IMPLANTAÇÃO DO SISTEMA DE DETECÇÃO DE INTRUSÃO SNORT NA
SEGURANÇA DE REDE DE UMA ORGANIZAÇÃO MILITAR
Daniel Fonseca Mendes Miguel
1
Resumo. A Internet teve sua origem na década de 1960 e na sua fase inicial correspondia a uma
simples rede de pesquisa acadêmica. Hoje, a Internet é um dos pilares do mundo globalizado e
possui uma quantidade impressionante de computadores conectados. Diversas instituições, visando a
realização de operações administrativas, a redução de custos, a facilidade e a rapidez da troca de
informações que este meio de comunicação proporciona, estão, a cada dia, mais conectadas ao
mundo digital. Apesar dos benefícios e facilidades, a Internet também possui os seus problemas.
Proporcional ao seu crescimento está o crescimento das ameaças à segurança da informação. A falta
de segurança pode significar prejuízos como o roubo ou a corrupção de informações, a perda de
privacidade e a indisponibilidade de serviço. Diante disto, o conceito de segurança da informação tem
se tornado algo extremamente importante. Aliados a este conceito, estão os mecanismos de
criptografia, as políticas de segurança e ferramentas como o firewall, antivírus e o sistema de
detecção de intrusão. Este trabalho tem como objetivo implantar o sistema de detecção de intrusão
Snort. Visando um melhor entendimento desta ferramenta, serão apresentados conceitos sobre a
estrutura, a metodologia de detecção, o mecanismo de funcionamento e os aspectos sintáticos e
semânticos relacionados à definição das regras de detecção. Ainda, no decorrer do trabalho, são
discutidos os riscos envolvendo a utilização indiscriminada da Internet, assim como, alguns conceitos
envolvendo ataques e medidas de defesa. Por fim, será analisada a legislação do Exército Brasileiro
quanto ao emprego de software no interior da organização, principalmente no que diz respeito à
utilização de ferramentas de segurança.
Palavras-chaves: Internet. Exército Brasileiro. Ataques. Medidas de Defesa. Sistema de Detecção de
Intrusão. Snort.
Abstract. The Internet had its origins in the 1960s and in its initial phase corresponded to a simple
network of academic research. Today, the Internet is one of the pillars of the globalized world and has
an impressive amount of connected computers. Several institutions, aiming at performing
administrative operations, reduce costs, ease and speed of information exchange that provides a
means of communication are, every day, more connected to the digital world. Despite the benefits and
facilities, the Internet also has its problems. Its growth is proportional to the growth of threats to
information security. The lack of security can mean losses such as theft or corruption of information,
loss of privacy and the unavailability of service. Hence, the concept of information security has
become extremely important. Allied to this concept are the cryptographic mechanisms, security
policies and tools such as firewall, antivirus and intrusion detection system. This paper aims to implant
the intrusion detection system Snort. A better understanding of this tool will be presented concepts on
the structure, methods of detection, the operating mechanism and the related syntactic and semantic
definition of detection rules. Still, in this work, we discuss the risks involving the indiscriminate use of
the Internet, as well as some concepts involving attack and defense measures. Finally, the legislation
of the Brazilian Army will be reviewed regarding the use of software within the organization,
particularly as regards the use of security tools.
Keywords: Internet. Brazilian Army. Attacks. Measures of Defense. Intrusion Detection System. Snort.
1
Bacharel em Ciência da Computação, Universidade Federal de Juiz de Fora (UFJF), Juiz de Fora,
Minas Gerais. Escola de Formação Complementar do Exército (EsFCEx), Salvador, Bahia.
[email protected].
2
1. Introdução
Desenvolvida a partir de uma
simples rede de pesquisa acadêmica, a
Internet atualmente possui mais de dois
bilhões de usuários no mundo, segundo
informações do jornal Folha.com (FOLHA,
2011). Hoje, a rede mundial de computadores
oferece uma gama enorme de informações e
serviços, o que reflete cada vez mais no
ambiente do modelo de negócios da
economia mundial.
Similar às instituições privadas e a
outras instituições públicas do governo
brasileiro, os departamentos, centros e
unidades do Exército Brasileiro, também
utilizam a Internet para a transmissão de
informações, disponibilização de serviços,
bem como para o acesso a todos os serviços e
informações disponibilizados na rede
mundial de computadores.
Mas, paralelo ao crescimento da
Internet e da sua utilização por parte das
organizações, crescem também as ameaças à
segurança da informação. Uma vez que
nenhum sistema é completamente livre de
vulnerabilidades, e que a Internet oferece os
meios para explorá-los, o crescimento dos
ataques a sistemas conectados a rede tem se
tornado cada vez mais constante. Golpes,
espionagem, roubos de arquivos e senhas;
são algumas das ameaças que envolvem o
uso descontrolado da Internet.
Em um relatório divulgado pelo
Centro de Estudos, Respostas e Tratamento
de Incidentes de Segurança no Brasil,
CERT.br, foram registrados, no primeiro
trimestre de 2011, aproximadamente 91 mil
incidentes, um valor correspondente a cerca
de 63,5% do total de incidentes notificados
em todo o ano de 2010. Em 2009, o total de
incidentes notificados ultrapassou a marca
dos 350 mil (Figura 1).
Grande parte dos ataques está
vinculada a imprudência ou até mesmo ao
desconhecimento dos usuários quanto ao
acesso e ao fornecimento de informações na
rede. Baseando em informações enviadas por
usuários da Internet e por administradores de
rede, a instituição registrou um aumento de
134,4%, em relação ao mesmo trimestre de
2010, na quantidade de notificações
envolvendo páginas falsas de bancos e de
comércio eletrônico. Os ataques a servidores
aumentaram em 68,6%.
Informações sigilosas de grandes
instituições foram perdidas ou roubadas,
vários
códigos
maliciosos
foram
disseminados, sistemas foram invadidos.
Notícias divulgadas em uma revista
Figura 1. Total de incidentes notificados ao Centro de Estudos, Respostas e Tratamento de
Incidentes de Segurança no Brasil.
