Escolar Documentos
Profissional Documentos
Cultura Documentos
Agradeo a todos que, direta ou indiretamente, colaboraram para que eu alcanasse meus
objetivos acadmicos. Todo o trabalho, esforo e dedicao aplicado neste trabalho em reco-
nhecimento ao apoio que tive durante o processo de graduao.
Aos meus professores que, com dedicao, transferiram um pouco de seus conhecimentos.
A todos os professores que tive, registro meu muito obrigado por toda a dedicao, empenho e
boas lembranas que levarei comigo para toda a vida. Muitos de vocs sero lembrados com
saudade, pois alm de meus professores, foram grandes amigos. Meu muito obrigado a todos
vocs. Agradeo ao meu orientador, Charles Neu, por toda a colaborao no desenvolvimento
deste trabalho.
Meu agradecimento aos meus pais, Erli Jos Fagundes, em especial, minha me, Daisi
Magda Antonio, que sempre me incentivou a continuar em frente, porm, infelizmente, no
poderei compartilhar este momento "pessoalmente". Para voc, minha me, dedico muito mais
do que este trabalho, dedico toda minha trajetria de vida.
Meu sincero agradecimento a minha namorada Aline Jssica Mainardi, a qual se manteve
ao meu lado, mesmo separados por 265km. Obrigado por sempre ter incentivado, colaborado da
melhor forma possvel e pela compreenso durante todo esse perodo. No foi fcil administrar
tempo, distncia e compromissos, mas por fim, conseguimos "piu". Te amo!
Intrusion Detection Systems (IDS) are tools designed to improve security in operating sys-
tems and computer networks. These systems are intended to identify attack attempts to the struc-
ture that they are designed to monitor, and generate alerts to the system/network administrators
so that the appropriate action to solve the problems can be taken. An IDS can also be integrated
with other protection mechanisms, such as a firewall, in order to react to an attack. Although the
possibility of integration with a firewall, natively, it is possible only using addons, also known
as plugins. This integration between IDS and firewall is not something universal and compatible
with any and all firewall system, such as the Mikrotik RouterOS. To accomplish this integration,
an intermediate system is proposed. This work proposes the implementation of SNORT IDS as
an attack detection tool and the development of an intermediate system that uses the logs gener-
ated by SNORT IDS to create protection rules for the Mikrotik RouterOS firewall. The achieved
results show that this system can be used to automate the reaction process to attacks identified
by SNORT without the system administrator intervention, blocking suspect hosts identified.
Keywords: Intrusion Detection System, SNORT, Mikrotik, Firewall, IDS, Integration, Network
intrusion, Network security.
LISTA DE ILUSTRAES
12 Ambiente de teste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
INTRODUO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1 FUNDAMENTAO TERICA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.1 Ataques de Intruso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.2 Sistema de Deteco de Intruso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.3 Sistema de firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2 TRABALHOS RELACIONADOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.1 Categorizao do IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.2 Propostas de otimizao do IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
2.3 Integrao de IDS e sistemas de firewall . . . . . . . . . . . . . . . . . . . . . . . . . 23
2.4 Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3 TECNOLOGIAS ENVOLVIDAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
3.1 Sistema de Deteco de Intruso SNORT . . . . . . . . . . . . . . . . . . . . . . . . 26
3.1.1 Modos de Operao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
3.1.2 Arquitetura de Operao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
3.2 Mikrotik RouterOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4 TRABALHO DESENVOLVIDO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
4.1 Arquitetura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
4.1.1 Deteco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
4.1.2 Extrao e Converso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.1.3 Aplicao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.2 Modelagem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.2.1 Etapa de Deteco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.2.2 Etapa de Captura de informaes e converso em Regras de proteo . . . . . . . . 43
4.2.3 Etapa de Aplicao das Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
5 RESULTADOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
5.1 Metodologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
5.2 Testes Realizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
5.3 Resultados Obtidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
REFERNCIAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
INTRODUO
Dentre as diversas solues de IDSs existentes, desta-se o IDS SNORT (SNORT, 2015).
Este IDS capaz de identificar diversos tipos de ataques, baseado tanto em assinaturas quanto por
anomalias. Alm disso, possibilita, atravs do uso de complementos, isto , sistemas auxiliares
que possibilitam realizar tarefas adicionais, uma integrao com algumas solues de firewall,
como por exemplo o sistema IPTABLES. Contudo, sistemas como IPTABLES no so, por pa-
dro, otimizados para esta tarefa e no possuem um hardware otimizado para tal finalidade, isto
, com um desenvolvimento voltado para a tarefa que se destina, diferente da soluo Mikrotik
RouterOS.
Observando esta lacuna entre as duas ferramentas de segurana, o presente trabalho apre-
senta uma forma de integrao automtica entre as duas solues. Desta forma, possvel con-
verter as deteces realizadas pelo IDS SNORT em regras de proteo junto ao sistema de fi-
rewall do Mikrotik RouterOS, ampliando a capacidade de reao aos ataques em uma rede de
dispositivos, de forma automatizada, utilizando as duas ferramentas.
Um ataque de intruso pode ser caracterizado, de acordo com Ahmed et al. (AHMED et al.,
2009), como uma tentativa de utilizar recursos de um sistema de computador ou uma tentativa
de acesso as informaes sem autorizao. Ataques desta natureza tm como objetivo corromper
trs dos componentes bsicos da segurana de informao (BISHOP, 2004) (VACCA, 2013):
possui suas funcionalidades e servios (COMER, 1988). Sendo assim, ataques de intruso po-
dem ocorrer nas diferentes camadas do modelo TCP/IP (ZAMAN; KARRAY, 2009) e, de acordo
com a camada que atuam, esses ataques so categorizados em quatro grandes grupos, conforme
apresentado na Figura 1:
Usurio para Superusurio: Refere-se aos ataques que realizam tentativas de adquirir
privilgios de Superusurios do sistema, possibilitando assim realizar qualquer tipo de
operao.
Negao de Servios ou Denial of Service - DoS: Esse tipo de ataque tem como objetivo
criar uma indisponibilidade de recursos ou sistemas. Para isso, um atacante gera muitas
requisies de modo que os recursos ou os sistemas fiquem sobrecarregados, ao ponto de
no conseguir mais atender as requisies de usurios legtimos, impedindo os acessos aos
recursos ou informaes. Este tipo de ataque pode ainda ser realizado de forma distribuda,
sendo denominado Distributed Denial of Service - DDoS.
Remoto para Usurio: Consiste em ataques que tem por objetivo se apropriar de sis-
tema remotamente, explorando falhas de segurana para obter acesso ao sistema como um
usurio legtimo ou administrador.
Como pode-se observar, os ataques de intruso ocorrem das mais diversas formas e em
todas as camadas do Modelo TCP/IP. Contudo, existem sistemas dedicados a identificar e detectar
esses tipos de ataques: os IDSs.
15
Os IDSs tm como objetivo detectar, identificar e registrar essas ocorrncias para que o
administrador do sistema providencie uma soluo para o ataque sofrido (NJOGU et al., 2013).
Em 1987, Denning et al. (DENNING, 1987), apresentou um modelo para IDSs, onde descre-
veu um sistema capaz de identificar ataques independente de plataforma, aplicaes ou tipo de
ataque, sendo considerado um sistema de deteco de propsito geral. Alm disso, o trabalho
desenvolvido por Denning et al. deveria detectar ataques baseados em um perfil, mtricas e mo-
delos estatsticos. Porm, o modelo apresentado era baseado na deteco de intruses para um
dispositivo.
