www.ProjetodeRedes.kit.

net
UNIVERSIDADE DE ALFENAS UNIFENAS
INSTITUTO DE ENGENHARIA E CINCIAS EXATAS IECEx
DEPARTAMENTO DE CINCIA DA COMPUTAO DCC
DISCIPLINA DE INFORMTICA GERENCIAL
PROF.: MAURO CESAR BERNARDES
SEGURANA
COMPUTACIONAL
www.ProjetodeRedes.kit.net
ALFENAS MG
MAIO / 1999
Sumrio
1 INTRODUO................................................................................................................................................... 2
2 SEGURANA EM REDES DE COMPUTADORES ...................................................................................... 3
2.1 CONSIDERAES INICIAIS .............................................................................................................................. 3
2.2 INTRUSOS E ASPECTOS DE SEGURANA ......................................................................................................... 5
2.2.1 Segurana do Site...................................................................................................................................... 6
2.2.2 Segurana nas Comunicaes................................................................................................................... 8
2.2.3 Criptografia............................................................................................................................................... 9
2.3 AMEAAS E ATAQUES.................................................................................................................................. 11
2.4 FIREWALLS................................................................................................................................................... 12
2.5 POLTICA DE SEGURANA............................................................................................................................ 13
2.6 SISTEMAS DE DETECO DE INTRUSO........................................................................................................ 14
2.6.1 Classificao dos Sistemas de Deteco de Intruso.............................................................................. 14
2.6.2 Sistemas Especialistas Baseados em Regras........................................................................................... 15
2.6.3 Sistemas Baseados em Data Mining........................................................................................................ 15
2.6.4 Sistemas Baseados em Agentes Autnomos............................................................................................. 16
2.6.5 O Sistema de Deteco de Intruso do ICMC......................................................................................... 17
2.7 CONSIDERAES FINAIS .............................................................................................................................. 18
www.ProjetodeRedes.kit.net
1 Introduo
s portas de um novo milnio, reconhecido que a informao a fonte vital na busca pelo
conhecimento e, por conseguinte, pelo poder. Paralelamente, a obteno, manuteno e disseminao
da informao torna-se uma das maiores preocupaes para a sociedade em geral, ocasionando uma
crescente expanso das formas de armazenamento e de distribuio atravs de redes de
computadores.
Em contrapartida, tentativas de ataque e invases consumadas tornam-se freqentes e
envolvem um nmero crescente de computadores. Desta forma, segurana a palavra de ordem para
a maioria absoluta das empresas em todo o mundo. Com a utilizao cada vez maior da tecnologia
Internet em ambiente corporativo (as Intranets) e sua abertura para o mundo externo (Extranets) para
atividades essenciais, a preocupao e o risco de invaso dos sistemas empresariais cresceram em um
ritmo alucinante nos ltimos anos. E no haveria de se esperar algo diferente: os crimes digitais so
por vocao muito difceis de serem descobertos e at mesmo rastreados. Prova disto, que muitas
empresas sofrem invases em seus sistemas e s se do conta do fato muito tempo depois, isto
quando descobrem.
Mas o panorama esta mudando a passos largos. A cada dia surgem solues mais robustas de
proteo dos dados. Firewalls, criptografia de vrios bits, certificados digitais, VPNs (Virtual Private
Networks), smart cards e at mesmo biometria (reconhecimento de alguma parte do corpo, como ris
dos olhos ou a palma da mo, em substituio s senhas) j fazem parte do arsenal no combate
violao de sistemas e credibilidade das transaes on-line.
Como veremos posteriormente nesta mini - dissertao, a tecnologia de segurana de rede mais
utilizada hoje em dia o firewall. Este sistema previne a entrada no autorizada utilizando-se de
mecanismos de controle de acesso externo. Porm no existe nenhum sistema que possa ser
considerado a panacia em matria de proteo e ainda, que fornea um elevado grau de segurana
enquanto permite uma certa flexibilidade e liberdade no uso dos recursos computacionais.
Existem fatores que tornam muito difcil impedir que atacantes eventualmente tenham acesso
a um sistema. A maioria dos computadores possui algum tipo de furo de segurana que permite a
atacantes externos (ou ainda legtimos) terem acesso a informaes confidenciais. Mesmo um sistema
supostamente seguro pode ser vulnervel a usurios internos abusando de seus privilgios ou ser
comprometido por prticas imprprias. Em vista disto, uma vez que um ataque pode ser considerado
inevitvel, existe uma bvia necessidade por mecanismos que possam detectar atacantes tentando
penetrar no sistema ou usurios legtimos fazendo mal uso de seus privilgios.
Com o crescente aumento no nmero de ataques internos, a utilizao de mecanismos como o
firewall deve ser ampliada. Visto que este tipo de ataque, ocasionado pelos prprios usurios do
sistema, no permite a localizao imediata, torna-se necessrio o uso integrado de diversas
tecnologias para aumentar a capacidade de defesa de um site. Entre estas tecnologias, torna-se
interessante a presena de mecanismos que acrescentem caractersticas de mobilidade no processo de
monitorao do sistema. Desta forma, a introduo de agentes mveis em apoio a segurana
computacional apresenta-se como uma soluo natural, uma vez que permitir a distribuio de
tarefas de monitoramento do sistema e a agilizao no processo de tomada de deciso no caso de
ausncia do administrador humano.
www.ProjetodeRedes.kit.net
3
2 Segurana em Redes de Computadores
2.1 Consideraes Iniciais
O termo segurana usado com o significado de minimizar a vulnerabilidade de bens (qualquer coisa
de valor) e recursos. Vulnerabilidade qualquer fraqueza que pode ser explorada para se violar um
sistema ou as informaes que ele contm [ISO, 1989].
