Revista SISUNIFAFIBE, Ed. 01. 2018 Página 1 Detecção e Prevenção de Invasões em Redes Corporativas Utilizando o Package SNORT em Integração com o PFSENSE. Guilherme Guedes Mantellis, Kaio Fellipe Orientador: Diego Fiori de Carvalho Curso de Sistemas de Informação – Centro Universitário UNIFAFIBE Bebedouro –SP – Brasil {sisunifafibe}@unifafibe.com.br RESUMO: Este artigo descreve a importância da segurança da informação em redes corporativas, citando algumas vulnerabilidades existentes em redes de computadores que possam ser utilizadas por crackers para causar a perda de informações estratégicas ou a indisponibilidade das mesmas por um período. Explicaremos alguns filtros de conteúdo utilizados por profissionais para diminuir os riscos destes ataques, comprovando sua ineficácia quando se trata de um ataque causado por uma vulnerabilidade de um serviço autentico liberado na rede. Para preenchimento desta vulnerabilidade, realizaremos a implementação do Snort no pfSense, um IDS/IPS que detecta e bloqueia o trafego malicioso na rede. Palavras-chave:Segurança da informação.Firewalls. IDS/IPS. PfSense. Snort. 1. INTRODUÇÃO A informação se tornou o capital mais valioso de qualquer empresa, deixando-a sob constante risco. A intrusão de redes de computadores é um grande problema a ser enfrentado, estas intrusões ocorrem devido a vulnerabilidades em sistemas de informação, aplicativos, sistemas operacionais, dentre outros, onde crackers em sua maioria realizam tentativas para adentrar neste ambiente privado. Várias soluções estão disponíveis no mercado para que possamos ter um melhor controle no trafego da rede, como a configuração de um Firewall, ou de um proxy, com isto é recomendado a utilização de um Appliance, que consegue integrar estas ferramentas em um lugar só, um exemplo disto é o PfSense, sendo uma ferramenta OpenSource, que possibilita uma administração completa de uma rede de computadores. Contudo, mesmo com a obtenção destes filtros de conteúdo, ainda existe uma lacuna que firewalls ou proxys não conseguem preencher. Devido a sua limitação de filtragem, conseguindo somente bloquear ou liberar o trafego, atividades maliciosas vindas de crackers podem passar despercebidas por serviços confiáveis na rede, tornando cada vez mais necessário a utilização de softwares para detecção
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Revista SISUNIFAFIBE, Ed. 01. 2018 Página 1
Detecção e Prevenção de Invasões em Redes Corporativas
Utilizando o Package SNORT em Integração com o PFSENSE.
Guilherme Guedes Mantellis, Kaio Fellipe Orientador: Diego Fiori de Carvalho
Curso de Sistemas de Informação – Centro Universitário UNIFAFIBE
Bebedouro –SP – Brasil
{sisunifafibe}@unifafibe.com.br
RESUMO: Este artigo descreve a importância da segurança da informação em redes corporativas, citando algumas vulnerabilidades existentes em redes de computadores que possam ser utilizadas por crackers para causar a perda de informações estratégicas ou a indisponibilidade das mesmas por um período. Explicaremos alguns filtros de conteúdo utilizados por profissionais para diminuir os riscos destes ataques, comprovando sua ineficácia quando se trata de um ataque causado por uma vulnerabilidade de um serviço autentico liberado na rede. Para preenchimento desta vulnerabilidade, realizaremos a implementação do Snort no pfSense, um IDS/IPS que detecta e bloqueia o trafego malicioso na rede.
Palavras-chave:Segurança da informação.Firewalls. IDS/IPS. PfSense. Snort.
1. INTRODUÇÃO
A informação se tornou o capital mais valioso de qualquer empresa,
deixando-a sob constante risco. A intrusão de redes de computadores é um grande
problema a ser enfrentado, estas intrusões ocorrem devido a vulnerabilidades em
sistemas de informação, aplicativos, sistemas operacionais, dentre outros, onde
crackers em sua maioria realizam tentativas para adentrar neste ambiente privado.
Várias soluções estão disponíveis no mercado para que possamos ter um
melhor controle no trafego da rede, como a configuração de um Firewall, ou de um
proxy, com isto é recomendado a utilização de um Appliance, que consegue integrar
estas ferramentas em um lugar só, um exemplo disto é o PfSense, sendo uma
ferramenta OpenSource, que possibilita uma administração completa de uma rede
de computadores.
Contudo, mesmo com a obtenção destes filtros de conteúdo, ainda existe
uma lacuna que firewalls ou proxys não conseguem preencher. Devido a sua
limitação de filtragem, conseguindo somente bloquear ou liberar o trafego, atividades
maliciosas vindas de crackers podem passar despercebidas por serviços confiáveis
na rede, tornando cada vez mais necessário a utilização de softwares para detecção
Revista SISUNIFAFIBE, Ed. 01. 2018 Página 2
e prevenção de invasão conhecidos como IDS e IPS, uma vez que estes consigam
realizar esta filtragem com base no comportamento e conteúdo do tráfego, dando
assim maior segurança no ambiente corporativo.