J em 1990, Heberlein et al. (HEBERLEIN et al., 1990) apresenta uma proposta para um
IDS ao nvel de rede de computadores. Este IDS deveria ser capaz de detectar ataques baseados
em um perfil de utilizao da rede, identificando uma utilizao que buscasse violar esse perfil,
comprometendo a segurana. Aps a apresentao destes dois modelos iniciais de IDSs, diversos
outros modelos foram desenvolvidos. Desde ento, observou-se a relevncia do tema para a
segurana das informaes e, a partir deste momento, muitos modelos, inclusive projetos de
interesses comerciais, foram desenvolvidos, como por exemplo, as solues IDS SNORT e Bro
(SNORT, 2015) (BRO, 2015) (PAXSON, 1998).
Um IDS pode ser classificado conforme o escopo de sua rea de atuao, sendo assim, pode
atuar tanto na identificao de ataques contra um dispositivo quanto na identificao de ataques
dentro de uma rede de dispositivos. Desta forma, estes sistemas podem ser classificados em dois
grandes grupos: (AL-JARRAH; ARAFAT, 2014) (BHUYAN; BHATTACHARYYA; KALITA,
2014)
Host Intrusion Detection System HIDS: Como HIDS, o IDS responsvel por monito-
rar a atividade de um dispositivo, isto , busca identificar ataques ou eventos suspeitos que
comprometam a segurana deste dispositivo, analisando apenas as informaes transmiti-
das pela rede destinadas a este dispositivo, conforme ilustra a Figura 2.
16
Network Intrusion Detection System NIDS: Como NIDS, o IDS fica responsvel por
analisar o contedo transmitido na rede e busca identificar atividades suspeitas que ocor-
ram. Neste escopo, o IDS responsvel por analisar atividades que envolvam todos os
dispositivos presentes nesta rede, conforme mostra a Figura 3 (AL-JARRAH; ARAFAT,
2014) (BHUYAN; BHATTACHARYYA; KALITA, 2014).
Um IDS pode ainda ser classificado conforme a camada do modelo TCP/IP que opera.
No trabalho apresentado por Zaman et al. (ZAMAN; KARRAY, 2009), esta classificao pode
17
ser realizada de acordo com o tipo de ataque pelo qual o IDS ser responsvel, uma vez que os
diferentes tipos de ataques esto presentes em camadas distintas do modelo TCP/IP.
Alm disso, essa classificao justificada pelo fato de que um IDS responsvel por
monitorar ataques especficos. Desta forma, ao monitorar uma camada do modelo TCP/IP em
especfico, o IDS pode ser otimizado para essa tarefa, apresentando resultados mais eficientes do
que outro de propsito geral (ZAMAN; KARRAY, 2009).
Apesar de ser responsvel por monitorar, tanto dispositivos em especfico quanto redes
de dispositivos, um IDS, por padro, limita-se a trs funcionalidades bsicas:(i) monitorar, (ii)
detectar e (iii) registrar os eventos. A responsabilidade de criar mecanismos ou realizar configu-
raes para impedir ou interromper ataques de responsabilidade do administrador do sistema
ou rede. Entretanto, um IDS capaz de reagir a uma ocorrncia, interrompendo ou rejeitando co-
nexes, ou ainda, disparando algum script para impedir o acesso alguma informao (JUNQI;
ZHENGBING, 2008).
A anlise das informaes realizada por um IDS pode ser realizada de duas formas distintas
(SNORT, 2015):
Promscua: Onde o IDS opera como NIDS e analisa todo o contedo transmitido entre os
dispositivos da rede buscando identificar ataques.
No modo de operao promscuo, deve ser observada a capacidade de anlise do IDS, visto
que o volume de informaes processada tende a ser bem maior do que em uma anlise em modo
normal. Para isso importante que o dispositivo responsvel por operar como NIDS tenha um
conjunto de hardware compatvel com sua demanda. Caso contrrio, poder no ser capaz de
processar um volume significativo de informaes, o que, eventualmente, pode acarretar em no
identificar um ataque (SNORT, 2015).
Baseado em Assinaturas: Nesse modo o IDS utiliza-se de uma base de dados de ataques
conhecidos. Para identificar uma tentativa de intruso analisado o contedo de cada pa-
cote em busca de um conjunto de caracteres que permite identificar o ataque. Este conjunto
de caracteres denominado como Assinatura do ataque (SNORT, 2015).
Endereo IP do alvo;
e evitar novos incidentes. Contudo, essa anlise do contedo dos registros, identificao dos
dispositivos e o tipo de ataque realizado um processo, por padro, dependente da interveno
humana. Existem ainda sistemas complementares aos IDSs que permitem uma organizao e
apresentao destas informaes de forma mais prtica, inclusive transformando-as em dados
estatsticos.
Um IDS pode ser utilizado em conjunto com sistemas de controle de acesso rede, isto ,
sistemas de firewall (JUNQI; ZHENGBING, 2008). A combinao destas duas ferramentas de
proteo, distintas e complementares, possibilita reagir aos ataques detectados. Entretanto, essa
integrao no universal entre todos os IDSs e todos os sistemas de firewall. As funcionalida-
des de um sistema de firewall sero abordadas na Seo 1.3.
Um sistema de firewall pode ser comparado, de acordo com Tanenbaum et al. (TANEN-
BAUM; WETHERALL, 2010), com uma adaptao moderna das tcnicas de segurana da Era
Medieval, onde eram escavados fossos ao redor de castelos, restando apenas um ponto de pas-
sagem. Assim, os seguranas poderiam controlar o acesso, tanto de entrada quanto de sada do
castelo, bem como restringir o acesso ao seu domnio, vistoriando cargas, pessoas, etc.
firewall.
Este captulo apresenta trabalhos encontrados na literatura relacionados aos IDS, suas apli-
caes e propostas de categorizar estes sistemas de acordo com a sua camada de atuao, consi-
derando o modelo TCP/IP. Alm disso, relaciona trabalhos onde a utilizao combinada de IDS
e sistemas de firewall so abordadas como solues complementares de segurana, bem como
algumas propostas de integrao entre estas duas solues.
Zaman et al. destacam que, de acordo com a camada e tipos de ataques pelo qual o sistema
ser responsvel por detectar e identificar, o IDS utiliza diferentes critrios para restringir o
trfego. O autor prope que, se o IDS for utilizado exclusivamente para detectar ataques em uma
das camadas proposta pelo modelo TCP/IP, este pode ser otimizado para essas deteces e ainda,
pode-se ter uma reduo da carga computacional, resultando em ganho de performance em sua
capacidade de deteco e escalabilidade, comparando a um IDS de propsito geral que atue em
diferentes camadas (ZAMAN; KARRAY, 2009).
Entretanto, apesar de apresentar propostas para categorizar os IDSs quanto a sua camada
de atuao e propor que possvel desta forma uma otimizao para estes sistemas aumentando
suas performances no que diz respeito a capacidade de deteco, o autor no prope nenhuma
forma de integrao destes sistemas aos firewalls. importante ressaltar que Zaman et al. (ZA-
MAN; KARRAY, 2009) cita que IDSs podem ser utilizados como uma segunda linha de defesa.
