Subir Archivo

implantação de política de segurança e sistemas de ...jamhour/rss/tccrss09a/humberto dos...

  • Home
  • Documents
  • Implantação de política de segurança e Sistemas de ...jamhour/RSS/TCCRSS09A/Humberto dos Santos... · para proteger a borda de sua rede, ... Risco consiste na possibilidade do
12
Implantação de política de segurança e Sistemas de Detecção e Prevenção de Intrusos IDS/IPS. Humberto dos Santos Curso de Especialização de Redes e Segurança de Sistemas – semipresencial Pontifícia Universidade Católica do Paraná Curitiba, novembro de 2010. Resumo Uma indisponibilidade nos sistemas pode afetar diretamente os lucros das organizações, além de comprometer a credibilidade, ou seja, a confiabilidade dos dados empresariais passaria a ficar exposta a riscos altos. Diversas organizações vêm fazendo o uso de políticas de segurança e mecanismos de segurança para prevenir incidente que possa comprometa sua credibilidade e lucro. A tecnologia de IDS/IPS são ferramentas que pode ser de grande utilidade para identificar ataques, identificar vulnerabilidades e com isso aperfeiçoar a política de segurança implantada e divulgada nas organizações. A solução de UTM da Elitecore Technologies utiliza a tecnologia de prevenção de intrusão baseada em assinatura para proteger a borda de sua rede, aumentando a confiabilidade de sua organização. 1. Introdução Como o passar do tempo a informação foi se tornando o bem mais valioso de uma organização, de forma que obtê-la é tão importante quanto protegê-la. Ser capaz de detectar e impedir proativamente um comportamento malicioso dentro da rede corporativa é um dos principais componentes para uma arquitetura de rede segura. Com isso, tornasse necessário assegurar diversos componentes para que a informação se mantenha segura e garantir desta forma a sobrevivência das organizações, como: requisitos de segurança, políticas de segurança e mecanismo de segurança. Os requisitos de segurança buscam responder nossas expectativas sobre o que a segurança deve fazer por nós. As políticas de segurança definem os passos e medidas necessárias para atingir determinados objetivos. E por último, os mecanismos de segurança estabelecem os instrumentos, tecnologias e procedimentos a serem usados para assegurar a realização dos dois componentes anteriores. Este trabalho procura apresentar um material condensado sobre o conceito de políticas de segurança e a utilização de mecanismos de segurança para auxiliar na tarefa de manter a rede segura. Neste documento também será apresentado à solução do fabricante Elitecore Technologies para prevenção de intrusão. 2. Política de Segurança Segundo o trabalho realizado por Silva e Sampaio [3], políticas de seguranças são conjunto de regras, normas e práticas de extrema importância e respeitado por todos os colaboradores da organização. Segurança da Informação das organizações tem como objetivo prevenir potenciais violações dos princípios de Confiabilidade, de Integridade, de Disponibilidade, de Autenticidade e o não Repudio da informação. A política de segurança vem então definir o que é permitido e proibido em sistemas através de uma das seguintes abordagens:

Upload: trinhlien

Post on 08-Nov-2018

214 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: Implantação de política de segurança e Sistemas de ...jamhour/RSS/TCCRSS09A/Humberto dos Santos... · para proteger a borda de sua rede, ... Risco consiste na possibilidade do

Implantação de política de segurança e Sistemas de Detecção e Prevenção

de Intrusos IDS/IPS.

Humberto dos Santos

Curso de Especialização de Redes e Segurança de Sistemas – semipresencial

Pontifícia Universidade Católica do Paraná

Curitiba, novembro de 2010.

Resumo

Uma indisponibilidade nos sistemas pode afetar diretamente os lucros das organizações,

além de comprometer a credibilidade, ou seja, a confiabilidade dos dados empresariais

passaria a ficar exposta a riscos altos. Diversas organizações vêm fazendo o uso de políticas

de segurança e mecanismos de segurança para prevenir incidente que possa comprometa sua

credibilidade e lucro. A tecnologia de IDS/IPS são ferramentas que pode ser de grande

utilidade para identificar ataques, identificar vulnerabilidades e com isso aperfeiçoar a

política de segurança implantada e divulgada nas organizações. A solução de UTM da

Elitecore Technologies utiliza a tecnologia de prevenção de intrusão baseada em assinatura

para proteger a borda de sua rede, aumentando a confiabilidade de sua organização.

1. Introdução Como o passar do tempo a informação foi se tornando o bem mais valioso de uma organização, de forma que obtê-la é tão importante quanto protegê-la.

Ser capaz de detectar e impedir proativamente um comportamento malicioso dentro da rede corporativa é um dos principais componentes para uma arquitetura de rede segura. Com isso, tornasse necessário assegurar diversos componentes para que a informação se mantenha segura e garantir desta forma a sobrevivência das organizações, como: requisitos de segurança, políticas de segurança e mecanismo de segurança.

