Professor Conteudista: Dailson de Oliveira Fernandes
PERNAMBUCO, 2010.
2
CONTEÚDO PROGRAMÁTICO
4. Ferramentas de Proteção (Continuação)
4.1 Firewall – Uma visão mais aprofundada
4.2 Primeira Geração (Filtros de Pacotes)
4.2.1 Regras Típicas na Primeira Geração
4.3 Segunda Geração (Filtros de Estado de Sessão)
4.3.1 Regras Típicas na Segunda Geração
4.4 Terceira Geração (Gateway de Aplicação - OSI)
4.4.1 Regras Típicas na Terceira Geração
4.5 Quarta Geração e subseqüentes
4.6 Proxy
4.7 Firewall + Proxy (Proxywall) ou Gateways de Aplicação
4.8 Detecção de Intrusão
4.8.1 IDS
4.8.1.1 IDS baseados em Redes
4.8.1.2 IDS Distribuídos
4.8.2 IPS – Intrusion Prevention System
4.8.3 Como funcionam os Sistemas de Detecção de Intrusão
3
INTRODUÇÃO
Olá pessoal!
Na semana passada, começamos a abordar as ferramentas de proteção a
sistemas computacionais. Já foram citadas as seguintes ferramentas:
• Antivírus
• Firewall Pessoal
• Antispyware
• Antispam
• Antiphishing
• Antikeylogger
Na parte anterior deste fascículo, tratamos de segurança de computadores
domésticos. Neste capítulo, vamos ter um olhar um pouco mais complexo e
generalista da proteção, pois iremos tratar sobre segurança de redes de
computadores, ferramentas de proteção de perímetro de redes, criação de zonas
seguras de acesso, isolamento de redes locais e melhores práticas de segurança em
ambientes corporativos. Iremos estudar sobre as seguintes ferramentas:
Proxy
Firewall + Proxy (Proxywall)
IDS – Intrusion Detection System
IPS – Intrusion Prevent System
Ao final desta semana você será capaz de:
• Conhecer a área de atuação de cada ferramenta;
• Identificar e aplicar as ferramentas de acordo com cada situação;
• Instalar e usar algumas destas ferramentas;
Sempre Seguro! E... Boa leitura!
4
4. FERRAMENTAS DE PROTEÇÃO (CONTINUAÇÃO)
A partir deste momento, iremos tratar de segurança de perímetro de rede, ou seja,
ferramentas que estão a margem da nossa rede, de “frente” com a Internet.
Geralmente quando estamos em rede local, estamos acessando a internet através de
outras máquinas que nos garante este recurso compartilhando a conexão, criando
regras de proteção e garantindo a estabilidade do serviço. Estas máquinas fazem um
trabalho transparente, porém fundamental. Caso algumas dessas máquinas do
perímetro parar de funcionar, imediatamente perdemos acessos a recursos como o de
visitar páginas, ver e-mails, conversar no MSN e ler o fascículo do curso.
Na figura abaixo, apresentamos um diagrama muito utilizado em redes
corporativas. Note a LAN (Rede Local) onde os usuários e funcionários de uma
empresa estão trabalhando, porém existe um perímetro de rede que fisicamente
podem não estar no mesmo local onde o funcionário está trabalhando, porém
logicamente fazem parte da mesma rede corporativa. Veja também a presença de uma
DMZ (Zona de Rede Desmilitarizada) onde tem os serviços que utilizamos como e-
mail e FTP. Note que o firewall está à frente destas zonas de rede, cuidando
justamente do “Perímetro”. Note a posição estratégica dele. Ele está a frente da LAN e
atrás da Internet, cabendo a ele estabelecer regras de acesso tanto da Internet para a
Rede Local e DMZ, quanto da Rede Local e DMZ para a Internet. Note também que
essa rede tem uma redundância de links de internet, provendo assim a conexão o
tempo todo. Caso um link pare de funcionar, o outro supre a falta. Este tipo de técnica
se chama “Tolerância a Falha”.
Fonte: Mattia Gentilini
5
Saiba mais:
DMZ, em segurança da informação, é a sigla para de DeMilitarized Zone ou
"zona desmilitarizada", em português. Também conhecida como Rede de Perímetro, a
DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável,
geralmente entre a rede local e a Internet.
A função de uma DMZ é manter todos os serviços que possuem acesso
externo (tais como servidores HTTP, FTP, de correio eletrônico, etc.) separados da
rede local, limitando assim o potencial dano em caso de comprometimento de algum
destes serviços por um invasor. Para atingir este objetivo os computadores presentes
em uma DMZ não devem conter nenhuma forma de acesso à rede local.
