Segurança da Informação 3

Prévia do material em texto

Segurança da 
Informação
Material Teórico
Responsável pelo Conteúdo:
Prof. Dr. Vagner da Silva
Revisão Textual:
Prof. Me. Claudio Brites
Principais Mecanismos de Defesa
• Introdução aos sistemas de defesa;
• Firewall.
• Compreender a necessidade de manter uma rede segura pelo uso de ferramentas 
que difi cultam ou bloqueiam ataques a informações;
• Implementar uma ferramenta de detecção de intrusos para monitorar pacotes 
 suspeitos na rede de computadores;
• Conhecer os principais mecanismos de defesa para garantir uma rede mais segura.
OBJETIVOS DE APRENDIZADO
Principais Mecanismos de Defesa
Orientações de estudo
Para que o conteúdo desta Disciplina seja bem 
aproveitado e haja maior aplicabilidade na sua 
formação acadêmica e atuação profissional, siga 
algumas recomendações básicas: 
Assim:
Organize seus estudos de maneira que passem a fazer parte 
da sua rotina. Por exemplo, você poderá determinar um dia e 
horário fixos como seu “momento do estudo”;
Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma 
alimentação saudável pode proporcionar melhor aproveitamento do estudo;
No material de cada Unidade, há leituras indicadas e, entre elas, artigos científicos, livros, vídeos e 
sites para aprofundar os conhecimentos adquiridos ao longo da Unidade. Além disso, você tam-
bém encontrará sugestões de conteúdo extra no item Material Complementar, que ampliarão 
sua interpretação e auxiliarão no pleno entendimento dos temas abordados;
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discus-
são, pois irão auxiliar a verificar o quanto você absorveu de conhecimento, além de propiciar o 
contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e 
de aprendizagem.
Organize seus estudos de maneira que passem a fazer parte 
Mantenha o foco! 
Evite se distrair com 
as redes sociais.
Mantenha o foco! 
Evite se distrair com 
as redes sociais.
Determine um 
horário fixo 
para estudar.
Aproveite as 
indicações 
de Material 
Complementar.
Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma 
Não se esqueça 
de se alimentar 
e de se manter 
hidratado.
Aproveite as 
Conserve seu 
material e local de 
estudos sempre 
organizados.
Procure manter 
contato com seus 
colegas e tutores 
para trocar ideias! 
Isso amplia a 
aprendizagem.
Seja original! 
Nunca plagie 
trabalhos.
UNIDADE Principais Mecanismos de Defesa
Introdução aos sistemas de defesa
As informações geradas pelas empresas passaram a ter importância e valor 
muito maior do que o próprio patrimônio físico que elas possuem. Manter essas 
informações seguras, utilizando-se de mecanismos de defesa, diminuirá as chances 
de serem obtidas por pessoas alheias.
Há muitas formas de manter essas informações seguras, utilizando-se de tec-
nologias de segurança e configurações de dispositivos de redes. A quantidade de 
bloqueios e níveis de segurança são influenciados pelo investimento financeiro e a 
burocratização para o uso da rede de computadores pelos usuários.
Para que se possa começar a definir quais as tecnologias de segurança que uma 
empresa precisará, ela deverá começar a identificar alguns itens como:
• A rede possui um único ponto de firewall ou apenas usa o firewall do siste-
ma operacional?
• O firewall consiste em um equipamento ou em um software instalado no ser-
vidor ou em uma ou mais máquinas?
• Há algum método de detecção de invasão virtual ou biométrico?
• Que tipo de antivírus está sendo usado, ele cobre os requisitos necessários de 
um bom antivírus?
• Está sendo usada rede wireless, estão configurados os principais pontos de 
segurança para torná-la protegida?
• Minha rede tem um detector de anomalias, ou seja, há alguma técnica usada 
para detectar mudança de padrões na rede?
• Há a necessidade de um gerenciador de identidade, ou seja, técnicas que ga-
rantam a manutenção de acesso a recursos e sistemas?
• Em que local se encontram os equipamentos estratégicos da empresa e, em 
linhas gerais, quem está autorizado a acessá-los?
• A empresa permite que funcionários, parceiros e clientes acessem a rede da 
empresa remotamente?