Os requisitos de segurança buscam responder nossas expectativas sobre o que a segurança deve fazer por nós. As políticas de segurança definem os passos e medidas necessárias para atingir determinados objetivos. E por último, os mecanismos de segurança estabelecem os instrumentos, tecnologias e procedimentos a serem usados para assegurar a realização dos dois componentes anteriores.

Este trabalho procura apresentar um material condensado sobre o conceito de políticas de segurança e a utilização de mecanismos de segurança para auxiliar na tarefa de manter a rede segura. Neste documento também será apresentado à solução do fabricante Elitecore Technologies para prevenção de intrusão.

2. Política de Segurança

Segundo o trabalho realizado por Silva e Sampaio [3], políticas de seguranças são conjunto de regras, normas e práticas de extrema importância e respeitado por todos os colaboradores da organização. Segurança da Informação das organizações tem como objetivo prevenir potenciais violações dos princípios de Confiabilidade, de Integridade, de Disponibilidade, de Autenticidade e o não Repudio da informação. A política de segurança vem então definir o que é permitido e proibido em sistemas através de uma das seguintes abordagens:

Page 2: Implantação de política de segurança e Sistemas de ...jamhour/RSS/TCCRSS09A/Humberto dos Santos... · para proteger a borda de sua rede, ... Risco consiste na possibilidade do

• Proibitiva, em que tudo o que não é permitido é expressamente proibido; • Permissivo, em que tudo o que não é proibido é expressamente permitido.

As empresas que manifestam preocupação com a segurança da informação apostam em políticas que respeitam uma abordagem proibitiva, por exemplo, não ter acesso a site e e-mail pessoal. As políticas de segurança e respectivas abordagens são definidas pela empresa num documento denominado “Política de Segurança da Informação”. É um documento que têm que estar disponível e é obrigação de todos os todos os colaboradores (empregados, gerentes, administradores) respeitar no desenvolvimento de seu trabalho. Esse documento deve ser atualizado periodicamente, a fim de torná-lo adaptativo às necessidades da organização e à sua esperada evolução ao longo do tempo. 2.1. Modelos para a Segurança da Informação Em um modelo de segurança da informação deve-se considerar os seguintes conceitos: vulnerabilidade, ameaça, ataque, risco e impacto. [5] Vulnerabilidade pode ser uma falha de implementação e operação do hardware ou software, ou seja, exposição involuntária de informação. Ameaça é definida como a possibilidade de ocorrência de um acesso não autorizado (ataque) e deliberado ao sistema com intenção de manipular informações, podendo assim torná-lo inconsistente ou mesmo inutilizável. As ameaças podem ser externas ou internas, sendo esse último o que tem maior percentagem de sucesso, pois o infrator já esta dentro da organização. Risco consiste na possibilidade do sistema ser incapaz de assegurar o cumprimento da sua política de segurança quando sujeito a um ataque. Assim sendo, o grau de risco de um sistema fica definido pela exposição das suas vulnerabilidades e segurança pelo teor da ameaça manifestada num determinado intervalo de tempo. O impacto são os custos e prejuízos resultantes de um ataque ao sistema, por exemplo, quanto custará para uma empresa de comércio eletrônico se seu site (e-commerce) ficar por um período downtime (termo usado para se referir a períodos quando o sistema ficou indisponível). Devemos ficar atentos ao fazer o investimento, pois os gastos não podem ser superiores aos valores da informação a proteger. [3] Assim, um modelo para a segurança da informação deverá assentar nas seguintes ações: 1. Estudar em pormenor as ameaças e vulnerabilidades; 2. Avaliar o impacto e custo de eventuais ataques; 3. Prever o maior número possível de ataques; 4. Definir e implementar medidas adequadas para reduzir a possibilidade de ataques, para corrigir, para detectar e prevenir ação sobre as ameaças e vulnerabilidades.

2.2. Tecnologia de Segurança da informação. A implementação de tecnologias especificas é uma ação necessária para garantir a segurança da informação, requerendo a implementação de: [3] Medidas proativas – são ações realizadas através de um conjunto de tecnologias, de forma a assegurar a segurança dos dados ou recursos de um sistema mesmo que ocorra ou esteja em execução uma violação ou quebra de segurança. Estas medidas permitem salvaguardar a informação antes que uma ameaça potencial possa ser materializada num ataque. Um exemplo dessa ação é fazer um backup de dados antes de serem transmitidos por uma rede pública de comunicação.

Page 3: Implantação de política de segurança e Sistemas de ...jamhour/RSS/TCCRSS09A/Humberto dos Santos... · para proteger a borda de sua rede, ... Risco consiste na possibilidade do

Medidas reativas – são ações de correção (remédio) realizadas por uma determinada tecnologia, ou conjunto de forma a assegurar a segurança dos dados ou recursos de um sistema após a ocorrência de uma violação ou quebra de segurança. Estes dois tipos de tecnologias de segurança podem ser aplicados em vários níveis: [3]

• Nível de aplicação – tentam-se proteger os dados ou os recursos partilhados pelos programas;

• Nível de rede – assegura-se a proteção dos dados ou recursos que estão a ser transmitidos por um sistema de computadores interligados;

• Nível de terminal – tentam proteger dados ou os recursos que estão interligados num computador.

