ANHANGUERA EDUCACIONAL FACULDADE COMUNITRIA DE LIMEIRA CURSO DE CINCIA DA COMPUTAO

DOUGLAS PRADO LUIS CARLOS P. FAVETTA RAFAEL HENRIQUE THIRION SERGIO ALVES DE LIMA JR. THIAGO RODRIGO PEDERSEN

Um Estudo de Aplicao de Inteligncia Artificial em Firewalls Corporativos

Trabalho de Concluso de Curso.

Profa. Mrcia Aguena Orientador

Limeira-SP, Maro de 2008.

ANHANGUERA EDUCACIONAL

AGRADECIMENTOS

Quando desejado pelo autor do trabalho, so apresentados logo aps a folha de rosto, nessa ordem. So de livre apresentao grfica. Geralmente os Agradecimentos so apresentados como um captulo no-numerado. O mesmo recomendado para os prximos itens, at o Resumo e Abstract.

SUMRIO

LISTA DE ABREVIATURAS E SIGLAS............................................................. 6 LISTA DE FIGURAS........................................................................................... 7 LISTA DE TABELAS...........................................................................................8 RESUMO............................................................................................................. 9 ABSTRACT....................................................................................................... 10 1 REDES DE COMPUTADORES...................................................................... 11 1.1 Introduo................................................................................................................ 11 1.1.1 TCP....................................................................................................................... 12 1.1.2 UDP........................................................................................................................ 13 1.3 Protocolos de Aplicao......................................................................................... 14 1.3.1 FTP........................................................................................................................14 1.3.2 SSH........................................................................................................................14 1.2.2 TELNET............................................................................................................... 15 1.2.3 SMTP.................................................................................................................... 15 1.2.4 DNS....................................................................................................................... 16 1.2.5 HTTP.................................................................................................................... 17 1.2.6 POP....................................................................................................................... 17 1.2.7 NTP....................................................................................................................... 18 1.2.8 IMAP.....................................................................................................................18 1.2.9 SNMP.................................................................................................................... 19 1.2.10 HTTPS................................................................................................................ 19 2 FIREWALL...................................................................................................... 22 1.2 Introduo................................................................................................................ 22 1.3 Filtro de Pacote Esttico Stateless.......................................................................22 1.4 Filtro de Pacote Dinmico Statefull.................................................................... 23 1.5 Sistema de Deteco de Intruses Intrusion Detection System (IDS)..............23

5 1.6 IPS Sistema de Preveno de Intruses Intrusion Prevention System (IPS) ......................................................................................................................................... 24 3 CONCLUSO..................................................................................................27 REFERNCIAS BIBLIOGRFICAS................................................................. 28 GLOSSRIO..................................................................................................... 30 ANEXO A <DESCRIO DO ANEXO>........................................................... 31 ANEXO B <EXEMPLO DE FOLHA DE ROSTO>............................................ 32 APNDICE <DESCRIO DO APNDICE>.................................................. 33

LISTA DE ABREVIATURAS E SIGLAS

RFC BR

Request For Comments Brasil Universidade Federal do Rio Grande do Sul

UML Unified Model Language UFRGS

RNA Redes Neurais Artificiais RBC Raciocnio Baseado em Casos

LISTA DE FIGURAS

LISTA DE TABELAS

RESUMO

Atualmente, a gerncia da segurana das informaes que so geradas dentro das corporaes demanda de grande esforo humano e material alm de garantias de continuidade de servios, produtos selecionados para prover a segurana e confiabilidade dos dados. Firewalls so ferramentas de software que aplicam regras definidas em sua configurao para tratar os dados que entram e saem de uma rede. Essas regras provem ferramenta a capacidade de classificar os fragmentos de informao que recebe de acordo com seu grau de nocividade integridade do sistema. O trabalho apresenta um estudo de aplicao de metodologias de inteligncia artificial, mais especificamente ligadas s redes neurais artificiais, na definio das regras que governam uma ferramenta de firewall. O estudo da fundamentao terica e das tcnicas de redes neurais aplicadas no projeto teve apoio no contedo de literaturas tcnicas das reas de redes de computadores, inteligncia artificial e segurana da informao. O projeto do software foi desenvolvido e documentado com a utilizao de diagramas e padres UML, definindo um modelo para uma posterior desenvolvimento e implantao.

Palavras-Chave: Firewalls Corporativos, Lgica Fuzzy, Redes Neurais Artificiais, Redes de Computadores, Agentes Inteligentes de Controle.

This should be the title in English

ABSTRACT

This manual has the purpose of... O abstract deve apresentar, adicionalmente, uma traduo do ttulo do trabalho. O ttulo traduzido colocado antes do ttulo do captulo (Abstract'), a 2cm da margem superior, centralizado, em fonte Times 14 pt negrito. Ocupar no mximo 1 folha, e podero ter at 500 palavras. Para maiores informaes com relao redao consultar a NBR-6028 da ABNT (1990).

Keywords: ABNT, text processors, electronic document preparation.

