Professor Conteudista: Dailson de Oliveira Fernandes

PERNAMBUCO, 2010.

2

CONTEÚDO PROGRAMÁTICO

4. Ferramentas de Proteção (Continuação)

4.1 Firewall – Uma visão mais aprofundada

4.2 Primeira Geração (Filtros de Pacotes)

4.2.1 Regras Típicas na Primeira Geração

4.3 Segunda Geração (Filtros de Estado de Sessão)

4.3.1 Regras Típicas na Segunda Geração

4.4 Terceira Geração (Gateway de Aplicação - OSI)

4.4.1 Regras Típicas na Terceira Geração

4.5 Quarta Geração e subseqüentes

4.6 Proxy

4.7 Firewall + Proxy (Proxywall) ou Gateways de Aplicação

4.8 Detecção de Intrusão

4.8.1 IDS

4.8.1.1 IDS baseados em Redes

4.8.1.2 IDS Distribuídos

4.8.2 IPS – Intrusion Prevention System

4.8.3 Como funcionam os Sistemas de Detecção de Intrusão

3

INTRODUÇÃO

Olá pessoal!

Na semana passada, começamos a abordar as ferramentas de proteção a

sistemas computacionais. Já foram citadas as seguintes ferramentas:

• Antivírus

• Firewall Pessoal

• Antispyware

• Antispam

• Antiphishing

• Antikeylogger

Na parte anterior deste fascículo, tratamos de segurança de computadores

domésticos. Neste capítulo, vamos ter um olhar um pouco mais complexo e

generalista da proteção, pois iremos tratar sobre segurança de redes de

computadores, ferramentas de proteção de perímetro de redes, criação de zonas

seguras de acesso, isolamento de redes locais e melhores práticas de segurança em

ambientes corporativos. Iremos estudar sobre as seguintes ferramentas:

Proxy

Firewall + Proxy (Proxywall)

IDS – Intrusion Detection System

IPS – Intrusion Prevent System

Ao final desta semana você será capaz de:

• Conhecer a área de atuação de cada ferramenta;

• Identificar e aplicar as ferramentas de acordo com cada situação;

• Instalar e usar algumas destas ferramentas;

Sempre Seguro! E... Boa leitura!

4

4. FERRAMENTAS DE PROTEÇÃO (CONTINUAÇÃO)

A partir deste momento, iremos tratar de segurança de perímetro de rede, ou seja,

ferramentas que estão a margem da nossa rede, de “frente” com a Internet.

Geralmente quando estamos em rede local, estamos acessando a internet através de

outras máquinas que nos garante este recurso compartilhando a conexão, criando

regras de proteção e garantindo a estabilidade do serviço. Estas máquinas fazem um

trabalho transparente, porém fundamental. Caso algumas dessas máquinas do

perímetro parar de funcionar, imediatamente perdemos acessos a recursos como o de

visitar páginas, ver e-mails, conversar no MSN e ler o fascículo do curso.

Na figura abaixo, apresentamos um diagrama muito utilizado em redes

corporativas. Note a LAN (Rede Local) onde os usuários e funcionários de uma

empresa estão trabalhando, porém existe um perímetro de rede que fisicamente

podem não estar no mesmo local onde o funcionário está trabalhando, porém

logicamente fazem parte da mesma rede corporativa. Veja também a presença de uma

DMZ (Zona de Rede Desmilitarizada) onde tem os serviços que utilizamos como e-

mail e FTP. Note que o firewall está à frente destas zonas de rede, cuidando

justamente do “Perímetro”. Note a posição estratégica dele. Ele está a frente da LAN e

atrás da Internet, cabendo a ele estabelecer regras de acesso tanto da Internet para a

Rede Local e DMZ, quanto da Rede Local e DMZ para a Internet. Note também que

essa rede tem uma redundância de links de internet, provendo assim a conexão o

tempo todo. Caso um link pare de funcionar, o outro supre a falta. Este tipo de técnica

se chama “Tolerância a Falha”.

Fonte: Mattia Gentilini

5

Saiba mais:

DMZ, em segurança da informação, é a sigla para de DeMilitarized Zone ou

"zona desmilitarizada", em português. Também conhecida como Rede de Perímetro, a

DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável,

geralmente entre a rede local e a Internet.

A função de uma DMZ é manter todos os serviços que possuem acesso

externo (tais como servidores HTTP, FTP, de correio eletrônico, etc.) separados da

rede local, limitando assim o potencial dano em caso de comprometimento de algum

destes serviços por um invasor. Para atingir este objetivo os computadores presentes

em uma DMZ não devem conter nenhuma forma de acesso à rede local.

