DETECÇÃO E BLOQUEIO DE ACESSOS INDEVIDOS EM SERVIDORES WEB LINUX

...

Estudos para o desenvolvimento destes tipos de sistemas começaram por volta dos anos 80 e até hoje houve pouca evolução. O motivo é que a maioria das empresas não

---------------------------------------------------------------

investe muito em segurança, justamente pelo motivo delas verem isto como algo de custo elevado mas de retorno insignificante.

Para poder aplicar uma ferramenta de segurança em uma rede, primeiro é preciso estudá-la para saber como funciona. Após isto é preciso analisar e comparar ferramentas disponíveis (para este caso que rodem no sistema operacional Linux) e analisar qual mais atende às necessidades, observando um conjunto de critérios que será detalhado mais adiante.

3. Sistemas de Segurança

Um sistema de segurança de redes é responsável por proteger uma rede, impedindo que usuários mal intencionados executem alguma ação prejudicial a sua infraestrutura. Para isto existem ferramentas que aplicam regras de segurança capazes de monitorar todo o tráfico de informações da rede, e a partir dessas informações coletadas geram logs ou até mesmo aplicam políticas de controle de acesso. Estes sistemas são chamados de IDS e IPS.

3.1. Sistemas IDS

Sistemas de detecção de invasão (Intrusion Detection System – IDS) são responsáveis em detectar invasões registrando em log e enviando alertas aos administradores de rede quando é detectada alguma ameaça. Podem trabalhar de forma passiva, onde o IDS detecta uma potencial violação à segurança, registra a informação através de um registro de log e dispara um alerta ao administrador de rede. Outra forma é de trabalhar de forma reativa, onde o IDS responde a atividade suspeita finalizando a seção do usuário ou reprogramando um firewall para bloquear o tráfego de rede da fonte maliciosa suspeita (BACER, 2007). Contudo, existem também algumas desvantagens na utilização destas ferramentas que podem ser:

a) desempenho: tornará sua infraestrutura mais lenta por ter que monitorar todo o tráfego de rede e gerar logs;

---------------------------------------------------------------

- falso positivo: o IDS detecta uma determina situação como invasão, mas na verdade ela não existe, pois se trata de uma coincidência ocasionando um alarme falso e eventualmente um bloqueio não desejado;

- falso negativo: o IDS não detecta uma intrusão, onde o sistema determina que este pacote é um fluxo normal;

- atualizações: é necessário fazer atualizações frequentes nas regras do sistema, pois a qualquer momento pode aparecer um novo tipo de ataque ou um novo tipo de vulnerabilidade no sistema.

3.1.1. Sistemas HIDS

São sistemas IDS baseados em equipamento. Estes sistemas monitoram e analisam informações coletadas em um único equipamento. Não observa o tráfico que passa pela rede, apenas verifica as informações relativas aos eventos, registros de log e sistemas de arquivos, como permissão, alteração, etc.

3.1.2. Sistemas NIDS

São sistemas IDS baseados em redes. Estes sistemas monitoram e analisam todo o tráfego no segmento da rede. Consistem em um conjunto de sensores que trabalham detectando atividades maliciosas na rede, como ataques baseados em serviços, portscans, etc. Seu principal objetivo é identificar se alguém esta tentando entrar no sistema ou se algum usuário legítimo está fazendo uso do mesmo com má fé.

3.1.3. Sistemas WIDS

São sistemas IDS baseados em redes wireless. Estes sistemas monitoram e analisam todo o tráfego de redes sem fio, onde identificam ataques e comportamentos anormais nessas redes. Funcionam da mesma forma que os demais, monitorando e gerando log de situações anormais.

3.2. Sistemas IPS

Sistemas de prevenção de invasão (Intrusion Prevention System – IPS) são responsáveis

---------------------------------------------------------------

em prevenir invasões aplicando políticas que bloqueiam o invasor quando detectada alguma ameaça. Sistemas IPS trabalham em conjunto com sistemas IDS, pois através dos sistemas IDS são detectadas possíveis ameaças e com o sistema IPS é tomada a decisão do que fazer com a situação ocorrida.

Existem dois métodos no qual estes sistemas detectam um ataque:

- Detecção por assinatura: este método analisa as atividades do sistema procurando por eventos que correspondem a padrões pré-definidos de ataque e outras ações maliciosas. Geralmente cada assinatura corresponde a um ataque. A desvantagem deste método é que ele pode somente identificar ataques conhecidos, ou seja, ataques que estão definidos na relação de assinaturas que o sistema possui, ficando dependente de atualizações constantes diante de novos ataques que surgem constantemente;

- Detecção por anomalias: este método considera que os ataques são ações diferentes das atividades normais do sistema. Este sistema monta um perfil que representa o comportamento rotineiro de um usuário, equipamento ou conexão de rede. Ele monitora a rede e usa várias métricas para determinar quando os dados monitorados estão fora do normal, ou seja, estão fora do perfil padrão. A desvantagem deste método é a geração de um grande número de alarmes falsos devido ao comportamento imprevisível de usuários e do próprio sistema.

Um sistema IPS tem utilidade importante como ferramenta de segurança em sistemas de diversos tipos de empresas do mundo, como por exemplo, em sistemas financeiros, sistemas industriais e sistemas governamentais.

---------------------------------------------------------------

4. Implantação de Sistemas de Segurança

Implantar um sistema de segurança não é tão simples, pois para isto é preciso um profissional com conhecimento em redes e em tecnologias atualizadas para que possa preparar toda a infraestrutura da melhor forma que atenda a empresa onde atua. Conforme proposto neste artigo, serão apresentadas formas de implantação de sistemas de segurança que possam ser monitorados a partir de um computador remoto (management workstation), conforme ilustrado na

...