A configuração é realizada através do uso de equipamentos de Firewall, que
vão realizar o controle de acesso entre a rede local, a internet e a DMZ (ou, em um
modelo genérico, entre as duas redes a serem separadas e a DMZ). Os equipamentos
na DMZ podem estar em um switch dedicado ou compartilhar um switch da rede,
porém neste último caso devem ser configuradas Redes Virtuais distintas dentro do
equipamento, também chamadas de VLANs – Virtual LAN (Ou seja, redes diferentes
que não se "enxergam" dentro de uma mesma rede - LAN).
O termo possui uma origem militar, significando a área existente para separar
dois territórios inimigos em uma região de conflito. Isto é utilizado, por exemplo, para
separar as Coréias do Norte e do Sul.
Fim do boxe
4.1 Firewall – Uma visão mais aprofundada
Os sistemas firewall nasceram no final dos anos 80, fruto da necessidade de criar
restrição de acesso entre as redes existentes. Nesta época a expansão das redes
acadêmicas e militares, que culminou com a formação da ARPANET e,
posteriormente, a Internet e a popularização dos primeiros computadores tornou-se
um prato cheio para a emergente comunidade hacker. Casos de invasões de redes, de
acessos indevidos a sistemas e de fraudes em sistemas de telefonia começaram a
surgir, e foram retratados no filme Jogos de Guerra ("War Games"), de 1983. Em 1988,
administradores de rede identificaram o que se tornou a primeira grande infestação de
vírus de computador e que ficou conhecido como Internet Worm. Em menos de 24
horas, o worm escrito por Robert T. Morris Jr disseminou-se por todos os sistemas da
então existente Internet (formado exclusivamente por redes de ensino e
6
governamentais), provocando um verdadeiro "apagão" na rede. Conheça agora a
evolução dos sistemas de Firewall.
4.2 Primeira Geração (Filtros de Pacotes)
• O modelo tratava-se de um filtro de pacotes responsável pela avaliação de
pacotes do conjunto de protocolos TCP/IP;
• Apesar do principal protocolo de transporte TCP orientar-se a um estado de
conexões, o filtro de pacotes não tinha este objetivo inicialmente (uma
possível vulnerabilidade).
4.2.1 Regras Típicas na Primeira Geração
• Restringir tráfego baseado no endereço IP de origem ou destino;
• Restringir tráfego através da porta (TCP ou UDP) do serviço.
Saiba mais:
Uma conexão de rede é regida por estados. Existem três estados possíveis
para uma conexão:
NEW: Novas conexões
ESTABLISHED: Conexões já estabelecidas
RELATED: Conexões relacionadas a outras existentes.
Exemplo: Quando você acessa o site da SECTMA, você está iniciando uma
conexão da sua máquina com o servidor Web onde está hospedado o site (NEW),
quando o servidor responde, ele estabelece a comunicação (ESTABLISHED) e os
dados que trafegam durante toda a conexão são dados relacionados a ela
(RELATED).
Um firewall que conhece esses estados é chamado de StateFul, pois ele pode
limitar e/ou liberar quaisquer desses estados.
Você quando acessa o site da SECTMA da rede local do telecentro, o firewall permite
que novas conexões sejam geradas no sentido LAN � WAN, porém se o site da
SECTMA tentar sozinho aparecer no seu browser sem a sua requisição, será barrado,
pois o firewall não aceita novas conexões no sentido WAN � LAN, ele só aceita
7
estados ESTABLISHED e RELATED nesse sentido.
Em uma configuração básica de um firewall Stateful é permitido novas
conexões (NEW) no sentido LAN � WAN, e só se permite conexões WAN � LAN que
tenham o estado ESTABLHISHED e RELATED.
Fim do Boxe
4.3 Segunda Geração (Filtros de Estado de Sessão)
• Pelo fato de o principal protocolo de transporte TCP orientar-se por uma tabela
de estado nas conexões, os filtros de pacotes não eram suficientemente
efetivos se não observassem estas características;
• Foram chamados também de firewall de circuito.
4.3.1 Regras Típicas na Segunda Geração
• Todas as regras da 1.ª Geração;
• Restringir o tráfego para início de conexões (NEW);
• Restringir o tráfego de pacotes que não tenham sido iniciados a partir da rede
protegida (ESTABLISHED);
• Restringir o tráfego de pacotes que não tenham número de seqüência corretos.