• Como são validados e controlados esses acessos remotos?
• Tem configurado uma rede desmilitarizada (DMZ) na empresa? Ela está, real-
mente, separada da rede interna?
• Qual técnica está sendo usada para separar a rede interna da rede desmilitari-
zada (DMZ)?
• Qual o nível de acesso a arquivos e à própria rede definido para cada usuário?
Avaliaremos alguns desses mecanismos de defesa que são usados pelas empresas.
8
9
Firewall
Com a evolução dos computadores, seus aplicativos, sistemas operacionais e, 
consequentemente, das redes de computadores, as máquinas suportam muitas 
características atendendo a diversas áreas da educação, do comércio, governa-
mentais e industriais. Essa complexidade pode deixar, em um primeiro momento, 
falhas que por sua vez podem ser a porta de entrada de ataques externos. Para 
que as falhas sejam minimizadas, foi criada uma ferramenta a qual chamamos de 
firewall. Ela foi desenvolvida exatamente para isolar as máquinas do ambiente 
externo da internet, bloqueando acessos que tenham como objetivo explorar essas 
vulnerabilidades.
O firewall é a principal ferramenta de combate à invasão nos sistemas de com-
putadores. A sua associação com a segurança sempre é feita entre várias técnicas 
utilizadas para combater invasões em redes de computadores. É comum que se 
encontre denominações relacionando-o como sendo o mais importante item no 
que diz respeito à segurança de redes e, por sua característica, isso o faz ser sempre 
colocado como linha de frente no combate a intrusões.
O firewall é um recurso de rede cuja função é administrar, filtrar o tráfego dos 
pacotes entre redes distintas e impedir a transmissão de dados nocivos ou não de 
uma rede a outra. Ele é utilizado para filtrar os pacotes não autorizados de um 
domínio de rede a outro, portanto, ele age como um guardião evitando que deter-
minados pacotes mal-intencionados sejam recebidos pela rede. Portanto, todos os 
equipamentos e softwares que atende a requisitos de filtragem de pacotes podem 
ser denominados firewall.
Com a evolução da tecnologia, os firewalls foram ganhando novos recursos 
para melhorar a filtragem de pacotes, portanto, além da filtragem de número de 
portas, ele considera também na filtragem os endereços IPs de origem e destino, 
protocolos da camada de transporte e os aplicativos.
Seu uso está relacionado ao grau de complexidade das regras estabelecidas 
pelas empresas que restringem o fluxo de entrada, com o tamanho da rede e o 
nível de segurança desejados. O firewall pode se apresentar na forma de sof-
tware ou então na forma de hardware. Inclusive, pode-se utilizar ambos os tipos 
para se aumentar o nível de segurança entre as redes que estão sendo monito-
radas por eles.
A configuração de um mecanismo para controle de tráfego e acesso à rede 
baseados em um aplicativo firewall deve ser desenvolvido por meio de um procedi-
mento cuidadoso. Deve-se ter como referência a política de segurança estabelecida 
pela empresa como diretriz para a configuração dos filtros.
9
UNIDADE Principais Mecanismos de Defesa
Importante!
Um firewall é representado por uma parede. Quando encontrar o símbolo semelhante a 
este , significa que há um firewall para filtrar pacotes.
Você Sabia?
Funcionamento de um firewall
Conforme já descrito acima, o firewall deve ser configurado seguindo os pa-
râmetros estabelecidos pela empresa. Esses parâmetros são definidos conforme 
sua necessidade e a política estabelecida, configurados em um firewall e, a partir 
desse momento, tornando-se regras. Um firewall analisa os campos contidos nos 
cabeçalhos da grande maioria dos pacotes na camada do modelo TCP/IP. Pode-
mos criar muitos tipos de regras a serem avaliadas pelo firewall na filtragem desses 
pacotes. As ações a serem executadas em um pacotesão: aceitar; descartar; rejei-
tar o pacote. Para executar quaisquer dessas ações pré-estabelecidas pelas regras, 
primeiramente, ele tomará como referência informações contidas no cabeçalho de 
qualquer pacote que passa por ele.