A configuração é realizada através do uso de equipamentos de Firewall, que

vão realizar o controle de acesso entre a rede local, a internet e a DMZ (ou, em um

modelo genérico, entre as duas redes a serem separadas e a DMZ). Os equipamentos

na DMZ podem estar em um switch dedicado ou compartilhar um switch da rede,

porém neste último caso devem ser configuradas Redes Virtuais distintas dentro do

equipamento, também chamadas de VLANs – Virtual LAN (Ou seja, redes diferentes

que não se "enxergam" dentro de uma mesma rede - LAN).

O termo possui uma origem militar, significando a área existente para separar

dois territórios inimigos em uma região de conflito. Isto é utilizado, por exemplo, para

separar as Coréias do Norte e do Sul.

Fim do boxe

4.1 Firewall – Uma visão mais aprofundada

Os sistemas firewall nasceram no final dos anos 80, fruto da necessidade de criar

restrição de acesso entre as redes existentes. Nesta época a expansão das redes

acadêmicas e militares, que culminou com a formação da ARPANET e,

posteriormente, a Internet e a popularização dos primeiros computadores tornou-se

um prato cheio para a emergente comunidade hacker. Casos de invasões de redes, de

acessos indevidos a sistemas e de fraudes em sistemas de telefonia começaram a

surgir, e foram retratados no filme Jogos de Guerra ("War Games"), de 1983. Em 1988,

administradores de rede identificaram o que se tornou a primeira grande infestação de

vírus de computador e que ficou conhecido como Internet Worm. Em menos de 24

horas, o worm escrito por Robert T. Morris Jr disseminou-se por todos os sistemas da

então existente Internet (formado exclusivamente por redes de ensino e

6

governamentais), provocando um verdadeiro "apagão" na rede. Conheça agora a

evolução dos sistemas de Firewall.

4.2 Primeira Geração (Filtros de Pacotes)

• O modelo tratava-se de um filtro de pacotes responsável pela avaliação de

pacotes do conjunto de protocolos TCP/IP;

• Apesar do principal protocolo de transporte TCP orientar-se a um estado de

conexões, o filtro de pacotes não tinha este objetivo inicialmente (uma

possível vulnerabilidade).

4.2.1 Regras Típicas na Primeira Geração

• Restringir tráfego baseado no endereço IP de origem ou destino;

• Restringir tráfego através da porta (TCP ou UDP) do serviço.

Saiba mais:

Uma conexão de rede é regida por estados. Existem três estados possíveis

para uma conexão:

NEW: Novas conexões

ESTABLISHED: Conexões já estabelecidas

RELATED: Conexões relacionadas a outras existentes.

Exemplo: Quando você acessa o site da SECTMA, você está iniciando uma

conexão da sua máquina com o servidor Web onde está hospedado o site (NEW),

quando o servidor responde, ele estabelece a comunicação (ESTABLISHED) e os

dados que trafegam durante toda a conexão são dados relacionados a ela

(RELATED).

Um firewall que conhece esses estados é chamado de StateFul, pois ele pode

limitar e/ou liberar quaisquer desses estados.

Você quando acessa o site da SECTMA da rede local do telecentro, o firewall permite

que novas conexões sejam geradas no sentido LAN � WAN, porém se o site da

SECTMA tentar sozinho aparecer no seu browser sem a sua requisição, será barrado,

pois o firewall não aceita novas conexões no sentido WAN � LAN, ele só aceita

7

estados ESTABLISHED e RELATED nesse sentido.

Em uma configuração básica de um firewall Stateful é permitido novas

conexões (NEW) no sentido LAN � WAN, e só se permite conexões WAN � LAN que

tenham o estado ESTABLHISHED e RELATED.

Fim do Boxe

4.3 Segunda Geração (Filtros de Estado de Sessão)

• Pelo fato de o principal protocolo de transporte TCP orientar-se por uma tabela

de estado nas conexões, os filtros de pacotes não eram suficientemente

efetivos se não observassem estas características;

• Foram chamados também de firewall de circuito.

4.3.1 Regras Típicas na Segunda Geração

• Todas as regras da 1.ª Geração;

• Restringir o tráfego para início de conexões (NEW);

• Restringir o tráfego de pacotes que não tenham sido iniciados a partir da rede

protegida (ESTABLISHED);

• Restringir o tráfego de pacotes que não tenham número de seqüência corretos.

