ANLISE DE FERRAMENTAS PARA DETECO DE INVASO (IDS) E HONEYPOT S

Augusto Rosseto, Darlan Dieterich, Jacson Luiz Krtz Universidade Federal de Santa Maria Campus Frederico Westphalen
augustorossetto1@hotmail.com, darlandieterich@gmail.com, luis.kr@live.com

Resumo. Este artigo aborda um estudo sobre ferramentas para deteco de intruso (IDS) e Honeynets, onde existem semelhanas entre essas ferramentas, porm com funes diferentes. Tem como objetivo analisar diferentes tipos de ferramentas IDS e Honeypot , assim como suas caractersticas, funcionalidades, entre outros aspectos. Tambm ser possvel acompanhar desde sua instalao, configurao, simulao, tela de logs, at a anlise final.

1-INTRODUO Honeypot do ingls (pote de mel) uma ferramenta baseada em Honeyd. Onde sua funo criar armadilhas para deteco de invasores, gerando logs de eventos ocorridos, colhendo informaes do invasor. As ferramentas Honeypot so instaladas em um servidor vulnervel a ataques. Assim uma vez conectados os invasores vo deixando rastros, as Honeypot s colhem informaes e logo emitem alertas ao administrador. Com isso, vulnerabilidades so obtidas para anlise e proteo dos sistemas. Ou seja, deixando os invasores entrarem no sistema como uma espcie de isca, ser possvel colher tcnicas, de como os intrusos usam para invadir, assim administradores usam novos meios para evitar esse tipo de mal, tambm usado como meio para distrair os invasores de suas reais informaes do sistema. Uma forma barata e simples de detectar atividades ilcitas na sua rede. Sua principal funo ser atacado (por pessoas, por vrus, por worms, etc), escaneando ou

invadido para assim adquirir informaes para que voc consiga se proteger de forma mais eficiente conhecendo como seus hosts podem ser atacados. O conceito simples: um Honeypot no tem nenhum propsito de produo (no tem nenhum servio real, no deve receber nenhuma conexo, ningum deve interagir com ele), portanto qualquer interao com um Honeypot possivelmente uma atividade ilcita (proposital ou no). Por esse motivo, os Honeypot s tem um baixo nmero de falso-positivo e geram pouco log, facilitando a leitura e fazendo com que o administrador detecte ataques com mais facilidade [2]. 2-HONEYPOT Os Honeypot s so ambientes capazes de detectar intrusos em uma rede e monitorar o que esto tramando, assim como finalidade de usar essas tcnicas dos invasores para se proteger futuramente de um ataque. Honeynets capaz de concentrar um sub-rede de Honeypot s, ou seja vrios Honeypot s agindo em conjunto.

Figura 1 - Ilustrao Honeypot

Segundo Thomas, Tom [1], um Honeypot

um sistema de computao

altamente flexvel na internet que personalizado para ser uma ferramenta de segurana e expressamente definido para atrair prender pessoas que tendem penetrar nos sistemas de computao de outras pessoa usando sondagem, scans, e invases. Esta audincia alvo inclui o Hacker, cracker, e o script kiddie, desconsiderando sua localizao no mundo. Honeypot s no resolvem um nico problema de segurana, em vez disso, eles so usados para desorientar, prevenir, detectar, e coletar informaes por

serem altamente monitoradas e projetadas para se parecerem com algo que no so para os atacantes carem. Conceitualmente, isso significa que um Honeypot no deve ser usado para produo porque seu valor est em ser sondado, atacado ou comprometido. Aspectos chave de um Honeypot : Honeypot s distraem os atacantes dos recursos mais valiosos da sua rede, permitindo assim a proteo dos seus recursos ao distrair os atacantes para dispositivos que lhes parecem reais. Honeypot s fornecem um aviso precoce sobre novas tentativas de ataque e invaso. Os IDS podem gerar falsos positivos, enquanto que estes que tem realmente a inteno de provocar dano acessam apenas um Honeypot produtividade. Honeypot s permitem um exame profundo das atividades de um atacante durante e depois da explorao do Honeypot . Isso pode se parecer como algo que apenas algum envolvido em pesquisa possa fazer, mas pense no que voc pode aprender. Voc pode usar esta educao para garantir que os recursos reais de segurana da sua rede estejam configurados/atualizados corretamente. Honeypot s possuem a habilidade nica de mostrar que o seu projeto de segurana de rede efetivo. Para conhecer seu inimigo uma outra razo da existncia do Honeypot . No suficiente saber que os atacantes esto l. Entretanto, o que importante determinar suas tcnicas e mtodos. Depois que voc tiver o perfil de um atacante, poder se defender ainda mais contra exploraes futuras. devido a sua no-