1 REDES DE COMPUTADORES

1.1 Introduo
Redes de computadores so definidas pela comunicao entre hosts que tem por objetivo geral, compartilhar informaes e recursos remotamente, sem a necessidade de mover ou instalar tal recurso sempre que ele for necessrio para executar determinada tarefa. Atualmente h diversos equipamentos que podem compor uma rede de computador, sendo os mais comuns atualmente: microcomputadores, hubs, switchs, roteadores, notebooks, PDAs, impressoras, servidores de aplicao, firewalls, servidores de arquivos, entre outros. O padro de comunicao de redes mais amplamente utilizado atualmente o padro Ethernet que segue as definies do modelo OSI. Este padro define toda a infra-estrutura necessria para que haja a comunicao entre diferentes tipos de equipamentos, fabricados por diferentes fornecedores. Esta infraestrutura traz consigo muitos conceitos e definio de padres de protocolos, mdia, aplicao, controles, entre outros, para que haja a comunicao perfeita entre os hosts que compe a rede. O modelo OSI define sete nveis, tambm chamados de camadas, onde so estabelecidas as fronteiras entre os componentes necessrios para que haja a comunicao entre os componentes de uma rede de computadores. Abaixo, destacamos o modelo OSI (figura img_01) e suas camadas:

Figura 1

Camada 1 (layer 1): fsica Camada 2 (layer 2): enlace Camada 3 (layer 3): endereamento Camada 4 (layer 4): transporte

12

Camada 5 (layer 5): sesso Camada 6 (layer 6): apresentao Camada 7 (layer 7): aplicao A outros modelos de referncia, mais simples que o modelo OSI, como por exemplo, o modelo de referncia TCP, que ser amplamente utilizado nesse trabalho. H divergncias na literatura usual sobre redes de computadores sobre o modelo de referncia TCP. Trataremos aqui, apenas o modelo mais usado. Abaixo, destacamos o modelo de referncia TCP (figura img_02) e suas camadas:

Figura 2

Camada 1 (layer 1): host/rede Camada 2 (layer 2): inter-redes

Camada 3 (layer 3): transporte

Camada 4 (layer 4): aplicao

Cada um desses modelos apresenta uma viso para a normalizao do trfego de informaes entre redes de computadores, homogneas ou heterogneas, sendo que o foco principal de ambos informar o caminho que uma dada informao, seja ela o simples acesso a um web site, ou vdeo conferncia, ou troca de mensagens por email, percorreu do ponto de origem at o seu destino final. Vale ressaltar que, para qualquer referncia na construo de redes de computadores, o modelo mais usado e aceito como padro para elaborao de diagramas de redes, definio de topologias, concepo de firewalls, servios de rede, polticas de segurana e acesso a informaes, entre outras, o modelo de referncia OSI aceito e amplamente utilizado. 1.1.1 TCP TCP o principal protocolo de transporte utilizado na internet, sua funo garantir confiabilidade no fluxo de bytes que fim a fim, gerencia fluxos e interfaces para a camada IP e administrar e transmitir os timers dos datagramas que so entregues de

13

forma inapropriada pelo IP. Sua robustez permite uma adaptao de forma dinmica s propriedades de uma inter-rede, e sua caracterstica principal que cada byte em uma conexo tem seu prprio nmero de seqncia de 32 bits Para o funcionamento do servio TCP necessrio que uma conexo seja estabelecida entre um soquete da mquina transmissora e um soquete da mquina receptora, e estes soquetes podem conter varias conexes. As portas mais conhecidas so s de nmeros abaixo de 1.024, por exemplo, a porta 25 (SMTP) que utilizada para o correio eletrnico. O trfego das conexes TCP pode ser feitas em ambas as direes que so chamadas de Full-duplex ou ponto a ponto. Quando o TCP recebe dados de uma aplicao, estes podem ser enviados imediatamente ou armazenados em um buffer para acumular um volume maior de dados e da sim envilos, possui tambm o recurso chamado de dados urgentes , quando um processo remoto j est iniciado e o usurio pressionar a tecla Del ou CTRL-C para interromper, a aplicao transmissora adiciona algumas informaes de controle ao fluxo de dados e o entrega ao TCP juntamente com um flag URGENT, com isso o servio TCP para de acumular dados e transmite tudo imediatamente. Um segmento TCP consiste em um cabealho fixo de 20 bytes, seguido por zero ou mais bytes de dados, o software do TCP que decide o tamanho dos segmentos. Tanembaum afirma que para o estabelecimento de uma conexo TCP, o servidor deve aguardar passivamente por uma conexo de entrada , executando primitivas LIISTEN e ACCEPT atravs da especificao de um determinada origem ou ningum em particular , enquanto o cliente executa uma primitiva CONNECT, especificando o endereo IP e a porta qual deseja se conectar , o tamanho mximo do segmento TCP que est disposto a aceitar , e opcionalmente alguns dados do usurio. A primitiva CONNECT envia um segmento TCP com o bit SYN ativado e um bit ACK desativado e aguarda uma resposta. Apesar de o trfego das conexes TCP serem chamado de Full-Duplex, podemos considerar um par de conexes simplex onde cada conexo simplex encerrada de modo independente de sua parceira e que para encerrar qualquer um dos lados pode enviar um segmento com o bit FIN ativado, o que significa que no h mais dados a serem transmitidos. Quando FIN confirmado, esse sentido desativado para novos dados. No entanto, os dados podem continuar a fluir indefinidamente no outro sentido. A conexo ser encerrada quando os dois sentidos da conexo estiverem desativados, e para o encerramento so necessrios quatro segmentos TCP um FIN e um ACK para cada sentido Segundo Tanembaum, so necessrios 11 estados em uma mquina de estados finitos para o estabelecimento e o encerramento de conexes TCP. Conforme demonstrado na Figura 1. Cada conexo comea do estado CLOSED. Ela sai desse estado ao executar uma abertura passiva (LISEN) ou ativa (CONNECT). Se o outro lado executar a primitiva oposta, a conexo ser estabelecida e o estado passara a ser ESTABLISHED. O encerramento da conexo pode ser iniciado por qualquer um dos lados. Quando ele se completa, o estado volta ser CLOSED.