4.4 Terceira Geração (Gateway de Aplicação - OSI)
• Também são conhecidos como "Firewall de Aplicação" ou "Firewall Proxy";
• Não confundir com o conceito atual de “Firewall de Aplicação” firewalls de
camada de Aplicação eram conhecidos desta forma por implementarem o
conceito de Proxy e de controle de acesso em um único dispositivo (o Proxy
Firewall), ou seja, um sistema capaz de receber uma conexão, decodificar
protocolos na camada de aplicação e interceptar a comunicação entre
cliente/servidor para aplicar regras de acesso;
8
4.4.1 Regras Típicas na Terceira Geração
• Todas as regras das gerações anteriores;
• Restringir acesso FTP a usuários anônimos;
• Restringir acesso HTTP para portais de entretenimento;
• Restringir acesso a protocolos desconhecidos na porta 443 (HTTP/HTTPS).
4.5 Quarta Geração e subseqüentes
• O firewall consolida-se como uma solução comercial para redes de
comunicação TCP/IP;
• Stateful Inspection para inspecionar pacotes e tráfego de dados baseado nas
características de cada aplicação, nas informações associadas a todas as
camadas do modelo OSI (e não apenas na camada de rede ou de aplicação) e
no estado das conexões e sessões ativas;
• Prevenção de Intrusão para fins de identificar o abuso do protocolo TCP/IP
mesmo em conexões aparentemente legítimas;
• Deep Packet Inspection associando as funcionalidades do Stateful Inspection
com as técnicas dos dispositivos IPS. Ou seja, além de controlar o estado da
conexão, o firewall é capaz de ler conteúdo dos pacotes.
• A partir do início dos anos 2000, a tecnologia de Firewall foi aperfeiçoada para
ser aplicada também em estações de trabalho e computadores domésticos (o
chamado "Firewall Pessoal"), além do surgimento de soluções de firewall
dedicado a servidores e aplicações específicas (como servidores Web e banco
de dados).
4.6 Proxy
Proxy é um servidor que atende a requisições repassando os dados do cliente a
frente. Um usuário (cliente) conecta-se a um servidor proxy, requisitando algum
serviço, como um arquivo, conexão, website, ou outro recurso disponível em outro
servidor.
Um servidor proxy pode, opcionalmente, alterar a requisição do cliente ou a
resposta do servidor e, algumas vezes, pode disponibilizar este recurso sem nem
mesmo se conectar ao servidor especificado. Pode também atuar como um servidor
que armazena dados em forma de cache em redes de computadores. São instalados
em máquinas com ligações tipicamente superiores às dos clientes e com poder de
armazenamento elevado.
9
Esses servidores têm uma série de usos, como filtrar conteúdo, providenciar
anonimato, entre outros.
Um HTTP caching proxy, por exemplo, permite que o cliente requisite um
documento na World Wide Web e o proxy procura pelo documento em seu cache. Se
encontrado, o documento é retornado imediatamente. Caso contrário, o proxy busca o
documento no servidor remoto, entrega-o ao cliente e salva uma cópia no seu cache.
Isso permite uma diminuição na latência, já que o servidor proxy, e não o servidor
original, é acessado, proporcionando ainda uma redução do uso de banda.
Veja na figura abaixo o funcionamento básico de um Proxy. As estações de uma
rede local com IP de rede local (inválidos na internet) acessando a internet através de
uma única máquina, o Proxy.
Fonte: linux-tip.net
Saiba mais:
Cache é um dispositivo de acesso rápido, interno a um sistema, que serve de
intermediário entre um operador de um processo e o dispositivo de armazenamento ao
qual esse operador acesse. Podemos e devemos utilizar um Cache para melhorar a
navegação na internet em uma empresa ou em redes locais. Pois a função é
armazenar temporariamente arquivos e páginas acessadas em uma máquina, fazendo
com que o próximo cliente que for acessar a mesma página ou arquivo não vá
novamente à internet buscar a informação mas sim na rede local que é bem mais
10
rápido. Exemplo: imagine que você acabou de acessar o site da SECTMA e baixou
mais um fascículo para ler. O seu colega que chegar depois de você, quando for
solicitar o mesmo arquivo, o cache que está na sua rede local, já terá este arquivo,
não sendo mais necessário o download dos computadores da SECTMA que ficam na
capital, dando a impressão de super velocidade, porém sabemos que isso é apenas
um artifício. Este exemplo serve para sites, fotos, músicas e quaisquer outras
informações da internet.