3
especializada em segurança da informação
realçam o perigo do uso indiscriminado da
Internet. Manchetes como “Roubo de
software Cisco acaba em invasão à NASA”,
“Indústrias dos EUA não estão prontas para
uma ciberguerra”, “FBI e Serviço Secreto
dos EUA investigam ataque aos sistemas da
Nasdaq”, “Crackers invadem sistemas de
energia elétrica fora dos EUA, revela CIA”,
“Internet ameaça segurança dos EUA”,
mostram algumas das ameaças que a maioria
dos usuários estão sujeitos no mundo virtual
(IDG Now, 2011).
Perda
de
produtividade,
indisponibilidade de serviço e roubo de
informações são alguns dos prejuízos obtidos
com a falta de segurança da informação nas
empresas. Diante deste cenário de
insegurança, muitas instituições investem
maciçamente em mecanismos de proteção,
em uma tentativa de montar uma barreira às
ameaças, e assim, assegurar a confiabilidade
e a integridade de seus dados, um de seus
maiores patrimônios.
O presente artigo tratará da
aplicação do sistema de detecção de intrusão
SNORT na segurança da rede de
Organização Militar (OM). Mas, antes de
abordar este assunto, o artigo apresentará,
nas seções seguintes, os conceitos de
segurança da informação, de ataques e
medidas de defesa, e demostrará o
funcionamento de um sistema de detecção de
intrusão. A próxima seção apresenta algumas
propriedades que garantem a segurança da
informação em uma rede de computadores.
2. Segurança em Redes de Computadores
De acordo com Kurose (2006) e
com a Portaria n° 483, de 20 de setembro de
2001 (Instruções Gerais de Segurança da
Informação para o Exército Brasileiro – IG
20-19), uma comunicação através de uma
rede de computadores é dita segura, quando
atende a cinco propriedades básicas, que são:
 Confidencialidade:
consiste
assegurar que somente o remente e o
destinatário entenderam o conteúdo da
mensagem. A técnica mais utilizada
atualmente
para
manter
a
confidencialidade é a criptografia, como
é o caso da criptografia de chaves
públicas. Esta técnica permite que o
emissor cifre uma mensagem, ou seja,
transforme seus dados numa forma
ilegível, de maneira que somente o
receptor legítimo da mensagem possa
decifrá-la, ou seja, transformar a
mensagem em uma forma legível que
possa ser entendida;
 Autenticidade: consiste em assegurar
que o remetente é realmente a entidade
que envia a mensagem, ou seja, consiste
em provar a legitimidade da entidade que
envia a mensagem. Este requisito de
comunicação segura é adquirido usando a
técnica de assinatura digital, que se apoia
na técnica de criptografia de chaves
públicas. Na criptografia de chaves
públicas, a chave privada é mantida em
segredo pela entidade responsável pelas
chaves privada e pública, sendo esta
distribuída livremente. Dado que uma
mensagem criptografada com a chave
privada somente pode ser decifrada com
a chave pública, é possível garantir a
autenticidade do remetente, pois somente
ele, detentor da chave privada, pode ter
cifrado a respectiva mensagem;
 Integridade: consiste em garantir que o
conteúdo da mensagem trocada entre o
remetente e o destinatário não foi
alterado. A técnica utilizada para manter
a integridade da mensagem é o resumo de
mensagem. O resumo de mensagem
consiste de uma pequena mensagem, com
tamanho fixo, gerado por uma função
hash2 a partir da mensagem original.
Processado, o resumo de mensagem é
assinado digitalmente, a fim de garantir
que não seja modificado;
em
__________________________________________
2
A função hash consiste de um algoritmo que recebe como entrada uma mensagem de comprimento
arbitrário e processa uma cadeia de caracteres de comprimento fixo denominada hash.
4
 Disponibilidade: consiste em assegurar
que a comunicação entre o remetente e o
destinatário possa ocorrer sem que haja
interrupção ou tentativas frustradas de
estabelecer
a
comunicação.
As
consequências desta propriedade variam
de acordo com o grau de importância da
informação ou serviço oferecido. Em
termos militares, a indisponibilidade de
comunicação pode significar o fracasso
de uma operação, e ainda, pode ser
desastroso em termos financeiros e de
imagem para a organização;
 Controle de acesso: consiste em garantir
que somente entidades autorizadas
tenham direito de acesso às informações,
serviços e aos meios de comunicação
oferecidos; assegurado aplicando-se
mecanismos que controlam o acesso de
entidades aos recursos oferecidos. Um
exemplo simples de controle de acesso
consiste da definição de um nome de
usuário e senha para a identificação das
entidades envolvidas no acesso aos
recursos, e consequentemente, na troca de
informações através do meio de
comunicação.
Na próxima seção, Ataques e
Medidas de Defesa, são apresentados os
principais ataques aplicados atualmente na
Internet e algumas medidas de defesa que
permitem combater estas ameaças.
3. Ataques e Medidas de Defesa
Proporcional ao crescimento da
Internet está o crescimento das ameaças à
segurança da informação. Diante deste
cenário de insegurança, muitas instituições
têm investido pesadamente em mecanismos
de segurança, com o objetivo de impedir a
atuação das atividades maliciosas no interior
de suas redes.
No mundo virtual existem dois tipos
de ameaças: as ameaças oriundas de dentro
da rede da própria instituição e as ameaças
externas, provenientes da Internet. As
ameaças internas são realizadas pelos
próprios funcionários da instituição, que,
conscientemente ou inconscientemente,
realizam
ações
que
resultam
em
disseminação de pragas virtuais, abertura de
portas de conectividade com o ambiente
externo, e até mesmo a perda de dados
sigilosos. Com o objetivo de combater este
tipo de ameaça, muitas instituições têm
investido maciçamente em políticas de
segurança, a fim de conscientizar seus
funcionários quanto ao perigo do uso
indevido da Internet.
