Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança da Informação Material Teórico Responsável pelo Conteúdo: Prof. Dr. Vagner da Silva Revisão Textual: Prof. Me. Claudio Brites Principais Mecanismos de Defesa • Introdução aos sistemas de defesa; • Firewall. • Compreender a necessidade de manter uma rede segura pelo uso de ferramentas que difi cultam ou bloqueiam ataques a informações; • Implementar uma ferramenta de detecção de intrusos para monitorar pacotes suspeitos na rede de computadores; • Conhecer os principais mecanismos de defesa para garantir uma rede mais segura. OBJETIVOS DE APRENDIZADO Principais Mecanismos de Defesa Orientações de estudo Para que o conteúdo desta Disciplina seja bem aproveitado e haja maior aplicabilidade na sua formação acadêmica e atuação profissional, siga algumas recomendações básicas: Assim: Organize seus estudos de maneira que passem a fazer parte da sua rotina. Por exemplo, você poderá determinar um dia e horário fixos como seu “momento do estudo”; Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma alimentação saudável pode proporcionar melhor aproveitamento do estudo; No material de cada Unidade, há leituras indicadas e, entre elas, artigos científicos, livros, vídeos e sites para aprofundar os conhecimentos adquiridos ao longo da Unidade. Além disso, você tam- bém encontrará sugestões de conteúdo extra no item Material Complementar, que ampliarão sua interpretação e auxiliarão no pleno entendimento dos temas abordados; Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discus- são, pois irão auxiliar a verificar o quanto você absorveu de conhecimento, além de propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e de aprendizagem. Organize seus estudos de maneira que passem a fazer parte Mantenha o foco! Evite se distrair com as redes sociais. Mantenha o foco! Evite se distrair com as redes sociais. Determine um horário fixo para estudar. Aproveite as indicações de Material Complementar. Procure se alimentar e se hidratar quando for estudar; lembre-se de que uma Não se esqueça de se alimentar e de se manter hidratado. Aproveite as Conserve seu material e local de estudos sempre organizados. Procure manter contato com seus colegas e tutores para trocar ideias! Isso amplia a aprendizagem. Seja original! Nunca plagie trabalhos. UNIDADE Principais Mecanismos de Defesa Introdução aos sistemas de defesa As informações geradas pelas empresas passaram a ter importância e valor muito maior do que o próprio patrimônio físico que elas possuem. Manter essas informações seguras, utilizando-se de mecanismos de defesa, diminuirá as chances de serem obtidas por pessoas alheias. Há muitas formas de manter essas informações seguras, utilizando-se de tec- nologias de segurança e configurações de dispositivos de redes. A quantidade de bloqueios e níveis de segurança são influenciados pelo investimento financeiro e a burocratização para o uso da rede de computadores pelos usuários. Para que se possa começar a definir quais as tecnologias de segurança que uma empresa precisará, ela deverá começar a identificar alguns itens como: • A rede possui um único ponto de firewall ou apenas usa o firewall do siste- ma operacional? • O firewall consiste em um equipamento ou em um software instalado no ser- vidor ou em uma ou mais máquinas? • Há algum método de detecção de invasão virtual ou biométrico? • Que tipo de antivírus está sendo usado, ele cobre os requisitos necessários de um bom antivírus? • Está sendo usada rede wireless, estão configurados os principais pontos de segurança para torná-la protegida? • Minha rede tem um detector de anomalias, ou seja, há alguma técnica usada para detectar mudança de padrões na rede? • Há a necessidade de um gerenciador de identidade, ou seja, técnicas que ga- rantam a manutenção de acesso a