A segurana est relacionada necessidade de proteo contra o acesso ou manipulao, intencional
ou no, de informaes confidenciais por elementos no autorizados, e a utilizao no autorizada do
computador ou de seus dispositivos perifricos. A necessidade de proteo deve ser definida em
termos das possveis ameaas e riscos e dos objetivos de uma organizao, formalizada nos termos de
uma poltica de segurana [SOARES, 1995]. Zorkle e Levitt ainda acrescentam que a segurana
depende de mais do que a integridade do software e mecanismos de proteo do sistema operacional
em uso; ela tambm dependente da prpria configurao e uso do software [ZERKLE & LEVITT,
1996].
Este captulo apresenta os principais aspectos de segurana relacionados a redes de computadores,
fornecendo um breve resumo das tcnicas de deteco de intruso e abordando alguns sistemas de
deteco de intruso apoiados por diversas tcnicas.
www.ProjetodeRedes.kit.net
5
2.2 Intrusos e Aspectos de Segurana
Segurana de redes de computadores uma rea de crescente interesse e preocupao, atingindo
desde administradores preocupados com a segurana e o bom funcionamento de seus sites at
hackers e vndalos buscando novos mtodos e tcnicas de ataque. O termo hacker deriva da dcada
de 70/80, quando designava pessoas que possuam um profundo conhecimento sobre
computadores, sistemas operacionais e softwares, no tendo nenhuma ligao com os atuais
significados no que se refere a atacantes e intrusos. Geralmente os termos hacker e cracker so
usados indiscriminadamente, mas algumas diferenciaes so encontradas na literatura.
Hacker o indivduo com um profundo conhecimento, mas geralmente sem intenes destrutivas.
Seu propsito unicamente provar que consegue invadir um determinado sistema, e quanto mais
protegido for este sistema, maior ser seu empenho. De forma oposta, o cracker aquele cujo nico
objetivo destruir, danificar e causar perdas. Um esteretipo tpico criado o de um adolescente
em sua casa que, a partir de um computador e um modem, profere ataques aos computadores de
grandes organizaes.
A segurana de uma rede pode ser comparada segurana de uma casa. No importa que grau de
segurana exista, no importa que sistemas ou trancas sejam usados. Quando algum decide com
suficiente empenho, invadir provavelmente ter xito. De modo anlogo, todas as medidas no
sentido de se aumentar a segurana de uma rede tem como objetivo torn-la to segura quanto
possvel, j que nenhum sistema conhecido garante o estado - da - arte em termos de proteo.
Geralmente, um atacante ir analisar a relao custo/benefcio, ou seja, o quo custoso e
complicado ser invadir um determinado sistema ponderado aos lucros que ele alcanar com tal
invaso. Uma vez que esta proporo se torne invivel, pode-se dizer que foi atingido um bom grau
de segurana [BONIFCIO, 1998].
Ao mesmo tempo em que a Internet o meio pelo qual a maioria das intruses e ataques ocorrem,
tambm atravs dela que so largamente disponibilizados e veiculados documentos explicando e
demonstrando tcnicas de hacking, furos de segurana e casos de monitorao de intruses em
andamento. possvel encontrar com facilidade documentos do tipo receita de bolo, que ensinam
passo a passo tcnicas de intruso. Ainda que sejam tcnicas simples, podem ser altamente
destrutivas, tendo-se em vista que boa parte das redes conectadas Internet negligencia quase que
por completo questes relacionadas segurana.
Existem atualmente diversos sites dedicados exclusivamente a este assunto, contendo documentos
que abordam desde tcnicas bsicas de hacking at conceitos avanados para se aumentar a
segurana de uma rede. Exemplos de site so: http://www.rootshell.com (visitado em 10/12/1998) e
http://www.underground.org (visitado em 29/01/1999). Semanalmente so divulgados relatrios
com novos furos de segurana nos mais variados sistemas operacionais e softwares. Como existe
uma certa demora no lanamento de patches de segurana e uma desconsiderao destes patches
por muitos administradores de rede, tem-se um cenrio em que a maioria das redes se coloca num
estado altamente vulnervel.
Esta conjuntura de computadores, redes e comunicaes inseguras deve-se, em parte, ao modo
como a Internet foi projetada. O principal foco do projeto da Internet, e mais basicamente do
protocolo TCP/IP, estava muito distante dos atuais usos da Internet. Seu projeto previa inicialmente
o uso por instituies militares e de pesquisa. O crescimento e a popularizao da Internet, o
surgimento de aplicaes de comrcio eletrnico, a interligao das redes das diversas filiais de
uma empresa e muitas outras caractersticas e servios oferecidos pela Internet de hoje no eram
sequer supostas pelos seus projetistas e tcnicos. O crescimento da Internet levou a uma mudana
no foco e no perfil dos usurios e das aplicaes da rede. Em vista disto, os protocolos, servios,
sistemas operacionais como o UNIX e os softwares que so utilizados na Internet no foram
projetados e especificados com as devidas preocupaes com relao segurana.
www.ProjetodeRedes.kit.net
6
No UNIX, as senhas circulam totalmente abertas pela rede, o protocolo TCP/IP no prev nenhum
esquema de criptografia dos dados ou autenticao das mquinas e usurios envolvidos em uma
conexo. Os atuais sistemas, como o Windows NT, foram criados em cenrios com preocupaes
especficas sobre segurana. Porm ainda no se mostraram solues totalmente confiveis devido
a fatores como pouco tempo para desenvolvimento e testes, o que acarretou em falhas e furos de
segurana.
Segurana de redes um assunto muito vasto e interessante dividi-lo em duas sub - reas:
Segurana do site e segurana nas comunicaes.
2.2.1 Segurana do Site
A segurana do site diz respeito segurana dos recursos computacionais presentes em uma rede
privada. Tais recursos so compostos por hosts, roteadores, impressoras, informaes armazenadas,
servidores de banco de dados e softwares em geral.