1.1.2 UDP

14

O protocolo UDP (User Datagram Protocol), consiste em transportar datagramas IP encapsulados sem que seja necessrio estabelecer uma conexo. Este protocolo opera da camada de transporte no modelo OSI e TCP/IP. definido pelo RFC 768. O protocolo UDP no exige que os protocolos de recebimento confirmem a entrega dos pacotes. Alm dos dados enviados, cada mensagem UDP contm um nmero em seu cabealho que permite identificar porta de origem e destino, segundo Douglas COMER. Este protocolo considerado no confivel, pois no realiza controle de fluxo de dados, controle de erros ou retransmisso, no garantindo a entrega dos pacotes. Devido h esses problemas, o protocolo UDP durante a sua transmisso pode ocorrer h perda dos pacotes, ocorrer atrasos, o pacote ser retransmitidos (duplicados), enviar dados defeituosos e perder a conectividade. Para obter o controle sobre as mensagens UDP, o programador configura, atravs de algoritmos na camada de aplicao o controle sobre os pacotes encaminhados. Apesar dessas desvantagens, o protocolo UDP utilizado para streaming de vdeo e udio via web, uma situao onde o que vale a velocidade e no a confiabilidade.

1.3 Protocolos de Aplicao

1.3.1 FTP O protocolo de transferncia de arquivos FTP ( File Transfer Protocol ) um protocolo que promove o compartilhamento de arquivos entre um computador chamado de cliente e um servidor FTP que armazena arquivos, dados, backups. A transferncia de arquivos pode ser obtida atravs da internet, seu principal meio de comunicao, aonde um cliente se conecta a internet e estabiliza uma conexo com um dos servidores FTP, aps a verificao e validao da conexo o cliente pode fazer a troca ou recuperao de arquivos em um dos servidores, pelo padro de comunicao FTP pela porta 21, conforme na RFC 959. Segundo Tanembaum o protocolo FTP permite que qualquer pessoa ligado a nternet pode fazer o download de qualquer arquivo, desde que tenha um login. Uma das facilidades do protocolo FTP o tipo de armazenamento de arquivo, que pode ser armazenamento remoto, alm de ter bastante confiabilidade e eficincia o protocolo FTP foi implementado na rede TCP. 1.3.2 SSH O protocolo SSH (Secure Shell) fornece uma conexo segura entre computadores interligados por uma rede no segura. Permite o acesso remoto a mquinas utilizando tcnicas de criptografia em todo o trfego. Possibilita a operao de um shell remotamente, atravs do qual possvel executar diversas operaes (transferncia de arquivos, execuo de programas, utilizao de servios e recursos). A porta normalmente utilizada para conexes SSH a 22 sobre o protocolo TCP.

15

De acordo com a RFC 4251, o protocolo SSH composto pelo protocolo de camada de transporte (SSH-TRANS), pelo protocolo de autenticao de usurio (SSHUSERAUTH) e pelo protocolo de conexo (SSH-CONNECT). Segundo Barrett e Silverman (SSH: The Secure Shell, the Definitive Guide, ) o SSH-CONNECT prov canais de comunicao criptografada que podem ser utilizados para uma vasta gama de propsitos. A criptografia ocorre de maneira transparente, ou seja, o usurio no percebe que seus dados so criptografados antes do envio e decriptografados ao chegar a seu destino. Modernos algoritmos de criptografia so aplicados nos dados que trafegam por SSH. A maneira mais difundida de utilizao do SSH o terminal remoto, que apresenta a tela (prompt) do computador acessado para que o usurio possa oper-lo. Backup, sincronizao e gerenciamento de arquivos, bem como a execuo de aplicaes e acesso a servios e recursos podem ser executados remotamente via terminal. Barrett e Silverman afirmam tambm que a confiabilidade do protocolo permite que ele seja utilizado em aplicaes crticas de grandes corporaes, garantindo a segurana da transferncia de dados em acessos remotos.

1.2.2 TELNET O propsito do protocolo Telnet fornecer comunicao entre computadores ligados atravs de uma rede. Este protocolo permite que um usurio em determinado site estabelea uma conexo TCP com um servidor login em outro site, segundo o RFC 854. Com isso o protocolo Telnet permite realizar a computao distribuda, podendo compartilhar hardware e software. De acordo com Comer (Interligao em Redes TCP/IP), o protocolo Telnet construdo basicamente por trs (3) idias principais: O primeiro conceito ligar em rede um terminal virtual da rede (Network Virtual Terminal), que serve como interface padro para os sistemas remotos.O segundo conceito relativo as opes negociadas, onde so negociadas as opes e fornecidas como um conjunto de padres. E o terceiro conceito se se refere a uma vista simtrica de terminais e processos, onde quaisquer dos terminais possam negocias as opes. 1.2.3 SMTP O protocolo de aplicao SMTP (Simple Mail Transfer Protocol) regula o envio de mensagens de correio eletrnico na Internet. Sua especificao definida pela RFC 2821. De acordo com Tanenbaun (Redes de Computadores, 2003), a comunicao do protocolo SMTP ocorre na porta 25. Um daemon escuta essa porta constantemente espera de conexes TCP (Transfer Control Protocol) que sero estabelecidas com a finalidade de realizao da transferncia das mensagens. As mensagens recebidas so ento copiadas para as respectivas caixas de correio. Uma mensagem que porventura no venha a ser entregue ocasionar o envio de um relatrio de erros, que contm tambm a primeira parte da mensagem, de volta ao remetente.