As assinaturas digitais, a criptografia, redes VPNs com aplicações corretas de criptografia, antivírus, etc são consideradas tecnologias de segurança de informação proativas. Já as tecnologias de segurança reativas englobam os firewalls (quando associado a IDS) controle de acesso, Sistemas de Detecção de Intrusão e logging. 3. Sistemas de Detecção e Prevenção de Intrusão As organizações preocupam-se cada vez mais com a proteção a ataques aos seus sistemas informáticos, que colocam em causa a segurança da informação. Os sistemas de detecção de intrusão e os sistemas de proteção de intrusão tornaram indispensáveis, levando-se em conta o aumento de atividades danosas. Esta tecnologia prende-se ao fato de serem umas das principais tecnologias disponíveis para garantir uma segurança automatizada dos sistemas. 3.1. Conceitos Existem diversos conceitos que são explorados para melhor entender os IDPS (Sistemas de Detecção e Prevenção de Intrusões), esse conceitos serão citados rapidamente na seqüência. Intrusão - Ações realizadas com intuito de comprometer a estrutura básica da segurança de informação de um sistema informatizado, afetando sua integridade, confidencialidade e disponibilidade. Políticas de Segurança define claramente o que é permitido e o que não é permitido em uma organização. [3]

Intruso – Entidade ou utilizador que acede ou invade um sistema sem que tenha autorização para tal ato. A distinção correta entre um utilizador legítimo e um utilizador não autorizado é extremamente importante, com isso pode-se fazer a distinção de dois tipos de intrusos:

• Intruso externo – todos os utilizadores que não pertence ao sistema e que implementam ações de intrusão ao mesmo.

• Intruso Interno – todos os utilizadores que têm algum tipo de autorização de acesso legítimo ao meio e que normalmente ultrapassam seus direitos de acesso com tentativa de intrusão.

Detecção de Intrusão - processo de monitoramento e análise de logs/eventos que ocorrem em um ambiente de computadores ou em uma rede de dados, para que possa realizar análises em busca de indícios de incidentes ilegal (intrusão), os quais podem ser classificados como ameaças e violação às Políticas de Segurança. [2]

3.2. Definições de IDS/IPS

Page 4: Implantação de política de segurança e Sistemas de ...jamhour/RSS/TCCRSS09A/Humberto dos Santos... · para proteger a borda de sua rede, ... Risco consiste na possibilidade do

Segundo NIST [2]: IDS é definido por englobar toda a tecnologia (software ou hardware) que busca automatizar o processo de monitoramento e de análise de eventos inesperados. Adicionalmente, as organizações usam IDPs para outros propósitos, como na identificação de problemas com políticas de segurança, na documentação de ameaças existentes, e na dissuasão de funcionários, terceirizados, prestadores de serviço ou quaisquer indivíduos que violem a política de segurança. IDPs tornaram-se uma necessidade adicional a infra-estrutura de segurança da maioria das grandes corporações.

O IPS visa complementar um IDS bloqueando a intrusão e impedindo um dano maior para a rede. É uma ferramenta que detecta e bloqueia o invasor, como visto anteriormente o IDS apenas monitora e gera alarmes. Já o IPS gera alarmes e bloqueia as ações ilegais. [4]

Para fazer a implantação de um IPS deve-se conhecer muito bem o ambiente onde será implantado, com isso pode-se evitar problemas futuros.

A figura 1 exibe a diferença física topológica de um IPS em relação ao IDS em uma rede segundo a solução da Sourcefire Inc. Para que o IPS realize sua função os dados devem passar pelo dispositivo. Já o IDS seu funciona como um sensor, ouvindo a rede e gerando alertas. [6]

Figura 1: Diferença física de IPS/IDS segunda a Sourcefire .

3.3. Tipos de IDS

Esse tópico descreve os diferentes tipos de IDS segundo Scarfone e Mell: [2]

• NIDS (Network Based Intrusion Detection System) – é instalado em um segmento de rede onde através de uma base de dados faz comparações necessárias com os pacotes de rede ou então faz a decodificação e verifica os protocolos de rede. O NIDS verifica os usuários externos não autorizados a entrar na rede, DoS (Denial of Service)ou roubo de base dados. Um IDS baseado em rede se torna muito mais eficiente e de fácil controle pelo administrador quando se utiliza vários servidores para aplicação do IDS. Um servidor para captura de dados, outro para monitoração e armazenamento e um para análise atenderia à necessidade de processamento e armazenagem dos dados. O servidor sensor detecta os dados que passam pela rede e os envia para o servidor de armazenamento, este envia para o servidor de análise o arquivo que contém os pacotes enviados pelo sensor. O servidor de análise pode então ler os pacotes onde estão armazenados ou selecionar os eventos da estação de armazenagem.

