A gerencia na gesto de ferramental da segurana de redes de
computadores atualmente est servida de diversas ferramentas para o
profissional de redes.Ressalto que no ser abordada em momento algum
do texto instalaes pois no o foco deste documento acadmico.Cabe a
ele conhecer a ferramenta saber qual delas se adequa a tais situaes
e aplicar para que se tenha um ambiente monitorado 100% mais no
100% seguro, pois infelizmente isso ainda no possvel. Deve-se ter a
conscincia que nem toda soluo por mais cara que seja, torna-se a
melhor possvel. Temos diversos cenrios em que basta uma pequena
soluo open source para resolver, assim como as vezes necessrio uma
soluo paga para resolver tal situao.Nesta pesquisa serei direto no
que tange a premissa do assunto aqui em questo Ferramentas Open
Source x Ferramentas Proprietrias para segurana de redes.Vamos
iniciar com as Open sources intercalando com solues pagas
corporativas e faremos as comparao assim teremos um bom panorama do
que podemos oferecer aos nossos clientes ou implementar em nosso
dia a dia de trabalho, falaremos aqui das seguintes: SNORT, GFI
LanGuard, PF Sense ........ NAGIOS, ZABBIX,
Snort para que serve tal ferramenta?
Est ferramenta se baseia em IDS Intrusion Detection System
sistema de deteco de intruso. Carinhosamente chamada de Honey poty
ou pote de mel onde o administrador cria um falso ambiente ao
atacante para que o mesmo ache que esteja fazendo um ataque ao alvo
quando na verdade est sendo monitorado pelo administrador. E quais
ataques pode se monitorar: ataques baseados em servio, port scans,
ataques CGI, ataques pelo Samba (smb) e vrios outros ou at
monitoramento do trfego da rede.Quais informaes ele pode nos
fornecer?Quantas tentativas de ataque sofremos ao dia.Que tipo de
ataque estamos sofrendo.De onde vem os ataques.Ferramentas de IDS
se classificam em 2 tipos so elas: NDIS e HDISNDIS Sistemas de
Deteco de Intruso de Rede.Nesta modalidade a funo principal
capturar os pacotes que vem na rede e analisar os mesmos reportando
a um servidor central onde o admin da rede vai tomar as providncias
cabveis. Pode-se tambm colocar pontos estratgicos na rede para que
se possa fazer um monitoramentos mais crtico esses pontos so
colocados em modo silencioso ou stealth. Isso dificulta a vida do
atacante.Comment by Aluno: SNORT atua na camada de rede 3 e 4, e
com isto possvel ele ter uma observao histrica dos possveis ataques
a rede.Vantagens de se utilizar o Snort em sua rede que seu impacto
bem pequeno, quase zero na rede no que tange os horrios de pico
hora em que o trafego se torna intenso. Bem configurado e
administrado pode se monitorar grandes redes, mais grandes at que
tamanho? Desvantagem que caso seu trfego de rede comece a aumentar
de forma vertiginosa seu IDS tenha um grande problema em processar
seus trafego para gerar um relatrio eficiente. Se estiver gerando
dados criptografados tambm ser uma problemtica para o admin. No
caso de VPNs. Ele tambm no diz se foi com sucesso o ataque, apenas
APONTA O FATO OCORRIDO.Pacotes fragmentados podem travar o SNORT
pois ele no sabe trabalhar com esse tipo de pacote.Exemplo bsico de
funcionamento do SNORT
http://www.vivaolinux.com.br/artigo/Deteccao-de-intrusos-(IDS)-conceitos-e-implantacao-do-SNORT?pagina=2
HIDS - Sistemas de Deteco de Instruo de Host Ao contrrio do NDIS
o HDIS que trabalha diretamente no host, ele analisa quais
processos esto sendo executados para o ataque no S.O do host.
