Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
PAULA SOUZA
FACULDADE DE TECNOLOGIA DE LINS PROF. ANTONIO SEABRA
CURSO SUPERIOR DE TECNOLOGIA EM REDES
LINS/SP
1 SEMESTRE/2013
LINS/SP
1 SEMESTRE/2013
Trabalho
de
Concluso
de
Curso
requisitos
necessrios
para
____________________________
Orientador (Prof. Dr. Fernando A. Garcia Muzzi)
______________________________
Examinador 1 (Nome do Examinador)
______________________________
Examinador 2 (Nome do Examinador)
Dedicatria
AGRADECIMENTOS
RESUMO
ABSTRACT
LISTA DE ILUSTRAES
Figura 1.1 Posicionamento dos NIDS ................................................................... 26
Figura 1.2 Posicionamento dos HIDS ................................................................... 27
Figura 1.3 Localizao dos IDS na rede ............................................................... 31
Figura 1.4 Funcionamento do IPS na rede ............................................................ 32
Figura 2.1 Arquitetura do Snort ............................................................................. 38
Figura 2.2 Pr-processador do Snort .................................................................... 39
Figura 2.3 Verificao de regras do Snort .............................................................. 40
Figura 2.4 Mecanismo de deteco do Snort ........................................................ 41
Figura 2.5 Componentes de alerta do Snort .......................................................... 42
Figura 2.6 Camadas TCP/IP ................................................................................. 47
Figura 3.1 Layout do pacote ICMP ........................................................................ 55
Figura 3.2 Conexo normal cliente-servidor .......................................................... 58
Figura 3.3 Conexo com Syn flood ........................................................................ 58
Figura 3.4 Cabealho UDP .................................................................................... 59
Figura 3.5 Envio e recebimento de dados - servidores ......................................... 60
Figura 3.6 Akamai DDoS em tempo real ............................................................ 61
Figura 4.1 Ataque DDoS ....................................................................................... 62
Figura 4.2 Tabelas do MySQL usadas pelo Snort .................................................. 63
Figura 4.3 Tela inicial do B.A.S.E. ......................................................................... 64
Figura 4.4 Ambiente de testes................................................................................ 68
Figura 4.5 Tela do B.A.S.E. - Ataque T50 - deteco ............................................ 70
Figura 4.6 Trfego de pacotes na rede - deteco T50 ........................................ 71
Figura 4.7 Trfego de pacotes na rede deteco e bloqueios T50 .................... 71
Figura 4.8 Utilizao da CPU pelo processo Snort T50 ...................................... 72
Figura 4.9 Relatrio de alertas do B.A.S.E. ........................................................... 73
Figura 4.10 Bloqueios feitos no iptables - T50 ...................................................... 73
Figura 4.11 Trfego de pacotes na rede deteco Bonesi ................................. 74
Figura 4.12 Trfego de pacotes na rede deteco e bloqueios Bonesi .............. 74
Figura 4.13 Utilizao da CPU pelo processo Snort - Bonesi ............................... 75
Figura 4.14 Comparao entre os injetores pacotes recebidos ......................... 76
Figura 4.15 Pacotes avaliados x alertas/bloqueios gerados ................................. 77
LISTA DE TABELAS
Tabela 3.1 Tipos de mensagens ICMP .................................................................. 56
Tabela 3.2 Tipos de respostas ICMP .................................................................... 57
Tabela 4.1 Funo das VMs nos testes ................................................................ 62
LISTA DE QUADROS
Quadro 4.1 Protocolos usados no ataque com T50 ............................................... 70
Quadro 4.2 Resultado do Snort com T50 - deteco ............................................. 71
Quadro 4.3 Resultado do Snort com T50 - bloqueios ........................................... 75
Hard Disk
Internet Protocol
IPS
ISP
Sistema Operacional
LISTA DE SMBOLOS
@ - Arroba
- Marca Registrada
- Registado
SUMRIO
INTRODUO ..................................................................................... 17
1 IDS .................................................................................................. 20
1.1 SEGURANA..................................................................................................... 20
1.2 AMEAAS E ATAQUES .................................................................................... 21
1.3 PRINCPIOS DE PREVENO E PROTEO ................................................. 23
1.4 SISTEMAS DE DETECO DE INTRUSES ................................................... 24