A diferença entre as ações Descartar (DROP) e Rejeitar (Reject) está na ação 
após o pacote ser desconsiderado. Na ação Drop, não há envio de mensagem des-
crevendo por qual motivo o pacote foi descartado. Na ação Reject, é enviada uma 
mensagem para a origem descrevendo o motivo da rejeição.
Vejamos então alguns dos tipos de informações que o firewall pode se basear 
para realizar a filtragem dos pacotes:
• Endereço de origem e endereço destino;
• Mascara de sub-rede de origem e de destino;
• Porta de origem e porta de destino;
• Tipo de protocolo;
• Interface de entrada e interface de saída;
• Status da conexão;
• Identificação do pacote;
• Entre outras.
Nominalmente, há cinco tipos de firewalls definidos em conexões internet, des-
critos a seguir.
• Firewall de filtragem de quadros
Esse tipo de firewall tem como função analisar os quadros referentes à camada 
de enlace
10
11
Aplicação
Apresentação
Seção
Transporte
Rede
Enlace
Física
Roteadores
Switch
hub
Figura 1 – Camadas do modelo de referência OSI (camada de enlace)
#paratdosverem: Imagem colorida das camadas do modelo de referência OSI, ou seja, 
camada de lance. Na figura temos sete blocos retangulares coloridos com riscos pe-
quenos em cada um em posições diversas, como se fossem marcadores, sendo que 
no segundo bloco que é o amarelo de baixo para cima tem uma seta e está escrito 
Roteadores Switch hub. #fimdadescrição
Nessa camada, o filtro é feito a nível de bits sobre as tecnologias usadas, por exem-
plo, Ethernet 802.3, Token Ring, FDDI e outros. Filtrar os quadros e descartar os sus-
peitos, evita que eles sejam examinados por filtros definidos em camadas superiores.
• Firewall de filtragem de pacotes
Por ter surgido com essa finalidade, esse tipo de firewall é um dos mais conhe-
cidos e usados, grande parte dos roteadores oferece esse tipo de configuração, a 
qual chamamos de lista de acesso.
Aplicação
Apresentação
Seção
Transporte
Rede
Enlace
Física
Roteadores
Switch
hub
Figura 2 – Camadas do modelo de referência OSI (Camada de Rede)
#paratdosverem: Imagem colorida das camadas do modelo de referência OSI, ou seja, 
camada de rede. Na figura temos sete blocos retangulares coloridos com mais de um 
risco pequeno, pontos e virgulas em cada um, em posições diversas, como se fossem 
marcadores, sendo que no terceiro bloco que é o verde de baixo para cima tem uma 
seta e está escrito Roteadores Switch hub. #fimdadescrição
Caso a empresa tenha que implantar várias regras de filtragem, então, o ideal é 
usar um dispositivo que não seja o roteador como firewall, dessa forma, otimiza-se 
os recursos e torna-se a rede mais eficiente. Os sistemas operacionais, geralmente, 
apresentam também recursos para filtragem de pacotes – o Linux disponibiliza o 
IPTables como ferramenta para configuração.
11
UNIDADE Principais Mecanismos de Defesa
• Firewall gateway de circuito
Geralmente, identifica as ações executadas por determinado usuário, registra de 
onde vieram e para onde vão através das autenticações feitas. Os mecanismos que 
envolvem um proxy é um bom exemplo de firewall de gateway de circuito, ou seja, 
o usuário deve ter permissão para acessar determinadas páginas.
Usuário
Internet
Proxy
Figura 3 – Proxy
#paratodosverem: Figura demonstrando um monitor de computador escrito usuário 
embaixo, interligado por pontinhos a nuvem que está escrito em internet embaixo, 
que está ligada por meio de uma linha no Proxy, representado por um celular e é liga-
do por uma linha ao usuário, estão formando um ciclo ou um círculo. #fimdadescrição
• Firewall de estado total
Os ataques evoluíram aproveitando falhas nas transações entre aplicações. Ata-
ques como forjar endereço IP, aquisição de sessão tomando carona na aplicação, 
sequestro de sessão e outros foram identificados ao longo do tempo.
Para evitar esses ataques, os firewalls tiveram que se aperfeiçoar, no sentido de 
identificar o comportamento e identificar qualquer problema em transações feitas 
por esses aplicativos. Embora a solução prevista nesse tipo de firewall seja eficien-
te, por si só não garante outros tipos de filtros.