O conceito de Honeypot divide-se em duas categorias: Honeypot s de pesquisa: Complexo para distribuir e manter o uso primrio para organizao de pesquisa, militares e governamentais. Honeypot s de produo: usado por organizaes que estejam preocupadas com a segurana das suas redes, normalmente distribudo tendo em mente certo objetivo ou inteno. Tissato & Lcio [3], definem que uma rede de Honeypot s com diferentes sistemas conhecida como Honeynet. Se os sistemas de deteco de intruso podem ser

utilizados como fonte de aprendizado sobre novos ataques, alm de sua funo principal, que a de deteco, os Honeypot s podem ensinar muito mais. Um Honeypot no contm dados ou aplicao muito importante para a organizao e seu nico propsito de passar-se por um legitimo equipamento da organizao que configurado para interagir com Hacker em potencial. Assim, os detalhes da tcnica utilizada e do ataque em si podem ser capturados e estruturados. Eles so tambm conhecidos como sacrificial Lamb, decoy, booby trap, lures ou fly-traps e funcionam como armadilhas para os Hackers. 3-ANLISE HONEYPOT Este captulo aborda o funcionamento de algumas ferramentas baseadas em Honeypot , visando sua instalao, configurao e simulao. 3.1-Valhala http://ValhalaHoneypot .sourceforge.net/ Cdigo fonte aberto

Figura 2 - Valhala

3.1.1- Instalao Para instalao, somente descompacte e execute o arquivo executvel.

3.1.2- Configuraes Valhala permite vrios meios de alerta, inclusive envio por e-mail, salvar logs, tocar sons, habilitar portas extras, iniciar com o Windows, entre outros.

Figura 3 - Valhala , painel de configuraes.

Possui os seguintes servidores:

WEB, FTP, TELNET, FINGER, SMTP,

TFTP, DAYTIME, POP3, Port Forwarding, ECHO;

Figura 4 - Valhala , Servidores e mtodos.

Fcil configurao, para habilitar portas novas.

Figura 5 - Valhala , opes do servidor WEB.

3.1.3- Simulao Um exemplo de invaso usando o protocolo TELNET, tentando-se conectar pelo localhost pela porta 80, onde possvel ver um log gerado mostrando o que o invasor tentou fazer.

Figura 6 - Servio de Telnet do Windows

Figura 7 - Deteco do Servio de Telnet do Windows.

3.2 KFSensor http://www.keyfocus.net/ Licena comercial

Figura 8 - Captura de tela do programa KFSensor.

3.2.1 Instalao Baixe e execute o instalador e siga os passos sem complicao. 3.2.2 Configurao Fcil uso da ferramenta, com sons para escolha de alerta, alertas em intervalos, registra os logs e permite aplicar filtros. Possui mecanismos de respostas baseados nas atividades dos invasores, como desligar o sistema. KFSensor projetado para uso em um ambiente corporativo baseado em Windows e contm muitos recursos inovadores e exclusivos, tais como gerenciamento remoto, um motor Snort assinatura compatvel e emulaes de protocolos de rede do Windows.

Figura 9 - KFSensor, captura de tela de configurao.

Possui um guia de configurao passo a passo.

Figura 10 - KFSensor, captura de tela de configurao.

KFSensor possui vrias simulaes dentre as principais esto HTTP, FTP, POP3, SMTP, SOCKS, TELNET, NETBIOS. Rastreia tambm tanto com protocolos de transporte TCP como UDP.

Figura 11 - KFSensor, captura de tela de seleo de simulaes.

3.2.3 Simulao A simulao foi baseada em um ataque via TELNET, e apresentou-se eficiente na hora da deteco.

Figura 12 - KFSensor, captura de tela de simulao realizada.

3.3 Honeypot by Mr.Net

http://forum.guiadoHacker.com.br/showthread.php?t=16675 Licena Livre

Figura 13 -Captura de tela da Interface do Programa, Honeypot by Mr.Net.

