Segurana de Redes: IDS em Ambiente Corporativo

Cleilton Nunes Sampaio1, Andr Luiz Nasserala Pires 2

1
Unio Educacional do Norte (Uninorte) Rio Branco/AC
2
Centro de Cincias Exatas e Tecnolgicas Universidade Federal do Acre (UFAC) Rio
Branco, AC Brasil
cleilton.sampaio@gmail.com, nasserala@gmail.com

Abstract. The need for continuous monitoring of network assets, as well as actions
and countermeasures related to security incidents, have added great value within
the enterprise environment. Thus, it is essential that there be a tool to monitor,
analyze and generate countermeasures according to the context of the intrusion and
its degree of severity. Based on this, the aim of this paper is to present a tool that
aids in the detection of the major events of intrusion by informing security managers
and, when possible, generating actions capable of halting an attack.
Resumo. A necessidade de monitoramento contnuo dos ativos sde rede, alm de
aes e contra medidas relacionadas aos incidentes de segurana, tm agregado
grande valor dentro de ambientes corporativos. Dessa forma, essencial a
existncia de uma ferramenta capaz de monitorar, analisar e gerar contra medidas
de acordo com o contexto da intruso e seu grau de severidade. A partir disso, o
objetivo desse artigo apresentar uma ferramenta capaz de auxiliar na deteco
dos principais eventos de intruso, informar aos responsveis pela segurana e,
quando possvel, gerar aes capazes de fazer cessar o ataque.

1. Introduo
Segundo a norma ISO/IEC (2005), com a evoluo das redes de computadores e o
consequente relacionamento entres as redes privadas e pblicas atravs da disponibilizao de
sistemas de informao e outros servios, as organizaes depararam-se com uma vasta gama
de ameaas provenientes de diversas fontes, por exemplo, os ataques de fora bruta. Tais
problemas demandaram a necessidade de investimentos em mecanismos de segurana da
informao e das redes que lhes do suporte, dentre eles os IDSs (Intrusion Detection
Systems). Levando em considerao a variedade de ameaas presente num ambiente de redes,
como possvel monitorar de forma proativa e prevenir tentativas de invaso no ambiente
corporativo? tendo em vista a dificuldade encontrada pelos administradores em detectar
provveis tentativas de invaso, torna-se necessrio um mecanismo capaz de alertar sobre tais
evidncias, enviando informaes ao responsvel pela segurana (STREBE; PERKINS,
2002).
Tendo em vista o exposto, esse artigo objetiva dar embasamento necessidade de uma
ferramenta de monitoramento, ou seja, um IDS, o qual servir de suporte poltica de
segurana da corporao, dando apoio direto ao responsvel pela segurana de forma que o
mesmo seja mais proativo em relao s contra medidas.

2. Problemas de segurana provenientes da evoluo das redes

A conexo dos computadores em redes criou inmeras portas de acesso aos sistemas
computacionais, que desta forma ficou fcil encontrar um acesso que esteja desprotegido.
Quanto mais se aumenta a complexidade das redes, quanto mais recursos so disponibilizados
aos usurios, quanto mais informao requerida por este usurio, mais difcil se torna
garantir a segurana dos sistemas de informao. Este problema agravado cada vez mais

pela pouca relevncia dada ao assunto em relao avassaladora necessidade de novidades