4.4 Terceira Geração (Gateway de Aplicação - OSI)

• Também são conhecidos como "Firewall de Aplicação" ou "Firewall Proxy";

• Não confundir com o conceito atual de “Firewall de Aplicação” firewalls de

camada de Aplicação eram conhecidos desta forma por implementarem o

conceito de Proxy e de controle de acesso em um único dispositivo (o Proxy

Firewall), ou seja, um sistema capaz de receber uma conexão, decodificar

protocolos na camada de aplicação e interceptar a comunicação entre

cliente/servidor para aplicar regras de acesso;

8

4.4.1 Regras Típicas na Terceira Geração

• Todas as regras das gerações anteriores;

• Restringir acesso FTP a usuários anônimos;

• Restringir acesso HTTP para portais de entretenimento;

• Restringir acesso a protocolos desconhecidos na porta 443 (HTTP/HTTPS).

4.5 Quarta Geração e subseqüentes

• O firewall consolida-se como uma solução comercial para redes de

comunicação TCP/IP;

• Stateful Inspection para inspecionar pacotes e tráfego de dados baseado nas

características de cada aplicação, nas informações associadas a todas as

camadas do modelo OSI (e não apenas na camada de rede ou de aplicação) e

no estado das conexões e sessões ativas;

• Prevenção de Intrusão para fins de identificar o abuso do protocolo TCP/IP

mesmo em conexões aparentemente legítimas;

• Deep Packet Inspection associando as funcionalidades do Stateful Inspection

com as técnicas dos dispositivos IPS. Ou seja, além de controlar o estado da

conexão, o firewall é capaz de ler conteúdo dos pacotes.

• A partir do início dos anos 2000, a tecnologia de Firewall foi aperfeiçoada para

ser aplicada também em estações de trabalho e computadores domésticos (o

chamado "Firewall Pessoal"), além do surgimento de soluções de firewall

dedicado a servidores e aplicações específicas (como servidores Web e banco

de dados).

4.6 Proxy

Proxy é um servidor que atende a requisições repassando os dados do cliente a

frente. Um usuário (cliente) conecta-se a um servidor proxy, requisitando algum

serviço, como um arquivo, conexão, website, ou outro recurso disponível em outro

servidor.

Um servidor proxy pode, opcionalmente, alterar a requisição do cliente ou a

resposta do servidor e, algumas vezes, pode disponibilizar este recurso sem nem

mesmo se conectar ao servidor especificado. Pode também atuar como um servidor

que armazena dados em forma de cache em redes de computadores. São instalados

em máquinas com ligações tipicamente superiores às dos clientes e com poder de

armazenamento elevado.

9

Esses servidores têm uma série de usos, como filtrar conteúdo, providenciar

anonimato, entre outros.

Um HTTP caching proxy, por exemplo, permite que o cliente requisite um

documento na World Wide Web e o proxy procura pelo documento em seu cache. Se

encontrado, o documento é retornado imediatamente. Caso contrário, o proxy busca o

documento no servidor remoto, entrega-o ao cliente e salva uma cópia no seu cache.

Isso permite uma diminuição na latência, já que o servidor proxy, e não o servidor

original, é acessado, proporcionando ainda uma redução do uso de banda.

Veja na figura abaixo o funcionamento básico de um Proxy. As estações de uma

rede local com IP de rede local (inválidos na internet) acessando a internet através de

uma única máquina, o Proxy.

Fonte: linux-tip.net

Saiba mais:

Cache é um dispositivo de acesso rápido, interno a um sistema, que serve de

intermediário entre um operador de um processo e o dispositivo de armazenamento ao

qual esse operador acesse. Podemos e devemos utilizar um Cache para melhorar a

navegação na internet em uma empresa ou em redes locais. Pois a função é

armazenar temporariamente arquivos e páginas acessadas em uma máquina, fazendo

com que o próximo cliente que for acessar a mesma página ou arquivo não vá

novamente à internet buscar a informação mas sim na rede local que é bem mais

10

rápido. Exemplo: imagine que você acabou de acessar o site da SECTMA e baixou

mais um fascículo para ler. O seu colega que chegar depois de você, quando for

solicitar o mesmo arquivo, o cache que está na sua rede local, já terá este arquivo,

não sendo mais necessário o download dos computadores da SECTMA que ficam na

capital, dando a impressão de super velocidade, porém sabemos que isso é apenas

um artifício. Este exemplo serve para sites, fotos, músicas e quaisquer outras

informações da internet.

