Académique Documents
Professionnel Documents
Culture Documents
Augusto Rosseto, Darlan Dieterich, Jacson Luiz Krtz Universidade Federal de Santa Maria Campus Frederico Westphalen
augustorossetto1@hotmail.com, darlandieterich@gmail.com, luis.kr@live.com
Resumo. Este artigo aborda um estudo sobre ferramentas para deteco de intruso (IDS) e Honeynets, onde existem semelhanas entre essas ferramentas, porm com funes diferentes. Tem como objetivo analisar diferentes tipos de ferramentas IDS e Honeypot , assim como suas caractersticas, funcionalidades, entre outros aspectos. Tambm ser possvel acompanhar desde sua instalao, configurao, simulao, tela de logs, at a anlise final.
1-INTRODUO Honeypot do ingls (pote de mel) uma ferramenta baseada em Honeyd. Onde sua funo criar armadilhas para deteco de invasores, gerando logs de eventos ocorridos, colhendo informaes do invasor. As ferramentas Honeypot so instaladas em um servidor vulnervel a ataques. Assim uma vez conectados os invasores vo deixando rastros, as Honeypot s colhem informaes e logo emitem alertas ao administrador. Com isso, vulnerabilidades so obtidas para anlise e proteo dos sistemas. Ou seja, deixando os invasores entrarem no sistema como uma espcie de isca, ser possvel colher tcnicas, de como os intrusos usam para invadir, assim administradores usam novos meios para evitar esse tipo de mal, tambm usado como meio para distrair os invasores de suas reais informaes do sistema. Uma forma barata e simples de detectar atividades ilcitas na sua rede. Sua principal funo ser atacado (por pessoas, por vrus, por worms, etc), escaneando ou
invadido para assim adquirir informaes para que voc consiga se proteger de forma mais eficiente conhecendo como seus hosts podem ser atacados. O conceito simples: um Honeypot no tem nenhum propsito de produo (no tem nenhum servio real, no deve receber nenhuma conexo, ningum deve interagir com ele), portanto qualquer interao com um Honeypot possivelmente uma atividade ilcita (proposital ou no). Por esse motivo, os Honeypot s tem um baixo nmero de falso-positivo e geram pouco log, facilitando a leitura e fazendo com que o administrador detecte ataques com mais facilidade [2]. 2-HONEYPOT Os Honeypot s so ambientes capazes de detectar intrusos em uma rede e monitorar o que esto tramando, assim como finalidade de usar essas tcnicas dos invasores para se proteger futuramente de um ataque. Honeynets capaz de concentrar um sub-rede de Honeypot s, ou seja vrios Honeypot s agindo em conjunto.
um sistema de computao
altamente flexvel na internet que personalizado para ser uma ferramenta de segurana e expressamente definido para atrair prender pessoas que tendem penetrar nos sistemas de computao de outras pessoa usando sondagem, scans, e invases. Esta audincia alvo inclui o Hacker, cracker, e o script kiddie, desconsiderando sua localizao no mundo. Honeypot s no resolvem um nico problema de segurana, em vez disso, eles so usados para desorientar, prevenir, detectar, e coletar informaes por
serem altamente monitoradas e projetadas para se parecerem com algo que no so para os atacantes carem. Conceitualmente, isso significa que um Honeypot no deve ser usado para produo porque seu valor est em ser sondado, atacado ou comprometido. Aspectos chave de um Honeypot : Honeypot s distraem os atacantes dos recursos mais valiosos da sua rede, permitindo assim a proteo dos seus recursos ao distrair os atacantes para dispositivos que lhes parecem reais. Honeypot s fornecem um aviso precoce sobre novas tentativas de ataque e invaso. Os IDS podem gerar falsos positivos, enquanto que estes que tem realmente a inteno de provocar dano acessam apenas um Honeypot produtividade. Honeypot s permitem um exame profundo das atividades de um atacante durante e depois da explorao do Honeypot . Isso pode se parecer como algo que apenas algum envolvido em pesquisa possa fazer, mas pense no que voc pode aprender. Voc pode usar esta educao para garantir que os recursos reais de segurana da sua rede estejam configurados/atualizados corretamente. Honeypot s possuem a habilidade nica de mostrar que o seu projeto de segurana de rede efetivo. Para conhecer seu inimigo uma outra razo da existncia do Honeypot . No suficiente saber que os atacantes esto l. Entretanto, o que importante determinar suas tcnicas e mtodos. Depois que voc tiver o perfil de um atacante, poder se defender ainda mais contra exploraes futuras. devido a sua no-