• HIDS (Host Based Intrusion Detection System) – obtêm os dados do sistema operacional ou das aplicações que estão numa determinada máquina (host) que está sujeita a intrusão. Analisa os eventos do sistema operacional, eventos de acesso e

Page 5: Implantação de política de segurança e Sistemas de ...jamhour/RSS/TCCRSS09A/Humberto dos Santos... · para proteger a borda de sua rede, ... Risco consiste na possibilidade do

eventos de aplicação, monitora as entradas, ou qualquer outra parte que represente tentativa de intrusão. Bloqueia também ataques que não são detectados pelo firewall como, por exemplo, protocolos criptografados. O IDS também acusa uma tentativa suspeita como um usuário tentando utilizar algo que ele não tenha permissão. Existem dois tipos de aplicativos IDS baseados em host:

o Analisadores de eventos (listagem das ocorrências em uma rede ou num computador): Procura por conexões abertas de rede e monitoram portas do sistema;

o Analisadores de unidades de disco do sistema: Analisa unidade de disco e outros periféricos do sistema e cria uma base de dados. Essa base de dados é como se fosse a situação original do sistema e sempre que ocorrer uma mudança o IDS pode gerar um alerta ou registrar a mudança.

• IDS híbridos – são a mistura dos NIDS e dos HIDS.

3.4. Tipos de IPS Evangelista [4] documenta em seu trabalho que atualmente existem dois tipos de

sistemas de prevenção de intrusos no mercado: Baseado em Host (host-based) – Os sistemas baseados em host são programas de

prevenção de intrusos para serem instalados diretamente em computadores; Em linha (inLine) - É todo dispositivo de hardware ou software habilitado a detectar e

impedir ataques maliciosos, verificando anomalias.

3.5. Metodologias de detecção As soluções de IDPS (Sistema de Detecção e Prevenção de Intrusão) utilizam múltiplas metodologias de detecção. Essas metodologias podem ser isoladas ou integradas a fim de proporcionar uma detecção mais exata. As classes principais de metodologias de detecção são as seguintes: [2]

• Baseado em Assinaturas (Signature-based) – esse método faz a comparação de assinaturas conhecidas com eventos observados para identificar incidentes. Isso é muito eficaz na detecção de ameaças conhecidas, mas ineficaz na detecção de ameaças desconhecidas. A detecção baseada em assinaturas não pode acompanhar e compreender o estado de comunicação complexo, por isso não consegue detectar a maioria dos ataques que compõem eventos multiplos;

• Baseado na detecção de anomalias (Anomaly-based detection) – este método faz a comparação de definições e perfis de qual atividade de rede é considerada normal contra eventos observados para determinar desvios de padrão. Muito bom para novos tipos de ataques. Os problemas comuns com a detecção baseado em anomalias é a inclusão de atividade normal como atividade maliciosa, gerando o falso positivos;

• Análise de protocolo stateful (Stateful protocol analysis) – faz comparação de perfis pré-determinados de definições geralmente aceitas de atividade de protocolo nos eventos analisados para identificar desvios. Ao contrário da metodologia baseado na detecção de anomalias, que usa host ou perfis especificos de rede, esta baseia-se em perfis universais determinados e desenvolvidos por fabricantes que especificam como protocolos em particular devem ou não ser usados. Exige muito processamento e o desenvolvimento de modelos é muito difícil.

3.5 Componentes Típicos

Page 6: Implantação de política de segurança e Sistemas de ...jamhour/RSS/TCCRSS09A/Humberto dos Santos... · para proteger a borda de sua rede, ... Risco consiste na possibilidade do

Os componentes típicos existentes em uma solução IDPS são os seguintes: [2]

• Agente e Sensor – Agentes e Sensores monitoram e analisam atividades. O termo Sensor é usado geralmente para IPS cuja função é monitorar bordas de redes, inclusive redes sem fio com tecnologia de análise de comportamento. Já o termo Agente é geralmente usando para IDS, que são baseados em host (estações).

• Servidor de Gerência – é o dispositivo responsável por centralizar e receber e gerenciar as informações recebidas dos Sensores e Agentes. Na implantação da solução de IDPS em grandes organizações costuma-se utilizar mais de um servidor de gerência, em alguns casos de mais de um nível.

• Servidor de Dados – são responsáveis pela gravação de informações de eventos dos Sensores, Agentes e/ou Servidores de Gerenciamento. Muitas soluções dessas provem suporte para database proprietário.

• Console – O console é um programa que provem uma interface para os usuários e administradores dos IDPS’s. Console é geralmente instalado por padrão em desktop ou notebook. Alguns consoles são utilizado somente para administração do IDPS e outros somente para monitoramento. Tem fabricante que possui ambas as interfaces no mesmo console.

