Escolar Documentos
Profissional Documentos
Cultura Documentos
FABIANO BENDER
MOTIVAÇÃO ...........................................................................................................................5
OBJETIVOS ..............................................................................................................................8
METODOLOGIA ......................................................................................................................9
CRONOGRAMA ....................................................................................................................10
BIBLIOGRAFIA ....................................................................................................................11
MOTIVAÇÃO
Em virtude do crescimento exponencial da Internet nos últimos anos, tanto nos países
desenvolvidos como nos países subdesenvolvidos, a proliferação de ataques de hackers e a
disseminação de vírus e spams têm levado a conseqüentes prejuízos, freqüentemente
testemunhados não só por usuários domésticos, mas também pelas empresas de médio e
grande porte. Conforme estatísticas do site da Rede Nacional de Ensino e Pesquisa (RNP), o
número de incidentes com segurança em redes nos últimos anos aumentou consideravelmente.
Em 2006, foram registrados 70815 incidentes contra 61323 ocorridos no ano de 2005. As
estatísticas do site CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança no Brasil) apontam 197892 incidentes em 2006 contra 68000 em 2005. De acordo
com a 9ª Pesquisa Nacional de Segurança da Informação realizada pela empresa Módulo
Security em outubro de 2003, 60% das empresas indicam a Internet como o principal ponto de
invasão em seus sistemas.
____________________________________________
1
Ataques baseados em falhas desconhecidas ou que ainda não possuem correção por parte dos desenvolvedores
e fabricantes.
6
Um IDS é definido como “[...] software, hardware ou a combinação das duas coisas
para detectar a atividade de um intruso.” (REHMAN, 2003, p. 8). Trata-se de um sistema que
tem a finalidade de identificar ataques por meio da análise dos pacotes de uma rede, munido
de um conjunto de regras, também conhecidas como assinaturas. Ao detectar determinadas
requisições incomuns nos pacotes de uma rede, o IDS dispara um alarme, alertando o
administrador da rede sobre uma possível ameaça. Os IDS podem ser divididos em IDS
baseados em host (HIDS – Host-based IDS) e IDS baseados em rede (NIDS – Network-based
IDS). Os HIDS monitoram atividades relacionadas ao sistema operacional, memória RAM e
outros componentes de um determinado sistema, enquanto que os NIDS trabalham com
monitoramento de pacotes que trafegam em uma rede, verificando possíveis ataques e
tentativas de intrusão.
• Pré-processadores (Preprocessors)
____________________________________________
2
Fundador da empresa SourceFire e principal desenvolvedor do IDS Snort, é Bacharel em Ciência em
Engenharia Elétrica/Computação na Clarkson University, Estados Unidos
3
SNORT – the de facto standard for intrusion detection/prevention. Site oficial: http://www.snort.org
7
____________________________________________
4
PhD em Engenharia da Computação pela Tallinn University Of Technology, Estônia, em 2005.
Site oficial: http://kodu.neti.ee/~risto/
OBJETIVOS
Objetivo geral
Este trabalho tem como objetivo geral o estudo teórico e prático da tecnologia de
correlação de eventos com o uso da ferramenta open source SEC integrada ao IDS Snort. Será
realizada uma comparação dos eventos registrados pelo Snort com a posterior integração da
ferramenta SEC e suas regras de correlação de eventos ao IDS. Os resultados serão
apresentados através de alertas gerados pelo Snort.
Objetivos específicos
Trabalho de Conclusão I
Meses
Etapa
Ago/07 Set/07 Out/07 Nov/07
Desenvolvimento e conclusão do anteprojeto com o apoio do orientador
Pesquisa geral sobre segurança da informação, IDS e correlação de eventos
Redação - Introdução
Redação – Segurança da Informação em Redes de Computadores
Redação – Sistemas de Detecção de Intrusão (IDS)
Redação – Correlação de eventos e SEC
TC 1 – Conclusão e entrega
Trabalho de Conclusão II
Meses
Etapa
Mar/08 Abr/08 Maio/08 Jun/08
Definição de um ambiente com o IDS Snort para o registro de eventos
Verificação dos eventos registrados pelo Snort sem o módulo SEC
Instalação do módulo SEC
Verificação dos eventos registrados pelo Snort com o módulo SEC
Comparação dos resultados obtidos
TC 2 – Revisão e redação
TC 2 – Conclusão e entrega
BIBLIOGRAFIA