Veja na figura abaixo, uma rede um pouco mais complexa, com dois Proxys, onde
os clientes acessam a internet normalmente. Caso a página já tenha sido acessada
por outro computador, o acesso será a velocidade local, caso ele seja o primeiro, o
acesso será normal a internet.
Fonte: http://www.codeproject.com/KB/aspnet/ExploringCaching.aspx
Fim do Boxe
Latência - é a medida do tempo decorrido entre o início de uma atividade e a sua
conclusão. Seria o atraso do início da requisição de um site até a chegada efetiva no
nosso navegador.
O Surgimento do Proxy
O proxy surgiu da necessidade de conectar uma rede local à Internet através de
um computador da rede que compartilha sua conexão com as demais máquinas. Em
outras palavras, se considerarmos que a rede local é uma rede "interna" e a Internet é
uma rede "externa", podemos dizer que o proxy é que permite outras máquinas terem
acesso externo.
Geralmente, máquinas da rede interna não possuem endereços válidos na
11
Internet e, portanto, não têm uma conexão direta com a Internet. Assim, toda
solicitação de conexão de uma máquina da rede local para um host da Internet é
direcionada ao proxy, este, por sua vez, realiza o contato com o host desejado,
repassando a resposta à solicitação para a máquina da rede local. Por este motivo, é
utilizado o termo proxy para este tipo de serviço, que é traduzido para procurador ou
intermediário. É comum termos o proxy com conexão direta com a Internet.
Mas como Proxy funciona como ferramenta de segurança ?
Geralmente um Proxy é instalado para melhorar o acesso a Internet e também
para compartilhar um link e balancear o uso da banda (velocidade de acesso) a
internet.
O Proxy é um intermediário único entre uma rede local e a Internet e ele permite
que sejam criadas regras de acesso. É possível bloquear acesso a sites por endereço
ou negar palavras ou limitar horários de navegação.
Vejam alguns exemplos possíveis em Proxys:
Negar as seguintes URLs:
www.playboy.com.br
www.jogosonline.com.br
www.superdownloads.com.br
Negar acesso a sites que contenham as palavras:
• Sexo
• Jogos
• pornografia
• pirata
Limitar o horário de navegação a estação do usuário Paulo
• Segunda a Sexta: 08:00 as 12:00hs
• Sábados e Domingos – Proibido
Proibir downloads de Arquivos do tipo:
• Música - mp3, wma, wav, cda...
• Filmes - mp4, avi, mpeg, mpg, mov, flv ...
• Programas – exe, com, Bin...
12
• Imagens de CDs e DVDs - ISO, CUE, DAA, BIN
Limitar acesso a sites pessoais em determinados horários:
O Usuário poderá ler seus emails pessoais na hora do almoço:
• Acesso a hotmail, bol, gmail, Yahoo... 12:00 as 14:00hs
Além dessas características, o Proxy tem a habilidade de logar (fazer logs) de
todos os sites acessados, arquivos baixados e arquivos enviados.
Estas habilidades tornam o Proxy uma ferramenta de proteção de perímetro de
rede.
No mundo do Software Livre, o Proxy mais conhecido é o Squid –
http://www.squid-cache.org, se você quiser conhecer alguns em plataforma
Windows, sugiro o ISA Server da Própria Microsoft. Existem algumas alternativas
gratuitas como o Analogx – http://www.analogx.com
4.7 Firewall + Proxy (ProxyWall) ou Gateways de Aplicação
Os conceitos de gateways de aplicação (application-level gateways) e "bastion
hosts" foram introduzidos por Marcus Ranum em 1995. Trabalhando como uma
espécie de eclusa (vide figura abaixo), o firewall de proxy trabalha recebendo o fluxo
de conexão, tratando as requisições como se fossem uma aplicação e originando um
novo pedido sob a responsabilidade do mesmo firewall para o servidor de destino. A
resposta para o pedido é recebida pelo firewall e analisada antes de ser entregue para
o solicitante original.
Os gateways de aplicações conectam as redes corporativas à Internet através de
estações seguras (chamadas de bastion hosts) rodando aplicativos especializados
para tratar e filtrar os dados (os proxy firewalls). Estes gateways, ao receberem as
requisições de acesso dos usuários e realizarem uma segunda conexão externa para
receber estes dados, acabam por esconder a identidade dos usuários nestas
requisições externas, oferecendo uma proteção adicional contra a ação dos crackers.
13
As Eclusas do Canal do Panamá. Só é possível passar, quando elas estão abertas. O mesmo
acontece com um Firewall Proxy ou Proxywall.