• Firewall proxy
Também conhecido como gateway de aplicação, tem como função principal 
examinar detalhes das aplicações que estão sendo usadas.
Aplicação
Apresentação
Seção
Transporte
Rede
Enlace
Física
Roteadores
Switch
hub
Figura 4 – Camadas do modelo de referência OSI (Camada de aplicação)
#paratdosverem: Imagem colorida das camadas do modelo de referência OSI, ou seja, 
camada de aplicação. Na figura temos sete blocos retangulares coloridos com vários 
símbolos pequenas parecendo palavras cortadas em cada um, como se fossem marca-
dores, sendo que no último bloco que é o rosa claro de baixo para cima tem uma seta 
e está escrito Roteadores Switch hub. #fimdadescrição
12
13
No firewall proxy, você poderá criar regras para examinar melhor a aplica-
ção – por exemplo, se o administrador de rede quiser estabelecer que somente será 
possível baixar arquivos da internet usando uma aplicação FTP, mas quiser também 
impedir que alguém de fora da empresa insira arquivos em computadores da sua 
rede usando a aplicação FTP, poderá fazer isso com esse tipo de firewall.
É importante notar que, com a evolução de equipamentos e softwares de fi-
rewall, esses cinco tipos de apresentados foram convergindo de forma que um 
único equipamento ou software apresente possibilidades de configurá-los sem que 
se tenha, de forma clara, a divisão entre eles.
Além do firewall configurado nos equipamentos de borda da empresa, é interes-
sante deixar habilitado o firewall do sistema operacional. No sistema operacional 
Windows, o firewall é habilitado automaticamente após sua instalação; no entanto, 
o usuário poderá fazer algumas alterações caso sejam necessárias. Para alterar as 
configurações básicas no Windows 8, basta que se entre no painel de console e 
selecione a opção Firewall do Windows, a seguinte janela será aberta (Figura 5).
Figura 5 – Janela de confi guração do Firewall do Windows
#paratodosverem: Imagem de uma janela de configuração do firewall do Windows 
onde está descrita Firewall do Windows com Segurança Avançada em Computador 
Local. Perfil Domínio: firewall do Windows ativo, conexões de entrada que não corres-
ponde a uma regra são bloqueadas e conexões de saída que não corresponde a uma 
regra são permitidas. Perfil Particular Ativo: firewall do Windows ativo, conexões de 
entrada que não corresponde a uma entrega são bloqueadas e conexões de saída que 
não corresponde a uma regra são permitidas. Perfil Público Ativo: firewall do Windows 
ativo, conexões de entrada que não corresponde a uma regra são bloqueadas e cone-
xões de saída que não corresponde a uma regra são permitidas. Propriedades dDo 
Firewall do Windows. #fimdadescrição
É importante notar que o firewall está ativado e assim deverá permanecer. Na 
parte superior esquerda da janela apresentada na Figura 6, pode-se acessar as re-
gras de entrada, de saída, além das regras de segurança e monitoramento.
13
UNIDADE Principais Mecanismos de Defesa
Selecionadas as regras de entrada, pode-se ver no centro as aplicações que es-
tão habilitadas ou não. Ao selecionar uma aplicação, é possível observar no lado di-
reito da janela as ações e propriedades dessa aplicação. Selecionando a aplicação, 
é apresentada uma janela que possibilita configurar a permissão ou o bloqueio.
Figura 6 – Janela de configuração do Firewall
#paratodosverem: Imagem colorida de um print de tela da janela de configuração do 
firewall do Windows, do lado esquerdo da figura nós temos um menu com as opções 
de segurança, regras de entrada, regras de saída, regras de segurança de conexão e 
monitoramento, ao centro nós temos as regrasde entrada com o menu: Apple Push 
Service, Cyber link, entre outros grupos ,onde abre uma mensagem com aa proprie-
dade do Dropbox e na última, a esquerda nós temos as ações: regras de entrada, nova 
regra, filtrar por perfil, filtrar por Estado, filtrar por grupo, exibir, atualizar, exportar 
lista e ajudar. E por fim, Dropbox: desabilitar regra, recortar, copiar, excluir, proprieda-
des e ajuda. #fimdadescrição
Há várias abas na janela Propriedades de nome da aplicação, elas oferecem 
a possibilidade de configurar mais detalhadamente às regras do firewall.