O conceito de Honeypot divide-se em duas categorias: Honeypot s de pesquisa: Complexo para distribuir e manter o uso primrio para organizao de pesquisa, militares e governamentais. Honeypot s de produo: usado por organizaes que estejam preocupadas com a segurana das suas redes, normalmente distribudo tendo em mente certo objetivo ou inteno. Tissato & Lcio [3], definem que uma rede de Honeypot s com diferentes sistemas conhecida como Honeynet. Se os sistemas de deteco de intruso podem ser
utilizados como fonte de aprendizado sobre novos ataques, alm de sua funo principal, que a de deteco, os Honeypot s podem ensinar muito mais. Um Honeypot no contm dados ou aplicao muito importante para a organizao e seu nico propsito de passar-se por um legitimo equipamento da organizao que configurado para interagir com Hacker em potencial. Assim, os detalhes da tcnica utilizada e do ataque em si podem ser capturados e estruturados. Eles so tambm conhecidos como sacrificial Lamb, decoy, booby trap, lures ou fly-traps e funcionam como armadilhas para os Hackers. 3-ANLISE HONEYPOT Este captulo aborda o funcionamento de algumas ferramentas baseadas em Honeypot , visando sua instalao, configurao e simulao. 3.1-Valhala http://ValhalaHoneypot .sourceforge.net/ Cdigo fonte aberto
Figura 2 - Valhala
3.1.2- Configuraes Valhala permite vrios meios de alerta, inclusive envio por e-mail, salvar logs, tocar sons, habilitar portas extras, iniciar com o Windows, entre outros.
3.1.3- Simulao Um exemplo de invaso usando o protocolo TELNET, tentando-se conectar pelo localhost pela porta 80, onde possvel ver um log gerado mostrando o que o invasor tentou fazer.
3.2.1 Instalao Baixe e execute o instalador e siga os passos sem complicao. 3.2.2 Configurao Fcil uso da ferramenta, com sons para escolha de alerta, alertas em intervalos, registra os logs e permite aplicar filtros. Possui mecanismos de respostas baseados nas atividades dos invasores, como desligar o sistema. KFSensor projetado para uso em um ambiente corporativo baseado em Windows e contm muitos recursos inovadores e exclusivos, tais como gerenciamento remoto, um motor Snort assinatura compatvel e emulaes de protocolos de rede do Windows.
KFSensor possui vrias simulaes dentre as principais esto HTTP, FTP, POP3, SMTP, SOCKS, TELNET, NETBIOS. Rastreia tambm tanto com protocolos de transporte TCP como UDP.
3.2.3 Simulao A simulao foi baseada em um ataque via TELNET, e apresentou-se eficiente na hora da deteco.
3.3.1 Instalao Para instalar preciso descompactar o arquivo e copiar alguns para diretrios do sistema: Copiar e Colar o arquivo "qtintf70.dll" na pasta C:\Winows\System32\ Copiar e Colar os arquivos: "Honey" e "Honeypot " na pasta C:\Windows\
3.3.2 Configurao O mais simples e objetivo, configura, inicia o servio, e exibe tela de logs. Conta com diferentes tipos de servios pr-definidos e tambm podendo modificar a porta junto com sua descrio, tambm podendo salvar os logs.
3.3.3 Simulao O teste de invaso foi feito via FTP, pela porta padro 21. Em seguida foi exibida uma tela de alerta com uma mensagem de algum tentando invadir via FTP, juntamente emitindo um som.
3.4.1 Instalao
Baixe o instalador no site do desenvolvedor e instale sem complicao. 3.4.2 Configurao Interface amigvel, intuitiva e bem objetiva. Com um simples menu podemos ativar servios pr-definidos, ou tambm definir portas extras para um determinado servio. Suas funes so bem simples como capturar um IP, data e hora, portas do atacante, nome da mquina, Protocolos pr definidos so: TELNET, FTP, HTTP, SSH, NETBus, SMB
Figura 18 - Captura de Tela da Interface de Configurao do Programa Anti Hacker Ataque 1.2.