4 Cyberoam UTM + IPS Cyberoam é uma divisão da Elitecore Technologies Pvt. Ltd que dispõe desde 1999 de uma solução de segurança baseada em identidade, o dispositivo Cyberoam UTM (Unified Threat Management). O Cyberoam analisa o tráfego em seus perímetros de rede e faz a prevenção de ataques que venha a atingir sua rede. Cyberoam IPS [1] é uma poderosa solução que fornece proteção contra ataques tanto interno quanto externos. Essa solução tem a capacidade de bloquear tentativas de intrusão protege contra malwares transmissão de códigos maliciosos e ameaças combinadas. É um serviço baseado em assinaturas para identificar as atividades maliciosas na rede. Dependendo das exigências de sua rede, Cyberoam permite definir várias políticas em vez de uma única política global. Com a criação de várias políticas de redes diminui a latência do pacote e reduz os falsos positivos. As políticas permitem visualizar as assinaturas predefinidas e personalizar a configuração de prevenção de intrusão na categoria, bem como o nível de assinatura individual. As categorias são as assinaturas agrupadas com base em vulnerabilidades em aplicações e protocolos.

Cada política IPS contém um conjunto de assinaturas que o Cyberoam pode utilizar na pesquisa para detectar ou bloquear tentativas de ataques, conforme abaixo: [1]

• Habilita ou desabilita categorias de proteção IPS; • Habilita ou desabilita assinaturas individuais em uma categoria para adaptar a

proteção IPS baseado no seu ambiente de rede; • Define a ação para ser tomada quando um padrão de tráfego é encontrado.

Cyberoam pode detectar ou descartar a conexão, em ambos os casos ele gera o log e alerta o administrador de rede.

A política de IPS deve ser habilitada usando uma regra de Firewall, pode-se criar a regra para:

• Política única para todos os usuários ou redes; • Políticas diferentes para diferentes usuários, redes ou hosts.

Page 7: Implantação de política de segurança e Sistemas de ...jamhour/RSS/TCCRSS09A/Humberto dos Santos... · para proteger a borda de sua rede, ... Risco consiste na possibilidade do

Como as regras de firewall controlam todos os tráfegos que passam pela rede, o Cyberoam define qual tráfego é permitido ou negado em uma transmissão. A política de IPS somente é aplicada para pacotes de tráfego que passam pelo Cyberoam.

4.1. Instalação do UTM Cyberoam. O Cyberoam UTM é um appliance que dispõe de aplicativos de firewall e IPS baseado em assinaturas instalado em um hardware proprietário. Seu IPS é do Tipo inLine conforme a descrição de tipos de IPS, é orientação do fabricante fazer sua instalação ajustando sua rede para que obrigatoriamente o fluxo de dados com destino a internet e DMZ ou outras redes que venham a existir passem sempre pelo dispositivo Cyberoam. Por ser também um firewall essa orientação não será difícil de ser cumprida. A figura 2 apresenta o diagrama da rede no qual foi implantado o Cyberoam e realizado os testes.

Figura 2: Topologia de Rede.

A instalação foi realizada de acordo com as especificações e orientações do fabricante.

A comunicação entre a rede LAN e DMZ tem um único caminho de acesso que passa pelo firewall. A comunicação com a internet também é via Firewall, desta forma o fluxo obrigatoriamente passará pelo dispositivo. Assim as informações serão filtradas pelas regras de firewall e na seqüência será analisado pelas assinaturas do IPS. Se as condições forem aceitas a transmissão continuará sua trajetória, caso contrário será bloqueado.

O UTM Cyberoam tem como característica a facilidade de configurar diversas regras de firewall para diferentes tipos de dados que passam pelo dispositivo, permitindo a criação de diferentes políticas de IPS. Com a aplicação de regras especificas para diferentes serviços, você conseguira reduzir o tempo de latência do tráfego que fluirá pelo IPS. Isso se explica porque nem todos os serviços têm a necessidade serem analisados pelo IPS. [1] 4.2 Políticas de Segurança no Cyberoam. Como descrito nos tópicos anteriores, política de segurança vem para definir o que é permitido e proibido em um sistema empresarial através de duas abordagens, uma denominada Proibitiva e outra Permissiva. Seguindo essa linha de pensamento, foi adotada a

Page 8: Implantação de política de segurança e Sistemas de ...jamhour/RSS/TCCRSS09A/Humberto dos Santos... · para proteger a borda de sua rede, ... Risco consiste na possibilidade do

política de proibir qualquer acesso não autorizado aos servidores da DMZ e da Internet. Para tornar essa política válida foram criadas regras de firewall para proibir qualquer serviço listado como proibido nas regras da política de segurança, com isso garantindo que não passem pelo firewall do UTM caso venha a acontecer. A medida de bloquear todo o tráfego não autorizado é uma ação proativa realizado em nível de rede, buscando assegurar a segurança dos dados e recursos existente nos ambientes da corporação representado pela figura 2. Além do método proativo citado acima foi adotado a política de analisar os serviços e tráfegos listados como permitidos pela política de segurança que fluem de uma rede para outra. Para atender essa demanda foram adicionadas às regras de firewall assinaturas de IPS para monitorar as informações fluentes e se caso não atenda as especificações das políticas de segurança transmissão será bloqueada.

