Análise Prática Do Ids Snort(r1)

CENTRO UNIVERSITRIO DE ARARAQUARA UNIARA NCLEO DE EDUCAO A DISTNCIA NEAD

CURSO DE PS-GRADUAO MBA-GESTO SEGURANA DA INFORMAO

VELISLEI ADILSON TREUK

ANLISE PRTICA DO IDS SNORT Anlise prtica da ferramenta integrando com MySQL, Apache, PHP e ACID

ARARAQUARA 2014

VELISLEI ADILSON TREUK

ANLISE PRTICA DO IDS SNORT Anlise prtica da ferramenta integrando com MySQL, Apache, PHP e ACID

Trabalho de concluso de curso apresentado ao Centro Universitrio de Araraquara como requisito para obteno do ttulo de MBA-Gesto Segurana da Informao. Orientador: Prof(a). Me(a).Renata Mirella Farina.

ARARAQUARA 2014

DECLARAO

Eu, Velislei Adilson Treuk, RG: 4.390.336-5, aluno regularmente matriculado no Curso de MBA-Gesto de Segurana da Informao do Centro Universitrio de

Araraquara-UNIARA, declaro ser o autor do texto apresentado como Trabalho de Concluso de Curso-TCC com o ttulo Anlise prtica do IDS Snort.

Afirmo, tambm, ter seguido as normas da ABNT referentes s citaes textuais que utilizei e das quais eu no sou autor, dessa forma, creditando a autoria a seus verdadeiros autores (Lei n.9.610, 19/02/1998).

Atravs dessa declarao dou cincia de minha responsabilidade sobre o texto apresentado e assumo qualquer responsabilidade por eventuais problemas legais, no tocante aos direitos autorais e originalidade do texto.

Araraquara, 25 de junho de 2014.

_______________________________________

Velislei Adilson Treuk

TERMO DE APROVAO

VELISLEI ADILSON TREUK

ANLISE PRTICA DO IDS SNORT Anlise prtica da ferramenta integrando com MySQL, Apache, PHP e ACID

MONOGRAFIA PARA CONCLUSO DO CURSO DE MBA-GESTO DE SEGURANA DA INFORMAO

Comisso Julgadora

Presidente e Orientador ................................................................................

2 Examinador ..............................................................................................

3 Examinador ..............................................................................................

Nota: _________ Araraquara, 25 de junho de 2014.

Dedico, Aos meus pais, que souberam acreditar num potencial ainda desconhecido, em meio a dvida e dificuldades da vida, que esta criatura frgil poderia se tornar em um ser capaz de vencer as dificuldades da vida.

AGRADECIMENTOS

A Deus por proporcionar a oportunidade da existncia e a capacidade da compreenso.

A minha famlia, pela pacincia em todos os momentos de ausncia para elaborao deste trabalho, e pela compreenso pela minha falta de ateno nos momentos em que estive fisicamente presente mas que me empenhava para que pudesse realizar esta pesquisa, me auxiliando nos momentos de dificuldades em que me deparei.

professora Renata, por todo auxlio tcnico, empenho e motivao.

A todos que de alguma forma me ajudaram, motivando e torcendo para que esse trabalho fosse realizado com sucesso.

Sou tua criana, Senhor, e esta terra bela, rica e abundante, em cujo seio me puseste para dormir, somente o bero de onde engatinho para ti.

Mikhail Naimy

RESUMO

Esta pesquisa pretende demonstrar o uso de tcnicas de proteo(hardening) em servidores de redes Windows e Linux, com a utilizao de uma ferramenta Open Source, com o objetivo de reduzir os riscos as informaes contidas nestes servidores.

A situao atual das organizaes com relao a vulnerabilidade das informaes em suas redes, principalmente quando se olha para o enorme crescimento e a velocidade com que ele acontece, o astronmico crescimento do uso de ferramentas para tentar bloquear trfegos com potencial maliciosos ou no condizente com os interesses organizacionais efetuado por seus funcionrios.

Mostra tambm que a utilizao de softwares de proteo, do tipo Open Source, uma forma inteligente de se usar os recursos financeiros disponveis, demonstrando sua eficincia e o enorme potencial quando corretamente utilizada. Pretendo tambm demonstrar as dificuldades encontradas na criao e aplicao de filtros a fim de se minimizar falsos positivos nos trfegos indesejveis dentro desta rede, pois a enorme variedade de tecnologias de comunicao (hardwares), o astronmico volume de informao que podemos estar monitorando e a quantidade de pessoas e departamentos da empresa em questo que podem estar, de alguma maneira, envolvidos torna esta tarefa, aparentemente simples, uma enorme dor de cabea para o administrador da rede.