Veja na figura abaixo, uma rede um pouco mais complexa, com dois Proxys, onde

os clientes acessam a internet normalmente. Caso a página já tenha sido acessada

por outro computador, o acesso será a velocidade local, caso ele seja o primeiro, o

acesso será normal a internet.

Fonte: http://www.codeproject.com/KB/aspnet/ExploringCaching.aspx

Fim do Boxe

Latência - é a medida do tempo decorrido entre o início de uma atividade e a sua

conclusão. Seria o atraso do início da requisição de um site até a chegada efetiva no

nosso navegador.

O Surgimento do Proxy

O proxy surgiu da necessidade de conectar uma rede local à Internet através de

um computador da rede que compartilha sua conexão com as demais máquinas. Em

outras palavras, se considerarmos que a rede local é uma rede "interna" e a Internet é

uma rede "externa", podemos dizer que o proxy é que permite outras máquinas terem

acesso externo.

Geralmente, máquinas da rede interna não possuem endereços válidos na

11

Internet e, portanto, não têm uma conexão direta com a Internet. Assim, toda

solicitação de conexão de uma máquina da rede local para um host da Internet é

direcionada ao proxy, este, por sua vez, realiza o contato com o host desejado,

repassando a resposta à solicitação para a máquina da rede local. Por este motivo, é

utilizado o termo proxy para este tipo de serviço, que é traduzido para procurador ou

intermediário. É comum termos o proxy com conexão direta com a Internet.

Mas como Proxy funciona como ferramenta de segurança ?

Geralmente um Proxy é instalado para melhorar o acesso a Internet e também

para compartilhar um link e balancear o uso da banda (velocidade de acesso) a

internet.

O Proxy é um intermediário único entre uma rede local e a Internet e ele permite

que sejam criadas regras de acesso. É possível bloquear acesso a sites por endereço

ou negar palavras ou limitar horários de navegação.

Vejam alguns exemplos possíveis em Proxys:

Negar as seguintes URLs:

www.playboy.com.br

www.jogosonline.com.br

www.superdownloads.com.br

Negar acesso a sites que contenham as palavras:

• Sexo

• Jogos

• pornografia

• pirata

Limitar o horário de navegação a estação do usuário Paulo

• Segunda a Sexta: 08:00 as 12:00hs

• Sábados e Domingos – Proibido

Proibir downloads de Arquivos do tipo:

• Música - mp3, wma, wav, cda...

• Filmes - mp4, avi, mpeg, mpg, mov, flv ...

• Programas – exe, com, Bin...

12

• Imagens de CDs e DVDs - ISO, CUE, DAA, BIN

Limitar acesso a sites pessoais em determinados horários:

O Usuário poderá ler seus emails pessoais na hora do almoço:

• Acesso a hotmail, bol, gmail, Yahoo... 12:00 as 14:00hs

Além dessas características, o Proxy tem a habilidade de logar (fazer logs) de

todos os sites acessados, arquivos baixados e arquivos enviados.

Estas habilidades tornam o Proxy uma ferramenta de proteção de perímetro de

rede.

No mundo do Software Livre, o Proxy mais conhecido é o Squid –

http://www.squid-cache.org, se você quiser conhecer alguns em plataforma

Windows, sugiro o ISA Server da Própria Microsoft. Existem algumas alternativas

gratuitas como o Analogx – http://www.analogx.com

4.7 Firewall + Proxy (ProxyWall) ou Gateways de Aplicação

Os conceitos de gateways de aplicação (application-level gateways) e "bastion

hosts" foram introduzidos por Marcus Ranum em 1995. Trabalhando como uma

espécie de eclusa (vide figura abaixo), o firewall de proxy trabalha recebendo o fluxo

de conexão, tratando as requisições como se fossem uma aplicação e originando um

novo pedido sob a responsabilidade do mesmo firewall para o servidor de destino. A

resposta para o pedido é recebida pelo firewall e analisada antes de ser entregue para

o solicitante original.

Os gateways de aplicações conectam as redes corporativas à Internet através de

estações seguras (chamadas de bastion hosts) rodando aplicativos especializados

para tratar e filtrar os dados (os proxy firewalls). Estes gateways, ao receberem as

requisições de acesso dos usuários e realizarem uma segunda conexão externa para

receber estes dados, acabam por esconder a identidade dos usuários nestas

requisições externas, oferecendo uma proteção adicional contra a ação dos crackers.

13

As Eclusas do Canal do Panamá. Só é possível passar, quando elas estão abertas. O mesmo

acontece com um Firewall Proxy ou Proxywall.