recursos e sistemas? • Em que local se encontram os equipamentos estratégicos da empresa e, em linhas gerais, quem está autorizado a acessá-los? • A empresa permite que funcionários, parceiros e clientes acessem a rede da empresa remotamente? • Como são validados e controlados esses acessos remotos? • Tem configurado uma rede desmilitarizada (DMZ) na empresa? Ela está, real- mente, separada da rede interna? • Qual técnica está sendo usada para separar a rede interna da rede desmilitari- zada (DMZ)? • Qual o nível de acesso a arquivos e à própria rede definido para cada usuário? Avaliaremos alguns desses mecanismos de defesa que são usados pelas empresas. 8 9 Firewall Com a evolução dos computadores, seus aplicativos, sistemas operacionais e, consequentemente, das redes de computadores, as máquinas suportam muitas características atendendo a diversas áreas da educação, do comércio, governa- mentais e industriais. Essa complexidade pode deixar, em um primeiro momento, falhas que por sua vez podem ser a porta de entrada de ataques externos. Para que as falhas sejam minimizadas, foi criada uma ferramenta a qual chamamos de firewall. Ela foi desenvolvida exatamente para isolar as máquinas do ambiente externo da internet, bloqueando acessos que tenham como objetivo explorar essas vulnerabilidades. O firewall é a principal ferramenta de combate à invasão nos sistemas de com- putadores. A sua associação com a segurança sempre é feita entre várias técnicas utilizadas para combater invasões em redes de computadores. É comum que se encontre denominações relacionando-o como sendo o mais importante item no que diz respeito à segurança de redes e, por sua característica, isso o faz ser sempre colocado como linha de frente no combate a intrusões. O firewall é um recurso de rede cuja função é administrar, filtrar o tráfego dos pacotes entre redes distintas e impedir a transmissão de dados nocivos ou não de uma rede a outra. Ele é utilizado para filtrar os pacotes não autorizados de um domínio de rede a outro, portanto, ele age como um guardião evitando que deter- minados pacotes mal-intencionados sejam recebidos pela rede. Portanto, todos os equipamentos e softwares que atende a requisitos de filtragem de pacotes podem ser denominados firewall. Com a evolução da tecnologia, os firewalls foram ganhando novos recursos para melhorar a filtragem de pacotes, portanto, além da filtragem de número de portas, ele considera também na filtragem os endereços IPs de origem e destino, protocolos da camada de transporte e os aplicativos. Seu uso está relacionado ao grau de complexidade das regras estabelecidas pelas empresas que restringem o fluxo de entrada, com o tamanho da rede e o nível de segurança desejados. O firewall pode se apresentar na forma de sof- tware ou então na forma de hardware. Inclusive, pode-se utilizar ambos os tipos para se aumentar o nível de segurança entre as redes que estão sendo monito- radas por eles. A configuração de um mecanismo para controle de tráfego e acesso à rede baseados em um aplicativo firewall deve ser desenvolvido por meio de um procedi- mento cuidadoso. Deve-se ter como referência a política de segurança estabelecida pela empresa como diretriz para a configuração dos filtros. 9 UNIDADE Principais Mecanismos de Defesa Importante! Um firewall é representado por uma parede. Quando encontrar o símbolo semelhante a este , significa que há um firewall para filtrar pacotes. Você Sabia? Funcionamento de um firewall Conforme já descrito acima, o firewall deve ser configurado seguindo os pa- râmetros estabelecidos pela empresa. Esses parâmetros são definidos conforme sua necessidade e a política estabelecida, configurados em um firewall e, a partir desse momento, tornando-se regras. Um firewall analisa os campos contidos nos cabeçalhos da grande maioria