Gonalves. Segurana de redes. Rio de Janeiro: Editora Cincia
Moderna Ltda, 2005.
CHESWICK, William R.; BELLOVIN, Steven M.; RUBIN, Aviel D.; Firewalls e
Segurana na Internet: Repelindo o hacker ardiloso. 2.ed. Porto Alegre: Bookman,
2005.
Conceitos Bsicos sobre Poltica de Segurana e Firewall. Disponvel em:
http://www.tisafe.com. Acesso em 18 de Setembro de 2013.
ERICKSON, Jon. Hacking: The Art of Exploitation. Traduo de Henrique Lisboa e
Marcelo Madeira. So Paulo: Digerati Books, 2009.
FONTES, Edison. Praticando a segurana da informao. Rio de Janeiro: Brasport,
2008.
GIAVAROTO, Silvio Csar Roxo; SANTOS, Gerson Raimundo dos. Backtrack Linux:
Auditoria e Teste de Invaso em Redes de Computadores. Rio de Janeiro: Editora
Moderna Ltda, 2013.
MARCELO, Antonio; PITANGA, Marcos. Honeypots: A arte de iludir hackers. Rio de
Janeiro: Brasport, 2003.
NOGUEIRA, Tiago Jos Pereira. Invaso de Redes: Ataques e Defesas. Rio de
Janeiro: Editora Cincia Moderna Ltda, 2005.

63
NORTHCUTT, Stephen; COOPER, Mark; FEARNOW, Matt; FREDERICK, Karen.
Intrusion Signatures and Analysis. New Riders, Indianapolis, Indiana, 2001.
ORTEGA, Andr. 2009. Conceitos sobre IPS/IDS. Disponvel em:
http://www.brainwork.com.br/blog/2009/05/07/conceitos-sobre-ipsids-parte-1. Acesso
em 12 de Setembro de 2013.
PEIXOTO, Mrio Cesar Pintaudi. Engenharia social e segurana da informao na
gesto corporativa. Rio de Janeiro: Brasport, 2006.
ROESCH, Martin. The Open Source Network Intrusion Detection for Networks.
Disponvel em: http://www.snort.org. Acesso em:25 de Outubro de 2013.
ROESCH, Martin. The Open Source Network Intrusion Detection for Networks.
Disponvel em: http://www.snort.com.br. Acesso em: 30 de Outubro de 2013.
SILVA, Tavares Pedro; CARVALHO, Hugo e TORRES, Botelho Catarina. Segurana
dos sistemas de informao: gesto estratgica da segurana empresarial. Lisboa:
Centro Atlntico, 2003.
Sistemas de Deteco de Intruses: Usando unicamente softwares Open Source..
Disponvel em: http://www.seginfo.com.br/sistemas-de-deteccao-de-intrusoes-idsintrusion-detection-systems-usando-unicamente-softwares-open-source. Acesso em 20
de Agosto de 2013.
WANG, Wallace. Roubando Este Computador: O Que Ningum Contou Sobre a
Internet. Rio de Janeiro: Alta Books, 2003.