Sugere tambm que sua aplicao seja aps um sistema de firewall e recomenda a combinao
22
Apesar de propor uma melhoria para os IDSs e destacar seus principais objetivos, Chaudhari
et al. tambm no apresenta nenhum tipo de integrao com algum tipo de sistema de proteo.
J o trabalho proposto por Valgenti et al. (VALGENTI; SUN; KIM, 2014) refere-se a um
filtro de tempo real para ser aplicada ao trfego da rede. Esse filtro tem por objetivo separar
o trfego seguro do trfego considerado potencialmente suspeito, antes de ser encaminhado para
anlise do IDS.
Atravs desta abordagem, Valgenti et al. busca uma reduo do volume de pacotes enca-
minhados para o IDS, aumentando a sua disponibilidade, reduzindo o nmero de pacotes descar-
tados e aumentando o percentual de informaes potencialmente suspeitas analisadas.
No que diz respeito a otimizar deteces, o trabalho proposto por Raghunath et al. (RAGHU-
NATH; MAHADEO, 2008) sugere um modelo de minerao de dados para detectar compor-
tamentos anormal em uma rede, isto , um comportamento com caractersticas e parmetros
diferentes da operao normal. O autor prope uma abordagem onde, atravs de tcnicas de mi-
nerao de dados, possvel identificar comportamentos associados a padres de redes de forma
automatizada.
Por fim, relevante destacar a abordagem realizada por Sherry et al. (SHERRY et al.,
2015), ao problema de deteco de intruso baseado em assinaturas quando o contedo est
criptografado. Sherry et al. apresenta um sistema que opera na identificao de assinaturas
mesmo tendo o contedo dos pacotes criptografados.
Para isso, o sistema realiza a comparao do contedo destes pacotes com assinaturas de
ataques tambm criptografadas, utilizando diferentes esquemas de criptografia, buscando por
expresses regulares nesse contedo. Assim, o sistema no realiza a quebra do sigilo destas
informaes e ao mesmo tempo permite a identificao de ataques.
Contudo, da mesma forma que os demais trabalhos estudados, os apresentados nesta seo
no propem uma soluo para integrar as melhorias e otimizaes aplicadas na fase de deteco
a um sistema de proteo. Assim, mesmo que sejam atingidas estas melhorias na identificao
de ataques, ainda existe a ausncia de uma integrao com um sistema que controle e proteja a
rede de novos incidentes.
O trabalho proposto por Huang et al. (HUANG; WANG; ZHU, 2010) apresenta uma in-
tegrao entre um IDS e um sistema de firewall. O autor justifica esta integrao quando deixa
explcito as diferenas entre os sistemas, seus propsitos e suas limitaes, mostrando que os
sistemas, de fato, se complementam.
Huang et al. destaca que um sistema de firewall opera geralmente nas camadas de Enlace e
Rede do Modelo Open System Interconection OSI e no tem a capacidade de reconhecer con-
tedo malicioso e comportamentos em outras camadas. J o IDS, tradicionalmente, escuta o
trfego da rede buscando por comportamento suspeitos ou por ataques previamente identificados
por assinaturas.
24
Porm, apesar de apresentar uma abordagem integrao entre os IDS ( inclusive utili-
zando o IDS SNORT como ferramenta de deteco) e um sistema de firewall no especificado,
este trabalho no contempla a integrao ao sistema de firewall do Mikrotik RouterOS. Alm
disso, o sistema apresentado por Huang et al. prope modificaes no IDS para que seja possvel
esta integrao. Ainda, os autores sugerem uma soluo implementada em um mesmo disposi-
tivo, onde compartilha recursos de hardware para realizar todas as funcionalidades de deteco e
proteo.
Tal proposta no se aplica no caso do firewall do sistema Mikrotik RouterOS pelo fato de
no ser possvel implementar no mesmo dispositivo o IDS SNORT. Isso por que o sistema Mi-
krotik RouterOS, apesar de ser baseado no sistema operacional Linux, uma soluo proprietria
e customizada.
2.4 Objetivos
Como pode-se observar na Figura 5, mesmo aqueles que apresentam uma proposta de in-
tegrao entre as duas ferramentas, no contemplam o sistema Mikrotik RouterOS. Desta forma,
percebe-se a ausncia de uma soluo que integre deteco e proteo utilizando estas duas fer-
ramentas. Neste sentido, apresentada uma abordagem de integrao do sistema de deteco de
intruso SNORT e o um sistema de proteo utilizando o firewall do sistema Mikrotik RouterOS.
Alm disso, a proposta deste trabalho busca desenvolver uma soluo que realize as tare-
fas de forma automatizada, sem a interveno do administrador, para realizar a verificao dos
registros do NIDS SNORT e para criao das regras de proteo junto ao sistema de firewall do
Mikrotik RouterOS.
Com este objetivo, este trabalho prope um sistema intermedirio que utiliza os registros de
deteco do IDS SNORT como fonte de informao para gerar regras de proteo em um sistema
de firewall do sistema Mikrotik RouterOS. O desenvolvimento deste trabalho apresentado no
Captulo 4, bem como o ambiente de desenvolvimento, arquitetura do projeto e a modelagem
aplicada ao projeto.
3 TECNOLOGIAS ENVOLVIDAS
Este captulo apresenta as tecnologias utilizadas para desenvolver este trabalho. Na Seo
3.1 abordado o sistema de deteco de intruso utilizado e sua operao. J a Seo 3.2 refere-
se ao sistema Mikrotik RouterOS, suas caractersticas e funcionalidades.
O sistema SNORT foi criado por Martin Roesch e considerado o IDS Open Source mais
difundido, de acordo com o site oficial do projeto, com mais de 4 milhes de downloads realiza-
dos e aproximadamente 500.000 usurios registrados em sua comunidade web (SNORT, 2015).
interessante ressaltar que o IDS SNORT referenciado e utilizado em grande parte dos traba-
lhos estudados para desenvolver este trabalho, como por exemplo nos trabalhos de Al-Jarrah et
al., Valgenti et al. e Lee et al. (AL-JARRAH; ARAFAT, 2014) (VALGENTI; SUN; KIM, 2014)
(LEE et al., 2007).
Alm disso, conta com uma base de dados de regras de deteco com mais de 36.500 re-
gras. Essa base de dados tambm pode ser utilizada por outras solues, como por exemplo,
o sistema Bro Network Security Monitor, desenvolvido e mantido por Vern Paxson em parceria
com o International Computer Science Institute e National Center for Supercomputing Appli-
cations (BRO, 2015) (PAXSON, 1998). Apesar disso, a soluo SNORT possui uma grande e
vasta documentao disponvel e uma ampla variedade de complementos, o que aumenta a sua
integrao com outras solues e viabiliza a integrao com o sistema proposto.
importante destacar que atualmente, o projeto do IDS SNORT conta com um grupo
de pesquisa denominado TALOS, que tem por objetivo trabalhar de forma proativa para des-
cobrir e solucionar problemas relacionados malwares, vulnerabilidades, ataques de intruso
e atividades hacking. Este grupo composto por membros renomados na rea de segurana
de redes e conceituadas empresas da rea de segurana, conforme apresentado no prprio site
do projeto. Maiores detalhes sobre este grupo de pesquisa podem ser encontradas no endereo
27
O IDS SNORT pode operar tanto como um HIDS quanto como NIDS. Em ambos os casos
o sistema analisa os pacotes que so trafegados na rede de computadores, comparando o con-
tedo encontrado com uma base de assinaturas de ataques ou atravs de identificao de alguma
anomalia na operao da rede. Estas assinaturas so conjuntos de informaes/caracteres que
permitem ao IDS identificar pacotes que fazem parte de uma tentativa de intruso. Atravs do
comparativo do contedo destes pacotes com as informaes contidas em sua base de assinaturas,
possvel identificar com preciso possveis tentativas de ataques rede de computadores ou aos
dispositivos . J as anomalias so comportamentos de operao de uma rede fora de um limite
aceitvel, comparada aos parmetros de operao normal da rede, como por exemplo volume de
dados trafegado ou nmero de pacotes transmitidos (SNORT, 2015).