16

Segundo a RFC 2821, uma sesso SMTP iniciada quando o cliente (remetente) abre uma conexo com o servidor (destinatrio) e este envia uma resposta de abertura. Ao receber esta mensagem, o cliente envia um comando EHLO, juntamente com sua identificao. A aceitao desse comando por parte do destinatrio indica ao cliente que o servidor aceita servios extendidos do protocolo SMTP. A no aceitao indica que a comunicao dever ser feita sem a utilizao das extenses do protocolo. Para iniciar a sesso no modo no estendido, o cliente encaminha um comando HELO, que o comando de iniciao das verses mais antigas do protocolo. O cliente inicia ento a transferncia da mensagem, informando ao servidor o remetente e o destinatrio. O servidor, por sua vez, realiza uma checagem para confirmar a existncia do receptor em seu domnio. Aps essa confirmao o servidor libera a transmisso da mensagem, cabendo ento ao cliente o envio da mesma. Efetuada a transmisso, e se confirmaes de envio e recebimento tiverem sido enviadas a conexo encerrada. Tanembaun afirma ainda que embora bem definido, o protocolo SMTP apresenta alguns problemas, devido sua implementao feita h muito tempo. O tamanho das mensagens no pode ultrapassar 64kb. Cliente e servidor configurados com timeouts diferentes podem tornar impossvel o envio de uma mensagem. Os servios estendido do protocolo SMTP, citados anteriormente, visam solucionar estes problemas. A utilizao da nova verso, no entanto, facultativa e existe a compatibilidade entre as duas verses.

1.2.4 DNS O DNS pode ser definido como uma distribuio de informaes sobre zonas, ou informaes sobre domnios, numa base de dados em que atravs de um esquema clienteservidor os dados ficam disponveis em toda rede, ou apenas para os agentes autorizados a visualiz-los. As informaes dos bancos de dados so disponibilizados para os clientes atravs dos servidores de nome. As rotinas de bibliotecas que criam consultas e as enviam para um servidor de nome so chamados de solucionadores. Os servidores de nome administram dois tipos de dados, que so os domnios e os dados restritos. A zona basicamente base de dados completa para a ramificao particular de um ponto da rvore DNS, enquanto os dados restritos so adquiridos por um servidor DNS local nico para os servios locais. O banco de dados de uma estrutura do DNS desenhada como uma rvore inversa, onde o n raiz fica no topo com um rtulo que o identificar como pai. O n pode representar uma subrvore que representa uma partio do banco de dados global, e parties podem ser divididas em domnios ou diretrios que so chamadas de subdomnios do DNS e ambos possuem um nome nico. Este nome a seqncia de rtulos do n na raiz do domnio. O banco de dados de um DNS pode ser considerado com um anexo do domnio O domnio pode ser dividido em vrios subdomnios e as responsabilidades destes podem ser divididas em varias organizaes. O domnio contem hosts aos quais so atribudos servios e estes tem um nome de domnio que indica informaes, como por exemplo, endereo IP.

17

Uma organizao que administra o domnio livre para nomear hosts e subdomnios dentro do seu domnio. Em poucas palavras os servidores DNS tem a responsabilidade de lidar com a distribuio do espao do domnio, lidando com os efeitos de fracasso do servidor de nome por consultar base de dados redundantes em outros servidores. 1.2.5 HTTP O HTTP (Hyper Text Transfer Protocol) um protocolo de comunicao (de nvel de aplicao no modelo OSI). Esta em uso desde 1990 com iniciativa de distribuir informao na World Wide Web (www). Este protocolo responsvel pelo tratamento de pedidos/resposta entre cliente e servidor. A primeira verso do HTTP refere-se ao HTTP/0.9, formado pela linguagem HTML para transferncia de dados atravs da internet. Melhorando o desempenho do protocolo HTTP, foi desenvolvido o HTTP/1.0, definido pelo RFC 1945, esta verso permite enviar mensagens no formato MIME, contendo mais informaes dos dados transferidos, permitindo enviar uma solicitao, para que uma nica resposta seja devolvida. H alguns anos, as paginas Web consistia inteiramente de modo HTML, e com o passar dos anos essa filosofia mudou. Hoje uma pgina Web pode consistir de um grande nmero de cones, imagens e outros atrativos visuais, no sendo mais compatvel com o protocolo HTTP/1.0. Para suprir estas necessidades foi desenvolvido um conjunto de implementaes adicionas ao HTTP/1.0, surgindo uma nova verso o HTTP/1.1. Esta verso admite o uso de conexes persistentes, o uso de servidores proxy para um melhor monitoramento do cach, novo mtodos de requisies, entre outros. Com essa verso possvel estabelecer uma conexo TCP, e enviar solicitao e obter uma resposta e depois enviar uma solicitao adicional e obter uma resposta adicional, segundo Tanembaun (Redes de Computadores, 2003). Segundo o RFC 2616, o HTTP/1.1 pode ser usado tambm como um protocolo genrico para a comunicao entre os agentes de utilizadores e proxies/gatewars, ou outros sistemas como SMTP, NNTP, FTP, Gopher e Wais. Desta maneira permite o acesso de recursos de diversas aplicaes.