dos pacotes na camada do modelo TCP/IP. Pode- mos criar muitos tipos de regras a serem avaliadas pelo firewall na filtragem desses pacotes. As ações a serem executadas em um pacotesão: aceitar; descartar; rejei- tar o pacote. Para executar quaisquer dessas ações pré-estabelecidas pelas regras, primeiramente, ele tomará como referência informações contidas no cabeçalho de qualquer pacote que passa por ele. A diferença entre as ações Descartar (DROP) e Rejeitar (Reject) está na ação após o pacote ser desconsiderado. Na ação Drop, não há envio de mensagem des- crevendo por qual motivo o pacote foi descartado. Na ação Reject, é enviada uma mensagem para a origem descrevendo o motivo da rejeição. Vejamos então alguns dos tipos de informações que o firewall pode se basear para realizar a filtragem dos pacotes: • Endereço de origem e endereço destino; • Mascara de sub-rede de origem e de destino; • Porta de origem e porta de destino; • Tipo de protocolo; • Interface de entrada e interface de saída; • Status da conexão; • Identificação do pacote; • Entre outras. Nominalmente, há cinco tipos de firewalls definidos em conexões internet, des- critos a seguir. • Firewall de filtragem de quadros Esse tipo de firewall tem como função analisar os quadros referentes à camada de enlace 10 11 Aplicação Apresentação Seção Transporte Rede Enlace Física Roteadores Switch hub Figura 1 – Camadas do modelo de referência OSI (camada de enlace) #paratdosverem: Imagem colorida das camadas do modelo de referência OSI, ou seja, camada de lance. Na figura temos sete blocos retangulares coloridos com riscos pe- quenos em cada um em posições diversas, como se fossem marcadores, sendo que no segundo bloco que é o amarelo de baixo para cima tem uma seta e está escrito Roteadores Switch hub. #fimdadescrição Nessa camada, o filtro é feito a nível de bits sobre as tecnologias usadas, por exem- plo, Ethernet 802.3, Token Ring, FDDI e outros. Filtrar os quadros e descartar os sus- peitos, evita que eles sejam examinados por filtros definidos em camadas superiores. • Firewall de filtragem de pacotes Por ter surgido com essa finalidade, esse tipo de firewall é um dos mais conhe- cidos e usados, grande parte dos roteadores oferece esse tipo de configuração, a qual chamamos de lista de acesso. Aplicação Apresentação Seção Transporte Rede Enlace Física Roteadores Switch hub Figura 2 – Camadas do modelo de referência OSI (Camada de Rede) #paratdosverem: Imagem colorida das camadas do modelo de referência OSI, ou seja, camada de rede. Na figura temos sete blocos retangulares coloridos com mais de um risco pequeno, pontos e virgulas em cada um, em posições diversas, como se fossem marcadores, sendo que no terceiro bloco que é o verde de baixo para cima tem uma seta e está escrito Roteadores Switch hub. #fimdadescrição Caso a empresa tenha que implantar várias regras de filtragem, então, o ideal é usar um dispositivo que não seja o roteador como firewall, dessa forma, otimiza-se os recursos e torna-se a rede mais eficiente. Os sistemas operacionais, geralmente, apresentam também recursos para filtragem de pacotes – o Linux disponibiliza o IPTables como ferramenta para configuração. 11 UNIDADE Principais Mecanismos de Defesa • Firewall gateway de circuito Geralmente, identifica as ações executadas por determinado usuário, registra de onde vieram e para onde vão através das autenticações feitas. Os mecanismos que envolvem um proxy é um bom exemplo de firewall de gateway de circuito, ou seja, o usuário deve ter permissão para acessar determinadas páginas. Usuário Internet Proxy Figura 3 – Proxy #paratodosverem: Figura demonstrando um monitor de computador escrito usuário embaixo, interligado por pontinhos a nuvem que está escrito em internet embaixo, que está ligada por meio de uma linha no Proxy, representado