1.4.1 Tipos de IDS.................................................................................................... 25
1.4.1.1 NIDS ............................................................................................................. 25
1.4.1.2 HIDS ............................................................................................................. 26
1.4.1.3 Sistemas Hbridos ....................................................................................... 27
1.5 DEFICINCIAS DOS IDS .................................................................................. 28
1.6 METODOLOGIAS DE DETECO .................................................................. 29
1.7 DETECO BASEADA EM CONHECIMENTO ................................................ 29
1.8 DETECO BASEADA EM COMPORTAMENTO ............................................ 30
1.9 POSICIONAMENTO DOS SENSORES ............................................................ 30
1.9.1 Localizao do IDS na rede ........................................................................... 30
1.10 SISTEMAS DE PREVENO DE INTRUSES ............................................. 32
1.11 DETECO DE ANOMALIAS ......................................................................... 33
1.11.1 Anomalias em Padres de Comportamento ................................................. 33
1.11.2 Anomalias em Padres de Trfego .............................................................. 34
1.11.3 Anomalias em Padres de Protocolos .......................................................... 34
1.12 TESTES DE INTRUSO ................................................................................. 34
1.13 SEGURANA INTEGRADA ............................................................................ 34
1.14 CONSIDERAES FINAIS ............................................................................ 35
2 SNORT ............................................................................................ 37
2.1 DEFININDO O SNORT ..................................................................................... 37
2.2 ARQUITETURA ................................................................................................. 37
2.3 PRE-PROCESSADOR E MECANISMO DE DETECO ................................. 39
2.4 SISTEMA DE ALERTA E LOG .......................................................................... 41
2.5 FUNCIONAMENTO DO SNORT ....................................................................... 42
2.5.1 Filtros e Criao de Assinaturas ..................................................................... 44
17
INTRODUO
Uma revoluo est em curso, na qual a informao vale muito. As redes de
computadores necessitam cada vez mais ateno voltada a sua segurana, pois
muitas so as tecnologias envolvidas, e estas, em constante evoluo. A
possibilidade de acesso no autorizado, interno ou externo, pe em risco a
integridade das informaes contidas nestas redes.
Entende-se por integridade a informao que no foi manipulada sem
autorizao, isto , um arquivo pode ser removido ou alterado normalmente
com autorizao devida, porm, caso um agente externo o faa, esta
informao est com sua integridade comprometida. (LARI; AMARAL, 2004,
p.5).
18
atividades de um host num ambiente de teste e, utilizando seu conjunto prdefinido de regras, reporte as tentativas de intruso, bem como, as utilize na
gerao de regras no firewall;
Para
adicionar
funcionalidade
ao
Snort,
instalar
configurar
host sob ataque DDoS e comparando-as com o mesmo cenrio, porm com
o modo de conteno (bloqueio) ativado;
19
20
1 IDS
O objetivo deste captulo mostrar os conceitos que envolvem a segurana
dos sistemas nas redes de computadores. Em seguida, apresentar a definio do
que um Intrusion Detection System (IDS), abordando seus aspectos, princpios de
preveno, tipos de atuao, metodologias de deteco, vantagens e deficincias,
assim como sua importncia e contribuio no segmento das tecnologias de
segurana da informao.
1.1 SEGURANA
A questo chave em redes de computadores o compartilhamento de
recursos, em especial o de dados, que precisam estar ao alcance de todos os
usurios da rede independentemente de sua localizao fsica. A internet
proporcionou essa interligao em nvel mundial, ligando computadores de
empresas, indivduos, dispositivos mveis e usurios domsticos, permitindo o
acesso de qualquer ponto para qualquer ponto do planeta. Porm, ao mesmo tempo
em que a tecnologia disponibiliza esse poderoso recurso, tambm remete ao
complexo tema voltado a segurana de sistemas nas redes de computadores.
Segundo Lieira (2012), quando se analisa a segurana em sistemas de
informao, necessrio ter em mente duas premissas:. Primeiro, a segurana no
uma tecnologia. No um dispositivo que se possa comprar e que torne uma rede
100% segura, assim como no possvel tambm, comprar ou criar um software
capaz de tornar um computador 100% seguro. E segundo, a segurana no um
estado que se pode atingir. A segurana uma direo em que se pode viajar,
porm, nunca se chegar de fato ao destino. O que se pode fazer administrar um
nvel aceitvel de risco.