1.2.6 POP O POP surgiu como uma soluo para estaes de trabalho que no dispe de recursos suficientes para manter um sistema de transporte de mensagem, ele um protocolo utilizado no acesso remoto a uma caixa de correio eletrnico, permite que estaes de trabalho recuperem mensagens de e-mail de um servidor que as armazena. O protocolo POP se inicia quando o leitor de correio iniciado pelo usurio , a ento, se estabelece uma conexo TCP (Transmission Control Protocol) a conexo TCP oferece um fluxo de bytes fim a fim confivel, esta conexo seguida do estado de autorizao que obtm o login do usurio, do estado de transao que responsvel pela coleta de mensagens de correio eletrnico e do estado de atualizao que responsvel

18

pela excluso da mensagem. O POP no tem por objetivo permitir manipulaes de mensagens no servidor. A inteno permitir que as mensagens sejam recuperadas e ento deletadas. A maioria dos programas de correio eletrnico baixa tudo do servidor e esvazia a caixa de correio, mas o POP permiti baixar uma mensagem especfica ou um conjunto de mensagens deixando-as no servidor. O recurso que estabelece filtros muito valioso para o usurio. Quando as mensagens chegam, so submetidas a regras, um exemplo de regra que se pode estabelecer quando uma mensagem de seu superior recebida ela deve ir para uma determinada caixa de correio, enquanto outras mensagens recebidas de amigos so alocadas em uma caixa de correio distinta.

1.2.7 NTP O protocolo de sincronizao de relgio entre computadores NTP (Network Time Protocol), um protocolo que auxilia a sincronizao e coordenao do tempo em uma rede de computadores e a Internet. Para que haja uma sincronizao correta entre os relgios, existe uma hierarquia de nveis, onde cada nvel (stratum) atribudo com nmero. Os primeiros usurios da stratum 1 o nvel mais baixo so sincronizados com os servios nacionais do tempo, ou stratum 0(Dispositivos que podem ser relgios atmicos), os usurios do stratum 2 so sincronizados aos usurios do stratum 1 e assim respectivamente um com o outro. Umas das grandes melhorias da implementao do NTP na rede foi a sincronizao automticas dos relgios e dos equipamentos, assim dispensando o ajuste manual de cada computador ou equipamento.

1.2.8 IMAP O Protocolo de Acesso a Mensagens na Internet (IMAP Internet Message Access Protocol) permite que um cliente acesse e manipule mensagens de correio eletrnico em um servidor. Essa manipulao de mensagens e caixas de correio no servidor acontece de forma equivalente manipulao de pastas e arquivos ou mesagens executada localmente. De acordo com Tanembaun (Redes de Computadores. 2003), o fato de o protocolo POP (Post Office Protocol) permitir que o usurio de um servio de correio eletrnico tenha acesso s suas mensagens por meio do download das mesmas no computador que utiliza, causa alguns transtornos, como o espalhamento das mensagens entre as diversas mquinas ou dispositivos utilizados pelo usurio para acessar seu email. Numa situao como essa a sincronizao dos dispositivos se torna extremamente compicada. Tanembaun afirma ainda que essa desvantagem deu origem a um protocolo alternativo de entrega final, o IMAP, definido na RFC 2060. A premissa que diferentemente do POP, que presume que o usurio deseja baixar suas mensagens a cada

19

contato e acess-las posteriormente off-line, o IMAP proporciona a permanncia dessas mensagens no servidor indefinidamente. O IMAP oferece mecanismos para leitura parcial ou completa das mensagens no servidor, bem como ferramentas para gerenciamento e manuteno dessas mensagens. Um servidor IMAP atua aguardando e atendendo requisies na porta 143.

1.2.9 SNMP O protocolo SNMP (Simple Network Management Protocol) para o gerenciamento de dispositivos em redes foi introduzido com a necessidade de crescimento para um padro para controlar dispositivos do Internet (IP). Esse protocolo permite trs nveis de ao entre o administrador e dispositivo a ser monitorado: Gerencia, Controle e Configurao. Segundo os autores Mauro e Shimidt (Essencial SNMP, 2001) o protocolo foi implementado na rede TCP/IP como padro de gerenciamento por ser simples e de baixo nvel, se comunicando em nvel de aplicativo, com duas funes bsicas, buscar valor de uma varivel ou armazenar um valor em uma varivel, assim definindo o formato da mensagem que trafegam entre o software de gerenciamento e a entidade gerenciada. O SNMP tambm permite que os usurios faam ajustes das operaes, que podem ser feitos pelos administradores nos dispositivos remotamente. Ao longo do tempo foram surgindo verses otimizadas do SNMP. Em sua primeira verso (SNMPv1), consiste apenas ter comandos bsicos, read, write e trap e tambm contem um padro no protocolo SNMP chamado de MIB (Management Information Base), que usavam uma linguagem formal que fornecia uma forma codificada e notao precisa, legvel ao homem para nomes e objeto. Na sua segunda verso (SNMPv2c), foi adicionado o recurso getbulk, que reduziu os pedidos e respostas repetitivas e aumentaram o desempenho para recuperar grandes quantidades de dados, mas com isso o protocolo aumentou sua complexidade. E por fim a terceira verso (SNMPv3), teve melhoras significativas na parte da segurana, como controle de acesso para operaes, alm da implementao multi-lingual (coexistncia entre verses), voltando a sua simplicidade.

1.2.10 HTTPS A World Wide Web (WWW) um sistema distribudo de hypermedia que ganhou a aceitao comum entre os usurios da Internet. O protocolo HTTP o mais usado entre os clientes WWW e servidores. Devido a grande aceitao desse sistema, algumas informaes confidenciais no poderiam circular na Web sem segurana. Ento, utilizando o protocolo HTTP em conjunto com SSL (secure Sockets Layer), foi desenvolvido o protocolo HTTPS, que permite um mecanismo seguro de comunicao entre cliente e servidor. Com isto, muitas aplicaes exigem a autenticao entre cliente e servidor nas transaes de dados confidenciais, mecanismos chaves de gerencia, algoritmos de criptografia, para garantir a segurana das informaes, segundo RFC 2660.