As ameaças externas são realizadas
por dois tipos de atacantes; os crackers e os
hackers. Segundo Lopes (2002), um hacker
seria uma pessoa interessada em descobrir
novas falhas em um sistema e jamais
corrompe dados. Um cracker, por sua vez,
invade o sistema e destrói ou rouba dados, e
suas ações são sempre maliciosas. Os
motivos que levam um hacker a atacar uma
entidade vão deste uma simples diversão, até
tentativas
de
adquirir
informações
confidenciais. Podem-se também destacar, a
espionagem militar e industrial, vingança e a
tentativa de mostrar para outros hackers a sua
capacidade de invasão.
Para atingir seus objetivos, os
hackers geralmente buscam por falhas de
configuração e de administração existentes
nos recursos computacionais. A não
utilização de ferramentas de segurança e a
existência de falhas em projetos, protocolos,
aplicações, serviços ou sistemas, são algumas
das vulnerabilidades exploradas pelos
atacantes para invadir e explorar um sistema
computacional.
Na
subseção
seguinte
será
apresentado o conceito de ataque e os
principais tipos aplicados na Internet
atualmente.
Posteriormente,
serão
apresentadas algumas medidas preventivas
que podem ser empregadas como forma de
combater estes ataques.
3.1. Ataques
De acordo com Barbosa (2000), um
ataque consiste de uma ação inteligente que
ameaça a segurança da informação ou rede,
5
através da exploração de vulnerabilidades
existentes em sistemas ou protocolos. Um
ataque, quando bem sucedido, pode
caracterizar uma invasão ou a negação de
serviços no sistema alvo.
Alguns ataques têm como objetivo a
introdução de códigos, conhecidos como
Malwares (Malicious Softwares – Códigos
Maliciosos), que prejudicam o desempenho
do sistema alvo e até mesmo a privacidade de
seu usuário. Alguns exemplos de malwares
são os vírus, cavalos de tróia, worms,
keyloggers e screenloggers, backdoors, bots
e botnets, e rootkits (BALBONI, 2006).
Além dos códigos maliciosos,
existem também diversos outros tipos de
ataques, como é o caso do DoS (Denial of
Service – Negação de Serviço) e DDoS
(Distribuied Denial of Service – Negação de
Serviço Distribuído).
Um ataque de negação de serviço
tem como objetivo tornar impossível a
utilização de um servidor, um roteador, ou de
qualquer outro componente de uma rede,
pelos usuários legítimos (KUROSE, 2006).
O princípio por trás do ataque de negação de
serviço é a criação de uma quantidade de
trabalho maior do que a capacidade de
atendimento da entidade que está sob ataque.
Em outras palavras, este ataque gera uma
alocação de recursos da entidade sendo
atacada, que nunca são liberados. O resultado
desta ação é a negação do atendimento aos
usuários legítimos, que não conseguem
acessar o serviço. Existem diversas variantes
do ataque de negação de serviço, dentre os
quais se podem destacar o ataque de
inundação SYN e o ataque Smurf 3.
O ataque de inundação SYN (Figura
2) parte do princípio de que um servidor não
consegue distinguir um segmento TCP
(Transfer Control Protocol) legítimo de um
segmento TCP falsificado. Desta forma, para
realizar o ataque de negação de serviço, o
atacante inicia uma série de conexões com o
servidor, enviando para ele vários segmentos
Figura 2. Ataque de negação de serviço por inundação SYN.
__________________________________________
3
Neste ataque, o atacante utiliza o endereço IP de broadcast de uma ou mais redes. O ataque é realizado
enviando pacotes ICMP (Internet Control Message Protocol) para cada endereço da lista, contendo como
endereço de origem, o endereço IP da vítima. As máquinas das redes respondem mandando pacotes para a
vítima e não para o atacante, sobrecarregando-a.
6
TCP SYN com endereço IP (Internet
Protocol) falsificado. Dado que a alocação de
recursos abrange principalmente a alocação
de memória, e que este é um recurso
limitado, o grande número de conexões
parcialmente abertas sobrecarrega o servidor,
impossibilitando-o de atender outras
requisições de abertura de conexão. Esta ação
acaba derrubando o servidor.
O ataque de negação de serviço
distribuído nada mais é do que o resultado da
combinação de dois conceitos: a negação de
serviço e de ataques distribuídos. Neste caso,
o ataque não é baseado no uso de único
computador, mas sim em centenas ou até
milhares de computadores desprotegidos
conectados à Internet. Estes computadores,
controlados por um atacante, lançam
coordenadamente um ataque a uma
determinada entidade.
Outro tipo de ataque amplamente
empregado na Internet é o Phishing. O
Phishing é um tipo de fraude onde o atacante
envia mensagens não solicitadas para várias
pessoas se passando por uma instituição
conhecida, como é o caso de bancos,
instituições governamentais ou sites de
compra. O conteúdo destas mensagens tem
como objetivo induzir estas pessoas a
acessarem páginas fraudulentas ou a
instalarem códigos maliciosos, especialmente
projetados para furtar dados pessoais e outras
informações sigilosas.
A subseção seguinte apresenta
algumas medidas de segurança que podem
ser adotadas pelas instituições como forma
de combater estes ataques.
3.2. Medidas de Defesa
O surgimento dos computadores e,
consequentemente, da Internet, proporcionou
diversas vantagens e facilidades às
instituições, no que diz respeito à
disponibilização, organização e controle de
informações e serviços. Em contrapartida,
estas facilidades expõem estas instituições a
diversos tipos de ameaças, quando o assunto
envolve a segurança em uma rede de
computadores. Mesmo instituições, como é o
caso do Departamento de Defesa (KIRK,
2007) e do Laboratório Nuclear dos Estados
Unidos (MELLOR, 2007), que possuem um
altíssimo nível de segurança, não estão
complemente livre de atividades maliciosas
realizadas através da Internet.