despejada nos usurios individuais que transportam as condies de insegurana vividas na
computao pessoal para a computao corporativa, quando na realidade o caminho inverso
que deveria ser percorrido, com os usurios de computao domstica levando consigo todos
os procedimentos de segurana adotados nas corporaes. (INFOCUS, 2011)
Como as organizaes, sejam elas pblicas ou privadas, perceberam que se tornaram
vulnerveis, tem-se procurado, em alguns casos, recuperar o tempo perdido implementando
metodologias e ferramentas de segurana, sendo que o grande dilema desta questo a
criao de um ambiente controlado e confivel, mas que no tire do usurio a agilidade
proporcionada pela micro informtica nos ltimos anos. (INFOCUS, 2011)
Em geral, sistemas inseguros existem por trs motivos: por desconhecimento (na
maioria das vezes extremamente conveniente), por negligncia ou por uma deciso dos nveis
estratgicos das organizaes em no adotar a segurana. preciso conhecer os riscos, saber
quais as consequncias da falta de segurana, identificar os pontos vulnerveis e determinar
uma soluo adequada para a organizao. O primeiro passo para isso avaliar o valor do
bem e/ou recurso a ser protegido e sua importncia para a organizao, o que ajuda a definir
quanto vale a pena gastar com proteo. A anlise do problema deve abordar trs aspectos
fundamentais: confidencialidade, integridade e disponibilidade, sendo que ningum melhor
que o proprietrio da informao para determinar esta relevncia. (INFOCUS, 2011)

3. O que segurana de informao

Informao um elemento de grande importncia para os negcios, consequentemente,
possui valor para uma organizao e precisa ser protegida de forma adequada. Segurana de
Informaes visa proteger essas informaes de vrias ameaas assegurando a continuidade
dos negcios minimizando prejuzos e maximizando o retorno de investimentos. Segundo a
norma ISO/IEC 17799:2005 Segurana de Informaes preserva trs conceitos bsicos:
confidencialidade, integridade e disponibilidade.
A Segurana de Informaes dar-se- atravs de vrias regras, procedimentos e
ferramentas de segurana. Essas regras devem ser elaboradas e mantidas por uma equipe
responsvel e devem estar de acordo com as necessidades do rgo ou empresa onde sero
aplicadas.
A grande dependncia de sistemas de informaes, compartilhamento de recursos e
interligao de redes pblicas e privadas tm aumentado muito, tornando esses sistemas
vulnerveis a vrias ameaas, dentre elas: vrus, spywares, hackers, ataques de fora bruta,
DOS (Denial Of Service), acessos no autorizados e outros, dificultando o controle desses
sistemas e tornando-os suscetveis s ameaas. Dado o cenrio, necessrio investir tempo e
recursos em segurana de informaes para garantir a proteo dos dados e o mnimo de
perda de informaes em caso de imprevistos.
Implementar procedimentos, regras e ferramentas de segurana de suma importncia
para garantir a continuidade e um tempo mnimo de 1downtime dos sistemas de informaes.
Gerir esses sistemas exige a participao de todos os membros de uma organizao, incluindo
tambm, fornecedores, clientes e consultoria especializada minimizando riscos e garantindo a
continuidade dos negcios.
fundamental que uma organizao defina seus requisitos de segurana para que uma
poltica seja elaborada. Atravs da avaliao de riscos possvel identificar quais so as
ameaas, vulnerabilidades, probabilidade de tais ocorrncias e impacto estimado. Exigncias
1

downtime Tempo de parada de um sistema de informao.

legais devem ser seguidas por toda a organizao bem como fornecedores e servios
terceirizados.
Deve-se criar uma poltica de segurana, ou seja, um documento que deve conter todas
as regras e procedimentos de segurana da organizao e uma pessoa ou equipe de segurana
responsvel por mant-lo e revis-lo de acordo com as necessidades da organizao (ISO/IEC
17799:2005). Com uma poltica de segurana elaborada e aprovada pela gerncia, o gestor de
segurana de informao ter uma direo e poder gerenciar de uma maneira objetiva as
ameaas segurana.
Existem vrias regras, procedimentos e ferramentas que podem auxiliar o gestor de
sistemas de informaes a identificar, controlar e at eliminar riscos de segurana que podem
afetar sistemas de informaes. Eles fazem parte de uma poltica de segurana que deve ser
conhecida por todos os membros da organizao permitindo adoo de diferentes medidas de
acordo com cada situao. Os controles podem ser: Fsicos, barreiras ou obstculos,
organizados em nveis de acesso e usados para dificultar o acesso no autorizado
informao; ou Lgicos, softwares e protocolos seguros que auxiliam no monitoramento e no
controle de acessos no autorizados sistemas de informaes. Com esses controles
possvel coletar informaes importantes, como: horrio de acesso, usurio de acesso, forma
de acesso, tentativas de ataques, falhas de softwares e vrios outros tipos de informaes que
iro auxiliar o administrador a tomar decises importantes. Muitas empresas e organizaes
fazem uso de controles como: firewall, 2IDS, anti-vrus, anti-spam, criptografia, honeypots
para garantir o mnimo de perda e, consequentemente, um bom andamento dos negcios. Em
ambientes corporativos instrumentos como, firewall, anti-vrus, criptografia so muito usados
para garantir o mnimo de segurana.