3.3.1 Instalao Para instalar preciso descompactar o arquivo e copiar alguns para diretrios do sistema: Copiar e Colar o arquivo "qtintf70.dll" na pasta C:\Winows\System32\ Copiar e Colar os arquivos: "Honey" e "Honeypot " na pasta C:\Windows\

3.3.2 Configurao O mais simples e objetivo, configura, inicia o servio, e exibe tela de logs. Conta com diferentes tipos de servios pr-definidos e tambm podendo modificar a porta junto com sua descrio, tambm podendo salvar os logs.

Figura 14 - Captura de tela da Interface de configurao do Programa, Honeypot by Mr.Net

3.3.3 Simulao O teste de invaso foi feito via FTP, pela porta padro 21. Em seguida foi exibida uma tela de alerta com uma mensagem de algum tentando invadir via FTP, juntamente emitindo um som.

Figura 15 - Alerta de Invaso por FTP.

Figura 16 - Interface de deteco do Programa Honeypot - By Mr.Net

3.4 Anti Hacker Ataque 1.2 http://forum.guiadoHacker.com.br/member.php?u=57199 Licena Livre

Figura 17- Captura de tela do Programa - Anti Hacker Ataque 1.2.

3.4.1 Instalao

Baixe o instalador no site do desenvolvedor e instale sem complicao. 3.4.2 Configurao Interface amigvel, intuitiva e bem objetiva. Com um simples menu podemos ativar servios pr-definidos, ou tambm definir portas extras para um determinado servio. Suas funes so bem simples como capturar um IP, data e hora, portas do atacante, nome da mquina, Protocolos pr definidos so: TELNET, FTP, HTTP, SSH, NETBus, SMB

Figura 18 - Captura de Tela da Interface de Configurao do Programa Anti Hacker Ataque 1.2.

3.4.3 - Simulao O teste foi efetuado com invaso via FTP, quando houver uma tentativa de ataque o programa dispara na tela imediatamente informaes sobre o atacante.

Figura 19 - Captura de Tela da Interface de Simulao do Programa Anti Hacker Ataque 1.2.

4. IDS (Intrusion Detection System)

IDS so sistemas que assim como os Honeypot s alertam quanto a possibilidade de uma invaso por meio de escaneamento da rede em uma porta pr-selecionada, esta porta pode ser por exemplo a porta eth0 (porta padro das interfaces de rede principais) ou mesmo uma porta wlan0 (porta padro de conexo sem fio) onde respectivamente as siglas em eth refere-se a interface de rede disponvel, sendo esta a rede ethernet ou as portas wlan portas para dispositivos de redes wireless, como adaptadores de rede sem fio, ainda podem ser utilizadas outras portas referentes a outros dispositivos de rede ou mesmo portas que simulam o funcionamento de uma eth onde esta pode ser uma conexo com uma maquina virtual para a simulao dos ataques, onde pode ser criada a simulao de um ambiente servidor por exemplo, sendo que assim simulando um gateway uma maquina de servios e o cliente que receber o ataque onde a ferramenta de intruso relata ao usurio o tipo de invaso bem como a provvel origem do ataque a porta ao qual foi utilizada e o protocolo e horrios da invaso. As ferramentas de deteco de intruso bem como os Honeypot s, no so ferramentas criadas para a preveno e correo de ataques como um firewall ou mesmo um antivrus ao qual detecta trata e assegura-se de que o atacante no possa usufruir de

