DETECÇÃO DE ATAQUES DE PORT SCAN EM UM AMBIENTE DE REDES DEFINIDAS POR SOFTWARE UTILIZANDO OS IDS SNORT E SURICATA.

Gustavo Rossi, Charles Varlei Neu

Resumo


As redes definidas por software representam um novo paradigma em redes de computadores, que foram desenvolvidas a partir da atual necessidade das redes de computadores. Com ela é possível simplificar as operações, reduzir custos e acelerar a entrega de serviços. Este novo modelo que possibilita o gerenciamento logicamente centralizado, traz uma visão e controle unificado dos dispositivos, e isso independente do fabricante, porque a inteligência da rede não fica no próprio dispositivo, mas sim em um controlador externo a ele. Embora esta nova arquitetura de redes seja muito promissora, existem aspectos que precisam ser levados em consideração, como o de prover segurança contra ataques, que aumentam no decorrer dos anos. Estes ataques em redes de computadores normalmente são precedidos por outro tipo de ataque, chamado de varredura, ou port scan. Esse tipo de ataque é realizado para obter informações sobre o alvo e tem os maiores índices reportados ao Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Os IDS’s exploram várias maneiras de detectar diferentes tipos de ataques. A maneira com a qual o IDS detecta o ataque é chamada de método de detecção, que são geralmente classificados em duas categorias principais: baseados em assinatura e métodos baseados em detecção de anomalias. Uma das principais preocupações nos IDS’s são as mudanças nos padrões de ataque e a detecção de novos ataques. Sendo as redes definidas por software, uma arquitetura de redes promissora, ao mesmo tempo em que prover segurança à informação, mantendo os seus pilares, é algo fundamental, torna-se necessário utilizar métodos para identificar os ataques, mesmo sendo eles em fase inicial, como no caso de ataques de port scan. Assim, este trabalho procura fazer a verificação da eficácia dos sistemas de detecção de intrusão Snort e Suricata em redes definidas por software, quando atacada por tentativas de port scan. Para isso, será utilizado um ambiente de testes não simulado, utilizando um comutador com firmware modificado. Será necessária a configuração dos hosts que serão conectados ao switch, um na posição de atacante, outro na de função de alvo. Duas portas do switch serão configuradas com a técnica de espelhamento, a fim de que todo o tráfego que for direcionado à porta do alvo, será também direcionado às portas dos dois IDS’s, que serão configurados com as regras de detecção disponibilizadas pela comunidade dos softwares. Após todas as configurações, os ataques com a ferramenta NMAP serão colocados em prática, ou seja, as técnicas de exploração TCP SYN serão utilizadas em uma varredura vertical no alvo, sendo analisado o funcionamento do Snort e Suricata simultaneamente, para que os dois tenham o mesmo tempo para a detecção dos ataques. Por fim, será analisada a eficácia de detecção dos ataques realizados, a partir dos logs dos sistemas IDS coletados e calculadas as taxas de detecção e o número de falsos negativos, que serão comparados entre os dois IDS’s.

Apontamentos

  • Não há apontamentos.