4. Introduo aos sistemas de deteco de intruso

Mesmo no sendo a soluo definitiva de segurana, Sistemas de deteco de intruso,
Intrusion Detection Systems (IDSs), representam uma importante tcnica de monitoramento,
cuja principal funo detectar aes maliciosas, tais como tentativas de ataques e obteno
de informaes (Amoroso, 1999), (Proctor, 2001). Eles so conhecidos como detectores de
invases. A partir de eventos detectados, os sistemas de resposta ativa, no caso dos IDS
ativos, tentam bloquear os ataques ou responder com contra medidas ou ainda alertar os
administradores de que est ocorrendo um ataque. Existem tambm os IDS passivos, os quais
apenas registram a invaso ou criam registros de ocorrncias que s aparecem depois que o
ataque aconteceu (STREBE; PERKINS, 2002).
Os sistemas de deteco de intruso podem ser classificados, segundo o escopo de
monitoramento utilizado, ou seja, rede ou host. De acordo com o site peopleware3, um ids
um conjunto de componentes (sensores, console e enginer), de hardware ou software com a
funo de detectar, identificar e responder s atividades no autorizadas ou anomalias
encontradas no sistema monitorado. Este site prope a seguinte classificao para um ids:
mtodo de deteco baseado em conhecimento ou comportamento; coleta de eventos em
hosts, redes e hbridos; segundo a reatividade, ou seja, ativos e passivos.
O mtodo de deteco baseado em conhecimento leva em considerao a atividade do
sistema em busca de detectar padres de ataques ou instrues conhecidos. Esse padro tem
como principal vantagem a baixa ocorrncia de falsos positivos.
J o mtodo de deteco baseado em comportamento leva em considerao a deteco
de anomalias no comportamento do sistema. Tem como vantagem a possibilidade de detectar
2
3

Intrusion Detection System Sistema de Deteco de Intruso Ferramenta abordada.

O site da peopleware pode ser acessado em http://pplware.sapo.pt/.

