Atenção: esse artigo tem um vídeo complementar. Clique e assista!

Do que se trata o artigo:

Neste artigo serão expostos os conceitos da ferramenta Snort, seu histórico e definições de IDS. Também serão mostradas suas funcionalidades, exemplos práticos e, por fim, recomendações de boas práticas de segurança no uso em produção.


Em que situação o tema é útil:

O tema é útil para facilitar a compreensão do funcionamento do Snort, bem como sua utilização em ambientes corporativos. As boas práticas de segurança descritas no final do artigo fortalecem a implementação do Snort, reduzindo falsos positivos e otimizando o desempenho da ferramenta.

Resumo DevMan:

A palavra “segurança”, na era atual da informática, tornou-se um requisito mínimo em ambientes corporativos. Muitas organizações dependem da segurança para expor suas negociações, transações e/ou parcerias via Internet, para manter a proteção da informação e não perder a credibilidade com o cliente. Neste contexto, os Sistemas de Detecção de Intrusão, ou IDS, podem detectar ataques contra serviços disponíveis na rede privada e Internet e até evitar que o atacante possa efetuar algum dano à rede corporativa. Assim, abordaremos neste artigo o Snort, uma ótima ferramenta IDS.

Dentro do cenário empresarial, a informação é um componente valioso e imprescindível que muitas vezes determina quem lidera o mercado. Assim, empresas de todos os setores trabalham em cima deste valor tentando aprimorá-lo, enriquecê-lo e torná-lo privado, na medida do possível, especialmente por ser um elemento construído com o mérito de todos os ativos da empresa.

Quando falamos em informação empresarial dentro de um contexto contemporâneo, nos referimos à velocidade com que a informação é tratada, graças à tecnologia atual que permite o acesso de todos os ativos em tempo real. A denominada Era Digital (ver Nota DevMan 1) transformou a maneira com que as organizações tratam a informação. As máquinas, por sua vez, complementam e dinamizam toda rotina do ser humano, acelerando e enriquecendo os ativos da empresa.

A Internet é um dos principais responsáveis pela evolução da Era Digital, nos proporcionando novos meios para trocar informações, permitindo a comunicação em tempo real e de forma mais econômica, por utilizar um meio de comunicação já estruturado. Alguns exemplos de novas formas de comunicação são: conexão entre diversas filiais, parceiros e fornecedores (e-business); comércio eletrônico (e-commerce), serviços públicos fornecidos pelo governo (e-governance); etc. Com todas estas possibilidades, surgem também novos métodos de expor nossa informação e, consequentemente, são criadas novas formas de se obter a informação de forma inescrupulosa.

Ante todos estes pontos inicialmente mencionados, a seguinte questão é levantada: Qual é o real valor da informação nesta Era Digital, onde os computadores são imprescindíveis em um ambiente corporativo? A informação “é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida” [NBR 27002, 2005]. Diante de todos os pontos levantados e desta afirmação acima, percebe-se sua importância.

“As organizações, seus sistemas de informação e redes de computadores são expostos a diversos tipos de ameaças à segurança da informação, incluindo fraudes eletrônicas, espionagem, sabotagem, vandalismo, incêndio e inundação” [NBR 27002, 2005]. É notório que o risco envolve todos os segmentos da organização, cada um com um nível diferenciado. Este nível é a probabilidade de um incidente de segurança ocorrer em um determinado segmento, multiplicado pelo valor da informação no mesmo. Quando um incidente de segurança ocorre, seja ele acidental ou intencional, pode acarretar na perda de valores da organização. O prejuízo pode ser incalculável, principalmente se o ativo principal da organização for perdido: a informação. A informação digital também está susceptível aos incidentes de segurança e deve ser protegida com o mesmo rigor.

Na área da segurança digital existem diversos aplicativos e sistemas que protegem os níveis de rede da organização. O IDS é um dos sistemas que possui esta função. Sua proteção abrange do nível de enlace ao nível de aplicação da pilha TCP/IP, podendo alertar sobre anomalias na rede e até prevenir certos tipos de ataque.

Neste contexto, o Snort é uma ferramenta com funções de IDS via rede que, em comparação com os concorrentes de código-aberto, possui uma grande popularidade. O motivo é o seu método de funcionamento, que não demanda grande poder de processamento.

Com base nisso, neste artigo será abordada a estrutura de funcionamento do Snort, demonstrando a função de cada segmento que compõe a ferramenta. Também será abordado um exemplo prático com detalhes, bem como boas práticas de segurança.

Nota DevMan 1. Era Digital

Também chamada de Era da Informação, esta é a era caracterizada pela habilidade de o indivíduo trocar informações livremente, além de ter acesso instantâneo à informação. Algo que poderia ser difícil ou até impossível de ser realizado no passado.

Histórico

Lançada em 1998 por Martin Roesch, a ferramenta Snort (gratuita e de código-livre) foi uma das primeiras em seu segmento a realizar análise de tráfego em tempo real e registro dos pacotes de forma leve, utilizando recursos mínimos de processamento. À medida que o Snort foi amadurecendo, foi se tornando o padrão em IDS.

Mais tarde, em 2001, Martin Roesch fundou a Sourcefire com o intuito de atender a toda a demanda oferecida pela versão comercial do Snort. Pelo fato de as ameaças encontradas requererem uma resposta dinâmica, a Sourcefire reforça a segurança com o Time de Pesquisa de Vulnerabilidades Sourcefire (Vulnerability Research Team – VRT), que é uma equipe formada por especialistas em segurança que proativamente descobrem vulnerabilidades, malwares, atividades hackers e outras atividades maliciosas na rede. Em consequência, são criadas regras para o Snort identificar os pacotes suspeitos.

Snort

O Snort é uma ferramenta de código aberto que atua como IDS via rede (também chamado de NIDS – Network Intrusion Detection System), combinando inspeções em protocolos e assinaturas e, ainda, podendo identificar o ataque através do comportamento anormal do tráfego da rede. A forma de detecção dos ataques é baseada em regras (também chamadas de assinaturas), podendo ser adquiridas em [1]. O registro para obtê-las é obrigatório.

A eficiência da ferramenta se deve à equipe VRT, que atua ativamente para detectar as vulnerabilidades e criar as regras para proteger a rede. As regras são lançadas mensalmente. Na versão gratuita é possível obter as regras com um mês de atraso com relação às regras disponíveis na versão comercial.

Nas primeiras versões, o Snort possuía apenas a função de sniffer (ver Nota DevMan 2). Com os aprimoramentos, passou a gerar logs dos pacotes coletados para uma melhor compreensão e, com suas funções descentralizadas, obteve a função de IDS.

Nota DevMan 2. Sniffer

Sniffer é um analisador de pacotes que possui a característica de coletar pacotes que trafegam na interface de rede do computador para fins de depuração.

Componentes

...
Quer ler esse conteúdo completo? Seja um assinante e descubra as vantagens.
  • 473 Cursos
  • 10K Artigos
  • 100 DevCasts
  • 30 Projetos
  • 80 Guias
Tenha acesso completo