Com o intuito de combater os vários
tipos de ameaças existentes na Internet, as
instituições têm adotado várias medidas de
defesa. Dentre as medidas de defesa
empregadas estão a adoção de uma política
de segurança e a utilização de ferramentas
como firewall, antivírus e sistemas de
detecção de intrusão.
Para Bowden (2007), a política de
segurança consiste de uma estratégia bem
escrita de proteção e manutenção da
disponibilidade de uma rede e dos recursos
presentes nela. A política de segurança tem
como objetivo definir os direitos e deveres
do usuário quanto à utilização do sistema
computacional, o que inclui o acesso e o
envio de informações por meio dos recursos
da instituição.
Segundo Kurose
(2006), um
firewall é uma combinação de hardware e
software que permite controlar todo o tráfego
de informações que circulam em uma rede,
restringindo o acesso a determinadas
informações e serviços por usuários não
autorizados, fazendo com que somente
tráfego autorizado circule no interior da rede.
O antivírus é um programa utilizado
para detectar, anular e remover códigos
maliciosos, como é o caso do vírus, worms e
cavalos de tróia. Esta ferramenta atua
verificando arquivos e programas presentes
no computador ou que possam ser adquiridos
por meio de dispositivos removíveis ou
através da Internet.
Uma vez que o objetivo deste artigo
consiste em demonstrar a aplicabilidade do
sistema de detecção de intrusão Snort em
uma Organização Militar, a próxima seção
abordará, de forma minuciosa, os principais
conceitos e as características estruturais e de
funcionamento de um IDS (Intrusion
Detection System).
7
4. Sistema de Detecção de Intrusão
Baseando-se nos dados apresentados
na primeira seção deste artigo, divulgados
pelo Centro de Estudo, Resposta e
Tratamento de Incidentes de Segurança
(CERT) na Internet, é evidente a necessidade
do desenvolvimento de ferramentas que
auxiliam na identificação e no rastreamento
da origem de determinados ataques. É com
este intuito, que um novo mecanismo de
segurança está sendo cada vez mais
incorporado como medida de defesa em
diversas instituições. Trata-se do sistema de
detecção de intrusão, ferramenta que
monitora a rede em tempo real, a fim de
identificar e rastrear atividades maliciosas.
De acordo com Mishra (2004),
detecção de intrusão pode ser definida como
a detecção automatizada e a geração
subsequente de um alarme para alertar os
aparatos de segurança do sistema, caso uma
intrusão esteja sendo iniciada ou esteja
ocorrendo. Um sistema de detecção de
intrusão é um sistema de defesa que detecta
atividades hostis em uma rede e tenta então,
se possível, impedir que estas atividades
comprometam a segurança do sistema.
Para um melhor entendimento do
conceito de um sistema de detecção de
intrusão, considere a seguinte analogia: os
glóbulos brancos, também chamados de
leucócitos,
são
células
intimamente
associadas ao mecanismo de defesa do
organismo, formando o sistema imunológico
do corpo humano. Os glóbulos brancos, mais
especificadamente os linfócitos, reconhecem
todas as proteínas do corpo e são capazes de
identificar qualquer tipo de proteína
desconhecida que entre no organismo.
Assim, quando elementos estranhos entram
no organismo, como é o caso de vírus e
bactérias, estas células iniciam uma luta
contra os visitantes indesejados através da
síntese
de
substâncias
químicas,
denominadas de anticorpos. Estes anticorpos
se aderem aos elementos estranhos, atraindo
outros
tipos
de
glóbulos
brancos,
denominados de macrófagos. Os macrófagos
reconhecem os elementos estranhos por meio
dos anticorpos e realizam o processo
denominado de fagocitose, que resulta na
destruição destes elementos.
Da mesma forma que os linfócitos,
Figura 3. Estrutura interna do Sistema de Detecção de Intrusão.
8
um sistema de detecção de intrusão tem a
capacidade de reconhecer informações que
caracterizam um ataque em uma rede. Ao
invés de produzir anticorpos, um sistema de
detecção de intrusão emite alertas e identifica
o tipo de ataque sendo realizado. Tendo o
conhecimento do tipo de ataque, o
administrador da rede ou o próprio sistema
de detecção de intrusão pode aplicar as
medidas cabíveis para manter a segurança do
sistema computacional. Em relação ao papel
dos macrófagos, em uma rede esta função é
desempenhada
pelas
ferramentas
especialmente desenvolvidas para combater
os ataques, como é o caso do firewall,
antivírus, anti-spyware e anti-rootkit.
Definido o conceito de sistema de
detecção de intrusão, na subseção seguinte
será apresentada a estrutura interna desta
ferramenta, mostrando os módulos e o
relacionamento
existente
entre
estes
módulos.
4.1. Estrutura Interna de um Sistema de
Detecção de Intrusão
Um sistema de detecção de intrusão é
composto por seis módulos, como mostrado
na figura 3.
O módulo principal do sistema de
detecção de intrusão é o gerenciador de
análise. Este módulo, fundamentado pelo
algoritmo de detecção, consulta o
gerenciador de pacotes para verificar se
existem pacotes a serem analisados. Caso
exista, o módulo retira um pacote da lista de
pacotes e o compara com cada assinatura da
lista de assinaturas do módulo gerenciador de
assinaturas. Quando as características de um
pacote se assemelham as descritas por
alguma assinatura, o gerenciador de análise
comunica-se com o gerenciador de medidas
de defesa, com a finalidade de acionar a
medida de defesa encarregada de combater a
ameaça detectada.
A subseção seguinte abordará os
tipos de sistemas de detecção existentes,
apresentando as diferenças e o mecanismo de
detecção adotado por cada tipo.
4.2. Tipos de Sistema de Detecção de
Intrusão
De acordo com a localização e com a
abrangência
das
informações
sendo
analisadas, um sistema de detecção de
intrusão pode ser classificado em duas
categorias: IDS baseado em host e IDS
baseado em rede.