Conforme observado em Reami [REAMI, 1998], quatro princpios bsicos definem a segurana de
um site:
Confidencialidade: Apenas quem tem os direitos de acessar um determinado recurso ou
informao poder efetivamente acess-los.
Integridade: Garante que os dados armazenados no sero alterados, tanto como
conseqncia de atos provenientes de uma intruso quanto a eventos como quedas de
energia e falhas nos sistemas.
Disponibilidade: Garante que os recursos computacionais e os dados presentes neles
estaro disponveis sempre que necessrios. Atualmente um nmero cada vez maior de
ataques exploram furos que causam falhas na disponibilidade dos sistemas. Tais ataques
so geralmente chamados de denial of service.
Autenticao: Diz respeito identidade de um usurio, ou seja, garantir se o usurio
realmente quem diz ser.
Uma quebra de segurana pode ocorrer onde existir uma falha. Falhas podem ser atribudas
a trs causas principais:
Softwares: Os Softwares que rodam nos computadores podem apresentar falhas que
podem ser exploradas por atacantes, ou ainda, falhas que podem prejudicar a rede, como
por exemplo, um servidor de banco de dados mal projetado que perca informaes. Por
outro lado, um software, devido sua procedncia duvidosa, pode conter backdoors ou
ser um Trojan Horse (Cavalo de Tria).
Um backdoor um tipo de ataque muito comum em que um software inserido, ou modificado em
uma rede pode, a partir de uma combinao especial de caracteres, ou a um evento de tempo, ter
um comportamento diferente do esperado. Um dos rastros deixados por uma invaso geralmente
so modificaes em programas como o deamon de telnet, em que ele programado para quando
algum entrar com o login hacker, por exemplo, no seja pedida a senha e o acesso seja liberado.
J o Trojan Horse, outro ataque clssico, consiste em se trocar o processo de login por outro
programa, de comportamento idntico. Este programa pede o username e a senha do usurio, salva-
o, exibe uma mensagem de erro de senha e chama o verdadeiro processo de login, a partir do qual
tudo transcorre normalmente, a no ser pelo fato de que a senha do usurio foi capturada. Para o
usurio, tudo ocorre normalmente, ele apenas pensa que digitou errado sua senha.
O outro problema com softwares, como dito anteriormente, a demora dos fabricantes em lanar
patches de segurana de problemas que tenham sido descobertos.
www.ProjetodeRedes.kit.net
7
Administradores: A menos que se tenha uma pessoa com a funo especfica de
administrador de segurana, este ser outro grande problema. Geralmente,
administradores no do a devida importncia segurana de rede, quer seja por falta de
informao ou por desinteresse. As falhas mais comuns oriundas de administradores so:
no instalao de sistemas de proteo e auditoria; no aplicao de patches de
problemas conhecidos; negligenciar procedimentos bsicos de segurana; no orientarem
os usurios e no se manterem atualizados.
Usurios: Este outro grande perigo para a segurana de uma rede: usurios mal
informados ou mal intencionados podem causar grandes prejuzos. Um ataque se torna
muito mais fcil e com muito mais chances de sucesso se proferido por um usurio do
prprio sistema com intenes de roubo de informaes ou at mesmo vingana contra
um colega ou um superior. Usurios comuns podem expor o sistema a senhas fracas,
podem fornecer suas senhas para terceiros, utilizar programas de origem duvidosa e
muitas outras aes que podem ir contra a poltica de segurana ou que no estejam
previstas, mas que podem colocar a rede sob perigo.
A manuteno de senhas um fator que esta fortemente relacionada quebra de segurana. As
senhas em sistemas UNIX so guardadas no arquivo /etc/passwd cifradas. Porm o algoritmo
usado, chamado de one-way, no permite que a partir da senha cifrada, se obtenha de volta a senha
original. Desta forma, o sistema pega a senha do usurio, cifra-a e compara com a que tem
guardada. Um intruso, mesmo com acesso ao arquivo de senhas, no tem acesso s senhas originais
e, portanto no poder entrar no sistema. Porm, existe uma tcnica chamada de quebra de senha
por fora bruta na qual o intruso, atravs de programas chamados de cracker de senhas, escolhe
palavras em um dicionrio, faz combinaes com nmeros, maisculas e minsculas, cifra uma por
uma e compara com as senhas cifradas no arquivo de senhas. Quando ele conseguir uma igual, ele
ter descoberto uma senha vlida para o sistema. Senhas fracas so senhas que podem ser
facilmente quebradas, como nomes de pessoas, palavras comuns ou o prprio username. Se todos
os usurios possurem senhas fortes, a chance de que um ataque baseado na captura do arquivo de
senhas tenha sucesso seriam pequenas.
Outra grande ameaa so os ataques externos. Ataques externos geralmente se do de quatro
formas diferentes mostradas na Figura 2-1, podendo partir de um nico atacante ou um grande
grupo. Um ataque pode ocorrer a partir de uma nica mquina atacando outra (a), uma mquina
sendo atacada por diversas outras (b), vrias mquinas sendo atacadas a partir de uma nica (c), ou
ainda, ser um ataque indireto onde o atacante ataca outra mquina para ento realiza o ataque ao
seu alvo principal (d).
www.ProjetodeRedes.kit.net
8
Figura 2-1- Tipos de Ataques Externos
2.2.2 Segurana nas Comunicaes
Conceitos de segurana relacionados comunicaes tratam das informaes que esto trafegando
na rede. Como o protocolo TCP/IP inerentemente inseguro [BELOVINS, 1989], diversos
recursos tm de ser utilizados em conjunto para se aumentar a segurana que o protocolo oferece.
As informaes que trafegam pela rede atravs de TCP/IP so abertas, ou seja, qualquer pessoa
com acesso ao meio fsico pode ter acesso aos dados que estiverem trafegando, bastando para isso,
ter uma interface de rede em modo promscuo, ou seja, todos os pacotes sero capturados, no
importando se so destinados a ela ou no. Esta tcnica chamada de sniffing.