Ainda de acordo com Lieira (2012), outro aspecto de segurana o fato
desta no ser esttica, ou seja, um trabalho de constante atualizao, redefinio
e implementao. Usando como analogia o ato de tentar subir uma escada rolante
infinita que desce. Pode-se correr alguns degraus acima e ento parar para
recuperar o flego; aps descansar, descobrir que a escada rolante o levou para
baixo ou at o mesmo para alm do ponto de incio. Para se manter no mesmo nvel,
preciso manter um esforo contnuo. E para avanar e conseguir maior segurana,
21
ser necessrio um esforo ainda maior. Como em uma escada rolante, no basta a
quantidade do esforo; o esforo precisar ser realizado na direo correta. A
pergunta que surge ento , como caminhar na direo correta? A resposta a essa
pergunta , atravs de uma Poltica de Segurana. Ou seja, traar regras do que
pode e do que no pode ser feito nos sistemas de informao da empresa, assim
como conscientizar os usurios desses sistemas, da necessidade de seguir essas
regras.
A tarefa de prover segurana a um sistema comea com a elaborao de
uma poltica de segurana, onde fatores humanos e gerenciais so
considerados. Isso quer dizer que a implementao da segurana depende
das necessidades de quem utiliza o sistema. (LARI e AMARAL, 2004, p.5)
22
23
Ainda de acordo com Nobre (2007) (apud SILVA E TORRES, 2003, p. 17), a
preservao da confidencialidade, integridade e disponibilidade da informao
utilizada nos sistemas de informao requer medidas de segurana, que por vezes
so tambm utilizadas como forma de garantir a autenticidade e o no repdio.
As medidas de segurana podem ser classificadas em duas grandes
categorias. Esta classificao se d em funo do modo como estas medidas
abordam as ameaas. So elas, preveno e proteo. A preveno o conjunto
das medidas que visam reduzir a possibilidade das ameaas concretizarem-se.
Essas medidas precisam ser implementadas antes da concretizao da ameaa, ou
24
25
1.4.1.1 NIDS
26
Na Figura 1.1, observa-se uma rede usando trs IDSs. As unidades foram
colocadas em segmentos estratgicos da rede e podem monitorar o trfego de todos
os dispositivos que esto no segmento. Essa configurao representa uma topologia
de rede de segurana de permetro padro, onde as subredes selecionadas que
abrigam os servidores pblicos so protegidas pelo IDS.
1.4.1.2 HIDS
27
28
29
30
anlise cuidadosa das vulnerabilidades que possam afetar o seu sistema como um
todo, pois se no houver alguma assinatura que no tenha utilidade para seu
ambiente, podemos elevar o nmero de falsos positivos. (LARI E AMARAL, 2004)
De acordo com Nobre 2007, o IDS pode ser utilizado em diversas posies
na rede e cada posio significa um tipo de proteo especfico. Outra considerao
31
32
33
Para Nobre (2007), uma anomalia definida como algo diferente, anormal,
peculiar ou que no seja facilmente classificado. No contexto de segurana de
computadores, uma anomalia pode ser definida como aes ou dados que no
sejam considerados normais por um determinado sistema, usurio ou rede.
Ainda para Nobre (2007), essa definio abrange ainda uma grande
variedade de itens e pode incluir tpicos como padres de trfego, atividades dos
usurios e comportamento de aplicativos. Acredita-se que pelo menos uma
significativa poro das ameaas ou condies que causem alarme deve manifestarse como anomalias, sendo assim detectveis. A maioria dos sistemas de deteco
de anomalias que se concentram em segurana normalmente se enquadra em trs
categorias gerais: comportamental, padro de trfego ou protocolo.
34
35
Este captulo mostra que o cuidado com a segurana de redes deve ser
observada com muito critrio. um assunto complexo que envolve inmeros
conceitos e a criao de polticas de segurana imprescindvel.
H a necessidade de se desenvolver uma viso ampla dos sistemas de
36
37
2 SNORT
O objetivo deste captulo mostrar a estrutura do Snort. Sua origem, como
funciona seu mecanismo de deteco e a anlise dos pacotes, o pr-processador, e
o uso das regras do Snort que funcionam como assinaturas pr-registradas de
tentativas de invaso conhecidas.