Fonte: Mattia Gentilini

Arqutietura com uso de Bastion Host. Máquina que fica na área de choque com a internet. Funciona

como uma eclusa e faz a filtragens de pacotes TCP/IP, restrições de acesso, pode ser usada com proxy e

compartilhamento de banda.

Fonte: Mattia Gentilini

Note que o ProxyWall ou Firewall Proxy ou ainda Gateway de Aplicação, está

instalado em uma única máquina e provê os dois papéis podendo ainda trabalhar

como cache. Observe também uma estrutura um pouco mais elaborada, contendo

duas redes locais isoladas, uma rede sem fio (Wireless) e a presença da Zona

Desmilitarizada (DMZ).

14

Fonte: Mattia Gentilini

Saiba mais:

Existe algumas correntes na área de Segurança da Informação que diz que

concentrar vários serviços em uma só máquina é potencializar os riscos de segurança.

Neste caso o proxywall não é uma boa alternativa segundo esse grupo. O Ideal seria

colocar um Firewall de frente com a Internet e logo atrás uma máquina fazendo a

função de Proxy. Essa tendência continua em relação a outros serviços como IPS e

IDS. Cada um em um hardware específico ou em máquinas virtualizadas.

Fim do boxe

4.8 Detecção de Intrusão

“Provavelmente muitas pessoas já devem ter ouvido falar sobre a detecção de

intrusão, mas geralmente não compreendem porque precisam utilizá-la em seu

sistema. Sem a detecção de intrusão, muitos ataques podem acontecer sem que

sejam percebidos. Assim como não é possível obter informações sobre ataques que

ocorrem de forma bem-sucedida, não é possível obter informações suficientes para

poder prevenir um novo ataque” (SANTOS, 2005).

A partir deste ponto iremos tratar de duas ferramentas de segurança que tem a

função de barrar ou detectar ataques que não são percebidos por um firewall,

antivírus, antispyware ou outra ferramenta desse gênero. São ataques mais

elaborados do tipo SQL Injection ou DNS Poisoning. O firewall não trata de texto

passado via URLs no browser nem pacotes TCP que contenham informações

maliciosas. Neste cenário entram os Sistemas de Detecção de Intruso: IDS e IPS.

15

4.8.1 IDS

Sistema de detecção de intrusos ou simplesmente IDS (em inglês: Intrusion

detection system) refere-se a meios técnicos de descobrir em uma rede quando esta

está tendo acessos não autorizados que podem indicar a ação de um cracker ou até

mesmo funcionários mal intencionados.

Com o acentuado crescimento das tecnologias de infra-estrutura tanto nos

serviços quanto nos protocolos de rede torna-se cada vez mais difícil a implantação de

sistema de detecção de intrusos. Esse fato está intimamente ligado não somente a

velocidade com que as tecnologias avançam, mas principalmente com a complexidade

dos meios que são utilizados para aumentar a segurança nas transmissões de dados.

Uma solução bastante discutida é a utilização de host-based IDS (HIDS) que

analisam o tráfego de forma individual em uma rede. No host-based o IDS é instalado

em um servidor para alertar e identificar ataques e tentativas de acessos indevidos à

própria máquina.

Note que na arquitetura HIDS, cada máquina tem um IDS instalado de modo separado.

Fonte: Ryan Russel (2003)

4.8.1.1 IDS baseados em Redes

Os IDS baseados em rede (NIDS – Network IDS) são os mais utilizados. Este

tipo de IDS consegue monitorar o tráfego de uma rede inteira, sendo mais abrangente

que o HIDS. A arquitetura NIDS combina máquinas que hospedam sensores IDS que

farão a captura de dados e uma estação dedicada em realizar o gerenciamento das

informações coletadas pelos sensores, possuindo, de acordo com a ferramenta

16

utilizada, geração de logs, interfaces gráficas entre outros suportes. Desta forma,

poucos IDSs instalados podem monitorar uma grande rede e não interferir no seu

desempenho. Por outro lado, podem ter dificuldades em analisar todos os pacotes

numa rede grande ou sobrecarregada em períodos de tráfego intenso. Outro ponto

importante é que os IDSs baseados em rede não podem analisar informações

criptografadas.

