UNIVERSIDADE DO SUL DE SANTA CATARINA

JAILSON DE OLIVEIRA

OSSIM: UM IDS OPEN SOURCE PROTEGENDO REDES CONECTADAS INTERNET

Palhoa 2010

JAILSON DE OLIVEIRA

OSSIM: UM IDS OPEN SOURCE PROTEGENDO REDES CONECTADAS INTERNET

Monografia apresentada ao curso de ps-graduao lato sensu em Curso de Especializao em Gerencia de Projetos de Tecnologias da Informao - Campus Unisul Virtual, como requisito obteno do grau de Especialista em Projetos de Tecnologias da Informao. Orientador: Mario G.M. Magno Jnior

Palhoa 2010 2

JAILSON DE OLIVEIRA

OSSIM:
SEGURANA DE UM IDS OPEN SOURCE APLICADO INTERNET

Monografia apresentada ao curso de ps-graduao lato sensu do Curso de Especializao em Gerencia de Projetos de Tecnologias da Informao, da Universidade do Sul de Santa Catarina - Campus Unisul Virtual como requisito obteno do ttulo de Especialista em Gerencia de Projetos de Tecnologias da Informao.

Aprovada em, _______de_____________________de ____________.

BANCA EXAMINADORA

Prof. Msc Mario Gerson Miranda Magno Jnior Orientador Universidade do Sul de Santa Catarina

Prof. Msc Rodrigo Santana Universidade do Sul de Santa Catarina

2010

RESUMO Esta pesquisa tem o intuito de verificar, testar e apresentar o IDS OSSIM como uma ferramenta de proteo para redes ligadas internet, verificando assim, o nvel de segurana que esta ferramenta disponibiliza em sua sute ao proteger as redes de dados, alm de informar sobre alguns dos programas que fazem parte do seu ncleo. Ser apresentado um breve histrico dos motivos que levaram rpida evoluo da segurana de dados relacionado ao crescimento e uso da internet e de seus protocolos. Nesta pesquisa sero verificadas as possveis formas de instalaes desta ferramenta permitindo t-la como um coletor de informaes ou uma central de processamentos de eventos, com alto nvel de tratamento das informaes, controles e atividades, com atuao em tempo real. Todas as possveis falhas que surgirem no decorrer da instalao do sistema a ser pesquisado e durante os testes a serem realizados sero abordadas de forma clara e direta. Para os testes desta pesquisa sero elaborados ataques diretos, para comprovar as respostas aos eventos que o IDS OSSIM possa apresentar, utilizando para este processo o Linux BT4, preparado para os mais diversos tipos de testes de invaso e de vulnerabilidades de sistemas, usando para este processo uma rede experimental. O Linux BT4 servir de simulador de ataque contra a estrutura de defesa do IDS OSSIM, este por sua vez, estar configurado para capturar informaes forenses importantes a partir dos ataques gerados, ataques estes, que so os tipos mais comuns e presentes na internet. Nesta pesquisa tambm ser apresentada uma rpida viso sobre a console grfica (framework) do IDS OSSIM, que aumenta totalmente o potencial de uso desta ferramenta, facilitando a visualizao das informaes armazenadas na base de dados, atravs da utilizao de uma biblioteca grfica para a gerao de visualizaes diversas, na forma de grficos, permitindo assim, um rpido acesso s ocorrncias detectadas e filtradas.

Palavras-chave: IDS,OSSIM,Redes,Ataques,Internet,Proteo,Hackers.

LISTA DE ILUSTRAES Figura 1- Grfico com Pads, Snort, Pam_Unix e Sshd em atividade......................................21 Figura 2 - Grfico de eventos e sensores com Portscan, P0f, Snort_tag e Diretive_alert entre outros em atividade...................................................................................................................21 Figura 3 - Interface do OSSIM apresentando o Nagios...........................................................22 Figura 4 - Configurao da rede de testes bsica......................................................................24 Figura 5 - Configurao da rede de testes para os ataques.......................................................24 Figura 6 - Instalao do OSSIM - Erro de lngua padro.........................................................25 Figura 7 - Erros de autenticao da chave GPG.......................................................................25 Figura 8 - Tela de instalao do OSSIM com erros de sobreposies na escolha do menu.....26 Figura 9 - Servidor e Sensores OSSIM.....................................................................................27 Figura 10 - Console grfica (framework) do OSSIM...............................................................30 Figura 11 - LINUX Back Track em uso...................................................................................33 Figura 12 - Ataque do Fast Track, incluso no Back Track, contra as portas 22, 80, 8080, 514 e 3000 com deteco do OSSIM para os eventos nestas portas..................................................34 Figura 13 - Fat-Track em ao e OSSIM detectando tentativas de ataques.............................34 Figura 14 - MetaSploited e AutoScan network em atuao, tendo suas conexes recusadas pelo OSSIM (connection refused).............................................................................................35 Figura 15 - OSSIM detectando ataques contra as portas TCP e UDP......................................36 Figura 16 - SQLChech apresentando caracteres estranhos.......................................................36 Figura 17 - Contabilidade dos tipos de ataques por portas e suas porcentagens......................38

LISTA DE SIGLAS

OSSIM - Open Source Security Information Management (Gerenciador de Informaes de Segurana de Cdigo Aberto) IDS - Intrusion Detection System (Sistema de Deteco de Intrusos) ISO - International Standards Organization (Organizao de Padronizao Internacional) CA - Open Source (Cdigo Aberto) OS - Operation System SO - Sistema Operacional pt_BR / pt_br Portugus do Brasil (brasilian portuguese) TI Tecnologia da Informao

AGRADECIMENTOS

A todos que acreditam que a educao base de tudo e que pode mudar um pas. A todos aqueles, que perderam suas noites de sono, procurando falhas e solues em programas, sistemas operacionais e protocolos. A todos os professores que usaram de dedicao para todos ns. A Samanta e Catharina que foram pacientes quando no puderam ter a minha presena e o meu carinho. A Carla Ceolin pelo incentivo para a concluso deste curso. As professoras Vera Schuhmacher e Ana Luisa Mulbert pela dedicao e apoio nas horas necessrias.

SUMRIO 1 INTRODUO................................................................................................................. 9
1.1 PROBLEMA ..................................................................................................................................................... 9 1.2 JUSTIFICATIVA ............................................................................................................................................ 11 1.3 OBJETIVOS.................................................................................................................................................... 12

1.3.1 Objetivo Geral .............................................................................................................................12 1.3.2 Objetivos Especficos...................................................................................................................13

2 DESENVOLVIMENTO ................................................................................................. 14
2.1 METODOLOGIA DA PESQUISA................................................................................................................. 14 2.2 FUNDAMENTAO TERICA .................................................................................................................. 14 2.3 POPULARIDADE X FRAGILIDADE.......................................................................................................... 15 2.4 OS HACKERS, OS CRACKERS EOUTROS GRUPOS: O INCIO DO CYBERTERRORISMO................ 15 2.5 O TCP/IP COMO FACILITADOR................................................................................................................ 18 2.6 A BATALHA DOS BITS ............................................................................................................................... 19 2.7 UMA LUZ NO FIM DO TNEL .................................................................................................................. 19 2.8 O IDS OSSIM ................................................................................................................................................. 20

3 DESENVOLVIMENTO DOS TESTES ......................................................................... 23

3.1 INSTALAO ............................................................................................................................................... 23 3.2 SERVIDOR OU SENSOR? ............................................................................................................................ 27 3.3 FRAMEWORK / CONSOLE GRFICA ....................................................................................................... 29 3.4 ANLISE DOS RESULTADOS .................................................................................................................... 31

REFERNCIAS................................................................................................................. 40