Cada etapa ilustrada na Figura 6 "prepara" as informaes a serem processadas pela etapa
seguinte. Para realizar este processo, o IDS SNORT opera da seguinte forma:
Apesar de identificar eventos de ataques com eficincia, o IDS SNORT no est imune
29
No que diz respeito compatibilidade, o IDS SNORT compatvel com diversos sistemas
operacionais, podendo ser utilizado em sistemas Windows, MAC, Linux, Solaris, UNIX e de-
rivados UNIX. Considerando as formas possveis de registro, pode-se considerar uma soluo
multi-plataforma, a qual permite uma interao entre os diferentes sistemas (SNORT, 2015).
No que diz respeito deteco, permite ainda que o usurio do sistema desenvolva suas
prprias regras de deteco. Isso permite ao administrador do sistema uma customizao ou
personalizao de acordo com as caractersticas do ambiente em que est operando, ampliando
ou refinando o poder de deteco do IDS (SNORT, 2015).
Apesar de ter como especialidade a deteco, o IDS SNORT permite ainda ser configurado
para reagir aos ataques. Para isso, o sistema configurado em modo de Preveno de Intruso
ou Intrusion Prevention System - IPS. Desta forma, o IDS, quando identifica algum ataque, reage
enviando, por exemplo, respostas de REJECT para o endereo que originou o ataque (SNORT,
2015).
Contudo, vale ressaltar que apesar de ser capaz de reagir a um ataque, este modo de ope-
rao pode permitir ocorrncias de falsos positivos e falsos negativos, o que pode impactar di-
retamente no desempenho da rede se no houver nenhum tipo de tratamento para evitar estas
ocorrncias. Alm disso, pertinente recordar que o IDS possui uma capacidade limitada de ana-
lisar o contedo transmitido pela rede (SNORT, 2015) (BULAJOUL; JAMES; PANNU, 2013).
Neste caso, seu desempenho pode vir a ser reduzido, pois acumula tambm a funo de reagir ao
30
Na Figura 7 pode-se observar (a) um carto de expanso de conexo sem fio de tecnologia
31
802.11 a/n ou 802.11 b/g/n utilizado em conjunto com a (b) Routerboard RB 493, composta por
slots de expanso para cartes sem fio e ainda, 8 interfaces ethernet Gigabit e outras. J a imagem
(c) apresenta um adaptador para conexes pticas, que pode ser utilizada nos dispositivos (d) e
(e). A imagem (d) apresenta uma RouterBOARD de alto desempenho com suporte a 72 unidades
de processamento e 8 portas pticas de 10 Gigabits. Por fim, a imagem (e) apresentado um
modelo composto por conexes de rede se fio, redes ethernet Gigabit e conexes de fibra ptica
em um mesmo dispositivo, todos gerenciados pelo mesmo sistema RouterOS, demonstrando a
flexibilidade e robustez deste sistema.
No que diz respeito ao hardware desenvolvido pela Mikrotik, uma RouterBOARD pode
suportar processadores com mltiplos ncleos de processamento ou por mltiplas unidade de
processamento no mesmo hardware. No que tange a conectividade, uma RouterBOARD pode
suportar, por exemplo, em um mesmo dispositivo, as recentes interfaces de rede de 10 Gigabits,
interfaces de rede sem fio compatveis com os padres 802.11 a/b/g/n e ainda o recente padro
a/c (MIKROTIK, 2015).
O sistema Mikrotik RouterOS dispe de um firewall que permite filtrar os pacotes trans-
mitidos pela rede, fornecendo funes de segurana. O firewall suporta a funo de Network
Translation Address NAT, o que previne o acesso no autorizado direto redes conectadas
em um mesmo roteador. O firewall do RouterOS permite ainda marcao de pacotes de acordo
com parmetros estabelecidos pelo administrador e tratamento destes pacotes de forma diferenci-
ada pelo sistema, como por exemplo, transmisso com prioridades diferenciadas, velocidades de
transmisso diferenciada, ou tratamento de rotas especficas deste contedo (MIKROTIK, 2015).
O firewall do Mikrotik RouterOS conta tambm com um filtro de contedo baseado em en-
dereos de destino e origem especficos, lista de endereos IP, podendo ser esttica ou dinmica,
filtro por padro em seu contedo e/ ou ainda, expresses regulares. Alm destes parmetros, o
firewall do Mikrotik RouterOS pode ainda aplicar filtros baseados em portas especficas ou en-
tre um escopo de portas. Esses recursos permitem uma ampla granularidade de proteo rede
de computadores, permitindo o controle de acesso atravs da utilizao de diversos parmetros
(MIKROTIK, 2015).
Alm dos recursos mencionados anteriormente, conta com recursos de Servidor Web-
Proxy, Quality of Service-QoS, Servio de Hotspot, Dynamic Host Configuration Protocol-
32
DHCP, Point-to-Point Protocol over Ethernet -PPPoE, Virtual Private Network-VPN, Multi Pro-
tocol Label Switching-MPLS, Virtual Private LAN Service-VPLS, etc. Como pode-se observar,
o RouterOS um sistema completo para finalidade que se destina, podendo ser amplamente
utilizado para as mais diversas funcionalidade de controle, gerncia e proteo de redes de com-
putadores de pequeno, mdio e grande porte (MIKROTIK, 2015).
O sistema RouterOS conta ainda com uma lista de ferramentas para auxiliar o administra-
dor do sistema, como por exemplo, teste de resposta (PING), ferramenta para testar a largura de
banda entre dois pontos, analisador de pacotes (Sniffer), analisador de conexes (Torch), agen-
dador de tarefas para execuo automtica de script, entre outras (MIKROTIK, 2015).
Alm da interface grfica e acesso via console (SSH e TELNET) existe ainda uma Appli-
cation Programming Interface - API de integrao, disponvel em diversas linguagens de pro-
gramao, inclusive em Hypertext Preprocessor - PHP, PERL, C#, Python, Java, entre outras.
Esta API tem o mesmo poder de configurao do acesso via console, entretanto, permite inte-
grar outros sistemas ao Mikrotik RouterOS de forma automatizada e simplificada (MIKROTIK,
2015).
desenvolvidos para um propsito especfico e suas arquiteturas so otimizadas para tais tarefas
(MIKROTIK, 2015).
Ainda, as solues desenvolvidas pela Mikrotik podem ser aplicadas em diversos cen-
rios. Pode-se tanto utilizar solues Mikrotik para redes domsticas quanto, por exemplo, para
solues para gerenciamento e controle de provedores de acesso internet. Alm disso, estas
solues podem desempenhar a grande maioria das funcionalidades de solues que apresentam
um custo mais elevado, como por exemplo, solues da lder de mercado Cisco e seu maior
concorrente, a Juniper.
