Modulo 4
Para complementar a segurança na rede de computadores, surgiu o IDS (Intrusion Detect System - Sistema de Detecção de Intrusão) e IPS (Intrusion Prevention System - Sistema de Prevenção de Intrusão).
O HDIS (Host Intrusion Detect System), conhecido também como Host IDS, é uma ferramenta usada para monitorar log’s de forma dinâmica e também estática, procurando por alguma característica suspeita em arquivos ou atividades. Ela tem capacidade de avaliar o comportamento do tráfego e tomar decisões de acordo com alguma situação estranha ocorrida. Esta situação pode ser algum arquivo modificado, tentativas de alterações de senhas ou até processo mascarado.
Uma das ferramentas HIDS para instalar no Linux é o OSSEC, ele disponibiliza várias funcionalidades e tem capacidade de trabalhar localmente ou em rede como cliente e servidor. Ele oferece autonomia para que, em determinadas situações, possa tomar algumas decisões. Um IDS não interfere no tráfego, ele fica ouvindo os pacotes e verifica tentativas de ataques e acessos indevidos.
O IPS foi desenvolvido como complemento do IDS, ele tem capacidade de avaliar uma intrusão e tomar decisões, como bloquear determinados eventos. O IPS é considerado uma ferramenta inteligente, pois alerta o administrador de redes sobre alguma característica estranha ocorrida.
Enquanto um IDS trabalha de forma reativa, ou seja, após a detecção faz um alerta, o IPS faz a prevenção, ou seja, os alertas são enviados ao verificar tentativas de ataques à rede.
O OSSEC é um HDIS open source e pode ser instalado em plataformas Linux,
MacOS, Solaris e Wind.
Para determinados tipos de ataques, ele pode tomar algumas providências como bloquear o IP que está sofrendo um ataque e enviar um alerta para o administrador.
O SNORT realiza monitoração de tráfego em tempo real para avaliar os pacotes e identificar comportamento anormal do tráfego. Toda a monitoração é baseada em regras que podem ser adquiridas na versão gratuita ou comercialmente. Ele é formado por quatro componentes, conforme abaixo.
• libcap - Biblioteca utilizada por muitos sniffer, ela é responsável por configurar a placa de rede no modo promíscuo, ou seja, captura todos os protocolos que estiverem passando pela rede.
• Pré-processadores - é um recurso que faz um pré-filtro nos pacotes, isto diminui o processamento da máquina.
• Regras do Snort - Após os pacotes passarem pelo pré-processamento, uma verificação mais completa é feita no pacote, conforme regras estabelecidas.
Caso seja detectado algo, um log é gerado.
• Logs - São gerados tanto pela ação do pré-processamento quanto pelas ações obtidas nas regras do snort. Os problemas identificados são inseridos no log, que são arquivos textos e podem ser armazenados em banco de dados para melhor manipulação.
O nmap é um scanner de rede que auxilia o administrador de redes a verificar o status de alguns serviços e, dependendo da situação, tomar providências para eliminar tais problemas ou vulnerabilidades. O nmap pode fazer uma varredura e mostrar quais portas são estas
lfmontoni