Fonte: Mattia Gentilini
Arqutietura com uso de Bastion Host. Máquina que fica na área de choque com a internet. Funciona
como uma eclusa e faz a filtragens de pacotes TCP/IP, restrições de acesso, pode ser usada com proxy e
compartilhamento de banda.
Fonte: Mattia Gentilini
Note que o ProxyWall ou Firewall Proxy ou ainda Gateway de Aplicação, está
instalado em uma única máquina e provê os dois papéis podendo ainda trabalhar
como cache. Observe também uma estrutura um pouco mais elaborada, contendo
duas redes locais isoladas, uma rede sem fio (Wireless) e a presença da Zona
Desmilitarizada (DMZ).
14
Fonte: Mattia Gentilini
Saiba mais:
Existe algumas correntes na área de Segurança da Informação que diz que
concentrar vários serviços em uma só máquina é potencializar os riscos de segurança.
Neste caso o proxywall não é uma boa alternativa segundo esse grupo. O Ideal seria
colocar um Firewall de frente com a Internet e logo atrás uma máquina fazendo a
função de Proxy. Essa tendência continua em relação a outros serviços como IPS e
IDS. Cada um em um hardware específico ou em máquinas virtualizadas.
Fim do boxe
4.8 Detecção de Intrusão
“Provavelmente muitas pessoas já devem ter ouvido falar sobre a detecção de
intrusão, mas geralmente não compreendem porque precisam utilizá-la em seu
sistema. Sem a detecção de intrusão, muitos ataques podem acontecer sem que
sejam percebidos. Assim como não é possível obter informações sobre ataques que
ocorrem de forma bem-sucedida, não é possível obter informações suficientes para
poder prevenir um novo ataque” (SANTOS, 2005).
A partir deste ponto iremos tratar de duas ferramentas de segurança que tem a
função de barrar ou detectar ataques que não são percebidos por um firewall,
antivírus, antispyware ou outra ferramenta desse gênero. São ataques mais
elaborados do tipo SQL Injection ou DNS Poisoning. O firewall não trata de texto
passado via URLs no browser nem pacotes TCP que contenham informações
maliciosas. Neste cenário entram os Sistemas de Detecção de Intruso: IDS e IPS.
15
4.8.1 IDS
Sistema de detecção de intrusos ou simplesmente IDS (em inglês: Intrusion
detection system) refere-se a meios técnicos de descobrir em uma rede quando esta
está tendo acessos não autorizados que podem indicar a ação de um cracker ou até
mesmo funcionários mal intencionados.
Com o acentuado crescimento das tecnologias de infra-estrutura tanto nos
serviços quanto nos protocolos de rede torna-se cada vez mais difícil a implantação de
sistema de detecção de intrusos. Esse fato está intimamente ligado não somente a
velocidade com que as tecnologias avançam, mas principalmente com a complexidade
dos meios que são utilizados para aumentar a segurança nas transmissões de dados.
Uma solução bastante discutida é a utilização de host-based IDS (HIDS) que
analisam o tráfego de forma individual em uma rede. No host-based o IDS é instalado
em um servidor para alertar e identificar ataques e tentativas de acessos indevidos à
própria máquina.
Note que na arquitetura HIDS, cada máquina tem um IDS instalado de modo separado.
Fonte: Ryan Russel (2003)
4.8.1.1 IDS baseados em Redes
Os IDS baseados em rede (NIDS – Network IDS) são os mais utilizados. Este
tipo de IDS consegue monitorar o tráfego de uma rede inteira, sendo mais abrangente
que o HIDS. A arquitetura NIDS combina máquinas que hospedam sensores IDS que
farão a captura de dados e uma estação dedicada em realizar o gerenciamento das
informações coletadas pelos sensores, possuindo, de acordo com a ferramenta
16
utilizada, geração de logs, interfaces gráficas entre outros suportes. Desta forma,
poucos IDSs instalados podem monitorar uma grande rede e não interferir no seu
desempenho. Por outro lado, podem ter dificuldades em analisar todos os pacotes
numa rede grande ou sobrecarregada em períodos de tráfego intenso. Outro ponto
importante é que os IDSs baseados em rede não podem analisar informações
criptografadas.