Um intruso pode ser classificado em passivo ou ativo. Um intruso passivo simplesmente
monitora a rede em busca de informaes com senhas, nmeros de cartes de crdito e,
informaes confidenciais; enquanto que o intruso ativo atua modificando o contedo dos pacotes.

Alvo
Alvo
Alvo
Alvo
Alvo
Alvo
Atacante
Atacante
Atacante
Atacante
Atacante
Atacante
(a)
(c)
(b)
(d)
Intermedirio
www.ProjetodeRedes.kit.net
9
Figura 2-2 - Intruso passivo (a) e intruso ativo (b)
Desta forma, preciso alguns requisitos para se garantir um ambiente em que se tenha segurana
nas comunicaes:
Confidencialidade: Apenas as partes envolvidas podem ter acesso ao contedo dos dados que
esto trafegando na rede. Qualquer ao de monitorao da rede no deve ser capaz de ter
acesso aos dados.
Integridade: Deve-se garantir que a informao transmitida em um ponto a mesma recebida
em outro e que no houve qualquer adulterao dos dados por partes de terceiros ou falhas.
Autenticidade: As partes envolvidas em uma comunicao devem ter meios de confirmarem
mutuamente suas identidades, certificando-se de com quem esto se comunicando.
De forma semelhante segurana do site, no existe nenhum protocolo ou soluo completamente
segura. Novos protocolos tm sido propostos e utilizados no intuito de se atingir um alto grau de
segurana nas comunicaes, protocolos como HTTPS e SSL so voltados a aplicaes WEB,
enquanto que o protocolo SET (Secure Eletronic Transaction) [SET, 1999] recentemente
desenvolvido por grandes empresas como IBM e outras em parceria com a VISA, visam atacar o
problema do comrcio eletrnico em que existem trs partes envolvidas na negociao: o cliente, o
vendedor e o banco onde ser efetuado o pagamento.
2.2.3 Criptografia
A principal tcnica de segurana utilizada para garantir segurana nas comunicaes a
criptografia [TANEMBAUM, 1997]. A criptografia surgiu da necessidade de se enviar
informaes sensveis atravs de meios de comunicao no confiveis, ou seja, em meios onde
no possvel garantir que um intruso no ir interceptar o fluxo de dados para leitura ou para
modific-lo. Criptografia consiste em tcnicas que permitem transformar um texto legvel em outro
segundo um algoritmo, de forma que a obteno do texto original a partir do cifrado seja possvel
apenas usando-se o mesmo algoritmo. Criptografia teve seu grande desenvolvimento durante a
segunda guerra mundial e a guerra fria para garantir que o inimigo no tivesse acesso s
comunicaes.
A tcnica mais simples a transposio de letras, por exemplo, trocando-se cada letra por sua
subsequente no alfabeto: USP VTQ. Claro que a criptografia usada nos modernos sistemas
utilizam algoritmos muito mais complexos baseados em chaves. Aps o texto ser cifrado (plaintext)
gerado um ciphertext usando-se como parmetros uma chave como na Figura 2-3.
(a) (b)
Intruso Intruso
www.ProjetodeRedes.kit.net
10
Existem dois tipos: criptografia com chave simtrica e criptografia com chaves pblicas. Como a
recuperao da informao original est vinculada ao conhecimento da chave, um processo para se
conseguir quebrar o texto cifrado o mesmo usado com senhas: busca exaustiva. Neste caso, so
geradas todas as possveis combinaes de chaves at que se ache a correta. O grande problema
desta soluo que o nmero de chaves possveis cresce exponencialmente com o tamanho da
chave, e as chaves usadas em aplicaes militares
ou de alta segurana podem levar alguns milhares de anos para serem quebradas com os recursos
computacionais disponveis atualmente.
Figura 2-3 - Criptografia Baseada em Chaves
Na criptografia com chaves simtricas, usada a mesma chave para se cifrar e decifrar um texto.
Neste caso, ambas as partes envolvidas tem de concordar com uma chave antes de iniciar a
comunicao, o que pode ser problemtico, pois a menos que se conheam, a escolha da chave
deve ser feita usando-se a prpria rede insegura. Exemplos de algoritmos de chave simtrica so
DES (Data Encryption Standard), largamente utilizado no passado pelo governo americano,
TrippleDES e IDEA (International Data Encryption Algorihm) [TANEMBAUM, 1997].
A criptografia de chave pblica utiliza duas chaves diferentes e complementares. O que
cifrado com uma chave s pode ser decifrado com a outra e vice-versa. O usurio deixa uma chave
de conhecimento pblico (chave pblica) e mantm a outra em segredo (chave privada). Este
modelo evita as duas partes terem de concordar com uma nica chave, uma vez que cada uma
conhece a chave pblica da outra, podendo com ela, cifrar os textos que s podero ser lidos pela
chave privada correspondente. Algoritmos de chave pblica so o RSA (Rivest, Shamir e Adleman,
as iniciais dos inventores) e El Gamal, por exemplo.
Com o uso de criptografia, seja por chave simtrica ou pblica, pode-se garantir a
confidencialidade dos dados que sero enviados em uma conexo. Apesar da criptografia de chave
pblica ser mais segura que a de chave simtrica, ela muito lenta para grandes volumes de dados.
Atualmente, solues como o protocolo SSL (Security Socket Layer) da Netscape Comunications
[SSL, 1996] utiliza as duas tcnicas em conjunto para se assegurar a velocidade. O primeiro passo
usar criptografia de chave pblica para que as duas partes possam concordar em uma chave que
posteriormente ser usada na criptografia de chave simtrica durante todo o restante da
comunicao.