um servio, as ferramentas de deteco de intruso esto l para alertar o gerente de rede, em vrios nveis da rede , podendo ser utilizadas antes ou depois da ao de um firewall, para gerar relatrios de como o atacante se comporta em uma invaso. Sabendo-se do comportamento do invasor a partir de anlises nos logs ou mesmo em alguns casos da anlise em prompt ,o gerente de uma rede pode utilizar a estratgia de segurana mais adequada para preveno de um ataque real fora de um ambiente controlado, isto ajuda a prevenir as ameaas antes mesmo que estas ocorram e ajuda a moldar o perfil dos atacantes e dos clientes que sofrem o ataque, sendo utilizado at mesmo na implementao de politicas de segurana. Algumas ferramentas de deteco de intruso podem ser vistas neste artigo e a sua utilizao ocorreu durante um curto intervalo de tempo, mas mesmo assim gerou alguns resultados como a deteco de pequenos ataques ou mesmo do uso indevido de algumas portas ou servios, para o uso da ferramenta de deteco de intruso, foi utilizada a rede wireless da Universidade Federal de Santa Maria campus de Frederico Westphalen RS , onde estando em um ambiente controlado, com base no comportamento geral das redes, acredita-se possuir um nmero menor de invases por possuir politicas de segurana implementadas e contar com firewall e ferramentas como o squid para filtrar o contedo da rede, mesmo assim algumas formas de invaso na rede wireless utilizada foram encontradas, visto que muitas delas de acordo com o log partiram de utilizadores por meio de programas no autorizados vindos de outros computadores conectados a esta rede, sendo ela uma rede de acesso livre aos estudantes. As ferramentas utilizadas, so referenciadas nas sees 4.1, 4.2 e 4.3 deste artigo, onde descreve-se tambm a forma de instalao das mesmas em uma ambiente Linux comum, de forma a que mesmo usurios com pouca experincia em sistemas Unix Based possam utilizar este servio como fonte de informao. 4.1 Tripwire O Tripwire pode ser instalado facilmente por meio do gerenciador de pacotes Synaptic, como neste estudo, ou tambm em outros diversos gerenciadores de pacotes, como por exemplo Aptitude ou mesmo por centrais de gerenciamento de programas das novas distribuies Linux.

Para isto como no nosso estudo, abra o gerenciador de pacotes, como por exemplo, o Synaptic, e digite o nome do pacote para pesquisar pelo mesmo de forma rpida nos repositrios do sistema, como demonstrado na figura 20.

Figura 20 - Captura de Tela - Pesquisa pelo pacote Tripwire no gerenciador Synaptic

Aps, o usurio deve marcar a opo de instalao do pacote o que o leva para uma tela com o demonstrativo e a simula dos pacotes ao qual sero instalado no sistema, juntamente com a necessidade de remoo, e, ou alterao de pacotes para que a IDS funcione corretamente como pode ser visto na figura 21.

Figura 21 - Captura de Tela - Referencia de pacotes Alterados, removidos ou Instalados no sistema

Ao ponto em que o usurio seleciona a opo de instalao, inicia-se o prdownload dos pacotes que sero checados pelo sistema para que se confirme a autenticidade do programa instalado, auxiliando a que uma IDS maliciosa no seja instalada e injetada na rede, esta tcnica normalmente requer um checksum dos pacotes

onde por meio de algoritmos de criptografia, o sistema faz uma verificao em geral de todos os bits comparando com o descritor (checksum) do pacote assim validando-o. Aps o download , conforme a figura 22 e a instalao, feita a configurao do Tripwire, para isto , sendo o sistemas de testes um sistema Debian-Based, utiliza-se o debconf, onde o mesmo inicializado automaticamente no termino da instalao por meio do gerenciador de pacotes utilizado, assim adicionam-se as configuraes de utilizao do Tripwire, como as senhas ou frases secretas que sero utilizadas pelo mesmo, como pode ser visto em uma captura de tela demonstrada na figura 23.

Figura 22 - Captura de Tela - Download e Instalao dos pacotes

Figura 23 - Captura de Tela - debConf sendo executado.

Aps a configurao ser apresentada , exibida uma tela, onde nesta, encontram-se os ltimos detalhamentos da instalao como as mensagens de concluso e tambm o local de instalao de binrios, e do banco de dados, tal qual caminho onde os dados do arquivo leia-me com instrues de uso se encontram , em geral os locais padro de instalao utilizados so respectivamente os diretrios /usr/sbin , /var/lib/Tripwire , /usr/share/doc/Tripwire/README. Para a inicializao do Tripwire, utliliza-se o comando Tripwire m t e email@email.com, onde o mesmo deve ser acionado por meio de um super-usurio do sistema. Nos testes com variadas contas de e-mail, o mesmo gerou erro, como pode ser visto na figura 24, onde so vistos dois dos e-mails testados e ambos no geram resposta.

Figura 24 - Captura de Tela - Teste e execuo do tripwire , falha ocorrida.