3.4.3 - Simulao O teste foi efetuado com invaso via FTP, quando houver uma tentativa de ataque o programa dispara na tela imediatamente informaes sobre o atacante.
Figura 19 - Captura de Tela da Interface de Simulao do Programa Anti Hacker Ataque 1.2.
um servio, as ferramentas de deteco de intruso esto l para alertar o gerente de rede, em vrios nveis da rede , podendo ser utilizadas antes ou depois da ao de um firewall, para gerar relatrios de como o atacante se comporta em uma invaso. Sabendo-se do comportamento do invasor a partir de anlises nos logs ou mesmo em alguns casos da anlise em prompt ,o gerente de uma rede pode utilizar a estratgia de segurana mais adequada para preveno de um ataque real fora de um ambiente controlado, isto ajuda a prevenir as ameaas antes mesmo que estas ocorram e ajuda a moldar o perfil dos atacantes e dos clientes que sofrem o ataque, sendo utilizado at mesmo na implementao de politicas de segurana. Algumas ferramentas de deteco de intruso podem ser vistas neste artigo e a sua utilizao ocorreu durante um curto intervalo de tempo, mas mesmo assim gerou alguns resultados como a deteco de pequenos ataques ou mesmo do uso indevido de algumas portas ou servios, para o uso da ferramenta de deteco de intruso, foi utilizada a rede wireless da Universidade Federal de Santa Maria campus de Frederico Westphalen RS , onde estando em um ambiente controlado, com base no comportamento geral das redes, acredita-se possuir um nmero menor de invases por possuir politicas de segurana implementadas e contar com firewall e ferramentas como o squid para filtrar o contedo da rede, mesmo assim algumas formas de invaso na rede wireless utilizada foram encontradas, visto que muitas delas de acordo com o log partiram de utilizadores por meio de programas no autorizados vindos de outros computadores conectados a esta rede, sendo ela uma rede de acesso livre aos estudantes. As ferramentas utilizadas, so referenciadas nas sees 4.1, 4.2 e 4.3 deste artigo, onde descreve-se tambm a forma de instalao das mesmas em uma ambiente Linux comum, de forma a que mesmo usurios com pouca experincia em sistemas Unix Based possam utilizar este servio como fonte de informao. 4.1 Tripwire O Tripwire pode ser instalado facilmente por meio do gerenciador de pacotes Synaptic, como neste estudo, ou tambm em outros diversos gerenciadores de pacotes, como por exemplo Aptitude ou mesmo por centrais de gerenciamento de programas das novas distribuies Linux.
Para isto como no nosso estudo, abra o gerenciador de pacotes, como por exemplo, o Synaptic, e digite o nome do pacote para pesquisar pelo mesmo de forma rpida nos repositrios do sistema, como demonstrado na figura 20.
Aps, o usurio deve marcar a opo de instalao do pacote o que o leva para uma tela com o demonstrativo e a simula dos pacotes ao qual sero instalado no sistema, juntamente com a necessidade de remoo, e, ou alterao de pacotes para que a IDS funcione corretamente como pode ser visto na figura 21.
Ao ponto em que o usurio seleciona a opo de instalao, inicia-se o prdownload dos pacotes que sero checados pelo sistema para que se confirme a autenticidade do programa instalado, auxiliando a que uma IDS maliciosa no seja instalada e injetada na rede, esta tcnica normalmente requer um checksum dos pacotes
onde por meio de algoritmos de criptografia, o sistema faz uma verificao em geral de todos os bits comparando com o descritor (checksum) do pacote assim validando-o. Aps o download , conforme a figura 22 e a instalao, feita a configurao do Tripwire, para isto , sendo o sistemas de testes um sistema Debian-Based, utiliza-se o debconf, onde o mesmo inicializado automaticamente no termino da instalao por meio do gerenciador de pacotes utilizado, assim adicionam-se as configuraes de utilizao do Tripwire, como as senhas ou frases secretas que sero utilizadas pelo mesmo, como pode ser visto em uma captura de tela demonstrada na figura 23.
