Este é um post disponível para assinantes MVPEste post também está disponível para assinantes da Infra Magazine
ou para quem possui Créditos DevMedia. Clique aqui para saber mais!
ou para quem possui Créditos DevMedia. Clique aqui para saber mais!
Detectando e prevenindo intrusos com Snort - Revista Infra Magazine 6
Neste artigo serão expostos os conceitos da ferramenta Snort, seu histórico e definições de IDS. Também serão mostradas suas funcionalidades, exemplos práticos e, por fim, recomendações de boas práticas de segurança no uso em produção.
Infra Magazine 6
[Artigo disponível no Leitor Digital DevMedia. Clique aqui para acessá-lo]
> Clique aqui para ler todos os artigos da Infra Magazine 6
[Artigo disponível no Leitor Digital DevMedia. Clique aqui para acessá-lo]
> Clique aqui para ler todos os artigos da Infra Magazine 6
Dentro do cenário empresarial, a informação é um componente valioso e imprescindível que muitas vezes determina quem lidera o mercado. Assim, empresas de todos os setores trabalham em cima deste valor tentando aprimorá-lo, enriquecê-lo e torná-lo privado, na medida do possível, especialmente por ser um elemento construído com o mérito de todos os ativos da empresa.
Quando falamos em informação empresarial dentro de um contexto contemporâneo, nos referimos à velocidade com que a informação é tratada, graças à tecnologia atual que permite o acesso de todos os ativos em tempo real. A denominada Era Digital (ver Nota DevMan 1) transformou a maneira com que as organizações tratam a informação. As máquinas, por sua vez, complementam e dinamizam toda rotina do ser humano, acelerando e enriquecendo os ativos da empresa.
A Internet é um dos principais responsáveis pela evolução da Era Digital, nos proporcionando novos meios para trocar informações, permitindo a comunicação em tempo real e de forma mais econômica, por utilizar um meio de comunicação já estruturado. Alguns exemplos de novas formas de comunicação são: conexão entre diversas filiais, parceiros e fornecedores (e-business); comércio eletrônico (e-commerce), serviços públicos fornecidos pelo governo (e-governance); etc. Com todas estas possibilidades, surgem também novos métodos de expor nossa informação e, consequentemente, são criadas novas formas de se obter a informação de forma inescrupulosa.
Ante todos estes pontos inicialmente mencionados, a seguinte questão é levantada: Qual é o real valor da informação nesta Era Digital, onde os computadores são imprescindíveis em um ambiente corporativo? A informação “é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida” [NBR 27002, 2005]. Diante de todos os pontos levantados e desta afirmação acima, percebe-se sua importância.
“As organizações, seus sistemas de informação e redes de computadores são expostos a diversos tipos de ameaças à segurança da informação, incluindo fraudes eletrônicas, espionagem, sabotagem, vandalismo, incêndio e inundação” [NBR 27002, 2005]. É notório que o risco envolve todos os segmentos da organização, cada um com um nível diferenciado. Este nível é a probabilidade de um incidente de segurança ocorrer em um determinado segmento, multiplicado pelo valor da informação no mesmo. Quando um incidente de segurança ocorre, seja ele acidental ou intencional, pode acarretar na perda de valores da organização. O prejuízo pode ser incalculável, principalmente se o ativo principal da organização for perdido: a informação. A informação digital também está susceptível aos incidentes de segurança e deve ser protegida com o mesmo rigor.
Na área da segurança digital existem diversos aplicativos e sistemas que protegem os níveis de rede da organização. O IDS é um dos sistemas que possui esta função. Sua proteção abrange do nível de enlace ao nível de aplicação da pilha TCP/IP, podendo alertar sobre anomalias na rede e até prevenir certos tipos de ataque.
Neste contexto, o Snort é uma ferramenta com funções de IDS via rede que, em comparação com os concorrentes de código-aberto, possui uma grande popularidade. O motivo é o seu método de funcionamento, que não demanda grande poder de processamento.
Com base nisso, neste artigo será abordada a estrutura de funcionamento do Snort, demonstrando a função de cada segmento que compõe a ferramenta. Também será abordado um exemplo prático com detalhes, bem como boas práticas de segurança.
Nota DevMan 1. Era Digital
Também chamada de Era da Informação, esta é a era caracterizada pela habilidade de o indivíduo trocar informações livremente, além de ter acesso instantâneo à informação. Algo que poderia ser difícil ou até impossível de ser realizado no passado.
Histórico
Lançada em 1998 por Martin Roesch, a ferramenta Snort (gratuita e de código-livre) foi uma das primeiras em seu segmento a realizar análise de tráfego em tempo real e registro dos pacotes de forma leve, utilizando recursos mínimos de processamento. À medida que o Snort foi amadurecendo, foi se tornando o padrão em IDS.
Mais tarde, em 2001, Martin Roesch fundou a Sourcefire com o intuito de atender a toda a demanda oferecida pela versão comercial do Snort. Pelo fato de as ameaças encontradas requererem uma resposta dinâmica, a Sourcefire reforça a segurança com o Time de Pesquisa de Vulnerabilidades Sourcefire (Vulnerability Research Team – VRT), que é uma equipe formada por especialistas em segurança que proativamente descobrem vulnerabilidades, malwares, atividades hackers e outras atividades maliciosas na rede. Em consequência, são criadas regras para o Snort identificar os pacotes suspeitos.