Um IDS baseado em host (Figura 4)
consiste de um IDS localizado na
extremidade da rede, ou seja, no computador
do usuário. Este IDS é capaz de monitorar
eventos locais ao computador onde foi
instalado, através da análise das informações
que chegam até a interface de rede e de
Figura 4. Sistema de Detecção de Intrusão baseado em Host.
9
informações contidas no sistema de arquivos
do sistema operacional, como é o caso de
arquivos de log.
Um IDS baseado em rede (Figura 5)
analisa as informações que trafegam por um
determinado ponto da rede. Este tipo de IDS,
localizado no interior da rede, é formado por
dois componentes, os sensores e a estação de
gerenciamento. Os sensores são dispositivos
colocados em determinados pontos da rede
onde o tráfego será monitorado. A estação de
gerenciamento consiste de uma ferramenta
responsável pelo gerenciamento remoto dos
sensores. Quando um dos sensores detecta
alguma atividade maliciosa, o sensor envia
os alertas para a estação de gerenciamento,
que
repassa
estas
informações
ao
administrador da rede.
detecção. Dentre as metodologias de
detecção de intrusão mais empregadas estão
a baseada em assinaturas e a baseada em
anomalias.
Uma assinatura consiste de um
conjunto de características de um pacote que
permitem identificar se ele pertence ou não a
uma atividade suspeita. O mecanismo de
detecção baseado em assinaturas compara
cada pacote recebido, com um conjunto de
assinaturas previamente definidas. Se o
pacote possui as mesmas características
estabelecidas por uma ou mais assinaturas,
ele é classificado como sendo de uma
atividade suspeita. Caso contrário, ele é
classificado como sendo um pacote normal
do tráfego da rede.
Já um sistema detecção baseado em
anomalias analisa o comportamento do
Figura 5. Sistema de Detecção de Intrusão baseado em Rede.
4.3. Metodologias de Detecção de Intrusão
No processo de detecção de
intrusão, o IDS classifica as informações em
duas
categorias:
informações
que
correspondem ao tráfego normal e
informações que correspondem a atividades
maliciosas na rede. Para a distinção do
tráfego em atividades normais e atividades
suspeitas, o IDS utiliza uma metodologia,
que consiste em um conjunto de regras de
comparação utilizadas no processo de
tráfego da rede para inferir a existência ou
não de alguma atividade maliciosa. Assim,
para que o sensor IDS seja capaz de detectar
intrusões é necessário que ele seja submetido
a um processo adaptativo, permitindo que ele
crie modelos de comportamento para tráfegos
considerados normais ao ambiente. Desta
forma, quando o tráfego da rede se desvia do
comportamento representado por estes
modelos, o IDS gera alertas informando a
anormalidade.
10
A premissa deste tipo de IDS é que
as atividades de intrusão ou ataques fazem
parte de um subconjunto composto de
atividades anômalas diferentes das atividades
normais do tráfego da rede (MONTEIRO,
2008).
Existem várias técnicas que podem
ser empregadas para o processo de detecção
de anomalias em uma rede. A diferença entre
cada uma delas está relacionada à maneira
como é inferido o desvio em relação ao
comportamento considerado normal. As
principais técnicas de detecção de anomalias
são (LIMA, 2005):
 Estatísticas: a detecção de anomalias
baseadas em estatísticas faz a observação
do conjunto de atividades que
caracterizam operações normais em um
sistema. A partir destas observações são
gerados dados estatísticos de uso dos
recursos computacionais (CPU, unidade
de armazenamento, memória e outros
periféricos), das atividades dos usuários
(tentativas
de
login,
aplicativos
utilizados, e outras ações), ou de
informações sobre o tráfego em uma rede
(quantidade de pacotes em um
determinado intervalo de tempo, tipos de
pacotes, conexões realizadas, etc.). Desta
forma,
qualquer
desvio
de
comportamento pode ser observado
através
da
comparação
do
comportamento atual do sistema com as
estatísticas geradas. Caso exista alguma
divergência
nos
parâmetros
de
comparação, é detectada como sendo um
comportamento anômalo e que pode vir a
ser intrusivo;
 Redes Neurais Artificiais: uma rede
neural
artificial
envolve
técnicas
computacionais para a criação de
modelos matemáticos baseados na
estrutura do cérebro humano. A base
desta
abordagem
consiste
do
monitoramento do fluxo de dados da
rede, o qual é considerado como subsídio
para a realização de análises posteriores.
As informações capturadas são analisadas
utilizando uma base de conhecimento, o
vetor de estímulo de análise da rede
neural. Os resultados gerados pelo
processo de análise são valores
numéricos, os quais classificam os
eventos
analisados
em
padrões
considerados intrusivos ou normais. A
eficiência desta classificação é modelada
durante a fase de aquisição de
conhecimento,
denominada
de
treinamento.
A
principal
vantagem
da
metodologia de detecção baseado em
anomalias é que o sensor IDS é capaz de
detectar ataques desconhecidos, dado que ele
não opera comparando as características dos
pacotes com regras pré-estabelecidas, como
ocorre com o IDS baseado em assinaturas.
A próxima seção tratará do sistema
de detecção Snort, apresentando a sua
estrutura interna, modos de funcionamento e
a maneira como as regras de detecção são
definidas.
5. O Sistema de Detecção de Intrusão
Snort
Desenvolvido por Martin Roesch
em 1998, fundador da empresa SourceFire; o
Snort é um sistema de prevenção e detecção
de intrusão baseado em rede. De código
aberto (Open Source), o sistema utiliza uma
combinação da metodologia de detecção
baseada em assinaturas, com os métodos de
inspeção baseado em anomalias. O Snort é
permanentemente desenvolvido e atualizado
por engenheiros e especialista da área de
segurança da informação de diversos lugares
do mundo, que realizam, constantemente,
revisões e testes sobre o sistema, tanto em
relação ao código-fonte, quanto à definição
das regras de detecção.
O Snort é capaz de detectar uma
variedade de ataques e varreduras, como é o
caso dos ataques de buffer overflow, ports
scans, CGI (Common Gateway Interface), e
de verificação de SMB (Server Message
Block).