As configurações de firewall disponibilizadas pelo sistema operacional cliente 
do Windows são básicas e devem fazer parte das ferramentas usadas para aumen-
tar a segurança. Caso queira instalar o firewall como complemento ao nativo do 
Windows, há softwares que podem ser baixados da internet que permitem confi-
gurações mais detalhadas.
IDS (Sistema de Detecção de Intrusos)
Os sistemas de detecção de intrusos (IDS) são uma ferramenta usada por ad-
ministradores de redes com o objetivo de avaliar se algo estranho está ocorrendo 
na rede. Tendo a informação como o bem mais precioso de uma empresa, verificar 
se há algo ocorrendo na rede de computadores é fundamental para manter o maior 
nível possível de segurança.
14
15
Há alguns IDS disponíveis para as diversas plataformas existentes. A seguir, 
você aprenderá como instalar o snort no sistema operacional Linux. O snort é um 
IDS open-source e, embora sejam trabalhosas sua instalação e configuração, ele é 
muito eficaz ao que se propõe.
Antes de instalar o snort, é importante que se faça uma atualização dos pacotes 
instalados no sistema operacional Linux. Para isso, execute o comando apresen-
tado na Figura 7.
Figura 7 – Comando para atualização dos pacotes
#paratodosverem: Imagem em preto e branco de um comando para atualizações dos 
pacotes descrita: ˜$ sudi apto-get update && sudi apto-get updrade. #fimdadescrição
O snort precisa de algumas dependências; portanto, vamos instalar essas depen-
dências. A Figura 8 apresenta o comando para baixar e instalar essas dependências.
Figura 8 – Comando para baixar algumas dependências
#paratodosverem: Imagem em preto e branco de um comando para baixar algumas de-
pendências descrita: ˜$ sudi apto-get instal -y build-essential lipcap-dev libpcre3-dev 
libdumbnet-dev bison flex zliblg-dev. #fimdadescrição
Após baixar e instalar umas dependências, criaremos um diretório para des-
carregar outras dependências do snort. Dentro do diretório criado, baixaremos o 
DAQ-2.0.6. A Figura 9 apresenta o comando necessário para criar o diretório, 
mover para dentro dele e baixar o daq-2.0.6.
Figura 9 – Comando para criar diretório e baixar o arquivo daq
#paratodosverem: Imagem em preto e branco de um comando para criar diretório e 
baixar arquivo dap. descrita: ˜$ mkdir /̃snort_src && cd /̃snort_src s̃nort_src$ wget 
htpps://www.snort.org/download/snort/daq-2.0.6.tar.gz. #fimdadescrição
O arquivo daq está compactado. Para descompactá-lo, basta executar o comando 
tar conforme a Figura 10.
Figura 10 – Comando para descompactar o arquivo daq
#paratodosverem: Imagem em preto e branco de um comando para descompactar o 
arquivo dap. descrita: s̃nort_src$ tar xvfz daq-2.0.6.tar.gz.. #fimdadescrição
Com a descompactação do arquivo daq, é disponibilizado um diretório daq-2.0.6
que contém o script para instalação e configuração do arquivo. A Figura 11 apre-
senta os comandos necessários para execução do script.
15
UNIDADE Principais Mecanismos de Defesa
Figura 11 – Comandos para execução do script
#paratodosverem: Imagem em preto e branco de um comando para execução do 
script descrita: s̃nort_src$ cd daq-2.06/. s̃nort_src/daq-2.06$ ./configure && make 
&& sudo make install. #fimdadescrição
Assim que terminar a execução do script, execute o comando cd.. para voltar um 
nível do diretório ~/snort_src e baixe o snort utilizando o comando apresentado na 
Figura 12.
Figura 12 – Comandos para baixar o snort
#paratodosverem: Imagem em preto e branco de comandos para baixar snort descrita: 
˜$ sudo wget https://snorg.org/downloads/snort/snort-2.9.12.tar.gz. #fimdadescrição
O arquivo baixado está compactado. Para descompactá-lo, basta executar o 
comando apresentado na Figura 13.