O uso de criptografia garante apenas a confidencialidade dos dados, uma vez que um
simples ataque do tipo man-in-the-middle, onde uma terceira pessoa est posicionada entre as duas
partes que querem se comunicar faz com que cada uma delas acredite estar falando com a outra,
sendo que esto ambas se comunicando com esta terceira pessoa. Ou seja, no h meios de se
garantir que uma determinada chave pblica pertena realmente a algum. Para isso, existem os
certificados digitais. Atravs desta assinatura, um usurio pode confirmar se uma determinada
Plaintext, P CipherText Plaintext, P
Cifragem
Chave K
Decifragem
Chave K
C
k
www.ProjetodeRedes.kit.net
11
chave pblica pertence realmente ao seu dono. Certificados digitais esto sendo largamente usados
nos browsers Web (Netscape e Explorer principalmente) e se baseiam no conceito de entidades
certificadoras que emitem os certificados baseados em suas chaves pblica e privada. Como os
browsers j tem a chave pblica de um certificador, e no qual ele confia, ele pode verificar a
autenticidade do portador de um certificado gerado pelo certificador, garantindo-se a autenticidade.
Em um certificado digital do tipo X.509 utilizado pelo SSL, vo informaes como o nome do
dono, data de criao, data de validade, verso e a chave pblica do dono cifrada atravs da chave
privada do certificador. Desta forma, garante-se que apenas a chave pblica do certificador possa
decifrar a chave pblica e esta no precisa ser transferida pela rede sem garantias.
2.3 Ameaas e Ataques
Uma ameaa consiste em uma possvel violao da segurana de um sistema. Algumas das
principais ameaas s redes de computadores so:
Destruio de informao ou de outros recursos;
Modificao ou deturpao da informao;
Roubo, remoo ou perda de informao ou de outros recursos;
Revelao de informao;
Interrupo de servios.
As ameaas podem ser classificadas como acidentais ou intencionais, podendo ambas serem ativas
ou passivas. Ameaas intencionais so as que no esto associadas inteno premeditada
(descuidos operacionais, bugs de software ou hardware). A concretizao das ameaas intencionais
varia desde a observao de dados com ferramentas simples de monitoramento de redes, a ataques
sofisticados baseados no conhecimento do funcionamento do sistema. A realizao de uma ameaa
intencional configura um ataque.
Ameaas passivas so as que, quando realizadas, no resultam em qualquer modificao nas
informaes contidas em um sistema, em sua operao ou em seu estado. Uma realizao de uma
ameaa ativa a um sistema envolve a alterao da informao contida no sistema, ou modificaes
em seu estado ou operao.
Alguns dos principais ataques que podem ocorrer em um ambiente de processamento e
comunicaes de dados so os seguintes:
Personificao: uma entidade faz-se passar por outra a fim de obter privilgios extras;
Replay: uma mensagem, ou parte dela, interceptada e posteriormente transmitida para
produzir um efeito no autorizado;
Modificao: o contedo de uma mensagem alterado, implicando em efeitos no autorizados
sem que o sistema consiga detectar a alterao;
Recusa ou Impedimento do Servio: ocorre quando uma entidade no executa sua funo
apropriadamente ou atua de forma a impedir que outras entidades executem suas funes;
Ataques internos: ocorrem quando usurios legtimos comportam-se de modo no autorizado
ou no esperado;
Ataques externos: ocorrem quando usurios externos ou pessoas no autorizadas conseguem
uma conexo externa e realizam aes inesperadas.
Armadilhas: ocorre quando uma entidade do sistema modificada para produzir efeitos no
autorizados em resposta a um comando ou a um evento, ou seqncia de eventos
predeterminados.
Cavalos de Tria: nesse ataque, uma entidade executa funes no autorizadas, em adio s
que est autorizada a executar.
www.ProjetodeRedes.kit.net
12
2.4 Firewalls
Um mecanismo muito utilizado na prtica para aumentar a segurana das redes de computadores,
protegendo-as de ataques externos, o firewall. Um firewall fundamenta-se no fato de que
normalmente a segurana inversamente proporcional a complexidade. Assim, proteger mquinas
de uso geral onde so executados diferentes aplicaes, de variados portes, uma tarefa
complicada, pois muito improvvel que nenhuma das vrias aplicaes apresente falhas que
possam ser exploradas para violar a segurana do sistema. Desta forma, fica muito mais fcil
garantir a segurana isolando as mquinas de uso geral de acessos externos, usando uma barreira de
proteo que impea a explorao das possveis falhas.
Na configurao de um firewall, as principais decises relacionadas segurana so
freqentemente ditadas pela poltica de segurana da organizao ou corporao. Especificamente,
as decises devem ser tomadas pensando-se at que nvel a segurana deve ser mais importante que
a flexibilidade e facilidade de uso dos recursos computacionais que o firewall se destina a proteger.
O princpio da simplicidade tem como conseqncia a seguinte considerao: para diminuir os
riscos, a configurao dos firewalls deve ser minimizada, excluindo tudo que no seja estritamente
necessrio.
H duas abordagens bsicas na configurao de um firewall:
O que no expressamente proibido permitido
O que no expressamente permitido proibido
No primeiro caso, o administrador do sistema tem de prever que tipos de aes os usurios, ou
pessoas externas, podem fazer que infringem a poltica de segurana e preparar defesas contra elas.
No segundo caso, o firewall deve ser projetado para bloquear tudo, os servios devem ser
permitidos caso a caso aps um cuidadoso estudo de necessidade e risco. Isto causa impacto
imediato nos usurios, que podem ver o firewall como um incomodo. Esta opo tambm a mais
segura, j que o administrador no precisa conhecer profundamente que portas TCP so seguras ou
que furos de segurana podem existir no kernel do sistema ou nas aplicaes. Uma vez que muitos
fabricantes demoram em publicar furos de segurana, esta claramente uma abordagem mais
conservadora, com base no fato de que o que voc no conhece pode ser perigoso para voc. Esta
segunda abordagem pode ser bem empregada em empresas com normas bem definidas e rgidas,
porm pode-se tornar altamente imprpria em instituies de ensino e pesquisa, uma vez que ela
restringe em demasia o uso dos recursos computacionais. A no ser que se tenha uma equipe muito
bem preparada e que reconhea a fundo todas as diferentes necessidades dos usurios do sistema e
reflitam isto na configurao, o firewall pode ser tornar um inconveniente e mesmo prejudicar o
andamento de pesquisas.
