Professional Documents
Culture Documents
Resumo. A procura por uma forma eficiente para monitorar o tráfego das informações
em redes de computadores, tornou-se uma das maiores preocupações dos
administradores de rede. O crescimento em larga escala da utilização de computadores
de pequeno porte, a distribuição das aplicações que antes rodavam somente em
mainframes e o uso das facilidades da Internet e Intranet tornaram um desafio a
segurança da rede e o funcionamento correto dos equipamentos. O modelo
SNORTFACE é uma proposta de interface Web para configuração, distribuição em rede
e coleta de dados das ferramentas de Detecção de Intrusão (IDS – Intrusion Detection
System), para auxiliar o administrador na análise de tráfego das informações na rede e
diagnóstico de problemas. Este modelo será mostrado através do uso de uma aplicação
em rede, desenvolvida em linguagem estruturada, objetivando chamadas remotas para
busca das informações que alimentam a base de dados sobre as tentativas de ataque.
1. Introdução
Sistemas de monitoramento têm adquirido importância fundamental na
análise das informações de possíveis ameaças de invasão em redes de
computadores. As ferramentas de detecção de intrusão, ao analisar os pacotes de
dados que trafegam pelas redes, geram arquivos de log contendo alertas de
tentativas de ataque. A adoção de um modelo que permita de forma centralizada
monitorar e visualizar estas informações, automatiza o processo de filtragem e
análise para o administrador de rede, agilizando o acompanhamento e resposta a
problemas.
2. Motivação
A segurança das redes de computadores tem enfrentado um momento crítico,
isto pode ser comprovado pelo crescimento dos serviços eletrônicos (E-cash, B2B,
B2C, E-Commerce), os constantes atos de vandalismo no meio eletrônico e a falta
de ferramentas adequadas para análise e acompanhamento de tentativas de
intrusão, gerando sobrecarga aos administradores de rede.
A necessidade de analisar o tráfego em redes comutadas representa um
grande desafio na atualidade, pois as ferramentas IDS (Intrusion Detection
322 XI SEMINCO - Seminário de computação - 2002
A gent e 1 A g e n te 2 A g e n te 3
I DS A ge nt ID S A g ent ID S A ge nt
S nort I DS A ge nt
I D S S e rve r
ID S B as e
A t ua li za a b ase de da dos
I nt er fa ce W e b
ID S A g en t
S T AR T
A TIV A R
PO R T A
E N VI A
A G UA R DA R M E N S A GE M
CO NE X Ã O
( FIM C O N E X Ã O)
R E C E BE
CO NE X Ã O
F E CHA A RQ
R E GR A S NÃ O
M EN SAG E M
A N AL IS A 1 A BR E A R Q RE CE B E É
P R O TO C R E GR A S DA DO S RE G RA ?
MEN S AG EM
2 S IM
A B R E A RQ GR A V A R E G .
A LE RT A S A RQ R E G RA S
NO V O S NÃ O
A L E R TA S ?
NÃ O
S IM
S IM
E N V IA F IM FE C H A A R Q A T U A L IZA
A LE RT A S A RQ ? A L E R TA A RQ T A M
ID S S erve r
2
ST AR T
1 NÃ O
NÃ O
S LE E P S IM C O N E C T OU SI M ABR E T AB
( TIM E ) B . D A D OS MÁ Q AG EN T E
SI M
3 4
E N V IA A RQ
R E GR A TE R M I N O U
SI M E XIST E
NÃ O R E G R A? NÃ O
S IM
FI M MEN SAG EM C O N E C T OU
R E GR A S ? 1 A G E NT E ?
N ÃO
NÃ O
S IM
M E NS A G E M G RA V A L O G
2 A R Q E RRO
A T U A L I ZA TA B
M Á Q RE G RA
RE CE B E
D A D OS
INICIALIZA GR A V A
1 É S IM
TEMPORIZADOR A LE RT A S
A L E RT A ?