Esta dissertao aborda o desafio de se tratar a grande variedades de informaes, as diferentes situaes em diferentes departamentos que podemos encontrar, eles so numerosos, porque os sistemas de informao de hoje no foram construdos com os requisitos de segurana desde seu incio, o desafio de se administrar tudo isto quando pessoas envolvidas esto despreparadas ou resistentes a sua aplicao, pois muitas vezes tais filtros de trfegos podem de alguma forma estar dificultando o desempenho de suas funes.

Palavras-chave: Snort, MySQL, Apache, PHP, ACID, IDS, HIDS, IPS, Vulnerabilidade, Segurana de rede, Servidores;

ABSTRACT

This research aims to demonstrate the use of technical protection (hardening) in Windows and Linux network servers, using an Open Source tool, with the aim of reducing the risks of the information contained on these servers. The current situation of organizations regarding the vulnerability of information on their networks, especially when looking at the huge growth and the speed at which it happens, the astronomical increase in the use of tools to try to block traffic for malicious or potentially inconsistent with the interests organizational performed by its employees.

Also shows that the use of protection software, the type Open Source, is a clever way to use

the available financial resources, demonstrating its efficiency and great potential when used correctly. I also intend to demonstrate the difficulties in creating and applying filters in order to minimize false positives in undesirable traffic within this network because the huge variety of communication technologies (hardware), the astronomical amount of information that can be monitoring the amount of people and departments of the company in question that may be involved somehow makes this seemingly simple task, a huge headache for the network administrator.

This paper addresses the challenge of addressing the huge variety of information, the different situations in different departments we can see, they are numerous, because the information systems of today were not built with security requirements since its inception, the challenge of administering all this when people involved are unprepared or resistance to its application as it often trades such filters can somehow be hindering the performance of their duties.

Keywords: Snort, MySQL, Apache, PHP, ACID IDS, HIDS, IPS, Vulnerability, Network Security, Servers;

LISTA DE FIGURAS

Figura 1. Anatomia de um ataque3 29

Figura 2. Rede rodando Snort e MySQL 37 Figura 3. Rede bsica IDS 38

Figura 4. Logotipo do Snort12

40

Figura 5. Funcionamento esquemtico do Snort 45

Figura 6. Layout da rede de testes do Snort no Windows 47

Figura 7. Execuo de varredura de portas com Nmap no Windows 49

Figura 8. Layout fsico da rede de teste Snort com Linux 51

Figura 9. Topologia da rede de testes NIDS x HIDS 56

Figura 10. Grfico do relatrio de captura NIDS x HIDS 60

Figura 11. Relatrio de captura da varredura Nmap na pgina do ACID 61

Figura b1. Teste de execuo do Apache, exibio da configurao do Php 72

Figura b2. Pagina ACID, forma de criao de tabelas MySQL pelo ACID 82 Figura b3. Aparncia da pgina do ACID aps a instalao 83

LISTA DE TABELAS

Tabela 1. Opes de configurao no monitoramento do Snort 43

Tabela 2. Consultando a numerao de portas de rede no Windows 47

Tabela 3. Relatrio de monitorao resumido no Snort com o Windows 48

Tabela 4. Relatrio de captura de pacotes de rede pelo Snort com o Windows 49

Tabela 5. Relatrio de captura via console do Snort no Linux 52

Tabela 6. Relatrio de captura de pacotes icmp pelo Snort 53

Tabela 7. Relatrio comparativo de captura de pacotes ICMP (NIDS x HIDS) 57 Tabela 8. Comparativo do relatrio de captura de pacotes Nmap (NIDS x

HIDS) 58

Tabela a1. Editando arquivo de configurao do Snort 67

Tabela a2. Criao do arquivo Whitelist.rule do Snort 69

LISTA DE ABREVIATURAS

ABNT Associao Brasileira de Normas tcnicas

AIX Sistema operacional

CID Confidencialidade, Integridade, Disponibilidade

DDoS Distributed Denial-Of-Service

DNS Domain Name System

HIDS Host-based Intrusion Detection System

HP-UX Sistema operacional

ICMP Internet Control Message Protocol

IDS Intrusion Detection System

IP Internet Protocol

NIDS Network Intrusion Detection System

RAM Randon Access Memory

TCP Transmission Control Protocol

UDP User Datagram Protocol

VPN Virtual Private Network

SUMRIO

RESUMO...................................................................................................................................7 ABSTRACT...............................................................................................................................8 LISTA DE FIGURAS...............................................................................................................9 LISTA DE TABELAS............................................................................................................10 LISTA DE ABREVIATURAS..........................