A operao do sistema foi dividida em trs etapas. A primeira delas refere-se a deteco
dos ataques. Esta tarefa responsabilidade do IDS SNORT, operando como NIDS, o qual tem
como principal funcionalidade identificar, registrar e notificar o administrador do sistema. A se-
gunda refere-se ao sistema intermedirio, foco deste trabalho, o qual tem a finalidade de capturar
os registros do NIDS SNORT, extrair as informaes e utiliz-las na formatao das regras de
proteo. E por fim, a terceira trata da aplicao das regras criadas pelo sistema intermedirio no
sistema de firewall do sistema Mikrotik RouterOS.
4.1 Arquitetura
A arquitetura desenvolvida para este sistema est distribuda em trs etapas, conforme
mencionado anteriormente. Desta forma, o sistema est dividido em (i) Deteco, (ii) Extrao e
Converso e (iii) Aplicao, conforme apresenta a Figura 9, onde ilustrado o fluxo dos proces-
sos do sistema. Cada uma destas etapas detalhada na seo 4.2. Contudo, esta seo refere-se
as funcionalidades de cada uma destas etapas.
4.1.1 Deteco
A fase de deteco responsvel por identificar os ataques. Para isso, utiliza-se o NIDS
SNORT para avaliar o trfego transmitido pela rede com o objetivo de identificar atividades sus-
peitas, ou ainda, ataques rede. Sempre que identificado um incidente com tais caractersticas,
realizado o registro desta ocorrncia, onde so armazenadas informaes, como por exemplo, os
endereos IPs de origem e de destino. Neste registro, pode-se ainda inserir informaes sobre a
assinatura do ataque e/ou porta utilizada, bem como tipo de protocolo utilizado.
Para cada ocorrncia o NIDS SNORT gera um registro. Com isso, todas as atividades
consideradas como suspeitas ficam devidamente armazenadas em um arquivo de texto ou em
banco de dados. Para o desenvolvimento deste trabalho, foram utilizados complementos que
permitiram que estas informaes fossem armazenadas em uma base de dados, melhorando con-
sideravelmente o acesso e processamento destas informaes. Esta base de dados utilizada
pela prxima etapa como fonte de conhecimento, isto , de onde extrado todo o contedo
necessrio para operao das prximas fases do processo.
Para que fosse possvel identificar ataques ou acessos no permitidos, primeiramente foi
necessrio estabelecer uma "poltica de utilizao da rede". Para isso, foram elaboradas regras de
deteco onde o NIDS SNORT pudesse identificar situaes que desrespeitassem estas polticas,
as quais estabelecem as seguintes restries:
Usurios da rede interna no podem acessar websites via porta TCP 80, tanto no ambiente
interno quanto externo;
Utilizar o servio de Domain Name System - DNS para resoluo de nomes, via porta UDP
53;
No permitir acesso externo a servios de website, tambm via porta TCP 80;
Alm de identificar hosts que desrespeitem essas polticas, foi elaborada uma regra que
permitisse ao NIDS SNORT identificar ataques externos de PING Flood, isto , onde um atacante
envia inmeras requisies de PING sem aguardar resposta, com o intuito de sobrecarregar o
sistema e atingir a indisponibilidade de recursos e servios do host atacado.
Para cada situao descrita nestas polticas foi criada uma regra de deteco junto ao NIDS
SNORT. Cada regra, quando infringida dispara automaticamente um alerta. Ao disparar este
alerta, o NIDS SNORT registra a ocorrncia e os endereos IP dos hosts envolvidos, fornecendo
informaes para a prxima fase, descrita na Seo 4.1.2.
Aps o NIDS SNORT identificar e registrar os ataques contra a rede, necessrio utilizar
estas informaes para proteger a rede. Na segunda etapa da operao do sistema, realizada a
leitura dos registros realizados pelo NIDS SNORT, a extrao das informaes e formatao das
regras de proteo que sero aplicadas ao mdulo de firewall do sistema Mikrotik RouterOS. A
Figura 10 apresenta a estrutura de registro de deteco do IDS SNORT, onde possvel verificar
as informaes possveis de serem extradas, relevantes criao de regras de controle para o
firewall do Mikrotik RouterOS.
Neste arquivo possvel identificar o endereo que originou o ataque e qual o host de
destino do ataque. Da mesma forma, pode-se identificar a regra que gerou o alerta e quando o
ataque ocorreu. Ainda possvel identificar o protocolo e as portas utilizadas no ataque.
Com estas informaes j possvel a criao de regras que impeam o acesso deste host
de origem rede, prevenindo novos ataques descritos nas regras utilizadas. Nesta etapa o sistema
intermedirio captura estas informaes do registro das ocorrncias e realiza a identificao dos
atributos necessrios para elaborar as regras de proteo, como por exemplo, endereo IP de
origem utilizado para realizar o ataque.
criao das regras de proteo do sistema de firewall do Mikrotik RouterOS e servem para po-
pular uma lista de hosts classificados como suspeitos junto ao sistema Mikrotik RouterOS.
Os endereos de IP identificados como origem do ataque so inseridos nesta lista e tero o seu
acesso rede negado pelo firewall permanentemente at que o administrador remova-os desta
lista de controle. Com esta abordagem, busca-se minimizar problemas de deteco do tipo falso
negativo, isto , permitir acesso rede aos hosts identificados como "suspeitos".
Esta abordagem busca evitar o bloqueio de ocorrncias de falsos positivos, isto , quando
acessos legtimos rede so identificados como ataques. Ambas as listas podem ainda ser ma-
nipuladas pelo administrador do sistema de forma manual atravs de um painel de gerncia do
sistema. prudente mencionar que para evitar falhas do sistema, o administrador tome as medi-
das de segurana cabveis para evitar que, de fato, um dispositivo inserido como "confivel" no
seja vtima de um ataque e realize ataques contra sua estrutura de rede.
4.1.3 Aplicao
Aps a extrao e elaborao das regras de controle de acesso aos hosts identificados e
validados como "suspeitos" necessrio executar a insero destas regras no sistema de firewall
para que se tornem ativas. Desta forma, o sistema estabelece uma conexo atravs da API dis-
ponibilizada pela Mikrotik, utilizando a linguagem PHP, e realiza a execuo do conjunto de
comandos necessrios para registro destas informaes, efetivando sua aplicao.
39
importante salientar que este trabalho no tem foco na identificao dos ataques, mas sim
na proteo da rede, utilizando-se dos registros de deteco. Assim, toda e qualquer melhoria
aplicada fase de deteco do NIDS SNORT tende a ser refletida em melhorias no sistema de
proteo. Desta forma, o sistema desenvolvido trata-se de um automatizador de tarefas de res-
ponsabilidade do administrador. Assim, o sistema possibilita transformar registros de deteco
em regras de proteo, reduzindo a interveno do administrador do sistema na realizao des-
tas tarefas atravs da automatizao destas atividades.
etapas.
4.2 Modelagem
Esta seo detalha a operao das trs etapas em que o sistema foi dividido. A etapa de
deteco apresentada na subseo 4.2.1. J a etapa de captura das informaes e extrao dos
dados abordada na subseo 4.2.2. Por fim, na subseo 4.2.3 refere-se a aplicao das regras
de proteo, isto , a etapa em que as informaes extradas dos registros de deteco do NIDS
SNORT so transformadas em regras de firewall do sistema Mikrotik RouterOS.