1 INTRODUO

OSSIM: Um IDS, um sistema detector de intrusos para proteo de redes de dados, open source, cdigo aberto, protegendo redes conectadas a Internet. A primeira dvida que nos surge mente sobre a segurana das nossas redes conectadas com a internet, pois na maior parte delas no h como verificar imediatamente se realmente so seguras ou se existe alguma forma de proteo eficiente ativa. O que normalmente incomoda as organizaes em relao ao uso da internet a utilizao incorreta por parte dos seus funcionrios e o descumprimento as normas acordadas nos estatutos internos das organizaes, j que o uso indevido pode produzir ou auxiliar mecanismos crticos para que ocorram sinistros relacionados aos dados. Pensando desta forma, surge o questionamento que tenta fazer esta pesquisa, no intuito de verificar at onde chega segurana das redes quando conectadas a internet, utilizando o IDS OSSIM como mecanismo verificador deste nvel de segurana, validando informaes e eventos. 1.1 PROBLEMA Existe uma carncia muito grande no que se relaciona a documentao acadmica e informaes sobre os sistemas IDS's, principalmente sobre o IDS OSSIM, tais como funcionamento, aplicaes, eficincia, instalao, dispositivos, nomenclaturas usadas, configuraes, etc. Por existirem poucas informaes em portugus e tambm uma quantidade muito limitada em outras lnguas tais como ingls, francs e espanhol, esta carncia de informaes gera ausncia de conhecimentos ou dificuldades de entendimentos, que na maioria das vezes transformam-se em uma grande confuso, onde as informaes sobre um mesmo tpico se conflitam, fazendo com que informaes corretas, funcionais e seguras, tornem-se raras ou quase invisveis no universo da internet, gerando assim, dentro deste contexto, ao serem replicadas, alteradas e agregadas com erros, informaes dbias, portanto, passa a ser vital o levantamento de informaes relevantes e coerentes. necessrio ento fazer uma pesquisa sobre o IDS OSSIM e sua sute, que interprete atravs das informaes de sua base de dados forense, o que esta ferramenta pode oferecer 9

com referncia proteo e segurana de redes conectadas a internet e quais recursos imediatos ela oferece para o caso de ocorrncias crticas, com alto grau de impacto para os sistemas ativos das corporaes, tais como ataques, tentativas de invases. Esta pesquisa servir para verificar se realmente a proteo oferecida por esta ferramenta eficiente para as redes ou no. Servir tambm como base para avaliar qual o nvel de segurana e eficincia do IDS (Intrusion Detection System) OSSIM (Open Source Security Information Management) na proteo de redes de computadores conectadas internet. A grande preocupao nestes tipos de programas (IDS) o que ele est protegendo efetivamente e o que ele no est protegendo, j que para na maior parte das empresas as suas informaes so seu patrimnio e mant-los em segurana algo fundamental. Ao se utilizar um IDS, qualquer erro de configurao, instalao ou interpretao das informaes neste tipo de sistema pode gerar um transtorno ainda maior para os recursos das empresas, j que uma falha poder deixar recursos prioritrios de forma inoperante. Caso regras importantes sejam esquecidas, desprezadas ou inseridas de forma errnea ou de forma inadequada, permitiro ataques, invases, roubos de dados, de senhas, de nmeros de cartes de crditos, destruio dos bancos de dados, compras falsas, destruio dos servidores ou at mesmo a empresa poder ficar inoperante por horas, dias ou at semanas, conforme seu nicho de mercado. O OSSIM, de origem espanhola, um IDS usado pela empresa Telefnica na Europa, um dos maiores grupos de telefonia do mundo que utiliza esta ferramenta na proteo das suas redes, conforme informaes presentes no stio (site) da Alien Vault e nos casos de estudos providos pela prpria Telefnica espanhola. Segundo Sisternes, a eficincia do OSSIM ficou comprovada a partir de um projeto implementado na Telefnica espanhola que o aplicou em suas redes de alta velocidade e de alto trfego, tendo resultados positivos. No Brasil, atualmente vem despertando a curiosidade de pessoas ligadas a TI e empresas pblicas e privadas. Um dos problemas que existem para este IDS, como inseri-lo em uma rede de forma que a sua performance de segurana seja real, transparente, sem onerar as funcionalidades da rede e com o mnimo de falsos-positivos (informaes ou alarmes de erros e ataques no reais) e falsos-negativos (informaes de ataques reais no levados em considerao). Outra necessidade de funcionamento que as suas sutes realmente explicitem o que realmente est ocorrendo na rede: tentativas de invases, ataques dos mais diversos tipos, vrus, tentativas de 10

conexes fraudulentas, roubos de informaes, usos indevidos dos recursos de internet, tentativas de fishing, acessos a stios (sites) proibidos, enfim, tudo que redes conectadas a internet podem proporcionar de perigos ou fraudes. Para Davidson (2008), o roubo de informaes por roubo de senhas (fishing) se tornou muito eficientes nos ltimos anos, devido ao fato do usurio receber um e-mail convincente com um link para ser clicado, sentir-se impelido a clicar e no momento em que faz isto, instala programas espies em seu computador, permitindo que o invasor tenha acesso a senhas e informaes importantes, abra portas para outros tipos de conexes e inseres de programas malficos. Com sistemas IDS (do tipo OSSIM, OSSEC, etc), as respostas aos ataques e invases podem ser imediatas e automatizadas, podem gerar recursos de impedimentos e controles de nveis de proteo, alm de todas as ocorrncias serem registradas em uma base de dados para anlise forense. Sistemas IDS so de extrema utilidade nas redes atuais devido a grande variedade de estruturas engendradas nestas e pelo nmero extremo de novos computadores que se conectam diariamente, devido a estes efeitos, surgiu um problema, ainda maior: o cyberterrorismo. Por existirem redes sofisticadas, localizadas geograficamente nas mesmas regies de grupos extremistas, em conflitos ou terroristas, estes tentam invadir redes vitais de seus rivais, sejam de organizaes importantes, de empresas multinacionais ou de governos antagnicos aos seus interesses. Diante desta natureza crtica, que vivemos atualmente, os sistemas IDS tentam minimizar em parte alguns destes problemas crticos, apresentando-se como uma forma de soluo para alguns riscos. 1.2 JUSTIFICATIVA Quando ainda era totalmente desconhecido no Brasil, o OSSIM atraiu a minha curiosidade, eu j havia traduzido outros programas para o portugus do Brasil (pt_br/pt_BR), trabalhando em grupos internacionais de desenvolvedores e projetistas de software, com o OSSIM no foi diferente, esmiucei o seu cdigo, testei, implementei, gerei diversos tipos de informaes e documentaes, verifiquei cdigos, criei um blog sobre o mesmo (http://jailsonjan.previsioni.com.br), sempre ficou a vontade de fazer um estudo cientfico ou uma pesquisa sobre este IDS que possui algo alm aos meus olhos. 11

Nos ltimos anos, as informaes digitais das empresas passaram a ser base de seus negcios, j que muitas delas migraram para a internet, com isto aumentou a necessidade das suas redes serem protegidas de alguma forma, o OSSIM, parece ser um dos melhores e mais completos IDS open source existentes atualmente, para executar esta funo de segurana dos backbones, com tudo isto a um custo muito baixo, trazendo economia e proteo. O OSSIM passou por um lento processo de refinamento durante anos, atraindo assim, muitas empresas que o implementaram em suas bases, incluindo nesta lista a Telefnica da Espanha. Com o crescimento do OSSIM no Brasil, muitas novas demandas se faro necessrias, instalaes do IDS, configuraes, manutenes, cursos e criaes de novos itens para complementar e integrar a segurana das redes conectadas a internet, isto poder gerar novos empregos e novas empresas sero criadas, gerando assim novos servios. 1.3 OBJETIVOS

1.3.1 Objetivo Geral

Este estudo tenta demonstrar que existem algumas solues open source no que se refere a IDSs, trazendo o foco desta pesquisa para uma sute chamada OSSIM, que abrange diversos programas inteligentes de segurana em um s lugar. Esta pesquisa tambm tentar demonstrar qual o grau de confiabilidade desta segurana e qual a sua eficincia em diversas situaes. Por ser um sistema livre de grande aceitao no mercado internacional, apesar de ser fornecido livremente para ser baixado (download) na forma de cdigo aberto (open source), sendo esta sute, a primeira vista uma sute extremamente profissional, mesmo assim, permanece uma dvida: Qual o seu grau de segurana e confiabilidade as respostas de ataques ou tentativas diversas de fraudes digitais, que ocorram atravs da internet? Este estudo, no mbito da pesquisa, ir gerar estas informaes. Observar quais so os problemas mais comuns que surgem no decorrer da instalao e utilizao do OSSIM, usando para isto informaes disponveis em redes de testes e stios (sites) do setor. Verificar a aplicabilidade de sua sute como instrumento na segurana de redes conectadas a internet. 12

Pesquisar e observar as funes do OSSIM, referentes as suas atividades de respostas em relao a ocorrncias relevantes e tentativas de ataques, nas redes protegidas por ele.

