Click here to load reader

Análise Prática Do Ids Snort(r1)

  • View
    24

  • Download
    0

Embed Size (px)

Text of Análise Prática Do Ids Snort(r1)

  • CENTRO UNIVERSITRIO DE ARARAQUARA UNIARA NCLEO DE EDUCAO A DISTNCIA NEAD

    CURSO DE PS-GRADUAO MBA-GESTO SEGURANA DA INFORMAO

    VELISLEI ADILSON TREUK

    ANLISE PRTICA DO IDS SNORT Anlise prtica da ferramenta integrando com MySQL, Apache, PHP e ACID

    ARARAQUARA 2014

  • VELISLEI ADILSON TREUK

    ANLISE PRTICA DO IDS SNORT Anlise prtica da ferramenta integrando com MySQL, Apache, PHP e ACID

    Trabalho de concluso de curso apresentado ao Centro Universitrio de Araraquara como requisito para obteno do ttulo de MBA-Gesto Segurana da Informao. Orientador: Prof(a). Me(a).Renata Mirella Farina.

    ARARAQUARA 2014

  • DECLARAO

    Eu, Velislei Adilson Treuk, RG: 4.390.336-5, aluno regularmente matriculado no Curso de MBA-Gesto de Segurana da Informao do Centro Universitrio de

    Araraquara-UNIARA, declaro ser o autor do texto apresentado como Trabalho de Concluso de Curso-TCC com o ttulo Anlise prtica do IDS Snort.

    Afirmo, tambm, ter seguido as normas da ABNT referentes s citaes textuais que utilizei e das quais eu no sou autor, dessa forma, creditando a autoria a seus verdadeiros autores (Lei n.9.610, 19/02/1998).

    Atravs dessa declarao dou cincia de minha responsabilidade sobre o texto apresentado e assumo qualquer responsabilidade por eventuais problemas legais, no tocante aos direitos autorais e originalidade do texto.

    Araraquara, 25 de junho de 2014.

    _______________________________________

    Velislei Adilson Treuk

  • TERMO DE APROVAO

    VELISLEI ADILSON TREUK

    ANLISE PRTICA DO IDS SNORT Anlise prtica da ferramenta integrando com MySQL, Apache, PHP e ACID

    MONOGRAFIA PARA CONCLUSO DO CURSO DE MBA-GESTO DE SEGURANA DA INFORMAO

    Comisso Julgadora

    Presidente e Orientador ................................................................................

    2 Examinador ..............................................................................................

    3 Examinador ..............................................................................................

    Nota: _________ Araraquara, 25 de junho de 2014.

  • Dedico, Aos meus pais, que souberam acreditar num potencial ainda desconhecido, em meio a dvida e dificuldades da vida, que esta criatura frgil poderia se tornar em um ser capaz de vencer as dificuldades da vida.

  • AGRADECIMENTOS

    A Deus por proporcionar a oportunidade da existncia e a capacidade da compreenso.

    A minha famlia, pela pacincia em todos os momentos de ausncia para elaborao deste trabalho, e pela compreenso pela minha falta de ateno nos momentos em que estive fisicamente presente mas que me empenhava para que pudesse realizar esta pesquisa, me auxiliando nos momentos de dificuldades em que me deparei.

    professora Renata, por todo auxlio tcnico, empenho e motivao.

    A todos que de alguma forma me ajudaram, motivando e torcendo para que esse trabalho fosse realizado com sucesso.

  • Sou tua criana, Senhor, e esta terra bela, rica e abundante, em cujo seio me puseste para dormir, somente o bero de onde engatinho para ti.

    Mikhail Naimy

  • RESUMO

    Esta pesquisa pretende demonstrar o uso de tcnicas de proteo(hardening) em servidores de redes Windows e Linux, com a utilizao de uma ferramenta Open Source, com o objetivo de reduzir os riscos as informaes contidas nestes servidores.

    A situao atual das organizaes com relao a vulnerabilidade das informaes em suas redes, principalmente quando se olha para o enorme crescimento e a velocidade com que ele acontece, o astronmico crescimento do uso de ferramentas para tentar bloquear trfegos com potencial maliciosos ou no condizente com os interesses organizacionais efetuado por seus funcionrios.

    Mostra tambm que a utilizao de softwares de proteo, do tipo Open Source, uma forma inteligente de se usar os recursos financeiros disponveis, demonstrando sua eficincia e o enorme potencial quando corretamente utilizada. Pretendo tambm demonstrar as dificuldades encontradas na criao e aplicao de filtros a fim de se minimizar falsos positivos nos trfegos indesejveis dentro desta rede, pois a enorme variedade de tecnologias de comunicao (hardwares), o astronmico volume de informao que podemos estar monitorando e a quantidade de pessoas e departamentos da empresa em questo que podem estar, de alguma maneira, envolvidos torna esta tarefa, aparentemente simples, uma enorme dor de cabea para o administrador da rede.