Um firewall, em geral, consiste nos componentes mostrados na Figura 2-4. Os filtros (screens)
bloqueiam a transmisso de certas classes de trfego. O componente gateway uma mquina, ou
um conjunto de mquinas conectadas por um segmento de rede, que fornecem servios de
retransmisso. O filtro colocado na sada (entre a rede externa e o gateway) usado para proteger o
gateway de ataques externos, enquanto o filtro interno protege a rede interna das conseqncias de
um ataque que tenha conseguido comprometer o funcionamento do gateway. Assim, os dois filtros
atuando isoladamente, ou em conjunto, protegem a rede interna de ataques externos. Um gateway
do firewall que pode ser acessado a partir da rede externa chamado de bastion host. Cabe
reafirmar que, fisicamente, os filtros e o gateway podem ser implementados em uma nica
mquina, ou em um conjunto de mquinas ligadas por um segmento de rede [SOARES, 1995].
Outras formas de configurao so apresentadas na literatura pesquisada. Cada uma apresenta seu
ponto forte e tambm sua fragilidade. Informaes mais detalhadas podem ser encontradas em
[CHAPMAN, 1992][WACK & CARNAHAN, 1994][BELLOVIN & CHESWICK, 1994].
www.ProjetodeRedes.kit.net
13
Figura 2-4 - Componentes de um Firewall [SOARES, 1995]
2.5 Poltica de Segurana
Uma poltica de segurana um conjunto de leis, regras e prticas que regulam como uma
organizao gerencia, protege e distribui suas informaes e recursos [SOARES, 1995].
Um dado sistema considerado seguro em relao a uma poltica de segurana, caso garanta o
cumprimento das leis, regras e prticas definidas nessa poltica.
Uma poltica de segurana deve incluir regras detalhadas definindo como as informaes e recursos
da organizao devem ser manipulados ao longo de seu ciclo de vida, ou seja, desde o momento
que passam a existir no contexto da organizao at quando deixam de existir.
As regras que definem uma poltica de segurana so funes das designaes de sensibilidade,
associadas aos recursos e informaes (por exemplo: no classificado, confidencial, secreto e ultra-
secreto), do grau de autorizao das entidades (indivduos ou processos agindo sob o comando de
indivduos) e das formas de acesso suportadas por um sistema.
A implantao de uma poltica de segurana baseia-se na aplicao de regras que limitam o acesso
de uma entidade s informaes e recursos com base na comparao do seu nvel de autorizao
relativo a essa informao ou recurso, na designao da sensibilidade da informao ou recurso e
na forma de acesso empregada. Assim, a poltica de segurana define o que , e o que no
permitido em termos de segurana, durante a operao de um dado sistema. A base poltica de
segurana a definio do comportamento autorizado para os indivduos que interagem com um
sistema [SOARES, 1995].
Uma quebra de segurana pode ser definida como uma ao, ou conjunto de aes, que vo contra
poltica de segurana vigente. Esta poltica de segurana criada com as necessidades particulares
de cada local. Desta forma, o que considerado uma quebra de segurana pode variar conforme o
local. A poltica de segurana ir definir o que pode ou no pode ser feito, por quem, sob quais
circunstncias, define os procedimentos (Plano de Emergncia) a serem tomados frente a uma
invaso, quais so os recursos que devem ser prioritariamente protegidos, que nvel de risco
aceitvel, alm de resolver questes ticas e polmicas como, por exemplo, se o administrador ou
chefe tem o direito de ler o e-mail dos funcionrios. Uma vez que se tenha tudo definido e que cada
usurio e administrador esteja ciente desta poltica, tem-se um quadro onde fcil identificar que
aes so consideradas como uma quebra de segurana e que medidas podem ser tomadas.
Rede Interna
Filtro Filtro
Rede
Externa
Gateway(s)
www.ProjetodeRedes.kit.net
14
2.6 Sistemas de Deteco de Intruso
Uma intruso pode ser definida como: "um conjunto de aes que tentam comprometer a
integridade, confidencialidade ou disponibilidade de recursos" [CROSBIE & SPAFFORD, 1995].
Apesar do uso dos diversos esquemas de segurana existentes, ainda existe a possibilidade de
ocorrncia de falhas nestes esquemas e, portanto, desejvel a existncia de sistemas capazes de
realizar a deteco de tais falhas e informar o administrador da rede. Tais sistemas so conhecidos
como sistemas de deteco de intruso (SDI).
Intruses so difceis de detectar porque existem muitas formas pela qual elas podem acontecer.
Intrusos podem explorar as fraquezas conhecidas da arquitetura dos sistemas ou explorar o
conhecimentos de um sistema operacional para conseguir a autenticao normal de um processo. A
tentativa de retirar uma falha do sistema pode introduzir uma nova falha ou expor uma falha
existente, dando a oportunidade para um novo ataque.
Tentativas de ataque acontecem de acordo com algumas tcnicas de acesso e freqentemente o
invasor est fisicamente fora do sistema sob ataque. Os primeiros modelos de sistemas de deteco
de intruso projetados para computadores isolados usavam algoritmos bsicos que incluem anlise
de funes multinomiais e aproximao de matrizes covariantes para detectar desvio do
comportamento normal, bem como sistemas especialistas para detectar violao de polticas de
segurana. Os modelos mais recentes monitoram um grande nmero de redes de computadores e
transferem a informao monitorada para ser processada em um equipamento central que emprega
tcnicas de sistemas distribudos.