1.3.2 Objetivos Especficos

A pesquisa consistir em obter informaes relevantes existentes sobre o IDS OSSIM, verificar a sua estrutura de funcionamento e a composio da sua sute (programas), observar algumas formas de configuraes de instalaes possveis e a partir disto verificar quais tipos de informaes ele privilegia com proteo, quais as incidncias de falsos-positivos, e quais informaes grficas ele fornece. Baseado nisso, ser realizada uma coleta de dados, para determinar se o OSSIM um IDS confivel, que apresenta robustez e segurana para a maior parte das necessidades das redes atuais, interligadas a internet. Os objetivos especficos so: Descrever rapidamente o processo de implantao do IDS OSSIM; Descrever as ocorrncias surgidas no decorrer do acompanhamento das operaes e configuraes da ferramenta, identificando os benefcios e as limitaes; Descrever os riscos que possam surgir com o uso da ferramenta; Descrever algumas incidncias de falsos-positivos ao utilizar o mecanismo de proteo; Descrever alguns benefcios do IDS OSSIM.

13

2 DESENVOLVIMENTO 2.1 METODOLOGIA DA PESQUISA Esta pesquisa ser elaborada, inicialmente, a partir da procura de informaes em stios (sites) da rea, principalmente no dos mentores do software em questo, a Alien Vault, para se obter as possveis configuraes, formas de instalaes, tipos de servidores para o OSSIM, atuaes e tipos de ataques, processo de implantao, estrutura da sute de programas inclusos no OSSIM. Montagem de um servidor OSSIM (servidor e sensor em um mesmo equipamento), em uma rede experimental para testes, atuando sobre o sistema operacional LINUX. instalao sero acompanhados de uma forma coerente. Aps a instalao, o IDS OSSIM, comear a coleta de informaes dos dados que trafegarem pela rede. Sero observadas as ocorrncias de erros, enumerados os benefcios e as limitaes que por ventura existam e que possam ser percebidas no decorrer deste estudo. Aps os primeiros momentos de estabilidade do IDS OSSIM, configurado e balizado, com reduo de falsos-positivos, sero testadas as possveis vulnerabilidades em decorrncia de ataques rede experimental atravs do uso do LINUX BT4 e sero observados como este IDS armazena e utiliza as respostas das tentativas de ataques para avaliaes forenses, desta forma teremos a viso das ocorrncias mais dinamizada. Elaborar, a partir de uma observao real, quais os benefcios que as empresas podero ter com a implantao do OSSIM como veculo de proteo e controle de suas redes. Neste servidor se efetuar uma instalao bsica com parmetros iniciais onde os passos desta

2.2 FUNDAMENTAO TERICA Com a criao da internet, no incio dos anos 90, as redes de computadores que eram inicialmente limitadas s reas corporativas ou acadmicas, passaram a ter uma abrangncia maior com a expanso das informaes oferecidas. Estas redes foram interconectadas, gerando um novo universo de servios, lazer e conhecimento. Com a queda dos preos dos computadores e as possibilidades de conexo em velocidades cada vez maiores, os cidados comuns passaram a fazer uso deste novo conceito tecnolgico, consumindo mais informaes. 14

2.3 POPULARIDADE X FRAGILIDADE No incio da internet, o perigo de ataques ou grandes destruies por vrus de computadores no eram significativos, pois ficavam restritos a determinados nichos das redes locais. Com o crescimento da internet, mais conexes de acesso se fizeram presentes, mais pessoas e novos equipamentos se conectaram e mais frgil se tornou a segurana da internet. Nesta poca, segundo Ballew (1997), novos protocolos foram criados ou melhorados, sendo configurados para as mais diversas tarefas nas redes (Rip, Eigrp, Ospf, Frame Relay, Atm, etc), integrando-se assim as redes baseadas no protocolo TCP/IP. Com o passar dos anos, as redes tornaram-se populares, maiores e mal configuradas, devido falta de testes e da pressa dos administradores em coloc-las em uso, possuindo assim vulnerabilidades crticas na integrao dos seus protocolos, inclusive com os roteadores (BALLEW, 1997). Com a existncia de falhas nas redes e nos sistemas operacionais, aparecem os hackers de redes de dados. 2.4 OS HACKERS, OS CRACKERS EOUTROS GRUPOS: O INCIO DO CYBERTERRORISMO O esprito hacker que vemos hoje surgiu isoladamente no final dos anos 60 e incio dos anos 70. Eram pessoas que agiam de forma romntica contra o sistema social em que estavam inseridos e baseavam-se no uso gratuito de servios que normalmente eram pagos, tais como telefonia, uma forma de televiso a cabo, etc, um retrato bem fiel desta poca pode ser visto no filme Piratas do Vale do Silcio. Segundo S (2005), certamente o primeiro hacker da histria tenha sido o ingls Alan Tuning, que inventou a lgica computacional aos 24 anos de idade, por ter tido aes de contracultura ao viver e por ter quebrado o cdigo criptogrfico do sistema de mensagens nazista Enigma, com a sua mquina Colossus, tudo isto na dcada de 30. No fim dos anos 80 at a segunda metade dos anos 90, surgiram os primeiros grandes hackers, Kevin David Mitnick, o mais famoso e um dos nicos a ser condenado nos Estados Unidos (EUA), Tsuotomi Samurai Shimomura (Japo), Mark Abne (EUA), Jonh Draper (EUA), Johan Helsingius (Finlndia), Vladmir Levin, este transferiu 10 Milhes de dlares de bancos para a sua conta particular, provando a fragilidade dos bancos espalhados pelo mundo (Rssia), Robert Moris, criador dos worms e outros vrus (EUA) e logo depois do 15

surgimento destes hackers, surgiram os to temidos grupos hackers, que se formaram movidos pelas expectativas de invadirem grandes redes corporativas, divulgando suas faanhas posteriormente em stios (sites) hackers, suspeitos e temidos. Nesta poca surgiram grupos importantes tais como: Astalavista Group (o mais antigo e ainda existente), Master of Deception, Silver Clowds (Palhaos Prateados, fizeram diversas invases a grandes corporaes), The Cult of the Dead Cow (O Culto da Vaca Morta) que criou um pequeno programa servidor, que tornava qualquer mquina invadida em um servidor, com todos os arquivos abertos para a internet, aceitando controles remotamente. Este programa, tambm chamado de BO (Back Orifice), por muito tempo foi o maior problema de muitos administradores de redes. Estes grupos serviam para concentrar pessoas com os mesmos interesses em estudar determinados protocolos, tipos de ataques ou para praticar invases. Ao testar as vulnerabilidades encontradas nos sistemas, estes grupos, produziam assim, paralisaes de servios e de redes atravs de seus ataques sincronizados, por outro lado, foram muito importantes para a indstria de segurana, pois para se defender, esta foi forada a evoluir em um curto perodo de tempo. Segundo S (2005), no Brasil, na dcada de 90, tivemos vrios grupos hackers e crackers, mas aqui os conceitos dos dois se fundiam e hackers passavam a ter funes de crackers e o inverso tambm ocorria. Estes grupos eram especialistas em desfigurar stios (sites) e de destruir arquivos e servidores, aqui a coisa funcionava como uma grande corrida, uma demonstrao de qual grupo era o melhor, existiam diversos grupos e hacker isolados, tais como: Barata Eltrica, Inferno.Br, Red Eye, Dart Varden, Perfect.Br, P.Suspectz , Silver Lords, Cyber Attack, Brazil Hackers Sabotage, entre tantos outros, eles invadiram a Nasa, a Microsoft, stios (sites) de rgos de governos e empresas multinacionais. Os grupos brasileiros sempre foram muito ativos, se divertiram, estudaram protocolos e falhas, protestaram, sim o protesto sempre foi a base inicial. Como Davidson (2008) diz em um de seus artigos: You dontt want your enemies to know yours war plans until after the attack, or your competitors to know products plans until after the lunch. Voc no questiona os seus inimigos para saber os seus planos de guerra aps um ataque, ou seus competidores para saber os planos dos produtos aps o almoo. O movimento hacker tornou-se socialmente um tanto negativo, aps o surgimento dos crakers, uma outra vertente de hackers, que possua, como objetivo, apenas a destruio total

