SISTEMA DE DETECÇÃO DE INTRUSÃO REATIVO PARA REDES GERENCIADAS COM MIKROTIK ROUTEROS
Resumo
Sistemas de Detecção de Intrusão, ou Intrusion Detection System - IDS - são ferramentas complementares à segurança de sistemas operacionais ou de redes de computadores. Estes sistemas têm por objetivo identificar tentativas de ataques à estrutura que estão destinados a monitorar. Além de monitorar eventos de ataque ao sistema/rede, um IDS deve gerar alertas ao administrador do sistema/rede para que sejam tomadas as providências cabíveis para a solução dos problemas. Apesar de ter como objetivo principal o monitoramento, um IDS pode ainda ser integrado a outros mecanismos de proteção, como por exemplo, a um sistema de firewall, onde passa a atuar de forma combinada, podendo assim reagir a um ataque. Apesar da possibilidade de integração com um firewall, nativamente, isto somente é possível com a utilização de complementos, também conhecidos como plugins. Essa integração entre IDS e firewall também não é algo universal e compatível com todo e qualquer sistema de firewall, como é o caso do sistema de gestão e controle de redes Mikrotik RouterOS. O Mikrotik RouterOS é um sistema de gerência e controle de pequenas, médias e grandes redes de computadores, desenvolvido e mantido pela Mikrotik. No que diz respeito a IDS, um dos mais conceituados é o IDS SNORT. Esse possui um mecanismo de detecção baseado em regras de detecção. Tais regras possuem assinaturas de ataques conhecidos, isto é, um conjunto de caracteres que identificam um ataque. Essas regras podem ainda ser customizados pelo administrador do sistema. O IDS SNORT possui aproximadamente 4 milhões de downloads e 500 mil usuários registrados, sendo considerado um dos IDS mais utilizados no mundo. Apesar desta ampla utilização, o IDS não possui uma integração nativa com sistemas de firewall, tão pouco com o sistema Mikrotik RouterOS. Para realizar esta integração, se faz necessário um sistema intermediário que possibilite que os registros das detecções de ataques realizadas pelo IDS se transformem em regras de proteção no módulo de firewall do sistema Mikrotik RouterOS. O presente trabalho propõe a implantação do IDS SNORT como ferramenta de detecção de ataques e o desenvolvimento de um sistema intermediário que possibilite a integração do IDS ao módulo de firewall do sistema de gerenciamento e controle de redes Mikrotik RouterOS. Para isso, serão utilizados os log de registros gerados pelo IDS SNORT como base de informações necessárias para elaborar regras de controle de acesso à rede, pois através destes é possível identificar endereços de host de origem, destino, porta e protocolos utilizados durante o ataque. Desta forma, utilizando estas informações, regras de controle para proteger uma rede contra novos ataques detectados é possível, pois o sistema de firewall do Mikrotik RouterOS utiliza estas mesmas informações para realizar o controle do acesso à rede. Para aproximar ao máximo esta proposta de uma aplicação real, será utilizado como ambiente de desenvolvimento e avaliação o tráfego de rede real de um prestador de serviço de acesso à internet. Para validar esta proposta, serão comparados os registros de detecções de intrusão realizados pelo IDS com as regras de controle inseridas no módulo de firewall do sistema Mikrotik RouterOS, identificando e comparando os endereços de origem, destino, portas e protocolos utilizados.
Apontamentos
- Não há apontamentos.