A maioria dos SDIs tem um processo auditor (daemon) em cada mquina, responsvel por capturar
aes de violao de segurana dentro da mquina. Sistemas baseados em redes, ao invs de
utilizar pistas de auditoria, analisam o trfego de pacotes dentro da rede para detectar
comportamento intrusivo.
As funcionalidades de um sistema de deteco tornam-se de vital importncia na medida em que
fornecem meios de inferir sobre o contedo das conexes permitidas e detectar as que apresentem
um comportamento suspeito ou no condizente com a poltica de segurana implantada.
2.6.1 Classificao dos Sistemas de Deteco de Intruso
Os SDI so classificados sob diferentes pticas na literatura da rea. As principais classificaes
utilizadas so em termos da forma como o sistema aborda o problema de detectar intruso e em
termos do tratamento dos dados.
As trs principais abordagens para deteco de intruso so: deteco de anomalias, deteco de
uso indevido e deteco hbrida.
Sistemas de deteco de anomalias definem um modelo de atividade normal atravs de perfis de
atividade dos usurios e qualquer desvio significante da norma estabelecida considerado
anmalo. Por sua vez, sistemas de deteco de uso indevido definem especificamente que aes do
usurio podem constituir um uso indevido do sistema e usam regras definidas, a priori, para
codificar e detectar padres de intruso conhecidos. Cada uma das abordagens mais adequada
para certos tipos de ataque e, por isso, muitos sistemas utilizam uma abordagem hbrida para tornar
a deteco mais eficiente.
Em termos do tratamento dos dados, existem sistemas baseados em rede e sistemas baseados em
host. Sistemas baseados em rede examinam os dados que trafegam pela rede atravs da
monitorao on-line dos pacotes. Por outro lado, sistemas baseados em host analisam dados de
auditoria recolhidos normalmente pelos sistemas operacionais e buscam de diversas formas pelos
padres de ataque.
www.ProjetodeRedes.kit.net
15
As prximas sees apresentam apenas alguns dos muitos SDIs existentes e que utilizam diversas
abordagens para resolver o problema de deteco.
2.6.2 Sistemas Especialistas Baseados em Regras
Sistemas especialistas baseados em regras so sistemas inteligentes que capturam conhecimento de especialistas
humanos em domnios limitados do conhecimento, geralmente, na forma de regras do tipo IF-
THEN. Alguns trabalhos vm sendo realizados para utilizar esta tcnica de inteligncia artificial
em sistemas de deteco de intruso.
O SRI International desenvolveu um dos primeiros sistemas baseados nesta tcnica o IDES
(Intrusion Detection Expert System) apresentado em [LUNT & JAGANNATHAN, 1988]. A
evoluo deste sistema foi o NIDES (Next Generation Intrusion Detection Expert System)
[JAVITZ et al., 1993].
Atualmente, o SRI est desenvolvendo o EMERALD (Event Monitoring Enabling Responses to
Anomalous Live Disturbances) como sucessor do NIDES. O EMERALD representa uma evoluo
das pesquisas anteriores com o intuito de acomodar a monitorao de grandes redes e sistemas
distribudos. Este sistema apresenta uma arquitetura altamente modular e permite a integrao de
novas caractersticas facilmente, inclusive a integrao de sistemas fornecidos por terceiros
[PORRAS & NEUMANN, 1997].
2.6.3 Sistemas Baseados em Data Mining
Lee e Stolfo [LEE & STOLFO, 1997] apresentam uma abordagem baseada em tcnicas de data
mining para descobrir padres teis e consistentes das caractersticas do sistema que descrevem os
comportamentos de usurios e programas. A partir da, o conjunto de caractersticas relevantes do
sistema usado para computar classificadores (aprendidos por induo) que podem reconhecer
anomalias e intruses.
No trabalho referenciado, Lee e Stolfo afirmam que o maior desafio para a utilizao de tcnicas de
data mining na deteco de intruso a imensa quantidade de dados de auditoria necessrios para
computar os conjuntos de perfis de uso do sistema. Como o processo de aprendizado (mining)
caro em termos de tempo e de armazenamento; e como o processo de deteco em tempo real
precisa ser leve e rpido para ser praticamente utilizvel, seria impossvel de se ter um sistema de
deteco de intruso monoltico. Assim, eles propem uma arquitetura na qual existem dois tipos
de agentes inteligentes: agentes de aprendizado e agentes de deteco. A Figura 2-5 apresenta a
arquitetura sugerida por Lee e Stolfo.
www.ProjetodeRedes.kit.net
16
figura 2-5 - Arquitetura de um Sistema de Deteco de Intruso Baseado em Data Mining
2.6.4 Sistemas Baseados em Agentes Autnomos
As utilizaes de agentes autnomos tm sido propostas por alguns autores como forma de
construir sistemas de deteco de intruso no - monolticos. A capacidade dos agentes autnomos
de manter informao especfica do seu domnio de aplicao, nesse caso, aplicao de segurana,
d a estes agentes grandes flexibilidades.
Crosbie e Spafford especificam um sistema deste tipo no qual as capacidades dos agentes so
modificadas atravs do uso algoritmos genticos. Os autores reconhecem, entre outras, as seguintes
vantagens de sistemas baseados em agentes autnomos sobre sistemas monolticos [CROSBIE &
SPAFFORD, 1995a; 1995b]:
fcil configurao: uma vez que possvel ter uma srie de pequenos agentes
especializados em tarefas especficas de deteco, o sistema de deteco pode ser
configurado da forma mais adequada para cada caso; a adio e remoo de agentes do
sistema facilitada;
eficincia: agentes podem ser treinados previamente e otimizados para que realizem
suas tarefas da maneira a gerar a menor sobrecarga do sistema possvel;
capacidade de extenso: um sistema de agentes pode ser facilmente modificado para
operar em rede e permitir migrao para rastrear comportamentos anmalos atravs da
rede, ou mover para mquinas onde eles podem ser mais teis;
escalabilidade: para atuar em sistemas maiores, basta adicionar mais agentes e
aumentar sua diversidade.