O Tripwire no apresentou sucesso nos testes , e o mesmo no pode ser utilizado para um resultado efetivo por meio da debilidade de uma de seus principais requerimentos, apesar de os testes em com o sistema, o origem do erro no foi detectada , sendo que o mesmo pode tambm estar respondendo a erros de outros locais como servidores de e-mail configurados para o mesmo. 4.2 OsSec O IDS OsSec, no encontra-se disponvel para download por meio de gerenciadores de pacote do sistema, ento para o mesmo necessrio o download na pgina da empresa desenvolvedora do programa, seguindo se o link

http://www.OsSec.net/?page_id=19 onde por meio deste, encontra-se disponvel o download de um pacote compactado para o sistema com o instalador binrio do

mesmo, sendo que o uso do instalador binrio permite a utilizao do mesmo pacote de forma independente a distribuio utilizado, pois o pacote compilado para sistema de destino como e visto neste artigo nos pargrafos que tratam da instalao do IDS OsSec, como pode ser visto na figura 25, alm do item de download do pacote compactado contendo os binrios da instalao, conta-se tambm com o link com as instrues de instalao do OsSec .

Figura 25 - Captura de Tela - Pgina de download do OsSec.

Na pgina de instalao, como pode ser visto na figura 26, encontram-se todos os comandos para a instalao do OsSec, os comandos conforme os testes realizados, demonstram-se precisos e forma bem aceitos na distribuio utilizada, no sendo necessria a adaptao dos mesmos.

Figura 26 - Captura de Tela - Instrues de instalao do OsSec

Conforme os dados obtidos na pgina de instalao apresentada por meio do fornecedor do IDS, em modo root, digita-se o comando wget juntamente com o http

para a aquisio do pacote, desta forma garantindo-se a verso atualizada do OsSec tal qual a figura 27.

Figura 27 - Captura de Tela - Comando de obteno do OsSec

Quando o comando executado, obtm-se o pacote para a instalao, como visto na figura 28 deste artigo seguindo-se da obteno do checksum, como descrito na seo 4.1 sendo este necessrio para a verificao da integridade dos pacotes recebidos, o mesmo pode ser visto na figura 29 deste artigo que demonstra o comando e o resultado gerado pelo mesmo.

Figura 28 - Captura de Tela - Aquisio do pacote principal do OsSec.

Figura 29 - Captura de Tela - Aquisio do checksum do aplicativo OsSec.

Aps o recebimento dos arquivos de checksum e dos arquivos de instalao do IDS, utiliza-se o comando tar zxvf OsSec-hIDS-*.tar.gz para a descompactao do pacote, o comando interpretado de forma a que onde encontramos a palavra tar temos

o comando para a descompactao via terminal de um arquivo compactado nesta extenso, aps obtm-se os parmetros da descompactao e o nome do arquivo a ser descompactado, juntamente a sua extenso. Por meio do comando cd pode-se agora listar o contedo do pacote descompactado que encontra-se em um diretrio com o nome do IDS. Assim que o utilizador o sistema se encontra localizado dentro do diretrio, utiliza-se o comando ./install.sh para executar a instalao do OsSec, sendo os caracteres ponto e barra, representantes de uma ordem de execuo de um arquivo e a nominao install.sh como representantes respectivos do nome do arquivo de instalao e a sua extenso, com a mesma extenso representando um arquivo binrio que ser recompilado para a instalao no sistema. Durante a instalao, requisitada a entrada de dados de preferencias e configuraes de uso do mesmo como a linguagem de instalao do sistema, a mesma encontra-se normalmente na lngua inglesa, a sendo necessria especificao da linguagem conforme o local, sendo o nosso local ento Brasil, utiliza-se a sigla br, como pode ser visto na figura 30.

Figura 30 - Captura de Tela - Configurao do OsSec.

A definio de um local padro para a linguagem bastante importante, pois podemos assim facilitar o trabalho de translado e o trabalho de codificao de caracteres especiais de linguagem. Conforme a figura 31, podemos ver que para a instalao do mesmo temos de atender a dependncia de um compilador de linguagem de programao C, o sistema utiliza-se do usurio atual em login no terminal, para obter as credenciais, sendo este para que no haja maiores interferncias o usurio root, e o host definido com o

proprietrio do sistema. Ainda como pode ser visto na figura, o primeiro passo a definio de um modo de instalao, para os testes utilizado o servidor local que possui tanto funes de servidor tanto funes de cliente, onde ainda pode-se recorrer ao comando de ajuda para a obteno de maiores detalhes sobrea instalao dentro destes modos.

Figura 31 - Captura de Tela - Primeiros passos da configurao do aplicativo OsSec.

