Projeto Integrador Segurança de Redes e Transmissão de Dados

Transcrição

1 FACULDADE DE TECNOLOGIA SENAC GOIÁS SEGURANÇA DA INFORMAÇÃO Projeto Integrador Segurança de Redes e Transmissão de Dados AYLSON SANTOS EDFRANCIS MARQUES HEVERTHON LUIZ THIAGO SHITINOE

2 AYLSON SANTOS EDFRANCIS MARQUES HEVERTHON LUIZ THIAGO SHITINOE Projeto Integrador Segurança de Redes e Transmissão de Dados

3 Introdução O SNORT é uma ferramenta NIDS desenvolvido por Martin Roesch "open-source" bastante popular por sua flexibilidade nas configurações de regras e constante atualização frente às novas ferramentas de invasão. Outro ponto forte desta ferramenta é o fato de ter o maior cadastro de assinaturas, ser leve, pequeno, fazer escaneamento do micro e verificar anomalias dentro de toda a rede ao qual seu computador pertence. O uso do módulo apache-ssl com o servidor Apache realiza a comunicação segura de dados (criptografada) via porta 443 (que é usada como padrão quando especificamos uma url iniciando com A transmissão criptografada de dados é importante quanto temos dados confidenciais que precisamos transmitir como movimentação bancária, senhas, número de cartões de crédito, fazer a administração remota do servidor, etc.

4 Implementações Snort. Por ser uma ferramenta peso leve, a utilização do Snort é indicada para monitorar redes TCP/IP pequenas, onde pode detectar uma grande variedade do tráfego suspeito, assim como ataques externos e então, fornece argumento para as decisões dos administradores. Os módulos que compõe o Snort são ferramentas poderosas, capazes de produzir uma grande quantidade de informação sobre os ataques monitorados, dado que é possível avaliar tanto o cabeçalho quanto o conteúdo dos pacotes, além de disponibilizar, por exemplo, a opção de capturar uma sessão inteira. O Snort monitora o tráfego de pacotes em redes IP, realizando análises em tempo real sobre diversos protocolos (nível de rede e aplicação) e sobre o conteúdo (hexa e ASCII). Outro ponto positivo desse software é o grande número de possibilidades de tratamento dos alertas gerados. O subsistema de registro e alerta é selecionado em tempo de execução através de argumentos na linha de comando, são três opções de registro e cinco de alerta. O registro pode ser configurado para armazenar pacotes decodificados e legíveis em uma estrutura de diretório baseada em IP, ou no formato binário do tcpdump em um único arquivo. Para um incremento de desempenho, o registro pode ser desligado completamente, permanecendo os alertas. Já os alertas podem, ser enviados ao syslog, registrados num arquivo de texto puro em dois formatos diferentes, ou ser enviados como mensagens WinPopup usando o smbclient. Os alertas podem ser enviados para arquivo texto de forma completa e o alerta rápido. O alerta completo escreve a mensagem de alerta associada à regra e a informação do cabeçalho do pacote até o protocolo de camada de transporte. A opção de alerta rápido escreve um subconjunto condensado de informação do cabeçalho alerta. Por fim, uma última opção desabilita os alertas completamente.existe também, a possibilidade de utilizar métodos como o Database Plug-in por exemplo, para registrar pacotes em uma variedade de bases de dados diferentes (MySQL, PostgreSQL, entre outros), as quais contam com recursos próprios para efetuar consultas, correlações e dispõem de mecanismos de visualização para analisar dados.

5 SSl mod_ssl é um módulo opcional para o servidor Apache HTTP. Fornece criptografia forte para a v1.3 Apache webserver e v2 através do Secure Sockets Layer (SSL v2/v3) e Transport Layer Security (TLS v1) protocolos de criptografia por a ajuda do Open Source SSL / TLS kit de ferramentas OpenSSL. É possível fornecer HTTP e HTTPS com um único servidor, porque HTTP e HTTPS usar diferentes portas do servidor, para que não haja conflito direto entre eles. Ou execute duas instâncias do servidor Apache separadas (uma liga-se a porta 80, o outro para a porta 443) ou até mesmo usar o recurso de hosts virtuais do Apache onde você pode criar dois servidores virtuais que Apache despacha: uma resposta para a porta 80 e falando HTTP e um respondendo a porta 443 falando HTTPS.

6 Conclusão Um IDS como o Snort tem a capacidade de monitorar eventos locais de um host, podendo detectar ataques que não poderiam ser detectados por um IDS de rede. Eles podem operar em um ambiente onde o tráfego de rede é criptografado, a informação é analisada antes de ser criptografada na origem, ou depois de ser decriptada no destino. Os protocolos SSL, OpenSSL, TLS, IPSec etc., são alguns dos protocolos mais utilizados para proporcionar uma camada extra de segurança nas transações on-line para evitar crimes virtuais. No entanto, esses protocolos implementados puramente; ou seja, simplesmente sem utilizar chaves públicas e privadas (PKI) já não estão oferecendo um grau aceitável de segurança.