16

dos seus alvos, fossem eles, servidores corporativos, stios (sites) de internet, o micro do amigo de escola ou a Nasa. O princpio cracker parte do Cyberterrorismo, muito temido hoje, mudaram alguns alvos, o objetivo passou a ser mais poltico, mas o conceito destrutivo ainda muito parecido com o anterior. Mantido por grupos terroristas e governos repressores ou totalitrios, que visam destruir sistemas de servios vitais de outras naes, para que o caos ocorra, os ataques crackers a servidores de DNS (domain name system sistema de nomes de domnios), servidores de arquivos de grandes corporaes, roteadores fundamentais, so exemplos constantes, alm da criao de vrus poderosos e programas de ataques mais letais. No Cyberterrorismo, os focos dos ataques so servios de trfego, grandes hospitais, centrais eltricas, usinas nucleares, servios de vos, bancos, bolsas de valores, sistemas de satlite, sistema de coordenadas de msseis, servios pblicos, usinas nucleares. Apesar de existir esta ameaa, invisvel, as grandes corporaes atualmente adotam uma prtica um pouco diferente das que eram realizadas uma dcada atrs, hoje, quando uma invaso percebida ou detectada, no se faz nenhum alarde, geram-se aes rpidas de correes e tudo feito com o mximo sigilo, pois todas estas empresas possuem aes nas bolsas de valores e clientes potenciais em vrias partes do mundo. Como exemplo hipottico de uma ao deste tipo, poderemos citar um grande banco invadido, onde no dia seguinte todos os seus clientes fiquem sabendo atravs dos noticirios que suas contas esto inseguras e passveis de roubo atravs do sistema. Certamente todos os clientes retirariam os seus valores, fechariam as suas contas, colocariam os seus montantes em outro banco que lhes desse mais segurana. Atualmente, segurana e negcios caminham lado a lado. Os ataques crackers foram os mais destrutivos e chegaram a causar prejuzos de milhares de dlares as redes corporativas, pois nesta poca os sistemas eram inseguros e no existiam planos de contingncias ou de segurana. Segundo Resende (2005, p.294):
Um plano de segurana diz respeito gesto de dados e informaes, que compreende as atividades de guarda e recuperao de dados, do tratamento dos nveis e controle de acesso das informaes, constituindo parte da tecnologia da informao da organizao.

Ainda segundo S (2005), nem s de ataques viviam os hackers, Richard Stallman, consolida toda o pensamento hacker ao fundar da Free Software Fundation ( FSF) em 1984, 17

com a idia de desenvolver um sistema operacional livre, criou o projeto GNU (Gnus Not a Unix), sendo este o embrio de todo conceito do software livre que possumos hoje, Linux, BSD, FreeBSD, etc, produzir e distribuir o software livremente. A idia de Stallman prega uma liberdade na utilizao do software e o livre a que ele se refere em seu manifesto significava que o usurio teria plenos poderes na utilizao e modificao do cdigo do mesmo, conforme as suas necessidades, sem solicitar a permisso da fonte criadora e ainda poderia redistribuir o mesmo software com todas as modificaes implementadas. Stalmman vislumbrou a idia de um software livre quando ainda trabalhava em um grande instituto de pesquisa americano e teve problemas com um driver de uma impressora HP (programa interno que controla as funes de impresso), quando este apresentou problemas, Stallman fez uma solicitao empresa criadora, que no o atendeu dentro das suas solicitaes, ele ento, escreveu um novo driver, melhor que o original e comeou a distribu-lo livremente, estava criado ento um dos primeiros softwares livres. Ainda segundo S (2005) na Finlndia, um outro hacker, chamado Linus Torvalds, ao alterar os cdigos do kernel (ncleo) do sistema operacional Minix, cria o sistema operacional Linux, um sistema livre, onde qualquer pessoa com alguns conhecimentos de programao, poderia mud-lo como desejasse. 2.5 O TCP/IP COMO FACILITADOR Os ataques, associados aos vrus de computadores passaram a agir sobre as vulnerabilidades ou processos at ento desconhecidos dos protocolos das redes, principalmente sobre o protocolo TCP/IP, utilizando-os de forma irregular, mudando suas aes naturais, tornando as redes lentas, danificando-as temporariamente ou provocando danos irreversveis em servidores e servios. Como diz Davidson (2009): No existem novos problemas de segurana, continuamos a ter velhos problemas com novos protocolos. A viso e esperana vigente na poca dos ataques e invases em massa, por volta de 1998, era a de criao de um antdoto, uma espcie de antivrus para a rede, uma proteo eficiente para os graves problemas que surgiam e que traziam prejuzos econmicos graves para as corporaes, quando estas comeavam a migrar seus negcios para a internet.

18

2.6 A BATALHA DOS BITS Diversas formas e tipos de ataques ocorriam a cada instante e isto preocupava os grandes provedores e as grandes corporaes que utilizavam novas tecnologias para aumentar a captao de recursos dos seus negcios, mas a sombra dos crackers e vrus os perseguiam. Muitos produtos foram criados e prometiam a proteo total ou definitiva, mas os hackers e crackers evoluam e criavam novos desafios. Esta batalha parecia no ter fim, a soluo corporativa encontrada foi tentar contatar estes hackers e cracker, contrat-los de uma forma velada, a peso de ouro, para que suas redes pudessem ser protegidas e defendidas de possveis invasores. A idia era simples, mas de grande eficincia, se voc no pode com os inimigos, junte-se a eles; ser defendido por quem realmente conhecesse os dois lados, parecia uma boa soluo. A luta era intensa, uns criando ferramentas de proteo e outros gerando novos cdigos de ataques. 2.7 UMA LUZ NO FIM DO TNEL Em determinado instante da internet, por volta do incio dos anos 2000, comearam a surgir ferramentas mais eficientes no que dizia respeito proteo das redes, os programas eram unitrios, bsicos, modulares, cada um deles dedicados a um determinado tipo de proteo ou de servio. A maior parte destes programas, voltados para o sistema operacional Unix ou para o Linux, que so sistemas coesos e muito usados na rea de segurana, que por exigirem um conhecimento maior no uso de suas ferramentas de explorao e comandos, dava uma maior estabilidade e credibilidade no que se referia a proteo e segurana. Os hackers e crackers evoluam e conseguiam descobrir novas vulnerabilidades nos sistemas operacionais e nos protocolos das redes. Era preciso criar algo mais efetivo, concentrado e que pudesse proteger uma rede dos ataques mais freqentes e que gerasse relatrios com informaes dos tipos de ataques e das vulnerabilidades presentes em programas e protocolos.

19

2.8 O IDS OSSIM Na Espanha, na metade da primeira dcada dos anos 2000, um grupo de pessoas ligadas segurana de sistemas e redes, reuniram-se atravs da internet com outros grupos de programadores, hackers, crackers, de diversos pases e imaginaram uma sute que integrasse todas os programas livres de proteo de redes em um s lugar, controlados atravs de uma interface grfica web. Nascia ento, a primeira verso do OSSIM. O OSSIM, este detector de intrusos, possui diferentes ferramentas de proteo para redes e servios, programas livres que foram disponibilizados atravs de downloads na internet por outros desenvolvedores. Estes programas (softwares) aps serem validados e testados em suas funcionalidades e eficincias, passaram por um perodo de aprovao e de estabilidade e ento foram agregados sute. Este procedimento muito comum nos grupos de produo de software livre, primeiro verifica-se a estabilidade do software, depois o coloca em produo, gerando assim uma verso estvel. Os seguintes programas foram anexados ao OSSIM por suas qualidades e segurana, ainda existindo na verso atual conforme informa a empresa Alien Vault em seu stio (site), que faz atualmente a coordenao do produto OSSIM. Em sua estrutura atual ele possui diversos programas, o Arpwatch usado para detectar anomalias no endereo MAC. P0f, promove a deteco passiva de sistemas operacionais e anlises de troca. Pads, que detecta anomalias de servios. Nessus um scanner de rede, usado para deteces de vulnerabilidades (simula ataques e procura por falhas), fazendo relaes cruzadas (IDS x Scanners de Segurana). Snort, um outro IDS, tambm usado para relaes cruzadas com o Nessus. Spade, que um engenho estatstico de deteco de anomalias dos pacotes (avalia tentativas de sniffers, floods, brutal force, entre outros tipos de ataques). Ele tambm usado para validar a veracidade dos ataques sem assinaturas em redes e servidores, j que este tipo de evento razoavelmente comum. Os programas Pads, Snort, Pam_Unix e SSHd so correlacionados.

20

Figura 1- Grfico com Pads, Snort, Pam_Unix e Sshd em atividade.

Figura 2 - Grfico de eventos e sensores com Portscan, P0f, Snort_tag e Diretive_alert entre outros em atividade.

Tcptrack, usado para comprovar uma ocorrncia de ataque, atravs das informaes dos dados de sesso. Ntop, este possui um banco de dados com informaes da rede no qual se pode identificar ocorrncias suspeitas e tambm detectar anomalias diversas. Nas ltimas verses, foi inserido o monitor e gerenciador de redes, Nagios, um software que gera grficos das ocorrncias das redes, seus componentes e servios, mantendo um banco de dados para consultas forenses. Existem mecanismos no Nagios que avisam em tempo real as ocorrncias de falhas e quedas de links de comunicao. Para a estrutura do 21

OSSIM, o Nagios um programa importante por aceitar agregados (plugins), gerando assim, uma gama muito maior de possibilidades de uso da sute do OSSIM.