Note que na arquitetura NIDS, o IDS fica cuidando do perímetro da rede Fonte: Ryan Russel (2003)
4.8.1.2 IDS Distribuídos
O DIDS (Distributed IDS) funciona em uma arquitetura cliente/servidor. Os
sensores de detecção do NIDS ficam em locais distantes e se reportam a uma estação
de gerenciamento centralizada. O upload dos logs de ataque é feito periodicamente na
estação de gerenciamento e eles podem ser armazenados em um banco de dados
central; o download de novas assinaturas de ataque pode ser feito nos sensores, de
acordo com a necessidade. As regras de cada sensor podem ser personalizadas para
atender às suas necessidades individuais. Os alertas podem ser encaminhados para
um sistema de troca de mensagens localizados na estação de gerenciamento e
usados para notificar o administrador do IDS. A Figura abaixo mostra um esquema de
quatro sensores e uma estação de gerenciamento centralizada. “Os sensores NIDS 1
e NIDS 2 estão operando em modo promíscuo e secreto e estão protegendo os
servidores públicos. Os sensores NIDS 3 e NIDS 4 estão protegendo os sistemas
host”. (OLIVEIRA, 2004).
17
Um sistema DIDS pode ser visto também como um sistema híbrido onde
arquiteturas HIDS e NIDS são combinadas, alimentando um sistema central que
gerencia os dados.
Note que na arquitetura DIDS, há uma vários HIDS se comunicando e enviando informações para um nó
mestre, semelhante a uma arquitetura cliente servidor. Fonte: Ryan Russel (2003)
4.8.2 IPS – Intrusion Prevention System
Um sistema de prevenção de intruso (em inglês: Intrusion Prevention System) é
um dispositivo de segurança de rede que monitora o tráfego e/ou atividades dos
sistemas em busca de comportamentos maliciosos ou não desejáveis, em tempo real,
para bloquear ou prevenir essas atividades. Um IPS baseado em rede, por exemplo,
vai operar em linha para monitorar todo o tráfego em busca de códigos maliciosos ou
ataques. Quando um ataque é detectado, é possível bloquear os pacotes danosos
enquanto o tráfego normal continua seu caminho.
Sistema de prevenção de intruso evoluiu no final dos anos noventa para resolver
as ambigüidades no monitoramento de rede passivo ao colocar a detecção em linha.
No começo o IPS era apenas um IDS que possibilitava alguma interação com o
firewall para controlar o acesso. Em pouco tempo foi necessário desenvolver algo mais
robusto, uma vez que, apenas comandar o firewall ainda deixava que ao menos
18
aquele pacote malicioso trafegasse na rede, a solução era implementar formas
inteligentes de bloqueio dentro do IPS. Visto como uma extensão do firewall, o IPS
possibilita decisões de acesso baseadas no conteúdo da aplicação, e não apenas no
endereço IP ou em portas como os firewalls tradicionais trabalham. Entretanto, nada
impede que para otimizar a performance muitos IPS utilizem regras baseadas em
portas e endereço IP.
O IPS também pode servir secundariamente como um serviço de nível de host,
prevenindo atividades potencialmente maliciosas. Existem vantagens e desvantagens
entre o IPS baseado em host e o IPS baseado em rede. Em alguns casos, as
tecnologias podem ser complementares. Porém, não se pode esquecer que muita da
tecnologia de IPS de rede evoluiu e hoje pode tranqüilamente exercer também as
funções de host (instalado em uma única máquina).
A qualidade de um sistema de prevenção de intruso está em ser um excelente
detector de tráfego malicioso com uma média de falso positivo e falso negativa baixa.
Saiba mais:
Falso positivo: é quando o IPS/IDS se engana e classifica como um tráfego
malicioso uma ação normal do sistema.
Falso negativo: ocorre quando o IPS/IDS não acusa o tráfego malicioso e o deixa
passar normalmente como dados normais.
Fim do boxe
4.8.3 Como funcionam os Sistemas de Detecção de Intrusão
A invasão de um sistema é um ato de entrar em um perímetro de rede sem
acesso autorizado, seja ele para danificar informações e serviços ou capturá-las.