2 SEGURANÇA DA INFORMAÇÃO
A segurança da informação pode ser definida como a proteção existente
sobre qualquer informação pessoal e corporativa. Podendo ser afetada por fatores
comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infraestrutura
que a cerca e por pessoas mal intencionadas que tem o objetivo de obstrui-las,
modificando, furtando e até mesmo destruindo tal informação. (SÊMOLA, 2003).
Como mencionado por Stallings (2014, p. 7) a definição de segurança da
informação está voltada para “três objetivos principais que são o coração da
segurança de computadores”. Estes objetivos são normalmente chamados de tríade
CIA (do acrônimo em inglês para confidentiality, integrity e availability). Estes
conceitos são validos para a segurança tanto para os dados quanto para serviços de
computação realizados. Ainda podem ser citados a autenticidade e o não repúdio da
informação.
2.2 Vulnerabilidades de sistemas e redes de computadores
O site oficial do antivírus Norton (2016), explica que as vulnerabilidades
podem ser definidas como falhas no software de computador que criam deficiências
na segurança geral do computador e na rede, são fruto de um descuido ou bug de
implementação que permite que alguém utilize esta falha para causar danos ao
proprietário.
AOWASP Foundation (2017), realiza a atualização mensal de uma lista que
consta as 10 vulnerabilidades mais vistas no ano. Dentre todas as vulnerabilidades
conhecidas, esta lista traz itens que poderiam ser evitados adotando políticas de
segurança simples e atualizações nos sistemas utilizados, além da adoção de
ferramentas gratuitas para segurança em redes de computadores. O OWASP Top
10 conta com as seguintes vulnerabilidades demonstradas na Figura 1. Em uma
atualização realizada no mês de março de 2017, uma vulnerabilidade foi adicionada
à lista pela primeira vez indo direto para o rank A7, citada como
InsufficientAttackProtection (Detecção e Prevenção de Ataques Insuficientes).
Revista SISUNIFAFIBE, Ed. 01. 2018 Página 3
Fonte: OWASP Foundation, 2017 Top 10 List.
Figura 1. Top 10 Vulnerabilidades OWASP 2017.
2.2.1 InsufficientAttackProtection
Muitas aplicações e sistemas utilizados para segurança em uma rede de
computadores não possuem a idoneidade básica para detectar, prevenir e refutar
ataques manuais e automatizados. O resguardo contra ataques está longe de uma
simples validação de entrada realizada por um firewall, ele envolve a detecção, o
registro, e a resposta para estas tentativas de aproveitamento. (OWASP Foundation,
2017).
Considerando que qualquer pessoa com acesso à rede é capaz de enviar um
ataque, aplicativos comuns de segurança conseguem detectar somente a entrada
invalida da requisição, porém não realizando o bloqueio do endereço que as envia,
deixando livre para realizar o uso de sondas em busca de vulnerabilidades,
aumentando a probabilidade de exploração bem sucedida a 100%. Isso pode causar
um impacto sobre o negócio, ataques bem sucedidos e não descobertos por longos
períodos de tempo, expandem-se muito além do prejuízo inicial. (OWASP
Foundation, 2017).
2.3 Firewalls
De acordo com Cheswisck, Bellovin e Rubin (2005, p. 205), “um firewall é
qualquer dispositivo, software, arranjo ou equipamento que limita o acesso à rede.”
Todo e qualquer dispositivo atualmente conta com um firewall gratuito integrado,
Revista SISUNIFAFIBE, Ed. 01. 2018 Página 4
dentre estes dispositivos estão os populares roteadores e modems domésticos,
utilizados por qualquer um que possua uma conexão com a Web.
Se um firewall for empregado indevidamente, “a única coisa que
proporcionarão será um falso sentido de segurança”. Firewalls são
comprovadamente ineficazes contra ataques internos de uma rede de
computadores. (CHESWISCK, BELLOVIN E RUBIN, 2005, p. 206).
2.3.1 pfSense
O projeto pfSense é uma distribuição de firewall de rede livre, baseado na
plataforma FreeBSD com um Kernel customizado, e inclui pacotes de softwares
livres de terceiros para funcionalidades adicionais permitindo uma maior capacidade
de expansão sem adicionar potenciais vulnerabilidades de segurança à distribuição
base. O software pfSense®,com a ajuda do sistema de pacotes, é capaz de fornecer
a mesma funcionalidade ou mais de firewalls comerciais comuns, sem nenhuma das