Figura 3 - Interface do OSSIM apresentando o Nagios.

Osris, gerador de mapas de rede, sendo usado tambm como um detector. OCS-NG, uma soluo de inventrio. OSSEC, uma ferramenta que um detector de integridade, detector de registros (de ataques, vrus, trojans, fishing, entre outros), programa muito importante na sute, que tambm possui um detector de rootkits, que so scripts maldosos. Para o perfeito uso do OSSIM preciso definir como ele atuar dentro da topologia projetada, atuar como servidor ou como monitor/sensor. O OSSIM, tambm implementa outros validadores sem grande expresso conforme informaes contidas no stio (site) da Alien Vault, que funcionam no auxlio das atividades dos outros programas, ao vasculharmos os cdigos do OSSIM, ou verificarmos suas atividades, observaremos que so pequenos daemons (programas residentes), pequenos coletores de informaes, verificadores de portas, pequenos scripts, etc. A sute, nos dias atuais, gera a configurao em um nico arquivo, mantendo ali, senhas e variveis, este arquivo que lido por diversos outros programas contidos no OSSIM, chama-se /etc/ossim/ossim_setup.conf e pode ser editado manualmente quando necessrio. Aps a edio do ossim_setup.conf necessrio aplicar um script para a sua validao, que o /usr/bin/ossim-reconfigure. Existem outros arquivos editveis em modo texto nos diretrios agent, configuraes. framework, server e updates, cada um deles servindo de base das

22

3 DESENVOLVIMENTO DOS TESTES O OSSIM instalado e utilizado para a elaborao desta monografia, foi o da verso 2.2, uma distribuio livre voltada para a comunidade mantenedora, distribuda em formato de um arquivo ISO (padronizado pela International Standards Organization) com aproximadamente 589 Mb, disponvel em http://www.alienvault.com. Para os testes de tentativas de invases e de acesso ao sistema, foi usada a distribuio LINUX BT4, prpria para testes de vulnerabilidades de sistemas, invases e penetraes em sistemas diversos. Este Linux teve a sua data, hora e localizao geogrfica trocada para algumas cidades, como Los Angeles, Rio de Janeiro, So Paulo, Tkio, Londres, para verificar como o OSSIM se comportaria em relao ao armazenamento das informaes forenses dos ataques vindas de mquinas com valores diferentes, ficou claro, nos testes, que a hora usada armazenada a local. 3.1 INSTALAO Aps o arquivo ISO ter sido baixado do stio (site) da Alien Vault, foi gravado em um DVD com a inicializao do sistema boot, contendo o setup, um mecanismo de instalao do OSSIM, baseado no sistema operacional LINUX, distribuio DEBIAN. Foi dado um boot (inicializao) pelo DVD, carregando-o e iniciando-se a fase de instalao em uma mquina de testes, servidor (individual), possuindo as seguintes configuraes, dois processadores de 1.7Ghz , 2Mb de ram, 160Gb de espao em disco. A mquina OSSIM foi ligada a uma rede contendo uma conexo com a internet e com mais duas mquinas de testes: um laptop para acessar a console grfica, emitir ataques e verificar as atividades e outro computador com uma mquina virtual (VirtualBox), simulando mais duas outras mquinas comuns (com diferentes sistemas operacionais conectadas a rede).

23

Figura 4 - Configurao da rede de testes bsica.

Para os testes de ataques foi usada apenas uma conexo exclusiva entre o laptop e o servidor, intermediado por um switch, em rede exclusiva para que as respostas aos eventos fossem mais rpidas e para que os ataques pudessem ser contabilizados com mais eficincia pelo servidor OSSIM. A estrutura criada para esta simulao considerou o IDS OSSIM como verificador da rede interna, aps o firewal, tratando pacotes passados ou em trfego na rede interna. A simulao de ataques partiu desta rede com o objetivo de atingir o servidor OSSIM, para assim, definir a sua eficincia mais diretamente sem o obscurecimento de trfego de outras redes. Este formato tornou-se o mais eficaz neste teste para esta pesquisa, pois as observaes das ocorrncias ficaram muito mais fceis de serem percebidas.

Figura 5 - Configurao da rede de testes para os ataques.

Na primeira instalao, o servidor apresentou problemas nesta nova verso, perdendo a configurao de lngua selecionada (brazilian portuguese UTF-8 e ISO-8859-1), apresentando caracteres estranhos na tela de instalao. Isto ocorreu na instalao que utiliza a 24

console grfica, aps ter sido solicitada a instalao dos pacotes do JAVA. Para a instalao em modo texto e para os testes foi mantida a lngua inglesa como padro.

Figura 6 - Instalao do OSSIM - Erro de lngua padro.

Ocorreram outras tentativas, tais como instalar em modo texto, mas o sistema atingiu um determinado ponto da instalao e solicitou um arquivo inexistente no OSSIM/Debian, gravado no DVD. Outro erro ocorrido foi o da chave de autenticao GPG, para conexo e atualizao de arquivos com a Alien Vault e Debian. Estes erros no existiam nas verses anteriores.

Figura 7 - Erros de autenticao da chave GPG.

O objetivo foi alcanado, aps uma nova instalao, ao ser selecionada a opo de instalao automtica, transcorrendo sem maiores problemas, apenas sendo observado que o tempo da instalao foi extremamente longo, mesmo em modo texto, levando aproximando-se uns 20 minutos, para a sua concluso final. Durante a instalao, o sistema, faz diversas perguntas ao usurio, tais como o nmero ip (nmero nico para identificao do servidor em uma rede tcp/ip), nmero do 25

gateway (mquina de conexo/sada para a internet), nmero da rede onde ser instalado o servidor, senha do usurio root (usurio com maior poder dentro do sistema LINUX), nome do servidor, posio geogrfica para acerto do relgio em relao ao sistema de tempo GMT. O mais importante questionamento feito ao usurio e que poderia passar quase despercebido, fica em uma das primeiras telas do OSSIM, apresentada logo aps o boot, uma solicitao do tipo de instalao que ser executada, servidor ou agente/sensor, uma escolha errada neste ponto, pode causar problemas posteriores, pois as duas formas de atuao do OSSIM so bem distintas em seu uso e servem para necessidades diferentes. Uma observao importante constatada logo aps este ponto, a de que existe um erro por sobreposio de imagens e menus, o que gera uma dificuldade muito grande para ler o que est escrito nas opes, j que os caracteres esto na cor branca, quase sumindo em um fundo azul claro, alm de outras informaes de fundo que ajudam a complicar ainda mais a leitura.

Figura 8 - Tela de instalao do OSSIM com erros de sobreposies na escolha do menu.

Um outro fator a ser observado o tempo da carga dos programas que fazem parte da sute do IDS OSSIM, durante o boot, demoraram bastante para serem carregados na primeira vez em que o mesmo foi iniciado, aproximadamente nove minutos, o sistema carrega programas, cria arquivos de logs e gera alguns pipes (canais de comunicao e transferncia de informaes entre programas). Muitas estruturas so construdas, preparadas e carregadas nesta hora, h uma sobrecarga do sistema, o que cria uma alta atividade nos processadores. Este tempo de carga, no servidor de testes, foi de nove minutos na primeira vez e de uns trs minutos e vinte e sete segundos na segunda vez.

26

3.2 SERVIDOR OU SENSOR? Foram verificadas duas formas distintas de instalaes funcionais para o OSSIM, a primeira possibilidade a que o configura como servidor (server), onde todos os dados colhidos por agentes/sensores so enviados para serem processados no servidor, sendo esta comunicao feita atravs de mensagens criptografadas e o reconhecimento de uma mensagem vinda de um agente/sensor identificada atravs de uma chave de autenticao, tambm criptografada, isto serve para que no haja conflitos com as informaes rotineiras da rede e tambm para manter a veracidade das mensagens. A segunda possibilidade instal-lo como sensor agents (agente/sensor), onde o OSSIM se torna um mero coletor de informaes, no processando quase nada, enviando os dados capturados para outra mquina presente na rede, configurada como servidor. Trabalhando com as suas interfaces em modo promscuo, neste modo, as interfaces de rede coletam tudo o que passar por elas, sem nenhum questionamento ou testes, recebendo todo o trnsito de pacotes da rede. O OSSIM configurado desta forma garante que quase todos os pacotes sero coletados e entregues ao servidor OSSIM, para uma anlise detalhada. Segundo Casal, os programas internos do OSSIM so divididos em dois grupos: monitores e detectores (monitors e detectors), que so controlados por padres definidos que usam assinaturas ou regras, so estas divises que produzem se o OSSIM ser instalado como servidor ou como sensor. Na figura 9 temos a viso de uma instalao de um servidor OSSIM coletando informaes dos sensores que provem informaes de diversas redes (rede 01, rede 02 e rede 03), observando que um dos sensores recolhe informaes antes do firewall, na conexo direta com a internet.