No tópico seguinte serão citadas algumas das regras configuradas no IPS para que sejam analisadas as informações transmitidas via o UTM. 4.3 Configurando IPS no Cyberoam. O procedimento de configuração das políticas do IPS consiste em iniciar o serviço de IPS, criar um Policy (conjunto de assinaturas) e se for necessário criar assinaturas customizadas. Para realizar teste sem impactar no ambiente de produção da empresa, foi criado um ambiente para simular condições reais de atividades da empresa conforme testes descritos no próximo tópico. Houve a necessidade de criar uma IPS Policy chamada badworks exibido na imagem abaixo.

Figura 3: Categorias de Assinaturas.

Page 9: Implantação de política de segurança e Sistemas de ...jamhour/RSS/TCCRSS09A/Humberto dos Santos... · para proteger a borda de sua rede, ... Risco consiste na possibilidade do

Por padrão do fabricante o quando habilitamos umas das assinaturas existente em sua base, o Cyberoam já contém uma ação definida para cada ameaça de acordo com sua criticidade. Existe três ações serem tomadas: detectar uma ameaça, bloquear uma ameaça e desabilitar a assinatura. A figura 4 exibe um dos modelos de assinatura.

Figura 4: Modelos de Assinaturas.

Além de criar uma Policy, podem ser criadas assinaturas customizadas para atender uma necessidade em especifico que sua empresa ou organização venha a ter. Essas assinaturas são baseadas em protocolo (TCP, UPD, ICMP e ALL) e suas regras são definidas com palavras chaves. Para assinatura customizada ter efeito deve ser definido qual a ação será tomada quando o tráfego correspondente a assinatura for encontrado. A figura 5 exibe um exemplo da tela de Assinatura Customizada (Custom Signature).

Figura 5: Assinaturas Customizadas.

Page 10: Implantação de política de segurança e Sistemas de ...jamhour/RSS/TCCRSS09A/Humberto dos Santos... · para proteger a borda de sua rede, ... Risco consiste na possibilidade do

Para os testes realizados no tópico abaixo, foram criados algumas assinaturas

customizadas com, por exemplo, bloquear a transferência de arquivos que contém palavras como “hacker”, “vírus”, etc e alertar quando houver varredura de Ping com origem da rede LAN ou DMZ para qualquer destino. 5. Teste de analise do IPS Cyberoam. Para testar a solução de IPS do UTP Cyberoam foi utilizado o ambiente representado na imagem XX. Houve a necessidade de uso de uma estação com Windows XP na rede LAN e servidores com Windows 2003 Server na rede da DMZ. O acesso entre essas redes é realizado apenas por uma única rota, o UTM Cyberoam faz esse roteamento e o papel de gateway de ambas as redes. Foram realizados dois testes simples para testar a instalação e configuração do IPS, conforme descrito abaixo:

• Transferência de arquivo de texto: Foram criadas assinaturas customizadas contendo regras baseada em conteúdo, com o objetivo de encontrar palavras como “hacker”, “vírus”, etc, que circulem pela rede em forma de texto. A regra criada encontra-se no tópico anterior.

• Varredura Ping: um dos passos mais básicos no mapeamento de uma rede é realizar uma varredura ping automatizada. Para monitorar as ocorrências de varredura de ping foi criada uma assinatura responsável em detectar esse tipo de atividade de rede.

5.1. Transferência de arquivo de texto.

Objetivo: O teste de transferência de arquivo foi realizado no da 14/11/2010 com o

objetivo de verificar o funcionamento das regras criadas bem como o funcionamento do mecanismo de detecção do IPS.

Passos: Transferir um arquivo da estação com o Windows XP na LAN para o Servidor com o Windows 2003 Server na DMZ via compartilhamento de acesso a diretório.

Resultado Esperado: Sinalizar e alertar no dashboard do IPS informando a existência de palavras não autorizadas e bloqueio da transferência de arquivo.

Resultado Obtido: Obtive-se o alerta e bloqueio da transmissão conforme os logs exibidos abaixo.

Conclusão: O sistema de IPS do UTM Cyberoam é capaz de analisar os conteúdos transmitidos via rede, mesmo sendo em plan text. Após analisar o conteúdo o IPS decidirá se o arquivo continuará seu caminho ou não. A figura 6 exibe o relatório do alerta que foi gerado.

Figura 6: Relatório da transferência de arquivo.

5.2. Varredura de Ping.

Page 11: Implantação de política de segurança e Sistemas de ...jamhour/RSS/TCCRSS09A/Humberto dos Santos... · para proteger a borda de sua rede, ... Risco consiste na possibilidade do

Objetivo: O teste de varredura de ping foi realizado no dia 14/11/2010 com o objetivo de verificar o funcionamento das regras criadas bem com o funcionamento do mecanismo de detecção do IPS. Passos: Disparar varreduras de ping com origem da estação Windows XP na LAN e destinado aos servidores Windows 2003 Server na DMZ e ao site www.uol.com.br na internet. Resultado Esperado: Sinalização e alerta de detecção no Dashboard do IPS informando a ocorrência de varredura de ping.