Podemos ter um gerenciamento centralizado gerando relatrios que so
compatveis com sistemas de gerenciamento de rede.Vantagens de se
usar HIDS que ele detecta um ataque que um IDS de rede NDIS no
detectaria, trabalha em um ambiente de rede onde seu trafego
criptografado. O ideal usar o HIDS em nvel de S.O assim os Trojans
podem ser detectados facilmente.Desvantagens do HDIS que se o
atacante conseguir acesso de elevao de privilgios ele pode
desabilitar as funcionalidades da ferramenta. Com isso possvel
fazer um ataque a rede pois o mesmo no vai conseguir detectar tal
ataque. O hardware deve ser robusto ter configurao digamos razovel
pois ser consumido um grande recurso de processamento do host.
Concluso pessoal sobre o uso do SNORTEste sistema se baseia em
modelos um que trabalha em rede outro que trabalha em cima de
hosts, funciona a soluo? A resposta seria SIM. Sendo que o admin
deve ter em mente o que foi falado no incio do texto levar em
considerao o cenrio tecnolgico que se tem para administrar.OBS:
Mesmo sendo uma ferramenta open source existem verses para Windows
no caso somente o cliente pois o monitoramento totalmente baseado
em LINUX.
Agora vou citar uma ferramenta que em parte acho interessante ao
nvel do SNORT falarei do GFI LANGUARD. Diferente do SNORT o GFI ele
escaneia as vulnerabilidades da rede, seria como um mapeador de
Elos fracos na sua rede pontos de vulnerabilidade. Essas
vulnerabilidades so causadas por falhas dos sistemas instalados no
parque de informtica da sua rede.
GFI LANGUARD
uma soluo proprietria para ambiente Windows onde funciona
perfeitamente bem. Sua principal funo detectar as vulnerabilidades
e as corrigi-las reduzindo assim o custo de tempo de servio em
atualizaes. possvel administrar equipamentos como tablets celulares
que estejam conectados em sua rede, faz atualizaes em Windows Linux
e Mac OS. Seu poder de auditoria na rede bem expressivo, possvel
ver o nvel em que se encontra a vulnerabilidade devido ele ter
parcerias com diversas empresas de segurana. Isso antes de ocorrer
um ataque que explore essa vulnerabilidade na rede. O administrador
utilizando-se do GFI consegue ter a viso de quais aplicativos
instalados em cada mquina da rede, com isso possvel fazer
progresses futuras sobre determinados ataques.Vantagens de se usar
GFI Languard : Manter a rede segura por longo tempo atravs de
administrao segura das atualizaes, possvel escalonar o nvel de
vulnerabilidades da rede em diversas plataformas. Os agentes
trabalham nos host escanceando atrs das vulnerabilidades onde se
conectam em um console central.Seu poder de analisar
vulnerabilidades em diversas plataformas dentre elas CISCO, HP,
3Com , Dell, SonicWALL, Juniper, NETGEAR, Nortel, Alcatel, IBM,
D-Link y e Linksys.Auditoria de rede inteligente onde e configurvel
o estado mnimo de segurana, ainda se pode comprovar dispositivos
USB conectados, compartilhamentos abertos.O GFI gera relatrios que
esto em conformidades com os principais quesitos de segurana:
PCI-DSS, HIPAA, CIPA, SOX, etc.
Desvantagens do GFI uma ferramenta proprietria custo de licena
de uso no funciona em plataformas Linux, apenas gerenciam
workstations e servers no quesito vulnerabilidades no muito,
digamos floridos os relatrios diferentes de outras plataformas
Microsoft que muito interessante.
Screenshot do console de gerenciamento intuitivo com diversas
informaesConcluso pessoal sobre o uso do GFI LanGuardSe a
predominncia na rede Windows e a empresa dispe de uma ferramenta de
fcil aprendizado e deployment, de uma certa forma fcil tambm onde
no requer tcnicos com vasta experincia e dispe de uma boa quantia
para investir no vejo problemas para ser utilizada.
Bibliografia
http://www.snort.org.br/comofuncionaids.phphttp://www.vivaolinux.com.br/artigo/Deteccao-de-intrusos-(IDS)-conceitos-e-implantacao-do-SNORT?pagina=2