Figura 9 - Servidor e Sensores OSSIM.

27

No OSSIM atual, no existe mais acesso a terceira opo, ainda presente no software OSSEC, que a de configurar o OSSIM como Local, uma opo retirada nas configuraes feitas atravs da interface grfica. Este modo de configurao permitia que todos os fluxos da rede pudessem ser coletados e analisados em uma mesma mquina, este formato era ideal para uma rede muito pequena, com poucas mquinas, mas que possua a necessidade de ser analisada. Esta configurao que ainda existe no OSSEC, no OSSIM, foi transformada na configurao de atuao servidor, que aplica no equipamento uma espcie de servidor/agente/sensor, ou seja, tudo em um mesmo local. Para Casal, em uma topologia complexa podem existir quantos agentes/sensores sejam necessrios para a captura de informaes das diversas redes existentes, assim como, podem existir diversos servidores para processar um grande nmero de informaes. Em algumas situaes, em redes extremamente grandes, pode existir um servidor OSSIM principal conectado a outros servidores OSSIM, que por sua vez estariam interligados a agentes/sensores. Estes servidores intermedirios enviariam para o servidor principal as informaes relevantes de suas redes, filtradas e processadas. Este tipo de configurao no muito difundido, devido ao seu alto grau de complexidade. Devemos lembrar que agentes/sensores dependem sempre de servidores, pois estes so apenas coletores de informaes passantes que no processam ou filtram quase nada, apenas colhem, fazem uma pequena verificao e enviam ao servidor. Estes mecanismos, muito distintos entre si, causam certa confuso se no forem especificados antes da sua instalao e configurao em um projeto de segurana. Quando a instalao requerida transcorre como server (servidor), significa que a mquina configurada executar todo o trabalho de processamento, validao, filtragem de dados, gerador de grficos e armazenamento de informaes. Os dados obtidos so comparados com as assinaturas de ataques ou de vrus, para que se possa ter uma resposta imediata antes da ocorrncia efetiva de um sinistro. Um servidor pode ser configurado para receber informaes de inmeros agentes/sensores desde que possua uma boa capacidade de processamento. Este processo de mltiplas mquinas OSSIM o ideal para backbones, a espinha dorsal das grandes redes corporativas, ou redes mdias, onde por ventura, sejam extensas e possuam mltiplas outras redes anexadas, conectadas ou no a internet, gerando assim, a

28

necessidade de um monitoramento intensivo por correrem riscos de ataques ou uso indevido de seus recursos por usurios internos e externos. Para redes pequenas, a instalao do OSSIM apenas como servidor, contemplando as duas funes, a mais recomendada, basta que o servidor OSSIM possua diversas interfaces de redes conectadas a ele e estas as redes que sero analisadas, apresentando assim, uma razovel performance, no sendo necessrios servidores de extrema capacidade de processamento. Em alguns pases da Europa (Espanha, Inglaterra, Frana), o OSSIM usado em proteo de backbones, que tratam sistemas de telefonia com acessos web e redes ligadas a comrcio eletrnicos. 3.3 FRAMEWORK / CONSOLE GRFICA Um dos recursos do OSSIM muito importante o seu framework, ou seja, a sua console grfica, onde atravs desta, pode-se configurar quase todos os programas instalados e receber informaes de ocorrncias, vulnerabilidades, ataques, visualizar grficos de usos e outras atividades. Segundo Jan, quando elucida sobre a interface do OSSIM em seu stio (site), diz que na aba principal (main) de configuraes (configurations), existem mais de dezessete sesses bsicas, iniciais, que podem ser configuradas para que o OSSIM possa comear a operar com segurana, ao testarmos nesta pesquisa, confirmamos a veracidade destas informaes. Na pgina inicial da console grfica, as primeiras e mais relevantes imagens que so vistas, representam os grficos de alertas e eventos e de ataques, que so fundamentais para saber com exatido o que est acontecendo na rede.

29

Figura 10 - Console grfica (framework) do OSSIM.

O acesso a console grfica do OSSIM foi feita atravs de outra mquina, um laptop, sendo acessado atravs do navegador (browser). Como o OSSIM possui um servidor web comum, para as funes destes servios, usado o servidor web Apache / Tom Cat. Apesar de ter grande parte da sua base na linguagem de programao PHP, o OSSIM possui mdulos em outras linguagens e frameworks de programao, tais como Javascript, JQuery, CSS, Ajax, Phyton, etc. A console grfica do OSSIM apresenta alta qualidade grfica, com a utilizao de Ajax, o que consolida um designer moderno e com grande praticidade de uso. Com a aplicao do conceito de abas o acesso informao tornou-se muito prtico, concentrado e mais rpido do que em verses anteriores. As funcionalidades tambm melhoraram, devido ao uso de bibliotecas grficas usadas no PHP para a gerao de grficos e outros recursos. Uma das coisas mais surpreendentes nesta verso do OSSIM a utilizao de um gerador de mapas de redes chamado Osris, que apresenta de forma grfica a estrutura da rede, formando uma espcie de leque com as informaes dos servidores e clientes da mesma. Na mesma linha do Osris, mas com conceitos diferentes, est outro poderoso programa, o Nagios, que armazena em tempo real as ocorrncias da rede, apresentando a utilizao e as falhas dos links de comunicao da rede, tudo isto de forma grfica na console.

30

Uma outra informao bastante interessante e til para o gerenciamento e gesto de TI a apresentao dos tipos de acessos efetuados pelas mquinas presentes na rede, tudo isto de forma grfica, mostrando inclusive os stios (sites) visitados e o tempo utilizado.

3.4 ANLISE DOS RESULTADOS As configuraes no so simples para por o OSSIM em operao, pois para configur-lo deve-se dispor de um bom nvel de conhecimento sobre redes e protocolos de mdio para alto, pois como o OSSIM um IDS poderoso, todos os itens de configuraes devem ser avaliados, verificados e compreendidos nas suas totalidades. Um exemplo claro e prtico da necessidade deste tipo de conhecimento a utilizao do Nessus, que quando usado de forma equivocada por pessoas que o desconhecem, ao iniciar sua avaliao de testes de vulnerabilidades (simulao de ataques para descobertas de falhas), o mesmo pode ser lanado contra um servidor de produo (servidor funcional) e se este possuir uma vulnerabilidade grave, poder ocorrer negao de servios, reduo de velocidade, travamentos ou at mesmo deixar de funcionar momentaneamente, este teste pode ser considerado perigoso quando habilitado por pessoas inexperientes ou curiosas. Este teste quando executado deve ocorrer fora dos horrios de atividades das redes das empresas, de preferncia durante os momentos de baixa atividade na mesma. As operaes fundamentais do OSSIM esto diretamente relacionadas a um outro programa livre chamado OSSEC, programa que define se a instalao ser Server (Servidor) ou Agent (agente/sensor/monitor), definindo o tipo de coleta de informaes. A interface de configurao do OSSIM prtica, sendo bastante objetiva em suas funes, aps esta configurao ser gerado um arquivo que ser usado como base para alguns outros programas. Ao usar o OSSIM, percebe-se logo que as configuraes devem ser elaboradas da melhor forma possvel; bem dimensionadas, representando a realidade da rede onde se opera, esta aproximao, com as funcionalidades da rede, minimiza drasticamente o surgimento de falsos-positivos, que so alarmes de falsas ocorrncias crticas, tentativas de invases, assinaturas de vrus, vulnerabilidades de softwares, ataques diversos (spoofing, brutal force, zumbis, etc).