Os Sistemas de Detecção de Intrusão e os Sistemas de Prevenção de Intrusão
devem estar aptos para perceber e reagir aos ataques intrusivos e não intrusivos em
um determinado perímetro da rede. Os IPS e IDS devem estar sinalizando
principalmente aos ataques intrusivos, para que eles não ocorram, ou se ocorrerem,
sejam gerados alertas para que imediatamente providências sejam tomadas e os
efeitos minimizados. A competência de não deixar que uma intrusão ocorra é da
alçada de um IPS, a de alertar é do IDS, porém os sistemas hoje que trabalham com
prevenção e negação da intrusão tem cada vez mais fundido este conceito se
tornando como uma só ferramenta, que dependendo do perfil de configuração poderá
se comportar de uma forma ou de outra, ou ainda atuando em paralelo como IPS e
IDS, porém, conceitualmente os IDS deveriam detectar a invasão e gerarem
19
alertas identificando que um ataque está acontecendo naquele determinado
momento e esperar que outras ferramentas, que trabalham em paralelo com ele,
façam o trabalho de negar o ataque ou ainda aprender sobre ele. Já o IPS teria o
foco principal de negar a intrusão na entrada principal da rede, podendo ainda
juntamente com ação de negar, ter a característica de gerar alerta. O IPS não precisa
de ferramentas adicionais para negar um ataque, ele em sua arquitetura já traz
internamente estas características.
“O modo mais simples de definir um IDS seria descrevê-
lo como uma ferramenta capaz de inspecionar o payload
(conteúdo) dos pacotes a procura correspondências de
ataques. Além desta característica, um IDS tem a capacidade
de ler e interpretar o conteúdo de arquivos de logs de
roteadores, firewalls, servidores e outros dispositivos de rede.”
(SANTOS, 2005).
A frase acima é em relação aos dados que tem no pacote em comparação com
um arquivo de assinaturas de ataque que o IDS tem em seus arquivos.
A condição básica para um IDS é que ele possa escutar todo o tráfego da rede,
não só endereçado a rede local ou internet, mas qualquer dado que trafegue por
aquele perímetro. Para ter tal característica, é necessário que a placa de rede se
coloque em modo promíscuo e a partir daí passar para os dispositivos internos do
sistema IDS para que o tráfego possa ser tratado.
Demonstração do fluxo de dados e condição para capturá-lo
com uma Interface de Rede em Modo Promíscuo
Fonte: Adaptado de Ryan Russel (2003)
Saiba mais:
Modo Promíscuo: em relação à Ethernet, é um tipo de configuração de
recepção na qual todos os pacotes que trafegam pelo segmento de rede ao qual o
receptor está conectado são recebidos pelo mesmo, não recebendo apenas os
pacotes endereçados ao próprio. Uma importante aplicação para esta configuração
20
são os sniffers. Vários sistemas operacionais exigem privilégios de administração para
ativar o modo promíscuo da rede.
Fim do Boxe
Existem programas que utilizam essa técnica para mostrar os dados sendo
trafegados pela rede. Alguns protocolos como FTP e Telnet transferem conteúdo e
senhas em modo texto, sem criptografia, sendo possível assim capturar tais dados em
modo promíscuo a partir de outros computadores. Programas como o TCPDUMP e o
WIRESHARK usam o modo promíscuo para poder capturar todo o tráfego de rede.
Hoje no mundo do software podemos citar a marca líder do mercado de IDS que é
o SNORT, que você encontrará mais informações no site http://www.snort.org/ . O
Snort é Open Source e é gratuito.
Símbolo do Snort
Fonte: Eriberto Mota
No mercado de IPS, cito um software nacional que também é o HLBR – Hogwash
Light Brasil. Para conhecer melhor a área de atuação destas ferramentas, sugiro a
leitura complementar deste tutorial que além de imagens, trás vídeos sobre a
ferramenta:
http://www.dailson.com.br/2007/09/tutorial-de-instalao-do-ips-hlbr.html
Símbolo do HLBR
Fonte: Eriberto Mota
Saiba Mais:
Existem hoje soluções que são vendidas em forma de appliance. É possível
adquirir no mercado hoje aparelhos que reúnem todo tipo de solução em uma única
peça. Existem appliance que são Firewall, antivírus, Antispam, Proxy, IDS, IPS e uma
21
série de outras ferramentas de forma fácil e segura.
Existe uma solução brasileira chamada BRMA Vá ao site e conheça todos os
recursos através de uma documentação vasta e bem ilustrada. Não deixe de fazer
esta leitura complementar:
http://www.brc.com.br/
Fim do Boxe
22
RESUMO DMZ (Zona Desmilitarizada) é a área de uma rede local que é destinada para acesso
público. Geralmente é uma rede separada fisicamente e logicamente da rede local de
uma empresa.
Um Firewall ou Proxy ou ainda um Proxywall pode criar e gerar perímetros de rede.
Pode-se e deve separar a LAN da DMZ.
Atualmente nos encontramos na 4ª geração de firewalls.
Hoje os firewall é capaz de reconhecer os estados da conexão.