Note que na arquitetura NIDS, o IDS fica cuidando do perímetro da rede Fonte: Ryan Russel (2003)

4.8.1.2 IDS Distribuídos

O DIDS (Distributed IDS) funciona em uma arquitetura cliente/servidor. Os

sensores de detecção do NIDS ficam em locais distantes e se reportam a uma estação

de gerenciamento centralizada. O upload dos logs de ataque é feito periodicamente na

estação de gerenciamento e eles podem ser armazenados em um banco de dados

central; o download de novas assinaturas de ataque pode ser feito nos sensores, de

acordo com a necessidade. As regras de cada sensor podem ser personalizadas para

atender às suas necessidades individuais. Os alertas podem ser encaminhados para

um sistema de troca de mensagens localizados na estação de gerenciamento e

usados para notificar o administrador do IDS. A Figura abaixo mostra um esquema de

quatro sensores e uma estação de gerenciamento centralizada. “Os sensores NIDS 1

e NIDS 2 estão operando em modo promíscuo e secreto e estão protegendo os

servidores públicos. Os sensores NIDS 3 e NIDS 4 estão protegendo os sistemas

host”. (OLIVEIRA, 2004).

17

Um sistema DIDS pode ser visto também como um sistema híbrido onde

arquiteturas HIDS e NIDS são combinadas, alimentando um sistema central que

gerencia os dados.

Note que na arquitetura DIDS, há uma vários HIDS se comunicando e enviando informações para um nó

mestre, semelhante a uma arquitetura cliente servidor. Fonte: Ryan Russel (2003)

4.8.2 IPS – Intrusion Prevention System

Um sistema de prevenção de intruso (em inglês: Intrusion Prevention System) é

um dispositivo de segurança de rede que monitora o tráfego e/ou atividades dos

sistemas em busca de comportamentos maliciosos ou não desejáveis, em tempo real,

para bloquear ou prevenir essas atividades. Um IPS baseado em rede, por exemplo,

vai operar em linha para monitorar todo o tráfego em busca de códigos maliciosos ou

ataques. Quando um ataque é detectado, é possível bloquear os pacotes danosos

enquanto o tráfego normal continua seu caminho.

Sistema de prevenção de intruso evoluiu no final dos anos noventa para resolver

as ambigüidades no monitoramento de rede passivo ao colocar a detecção em linha.

No começo o IPS era apenas um IDS que possibilitava alguma interação com o

firewall para controlar o acesso. Em pouco tempo foi necessário desenvolver algo mais

robusto, uma vez que, apenas comandar o firewall ainda deixava que ao menos

18

aquele pacote malicioso trafegasse na rede, a solução era implementar formas

inteligentes de bloqueio dentro do IPS. Visto como uma extensão do firewall, o IPS

possibilita decisões de acesso baseadas no conteúdo da aplicação, e não apenas no

endereço IP ou em portas como os firewalls tradicionais trabalham. Entretanto, nada

impede que para otimizar a performance muitos IPS utilizem regras baseadas em

portas e endereço IP.

O IPS também pode servir secundariamente como um serviço de nível de host,

prevenindo atividades potencialmente maliciosas. Existem vantagens e desvantagens

entre o IPS baseado em host e o IPS baseado em rede. Em alguns casos, as

tecnologias podem ser complementares. Porém, não se pode esquecer que muita da

tecnologia de IPS de rede evoluiu e hoje pode tranqüilamente exercer também as

funções de host (instalado em uma única máquina).

A qualidade de um sistema de prevenção de intruso está em ser um excelente

detector de tráfego malicioso com uma média de falso positivo e falso negativa baixa.

Saiba mais:

Falso positivo: é quando o IPS/IDS se engana e classifica como um tráfego

malicioso uma ação normal do sistema.

Falso negativo: ocorre quando o IPS/IDS não acusa o tráfego malicioso e o deixa

passar normalmente como dados normais.

Fim do boxe

4.8.3 Como funcionam os Sistemas de Detecção de Intrusão

A invasão de um sistema é um ato de entrar em um perímetro de rede sem

acesso autorizado, seja ele para danificar informações e serviços ou capturá-las.