"
Este é um post disponível para assinantes MVP
Quando falamos em informação empresarial dentro de um contexto contemporâneo, nos referimos à velocidade com que a informação é tratada, graças à tecnologia atual que permite o acesso de todos os ativos em tempo real. A denominada Era Digital (ver Nota DevMan 1) transformou a maneira com que as organizações tratam a informação. As máquinas, por sua vez, complementam e dinamizam toda rotina do ser humano, acelerando e enriquecendo os ativos da empresa.
A Internet é um dos principais responsáveis pela evolução da Era Digital, nos proporcionando novos meios para trocar informações, permitindo a comunicação em tempo real e de forma mais econômica, por utilizar um meio de comunicação já estruturado. Alguns exemplos de novas formas de comunicação são: conexão entre diversas filiais, parceiros e fornecedores (e-business); comércio eletrônico (e-commerce), serviços públicos fornecidos pelo governo (e-governance); etc. Com todas estas possibilidades, surgem também novos métodos de expor nossa informação e, consequentemente, são criadas novas formas de se obter a informação de forma inescrupulosa.
Ante todos estes pontos inicialmente mencionados, a seguinte questão é levantada: Qual é o real valor da informação nesta Era Digital, onde os computadores são imprescindíveis em um ambiente corporativo? A informação “é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida” [NBR 27002, 2005]. Diante de todos os pontos levantados e desta afirmação acima, percebe-se sua importância.
“As organizações, seus sistemas de informação e redes de computadores são expostos a diversos tipos de ameaças à segurança da informação, incluindo fraudes eletrônicas, espionagem, sabotagem, vandalismo, incêndio e inundação” [NBR 27002, 2005]. É notório que o risco envolve todos os segmentos da organização, cada um com um nível diferenciado. Este nível é a probabilidade de um incidente de segurança ocorrer em um determinado segmento, multiplicado pelo valor da informação no mesmo. Quando um incidente de segurança ocorre, seja ele acidental ou intencional, pode acarretar na perda de valores da organização. O prejuízo pode ser incalculável, principalmente se o ativo principal da organização for perdido: a informação. A informação digital também está susceptível aos incidentes de segurança e deve ser protegida com o mesmo rigor.
Na área da segurança digital existem diversos aplicativos e sistemas que protegem os níveis de rede da organização. O IDS é um dos sistemas que possui esta função. Sua proteção abrange do nível de enlace ao nível de aplicação da pilha TCP/IP, podendo alertar sobre anomalias na rede e até prevenir certos tipos de ataque.
Neste contexto, o Snort é uma ferramenta com funções de IDS via rede que, em comparação com os concorrentes de código-aberto, possui uma grande popularidade. O motivo é o seu método de funcionamento, que não demanda grande poder de processamento.
Com base nisso, neste artigo será abordada a estrutura de funcionamento do Snort, demonstrando a função de cada segmento que compõe a ferramenta. Também será abordado um exemplo prático com detalhes, bem como boas práticas de segurança.
Nota DevMan 1. Era Digital
Também chamada de Era da Informação, esta é a era caracterizada pela habilidade de o indivíduo trocar informações livremente, além de ter acesso instantâneo à informação. Algo que poderia ser difícil ou até impossível de ser realizado no passado.
Histórico
Lançada em 1998 por Martin Roesch, a ferramenta Snort (gratuita e de código-livre) foi uma das primeiras em seu segmento a realizar análise de tráfego em tempo real e registro dos pacotes de forma leve, utilizando recursos mínimos de processamento. À medida que o Snort foi amadurecendo, foi se tornando o padrão em IDS.
Mais tarde, em 2001, Martin Roesch fundou a Sourcefire com o intuito de atender a toda a demanda oferecida pela versão comercial do Snort. Pelo fato de as ameaças encontradas requererem uma resposta dinâmica, a Sourcefire reforça a segurança com o Time de Pesquisa de Vulnerabilidades Sourcefire (Vulnerability Research Team – VRT), que é uma equipe formada por especialistas em segurança que proativamente descobrem vulnerabilidades, malwares, atividades hackers e outras atividades maliciosas na rede. Em consequência, são criadas regras para o Snort identificar os pacotes suspeitos.
"
A exibição deste artigo foi interrompida.
Este é um post disponível para assinantes MVPEste post também está disponível para assinantes da Infra Magazine
ou para quem possui Créditos DevMedia. Clique aqui para saber mais!
ou para quem possui Créditos DevMedia. Clique aqui para saber mais!
Renato Carneiro Pacheco
Atua como Analista de Redes e Segurança há 2 anos, trabalhando com sistemas Linux, Windows e FreeBSD. Atua, também, como professor em instituição de graduação e pós-graduação. Pós-Graduado em Segurança de Redes e bacharel em Tecnologia de Redes de Comunicação. Possui certificado LPIC-1. Palestrante ...
O que você achou deste post?
Cursos relacionados
Publicidade