    Esta dissertao aborda o desafio de se tratar a grande variedades de informaes, as diferentes situaes em diferentes departamentos que podemos encontrar, eles so numerosos, porque os sistemas de informao de hoje no foram construdos com os requisitos de segurana desde seu incio, o desafio de se administrar tudo isto quando pessoas envolvidas esto despreparadas ou resistentes a sua aplicao, pois muitas vezes tais filtros de trfegos podem de alguma forma estar dificultando o desempenho de suas funes.

    Palavras-chave: Snort, MySQL, Apache, PHP, ACID, IDS, HIDS, IPS, Vulnerabilidade, Segurana de rede, Servidores;

  • ABSTRACT

    This research aims to demonstrate the use of technical protection (hardening) in Windows and Linux network servers, using an Open Source tool, with the aim of reducing the risks of the information contained on these servers. The current situation of organizations regarding the vulnerability of information on their networks, especially when looking at the huge growth and the speed at which it happens, the astronomical increase in the use of tools to try to block traffic for malicious or potentially inconsistent with the interests organizational performed by its employees.

    Also shows that the use of protection software, the type Open Source, is a clever way to use

    the available financial resources, demonstrating its efficiency and great potential when used correctly. I also intend to demonstrate the difficulties in creating and applying filters in order to minimize false positives in undesirable traffic within this network because the huge variety of communication technologies (hardware), the astronomical amount of information that can be monitoring the amount of people and departments of the company in question that may be involved somehow makes this seemingly simple task, a huge headache for the network administrator.

    This paper addresses the challenge of addressing the huge variety of information, the different situations in different departments we can see, they are numerous, because the information systems of today were not built with security requirements since its inception, the challenge of administering all this when people involved are unprepared or resistance to its application as it often trades such filters can somehow be hindering the performance of their duties.

    Keywords: Snort, MySQL, Apache, PHP, ACID IDS, HIDS, IPS, Vulnerability, Network Security, Servers;

  • LISTA DE FIGURAS

    Figura 1. Anatomia de um ataque3 29

    Figura 2. Rede rodando Snort e MySQL 37 Figura 3. Rede bsica IDS 38

    Figura 4. Logotipo do Snort12

    40

    Figura 5. Funcionamento esquemtico do Snort 45

    Figura 6. Layout da rede de testes do Snort no Windows 47

    Figura 7. Execuo de varredura de portas com Nmap no Windows 49

    Figura 8. Layout fsico da rede de teste Snort com Linux 51

    Figura 9. Topologia da rede de testes NIDS x HIDS 56

    Figura 10. Grfico do relatrio de captura NIDS x HIDS 60

    Figura 11. Relatrio de captura da varredura Nmap na pgina do ACID 61

    Figura b1. Teste de execuo do Apache, exibio da configurao do Php 72

    Figura b2. Pagina ACID, forma de criao de tabelas MySQL pelo ACID 82 Figura b3. Aparncia da pgina do ACID aps a instalao 83

  • LISTA DE TABELAS

    Tabela 1. Opes de configurao no monitoramento do Snort 43

    Tabela 2. Consultando a numerao de portas de rede no Windows 47

    Tabela 3. Relatrio de monitorao resumido no Snort com o Windows 48

    Tabela 4. Relatrio de captura de pacotes de rede pelo Snort com o Windows 49

    Tabela 5. Relatrio de captura via console do Snort no Linux 52

    Tabela 6. Relatrio de captura de pacotes icmp pelo Snort 53

    Tabela 7. Relatrio comparativo de captura de pacotes ICMP (NIDS x HIDS) 57 Tabela 8. Comparativo do relatrio de captura de pacotes Nmap (NIDS x

    HIDS) 58

    Tabela a1. Editando arquivo de configurao do Snort 67

    Tabela a2. Criao do arquivo Whitelist.rule do Snort 69

  • LISTA DE ABREVIATURAS

    ABNT Associao Brasileira de Normas tcnicas

    AIX Sistema operacional

    CID Confidencialidade, Integridade, Disponibilidade

    DDoS Distributed Denial-Of-Service

    DNS Domain Name System

    HIDS Host-based Intrusion Detection System

    HP-UX Sistema operacional

    ICMP Internet Control Message Protocol

    IDS Intrusion Detection System

    IP Internet Protocol

    NIDS Network Intrusion Detection System

    RAM Randon Access Memory

    TCP Transmission Control Protocol

    UDP User Datagram Protocol

    VPN Virtual Private Network

  • SUMRIO

    RESUMO...................................................................................................................................7 ABSTRACT...............................................................................................................................8 LISTA DE FIGURAS...............................................................................................................9 LISTA DE TABELAS............................................................................................................10 LISTA DE ABREVIATURAS..........................

Search related