Tal qual pode ser visto na figura 32, o sistema necessita da entrada de um local de instalao e tambm de parmetros de configurao, tais qual o parmetro de notificaes por e-mail, verificao de integridade e tambm a deteco de rootkits, contendo arquivos maliciosos, respectivamente as opes de verificao de integridade e deteco de rootkits, so extremamente importantes para a deteco integral de

arquivos maliciosos em todo o potencial de deteco que a ferramenta apresenta. As respostas automticas, tornam-se bastante uteis pois o IDS pode resolver alguns transtornos gerados.

Figura 32 - Captura de Tela - Configuraes gerais do OsSec.

Aps mais alguns pedidos como o de habilitao de firewall, o sistema pede ento o pressionamento de uma tecla para que seja finalizada a instalao do mesmo, aps a tecla ser pressionada, ento utiliza-se como na figura 33, o comando OsSeccontrol start, para que o IDS seja executado, o mesmo pode ser executado utilizando-se os caracteres ponto e barra, em caso o usurio encontrar-se no diretrio ao qual o OsSec est instalado, caso o mesmo no se encontre neste diretrio, o mesmo acessado de qualquer diretrio do sistema em modo terminal utilizando-se a localizao definida na instalao, por padro sendo esta o caminho /var/OsSec/bin/OsSec-control start. Para a parada do sistema, utiliza-se o comando stop para que assim o sistema deixe de ser executado.

Figura 33 - Captura de Tela - Execuo do OsSec.

Apesar da instalao do OsSec no contar com o gerenciador de pacotes para que ela acontea, ela corre de maneira bastante usual, e o sistema informa o usurio de todas as dependncias que devem ser atendidas para o bom funcionamento, tal como as configuraes necessrias para que o mesmo funcione de acordo com as necessidades do utilizador, a deteco ocorre em tempo de uso e o administrador pode tomar as medidas necessrias, contando com o envio de estatsticas por e-mail, onde assim podem ser acessadas remotamente ou mesmo podem ser tomadas medias posteriores de segurana, durante os testes com o IDS, foi observado que o mesmo aps a queda de uma interface de rede, em nosso caso sendo uma interface wlan o mesmo no apresenta reinicio automtico do sistema, podendo prejudicar a deteco em caso de uma falha breve de uma das interface de rede por variados motivos. 4.3 Snort Para a instalao de forma facilitada do Snort, utiliza-se o gerenciador de pacotes, o software tambm disposto on-line para o download separadamente, e conta com versionamento multiplataforma. Para este estudo a anlise do comportamento do IDS Snort ocorre em ambiente Linux, visto que o mesmo tambm utilizado para os testes do Tripwire e OsSec, sendo que o ambiente Linux, dispes de maior nmero de ferramentas para o tratamento e deteco de erros dentro dos mesmos, ainda

apresentando configuraes e comandos de rede avanados, tal qual , o mesmo sendo utilizado em grande parte de servidores. No gerenciador de pacotes, preenche-se o campo de pesquisa de pacotes, com o nome do IDS desejado, em nosso estudo o Snort, aps so listadas as ferramentas relacionadas ao mesmo bem como o pacote desejado, como pode ser visto na figura 34.

Figura 34 - Captura de Tela - Synaptic , seleo do pacote Snort e marcao de suas dependncias de forma automatizada por meio do gerenciador de pacotes.

A partir da seleo da IDS Snort, o gerenciador de pacotes marca de forma automatizada os pacotes que devero ser instalados para atender as dependncias de funcionamento do IDS. Aps o download dos arquivos, o gerenciador de pacotes ,prossegue para a configurao do IDS Snort, onde como pode ser visto na figura 35, o usurio deve entrar com o ip de configurao da IDS para a realizao dos testes, o mesmo pode ser alterado sendo que assim podemos redirecionar os testes para qualquer ip ao qual se est utilizando, como o ip da rede wireless ou o ip da rede ethernet , ainda podendo ser redirecionaod ao ip de rede de maquinas virtuais ou muitos outros tipos de conexes para que estas sejam monitoradas.

Figura 35 - Captura de Tela - Execuo do debconf, para a configurao dos Snort.

Aps a configurao, pode-se tambm instalar os pacotes com a documentao para solucionar duvidas referentes ao funcionamento do IDS e o conversor de regras para iptables, como pode ser visto na figura 36, onde tambm demonstrado o processo de atualizao dos pacotes necessrios sem grandes influencias do usurio, para que o

processo ocorra de maneira segura e estvel, sem que a dependncia de algum pacote possa interferir em testes.