20

1.3 Redes Corporativas

Atualmente, quase impossvel identificar uma empresa, seja ela de pequeno, mdio ou grande porte que no faa uso de redes de computadores, isso porque, as facilidades obtidas com o uso de redes, seja pelo simples fato de poder utilizar uma impressora compartilhada, ou mesmo a troca de arquivos entre os hosts, indiscutvel os benefcios que uma rede de computador pode trazer s empresas. crescente tambm, o nmero sem fim de aplicaes que surgem a cada dia para derrubar servios de redes, roubar informaes e at mesmo, sabotagens. Como a normalizao de redes no uma prtica utilizada em larga escala pelas empresas, fica difcil construir uma aplicao ou sistema de segurana eficiente o suficiente para inibir tais prticas. Cada corporao define seu prprio cenrio de rede, geralmente seguindo os padres e recursos disponveis, porm, desenhando-as conforme suas necessidades. Redes de mdio porte (figuras: img_03, img_04, img_05): Nesses cenrios, normalmente, o nmero significativo de hosts na rede, filiais em algumas cidades ou at mesmo estados, com alguns pontos remotos e acesso externos a rede local por meio de VPN ou outro sistema que permita o acesso a aplicaes e recursos locais mesmo estando em pontos remotos. Grande parte dos servios utilizados de aplicaes desenvolvidas internamente e h um fluxo de informaes relativamente grande exigindo uma equipe interna de TI para o suporte a usurios locais e remotos e manuteno das aplicaes. As aplicaes normalmente so executadas em servidores hospedados em um datacenter local, com nvel de segurana relativamente alto, polticas de back-up e redundncia. Vale ressaltar que nessas empresas h equipes de TI e que geralmente, respondem por oramentos com somas significativas. Redes de grande porte (figuras: img_06, img_07, img_08): Aqui, observamos que as redes construdas, com nmero elevado de hosts, filiais espalhadas por vrios estados ou at mesmo pases, tendo um nmero muito grande de servidores instalados em grandes datacenters fora do site principal da empresa, sendo que o fluxo de informaes elevado e quase todo o acesso a servidores se d remotamente. Vale lembrar que, para a grande maioria das grandes corporaes, sua imagem tem na mdia com notcias negativas, pode afetar sua participao no mercado, causando prejuzos significativos, sendo assim, empresas que esto diretamente ou indiretamente dependentes de sistemas de informao ou da Internet, ficam totalmente expostas a ameaas da rede mundial ou do mal uso de seus recursos por seus funcionrios. Neste ponto, o nvel de segurana aqui utilizado de alto grau de complexidade, com polticas rgidas para alteraes de configuraes, rigorosos procedimentos para acesso a informaes, escalonadas em nveis, poltica de back-up e restore, equipes especializadas em continuidade de operaes e suporte, muitas vezes, equipes essas terceirizadas (outsourcing) por empresas especializadas.

21

Entretanto, grandes solues de segurana pesam na performance da rede, prejudicam o andamento de processos ou atividades que dependem de acesso a informaes que esto em sistemas fora da empresa, em datacenters remotos, em sites de e-commerce, em sistemas web de fornecedores e instituies financeiras. Pesadas regras de firewall e controle de acesso, exigem equipes especializadas, que esto em constante monitoramento do uso da rede e isso implica em equipamentos e softwares cada vez mais especializados, ou o uso de um conjunto de mecanismos para garantir isso, ai temos uma grande amontoado de softwares, hardwares, interfaces de gerenciamento, equipes gigantes para manter tudo isso. Firewalls, IDS/IPS, VPN, Scanners de vulnerabilidade, servidores de autenticao, roteador/switch, antivrus, so apenas algumas das muitas parafernlias que os gestores devem estar prontos para administrar de maneira eficiente a manter a integridade das informaes.

22

2 FIREWALL
1.2 Introduo
No se pode falar atualmente em segurana da informao, sem falar em firewalls, componentes fundamentais em redes de qualquer tamanho pequenas, mdias ou grandes ou at mesmo em nossas casas, podem ter configuraes simples libera e bloqueia estar associado a recursos de anti-spam anti-vrus, ou mesmo possuir recursos mais avanados, tais como algoritmos complexos para montar e desmontar pacotes de dados que por ele passarem, inspecionar praticamente todas as camadas do modelo OSI (ou TCP), validando, conforme um conjunto previamente de regras elaboradas pelo administrador, se um determinado tipo de pacote (dado) poder ou no entrar ou mesmo sair da rede que este protege. Neste captulo, iremos discutir os modelos mais implementados de firewall: stateless, statefull. Iremos abordar tambm dois outros conjuntos de ferramentas que auxiliam o analista de segurana ou a equipe de segurana: IDS e IPS.