11
5.1. A Estrutura Interna do Snort
A estrutura básica do sistema é
composta por quatro módulos principais, que
são: o farejador (Sniffer), o pré-processador,
o algoritmo de detecção e o sistema de alerta.
O farejador é o módulo responsável
por monitorar e capturar os pacotes que
trafegam na rede e repassá-los ao módulo
pré-processador. Este módulo analisa o
cabeçalho dos pacotes, classifica-os e os
envia para o próximo módulo. O módulo
seguinte consiste do algoritmo de detecção
do sistema, que aplica a metodologia de
detecção sobre os pacotes capturados,
comparando-os com as regras de detecção
existentes no banco de regras do sistema, a
fim de verificar se um pacote pertence ou não
a uma atividade suspeita. Por fim, aparece o
sistema de alerta, que é responsável pelas
respostas às atividades intrusivas detectadas
pelo módulo do algoritmo de detecção.
5.2. Os Modos de Funcionamento do
Sistema
O Snort pode ser configurado em
três modos, que são:
 Modo Sniffer: neste modo, o sistema
simplesmente captura os pacotes que
passam pela interface de rede,
mostrando-os, sequencialmente, na tela;
 Modo Packet Logger: neste modo, o
sistema armazena, no disco, todos os
pacotes capturados;
 Modo Sistema de Detecção de Rede:
neste modo, o sistema analisa o tráfego
da rede comparando os pacotes
capturados com regras pré-definidas, a
fim de detectar alguma atividade
maliciosa.
No Linux, para habilitar o modo
Sistema de Detecção de Intrusão de Rede é
usado a seguinte linha de comando:
./snort -dev -l ./log -h 192.168.1.0/24 -c
snort.conf
Onde:
Opção
Funcionalidade
-d
: o sistema apresenta a camada
de dados do pacote.
-e
: o sistema apresenta
informações da camada
enlace.
-v
: o sistema apresenta as
informações dos cabeçalhos IP e
TCP/UDP/ICMP.
-l <diretório>
: especifica o diretório onde os
pacotes
capturados
serão
armazenados.
-h <ip/máscara>
: restringe a análise aos
endereços IP pertence à faixa de
endereço
IP
de
classe
especificado.
-c <arquivo>
: especifica o nome do arquivo
de configuração do Snort que
contém as regras detecção.
as
de
A seguir, será apresentada a
estrutura sintática e semântica para a
definição de regras de detecção no Snort.
Para tanto, serão utilizadas, como exemplo,
algumas regras empregadas na detecção de
determinados ataques já registrados na
Internet.
5.3. A Definição de Regras de Detecção
Para detectar atividades suspeitas, o
Snort utiliza uma linguagem própria para a
criação das regras. Um exemplo de assinatura
de detecção do worm CodeRedv2 para o
Snort, seria:
ALERT TCP ANY ANY -> ANY 80 (CONTENT:
“.IDA?”; DSIZE: > 289; MSG: “ATAQUE CODEREDV2
GENÉRICO”; FLAGS: A+; NOCASE;)
Com esta assinatura, o sensor do
Snort monitora todos os pacotes TCP
enviados de qualquer endereço de origem e
de qualquer porta de origem (ANY ANY) para
qualquer endereço de destino, desde que a
porta de destino seja 80 (ANY 80 – A porta
12
80 no protocolo TCP é normalmente
associada ao serviço HTTP). Outras duas
características monitoradas pelo sensor, com
esta assinatura, seriam o tamanho dos pacotes
e o conteúdo dos pacotes. Caso o tamanho de
um pacote seja maior do que 289 bytes
(DSIZE: > 289; – Datagram Size) e
apresente em seu conteúdo a sequência de
caracteres “.IDA?” (CONTENT: “.IDA?”;), o
IDS Snort gerará um alerta com a mensagem
“Ataque CodeRedV2 Genérico” (MSG:
“ATAQUE CODEREDV2 GENÉRICO”;).
Outro exemplo de assinatura, que
detecta um ataque que explora uma falha
existente em algumas versões antigas do PHF
(Scripts das primeiras versões do servidor
Apache) quando instalado no diretório cgibin do servidor web, é a seguinte:
ALERT TCP ANY ANY -> 10.1.1.0/24 80 (CONTENT:
“/CGI-BIN/PHF”; MSG: “ATAQUE USANDO O BUG
PHF”;)
Esta assinatura gera um alerta para
pacotes que contenham a cadeia de caracteres
“/cgi-bin/phf” e que são enviados a partir de
qualquer máquina e de qualquer porta para a
sub-rede 10.1.1.0, com máscara de sub-rede
255.255.255.0, na porta 80. Quando um
pacote com estas características é
encontrado, o Snort gerará um alerta com a
mensagem “Ataque usando o bug PHF”.
A seção seguinte tratará da
viabilidade da aplicação do sistema de
detecção de intrusão Snort em uma
Organização
Militar,
levando
em
consideração a legislação vigente no que diz
a utilização de software e aos requisitos de
segurança da informação que devem ser
observados nas unidades do Exército
Brasileiro.
6. Aplicação do Sistema de Detecção de
Intrusão Snort em uma Organização
Militar
Atualmente, a necessidade de
segurança das informações de uma
organização é de extrema importância para a
continuidade do seu modelo de negócio. Em
decorrência disso, várias organizações, sejam
elas privadas ou públicas, como é o caso do
Exército Brasileiro, estão criando normas
para viabilizar a aplicação e a gerência da
segurança da informação no âmbito de suas
instalações.
O Departamento de Ciência e
Tecnologia (DCT), por intermédio de sua
Seção de Tratamento de Incidentes de Rede,
a STIR, instalada no Centro Integrado de
Telemática do Exército (CITEx), detectou
vários casos de invasões e ataques a sites do
Exército Brasileiro na Internet. Desta forma,
as ameaças não são apenas especulações, mas
fatos que já estão provocando problemas
sérios em diversas unidades da Instituição.