novas formas de ataque, porm, acaba gerando muitos falsos positivo e requer que seja
definido o que considera-se um comportamento normal.
A coleta de eventos, no caso dos hids, monitora, o comportamento dos componentes
cada mquina, ou seja, hardware, sistema operacional e integridade de arquivos, por exemplo.
Possui como principal vantagem o fato de estar hospedado diretamente na mquina que est
sendo analisada. Suas principais desvantagens so a queda de rendimento da mquina que o
hospeda e o fato de no possuir uma viso geral da rede. Em contrapartida, a coleta de eventos
num nids capaz de analisar as interaes e monitorar um vasto conjunto de mquinas, alm
de ser capaz de capturar os pacotes que trafegam pela rede.
Em ltima instncia, temos os ids ativos, os quais tentam bloquear, responder com
contra medidas ou alertar o administrador, enquanto os passivos restringem-se apenas a tarefa
de registrar as invases ou criar registros de ocorrncias que aparecem depois do ataque
(STREBE; PERKINS, 2002).
Alm do uso de um IDS, h muitos fatores que devem ser levados em considerao em
relao segurana na Internet, Dentre eles, podemos citar: o nvel de segurana do firewall,
a preparao dos usurios frente a ataques de engenharia social4, o nvel de confiana dos
funcionrios, as possveis brechas de permetro, as possveis infeces dos sistemas por
backdoors e a venda no autorizada de informaes por um usurio. Tendo em vista que o
atacante procura explorar o elo mais fraco que compe a defesa, deve-se organiz-la em
camadas, ou seja, uma abordagem conhecida como defesa em profundidade. A defesa em
profundidade parte do pressuposto de que se uma camada falhar, a outra pode salv-lo
(CHESWICK, et. Al, 2005).
Os IDSs, em sua atuao, utilizam-se de vrios controles a fim de detectar e tomar
medidas necessrias ao no comprometimento de um host tido como um alvo em potencial.
Segundo Guimares (2006, pag. 26), um IDS bem configurado capaz de identificar e alertar
o administrador de rede diante das seguintes situaes de ataque: ataques de transbordamento
ou buffer overflow, explorao do servidor DNS, tentativas de acesso com nvel de
administrador e tentativas de acesso a bancos de dados
5. Instalao e configurao de um IDS
De acordo com o site oficial 5, o Ossec um sistema open source 6, passvel de redistribuo
e/ou modificao sob os termos da licena GNU 7(verso 3), como publicado pela FSF Free
Software Foundation. Conforme mencionado anteriormente, ele atua como um hids, e tem seu
foco principal no host hospedeiro no qual o mesmo instalado, sendo compatvel com a
maioria dos sistemas operacionais, incluindo Linux, MacOS, Solaris, HP-UX, AIX e
Windows.
Dadas as peculiaridades de cada S.O., deste ponto em diante, tomaremos como sistema
padro para demonstrao e instalao da ferramenta o Linux. Tendo em vista que o
instalador do Ossec necessita compilar a ferramenta a partir do cdigo fonte a primeira vez
que ela executada, necessrio que o sistema possua um compilador. A maioria dos
sistemas Linux8 ou BSD possuem um compilador C. Por exemplo, em ambientes Linux/BSD,
4

Entende-se por engenharia social a tcnica de usar persuaso e/ou fraude para obter acesso aos sistemas de
informao (MCCLURE, Stuart et. Al, 2003).
5
O site oficial do Ossec hids est acessvel a partir da url http://www.ossec.net.
6
Este termo, ao p da letra, significa fonte aberta ou cdigo fonte aberto e surgiu inicialmente em 1998,
usado por programadores para identificar seus produtos como programas no proprietrios ou software livre
(FERRARI,2007).
7
Licena de Software Livre que se tornou conhecida como copyleft (cpia livre) em oposio ao copyritht
(FERRARI, 2007).

faa o dowload (wget http://www.ossec.net/files/ossec-hids-2.5.1.tar.gz) da ferramenta e teste