Aps a configurao ser apresentada , exibida uma tela, onde nesta, encontram-se os ltimos detalhamentos da instalao como as mensagens de concluso e tambm o local de instalao de binrios, e do banco de dados, tal qual caminho onde os dados do arquivo leia-me com instrues de uso se encontram , em geral os locais padro de instalao utilizados so respectivamente os diretrios /usr/sbin , /var/lib/Tripwire , /usr/share/doc/Tripwire/README. Para a inicializao do Tripwire, utliliza-se o comando Tripwire m t e email@email.com, onde o mesmo deve ser acionado por meio de um super-usurio do sistema. Nos testes com variadas contas de e-mail, o mesmo gerou erro, como pode ser visto na figura 24, onde so vistos dois dos e-mails testados e ambos no geram resposta.
O Tripwire no apresentou sucesso nos testes , e o mesmo no pode ser utilizado para um resultado efetivo por meio da debilidade de uma de seus principais requerimentos, apesar de os testes em com o sistema, o origem do erro no foi detectada , sendo que o mesmo pode tambm estar respondendo a erros de outros locais como servidores de e-mail configurados para o mesmo. 4.2 OsSec O IDS OsSec, no encontra-se disponvel para download por meio de gerenciadores de pacote do sistema, ento para o mesmo necessrio o download na pgina da empresa desenvolvedora do programa, seguindo se o link
http://www.OsSec.net/?page_id=19 onde por meio deste, encontra-se disponvel o download de um pacote compactado para o sistema com o instalador binrio do
mesmo, sendo que o uso do instalador binrio permite a utilizao do mesmo pacote de forma independente a distribuio utilizado, pois o pacote compilado para sistema de destino como e visto neste artigo nos pargrafos que tratam da instalao do IDS OsSec, como pode ser visto na figura 25, alm do item de download do pacote compactado contendo os binrios da instalao, conta-se tambm com o link com as instrues de instalao do OsSec .
Na pgina de instalao, como pode ser visto na figura 26, encontram-se todos os comandos para a instalao do OsSec, os comandos conforme os testes realizados, demonstram-se precisos e forma bem aceitos na distribuio utilizada, no sendo necessria a adaptao dos mesmos.
Conforme os dados obtidos na pgina de instalao apresentada por meio do fornecedor do IDS, em modo root, digita-se o comando wget juntamente com o http
para a aquisio do pacote, desta forma garantindo-se a verso atualizada do OsSec tal qual a figura 27.
Quando o comando executado, obtm-se o pacote para a instalao, como visto na figura 28 deste artigo seguindo-se da obteno do checksum, como descrito na seo 4.1 sendo este necessrio para a verificao da integridade dos pacotes recebidos, o mesmo pode ser visto na figura 29 deste artigo que demonstra o comando e o resultado gerado pelo mesmo.
Aps o recebimento dos arquivos de checksum e dos arquivos de instalao do IDS, utiliza-se o comando tar zxvf OsSec-hIDS-*.tar.gz para a descompactao do pacote, o comando interpretado de forma a que onde encontramos a palavra tar temos
o comando para a descompactao via terminal de um arquivo compactado nesta extenso, aps obtm-se os parmetros da descompactao e o nome do arquivo a ser descompactado, juntamente a sua extenso. Por meio do comando cd pode-se agora listar o contedo do pacote descompactado que encontra-se em um diretrio com o nome do IDS. Assim que o utilizador o sistema se encontra localizado dentro do diretrio, utiliza-se o comando ./install.sh para executar a instalao do OsSec, sendo os caracteres ponto e barra, representantes de uma ordem de execuo de um arquivo e a nominao install.sh como representantes respectivos do nome do arquivo de instalao e a sua extenso, com a mesma extenso representando um arquivo binrio que ser recompilado para a instalao no sistema. Durante a instalao, requisitada a entrada de dados de preferencias e configuraes de uso do mesmo como a linguagem de instalao do sistema, a mesma encontra-se normalmente na lngua inglesa, a sendo necessria especificao da linguagem conforme o local, sendo o nosso local ento Brasil, utiliza-se a sigla br, como pode ser visto na figura 30.
A definio de um local padro para a linguagem bastante importante, pois podemos assim facilitar o trabalho de translado e o trabalho de codificao de caracteres especiais de linguagem. Conforme a figura 31, podemos ver que para a instalao do mesmo temos de atender a dependncia de um compilador de linguagem de programao C, o sistema utiliza-se do usurio atual em login no terminal, para obter as credenciais, sendo este para que no haja maiores interferncias o usurio root, e o host definido com o
proprietrio do sistema. Ainda como pode ser visto na figura, o primeiro passo a definio de um modo de instalao, para os testes utilizado o servidor local que possui tanto funes de servidor tanto funes de cliente, onde ainda pode-se recorrer ao comando de ajuda para a obteno de maiores detalhes sobrea instalao dentro destes modos.