Os estados da conexão são: NEW, ESTABLISHED e RELATED.
NEW: Novas conexões
ESTABLISHED: Conexões já estabelecidas
RELATED: Conexões relacionadas a outras existentes.
Um firewall que conhece esses estados é chamado de StateFul, pois ele pode limitar
e/ou liberar quaisquer desses estados.
Proxy é um servidor que atende a requisições repassando os dados do cliente a
frente.
Um proxy pode também ter a função de cache.
A função de um cache é de acelerar a navegação armazenando itens que são
comumente acessados.
O Proxy funciona também como uma ferramenta de segurança, pois ele é capaz de
criar ACLs – Lista de Controle de Acessos.
O Cache mais conhecido do mundo do software livre é o Squid.
ProxyWall é a junção de um filtro de pacotes (firewall) com um proxy na mesma
máquina.
Um ProxyWall é também conhecido com Gateway de Aplicação.
Devemos evitar diversos serviços de segurança na mesma máquina. Isto é totalmente
condenável.
Um firewall não é capaz de detectar tentativas de intrusão. Para isso existem
ferramentas como IPS e IDS.
IDS - Sistema de detecção de intrusos refere-se a meios técnicos de descobrir em
uma rede quando esta está tendo acessos não autorizados que podem indicar a ação
de um cracker ou até mesmo funcionários mal intencionados.
Existem basicamente 3 tipos de IDS: HIDS, NIDS e DIDS.
Os HIDS – Host IDS são os sistemas de detecção de intruso que são instalados em
uma única máquina. (host)
Os NIDS - Network IDS são os sistemas de detecção de intruso que são instalados no
23
perímetro da rede.
Os DIDS - Distributed IDS são os sistemas de detecção de intruso que são instalados
na arquitetura cliente/servidor.
Outra categoria de IDS são os IPS.
O IPS – Sistemas de Prevenção de Intruso é um dispositivo de segurança de rede que
monitora o tráfego e/ou atividades dos sistema em busca de comportamentos
maliciosos ou não desejáveis, em tempo real, para bloquear ou prevenir essas
atividades.
A grande diferença de um IDS para um IPS é que o IDS monitora e alerta o
administrador de uma eventual invasão. O IPS avisa e nega a invasão.
A competência de não deixar que uma intrusão ocorra é da alçada de um IPS, a de
alertar é do IDS.
OS IDS e IPS trabalham com a placa de rede em modo promíscuo.
Uma placa de rede quando está em modo promíscuo “escuta” todo o tráfego da rede
destinado a ela ou não.
Falso positivo: é quando o IPS/IDS se engana e classifica como um tráfego malicioso
uma ação normal do sistema.
Falso negativo: ocorre quando o IPS/IDS não acusa o tráfego malicioso e o deixa
passar normalmente como dados normais.
Um excelente IDS gratuito é o SNORT.
Um excelente IPS gratuito é o HLBR.
24
Referências bibliográficas: Partes dos Textos deste capítulo tem os seguintes créditos: “Texto extraído da Cartilha de Segurança para Internet, desenvolvida pelo CERT.br, mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br/”
Sites visitados
http://hlbr.sf.net
http://www.dailson.com.br
Santos, Bruno. Detecção de intrusos utilizando o Snort. Monografia de Pós-Graduação. Monografia - Universidade Federal de Lavras, Lavras - MG, 2005.
Cartilha de Segurança da Internet, http://nic.br , http://cert.br e http://cartilha.cert.br Northcutt, Stephen; Zeltser, Lenny; Winters, Scott; [et al]. “Desvendando segurança em redes: o guia definitivo para fortificação de perímetros de redes usando firewalls, VPNs, roteadores e sistemas de detecção de invasores”. Rio de Janeiro: Campus, 2002. Ned, Frank “Ferramentas de IDS” – Rede Nacional de Ensino e Pesquisa (RNP) 17 de Setembro de 1999, Vol 3, Nº 5. Russel, Beale, Foster, Posluns, Caswell; [et al]. – “Snort Intrusion Detection –
Everything You Need to Know to Defend Your Company”. Syngress, 2003.
Schulter, Alexandre - “Integração de Sistemas de Detecção de Intrusão para Segurança de Grades Computacionais” – Monografia. Universidade Federal de Santa Catarina, 2006.
Andrade de Oliveira, Rodrigo – “Desenvolvimento de uma Estrutura de Resposta Ativa Utilizando o IDS Snort” – Faculdade de Informática Presidente Prudente, 2004.