Recentemente, o COAST (Computer Operations, Audit and Security Technology, Computer
Science Departament at Purdue University) liberou uma implementao de um ambiente que segue
as idias do sistema proposto por Crosbie e Spafford. Este ambiente denominado Autonomous
Agents for Intrusion Detection (AAFID) foi implementado utilizando-se a linguagem de scripts
Perl e diversos recursos de administrao de sistemas e segurana comuns em ambiente
Motor de
Aprendizagem
Indutiva
(meta)
Pre-processador
de Registros de
Auditoria
Motor de
Deteo
(bsico)
Motor de Deteco (meta)
Motor de Deciso
Bases de
Regras
(classificadores)
Tabela de Deciso
modelos
registros de auditoria
evidncia
evidncias de outros
agentes de deteco bsicos
julgamento final
aes/relatrios
dados sobre atividades
agente remoto
de aprendizado
agente de deteco
(bsico)
meta-agente de deteco
www.ProjetodeRedes.kit.net
17
UNIX. O ambiente AAFID possui duas entidades distintas que suportam a execuo dos agentes do
sistema: Transceivers e Monitors, sendo estes ltimos entidades de mais alto nvel, que podem detectar
possveis eventos intrusivos no notados por entidades mais simples como Transceivers. As informaes
preliminares sobre o sistema AAFID podem ser encontradas em Zamboni [ZAMBONI et al, 1998].
Outro trabalho recente na rea de aplicao de agentes autnomos em sistemas de deteco de
intruso apresentado por Barrus e Rowe [BARRUS & ROWE, 1998]. A idia dos autores
utilizar agentes autnomos estticos que se comunicam atravs de um sistema de mensagens de
alerta atravs de uma arquitetura distribuda. Algumas abordagens interessantes sugeridas so: a
utilizao de agentes especializados na deteco baseada em anomalia e na deteco baseada em
uso indevido; e a criao de objetos especficos para tratar os diversos tipos de ataque.
Em sua tese de mestrado, Reami [REAMI, 1998] apresenta a especificao e prototipagem
de um ambiente de gerenciamento de segurana computacional apoiado por agentes mveis. O
ambiente especificado e prototipado pode ser considerado um avano importante, pois, alm de
fornecer recursos tecnolgicos avanados e consoantes com o desenvolvimento da rea, permite
uma abordagem holstica do problema do gerenciamento de segurana.
2.6.5 O Sistema de Deteco de Intruso do ICMC
Uma das caractersticas inovadoras deste sistema de deteco de intruso consiste em introduzir um
agente de segurana capaz de detectar comportamento intrusivo em conexes estabelecidas
[CANSIAN et al., 1997a, 1997b, 1997c] [BONIFCIO Jr. et al., 1998a]. Este agente atua
capturando e decifrando pacotes que so transmitidos atravs da rede sob monitoramento. Para
fazer uma inferncia sobre a condio de segurana das conexes, o agente emprega um sistema
especialista e uma rede neural que ir prover um coeficiente de suspeita, o qual, baseado em
informaes intrusivas previamente registradas, dar uma idia a respeito da severidade do ataque
ou o grau de suspeita das atividades naquela conexo.
O sistema se baseia no fato de que uma intruso pode ser detectada a partir de uma anlise de
modelos predeterminados, que so anmalos se comparados com aes normais. A grande maioria
dos ataques resultado de um pequeno nmero de ataques conhecidos, como relatados por equipes
como o CERT.
O uso de redes neurais pode fornecer mecanismos para o reconhecimento de ataques, bem como
uma capacidade de adaptao em resposta a mudanas nas tcnicas de intruso. A Figura 2-6
mostra a arquitetura global do sistema.
Figura 2-6 - Arquitetura global do sistema de deteco de intruso do ICMC
Mdulo de Captura
Rede
Mdulo de Pr-seleo e
Sistema Especialista
Mdulo de Conexo
Ps-processador
Analisador Semntico
Dados
Rede Neural
Nvel de suspeita
de uma conexo
em particular
Vetor de monitorao 1
Vetor de monitorao 2
Vetor de monitorao 3
Vetor de monitorao 4
....
....
...
Lista de Monitorao
Dados
Fluxo de Controle
Fluxo de Dados
Legenda:
www.ProjetodeRedes.kit.net
18
2.7 Consideraes Finais
A literatura tem mostrado que o uso integrado das diversas tcnicas apresentadas neste captulo ,
certamente, o melhor mtodo de preveno e tratamento dos problemas de segurana. Como as
tarefas executadas por cada uma das tcnicas so muitas vezes complementares e poucas vezes
redundantes, a troca de informaes entre os sistemas (p.e.,deteco de intruso e firewall) permite
uma atuao mais consistente e eficaz na determinao dos problemas de segurana e na soluo
dos mesmos, seja ela manual ou automtica.
Alguns exemplos de trabalhos nesta linha de pesquisa so apresentados por [BONIFCIO Jr. et al.,
1998b] e [MOUNJI & LE CHARLIER, 1997]. Outro sinal da tendncia de integrao dos sistemas
de segurana o estudo de um protocolo para troca de informaes entre dispositivos e sistemas
relacionados a segurana, denominado IDIP (Intrusion Detection and Isolation Protocol), que est
sendo pesquisado e desenvolvido por parceiros como Boeing, Trusted Information Systems e
University of California at Davis com financiamento do DARPA [DARPA, 1997].
Como visto, uma recente tecnologia de suporte segurana em redes de computadores a
introduo do uso de Agentes Autnomos. O conceito de Agente e sua utilizao no apoio a
segurana so discutidos nos prximos captulos.