Os Sistemas de Detecção de Intrusão e os Sistemas de Prevenção de Intrusão

devem estar aptos para perceber e reagir aos ataques intrusivos e não intrusivos em

um determinado perímetro da rede. Os IPS e IDS devem estar sinalizando

principalmente aos ataques intrusivos, para que eles não ocorram, ou se ocorrerem,

sejam gerados alertas para que imediatamente providências sejam tomadas e os

efeitos minimizados. A competência de não deixar que uma intrusão ocorra é da

alçada de um IPS, a de alertar é do IDS, porém os sistemas hoje que trabalham com

prevenção e negação da intrusão tem cada vez mais fundido este conceito se

tornando como uma só ferramenta, que dependendo do perfil de configuração poderá

se comportar de uma forma ou de outra, ou ainda atuando em paralelo como IPS e

IDS, porém, conceitualmente os IDS deveriam detectar a invasão e gerarem

19

alertas identificando que um ataque está acontecendo naquele determinado

momento e esperar que outras ferramentas, que trabalham em paralelo com ele,

façam o trabalho de negar o ataque ou ainda aprender sobre ele. Já o IPS teria o

foco principal de negar a intrusão na entrada principal da rede, podendo ainda

juntamente com ação de negar, ter a característica de gerar alerta. O IPS não precisa

de ferramentas adicionais para negar um ataque, ele em sua arquitetura já traz

internamente estas características.

“O modo mais simples de definir um IDS seria descrevê-

lo como uma ferramenta capaz de inspecionar o payload

(conteúdo) dos pacotes a procura correspondências de

ataques. Além desta característica, um IDS tem a capacidade

de ler e interpretar o conteúdo de arquivos de logs de

roteadores, firewalls, servidores e outros dispositivos de rede.”

(SANTOS, 2005).

A frase acima é em relação aos dados que tem no pacote em comparação com

um arquivo de assinaturas de ataque que o IDS tem em seus arquivos.

A condição básica para um IDS é que ele possa escutar todo o tráfego da rede,

não só endereçado a rede local ou internet, mas qualquer dado que trafegue por

aquele perímetro. Para ter tal característica, é necessário que a placa de rede se

coloque em modo promíscuo e a partir daí passar para os dispositivos internos do

sistema IDS para que o tráfego possa ser tratado.

Demonstração do fluxo de dados e condição para capturá-lo

com uma Interface de Rede em Modo Promíscuo

Fonte: Adaptado de Ryan Russel (2003)

Saiba mais:

Modo Promíscuo: em relação à Ethernet, é um tipo de configuração de

recepção na qual todos os pacotes que trafegam pelo segmento de rede ao qual o

receptor está conectado são recebidos pelo mesmo, não recebendo apenas os

pacotes endereçados ao próprio. Uma importante aplicação para esta configuração

20

são os sniffers. Vários sistemas operacionais exigem privilégios de administração para

ativar o modo promíscuo da rede.

Fim do Boxe

Existem programas que utilizam essa técnica para mostrar os dados sendo

trafegados pela rede. Alguns protocolos como FTP e Telnet transferem conteúdo e

senhas em modo texto, sem criptografia, sendo possível assim capturar tais dados em

modo promíscuo a partir de outros computadores. Programas como o TCPDUMP e o

WIRESHARK usam o modo promíscuo para poder capturar todo o tráfego de rede.

Hoje no mundo do software podemos citar a marca líder do mercado de IDS que é

o SNORT, que você encontrará mais informações no site http://www.snort.org/ . O

Snort é Open Source e é gratuito.

Símbolo do Snort

Fonte: Eriberto Mota

No mercado de IPS, cito um software nacional que também é o HLBR – Hogwash

Light Brasil. Para conhecer melhor a área de atuação destas ferramentas, sugiro a

leitura complementar deste tutorial que além de imagens, trás vídeos sobre a

ferramenta:

http://www.dailson.com.br/2007/09/tutorial-de-instalao-do-ips-hlbr.html

Símbolo do HLBR

Fonte: Eriberto Mota

Saiba Mais:

Existem hoje soluções que são vendidas em forma de appliance. É possível

adquirir no mercado hoje aparelhos que reúnem todo tipo de solução em uma única

peça. Existem appliance que são Firewall, antivírus, Antispam, Proxy, IDS, IPS e uma

21

série de outras ferramentas de forma fácil e segura.

Existe uma solução brasileira chamada BRMA Vá ao site e conheça todos os

recursos através de uma documentação vasta e bem ilustrada. Não deixe de fazer

esta leitura complementar:

http://www.brc.com.br/

Fim do Boxe

22

RESUMO DMZ (Zona Desmilitarizada) é a área de uma rede local que é destinada para acesso

público. Geralmente é uma rede separada fisicamente e logicamente da rede local de

uma empresa.

Um Firewall ou Proxy ou ainda um Proxywall pode criar e gerar perímetros de rede.

Pode-se e deve separar a LAN da DMZ.

Atualmente nos encontramos na 4ª geração de firewalls.

Hoje os firewall é capaz de reconhecer os estados da conexão.