ID do registro
Assinatura do ataque
Protocolo utilizado
Porta utilizada
Essa estrutura de dados utilizada para registrar todos os ataques identificados pelo NIDS.
Essa operao de registro contnua e executada enquanto o NIDS SNORT estiver em operao.
41
As informaes contidas nesta base de dados sero utilizadas pela prxima etapa do sistema,
apresentada na subseo 4.2.2, onde detalhada a etapa de captura destes dados e transformao
destas informaes em regras de proteo que sero aplicadas ao firewall do sistema Mikrotik
RouterOS, conforme descrito na seo 4.2.3. A Figura 12 apresenta o ambiente de teste da
aplicao.
A Figura 12 apresenta o ambiente utilizado para realizao dos testes e validao da apli-
cao desenvolvida. Para que fosse possvel realizar a anlise dos dados, o dispositivo com o
sistema NIDS SNORT foi conectado a uma RouterBOARD modelo 1100, a qual responsvel
por interconectar todos os demais dispositivos da rede. Contudo, foi necessrio realizar uma
configurao especial nesta RouterBOARD, denominada Interface Mirror. Desta forma, foi pos-
svel "espelhar" todo o trfego transmitido pela rede, isto , encaminhar uma cpia de todas as
informaes transmitidas pela rede, para interface de conexo do NIDS.
Aps, foi necessrio habilitar o NIDS SNORT para operar em modo promscuo, isto ,
para que ele capturasse todo o contedo que fosse direcionado para sua interface de rede. Assim,
combinando a configurao de Interface Mirror e o modo promscuo de operao, foi possvel
analisar o contedo transmitido pela rede a todos os dispositivos.
Para que fosse possvel identificar atividades que desrespeitassem as polticas estabeleci-
das pelo administrador da rede, foram elaboradas um conjunto de regras para cada situao, e
adicionalmente, uma regra para identificar um ataque de PING Flood.
Com base neste conjunto de regras de deteco, sempre que o NIDS SNORT identificar
42
algum tipo de atividade com este perfil, automaticamente so identificados os hosts envolvidos
e as informaes de conexo entre eles. Feito isso, o NIDS SNORT realiza um registro na base
de dados de ocorrncias, inserindo informaes referentes ao ataque. A Figura 13 apresenta este
conjunto de regras e as respectivas funcionalidades.
Esta seo apresenta a fase de captura dos dados dos registros do NIDS SNORT e extrao
das informaes necessrias para elaborar regras de proteo, impedindo, atravs do sistema de
firewall do Mikrotik RouterOS, o acesso de hosts identificados como origem de ataques rede
de computadores.
Esta etapa contempla o ncleo do sistema desenvolvido, pois neste momento que ocorre a
transformao das informaes contidas nos registros em regras de proteo. Para isso, o sistema
intermedirio desenvolvido opera em momentos distintos: (i) leitura das informaes de registro
do NIDS SNORT, (ii) identificao dos endereos de IP que originaram o ataque, (iii) validao
dos endereos de IP, (iv) a formatao das regras de bloqueio utilizando as informaes extradas
e (v) a aplicao destas regras ao sistema de firewall. A Figura 14 apresenta a sequncia desta
operao.
A Figura 14 apresenta o fluxo das informaes dentro do sistema e cada etapa de operao.
44
Ilustra ainda, o momento em que o sistema valida as informaes, buscado reduzir ocorrncias
dos falsos positivos e negativos, respeitando as listas de hosts suspeitos e confiveis.
Para facilitar a utilizao do sistema, foi desenvolvido uma interface de controle, na qual o
administrador pode facilmente adicionar e remover os endereos de IP, tanto da lista de confiveis
quando da lista de suspeitos. Esse painel de controle do sistema apresentado pela Figura 15.
Alm das funcionalidade de controle das listas, possvel adicionar uma lista de dispositi-
vos que devero receber as regras, caso existam mais sistemas de firewall sob a responsabilidade
do administrador. Isso permite prevenir ataques de hosts j conhecidos.
45
Para realizar a captura das informaes de registro, o sistema estabelece uma conexo com
a base de dados auxiliar "midle_db" onde esto armazenadas estas informaes e, realiza uma
srie de consultas e inseres ou remoes, conforme apresentado na Figura 16.
Figura 16: Consultas realizadas para capturar as informaes de registro do IDS SNORT
Para ambas as situaes, buscando garantir a integridade das regras, disparado automa-
ticamente um processo (trigger). No caso (i), todo endereo adicionado lista de confiveis
automaticamente removido da lista de suspeitos. Em consequncia disso, no caso (ii), todo
endereo de IP removido da tabela de suspeito, deve ter suas regras removidas tambm do sis-
tema de proteo do firewall do Mikrotik RouterOS. Por isso, os endereos removidos da tabela
"ip_blacklist" so automaticamente inseridos na tabela "check_rules", responsvel por realizar
47
esta manuteno.
Aps a captura de todas as informaes necessrias para elaborao das regras de controle,
fundamental inserir estas regras no sistema de firewall do Mikrotik RouterOS para que elas
sejam executadas. Para isso, o sistema executa as instrues da API Mikrotik que realizam a
conexo com o sistema Mikrotik RouterOS e possibilita a execuo das instrues necessrias
para criao das regras de controle do firewall, conforme mostra a Figura 19.
Aps estabelecer conexo, a aplicao executa a instruo para criar uma regra global, que
48
Durante sua operao, o sistema tambm realiza a insero de todos os endereos contidos
na tabela "ip_blacklist" na lista de endereos que sero bloqueados pela regra geral aplicada ao
firewall. Alm disso, quando necessria a remoo de algum endereo da lista de bloqueados,
seja por remoo manual deste endereo IP por parte do administrador ou por insero deste
endereo IP na lista de confiveis, o sistema realiza uma busca na lista de bloqueados e realiza
a remoo desta regra. Com esta abordagem, o objetivo manter a integridade das polticas de
acesso estabelecidas pelo administrador. As instrues de controle do sistema de firewall so
apresentadas pela Figura 20.
Figura 20: Regras de controle do sistema de firewall para bloqueio, insero, pesquisa e remoo
Para validar este trabalho, foi elaborado um ambiente para testar e validar este trabalho,
bem como um conjunto de regras que permitissem ao NIDS SNORT identificar atividades que
desrespeitassem a poltica de utilizao definida para a rede e/ou ataques rede. Estas regras
foram criadas para identificar hosts em um ambiente de rede laboratorial, conforme apresentado
no captulo anterior.
5.1 Metodologia
Esta Seo apresentado o ambiente elaborado para realizao dos teste, os dispositivos
utilizados e tecnologias aplicadas no projeto. Com o objetivo de validar este trabalho foi desen-
volvido o seguinte cenrio:
Para desenvolver o ambiente de teste deste projeto foi utilizado uma RouterBOARD mo-
delo 1100, com sistema Mikrotik embarcado operando na verso 6.28, como dispositivo de rede
para interconectar todos os demais dispositivos. Este dispositivo conta com um processador de
rede PowerPC de 800MHz e 512Mb de memria RAM. Alm disso, esta RouterBOARD com-
posta por 13 portas ethernet com velocidade de 1 gigabit cada, totalmente configurvel, sendo
que as 5 primeiras portas ethernet fazem parte de um switch gerenciado. Tal caracterstica per-
mitiu realizar a configurao de Port Mirror, permitindo com que o contedo transmitido pelas
demais portas de rede fosse tambm encaminhado para interface de conexo do NIDS SNORT,
permitindo com que esse contedo fosse analisado pelo sistema.