por um celular e é liga- do por uma linha ao usuário, estão formando um ciclo ou um círculo. #fimdadescrição • Firewall de estado total Os ataques evoluíram aproveitando falhas nas transações entre aplicações. Ata- ques como forjar endereço IP, aquisição de sessão tomando carona na aplicação, sequestro de sessão e outros foram identificados ao longo do tempo. Para evitar esses ataques, os firewalls tiveram que se aperfeiçoar, no sentido de identificar o comportamento e identificar qualquer problema em transações feitas por esses aplicativos. Embora a solução prevista nesse tipo de firewall seja eficien- te, por si só não garante outros tipos de filtros. • Firewall proxy Também conhecido como gateway de aplicação, tem como função principal examinar detalhes das aplicações que estão sendo usadas. Aplicação Apresentação Seção Transporte Rede Enlace Física Roteadores Switch hub Figura 4 – Camadas do modelo de referência OSI (Camada de aplicação) #paratdosverem: Imagem colorida das camadas do modelo de referência OSI, ou seja, camada de aplicação. Na figura temos sete blocos retangulares coloridos com vários símbolos pequenas parecendo palavras cortadas em cada um, como se fossem marca- dores, sendo que no último bloco que é o rosa claro de baixo para cima tem uma seta e está escrito Roteadores Switch hub. #fimdadescrição 12 13 No firewall proxy, você poderá criar regras para examinar melhor a aplica- ção – por exemplo, se o administrador de rede quiser estabelecer que somente será possível baixar arquivos da internet usando uma aplicação FTP, mas quiser também impedir que alguém de fora da empresa insira arquivos em computadores da sua rede usando a aplicação FTP, poderá fazer isso com esse tipo de firewall. É importante notar que, com a evolução de equipamentos e softwares de fi- rewall, esses cinco tipos de apresentados foram convergindo de forma que um único equipamento ou software apresente possibilidades de configurá-los sem que se tenha, de forma clara, a divisão entre eles. Além do firewall configurado nos equipamentos de borda da empresa, é interes- sante deixar habilitado o firewall do sistema operacional. No sistema operacional Windows, o firewall é habilitado automaticamente após sua instalação; no entanto, o usuário poderá fazer algumas alterações caso sejam necessárias. Para alterar as configurações básicas no Windows 8, basta que se entre no painel de console e selecione a opção Firewall do Windows, a seguinte janela será aberta (Figura 5). Figura 5 – Janela de confi guração do Firewall do Windows #paratodosverem: Imagem de uma janela de configuração do firewall do Windows onde está descrita Firewall do Windows com Segurança Avançada em Computador Local. Perfil Domínio: firewall do Windows ativo, conexões de entrada que não corres- ponde a uma regra são bloqueadas e conexões de saída que não corresponde a uma regra são permitidas. Perfil Particular Ativo: firewall do Windows ativo, conexões de entrada que não corresponde a uma entrega são bloqueadas e conexões de saída que não corresponde a uma regra são permitidas. Perfil Público Ativo: firewall do Windows ativo, conexões de entrada que não corresponde a uma regra são bloqueadas e cone- xões de saída que não corresponde a uma regra são permitidas. Propriedades dDo Firewall do Windows. #fimdadescrição É importante notar que o firewall está ativado e assim deverá permanecer. Na parte superior esquerda da janela apresentada na Figura 6, pode-se acessar as re- gras de entrada, de saída, além das regras de segurança e monitoramento. 