Tal qual pode ser visto na figura 32, o sistema necessita da entrada de um local de instalao e tambm de parmetros de configurao, tais qual o parmetro de notificaes por e-mail, verificao de integridade e tambm a deteco de rootkits, contendo arquivos maliciosos, respectivamente as opes de verificao de integridade e deteco de rootkits, so extremamente importantes para a deteco integral de
arquivos maliciosos em todo o potencial de deteco que a ferramenta apresenta. As respostas automticas, tornam-se bastante uteis pois o IDS pode resolver alguns transtornos gerados.
Aps mais alguns pedidos como o de habilitao de firewall, o sistema pede ento o pressionamento de uma tecla para que seja finalizada a instalao do mesmo, aps a tecla ser pressionada, ento utiliza-se como na figura 33, o comando OsSeccontrol start, para que o IDS seja executado, o mesmo pode ser executado utilizando-se os caracteres ponto e barra, em caso o usurio encontrar-se no diretrio ao qual o OsSec est instalado, caso o mesmo no se encontre neste diretrio, o mesmo acessado de qualquer diretrio do sistema em modo terminal utilizando-se a localizao definida na instalao, por padro sendo esta o caminho /var/OsSec/bin/OsSec-control start. Para a parada do sistema, utiliza-se o comando stop para que assim o sistema deixe de ser executado.
Apesar da instalao do OsSec no contar com o gerenciador de pacotes para que ela acontea, ela corre de maneira bastante usual, e o sistema informa o usurio de todas as dependncias que devem ser atendidas para o bom funcionamento, tal como as configuraes necessrias para que o mesmo funcione de acordo com as necessidades do utilizador, a deteco ocorre em tempo de uso e o administrador pode tomar as medidas necessrias, contando com o envio de estatsticas por e-mail, onde assim podem ser acessadas remotamente ou mesmo podem ser tomadas medias posteriores de segurana, durante os testes com o IDS, foi observado que o mesmo aps a queda de uma interface de rede, em nosso caso sendo uma interface wlan o mesmo no apresenta reinicio automtico do sistema, podendo prejudicar a deteco em caso de uma falha breve de uma das interface de rede por variados motivos. 4.3 Snort Para a instalao de forma facilitada do Snort, utiliza-se o gerenciador de pacotes, o software tambm disposto on-line para o download separadamente, e conta com versionamento multiplataforma. Para este estudo a anlise do comportamento do IDS Snort ocorre em ambiente Linux, visto que o mesmo tambm utilizado para os testes do Tripwire e OsSec, sendo que o ambiente Linux, dispes de maior nmero de ferramentas para o tratamento e deteco de erros dentro dos mesmos, ainda
apresentando configuraes e comandos de rede avanados, tal qual , o mesmo sendo utilizado em grande parte de servidores. No gerenciador de pacotes, preenche-se o campo de pesquisa de pacotes, com o nome do IDS desejado, em nosso estudo o Snort, aps so listadas as ferramentas relacionadas ao mesmo bem como o pacote desejado, como pode ser visto na figura 34.
Figura 34 - Captura de Tela - Synaptic , seleo do pacote Snort e marcao de suas dependncias de forma automatizada por meio do gerenciador de pacotes.
A partir da seleo da IDS Snort, o gerenciador de pacotes marca de forma automatizada os pacotes que devero ser instalados para atender as dependncias de funcionamento do IDS. Aps o download dos arquivos, o gerenciador de pacotes ,prossegue para a configurao do IDS Snort, onde como pode ser visto na figura 35, o usurio deve entrar com o ip de configurao da IDS para a realizao dos testes, o mesmo pode ser alterado sendo que assim podemos redirecionar os testes para qualquer ip ao qual se est utilizando, como o ip da rede wireless ou o ip da rede ethernet , ainda podendo ser redirecionaod ao ip de rede de maquinas virtuais ou muitos outros tipos de conexes para que estas sejam monitoradas.