Os estados da conexão são: NEW, ESTABLISHED e RELATED.

NEW: Novas conexões

ESTABLISHED: Conexões já estabelecidas

RELATED: Conexões relacionadas a outras existentes.

Um firewall que conhece esses estados é chamado de StateFul, pois ele pode limitar

e/ou liberar quaisquer desses estados.

Proxy é um servidor que atende a requisições repassando os dados do cliente a

frente.

Um proxy pode também ter a função de cache.

A função de um cache é de acelerar a navegação armazenando itens que são

comumente acessados.

O Proxy funciona também como uma ferramenta de segurança, pois ele é capaz de

criar ACLs – Lista de Controle de Acessos.

O Cache mais conhecido do mundo do software livre é o Squid.

ProxyWall é a junção de um filtro de pacotes (firewall) com um proxy na mesma

máquina.

Um ProxyWall é também conhecido com Gateway de Aplicação.

Devemos evitar diversos serviços de segurança na mesma máquina. Isto é totalmente

condenável.

Um firewall não é capaz de detectar tentativas de intrusão. Para isso existem

ferramentas como IPS e IDS.

IDS - Sistema de detecção de intrusos refere-se a meios técnicos de descobrir em

uma rede quando esta está tendo acessos não autorizados que podem indicar a ação

de um cracker ou até mesmo funcionários mal intencionados.

Existem basicamente 3 tipos de IDS: HIDS, NIDS e DIDS.

Os HIDS – Host IDS são os sistemas de detecção de intruso que são instalados em

uma única máquina. (host)

Os NIDS - Network IDS são os sistemas de detecção de intruso que são instalados no

23

perímetro da rede.

Os DIDS - Distributed IDS são os sistemas de detecção de intruso que são instalados

na arquitetura cliente/servidor.

Outra categoria de IDS são os IPS.

O IPS – Sistemas de Prevenção de Intruso é um dispositivo de segurança de rede que

monitora o tráfego e/ou atividades dos sistema em busca de comportamentos

maliciosos ou não desejáveis, em tempo real, para bloquear ou prevenir essas

atividades.

A grande diferença de um IDS para um IPS é que o IDS monitora e alerta o

administrador de uma eventual invasão. O IPS avisa e nega a invasão.

A competência de não deixar que uma intrusão ocorra é da alçada de um IPS, a de

alertar é do IDS.

OS IDS e IPS trabalham com a placa de rede em modo promíscuo.

Uma placa de rede quando está em modo promíscuo “escuta” todo o tráfego da rede

destinado a ela ou não.

Falso positivo: é quando o IPS/IDS se engana e classifica como um tráfego malicioso

uma ação normal do sistema.

Falso negativo: ocorre quando o IPS/IDS não acusa o tráfego malicioso e o deixa

passar normalmente como dados normais.

Um excelente IDS gratuito é o SNORT.

Um excelente IPS gratuito é o HLBR.

24

Referências bibliográficas: Partes dos Textos deste capítulo tem os seguintes créditos: “Texto extraído da Cartilha de Segurança para Internet, desenvolvida pelo CERT.br, mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br/”

Sites visitados

http://hlbr.sf.net

http://www.dailson.com.br

Santos, Bruno. Detecção de intrusos utilizando o Snort. Monografia de Pós-Graduação. Monografia - Universidade Federal de Lavras, Lavras - MG, 2005.

Cartilha de Segurança da Internet, http://nic.br , http://cert.br e http://cartilha.cert.br Northcutt, Stephen; Zeltser, Lenny; Winters, Scott; [et al]. “Desvendando segurança em redes: o guia definitivo para fortificação de perímetros de redes usando firewalls, VPNs, roteadores e sistemas de detecção de invasores”. Rio de Janeiro: Campus, 2002. Ned, Frank “Ferramentas de IDS” – Rede Nacional de Ensino e Pesquisa (RNP) 17 de Setembro de 1999, Vol 3, Nº 5. Russel, Beale, Foster, Posluns, Caswell; [et al]. – “Snort Intrusion Detection –

Everything You Need to Know to Defend Your Company”. Syngress, 2003.

Schulter, Alexandre - “Integração de Sistemas de Detecção de Intrusão para Segurança de Grades Computacionais” – Monografia. Universidade Federal de Santa Catarina, 2006.

Andrade de Oliveira, Rodrigo – “Desenvolvimento de uma Estrutura de Resposta Ativa Utilizando o IDS Snort” – Faculdade de Informática Presidente Prudente, 2004.