31

Para Sisternes, o gerenciamento das informaes de segurana, atravs do OSSIM, so confiveis quando configuradas de forma correta. Com a utilizao do painel administrador do OSSIM (atravs da web), vai-se configurando toda a estrutura dos softwares que se encontram em outras camadas, reduzindo-se o nmero de falsos-positivos a uma quantidade insignificante. O ideal seria aproximar este nmero ao mais prximo de zero, mas isto nem sempre ocorre, devido s configuraes das redes serem elaboradas de formas errneas e o uso indevido de protocolos diversos ou configuraes inadequadas de elementos dos mesmos, nestes casos o nmero de ocorrncias de falsos-positivos (falsas informaes de ocorrncias) sobe drasticamente, gerando incmodos em quem gerencia este tipo de rede. Na rede experimental, foi detectado um nvel muito alto de falsos-positivos inicialmente e alarmes vindos do programa Nagios, principalmente com referncias a espao em disco devido ao rpido crescimento dos arquivos de logs e outras utilizaes de espao para dados, arquivos temporrios e crescimento dos registros do banco de dados. Foram observados avisos falsos de possibilidades de intruso por warm na porta TCP 139, que foi solucionado com algumas verificaes e configuraes. A senha de acesso a console grfica foi um outro problema apresentado, pois mesmo sendo informada a correta (admin - admin) gerados pela Alien Vault, esta no funcionou, uma cpia do arquivo de configurao original de uma outra instalao anterior substituiu o arquivo defeituoso, o sistema manteve a senha e o usurio padro, permitindo a troca por outra senha diferente. Este processo, nos primeiros momentos, apresentou um pouco de trabalho para ser superado, sem acesso, quase nada se podia fazer. A maior facilidade encontrada foi configurao do sistema atravs da interface grfica e a visualizao das ocorrncias e utilizao dos servios atravs de grficos e listagens. Para Stender, devido dificuldade de se realizar testes de segurana e da necessidade da manuteno do nvel de qualidade que se deseja durante e depois do processo, a aplicao de testes em sistemas ou programas desta espcie, podem ser funcionais ou no funcionais, dependendo apenas da forma de como o mesmo aplicado, j que se visa conseguir um alto nvel de respostas. Para os teste de ataques aplicados aqui e de acordo com o que diz Herzog, existem dois tipos de ataques, o ataque passivo, que tem como objetivo recolher informaes irrelevantes, que no possuam muita influncia direta ou muita importncia e onde este tipo de ataque quase nunca transpassa os limites do atacado. O outro tipo de ataque o intrusivo, que passa as barreiras legais do atacado e que tem por objetivo, recolher

32

dados importantes, podendo ser monitorado e ativar algum tipo de recurso de segurana no atacado. Ser usado para esta pesquisa o ataque intrusivo para testes funcionais. Os tipos de testes aplicados contra o IDS OSSIM usaram o conceito de testes Black Box, onde os testes so elaborados como caixas pretas fechadas, ou seja, no sendo necessrio saber, cada passo que os programas de testes executam, observando-se apenas os resultados de suas sadas. Os testes foram aplicados com o uso do LINUX BT4, prprio para explorar sistemas operacionais, protocolos usados em redes e para executar testes de segurana.

Figura 11 - LINUX Back Track em uso.

Segundo Karg possvel verificar e bloquear a ao de exploradores (exploits) atravs do OSSIM com este determinando os nveis de riscos. Para os testes aplicados contra o servidor, foram selecionados; Fast Track que um teste de penetrao (penetration test), no qual foram usados mdulos de ataque em massa contra o servidor (mass cliente-side), um mdulo de ataque que tentou derrubar o servidor (attack), um outro mdulo com o qual foram aplicados 201 tipos diferentes de exploradores (exploits) com a inteno de se conseguir algum tipo de acesso ou descobrir alguma vulnerabilidade no servidor visando com isto, executar uma conexo indevida. Todos foram lanados contra as portas mais comuns usadas por programas, 22, 80, 8080, 514 e 3000. Conforme diz Karg, para coletar este tipo de informao e no permitir que o atacante tenha sucesso em seus objetivos, necessrio que os servios dos agentes e dos servidores estejam ativos e configurados.

33

Figura 12 - Ataque do Fast Track, incluso no Back Track, contra as portas 22, 80, 8080, 514 e 3000 com deteco do OSSIM para os eventos nestas portas.

Para Wang (2004), um explorador (exploit) de segurana se manifesta claramente com a presena de uma falha de segurana, mas nem sempre um defeito que ocorre na segurana causa uma explorao. Depois do teste de exploradores (exploits), foi executado um teste com o mesmo programa Fast Track, s que desta vez focado em uma falha existente em servidores Windows e no protocolo de FTP e suas portas. O teste visava tentar atacar uma mquina Windows, presente na rede atravs do protocolo TFTP e torn-la inoperante. O OSSIM detectou este evento e muitos outros eventos internos, inerentes aos ataques.

Figura 13 - Fat-Track em ao e OSSIM detectando tentativas de ataques.

Os programas Metasploited e Autopwn Automation, foram utilizados para tentar acessar o servidor atravs de alguma falha em portas altas. O Firefox Heap Spray que simula uma conexo com o servidor como se fosse um navegador (browser) requisitando informaes, mas a idia era gerar uma queda (crash) no servidor por excesso destas requisies. Atravs do Autopwnpost, tentou-se injetar e explorar informaes do servidor. Para todos estes programas, aplicados contra o servidor OSSIM, todos os exploradores (exploits) foram 34

detectados e o servidor OSSIM no permitiu nenhum tipo de acesso, conexo, roubo de senhas ou arquivos, bloqueando os acessos e registrando as ocorrncias. O programa AutoScan Network, um scaner de rede no conseguiu conectar-se ao servidor OSSIM, pois no encontrou nenhuma porta ou programa com vulnerabilidade. Segundo Junior (2010), para estes tipos de ataques, o ideal que o sistema de proteo no responda nada para o sistema atacante e nem gere nenhum contra-ataque para o ip invasor, que apenas o bloqueie, se proteja, gere informaes forenses e alerte, pois isto ir criar um desinteresse no hacker com referncia ao sistema atacado, no o sensibilizando com informaes que possam ser relevantes para uma possvel descoberta de vulnerabilidade no sistema atacado.

Figura 14 - MetaSploited e AutoScan network em atuao, tendo suas conexes recusadas pelo OSSIM (connection refused).

Foi elaborado um teste de brutal force e um do mesmo tipo para SSH (SSh Bruteforced), para possvel quebra de senhas e acessos indevidos, ambos programas foram interceptados e detectados pelo servidor OSSIM. Outras tentativas de burlar o sistema tambm foram geradas e nada significante foi conseguido, apesar de ter sido usado o programa Nemesis, um injetor de pacotes que trabalha com os protocolos da rede para conseguir a violao no servidor. Nada foi conseguido com este tipo de programa, pois o OSSIM conseguiu registrar as ocorrncias e eventos contra as portas TCP/UDP.

35

Figura 15 - OSSIM detectando ataques contra as portas TCP e UDP.

Contra o banco de dados, foram lanadas tentativas de conexes, de recuperao de informaes internas ou para ganhar acesso ao mesmo, na expectativa de conseguir executar a troca de sua senha principal. Foram usados os programas DBPwAudit, que faria uma conexo e traria informaes importantes do banco de dados. SQLCheck, que apresenta informaes do banco em modo texto e SQLMAP que produz um mapeamento do banco de dados. O primeiro programa no conseguiu conexo, o segundo trouxe linhas de dados falsas (false strings) e o terceiro nada apresentou, a no ser o apagamento da tela do equipamento atacante. Todos os programas foram bloqueados ou detectados pelo OSSIM.

Figura 16 - SQLChech apresentando caracteres estranhos.