13 UNIDADE Principais Mecanismos de Defesa Selecionadas as regras de entrada, pode-se ver no centro as aplicações que es- tão habilitadas ou não. Ao selecionar uma aplicação, é possível observar no lado di- reito da janela as ações e propriedades dessa aplicação. Selecionando a aplicação, é apresentada uma janela que possibilita configurar a permissão ou o bloqueio. Figura 6 – Janela de configuração do Firewall #paratodosverem: Imagem colorida de um print de tela da janela de configuração do firewall do Windows, do lado esquerdo da figura nós temos um menu com as opções de segurança, regras de entrada, regras de saída, regras de segurança de conexão e monitoramento, ao centro nós temos as regrasde entrada com o menu: Apple Push Service, Cyber link, entre outros grupos ,onde abre uma mensagem com aa proprie- dade do Dropbox e na última, a esquerda nós temos as ações: regras de entrada, nova regra, filtrar por perfil, filtrar por Estado, filtrar por grupo, exibir, atualizar, exportar lista e ajudar. E por fim, Dropbox: desabilitar regra, recortar, copiar, excluir, proprieda- des e ajuda. #fimdadescrição Há várias abas na janela Propriedades de nome da aplicação, elas oferecem a possibilidade de configurar mais detalhadamente às regras do firewall. As configurações de firewall disponibilizadas pelo sistema operacional cliente do Windows são básicas e devem fazer parte das ferramentas usadas para aumen- tar a segurança. Caso queira instalar o firewall como complemento ao nativo do Windows, há softwares que podem ser baixados da internet que permitem confi- gurações mais detalhadas. IDS (Sistema de Detecção de Intrusos) Os sistemas de detecção de intrusos (IDS) são uma ferramenta usada por ad- ministradores de redes com o objetivo de avaliar se algo estranho está ocorrendo na rede. Tendo a informação como o bem mais precioso de uma empresa, verificar se há algo ocorrendo na rede de computadores é fundamental para manter o maior nível possível de segurança. 14 15 Há alguns IDS disponíveis para as diversas plataformas existentes. A seguir, você aprenderá como instalar o snort no sistema operacional Linux. O snort é um IDS open-source e, embora sejam trabalhosas sua instalação e configuração, ele é muito eficaz ao que se propõe. Antes de instalar o snort, é importante que se faça uma atualização dos pacotes instalados no sistema operacional Linux. Para isso, execute o comando apresen- tado na Figura 7. Figura 7 – Comando para atualização dos pacotes #paratodosverem: Imagem em preto e branco de um comando para atualizações dos pacotes descrita: ˜$ sudi apto-get update && sudi apto-get updrade. #fimdadescrição O snort precisa de algumas dependências; portanto, vamos instalar essas depen- dências. A Figura 8 apresenta o comando para baixar e instalar essas dependências. Figura 8 – Comando para baixar algumas dependências #paratodosverem: Imagem em preto e branco de um comando para baixar algumas de- pendências descrita: ˜$ sudi apto-get instal -y build-essential lipcap-dev libpcre3-dev libdumbnet-dev bison flex zliblg-dev. #fimdadescrição Após baixar e instalar umas dependências, criaremos um diretório para des- carregar outras dependências do snort. Dentro do diretório criado, baixaremos o DAQ-2.0.6. A Figura 9 apresenta o comando necessário para criar o diretório, mover para dentro dele e baixar o daq-2.0.6. Figura 9 – Comando para criar diretório e baixar o arquivo daq #paratodosverem: Imagem em preto e branco de um comando para criar diretório e baixar arquivo dap. descrita: ˜$ mkdir /̃snort_src && cd /̃snort_src s̃nort_src$ wget htpps://www.snort.org/download/snort/daq-2.0.6.tar.gz. #fimdadescrição O arquivo daq está compactado. Para descompactá-lo, basta executar o comando tar conforme a Figura 10. Figura 10 – Comando para descompactar o arquivo daq #paratodosverem: Imagem em preto e branco de um comando para descompactar o arquivo dap. descrita: s̃nort_src$ tar xvfz daq-2.0.6.tar.gz.. #fimdadescrição Com a descompactação do arquivo daq, é disponibilizado um diretório daq-2.0.6 que contém o script para instalação e configuração do arquivo. A Figura 11 apre- senta os comandos necessários para execução do script. 