Resultado Obtido: O alerta foi detectado e disparado no dashboard e nos logs conforme a imagem abaixo.

Conclusão: O sistema IPS do Cyberoam foi capaz de analisar e detectar a varredura de ping realizado pela estação do teste. A figura 7 exibe o relatório dos alertas gerados com nesse teste.

Figura 7: Relatório de varredura de ping.

Conclusão Segurança da informação é um assunto que vem sendo amplamente abordado na atualidade. Em meio a tantas anomalias e incidentes relacionadas à segurança, garantir o sigilo da informação vem se tornando cada vez mais necessário e complexo.

Baseado nesse contexto a elaboração desse trabalho procurou abordar princípios de IDS/IPS como ferramenta para auxiliar na identificação de ataque, identificação de vulnerabilidades e com isso aperfeiçoar a política de segurança implantada e divulgada nas organizações.

O objetivo deste trabalho não foi esgotar o assunto de segurança da informação muito menos a tecnologia IDS/IPS, mas sim fornecer um texto condensado reunindo fundamentos dos termos mencionados.

Nas atividades realizadas nesse trabalho vale destacar a solução Cyberoam IPS. Ela mostrou ser uma solução muito simples de ser implantado se comparado a soluções de outros fabricantes. Sua base de assinaturas favoreceu para sua simplicidade de instalação e se mostrou ainda ser eficaz na prevenção de ameaças existentes. Mas assim como as maiorias das soluções baseadas em assinaturas seu IPS não é eficaz para detectar e combater novas ameaça.

Apesar de ser uma ferramenta simples de implementar, o administrador de redes deve ter um bom conhecimento de sua rede para evitar problemas futuros. E após sua instalação deve-se dedicar um período para monitorar e refinar a solução com o objetivo de reduzir o número de falsos positivos. Referências

[1] Elitecore, T. P. (2009). Cyberoam IPS Configuration Guide. [2] Scarfone, K. Mell, P. (2007), Guide to Intrusion Detection and Prevention Systems (IDPS) – NIST.

Page 12: Implantação de política de segurança e Sistemas de ...jamhour/RSS/TCCRSS09A/Humberto dos Santos... · para proteger a borda de sua rede, ... Risco consiste na possibilidade do

[3] Silva, M. P. C. e Sampaio, M. N. S. (2006) Estudo de Sistemas de Detecção e Prevenção de Intrusão Uma Abordagem Open Source. [4] Evangelista, S. V. B. (2008) Sistemas de Detecção de intrusos e Sistemas de Prevenção de Intrusos: Princípios e Aplicações de Entropia. [5] Silveira, W. L. (2004). Sistema de detecção de intrusão. [6] Sourcefire Inc. (2010). Sourcefire IPS Fact Sheet.


Cloud Computing Aplicando a Tecnologia no Mundo …jamhour/RSS/TCCRSS09A/Carlos Matheus...Cloud Computing – Aplicando a Tecnologia no Mundo Corporativo Carlos Matheus Galvão Curso

Segurança de redes sem fio, uma proposta com serviços ...jamhour/RSS/TCCRSS08A/Marcos Heys… · O LDAP (Lightweight Directory Access Protocol) é um protocolo para acessar serviços

Pontifícia Universidade Católica do Paraná Curso de ...jamhour/RSS/TCCRSS08B/Adilson Galiano - Artig… · Zabbix – Ferramenta de Monitoramento Adilson Galiano Filho, Jhonatan

2005, Edgard Jamhour Mobile IP Edgard Jamhour PUC-PR

2009, Edgard Jamhour IPsec: IP Seguro Edgard Jamhour

Nagios Trabalhando em Maquina Virtual - Programa de Pós ...jamhour/RSS/TCCRSS09A/Anderson Rodrigo Antunes... · Nagios Trabalhando em Maquina Virtual Anderson Rodrigo Antunes Curso

2003, Edgard Jamhour IPsec: IP Seguro Edgard Jamhour

Metodologia de Implantação de Controle de Acesso com ...jamhour/RSS/TCCRSS11/...controle de acesso a Internet, objetivando coibir o uso inadequado. 1 - Introdução Aperfeiçoar

Estudo de Caso para a implementação de Desktop's Virtuais ...jamhour/RSS/TCCRSS08A/Samuel Graeff... · destacam-se por terem sido desenvolvidas na linguagem object pascal utilizando

Pontifícia Universidade Católica do Paraná – PUCPR Curso ... › ~jamhour › RSS › TCCRSS08B › Sidnei Baron - Artigo.pdfA proposta inicial aqui é representar a replicação

Pontifícia Universidade Católica do Paraná PUCPR Curso ...jamhour/RSS/TCCRSS08A/Nilton dos Santos... · Cabeamento Furukawa Cat5e; Rack; Switch 3 Com; No-break; Sala ref1rigerada