a integridade do arquivo com o comando md5/sha1 ossec-hids-latest.tar.gz. Em seguida,
descompacta-se o arquivo baixado, entra-se no diretrio da instalao e executa-se o script de
instalao contido na pasta da ferramenta, ou seja, ./install.sh, escolhendo-se a linguagem e o
tipo da instalao. H trs tipos de instalao: SERVER, AGENT e LOCAL. No nosso caso,
usaremos a instalao do tipo SERVER.
No caso da instalao do tipo server, o administrador conseguir monitorar, de forma
centralizada, no s a mquina local, mas tambm poder adicionar ao monitoramento outras
mquinas da rede que possuem o Ossec instalado atuando como agente. Uma das vantagens
desse tipo de instalao a possibilidade de enviar respostas automticas para os agentes
sendo monitorados. No ocorrendo erros, o Ossec est pronto para ser usado.
A configurao padro do Ossec praticamente no requer interveno do usurio,
restando a este apenas informar a linguagem preferencial da instalao, o tipo da instalao do
Ossec, o servidor de smtp que ser usado para enviar os e-mails com os alertas, o e-mail de
quem ir receber os alertas e as mquinas que faro parte da white list do Ossec, ou seja,
aquelas que no sero levadas em considerao quando da aplicao das contra medidas de
segurana e a opo de se habilitar a active response, que so as respostas automticas ou
contra medidas realizadas pelo Ossec conforme o nvel de severidade dos eventos detectados.
Com exceo das opes de tipo de instalao (local, server e agent) e linguagem
preferencial da instalao, todas as demais podem ser realizadas aps a ferramenta estar
instalada a partir do arquivo de configurao do Ossec, ou seja, /var/ossec/etc/ossec.conf,
conforme demonstrado abaixo:
Para a definio do servidor de smtp e do e-mail que receber os alertas, usa-se a regra
abaixo:
<global>
<email_notification>yes</email_notification>
<email_to>e-mailparanotificacao@dominio</email_to>
<smtp_server>servidor de smtp</smtp_server>
<email_from>ossecm@mquinahospedeira</email_from>
</global>
As opes descritas acima tem a funo de optar pelo envio de notificaes, informar
o e-mail para notificao, informar o servidor de smtp e de onde proveniente o e-mail com a
notificao, respectivamente.
Outra opo de vital importncia a regra onde sero definidas as mquinas as quais
as contra medidas no se aplicam, ou seja, as mquinas da tag <white list> </white list>.
Defini-se essa lista, conforme a regra abaixo:
<global>
<white_list>127.0.0.1</white_list>
</global>
As actives responses podem ser habilitadas critrio do usurio e definem por padro
a aplicao de dois comandos iptables, acionados pelo nvel de severidade dos eventos atravs
8

Sistema desenvolvido por Linus Torvalds a partir do aprimoramento do kernel do Minix e distribuido sob a
licena GNU - GPL. Seu nome proveniente da fuso do nomes Linus e Minix (FERRARI, 2007).

de um tempo predeterminado. So elas: host-deny, para negar acesso aos servios da mquina
e firewall-drop, para dropar todos os pacotes provenientes do IP de ataque. A sintaxe da tag
<active-response> demonstrada abaixo e configurada para ser aplicada para todos os
eventos que atingirem a severidade nvel seis, por um tempo de seiscentos segundos.
<active-response>
<command> nome da regra </command>
<location>local</location>
<level> nvel de severidade </level>
<timeout> tempo em segundos </timeout>
</active-response>
Aps serem aplicados esses refinamentos o Ossec est pronto para uso e j estar
emitindo os alertas conformes os eventos forem detectados.
Para o ambiente de simulao sero proposto para a demonstrao da ferramenta sero
utilizados os seguintes componentes: uma estao com sistema operacional Ubuntu 10.10,
simulando o servidor atacado; uma com sistema operacional Ubuntu 10.10 simmulando o
atacante 1 e uma estao com o windows vista simulando o atacante 2.
3.Ferramenta de deteco de intruso baseada em host: Ossec HIDS verso 2.5.1 para linux;

Figura 1. Ambiente de rede para simulao (Fonte: Autor).

Para a simulao de focus de intruso e demonstrao da atuao do HIDS adotado, ou

seja, o Ossec HIDS, sero feitos testes penetrao a partir do ambiente proposto no diagrama
acima, acompanhados das respectivas contra medidas adotadas e mensagens geradas em cada
caso.

Caso 1: Ataques de fora bruta

Como mencionado, possvel definir, a partir do nvel de severidade do ataque, as contra
medidas que sero adotadas pelo IDS. Neste caso, adotou-se o nvel de severidade 7 (sete), ou
seja, atividades suspeitas com nvel de severidade infersiores sero apenas monitoradas e

informadas ao administrador atravs do e-mail informado na configurao. No caso do

ataque de fora bruta ao servio de ssh, a ferramenta qualificou o mesmo como nvel 6 e
apenas gerou o log a seguir:
** Alert 1301011491.2275551: - syslog,sshd,recon,
2011 Mar 24 20:04:51 cleilton-laptop->/var/log/auth.log
Rule: 5706 (level 6) -> 'SSH insecure connection attempt (scan).'
Src IP: 192.168.0.110
User: (none)
Mar 24 20:04:50 cleilton-laptop sshd[4416]: Did not receive identification string from
192.168.0.110
Num segundo momento alterou-se o nvel de severidade das contra medidas para 6
(seis), e realizou-se um novo ataque de fora bruta ao servio de ssh. Neste caso, o IDS
adotou as seguintes aes:

1. Gerao do log que enviado ao administrador por e-mail:

** Alert 1301011491.2275551: - syslog,sshd,recon,
2011 Mar 24 20:04:51 cleilton-laptop->/var/log/auth.log
Rule: 5706 (level 6) -> 'SSH insecure connection attempt (scan).'
Src IP: 192.168.0.115
User: (none)
Mar 24 20:04:50 cleilton-laptop sshd[4416]: Did not receive identification string from
192.168.0.110

2. Regra iptables para dropar os pacotes do atacante:

target
DROP

prot opt source

destination

all -- 192.168.0.115

anywhere

Chain FORWARD (policy ACCEPT)

target
DROP

prot opt source

destination

all -- 192.168.0.115

anywhere

3. Utilizao do tcp wrappers:

ALL:192.168.0.115

Caso 2: Monitoramento de integridade de arquivos do sistema

possvel definir quais diretrios sero monitorados pelo Ossec a fim de que o administrador
saiba quais arquivos foram alterados atravs da checagem do hash md5 do arquivo.
** Alert 1300918163.924284: mail - ossec,syscheck,
2011 Mar 23 18:09:23 cleilton-laptop->syscheck
Rule: 550 (level 7) -> 'Integrity checksum changed.'
Src IP: 192.168.0.184
User: darkangel

Integrity checksum changed for: '/etc/ssh/sshd_config'

Size changed from '1892' to '1901'
Old md5sum was: '94108d4fbd32f8919b94bbc1de97f432'
New md5sum is : '559b73110ca7c6e76c072012ba4009da'

Caso 3: Monitoramento de sesses de usurio

O Ossec monitora cada tentativa de estabelecimento de sesso por parte dos usurios, desde a
validao da senha at o encerramento da sesso. Abaixo pode-se observar um exemplo de
acesso ssh no autorizado:
** Alert 1300913510.910234: - syslog,sshd,invalid_login,
2011 Mar 23 16:51:50 cleilton-laptop->/var/log/auth.log
Rule: 5718 (level 5) -> 'Attempt to login using a denied user.'
Src IP: 192.168.0.110
User: darkangel
Mar 23 16:51:50 cleilton-laptop sshd[9735]: User cleilton from sistema not allowed because
not listed in AllowUsers

Referncias
CHESWICK, R. William et. al. Firewall e Segurana na Internet:Repelindo o Hacker
Ardiloso. 2.ed. Porto Alegre: Bookman, 2005.
EDWARD, G. Amoroso. Intrusion Detection: An introduction to internet surveilance,
correlation, traps, trace back, and response. Net Books, 1999.
FERRARI, Fabrcio Augusto. Curso Prtico de Linux. So Paulo: Digerati Books, 2007.
INFOCUS, Segurana das Informaes em Redes. [s.d.]. Disponvel
<http://www.interfocus.com.br/seguranca.htm>. Acesso em: 08 jan. 2011.

Em:

MCCLURE, Stuart et. al. Hackers Expostos: Segredos e solues para a segurana de redes.
Campus: So Paulo, 2003.
PADRO INTERNACIONAL.ISO/IEC 17799: tecnologia da Informao: cdigo de prtica
para gesto da segurana de informaes. Rio de Janeiro, 2005.
PROCTOR, E. Paul. The pratical intrusion detection handbook. Prentice Hall PTR, 2001.
STREBE, Matthew; PERKINS, Charles. Firewalls. So Paulo: Makron Books, 2002.