1.3 Filtro de Pacote Esttico Stateless

Os usurios das redes de computadores mudaram, bem como o uso que os mesmos fazem da rede. A segurana da rede despontou-se como um problema em potencial. O crescimento comercial assustador da Internet nos ltimos anos foi superado apenas pela preocupao com a segurana deste novo tipo de mdia. O Firewall consiste em um conjunto de componentes organizados de uma forma a garantir certos requisitos de segurana, eles podem ser de dois tipos, sem estado (stateless) e com estado (statefull) Os sem estado (stateless) decidem sobre a passagem ou no de um pacote considerando apenas as informaes carregadas no prprio pacote. Os com estado (stateful) decidem sobre a passagem ou no de um pacote levando em considerao outros pacotes que atravessaram anteriormente o firewall. O tipo mais comum de firewall o sem estado que utiliza usualmente apenas informaes das camadas de rede e transporte. Essa simplificao permite, tornar o firewall mais rpido, independente do protocolo transportado e independente de criptografia e tunelamento. O filtro de pacotes stateless tem sua vantagens e desvantagens. Suas vantagens consiste em possuir um baixo overhead, um custo menor , mais simples e flexvel que o statefull e transparente. J suas desvantagens so permitir conexo externa interna, dificuldade de gerenciamento em ambiente complexos, vulnervel a IP spoofing, no oferece autenticaoe tem dificuldade de filtrar servios com portas dinmicas (RPC, VoIP, ...) Os firewalls sem estado no analisam o protocolo de aplicao para determinar o tipo de servio transportado pelo pacote. A deduo do tipo de servio feito indiretamente pelo campo Protocol Type do IP

23

Enfim o firewall esttico proporciona segurana, simplicidade e eficincia para os menos exigentes. 1.4 Filtro de Pacote Dinmico Statefull Um firewall um programa ou dispositivo de hardware (com um programa embarcado) que filtra os dados que entram ou saem pela conexo de sua rede privada ou conexo com a Internet. Se um pacote oriundo ou com destino Internet identificado como ameaa ao sistema, o firewall no permitir sua passagem. No firewall temos dois tipos de filtro: Esttico e Dinmico. No filtro de pacotes dinmico em um firewall temos a possibilidade de ver as ligaes de uma conexo a outra e determinar quais pacotes podem ser transmitidos na rede, aps gravar os endereos IP e a porta utilizada e a conexo for aceita, o filtro de firewall dinmico pode ter uma segurana mais elevada do que um filtro de pacotes esttico. Isso porque, mantendo um registro de todas as conexes que passam por firewall, possvel determinar aes como: conexes previamente estabelecidas ou solicitadas pela rede protegida, ter o trfego garantido, evitando entradas no permitidas na rede. possvel, com esse recurso, efetuar a inspeo continua dos dados, evitando que pacotes modificados (spoofing) entre na rede e cause danos ou comprometa as informaes que trafegam pela rede. Em outras formas de seguranas o filtro de firewall dinmico permite diferentes tipos de proteo, dependendo de como e onde um sistema se conecta a rede, havendo mais possibilidades de restringir e definir regras para usurios que conectam a Internet, ou menos restritivas para um usurio que conecta em uma rede corporativa. Outra proteo o bloqueio de trfego em redes que contm baixa segurana.

1.5 Sistema de Deteco de Intruses Intrusion Detection System (IDS)

Segundo Cox e Gerg (2004), um sistema de deteco de intruses Intrusion Detection System (IDS) monitora o trfico de uma rede de computadores procurando por atividades suspeitas e alerta o sistema ou o administrador da rede. Um IDS composto por vrios componentes como sensores, um console e um engine central. Os sensores geram eventos de segurana, atuando nas DMZs (Demilitarized Zones Zonas Desmilitarizadas) ou nas bordas de uma rede. O console monitora esses eventos e controla os sensores. O engine central armazena os eventos detectados pelos sensores em uma base de dados e utiliza um sistema de regras para gerar alertas desses eventos. Existem diversas maneiras de se configurar um IDS dependendo do tipo e localizao dos sensores e da metodologia utilizada pelo engine para gerar os alertas. Na maioria das implementaes de IDSs os trs componentes so combinados em um nico dispositivo. O IDS classificado como um sistema passivo, uma vez que ao detectar uma possvel ameaa segurana do sistema, somente armazena os dados relacionados ameaa (log) e envia um alerta ao console. Um sistema reativo, por sua vez, responde atividade suspeita ressetando a conexo ou reprogramando o firewall a fim de bloquear o trfego oriundo da fonte suspeita. Essa reao pode acontecer automaticamente ou sob o comando do administrador da rede. Um exemplo de sistemas reativos so os sistemas de preveno de intruses Intrusion Prevention Systems (IPS).

24

Procurando por atividades suspeitas na camada de aplicao, um IDS fornece um nvel maior de segurana se utilizado em conjunto com um firewall tradicional, que analisa endereos IP e portas. As diferenas entre firewalls, IDSs e IPSs so bem sutis e tendem a se tornar cada vez mais discretas medida que uma ferramenta assume caractersticas da outra, incorporando novas funcionalidades. Os IDSs podem ser classificados em cinco categorias diferentes, que so apresentadas na seqncia. 2.4.1 Network Intrusion Detection System (NIDS) Os sistemas de deteco de intruses de rede so sistemas independentes que identificam ameaas examinando o trfego de toda a rede e monitorando mltiplos hosts. Os NIDSs obtm acesso ao trfego da rede conectando-se a um hub ou switch. 2.4.2 Protocol-based Intrusion Detection System (PIDS) Um sistema de deteco de intruses baseados em protocolos consiste de um sistema ou agente que monitora e analisa o protocolo de comunicao entre um dispositivo e a rede na qual atua. Qualquer anomalia reportada ao console. 2.4.3 Application-Protocol-based Intrusion Detection System (APIDS) Sistemas de deteco de intruses baseados em protocolos de aplicaes consistem de um sistema ou agente que monitora e analisa a comunicao (protocolo) entre aplicaes especficas. Por exemplo, em um servidor web com banco de dados, um APIDS monitoraria as transaes especficas SQL com o banco de dados. 2.4.4 Host-based Intrusion Detection System (HBIDS) Um sistema de deteco de intruses baseado em hosts consiste de um agente em uma mquina da rede, que analisa system calls, logs de arquivos, alteraes no sistema de arquivos (arquivos binrios, arquivos de password, etc.) e outras atividades e estados, tentando identificar intruses. 2.4.5 Hybrid Intrusion Detection System (HIDS) Um sistema hbrido de deteco de intruses combina duas ou mais das abordagens anteriormente descritas. Dados dos agentes dos hosts so combinados s informaes da rede para produzir uma viso mais ampla da situao da rede.