Assim, a segurança da informação
na Força, tal como definida nas Instruções
Gerais de Segurança da Informação para o
Exército Brasileiro (IG 20-19, 2001),
“compreende um conjunto de medidas,
normas e procedimentos destinados a garantir
a integridade, a disponibilidade, a
confidencialidade, a autenticidade, a
irretratabilidade e a atualidade da informação
em todo ciclo de vida”.
Diante deste cenário, é de suma
importância destacar que a segurança em
termos de uso de softwares não se restringe
ao uso de ferramentas como o antivírus, mas
também de um conjunto de medidas que vão
desde a utilização correta dos sistemas de
conectividade por parte dos usuários, até a
utilização de medidas sofisticadas de controle
e monitoramento do tráfego de informações
na rede. Outra medida consiste do controle
do uso de determinados softwares,
considerados vulneráveis e nocivos à
Organização. Desta forma, o uso de um
sistema de detecção de intrusão de rede, tal
como o Snort, é de grande importância para a
segurança das informações e para a
prevenção de ataques a determinados
serviços críticos mantidos por determinadas
unidades do Exército Brasileiro.
O Snort, além de prover a proteção
da rede como um todo, é uma ferramenta
livre e de código-fonte aberto, obedecendo,
assim, a uma série de exigências quanto ao
processo de aquisição de software imposto
pelo Exército Brasileiro. De acordo com as
13
Diretrizes para a Utilização e Gestão de
Software no Exército Brasileiro (GESOFT), a
utilização de qualquer software em qualquer
órgão ou Organização Militar deve estar
estritamente de acordo com a respectiva
licença de uso, prevista pelo fabricante ou
pelo detentor dos direitos sobre o software.
Ainda, o software livre é a opção tecnológica
imposta pelo governo federal, motivada não
só por aspectos econômicos, mas também
como forma de expandir o campo do
desenvolvimento e conhecimento das novas
tecnologias de informação no âmbito do
ambiente
de
desenvolvimento
das
instituições nacionais.
7. Conclusão
Como foi apresentado neste
trabalho, a Internet está sendo utilizada por
diversas organizações, sejam elas privadas ou
públicas, nacionais ou internacionais,
militares ou civis; como forma de realizar
operações administrativas, financeiras e
operacionais.
Mas,
proporcional
ao
crescimento da Internet e da realização de
atividades utilizando este meio de
comunicação, está o crescimento das
ameaças à segurança da informação.
Foi visto que, para se manter a
segurança da informação, é necessário, entre
duas entidades comunicantes na Internet,
atender a cincos requisitos básicos: a
confidencialidade,
a
integridade,
a
autenticidade, a disponibilidade e o controle
de acesso. Aliados ao cumprimento destes
requisitos estão os algoritmos de criptografia,
que são princípios matemáticas que ajudam a
manter o sigilo das informações, a verificar a
autoria e a garantir a sua integridade.
Outro fator importante, é que as
ameaças à segurança da informação não são
necessariamente
externas.
O
uso
indiscriminado da Internet por funcionários
pode facilitar as ações dos atacantes. O
simples clique em um link pode abrir as
portas dos computadores da organização para
uma série atividades maliciosas, como a
destruição de arquivos importantes e o roubo
de informações sigilosas. Ainda, falhas
existentes na rede ou nos computadores da
organização, como é o caso de configurações
de firewalls mal realizadas, portas abertas
desnecessariamente,
aplicativos
não
confiáveis instalados e aplicativos não
atualizados, são algumas das muitas
vulnerabilidades exploradas pelos atacantes
virtuais.
Diante desta imensidão de ameaças,
algumas medidas de segurança devem ser
adotadas. Políticas de segurança, atualizações
periódicas de aplicativos, instalação de
antipragas virtuais, configuração correta de
firewalls, instalação de sistema de detecção
de intrusão, gerenciamento de portas nos
computadores; são alguns dos passos para se
garantir a segurança da informação no
interior de uma instituição.
Outro fator observado, diz respeito
ao crescimento da quantidade de incidentes
registrados
na
Internet,
envolvendo,
inclusive, algumas organizações do Exército
Brasileiro. Como foi visto anteriormente, a
Seção de Tratamento de Incidentes de Rede
do DCT, registrou ataques e invasão a sites
da Força.
Cada vez mais indispensável ao
aparato de segurança de uma organização, o
sistema de detecção de intrusão tem
demonstrado ser uma ferramenta eficaz no
combate a tentativas de invasão, já que
possui
a
capacidade
de
tornar-se
imperceptível, ou seja, invisível, e ainda, de
acordo com a metodologia empregada, de
detectar a ocorrência de tráfego suspeito ou
atividades consideradas de comportamento
anormal no interior de uma rede.
Assim, diante da necessidade de um
sistema para o monitoramento e para
gerência do tráfego de informações na rede, o
Snort tem se mostrado a ferramenta ideal
para garantir a segurança da informação em
qualquer instituição, como é o caso das redes
de determinadas unidades do Exército
Brasileiro. O Snort, além prover a proteção
da rede, é uma ferramenta livre e de códigofonte aberto, propriedades que estão de
acordo com as Diretrizes para a Utilização e
Gestão de Software no Exército Brasileiro.
Estas propriedades permitem adequar a
14
ferramenta às necessidades da instituição,
bem como manter o sistema constantemente
atualizado, já que conta com um grande
número de usuários no mundo e com
profissionais capacitados para prover suporte
à ferramenta.
Como trabalho futuro, seria
interessante a realização de um estudo sobre
o Sistema de Prevenção de Intrusão
(Intrusion Prevention System), uma nova
ferramenta de segurança que está surgindo no
mercado, que nada mais é do que uma
mistura de firewall com sistema de detecção
de intrusão. O sistema de prevenção de
intrusão é uma ferramenta mais complexa e
proativa, capaz de monitorar todo o tráfego
em uma rede e de identificar um ataque.