Figura 13 – Comando para descompactação
#paratodosverem: Imagem em preto e branco de um comando para descompactação 
descrita: ˜$ tar xvfz snort-2.9.12.tar.gz. #fimdadescrição
Ao descompactar o arquivo, moveremos ele para o diretório snort-2.9.12 usan-
do o comando cd snort-2.0.12 e executaremos um script para fazer a instalação 
do snort. A Figura 14 apresenta o comando para execução do script.
Figura 14 – Comando para execução do script
#paratodosverem: Imagem em preto e branco de um comando para execução do scrip des-
crita: $ ./configure –enable-sourcefire && make && sudo make install. #fimdadescrição
Agora, execute o comando cd para voltar à raiz do seu diretório e execute o 
comando da Figura 15 para instalar as bibliotecas compartilhadas.
Figura 15 – Comando para instalar bibliotecas compartilhadas e criação de links
#paratodosverem: Imagem em preto e branco de um comando para instalar biblio-
tecas compartilhadas e criação de links descrita: ˜$ sudo ldconfig -˜$ sudo ln -s /usr/
local/bin/snort /usr/sbon/snort. #fimdadescrição
Uma vez o snort instalado, é possível, pelo comando snort -V, verificar a versão 
e se essa está em funcionamento. A Figura 16 apresenta as informações apresen-
tadas após a execução do comando snort -V.
16
17
Figura 16 – Informação sobre o snort
#paratodosverem: Imagem em preto e branco de informação sobre snort. #fimdadescrição
Executaremos alguns comandos para configurar o snort. A primeira etapa a fazer 
será criar um usuário e grupo snort. Para isso, execute os comandos da Figura 17.
Figura 17 – Criação de grupo e usuário
#paratodosverem: Imagem em preto e branco de uma criação de grupo e usuário des-
crita: ˜$ sudo groupadd snort ˜$ sudi useradd snort -r -s /sbin/nologin -c SNORT IDS -g 
snort . #fimdadescrição
O snort organiza suas informações como arquivos de configurações e regras em 
diretórios específicos. Sendo assim, criaremos esses diretórios da seguinte forma: 
os arquivos de configuração ficarão em /etc/snort/rules; as regras de compilação 
ficarão em /usr/local/lib/snort/dynamicrules; e os registros estarão em /var/
log/snort/. A Figura 18 apresenta a criação desses diretórios.
Figura 18 – Criação dos diretórios
#paratodosverem: Imagem em preto e branco de uma criação dos diretórios descri-
ta: ˜$ sudo sudo mkdir /etc/snort ˜$ mkdir /etc/snort/rules ˜$ mkdir /etc/snort/rules/
iplists ˜$ mkdir /etc/snort/preproc-rules ˜$ mkdir /usr/local/lib/snort_dynamicrules ˜$ 
mkdir /etc/snort/so_rules. #fimdadescrição
Dentro de alguns diretórios criados, criaremos arquivos que armazenarão regras 
e listas de IP. A Figura 19 apresenta os comandos para criação desses arquivos.
Figura 19 – Criação dos arquivos
#paratodosverem: Imagem em preto e branco de uma criação de arquivos descrita: 
˜$ sudo touch /etc/snort/rules/iplists/black_list.rules ˜$ sudo touch /etc/snort/rules/
iplists/white_list.rules ˜$ sudo touch /etc/snort/rules/local.rules ˜$ sudo touch /etc/
snort/sid-msg.map. #fimdadescrição
17
UNIDADE Principais Mecanismos de Defesa
Os registros de log referentes aos eventos relacionados ao snort ficarão nos 
diretórios criados conforme Figura 20.
Figura 20 – Criação de diretório e arquivo
#paratodosverem: Imagem em preto e branco de uma criação de diretórios arqui-
vos descritos: ˜$ mkdir /var/log/snort ˜$ sudo mkdir /var/log/snort/archived_logs. 
#fimdadescrição
Falta agora ajustar as permissões de diretórios criados. Execute os comandos 
apresentados na Figura 21.