15 UNIDADE Principais Mecanismos de Defesa Figura 11 – Comandos para execução do script #paratodosverem: Imagem em preto e branco de um comando para execução do script descrita: s̃nort_src$ cd daq-2.06/. s̃nort_src/daq-2.06$ ./configure && make && sudo make install. #fimdadescrição Assim que terminar a execução do script, execute o comando cd.. para voltar um nível do diretório ~/snort_src e baixe o snort utilizando o comando apresentado na Figura 12. Figura 12 – Comandos para baixar o snort #paratodosverem: Imagem em preto e branco de comandos para baixar snort descrita: ˜$ sudo wget https://snorg.org/downloads/snort/snort-2.9.12.tar.gz. #fimdadescrição O arquivo baixado está compactado. Para descompactá-lo, basta executar o comando apresentado na Figura 13. Figura 13 – Comando para descompactação #paratodosverem: Imagem em preto e branco de um comando para descompactação descrita: ˜$ tar xvfz snort-2.9.12.tar.gz. #fimdadescrição Ao descompactar o arquivo, moveremos ele para o diretório snort-2.9.12 usan- do o comando cd snort-2.0.12 e executaremos um script para fazer a instalação do snort. A Figura 14 apresenta o comando para execução do script. Figura 14 – Comando para execução do script #paratodosverem: Imagem em preto e branco de um comando para execução do scrip des- crita: $ ./configure –enable-sourcefire && make && sudo make install. #fimdadescrição Agora, execute o comando cd para voltar à raiz do seu diretório e execute o comando da Figura 15 para instalar as bibliotecas compartilhadas. Figura 15 – Comando para instalar bibliotecas compartilhadas e criação de links #paratodosverem: Imagem em preto e branco de um comando para instalar biblio- tecas compartilhadas e criação de links descrita: ˜$ sudo ldconfig -˜$ sudo ln -s /usr/ local/bin/snort /usr/sbon/snort. #fimdadescrição Uma vez o snort instalado, é possível, pelo comando snort -V, verificar a versão e se essa está em funcionamento. A Figura 16 apresenta as informações apresen- tadas após a execução do comando snort -V. 16 17 Figura 16 – Informação sobre o snort #paratodosverem: Imagem em preto e branco de informação sobre snort. #fimdadescrição Executaremos alguns comandos para configurar o snort. A primeira etapa a fazer será criar um usuário e grupo snort. Para isso, execute os comandos da Figura 17. Figura 17 – Criação de grupo e usuário #paratodosverem: Imagem em preto e branco de uma criação de grupo e usuário des- crita: ˜$ sudo groupadd snort ˜$ sudi useradd snort -r -s /sbin/nologin -c SNORT IDS -g snort . #fimdadescrição O snort organiza suas informações como arquivos de configurações e regras em diretórios específicos. Sendo assim, criaremos esses diretórios da seguinte forma: os arquivos de configuração ficarão em /etc/snort/rules; as regras de compilação ficarão em /usr/local/lib/snort/dynamicrules; e os registros estarão em /var/ log/snort/. A Figura 18 apresenta a criação desses diretórios. Figura 18 – Criação dos diretórios #paratodosverem: Imagem em preto e branco de uma criação dos diretórios descri- ta: ˜$ sudo sudo mkdir /etc/snort ˜$ mkdir /etc/snort/rules ˜$ mkdir /etc/snort/rules/ iplists ˜$ mkdir /etc/snort/preproc-rules ˜$ mkdir /usr/local/lib/snort_dynamicrules ˜$ mkdir /etc/snort/so_rules. #fimdadescrição Dentro de alguns diretórios criados, criaremos arquivos que armazenarão regras e listas de IP. A Figura 19 apresenta os comandos para criação desses arquivos. Figura 19 – Criação dos arquivos #paratodosverem: Imagem em preto e branco de uma criação de arquivos descrita: ˜$ sudo touch /etc/snort/rules/iplists/black_list.rules ˜$ sudo touch /etc/snort/rules/ iplists/white_list.rules ˜$ sudo touch /etc/snort/rules/local.rules ˜$ sudo touch /etc/ snort/sid-msg.map. #fimdadescrição 