Como dispositivo denominado "Servidor IDS", responsvel por dar suporte ao sistema
NIDS SNORT e demais complementos, bem como a base de dados Mysql utilizada para regis-
trar as ocorrncias, foi utilizado um computador tipo PC, com processador Intel Core 2 Duo de
2.0 GHz e 3Gb de memria RAM, utilizando um disco com capacidade de at 1 Tb, operando a
7.200 rotaes por minuto. Este equipamento utiliza uma interface de rede tambm com veloci-
dade de 1 gigabit para comunicao. Como sistema operacional, foi utilizado o Ubuntu Server,
50
Para identificar e registrar as ocorrncias, foi utilizado a verso 2.9.7 do IDS SNORT,
configurado para operar em modo NIDS. Para validao do trabalho, no foram aplicadas as
regras disponibilizadas pela comunidade do projeto, pois, conforme estudos realizados, para
obter o melhor desempenho do NIDS, as regras de deteco devem ser ajustadas conforme o
ambiente de aplicao. Como o objetivo deste trabalho no est na deteco de atividade suspeita,
mas sim na integrao das duas solues, foram utilizadas regras especficas para o ambiente de
teste, levando em considerao as polticas estabelecidas. importante salientar que toda e
qualquer melhoria na etapa de deteco resultar em uma maior proteo atravs da integrao
proposta.
Para desenvolver esse trabalho foi utilizada a linguagem de programao PHP, pela compa-
tibilidade, documentao e suporte API da Mikrotik. Tal linguagem foi definida tambm pela
sua flexibilidade de desenvolver aplicaes web, permitindo com que o sistema seja utilizado em
diferentes plataformas.
Para simular os acessos na rede de teste foram utilizados computadores que receberam seus
endereos de IP dinamicamente atravs de um servidor DHCP configurado na RouterBOARD.
Aps, foram realizados diferentes tipos de acessos aos servios que infringissem politica de
utilizao da rede, conforme representado pela Figura 21.
51
Para validar a regra de deteco de acessos aos servios que utilizam a porta 80, foram
realizados acessos aos websites que utilizam o protocolo Hypertext Transfer Protocol, que por
padro utiliza a porta TCP para sua comunicao. Ainda foram realizados acessos ao servidor
de pginas configurado junto ao NIDS SNORT, o que tambm no permitido de acordo com
politica estabelecida. Ao acessar estas pginas, automaticamente, atravs da resoluo de nomes,
tambm foi validada a deteco para o servio de DNS, o qual utiliza por padro a porta UDP
53.
Para verificar a regra que trata da porta TCP 3306, padro para conexes com base de dados
Mysql, foram realizados acessos de uma rede externa base de dados instalada junto ao servidor
NIDS SNORT. Da mesma forma, foram realizados acessos, internamente rede, a mesma base,
o que tambm contraria as regras de deteco.
Ainda sobre os testes de deteco, foi simulada uma tentativa de PING Flood, utilizando
a ferramenta disponvel pelo sistema Mikrotik RouterOS. Neste teste foram enviadas 1000 re-
quisies de PING, com intervalo de 1 milissegundo entre elas, contra o NIDS SNORT (IP
52
10.1.1.254).
Aps, foram realizados testes para validar os recursos de controle de listas de endereos
IP, onde foram adicionados endereos lista de confiveis e verificado o tratamento do sistema
estes endereos. Da mesma forma, foram realizadas a remoo destes endereos da lista de
confiveis e observado se o sistema tornava a considerar estes endereos para criao das regras
de proteo.
Os resultados obtidos atravs dos testes realizados so abordados e ilustrados na seo 5.3,
onde so detalhadas estas informaes.
No caso do acesso websites utilizando a porta TCP 80, o NIDS SNORT identificou e
registrou as ocorrncias, as quais foram utilizadas pelo sistema para a gerao das regras de
proteo. Da mesma forma que o sistema desenvolvido foi capaz de ler as informaes do regis-
tro do NIDS SNORT e realizar a insero destas informaes tabela auxiliar, responsvel por
armazenar os endereos de IP que tero seu aceso bloqueado (midle_db.ip_blaclist), conforme
ilustra a Figura 22.
53
Na Figura 22.a identificada a regra de deteco (1000991) responsvel pelo registro apre-
sentado pela figura 22.b, que exibe os valores referentes regra de deteco que gerou o registro,
o protocolo utilizado, endereo de origem e destino e a porta de comunicao, respectivamente.
Por fim, a figura 22.c mostra o endereo de IP de origem desta deteco (10.1.1.251) inserido na
tabela midle_db.ip_blacklist, a qual responsvel por armazenar as informaes dos hosts que
devem ser bloqueados.
No que diz respeito simulao de ataque de PING Flood, utilizando a ferramenta dis-
ponvel pelo sistema Mikrotik, o sistema NIDS SNORT foi capaz de identificar e registrar este
ataque. A Figura 23.a ilustra a utilizao da ferramenta e apresenta, na Figura 23.b o registro
gerado pelo NIDS SNORT fazendo referncia regra de deteco desenvolvida.
54
Apesar de ter simulado o ataque de PING Flood atravs da RouterBOARD Mikrotik, a qual
estava utilizando o endereo IP 10.1.1.1, este foi apenas detectado, sem a insero do mesmo na
lista de bloqueio. Isto por que este endereo IP est presente na lista de confiveis, conforme
mostra a Figura 24. Esse resultado apresentado, valida com sucesso operao do sistema res-
peitando a lista de confiveis, evitando o bloqueio do acesso aos hosts e reduzindo a ocorrncia
de falsos positivos.
Sobre os testes de acesso base de dados Mysql utilizando a porta TCP 3306, o NIDS
SNORT foi capaz de identific-los com sucesso. Tambm identificou as tentativas de comunica-
o com servidores DNS utilizando a porta UDP 53. A Figura 25 apresenta as regras responsveis
por essa deteco e os registros realizados pelo NIDS SNORT.
A Figura 25.a exibe a regra de deteco referente deteco de acessos base Mysql e o
respectivo registro do IDS quando esta regra disparada. Por sua vez, a Figura 25.b apresenta a
regra referente requisies DNS e o respectivo registro realizado. Em ambos os casos possvel
observar nos registros as informaes de endereos IP de origem e destino, a regra que se refere,
cdigo do protocolo utilizado e portas de comunicao, respectivamente.
Atravs dos alertas gerados pelo NIDS SNORT, o sistema desenvolvido tambm conseguiu
identificar os endereos de IP de origem dos ataques e bloquear o acesso destes dispositivos
rede, atravs da insero deste endereos de IP na lista de endereos do firewall do Mikrotik
RouterOS, respeitando a lista de hosts confiveis.
O sistema tambm foi capaz de realizar a remoo dos endereos de IP da lista de blo-
queio do Mikrotik RouterOS, quando estes endereos de IP foram adicionados lista de hosts
confiveis. Desta forma garantiu-se as configuraes estabelecidas pelo administrador. Essa fun-
cionalidade validou o controle das tabelas do sistema e a aplicao da trigger, apresentada pela
Figura 27, responsvel por manter a integridade destas regras.