Figura 36 - Captura de Tela - Synaptic, seleo da documentao e programa de converso de regras do iptables , bem como listagem das alteraes aplicadas.

Aps a concluso da instalao, pode-se ento por meio do terminal do sistema, utilizando-se do usurio root para o processo, iniciar o Snort, por meio do comando Snort i wlan0 v l /home/usurio/local onde no parmetro Snort chamamos a IDS e com a passagem do parmetro i indica-se a interface que deve ser monitorada, para os testes fora utilizada a interface wlan0 sendo a mesma correspondente a rede sem fio, o parmetro v para que por meio do terminal seja demonstrado a ao atual de monitoramento ao qual est ocorrendo, e o paramentro l onde por meio deste

especifica-se o local ao qual o log com os dados coletados durante o monitoramento por meio da IDS Snort so salvos, o local definido por meio de um diretrio j existente no sistema, sendo que para utilizar um diretrio especifico deve criar-se o diretrio antes da especificao do caminho deste , devido a que a IDS no apresenta a funcionalidade de criao de diretrios no sistema se os mesmos ainda no existirem; este processo pode ser visto na figura 37.

Figura 37 - Captura de Tela - Snort em execuo e comando para a sua inicializao.

O Snort alm de apresentar funcionalidades em multiplataforma, apresenta-se como uma forma bastante amistosa de IDS, a sua instalao ocorre de maneira rpida e bastante prtica as configuraes tambm podem ser feitas sem muita dificuldade por usurios de nvel intermedirio do sistema. A deteco apresenta-se de forma rpida e pratica, e os logs podem ser lidos por meio de ferramentas simples de edio de texto, sendo os arquivos protegidos por meio da segurana implementada no prprio ambiente Linux, com a utilizao do usurio root, pois os usurios sem privilgios no podem ler o arquivo de forma a garantir o limite de acesso de informaes ao administrador para que ele tome as providencias necessrias e implemente as politicas de segurana recomendadas segundo o tipo e modelo de invaso detectadas pelo IDS.

CONCLUSO Durante a produo deste estudo podemos ver que o Honeypot no apenas uma ferramenta comum de deteco de invasores, os Honeypot s so ferramentas complexas que com o objetivo de atrair o atacante para uma rede, acabam por capturar grande parte de informaes valiosas sobre os tipos de ataques para que se possa aprender e aplicar novas polticas de segurana e preveno de ataques, assim a segurana de uma rede

tende a adiantar-se ao atacante minimizando ou anulando os prejuzos de um eventual ataque. As IDS podem ser utilizadas em vrios nveis da rede, protegidas ou no por um firewall, podendo comprovar se o mesmo apresenta a eficincia necessria e tambm que alvo os atacantes procuram atingir antes mesmo de uma barreira como o firewall. As IDS auxiliam a no repetio de erros e assim como os Honeypot s, so ferramentas cruciais para que o administrador de uma rede ou sistema se adiante ao ataque e que o atacante no possa usufrui dos dados que o mesmo busca, nem todos os ataques podem ser evitados, ento prever os mesmos pode garantir a implementao de politicas como o uso de criptografia de dados para que mesmo que interceptados os mesmos no possamser decifrados por um atacante, a minimizao dos prejuzos com a pr-deteco de um ataque ou no repetio do mesmo, so uma maneira de ajustar os custos com segurana e obteno da eficincia mxima possvel para minimizar os danos causados e evitar que os mesmos aconteam.

BIBLIOGRAFIA [1] Thomas, Tom Segurana de Redes Primeiros Passos Cincia moderna. [2] Augusto Pedro - Introduo aos Honeypot s Disponvel em: http://www.dicas-l.com.br/arquivo/introducao_aos_Honeypot s.php. [3] Tissato Nakamura Emilio, Lcio de Geus Paulo Segurana de Redes em ambientes cooperativos Novatec. [4] Ferreira, Rubem E. - Linux - Guia do Administrador do Sistema. 2 Edio, Novatec Editora, 2008 [5] Franciscatto, Roberto Segurana na web, captulo 7: IDS e Honeypots Disponvel em : http://www.cafw.ufsm.br/~roberto/wp-

content/uploads/2011/05/capitulo_7_IDS.pdf , acesso em : 06/09/2012