DETECÇÃO E BLOQUEIO DE ACESSOS INDEVIDOS EM SERVIDORES WEB LINUX

DETECÇÃO E BLOQUEIO DE ACESSOS INDEVIDOS EM

SERVIDORES WEB LINUX

Illames Monteiro, Cristiane, Alcy Ney, xxxxxxxxxxxxxxxxxx, xxxxxxxxxxxxxxxxxxxxx, xxxxxxxxxxxxxxxxx,

Resumo

Este artigo descreve o funcionamento de sistemas de detecção e prevenção de invasão e a importância de implantar essas ferramentas em uma rede com acesso para a internet, destacando uma ferramenta adequada para o monitoramento e controle de acessos e apresentando o procedimento de instalação com uma configuração básica. Quanto ao investimento em sistemas de segurança, sabe-se o quanto é importante para se proteger de ataques mal intencionados que resultam em roubo de dados confidenciais, negação de serviços, espionagem e modificação de sites.

Palavras-chave: Web. IDS. IPS. Invasão. Segurança.

Abstract

This document describes the operation of detection systems and intrusion prevention and the importance of deploying these tools on a network with access to the internet, highlighting a suitable tool for monitoring and access control and presenting the installation procedure with a basic configuration. Regarding the investment in security systems, it is known how important it is to protect yourself from malicious attacks that result in the theft of confidential data, denial of service, eavesdropping and modification of sites.

Keywords: Web. IDS. IPS. Intrusion. Security.

1. Introdução

Com a evolução da informática, o mundo ficou cada vez mais dependente dessa tecnologia. Sendo assim, as empresas precisam de sistemas eficientes que na maioria das vezes precisam ser acessados de forma on-line. Com esta necessidade de acesso às informações a qualquer momento de qualquer parte do mundo, surgiram os usuários mal intencionados chamados de Crackers. Estes usuários tentam de diversas maneiras obterem acesso de forma ilegal, ou seja, invadir seu equipamento, e para se proteger destes invasores utilizam-se sistemas de detecção de invasão (IDS) e sistemas de prevenção de invasão (IPS) que, além de detectar uma invasão como o IDS, também bloqueia o acesso do invasor.

Este conceito vem sendo estudado desde os anos 80, mas é muito pouco explorado ainda e merece uma atenção especial, pois se destaca por ser uma ferramenta completa

responsável em monitorar, identificar e notificar ocorrências de atividades anormais e sobre estes dados pode tomar decisões conforme o risco detectado (ANONIMO, 2000).

Utilizando esse conceito, este artigo apresenta uma ferramenta estável e adequada que pode ser implantada numa rede com acesso à internet prevenindo invasões em servidores web baseados no sistema operacional Linux. Assim como qualquer software, as ferramentas disponíveis analisadas neste artigo possuem vantagens e desvantagens, que serão apresentadas ao decorrer do texto. Por fim, a que apresentar as melhores características para o objetivo proposto por este trabalho será adotada para demonstração e análise.

2. Segurança em Redes

Segurança em uma rede significa proteger as informações contidas nela implantando políticas de segurança para se prevenir de

algum incidente que possa ocorrer. Para se ter uma ideia do quanto é necessário utilizar essas políticas, pode-se observar numa estatística lançada recentemente pelo Centro de Estudos, Respostas e Treinamento de Incidentes de Segurança do Brasil

(www.cert.br), que mostra o aumento gradativo dos ataques efetuados nos últimos anos. A figura 1 mostra um gráfico da evolução de ataques efetuados no Brasil.

[pic 1]

Figura 1 – Número de incidentes de segurança da internet no Brasil (CERT.BR, 2014)

Para comprovar e relacionar a importância de uma rede segura com o mundo real são apresentados alguns casos mais comuns:

1. roubo de dados: este tipo de ataque acontece muito atualmente. Os maiores alvos são as instituições financeiras onde o criminoso tenta invadir o servidor com a intenção de obter algum lucro;

1. modificação de sites: geralmente sites do governo são os principais alvos. A intensão do invasor é modificar o conteúdo da página com um assunto bem diferente do que deveria apresentar, chamando assim a atenção de todos;

1. espionagem industrial: este tipo de ataque tem como principal objetivo roubar informações confidenciais da empresa alvo. Por exemplo, o invasor tenta roubar informação de uma determinada empresa e vende estas informações confidenciais para uma empresa concorrente, obtendo lucro com o crime;

1. ataque DoS (Denial of Service): este tipo de ataque tem a finalidade de tornar os recursos de um servidor web indisponíveis. Sites do governo são grandes alvos. Ao indisponibilizar determinados serviços o criminoso pode causar consequências graves como parar o trabalho ou o faturamento de uma empresa;

1. ataque DDoS (Distributed Denial of Service): este tipo de ataque tem a finalidade de tornar os recursos de um servidor web indisponível com a ajuda de vários computadores distribuídos ao redor do mundo e que estejam conectados à Internet. Estes computadores, chamados de zumbis, atacam simultaneamente o seu alvo (o servidor web) deixando este indisponível por não suportar essa sobrecarga;

1. ataque por scan: este tipo de ataque faz varredura de todas as informações que trafegam numa determinada rede com o intuito de identificar quais computadores e ou serviços estão ativos. Com esse procedimento, o invasor além de obter informações da rede e de seus usuários, pode destruir seus serviços ou atacar outros alvos a partir da sua máquina sem que ele

seja descoberto.

Com esses exemplos, têm-se os motivos para que se procure ter uma rede o mais segura possível. E para isto, precisam-se adotar ferramentas automatizadas e inteligentes que detectam tentativas de invasão em tempo real, chamadas de sistemas de detecção de invasão (Intrusion Detection System – IDS). Quando se deseja além de detectar um alerta de invasão, também atuar sobre ele, bloqueando o acesso do intruso, utiliza-se outra ferramenta em conjunto chamada de sistemas de prevenção de invasão (Intrusion Prevention System – IPS).

...