Quando um ataque é identificado, o sistema
não só emite um alarme, como também
bloqueia
completamente
a
atividade
maliciosa, impedindo, assim, o seu sucesso.
Para
finalizar,
o
trabalho
desenvolvido foi importante para evidenciar
os riscos existentes atualmente na Internet,
bem como a necessidade de uma ferramenta,
o sistema de detecção de intrusão, que
monitore e identifique atividades maliciosas
em uma rede; aplicado não só em redes de
instituições privadas, como também em redes
de organizações públicas, como é o caso da
rede das unidades do Exército Brasileiro.
http://www.securitydocs.com/library/2194.
22 set. 2007.
BRASIL. Departamento de Ciência e
Tecnologia (DCT). Normas Para Controle
da Utilização dos Meios de Tecnologia da
Informação no Exército (NORTI). 2 ed.
Brasília, 2007.
____. Departamento de Ciência e Tecnologia
(DCT). Plano de Migração para Software
Livre no Exército Brasileiro. 3 ed. Brasília,
2007.
____. Estado Maior do Exército (EME).
Diretriz para Utilização e Gestão de
Software
no
Exército
Brasileiro
(GESOFT). Brasília, 2007.
____. Estado Maior do Exército (EME).
Instruções Gerais de Segurança da
Informação para o Exército Brasileiro (IG
20-19). Brasília, 2001.
____. Estado Maior do Exército (EME).
Plano Básico de Comunicações e
Informática. Brasília, 2004.
BRITTO, Leonardo. Site da Nasa é
Invadido. Disponível na Internet.
http://www.linhadefensiva.org/2009/12/siteda-nasa-e-invadido/. 1 dez 2009.
Referências Bibliográficas
BACE, Rebecca; MELL, Peter. Intrusion
Detection Systems. Disponível na Internet
http://www.snort.org. 25 abr. 2011.
CERT.BR. Estatísticas dos Incidentes
Reportados.
Disponível
na
Internet
http://www.cert.br/stats/incidentes/. 10 abr.
2011.
BALBONI,
Mariana.
Cartilha
de
Segurança para a Internet. São Paulo:
CGI.br, 2006. 117p.
FERGUSON,
Paul;
SENIE,
Daniel;
BASHINSKI, John. Smurf IP Denial-ofService Attacks. Pittsburg: CERT, 1998. 8p.
BARBOSA, André Sarmento. Sistema de
Detecção de Intrusão. Rio de Janeiro, 2000.
47p. Laboratório de Redes de Alta
Velocidade, COPPE/UFRJ.
FOLHA. Número de Usuário de Internet
alcança os 2 Bilhões no Mundo. Disponível
na Internet.
http://www1.folha.uol.com.br/tec/866276numero-de-usuarios-de-internet-alcanca-os2-bilhoes-no-mundo.shtml. 26 jan 2011.
BOWDEN, Joel S. Security Policy: What it
is and Why - The Basics. Disponível na
Internet
15
IDG Now. Segurança. Disponível na
Internet.
http://idgnow.uol.com.br/seguranca/. 28 abr
2011.
KIRK, Jeremy.
Ataque a e-mail não
causou dano, diz Departamento de Defesa
dos EUA. Disponível na Internet. http://idg
now.uol.com.br/seguranca/2007/09/04/idgnot
icia.2007-09-04.7583102337/. 04 set 2007.
KUROSE, James F.; ROSS, Keith W.. Redes
de Computadores e a Internet: Uma
abordagem top-down. 3.ed. São Paulo:
Pearson Addison Wesley, 2006. 659 p.
LIMA, Igor Vinícius Mussoi de. Uma
Abordagem Simplificada de Detecção de
Intrusão baseada em Redes Neurais
Artificiais. Florianópolis, 2005. 109p.
Dissertação (Mestrado em Ciência da
Computação) – Programa de Pós-Graduação
em Ciência da Computação, Universidade
Federal de Santa Catarina.
LOPES, Euler Nascimento; SILVA FILHO,
Marcus Vinicios; PEREIRA, Roverson dos
Santos. Hacker: Curso Completo. Rio de
Janeiro: Book Express, 2002. 252p.
MELLOR, Chris. Laboratório nuclear dos
Estados Unidos perde mais dados sigilosos.
Disponível na Internet. http://idgnow.uol
.com.br/seguranca/2007/08/07/idgnoticia.200
7-08-07.3677605325/. 08 ago 2007.
MISHRA, Amitabh. Intrusion Detection in
Wireless Ad Hoc Networks. Topics in
Wireless
Security,
IEEE
Wireless
Communications, n 48 – 60, fevereiro de
2004.
MONTEIRO, José Augusto Suruagy. Estudo
sobre Sistema de Detecção de Intrusão por
Anomalias: uma Abordagem Utilizando
Redes Neurais, outubro de 2008.
MORIMOTO, Carlos
Rootkits.
Disponível
E.
na
Detectando
Internet.
http://www.guiadohardware.net/dicas/detecta
ndo-rootkits.html. 12 set. 2007.
NORTHCUTT, Stephen; ZELTSER, Lenny.
Desvendando Segurança em Redes. Rio de
Janeiro: Editora Campus, 2002. 650p.
Roesch, Martin. SNORT – User Manual.
Disponível
na
Internet.
http://www.snort.org/assets/166/snort_manua
l.pdf. 27 mai. 2011.
SNORT – The Open Source Network
Intrusion Detection System. Disponível na
Internet. http://www.snort.org. 27 mai. 2011.
SUN, Bo. Intrusion Detection in Wireless
Ad Hoc Networks. Texas, 2004. 155p.
Dissertação (Doutorado em Ciência da
Computação) – Universidade A&M do
Texas.
SYMANTEC. The Year in Numbers.
Disponível
na
Internet.
http://www.symantec.com/business/threatrep
ort/topic.jsp?id=threatreport&aid=notable_st
atistics. 01 dez 2010.
TANENBAUM, Andrew S.. Redes de
Computadores. 3.ed. Rio de Janeiro: Editora
Campus, 1997. 921p.