2.2 ARQUITETURA
De acordo com Lari e Amaral (2007), o Snort considerado um IDS leve,
ou seja, pode ser colocado em funcionamento com muito pouco esforo tanto no
sentido computacional quanto no sentido de configurao e suporte. Sendo assim,
seus recursos podem ser melhor aproveitados com a checagem de pacotes e no
com IDS em si. A base do Snort est montada sobre a biblioteca LibPcap que prov
funes de acesso a recursos de rede de baixo nvel, como monitoramento de
segurana.
Conforme Caswell (2003), existem trs modos principais nos quais os o
38
Snort pode ser configurado, sendo estes : farejador (sniffer), registrador de pacotes
(packet logging) e deteco de invaso. O modo farejador simplesmente l os
pacotes que trafegam na rede e os exibe continuamente no console. O modo
registrador de pacotes faz esta leitura do trfego e grava os pacotes em disco. J o
modo de deteco de invaso mais complexo, pois faz com que o Snort analise os
pacotes da rede procurando correspondncias em relao a um conjunto de regras
pr-definidas (assinaturas), executando diversas aes com base no que encontra.
Ainda conforme Caswell (2003), o Snort possui vrios componentes
importantes, a maioria deles exige plug-ins para personalizar sua implementao.
Esses componentes incluem pr-processadores e plug-ins de alerta, que permitem
ao Snort manipular um pacote para tornar o contedo mais administrvel pelo
mecanismo de deteco, e o sistema de alerta, que pode enviar sua sada atravs
de vrios mtodos. O Snort consiste em quatro componentes bsicos : farejador
(sniffer), pr-processador, mecanismo de deteco e sada.
Segundo Caswell (2003), em sua forma mais bsica, o Snort um farejador
de pacotes. Porm, ele projetado para processar os pacotes atravs do prprocessador e depois procurar uma correspondncia desses pacotes com uma srie
de regras (atravs do motor de deteco). Como ilustra a Figura 2.1.
39
40
A opo da regra: o contedo do pacote que deve fazer com que ele
corresponda regra.
41
42
43
captura pacotes e mostra os mesmos no formato que desejar. Abaixo esto alguns
comandos bsicos para funcionamento em modo sniffer. (LARI E AMARAL, 2004)
Para capturar os pacotes e imprimir os cabealhos do pacote TCP/IP :
./ snort -v
Se desejar analisar o cabealho IP e TCP/UDP/ICMP e os dados existentes
na camada de aplicao : (LARI E AMARAL, 2004)
./ snort -vd
Para mostrar os cabealhos IP e TCP/UDP/ICMP, os dados do pacote e o
cabealho da camada de enlace : (LARI E AMARAL, 2004)
./
snort -vde
/var/log/snort/<packet.log>
44
Segundo Lari e Amaral 2004, uma vez instalado, o IDS dever fornecer
somente o trfego que interessa, deixando de lado o trfego da rede que
considerado normal. Para ajudar nesta tarefa, ser preciso avisar aos sensores o
que filtrar. A assinatura define ou descreve um trfego de rede nos moldes do que
interessa, e a tarefa do responsvel aprender a observ-la e entend-la. O filtro
transcreve a descrio da assinatura para um cdigo que possvel ser lido pelo
computador no qual est instalado o IDS.
45
atividades maliciosas.
2.5.2 Assinaturas
Conforme Lari e Amaral (2004), uma das premissas no assunto que envolve
a segurana de redes a segurana integrada. Um firewall com suas polticas
implementadas deve sempre estar relacionado com IDS e assim fornecer uma
soluo nica para o permetro de defesa da rede. Infelizmente, os analistas evitam
agregar as polticas de filtragem do firewall e apenas incorporam os filtros de
ataques j bem conhecidos pela comunidade. Este fato acontece decorrente de trs
situaes :
compartilham informaes;
46
2.5.2.2 Aes
O cabealho contm informaes sobre quem, onde e o que de um pacote,
como tambm o que deve ser feito em caso de algum pacote se confrontar
positivamente com uma das regras do Snort. (LARI E AMARAL, 2004)
Existem 5 aes a serem tomadas : alert, log, pass, activate e dynamic.