Para avaliar o tempo de processamento e fornecer valores de referncia ao que diz respeito
ao desempenho do sistema foram aferidos valores para o tempo de processamento das informa-
es e consumo de recursos do sistema.
Com base nestes valores o administrador do sistema pode estimar o tempo de processa-
mento e o volume mximo de dados processado em um ciclo, o que possibilita a ele ajustar o
tempo de ciclo conforme a demanda de seu sistema.
Finalizando, possvel afirmar que, dentro do ambiente testado, o NIDS SNORT foi capaz
de identificar ataques baseado nas regras desenvolvidas. Da mesma forma o sistema proposto
cumpriu com seu objetivo e realizou o bloqueio do acesso dos hosts identificados como sus-
peitos. Para realizar esse bloqueio, o sistema utilizou-se dos registros de deteco, atravs de
regras inseridas automaticamente no sistema de firewall do Mikrotik RouterOS, formando uma
ferramenta reagente aos ataques.
6 CONCLUSO E CONSIDERAES FINAIS
Os resultados obtidos atravs dos testes realizados com o trabalho desenvolvido permitem
afirmar que a integrao entre o IDS SNORT e o sistema de firewall do Mikrotik RouterOS foi
possvel. Tais resultados demonstraram que o sistema intermedirio implementado foi capaz de
aplicar, de forma automatizada, regras de controle de acesso ao sistema de firewall e impedir o
acesso de hosts identificados como suspeitos.
Outro ponto que pode ser estudado com ateno diz respeito ao tempo timo de ciclo de
leitura das informaes de registro, isto , o menor tempo de ciclo necessrio para processar estas
informaes, possibilitando ao sistema repetir o processo com menos tempo ocioso possvel. Ao
mesmo tempo, passvel de estudos especficos, o tema que trata sobre a performance do IDS
caso o registro de ocorrncias seja realizado em uma base de dados instalada em outro dispositivo
e a aplicao de regras em dispositivos geograficamente distribudos. Esse tema pode implicar
diretamente no clculo do tempo timo do ciclo de leitura das informaes.
Outra rotina que pode ser implementa e testada no que diz respeito integrao e insero
de regras em um conjunto de dispositivos Mikrotik. O sistema apresenta uma implementao
inicial desta funcionalidade, porm esta etapa no foi testada e avaliada. Pontos como o tempo
59
necessrio para realizar um ciclo de inseres e como tratar casos onde existe um volume grande
de regras para realizar as suas aplicaes podem ser foco de estudos futuros, uma vez que este
trabalho considerou um dispositivo Mikrorik e um baixo volume de regras para serem aplicadas.
Por fim, alm das melhorias sugeridas, importante destacar que otimizaes aplicadas
fase de deteco do IDS automaticamente so refletidas na gerao de regras de proteo. Desta
forma, o desenvolvimento de novos algoritmos e mtodos de deteco, bem como tambm, o
aprimoramento dos existentes, so uma boa direo para pesquisas futuras.
REFERNCIAS
AHMED, M.; PAL, R.; HOSSAIN, M.; BIKAS, M.; HASAN, M. NIDS: a network based
approach to intrusion detection and prevention. In: COMPUTER SCIENCE AND
INFORMATION TECHNOLOGY - SPRING CONFERENCE, 2009. IACSITSC 09.
INTERNATIONAL ASSOCIATION OF, 2009. p.141144.
AL-JARRAH, O.; ARAFAT, A. Network Intrusion Detection System using attack behavior
classification. In: INFORMATION AND COMMUNICATION SYSTEMS (ICICS), 2014 5TH
INTERNATIONAL CONFERENCE ON, 2014. p.16.
ANAND, Vijay. Intrusion Detection: tools, techniques and strategies. In: ND ANNUAL ACM
SIGUCCS CONFERENCE ON USER SERVICES, 42., 2014, New York, NY, USA. ACM,
2014. p.6973.
BRO. The Bro Network Security Monitor. Disponvel em: <https://www.bro.org/>. Acesso em:
Dezembro de 2015.
COMER, Douglas. Internetworking with TCP/IP: principles, protocols, and architecture. Upper
Saddle River, NJ, USA: Prentice-Hall, Inc., 1988.
HEBERLEIN, L.; DIAS, G.; LEVITT, K.; MUKHERJEE, B.; WOOD, J.; WOLBER, D. A
network security monitor. In: RESEARCH IN SECURITY AND PRIVACY, 1990.
PROCEEDINGS., 1990 IEEE COMPUTER SOCIETY SYMPOSIUM ON, 1990. p.296304.
HOQUE, N.; BHUYAN, M. H.; BAISHYA, R.; BHATTACHARYYA, D.; KALITA, J. Network
Attacks. J. Netw. Comput. Appl., London, UK, UK, Abril de 2014. v.40, n.C, p.307324.
HUANG, X.; WANG, X.; ZHU, S. Study on Intelligent Firewall System Combining Intrusion
Detection and Egress Access Control. In: INTELLIGENT SYSTEM DESIGN AND
ENGINEERING APPLICATION (ISDEA), 2010 INTERNATIONAL CONFERENCE ON,
2010. v.2, p.456459.
LEE, J.; HWANG, S. H.; PARK, N.; LEE, S.-W.; JUN, S.; KIM, Y. S. A High Performance
NIDS Using FPGA-based Regular Expression Matching. In: ACM SYMPOSIUM ON
APPLIED COMPUTING, 2007. p.11871191.
LEI-JUN, L.; HONG, P. A Defense Model Study Based on IDS and Firewall Linkage. In:
INFORMATION SCIENCE AND MANAGEMENT ENGINEERING (ISME), 2010
INTERNATIONAL CONFERENCE OF, 2010. v.2, p.9194.
PAXSON, Vern. Bro: a system for detecting network intruders in real-time. In: CONFERENCE
ON USENIX SECURITY SYMPOSIUM - VOLUME 7, 7., 1998, Berkeley, CA, USA.
USENIX Association, 1998. p.33.
62
SHERRY, J.; LAN, C.; POPA, R. A.; RATNASAMY, S. BlindBox: deep packet inspection over
encrypted traffic. SIGCOMM Comput. Commun. Rev., New York, NY, USA, Agosto de 2015.
v.45, n.5, p.213226.
SNORT. The Snort Project. Disponvel em: <http://www.snort.org/>. Acesso em: Dezembro
de 2015.
SOUZA, L. D. F.; LUCA, G. G. de. Lei 12.965 de 2014: democratizao da internet e efeitos do
marco civil na sociedade da informao. In: REVISTA PARADIGMA, 2014. p.7696.
VACCA, John R. Computer and Information Security Handbook, Second Edition. 2nd.ed. San
Francisco, CA, USA: Morgan Kaufmann Publishers Inc., 2013.
VALGENTI, V.; SUN, H.; KIM, M. S. Protecting Run-Time Filters for Network Intrusion
Detection Systems. In: ADVANCED INFORMATION NETWORKING AND
APPLICATIONS (AINA), 2014 IEEE 28TH INTERNATIONAL CONFERENCE ON, 2014.
p.116122.
ZAMAN, S.; KARRAY, F. TCP/IP Model and Intrusion Detection Systems. In: ADVANCED
INFORMATION NETWORKING AND APPLICATIONS WORKSHOPS, 2009. WAINA 09.
INTERNATIONAL CONFERENCE ON, 2009. p.9096.