Figura 21 – Alteração de permissão de diretórios
#paratodosverem: Imagem em preto e branco de uma alteração de permissão de dire-
tórios descrita: ˜$ sudo chmod -R 5775 /etc/snort ˜$ sudo chmod -R 5775 /var/log/snort 
˜$ sudo chmod -R5775 /var/log/snort/archived_logs ˜$ sudo chmod -R 5775 /etc/snort/
so_rules ˜$ sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules. #fimdadescrição
É necessário que alguns arquivos de configuração sejam copiados do diretório 
snort para o diretório snort_src/snort-2.9.12/etc. Para isso, execute os coman-
dos apresentados na Figura 22.
Figura 22 – Copiando arquivos
#paratodosverem: Imagem em preto e branco de copiando arquivos descrita: ˜$ cd 
snort_src/snort-2.9.12/etc/ ˜$ sudo cp *.conf* /etc/snort s̃udo cp*.map /etc/snort ˜$ 
sudo cp *.dtd /etc/snort. #fimdadescrição
Ao copiar os arquivos para os diretórios, vá para o diretório raiz do seu usuário. 
Para isso, execute o comando cd e, a partir desse diretório, nos moveremos para 
o diretório snort_dynamicpreprocessor para copiar alguns arquivos. A Figura 23 
apresenta a execução dos comandos.
Figura 23 – Copiando arquivos
#paratodosverem: Imagem em preto e branco de copiando arquivos descrita: ˜$ cd 
snort_src/snort-2.9.12/src/dynamic-preprocessors/build/usr/local/usr/lib/snort_ 
dynamicprocesso/ bash do linux ̃ $ sudo cp* /usr/local/lib/snort_dybamicpreprocessor/ 
bash do linux. #fimdadescrição
18
19
Como já foram preparados os diretórios e arquivos que serão usados pelo snort, 
agora editaremos o arquivo de configuração para implementar algumas alterações. 
A primeira delas refere-se a comentar algumas linhas; portanto, o comando apre-
sentado na Figura 24 deverá ser executado.
Figura 24 – Comando para alteração do arquivo
#paratodosverem: Imagem em preto e branco de um comando para alteração de ar-
quivo descrita: ˜$ sudo sed -i “s/include/$RULE\_PATH/#include \$RULE_\PATH/”/etc/
snort/snort.conf. #fimdadescrição
Abriremos o arquivo de configuração para edição usando o comando apresen-
tado na Figura 25.
Figura 25 – Comando para edição do arquivo
#paratodosverem: Imagem em preto e branco de um comando para edição do arquivo 
descrita: ˜$ sudo gedit /etc/snort/snort.conf. #fimdadescrição
Definiremos qual rede será monitorada, para isso, identifique, conforme Figu-
ra 26, a linha selecionada (proximidades da linha 45) e defina o endereço da rede 
que será monitorado.
Figura 26 – Alteração do arquivo snort.conf
#paratodosverem: Imagem em preto e branco de um print de tela da alteração do ar-
quivo snort.conf. #fimdadescrição
Nesse mesmo arquivo, próximo à linha número 104, insira os comandos para 
o caminho no qual serão usados os arquivos de regras já criados anteriormente. 
A Figura 27 apresenta esses comandos.
19
UNIDADE Principais Mecanismos de Defesa
Figura 27 – Alteração do arquivo snort
#paratodosverem: Imagem em preto e branco de uma alteração do arquivo snort 
descrita: var RULE_PATH /etc/snortrules var SO_RULE_PATH /etcsnort/so_rules var 
PREPROC_RULE_PATH /etc/snort/preproc_rules var WHITE_LIST_PATH /etc/snort/
rules/iplists var BLACK_LIST_PATH /etc/snort/rules/iplists. #fimdadescrição
A Figura 28 indica em que posição deverão ser inseridos os comandos apresen-
tados na Figura 27.
Figura 28 – Alteração do arquivo snort
#paratodosverem: Imagem em preto e branco de um print de tela da alteração do ar-
quivo snort. #fimdadescrição
Já que fizemos a configuração desejada, comentaremos duas linhas que por 
padrão já estão definidas no arquivo snort.conf. A Figura 29 apresenta as duas 
linhas que deverão ser comentadas com o símbolo # no início das linhas.
