| |
| Acadêmico(a): Paulo Fernando da Silva |
| Título: Protótipo de Software de Segurança em Redes para a Monitoração de Pacotes em uma Conexão TCP/IP |
| |
| Introdução: |
| A segurança dos dados tanto pessoais como corporativos deve ser um fator seriamente analisado quando se decide estabelecer uma conexão com a Internet. Na Internet os dados trafegam por comutação de pacotes. Estes pacotes podem passar por diversas rotas entre a origem e o destino e estas rotas podem não apresentar qualquer tipo de segurança, mas não existe apenas o risco dos dados serem interceptados entre a origem e o destino de uma transmissão, existe um outro problema que pode ser considerado ainda mais grave, é o caso de uma pessoa acessar remotamente serviços ou dados sem autorização. Bernstein (1997) cita cinco categorias comuns de ameaças apresentadas ao se estabelecer uma conexão com a Internet. Dentre estas categorias pode-se destacar duas que se caracterizam pelo acesso não autorizado a serviços e dados particulares, as quais são: a) ameaças à rede corporativa: consiste no acesso de intrusos a componentes da rede corporativa interna de computadores (este acesso pode ser obtido através de serviços disponibilizados para a Internet que podem causar graves falhas de segurança); b) ameaças aos servidores da Internet: consiste em um intruso entrar em um servidor Internet e ler ou até mesmo modificar arquivos armazenados no servidor. Existem várias formas de ataques conhecidas em que pessoas obtêm acesso não autorizado a serviços ou dados. Entre eles pode-se citar ataques baseados em senhas, em que o intruso tenta obter senhas de usuários legítimos para obter acesso a serviços ou dados que só eram autorizados ao usuário legítimo, ou ainda para se fazer passar por outro usuário. Spoofing de IP, é um ataque que interfere no estabelecimento da conexão entre um cliente e um servidor, de forma a infiltrar informações falsas de conexão para obter acesso não-autorizado. Seqüestro de Sessão, intercepta uma conexão já estabelecida para obter acesso não-autorizado, semelhante ao Spoofing de IP. Estes pontos vulneráveis citados acima e muitos outros podem ser usados para permitir inúmeras ações não autorizadas incluindo o uso de serviços, o acesso a sistemas de arquivos de importância crítica, o acesso a dados do usuário ou programas e privilégios de acesso. Ferramentas de monitoração são importantes, pois através delas pode-se determinar com grande rapidez se ouve realmente uma invasão à rede interna e quais os danos causados por esta invasão, auxiliando o administrador de rede a tomar providências para que os danos causados pela invasão sejam contidos o mais rápido possível. O funcionamento de um monitor de pacotes consiste basicamente em interceptar pacotes que trafegam entre o meio interno e externo de um determinado host e armazenar dados sobre estes pacotes para posterior análise. Mas além de simplesmente armazenar dados o monitor de pacotes pode ser implementado para alertar situações de perigo, como uma conexão não prevista ou indicar situações novas, como um endereço IP que nunca havia se conectado à rede. Podem também existir opções para a exibição de dados dos pacotes, com vários níveis de abstração para que possam ser melhor interpretados. Para que um pacote possa ser interpretado pelo monitor é necessário que se entenda como este está organizado. TCP/IP (Transmission Control Protocol/Internet Protocol) é o conjunto de protocolos que rege a Internet, portanto todos os pacotes que trafegam na Internet estão dispostos conforme as especificações do protocolo TCP/IP. O protocolo TPC/IP opera através da utilização de uma pilha de protocolos. Essa pilha é a soma de todos os protocolos necessários para transferir os dados entre dois computadores. Portanto para analisar os pacotes em uma conexão com a Internet é fundamental o domínio do conjunto de protocolos TCP/IP. O protótipo desenvolvido por este trabalho é um monitor de pacotes aplicado a um host conectado à Internet através de um acesso discado, utilizando para tanto o protocolo PPP (Point to Point Protocol). O host disponibiliza serviços para a Internet os quais estarão sendo monitorados pelo monitor de pacotes. Quando algo suspeito ocorrer, conforme configuração do administrador de rede, o monitor de pacotes deverá emitir um alerta. |
| |
|