17 UNIDADE Principais Mecanismos de Defesa Os registros de log referentes aos eventos relacionados ao snort ficarão nos diretórios criados conforme Figura 20. Figura 20 – Criação de diretório e arquivo #paratodosverem: Imagem em preto e branco de uma criação de diretórios arqui- vos descritos: ˜$ mkdir /var/log/snort ˜$ sudo mkdir /var/log/snort/archived_logs. #fimdadescrição Falta agora ajustar as permissões de diretórios criados. Execute os comandos apresentados na Figura 21. Figura 21 – Alteração de permissão de diretórios #paratodosverem: Imagem em preto e branco de uma alteração de permissão de dire- tórios descrita: ˜$ sudo chmod -R 5775 /etc/snort ˜$ sudo chmod -R 5775 /var/log/snort ˜$ sudo chmod -R5775 /var/log/snort/archived_logs ˜$ sudo chmod -R 5775 /etc/snort/ so_rules ˜$ sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules. #fimdadescrição É necessário que alguns arquivos de configuração sejam copiados do diretório snort para o diretório snort_src/snort-2.9.12/etc. Para isso, execute os coman- dos apresentados na Figura 22. Figura 22 – Copiando arquivos #paratodosverem: Imagem em preto e branco de copiando arquivos descrita: ˜$ cd snort_src/snort-2.9.12/etc/ ˜$ sudo cp *.conf* /etc/snort s̃udo cp*.map /etc/snort ˜$ sudo cp *.dtd /etc/snort. #fimdadescrição Ao copiar os arquivos para os diretórios, vá para o diretório raiz do seu usuário. Para isso, execute o comando cd e, a partir desse diretório, nos moveremos para o diretório snort_dynamicpreprocessor para copiar alguns arquivos. A Figura 23 apresenta a execução dos comandos. Figura 23 – Copiando arquivos #paratodosverem: Imagem em preto e branco de copiando arquivos descrita: ˜$ cd snort_src/snort-2.9.12/src/dynamic-preprocessors/build/usr/local/usr/lib/snort_ dynamicprocesso/ bash do linux ̃ $ sudo cp* /usr/local/lib/snort_dybamicpreprocessor/ bash do linux. #fimdadescrição 18 19 Como já foram preparados os diretórios e arquivos que serão usados pelo snort, agora editaremos o arquivo de configuração para implementar algumas alterações. A primeira delas refere-se a comentar algumas linhas; portanto, o comando apre- sentado na Figura 24 deverá ser executado. Figura 24 – Comando para alteração do arquivo #paratodosverem: Imagem em preto e branco de um comando para alteração de ar- quivo descrita: ˜$ sudo sed -i “s/include/$RULE\_PATH/#include \$RULE_\PATH/”/etc/ snort/snort.conf. #fimdadescrição Abriremos o arquivo de configuração para edição usando o comando apresen- tado na Figura 25. Figura 25 – Comando para edição do arquivo #paratodosverem: Imagem em preto e branco de um comando para edição do arquivo descrita: ˜$ sudo gedit /etc/snort/snort.conf. #fimdadescrição Definiremos qual rede será monitorada, para isso, identifique, conforme Figu- ra 26, a linha selecionada (proximidades da linha 45) e defina o endereço da rede que será monitorado. Figura 26 – Alteração do arquivo snort.conf #paratodosverem: Imagem em preto e branco de um print de tela da alteração do ar- quivo snort.conf. #fimdadescrição Nesse mesmo arquivo, próximo à linha número 104, insira os comandos para o caminho no qual serão usados os arquivos de regras já criados anteriormente. A Figura 27 apresenta esses comandos. 19 UNIDADE Principais Mecanismos de Defesa Figura 27 – Alteração do arquivo snort #paratodosverem: Imagem em preto e branco de uma alteração do arquivo snort descrita: var RULE_PATH /etc/snortrules var SO_RULE_PATH /etcsnort/so_rules var PREPROC_RULE_PATH /etc/snort/preproc_rules var WHITE_LIST_PATH /etc/snort/ rules/iplists var BLACK_LIST_PATH /etc/snort/rules/iplists. #fimdadescrição A Figura 28 indica em que posição deverão ser inseridos os comandos apresen- tados na Figura 27. Figura 28 – Alteração do arquivo snort #paratodosverem: Imagem em preto e branco de um print de tela da alteração do ar- quivo