Figura 29 – Alteração do arquivo snort
#paratodosverem: Imagem em preto e branco de um print de tela da alteração do ar-
quivo snort. #fimdadescrição
20
21
Nesse mesmo arquivo, tire o símbolo de comentário # da linha selecionada, 
conforme apresentado na Figura 30.
. 
Figura 30 – Alteração do arquivo snort.conf
#paratodosverem: Imagem em preto e branco de um print de tela da alteração do ar-
quivo snort.conf. #fimdadescrição
Com essas alterações efetuadas, grave o arquivo e feche-o, pois as alterações 
que deveriam ser feitas no arquivo snort.conf foram feitas.
Execute o comando apresentado na Figura 32 para verificar se as alterações 
foram validadas. Nesse caso, a interface utilizada foi a enp03, você deverá verificar 
sua interface utilizando o comando ifconfig. A Figura 31 apresenta a informação 
da interface.
Figura 31 – Informações sobre a interface de rede
#paratodosverem: Imagem em preto e branco de um print de tela informações sobre a 
interface de rede. #fimdadescrição
Figura 32 – Validação das alterações
#paratodosverem: Imagem em preto e branco de uma validação de alterações descri-
ta: ˜$ sudo snort -T -i enp0s3 -c /etc/snort/snort.confi bash do linux. #fimdadescrição
21
UNIDADE Principais Mecanismos de Defesa
Até esta etapa do processo o snort já está funcionando e operando normalmente. 
Basta agora definir algumas regras e, para isso, editaremos o arquivo local.rules. 
A Figura 33 apresenta o comando para editar o arquivo local.rules.
Figura 33 – Edição do arquivo local.rules
#paratodosverem: Imagem em preto e branco de uma edição do arquivo local.rules 
descrita: ˜$ sudo gedit /etc/nort/rules/local.rules. #fimdadescrição
Com o arquivo aberto, insira a regra apresentado na Figura 34.
Figura 34 – Edição do arquivo local.rules
#paratodosverem: Imagem em preto e branco de uma edição do arquivo loca.rules. 
#fimdadescrição
Grave o arquivo e execute o comando da Figura 35 para começar a escutar em 
modo IDS. 
Figura 35 – Edição do arquivo local.rules
#paratodosverem: Imagem em preto e branco de um comando para edição do arquivo 
descrita: ̃ $ sudo snort -T -c /etc/snort/snor.conf -i enap03 bash do linux. #fimdadescrição
Pronto, o IDS snort está configurado para uso, agora é só aguardar por alertas 
que possivelmente possam acontecer na rede.
22
23
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
 Vídeos
Aula 7 – Sistemas de Detecção de Intrusos
https://youtu.be/zmutz3FvE1s
 Leitura
Cartilha de Segurança para a Internet
https://goo.gl/ROPjvN
Sistema de Detecção de Intrusão – Artigo Revista Infra Magazine 1
Com o material a seguir, você irá ler e entender o que é um IDS e como ele funciona:
https://goo.gl/GvFjCY
Uso Eficaz de Firewalls
https://goo.gl/8ser29
23
UNIDADE Principais Mecanismos de Defesa
Referências
BALL, B.; DUFF, H. Dominando o Linux: Red Hat e Fedora. São Paulo: Pearson 
Makron Books, 2004.
GALVÃO, M. C. Fundamentos em segurança da Informação. São Paulo: Pearson 
Education do Brasil, 2015.
Sites visitados
SNORT.ORG. Manual do usuário snort: official documentation. Disponível em: 
<https://snort-org-site.s3.amazonaws.com/production/document_files/fi-
les/000/000/142/original/snort_manual.pdf?X-Amz-Algorithm=AWS4-HMAC-
-SHA256&X-Amz-Credential=AKIAIXACIED2SPMSC7GA%2F20181029%
2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20181029T183956Z&X-
- A m z - E x p i r e s = 1 7 2 8 0 0 & X - A m z - S i g n e d H e a d e r s = h o s t & X - A m z -
-Signature=9a59ae3f9e08cc1c9eb44813a0bf05cd41afe73a468c303ddf626e-
623a41001e>. Acesso em: 20 out. 2018.
24