PLUGIN DO NAGIOS PARA MONITORAMENTO DE REDES …jamhour/RSS/TCCRSS11/Derlei Edson de Faria... · funcionalidades ao Nagios por meio do desenvolvimento de plugins, pensou-se em facilitar

Implantação de Sistema de Inventário com múltiplas …jamhour/RSS/TCCRSS08A/Diego Augusto...automatizar todo este trabalho manual. 3 Ferramentas de coleta Já se sabe da existência

Raphael Celuppi Curso de Especialização em Redes e ...jamhour/RSS/TCCRSS08A/Raphael Celuppi... · 3 1. Introdução Esse artigo tem como objetivo descrever de maneira clara e objetiva

Reestruturação Lógica da Rede do Instituto Federal do ...jamhour/RSS/TCCRSS08A/Diego... · Debian possui a funcionalidade “apt-get”, tornando a instalação e remoção de

Implementação da Estrutura de Segurança em Redes Virtuais ...jamhour/RSS/TCCRSS09A/Emerson%20Lirio%20Bonif... · serem cumpridas para uma alta disponibilidade do Serviço. Alguns

Sistema de Backup utilizando IBM - Tivoli Storage Managerjamhour/RSS/TCCRSS09A/Josmar Neduziak - RS… · 1 Sistema de Backup utilizando IBM - Tivoli Storage Manager Josmar Neduziak

Implementação da ferramenta NAGIOS em uma rede …jamhour/RSS/TCCRSS09A/Eider Jackson Conzatt… · cliente externo que reclama de algum serviço ou host que não está ... exemplo

A IMPORTÂNCIA DE ESTRUTURAR A ÁREA DE SECURITY OFFICER EM ...jamhour/RSS/TCCRSS09A/RENATO BERCE RODRIGUES... · questão humana é relegada a segundo plano. Isto porque uma pessoa

JULIANA CORREA A participação dos estudantes na elaboração …jamhour/RSS/TCCRSS08A/Juliana Correa... · JULIANA CORREA A participação dos estudantes na elaboração deste artigo

Implantação da Solução Blue Coat para Filtragem de ...jamhour/RSS/TCCRSS09A/Andre Daniel da Costa... · 2 A Ferramenta Blue Coat ProxySG (Security Gateway) Fundada em 1996, a

Interligando duas redes IPV6 através de rede pública IPV4 ...jamhour/RSS/TCCRSS09A/Joecir de Oliveira Pinto... · Conforme figura 2, nosso atual cenário é constituído de duas

Implantação de Barracuda Link Balancer para Balanceamento ...jamhour/RSS/TCCRSS09A/Cilmar do Santos Oliveira... · DHCP Server; Site ... de saída direcionada por diferentes seguimentos

Estudo de ferramentas para honeypots instaláveis em ...jamhour/RSS/TCCRSS08A/Sidney Simoes e... · Roteadores, firewall, filtros, bloqueios, são atitudes passivas. Atitudes ativas

2001, Edgard Jamhour Professor Edgard Jamhour VPN

Ferramentas Para Gerenciamento, Monitoramento de …jamhour/RSS/TCCRSS08B/Rodrigo Luiz Michel... · BrazilFW permite controle remoto via HTTP e SSH, e o TeamViewer permite acesso

Modelo em Camadas Arquitetura TCP/IP/Ethernetjamhour/Download/pub/RSS/POS_RSS/... · 1 Modelo em Camadas Arquitetura TCP/IP/Ethernet Edgard Jamhour O objetivo deste módulo é apresentar

Metodologia de Implantação de Controle de Acesso …jamhour/RSS/TCCRSS11/Fabiano...• Uma máquina virtual com o sistema Linux ubuntu-11.04-server-i386 onde foi instalado e configurado

2001, Edgard Jamhour Frame-Relay e ATM Edgard Jamhour

Raphael Celuppi Curso de Especialização em Redes e ...jamhour/RSS/TCCRSS08A/Raphael Celuppi - Arti… · 3 1. Introdução Esse artigo tem como objetivo descrever de maneira clara

Ambiente de Aplicações WEB com banco de dados Progr essjamhour/RSS/TCCRSS09A/Divoney Krizonoski... · Figura 3: Arquiterura do AppServer A figura acima mostra os principais componentes

Implantando e testando o CACTI em uma rede empresarialjamhour/RSS/TCCRSS09A/Rafael Pedrotti Boscari... · Além do passo a passo, será descrita a ferramenta e serão ... RAM e 100MB

Ferramentas Para Gerenciamento, Monitoramento de Redes e ...jamhour/RSS/TCCRSS08B... · facilmente em computadores antigos. Suas funções principais são compartilhar conexões de

Pontifícia Universidade Católica do Paraná PUCPR Curso de ...jamhour/RSS/TCCRSS08A/Marcos Roberto We… · Curso de especialização Redes e Segurança de Sistemas Pontifícia

Redes TCP/IP Redes Prof. Edgard Jamhour email: [email protected]@ppgia.pucpr.br URL: jamhour