2.5.2.3 Protocolos
Neste campo da assinatura est o protocolo. O Snort, um excelente sistema
de deteco de intruso capaz de analisar vrios protocolos com trfego suspeito
47
com : TCP, UDP, ICMP e IP. Atualizou o tratamento dos protocolos HTTP e DCE /
RPC , SIP, POP e IMAP3. Atualizaes para o pr-processamento de HTTP e DCE /
RPC agora permitem o Snort remontar as solicitaes e respostas, mesmo quando
distribudos por pacotes de muitos, e de forma inteligente limpar os resultados.
O Snort realiza a anlise em tempo real sobre o trfego de rede IP para detectar
tentativas de sonda ou atacar a rede usando um conjunto de regras definidas pelo
usurio que caracteriza esses ataques.
O pr-processador SIP melhorado pode identificar os canais de chamada e
detectar anomalias em comunicaes SIP. Os pr-processadores POP3 e IMAP so
capazes de decodificar anexos de email em Base64 e uuencoded e o prprocessador SMTP agora capaz de lidar com os dois ltimos formatos. Um prprocessador de reputao experimental IP permite o Snort criar lista uma negra ou
lista branca pacotes com base no endereo IP.
Outras melhorias incluem suporte para leitura de arquivos grandes e registro
pcap URLs HTTP, nomes de arquivos anexos e os destinatrios de e-mail ao gerar
eventos. H tambm atualizao das regras e opes, melhor portabilidade para
desenvolvedores e documentao melhorada.
Apesar de poder decodificar outros tipos de protocolos, o Snort focado na
pilha de protocolos TCP/IP. Usando a pilha de protocolos TCP/IP, a Figura 2.6 ilustra
o nvel de atuao dos componentes do Snort. (LARI E AMARAL, 2004)
48
As camadas do TCP/IP :
2.5.2.4 Endereos IP
De acordo com Lari e Amaral (2004), no neste campo do cabealho da regra
esto os endereos IP e as portas de conexo. A palavra any pode ser usada para
definir qualquer endereo. Os endereos so representados da seguinte forma : o
nmero IP seguido do CIDR (Classless Inter-Domain Routing). O bloco CIDR de
mscara /24 indica uma rede classe C, /16 uma rede classe B e /32 especifica um
endereo exato de uma mquina. Por exemplo, uma combinao mostra a
configurao 192.168.1.0/24 e teria como alvo todas as estaes com endereos de
192.168.1.1 a 192.168.1.255. No exemplo a seguir, descrita uma regra que alerta
qualquer conexo originada de sua rede interna em direo a seus endereos
privativos.
Alert tcp ![192.168.1.0/24,10.1.1.0/24] any->
[192.168.1.0/24,10.1.1.0/24] 111 (contente: |00 01 86 a5|;
msg: Acesso externo ;)
49
50
51
52
3.2 PROBING
3.4 BACKDOORS
53
54
3.5 SPOOFING
como DoS so
55
Bit 0-7
Bit 8-15
Verso / DIH
Tipo de servio
Identificao
Cabealho IP
Bit 16-23
Comprimento
Bandeiras e offset
Protocolo
Checksum
Endereo IP de origem
Endereo IP de destino
Tipo de mensagem
Cdigo
ICMP Payload
Extinguir
Data (opcional)
Bit 24-31
Checksum
56
Mensagem ICMP
Extino de origem
Redirecionamento
11
12
Problema de parmetro
13
14
17
18
57
Escription
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
network administrators)
58
volta ao cliente, contudo este no envia o ACK para confirmar a conexo fazendo o
servidor esperar um tempo limite (time-out), gerando assim um congestionamento na
rede j que o ACK ausente na comunicao ocupa recursos do servidor (memria e
processamento) e limita o uso de conexes ativas que um software pode realizar
podendo limitar suas funcionalidades ou at trav-lo caso o nmero de conexes
limites seja atingido.
Em uma conexo com SYN flood o atacante envia diversas vezes pacotes
maliciosos com SYN e recebe respostas vlidas, porm, no confirmando a
conexo, deixando de enviar o ACK. O servidor sobrecarregado e novas conexes
no so realizadas com sucesso.