B . D A DO S
GRAVA ERRO COMANDO INICIALIZA
2 BANCO DE DADOS 3
ARQ. LOG N ÃO
ENCERA
4 CONEXAODB 1
F IN A L IZ A A T U A L IZ A T A B
C O NE X Ã O M Á Q A G E NT E
3 Testes
4 Conclusões
Algumas ferramentas são especializadas apenas em analise de logs, outras
em gerar logs, desta forma torna-se onerosa a tarefa do administrador de redes, que
necessita juntar fragmentos de analises realizadas pelos diferentes programas
existentes. O modelo SNORTFACE propõe a facilidade da consulta a diversos
agentes que estão distribuídos pela rede, analisando os logs de forma centralizada
332 XI SEMINCO - Seminário de computação - 2002
usando uma interface gráfica fornecida pelo browser do usuário através de páginas
HTML criadas dinamicamente por consultas efetuadas em uma base de dados,
permitindo também a inserção de novas regras de ataques. O administrador não
terá a necessidade de acessar individualmente cada uma das máquinas monitoradas
pela ferramenta IDS, pois este processo é feito de forma centralizada e
transparente.
A possibilidade de armazenamento de logs das atividades monitoradas nos
servidores que estão instalados em outros segmentos de rede separados por
switches, é outro grande diferencial, pois desta forma o administrador consegue em
uma visão centralizada analisar toda a rede, evitando a necessidade de várias bases
de dados, uma para cada segmento de rede.
O desenvolvimento da ferramenta foi efetuado com a utilização de uma
aplicação em rede usando Socket [6] escrita no paradigma estruturado, objetivando
no futuro, adaptações sem grandes traumas aos demais módulos e agilizando o
reaproveitamento de código. As páginas HTML foram criadas utilizando PHP, que
permitirá um conteúdo dinâmico, refletindo os dados armazenados no banco de
dados. O armazenamento em banco de dados das informações analisadas foi
solucionado com o uso de MySQL.[7]
Durante o desenvolvimento do modelo conceitual da ferramenta, foram
realizadas várias analises, buscando a otimização na forma de armazenar os dados
e na execução das aplicações cliente e servidor. Estas analises permitiram a
criação de uma base de dados enxuta e de fácil manipulação, evitando demoradas
instruções SQL repletas de condições e necessitando unir várias tabelas.
As aplicações agente e servidor tiveram atenção especial. Seu
desenvolvimento foi feito objetivando a criação de um código simples, utilizando
comandos básicos da linguagem C, de fácil entendimento. A transparência das
operações para o usuário é fundamental, pois a aplicação fica sendo executada sem
que o usuário tenha conhecimento efetivo de sua existência.
As páginas Web necessitaram de um tempo maior para serem
desenvolvidas. A visualização dos resultados, a criação das instruções conforme a
seleção de critérios e o processo de ajuste foram onerosos. O resultado é uma
página útil, de fácil operação, permitindo ao usuário a realização de operações de
inserção, alteração, consulta e exclusão sobre os registros armazenados na base de
dados. As operações são disparadas pelo cliente, executadas no servidor e apenas a
página com os resultados é apresentada.
Os testes realizados com a ferramenta SNORTFACE mostraram que, a
atualização dos alertas no banco de dados, a atualização das regras nos arquivos da
ferramenta Snort e a visualização centralizada destas informações, permite sua
utilização em ambientes geograficamente distribuídos, pois novos agentes podem
ser acrescentados em tempo real. Esta característica e ponto fundamental quando
observa-se a distância entre os pontos na Internet, ou mesmo a necessidade de uso
de ferramentas IDS em ambientes comutados.
SNORTFACE: Um Modelo de Interface para Ferramentas IDS 333
Referências bibliográficas
[1] ROESCH, Martin. The Open Source Network Intrusion Detection for
Networks. Disponível em: http://www.snort.org. Acesso em:26 de junho de 2001.
[2] RFC. Request for Comment (0791 / 0793). Disponível
em:http://www.ietf.org/rfc.html. Acesso em: 26 de junho de 2001.
[3] CIDF Site.Common Intrusion Detection Framework. Disponível em:
http://www.isi.edu/gost/cidf/. Acesso em: 25 junho de 2001.
[4] BAKER, Andrew R. SNORT Documentation . Disponível em
http://www.dpo.uab.edu/~andrewb /snort/snortdocs/snort.html. Acesso em 26 de
junho de 2001.
[5] PHP: Personal Home Page. Disponível em: http://www.php.net. Acesso em:
25 de junho de 2001.
[6] STEVENS, W. Richard. UNIX Network Programming – Networking APIs:
Sockets and XTI, Volume 1, Second Edition, Prentice Hall PTR, 1997.
[7] MYSQL PAGE. Disponível em: http://www.mysql.com/. Acesso em: 26 junho
de 2001.
334 XI SEMINCO - Seminário de computação - 2002