snort. #fimdadescrição Já que fizemos a configuração desejada, comentaremos duas linhas que por padrão já estão definidas no arquivo snort.conf. A Figura 29 apresenta as duas linhas que deverão ser comentadas com o símbolo # no início das linhas. Figura 29 – Alteração do arquivo snort #paratodosverem: Imagem em preto e branco de um print de tela da alteração do ar- quivo snort. #fimdadescrição 20 21 Nesse mesmo arquivo, tire o símbolo de comentário # da linha selecionada, conforme apresentado na Figura 30. . Figura 30 – Alteração do arquivo snort.conf #paratodosverem: Imagem em preto e branco de um print de tela da alteração do ar- quivo snort.conf. #fimdadescrição Com essas alterações efetuadas, grave o arquivo e feche-o, pois as alterações que deveriam ser feitas no arquivo snort.conf foram feitas. Execute o comando apresentado na Figura 32 para verificar se as alterações foram validadas. Nesse caso, a interface utilizada foi a enp03, você deverá verificar sua interface utilizando o comando ifconfig. A Figura 31 apresenta a informação da interface. Figura 31 – Informações sobre a interface de rede #paratodosverem: Imagem em preto e branco de um print de tela informações sobre a interface de rede. #fimdadescrição Figura 32 – Validação das alterações #paratodosverem: Imagem em preto e branco de uma validação de alterações descri- ta: ˜$ sudo snort -T -i enp0s3 -c /etc/snort/snort.confi bash do linux. #fimdadescrição 21 UNIDADE Principais Mecanismos de Defesa Até esta etapa do processo o snort já está funcionando e operando normalmente. Basta agora definir algumas regras e, para isso, editaremos o arquivo local.rules. A Figura 33 apresenta o comando para editar o arquivo local.rules. Figura 33 – Edição do arquivo local.rules #paratodosverem: Imagem em preto e branco de uma edição do arquivo local.rules descrita: ˜$ sudo gedit /etc/nort/rules/local.rules. #fimdadescrição Com o arquivo aberto, insira a regra apresentado na Figura 34. Figura 34 – Edição do arquivo local.rules #paratodosverem: Imagem em preto e branco de uma edição do arquivo loca.rules. #fimdadescrição Grave o arquivo e execute o comando da Figura 35 para começar a escutar em modo IDS. Figura 35 – Edição do arquivo local.rules #paratodosverem: Imagem em preto e branco de um comando para edição do arquivo descrita: ̃ $ sudo snort -T -c /etc/snort/snor.conf -i enap03 bash do linux. #fimdadescrição Pronto, o IDS snort está configurado para uso, agora é só aguardar por alertas que possivelmente possam acontecer na rede. 22 23 Material Complementar Indicações para saber mais sobre os assuntos abordados nesta Unidade: Vídeos Aula 7 – Sistemas de Detecção de Intrusos https://youtu.be/zmutz3FvE1s Leitura Cartilha de Segurança para a Internet https://goo.gl/ROPjvN Sistema de Detecção de Intrusão – Artigo Revista Infra Magazine 1 Com o material a seguir, você irá ler e entender o que é um IDS e como ele funciona: https://goo.gl/GvFjCY Uso Eficaz de Firewalls https://goo.gl/8ser29 23 UNIDADE Principais Mecanismos de Defesa Referências BALL, B.; DUFF, H. Dominando o Linux: Red Hat e Fedora. São Paulo: Pearson Makron Books, 2004. GALVÃO, M. C. Fundamentos em segurança da Informação. São Paulo: Pearson Education do Brasil, 2015. Sites visitados SNORT.ORG. Manual do usuário snort: official documentation. Disponível em: <https://snort-org-site.s3.amazonaws.com/production/document_files/fi- les/000/000/142/original/snort_manual.pdf?X-Amz-Algorithm=AWS4-HMAC- -SHA256&X-Amz-Credential=AKIAIXACIED2SPMSC7GA%2F20181029% 2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20181029T183956Z&X- - A m z - E x p i r e s = 1 7 2 8 0 0 & X - A m z - S i g n e d H e a d e r s = h o s t & X - A m z - -Signature=9a59ae3f9e08cc1c9eb44813a0bf05cd41afe73a468c303ddf626e- 623a41001e>. Acesso em: 20 out. 2018. 24
Compartilhar