59
(16 bits)
(16 bits)
Tamanho
Soma de verificao
(16 bits)
(16 bits)
Dados
Figura 3.4 Cabealho UDP
Fonte : Hatch et al, 2002, p.161
3.7 DDoS
De acordo com Arajo e Assumpo (2010), o Distribuited Denial of Service
(DDoS) um ataque DoS amplificado. O atacante ao invs de usar uma nica
mquina para enviar um ataque, ele usa uma rede que pode conter at milhares de
60
61
Figura 3.6 Site Akamai, exibe a ocorrncia de ataques DDoS em tempo real.
Fonte : Akamai, 2013
Este captulo teve como objetivo mostrar como funcionam os principais tipos
de ataques e invases e, mais especificamente o DDoS, e como este age na
tentativa de sobrecarregar servidores visando a retirada do ar dos servios destes.
62
4 TESTES E RESULTADOS
Neste captulo mostrara-se como foi elaborada a aplicao dos testes, as
ferramentas utilizadas para executar as simulaes e coleta de dados, mostrar o
ambiente criado para os testes, bem como os resultados esperados.
4.1 METODOLOGIA
Tempo de Ataque
BoNeSi
T50
30 min.
30 min.
30 min.
30 min.
ataque
DDoS
como
realizando
ataque
63
4.2.1 MYSQL
64
4.2.2 PHP
4.2.3 BASE
Neste trabalho, o PHP precisa ser instalado, pois o Basic Analysis and
Security Engine (BASE) se baseia nesta linguagem.
Figura 4.3 BASE Ferramenta estatstica para analise dos dados do Snort.
Fonte : Elaborado pelo autor, 2013
65
4.2.4 APACHE
4.2.5 OINKMASTER
4.2.6 LIBPCAP
4.2.7 ADODB
66
4.2.8 GUARDIAN
4.2.9 WIRESHARK
4.2.10 T50
67
4.2.11 BONESI
4.2.12 VIRTUALBOX
Software que permite que um nico host possa criar e executar um ou mais
ambientes virtuais, o Oracle VirtualBox um software de virtualizao de uso
gratuito para uso domstico ou em empresas, e tambm tem seu cdigo disponvel
sob os termos da GNU General Public Licence (GLP).
Neste trabalho, o VirtualBox ser usado para criar-se as VMs que contm os
programas implementados, assim como, todo o ambiente usado para test-los. O
virtualBox pode ser encontrado no site www.virtualbox.org.
68
fazer stress testing na rede, com objetivo de avaliar desempenho. Seus autores
assim indicam o uso destes programas.
O ambiente de rede local foi construdo atravs de software de virtualizao
VirtualBox. A mquina hospedeira possui as seguintes configuraes de hardware e
Sistema Operacional (SO) : Processador Intel Core i7-2600 3.40 GHz, memria
RAM 4,00 GB, 1 TB Hard Disk (HD) e o SO Windows 7 Professional 64 bits.
Nas Virtual Machines (VM) ou mquinas virtuais, foram utilizadas as
seguintes configuraes de hardware e SO : memria RAM 1,5 MB, 30MB HD e SO
XUbuntu verso 12.10. A interface de rede foi configurada como modo bridge e usa
comunicao padro Ethernet 100BASE-TX.
A Figura 4.4 ilustra o ambiente geral dos testes utilizando as VMs que so
compostas pela Virtual-VM1, que representa o servidor de segurana, onde est
instalado o Snort e demais aplicativos, e onde sero feitas as contenes
(bloqueios) no nvel em que o Guardian estiver habilitado. E mostra tambm as
demais mquinas, que so as VMs que contm os injetores de pacotes e de onde se
originam os ataques.
69
70
Percentual
98,270%
0,216%
98,053%
1,442%
0,793%
0,288%
71
Figura 4.7 Trfego de pacotes na rede durante ataque. deteco com bloqueio T50
Fonte : Elaborado pelo autor, 2013
Quadro 4.2 Resultados gerados pelo Snort nas simulaes com T50.
Deteco
Deteco e Bloqueio
Pacotes Recebidos
50.989.996
49.609.890
Pacotes Descartados
50.988.338
49.607.817
Pacotes Analisados
1658
53
Alertas Gerados
Tempo de Execuo
1442
1887,395s
0,003% / recebidos
2073
0,004% / recebidos
64
86,972% / analisados
1429
68,934% / analisados
1934,327s
72
Figura 4.8 Uso da CPU pelo processo Snort na simulao com T50
Fonte : Elaborado pelo autor, 2013
A Figura 4.9 mostra parte do relatrio de alertas gerados pelo BASE, onde
observa-se as informaes como assinatura da invaso, os endereos de IP origem
(atacante) e destino (alvo), protocolo e porta utilizada no ataque.