Aps a configurao, pode-se tambm instalar os pacotes com a documentao para solucionar duvidas referentes ao funcionamento do IDS e o conversor de regras para iptables, como pode ser visto na figura 36, onde tambm demonstrado o processo de atualizao dos pacotes necessrios sem grandes influencias do usurio, para que o
processo ocorra de maneira segura e estvel, sem que a dependncia de algum pacote possa interferir em testes.
Figura 36 - Captura de Tela - Synaptic, seleo da documentao e programa de converso de regras do iptables , bem como listagem das alteraes aplicadas.
Aps a concluso da instalao, pode-se ento por meio do terminal do sistema, utilizando-se do usurio root para o processo, iniciar o Snort, por meio do comando Snort i wlan0 v l /home/usurio/local onde no parmetro Snort chamamos a IDS e com a passagem do parmetro i indica-se a interface que deve ser monitorada, para os testes fora utilizada a interface wlan0 sendo a mesma correspondente a rede sem fio, o parmetro v para que por meio do terminal seja demonstrado a ao atual de monitoramento ao qual est ocorrendo, e o paramentro l onde por meio deste
especifica-se o local ao qual o log com os dados coletados durante o monitoramento por meio da IDS Snort so salvos, o local definido por meio de um diretrio j existente no sistema, sendo que para utilizar um diretrio especifico deve criar-se o diretrio antes da especificao do caminho deste , devido a que a IDS no apresenta a funcionalidade de criao de diretrios no sistema se os mesmos ainda no existirem; este processo pode ser visto na figura 37.
O Snort alm de apresentar funcionalidades em multiplataforma, apresenta-se como uma forma bastante amistosa de IDS, a sua instalao ocorre de maneira rpida e bastante prtica as configuraes tambm podem ser feitas sem muita dificuldade por usurios de nvel intermedirio do sistema. A deteco apresenta-se de forma rpida e pratica, e os logs podem ser lidos por meio de ferramentas simples de edio de texto, sendo os arquivos protegidos por meio da segurana implementada no prprio ambiente Linux, com a utilizao do usurio root, pois os usurios sem privilgios no podem ler o arquivo de forma a garantir o limite de acesso de informaes ao administrador para que ele tome as providencias necessrias e implemente as politicas de segurana recomendadas segundo o tipo e modelo de invaso detectadas pelo IDS.
CONCLUSO Durante a produo deste estudo podemos ver que o Honeypot no apenas uma ferramenta comum de deteco de invasores, os Honeypot s so ferramentas complexas que com o objetivo de atrair o atacante para uma rede, acabam por capturar grande parte de informaes valiosas sobre os tipos de ataques para que se possa aprender e aplicar novas polticas de segurana e preveno de ataques, assim a segurana de uma rede
tende a adiantar-se ao atacante minimizando ou anulando os prejuzos de um eventual ataque. As IDS podem ser utilizadas em vrios nveis da rede, protegidas ou no por um firewall, podendo comprovar se o mesmo apresenta a eficincia necessria e tambm que alvo os atacantes procuram atingir antes mesmo de uma barreira como o firewall. As IDS auxiliam a no repetio de erros e assim como os Honeypot s, so ferramentas cruciais para que o administrador de uma rede ou sistema se adiante ao ataque e que o atacante no possa usufrui dos dados que o mesmo busca, nem todos os ataques podem ser evitados, ento prever os mesmos pode garantir a implementao de politicas como o uso de criptografia de dados para que mesmo que interceptados os mesmos no possamser decifrados por um atacante, a minimizao dos prejuzos com a pr-deteco de um ataque ou no repetio do mesmo, so uma maneira de ajustar os custos com segurana e obteno da eficincia mxima possvel para minimizar os danos causados e evitar que os mesmos aconteam.
BIBLIOGRAFIA [1] Thomas, Tom Segurana de Redes Primeiros Passos Cincia moderna. [2] Augusto Pedro - Introduo aos Honeypot s Disponvel em: http://www.dicas-l.com.br/arquivo/introducao_aos_Honeypot s.php. [3] Tissato Nakamura Emilio, Lcio de Geus Paulo Segurana de Redes em ambientes cooperativos Novatec. [4] Ferreira, Rubem E. - Linux - Guia do Administrador do Sistema. 2 Edio, Novatec Editora, 2008 [5] Franciscatto, Roberto Segurana na web, captulo 7: IDS e Honeypots Disponvel em : http://www.cafw.ufsm.br/~roberto/wp-