1.6 IPS Sistema de Preveno de Intruses Intrusion Prevention System (IPS)

O sistema de preveno de intrusos Intrusion Prevention System (IPS) tem por finalidade prevenir/evitar ataques ou atividades maliciosas na rede, antes que alcance o seu alvo. Este sistema uma evoluo do IDS (Intrusion Detection System). Ao

25

identificar/detectar um ataque na rede, o IPS executa (atravs de algoritmos) aes para derrubar os pacotes maliciosos e permitir que os outros pacotes inofensivos transitem normalmente na rede. Essas aes so desenvolvidas e podem cancelar a conexo invasora e reconfigurar o firewall para bloquear/interceptar o ataque futuramente. O sistema IPS realiza decises de controle de acesso baseados no contedo na aplicao. Existem dois (2) tipos de preveno de intrusos, so eles: 1 - Host Based, que um software introduzido diretamente em aplicaes ou para ser instalados nos usurios da aplicao, onde hospedam as aplicaes. 2 - In-Line so dispositivos de hardware ou software habilitado a detectar e impedir ataques, verificando anomalias, ou utilizado para filtrar assinaturas baseadas (signature based).

27

3 CONCLUSO

Apresentar concluso do trabalho xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.

REFERNCIAS BIBLIOGRFICAS

BRAGA, A. de P.; LUDERMIR, T. B.; CARVALHO A. C. P. de L. F. Redes Neurais Artificiais. Rio de Janeiro: LTC Editora S.A, 2000. RUSSEL, S.; NORVIG, P. Inteligncia Artificial. 2 ed. Rio de Janeiro: Editora Campus, 2004. WANGENHEIM, C. G. von; WANGENHEIM A. von. Raciocnio Baseado em Casos. 1 ed Barueri: Editora Manole Ltda, 2003. TANENBAUM, A. S. Redes de Computadores. 4 ed. Rio de Janeiro: Editora Campus, 2003.

29

Observaes Quando existirem mais de trs autores, indica-se apenas o primeiro, acrescentando-se a expresso et al. Ex.: URANI, A. et al. Em casos em que a meno dos nomes for indispensvel para certificar a autoria facultado indicar todos os nomes. Em caso de autoria desconhecida, a entrada feita pelo ttulo. Ex.: DIAGNSTICO do Setor Editorial Brasileiro. So Paulo: Cmara Brasileira do Livro, 1993.

Quando houver uma indicao de edio, esta deve ser transcrita, utilizando-se abreviaturas dos numerais ordinais e da palavra edio, ambas na forma adotada na lngua do documento. Ex.: SCHAUM, D. Schaums Outline of Theory and Problems. 5th ed. New York: Schaum Publishing, 1956. PEDROSA, I. Da Cor Cor Inexistente. 6. ed. Rio de Janeiro: L. Cristiano, 1995. No sendo possvel determinar o local (cidade) de publicao, utiliza-se a expresso sine loco, abreviada, entre colchetes [S.l.]. Quando a editora no puder ser indicada, deve-se indicar a expresso sine nomine, abreviada, entre colchetes [s.n.]. Quando o local e a editora no puderem ser identificados, utilizam-se [S.l.:s.n.].

30

GLOSSRIO

Esse item opcional. Se houver glossrio, apresentar depois das referncias.

31

ANEXO A <DESCRIO DO ANEXO>

Destinam-se incluso de informaes complementares ao trabalho, mas que no so essenciais sua compreenso. Os Apndices devem apresentar material desenvolvido pelo prprio autor, formatado de acordo com as normas. J os Anexos destinam-se incluso de material como cpias de artigos, manuais, etc., que no necessariamente precisam estar em conformidade com o modelo, e que no foram desenvolvidos pelo autor do trabalho. A contagem das pginas nos Apndices e Anexos segue normalmente. Nos Anexos os nmeros no precisam ser indicados, a no ser na pgina inicial de cada um. No caso de haver apenas um anexo, no utiliza-se as letras para enumer-los. Usa-se a palavra ANEXO no singular.

32

ANEXO B <EXEMPLO DE FOLHA DE ROSTO>

Xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

APNDICE <DESCRIO DO APNDICE>

Destinam-se incluso de informaes complementares ao trabalho, mas que no so essenciais sua compreenso. Os Apndices devem apresentar material desenvolvido pelo prprio autor, formatado de acordo com as normas. J os Anexos destinam-se incluso de material como cpias de artigos, manuais, etc., que no necessariamente precisam estar em conformidade com o modelo, e que no foram desenvolvidos pelo autor do trabalho. A contagem das pginas nos Apndices e Anexos segue normalmente. Nos Anexos os nmeros no precisam ser indicados, a no ser na pgina inicial de cada um. No caso de haver apenas um apndice, no utiliza-se as letras para enumer-los, A utilizao de letras dispensada. Usa-se a palavra APNDICE no singular.