73
Na simulao com T50 foram gerados 1429 alertas, e a partir destes, foram
criadas 1387 regras no firewall. A Figura 4.10 mostra parte das regras criadas no
iptables, sendo todas elas na chain INPUT.
74
Assim como feito com o injetor T50, duas simulaes foram realizadas com
o injetor de pacotes Bonesi, avaliando-se os mesmos itens das simulaes
anteriores.
O Bonesi foi executado a partir da seguinte linha de comando:
bonesi i 50k-bots 196.168.0.110:80
Onde, o parmetro -i refere-se ao arquivo que contem uma lista de IPs
vlidos que faro o papel dos IPs origem, ou seja, de onde partem os ataques
(mquinas zumbis). O Bonesi conta com um arquivo, o 50k-bots, que possui uma
lista com 50.000 endereos de IPs vlidos usados como atacantes. E finalmente, os
dois ltimos parmetros referem-se ao IP e porta destino, ou alvo do ataque.
Nos grficos exibidos nas Figuras 4.11 e 4.12, verifica-se que o trfego da
rede nos momentos dos ataques tem maior oscilao entre as duas simulaes do
que a constatada nas simulaes com o injetor T50. Aqui observa-se tambm, um
pico maior ocorrendo a partir dos 1800s, momento em que foi finalizada a execuo
do injetor de pacotes. Pode-se observar este aumento de trfego nos 150s
seguintes, e no caso da simulao com o Bonesi, este pico maior na simulao em
que foi realizada somente deteco, ao contrrio do que observou-se nas
simulaes com o T50.
75
Deteco e Bloqueio
Pacotes Recebidos
36.184.131
49.055.322
Pacotes Descartados
36.177.109
49.045.784
Pacotes Analisados
7022
292
Alertas Gerados
Tempo de Execuo
17
0,019% / recebidos
9538
0,019% / recebidos
307
0,242% / analisados
1847,395s
17
0,178% / analisados
1864,277s
Figura 4.13 Uso da CPU pelo processo Snort na simulao com Bonesi.
Fonte : Elaborado pelo autor, 2013
76
77
78
CONCLUSO
79
80
REFERNCIA BIBLIOGRFICA
81
82
83
84
85
86
Configurao do MySQL :
#mysql
>set password for root@localhost=password(pwmysql);
>create database snort_db;
>grant insert,select on root.* to snort@localhost;
>set password for snort@localhost=password(pwsnort);
>grant create,insert,select,delete,update on snort_db.* to
snort@localhost;
>grant create,insert,select,delete,update on snort_db.* to
snort;
87
>exit;
#gzip d /usr/share/doc/snort-mysql/create_mysql.gz
#mysql u root p < /usr/share/doc/snort-mysql/create_mysql
snort_db
Configurao do Snort :
#sudo nano /etc/snort/snort.conf
ipvar HOME_NET any
ipvar EXTERNAL_NET any
var RULE_PATH /etc/snort/rules
output database : log, mysql, user=snort password=pwsnort
dbname=snort_db host=localhost
Executando o Snort :
Modo sniffer :
#snort vde
Modo deteco de intruso
#snort vde c /etc/snort/snort.conf
88
$DBlib_path
= /var/www/adodb5;
$DBtype
= mysql;
$alert_dbname
= snort_db;
$alert_host
= localhost;
$alert_port
= ;
$alert_user
= snort;
$alert_password = pwsnort;
Create BASE AG
89
Instalando o Guardian :
http://www.chaotic.org/guardian/
eth0
AlertFile /var/log/snort/alert
TargetFile /etc/snort/guardian.target
TimeLimit 86400
Criar os arquivos :
#touch /var/log/guardian.log
#touch /etc/guardian.ignore
#touch /etc/snort/guardian.target
Editar arquivo :
#nano /etc/snort/guardian.target
<IP a ser monitorado>
90
Iniciar o Guardian :
#/usr/src/guargian-1.7/guardian.pl c /etc/guardian.conf
Instalao do oinkmaster
http://oinkmaster.sourceforge.net/downloads.shtml