Foram gerados alguns testes de SQL injection, que consistiu em tentar enviar comandos ou substituies de valores, atravs da linha de endereo do navegador (browser), tentando com isto, apagar tabelas do banco de dados, trocar a senha de usurios de programas, etc. No teste aqui elaborado, serviu para verificar a consistncia da passagem de parmetros atravs 36

de variveis para as linhas dos programas em PHP (mtodos Get e Post) de alguns mdulos do OSSIM, inclusive houve a tentativa de troca de senhas e de nomes de usurios do sistema principal, mas o OSSIM reagiu corretamente, fazendo a limpeza das linhas de comandos, retirando as Tags Html. Este teste no gerou nenhuma alterao ou dano ao sistema da console grfica ou ao banco de dados. Algumas linhas (strings) passadas foram as mais tradicionais, onde se adere ao final da linha de endereo informaes do tipo, 1=1, 0=0,OR password= , AND name= OR name= , delete *, %a% ou ainda colocar estes tipos de variveis nas lacunas de texto (input text) na tentativa de produzir um erro ainda maior no sistema, mas que volte com informaes preciosas. Quando a senha do OSSIM apresentou erros no incio dos testes, foi tentado um SQL Injection usando o seguinte artifcio j que o sistema estava na lngua inglesa (padro), foi enviada a seguinte combinao ?user=admin&password=&submit, com isto se tentaria forar um erro ao entrar no sistema e com isto descobrir quais eram os parmetros corretos e a partir disto gerar linhas mais precisas, mas o OSSIM possui um mecanismo que limpa estas linhas e nada foi conseguido. Segundo Jan, em seu stio (site), diz que algum tempo atrs, circulou na internet a informao que existia uma falha nesta rea e que poderia ser explorada, permitindo assim o acesso indevido ao sistema, mas ao ser testado nesta pesquisa, foi verificado que este erro j est corrigido. O comando (tag) digitada na linha de endereos do navegador e usada como parmetro destrutivo para este teste foi uma informao tecnicamente simples, mas que poderia prejudicar bastante, /ossim/control-panel/alarme_console.php?delete_backlog=all, ainda segundo Jan, este ataque chamado de Vulnerabilidade de ataques da falsificao de requisio de stio (site) cruzada (CRSF Cross-Site Request Forgery Attacks ) ou ataque de um s clique, o que provocaria a destruio de todos os alarmes existentes de uma s vez, ocultando assim a passagem do hacker pelo sistema. Foi elaborado um teste com uma assinatura de vrus indicada pela Alien Vault , o sistema conseguiu detectar como se fosse ao de uma tentativa de intruso ou worm. Ocorreram possveis tentativas de ataques vindas da internet nos primeiros momentos de atuao da rede de testes. Estas ocorrncias no foram confirmadas em sua totalidade, devido ao fato de terem sido apresentadas no momento em que o sistema IDS ainda estava sendo configurado e por serem irrelevantes (tentativas de assinaturas de vrus e tentativas de conexo de fishing). Por terem ocorrido em um momento crtico, foram considerado falsos37

positivos, devido primeira rede de testes estar conectada a outras redes, tambm protegidas para o acesso internet, estes alarmes foram desconsiderados, sendo descartados. Aps estes eventos a base de alertas foi apagada para que os testes de ataques diretos pudessem ser iniciados. Com relao s atividades forenses, o sistema alm de armazenar alarmes, tentativas de ataques, ocorrncias, tambm armazena todas os acessos executados pelas mquinas internas da rede, apresentando, individualmente, os stios (sites) mais visitados, organizados em ordem de freqncia de visitas, possibilitando uma tima opo para gerenciamento da utilizao dos servios das redes corporativas. Uma outra funo muito interessante o ranking dos tipos de ataques que ocorreram contra a rede onde o IDS OSSIM esteja instalado, este recurso torna-se muito til quando se deseja saber qual o tipo de ocorrncia deve ser verificada e qual ao de proteo dever ser tomada.

Figura 17 - Contabilidade dos tipos de ataques por portas e suas porcentagens.

Uma observao curiosa a de que as telas da console do OSSIM na rea de incidentes e eventos, so bastante parecidas por terem um desenho (design) muito semelhante umas das outras, algumas vezes isto pode confundir quem usa a interface, mas com o passar do tempo, distingue-se com exatido as funes de cada uma e onde elas se encontram.

38

4 CONSIDERAES FINAIS A viso final que se tem do OSSIM, no que tange a proteo de redes conectadas a internet que por ser um IDS robusto, possui grande eficcia em suas aes devido ao conjunto de softwares anexados em sua sute, apesar da sua instalao nem sempre ser to simples como parece. Devido a problemas que apresenta com alguns tipos de hardware e de sua configurao ser criteriosa, chegando a ser detalhista demais, o IDS OSSIM registra um alto nvel de proteo para redes, quando este bem configurado e as redes esto dentro dos parmetros das normas de segurana, com polticas de uso claramente estabelecidas nos seus contextos. O OSSIM possui grande poder de apresentao das informaes desejadas, diretamente, claras, objetivas, de forma que as empresas que fizerem uso dos seus recursos, podero sentir-se protegidas quase que na totalidade. O OSSIM um IDS muito ativo, robusto nas suas atividades e nas informaes forenses, parece ter muito futuro no que diz respeito aos mercados de segurana de dados.

39

REFERNCIAS ALIEN VAULT. Open Source SIM. Disponvel em: <http://www.alienvault.com/ products.php?section=OpenSourceSIM>. Acessado em: 08 de Abril de 2010. ALIEN VAULT. Enterprise Security Management. Disponvel <http://www.alienvault.com/solutions.php?section=EnterpriseSecurityManagement>. Acessado em: 08 de Abril de 2010. em:

BALLEW, Scotty M. Managing IP Networks with Cisco Routers. First edition. California: OReilly & Associates, Inc, 1997. CASAL, J. Detectors. Disponvel em: http://www.ossim.net/dokuwiki/doku.php? id=documentation:detectors > Acessado em: 08 de Abril de 2010. CASAL, J. Monitors. Disponvel em: http://www.ossim.net/dokuwiki/doku.php? id=documentation:monitors > Acessado em: 08 de Abril de 2010. DAVIDSON, Mary Ann. Need to Know: Getting better information is important, but some secrets are not for sharing . Oracle Magazine. Skokie, Illinois. V. 22, n. 6, p.75, nov./dec. 2008. DAVIDSON, Mary Ann. Changing the Marketing: Purchasing criteria shoud focus on lifecycle security cost. Oracle Magazine. Skokie, Illinois. V. 13, n. 1, p.75, jan./fev. 2009. DAVIDSON, Mary Ann. Beyond Data Protection: Oracle Secure Enterprise and Oracle Information Rights Management Protect Information. Oracle Magazine. Skokie, Illinois. V. 22, n. 1, p.79, jan./fev. 2008. HERZOG, Pete. Open Source Security Testing Methodology Manual Disponvel em: <http://www.ideahamster.org/ OSSTM.pdf>. Acessado em: 27 de mai. de 2010. JAN, Jailson. OSSIM Configurao Principal Parte I. Disponvel em: <http://www.previsioni.com.br/jailsonjan/?p=244>. Acessado em: 06 de Abr. de 2010. JAN, Jailson. Urgente uma vulnerabilidade no OSSIM 2.2.1. Disponvel em: <http://www.previsioni.com.br/jailsonjan/>. Acessado em: 05 de Ago. de 2010. JUNIOR, Clovis Petry Jardim; Marques, Marcos Vincius Bueno. Segurana da Informao: Aspectos Estratgicos e Prticos. In: Senactech Inovao e Tecnologia. Porto Alegre. SENAC, 2010. KARG, Dominique. OSSIM Correlation engine explained - Sample two: Advanced features, Nessus & Snort correlation, Test scenario: Network Worm. Disponvel em: <http://www.alienvault.com/docs/correlation_engine_explained_worm_example.pdf>. Acessado em: 27 de junho. de 2010. 40

PIRATAS DO VALE DO SILCIO. Direo: Martyn Burke. Califrnia: TNT, 1999. 1 DVD. RESENDE, Denis Alcides. Engenharia de Software e Sistemas de Informao. 3 ed. Rio de Janeiro: Brasport Livros e Multimdias. 2005 S, Vera Lcia Viveiros. Hackers: Mocinhos e Bandidos: Estudo de grupos brasileiros desfiguradores de Sites. 2005. 142 f. Dissertao (Mestrado em Cincias Sociais na rea de Antropologia). Pontifcia Universidade Catlica de So Paulo, So Paulo, 2005. SISTERNES, Javier Diaz-Palacios. OSSIM and Campus Party: A High Traffic, Heterogenous Network Telefnica Espanha. Disponvel em: <http://www.alienvault.com/ docs/Case Study Campos Party.pdf>. Acessado em: 07 de julho de 2010. SISTERNES, Javier Diaz-Palacios. OSSIM Open Source Security Information Management: General System Description. Disponvel em: <http://www.alienvault.com/ docs/OSSIM-desc-em.pdf>. Acessado em: 09 de julho de 2010. STENDER, Scotch T. Blind Security Testing An Evolutionary Approach. Disponvel em: <http://www.isecpartners.com/iSEC_Scott_Stender_Blind_Security_Testing.pdf Acessado em: 27 de mai. de 2010. WANG, Andy Ju An. Security Testing in Software Engineering Course. In: ASEE/IEEE Frontiers in Education Conference, 34, Marietta, GA: Southern Polytechnic State University, p. F1C13-F1C18, out. 2004.

41