Todo administrador de sistemas que se preze leva muito a sério o monitoramento do tráfego na rede de computadores. Com intuito de ficar sempre preparado para proteger o servidor dos perigos virtuais, o bom profissional mantém por perto a sua caixa de ferramentas, na qual costuma guardar um imprescindível software chamado Snort.
Trata-se de um programa essencial para a Segurança da Informação. Desde a sua criação, em 1998, por Martin Roesch, arquiteto de segurança chefe da Cisco, ele vem ajudando milhares de empresas a garantirem a integridade, confiabilidade e disponibilidade de seus respectivos dados e infraestruturas de TI.
Até pelo fato de ser um software livre e gratuito, as empresas enxergam no Snort uma oportunidade de unir a redução de custos à alta performance na identificação de intrusões. Por essas e outras, aprender a trabalhar com o Snort é um requisito a quem se interessa pela área
Na mesma medida em que a ferramenta é consideravelmente importante, a sua abordagem é muito, mas muito ampla. Portanto, neste artigo especial, você encontra uma breve introdução ao Snort, cujo objetivo é apresentar as suas funcionalidades, benefícios e oportunidades que oferece.
O que é Snort?
O Snort é um sistema de prevenção a intrusões na rede (intrusion prevention system – IPS) open source, mantido e desenvolvido pela Cisco há cerca de cinco anos. A ferramenta se destaca por sua capacidade de analisar tráfegos em tempo real e registrar pacotes de protocolo TCP (Transmission Control Protocol).
Em função dessa versatilidade, o Snort consegue desempenhar o papel de três tipos de aplicações cruciais para monitorar um servidor. Logo, ele pode ser usado como sniffer de pacotes (de modo similar ao tcpdump), registrador de pacotes e / ou um sistema avançado de prevenção à intrusão.
Muitos profissionais e empresas utilizam o Snort? Bom, de acordo com a Cisco, o software já foi baixado mais de quatro milhões de vezes e há milhares de usuários pelo mundo registrados em seu banco de dados. Será que o sucesso da ferramenta se deve apenas ao que mencionei nos últimos dois parágrafos?
Entendendo a popularidade do Snort
Por que utilizar o Snort em vez de outras ferramentas? Uma empresa de grande porte abriria mão de um sistema comercial e optar pelo Snort? Na verdade, muitas delas, com aval dos especialistas, fazem isso de maneira bastante racional.
As ameaças cibernéticas seguem em franca evolução. Consequentemente, surgem diversas variantes e métodos de invasão cada vez mais engenhosos. Diante do contexto, adicionar o Snort ao mecanismo de segurança da rede é uma medida pertinente e, acima de tudo, preventiva.
Diversas funcionalidades requeridas na prática de hacking ético, por exemplo, são encontradas no Snort, e sem qualquer perda de qualidade em função da gratuidade. Porém há outros fatores que justificam a popularidade do Snort nesse meio.
Contrariando o que se espera de uma ferramenta tão robusta, o Snort é relativamente fácil de configurar — “relativamente” pois o processo requer um pouco de familiaridade e ciência do que está sendo feito. Ao mesmo tempo em que a sintaxe para gerenciamento e criação de regras é descomplicada.
Prova da simplicidade que contrasta com o alto nível dos recursos é que a própria implementação do Snort na rede não impõe sérias dificuldades ao usuário inexperiente, ainda que o processo não seja instantâneo, nem realizável com “somente alguns cliques”.
No mais, a adoção do Snort por parte dos experts se dá, principalmente, por sua altíssima performance como solução IDS. Você sabe o que é isso? Pois bem, vou explicá-lo!
O que é um IDS?
IDS é a sigla para Intrusion Detection System (sistema de detecção de intrusão). Podemos dizer que um IDS representa, em si, boa parte do que expliquei até aqui sobre monitoramento, mapeamento, identificação e notificação de atividades suspeitas.
Numa comparação mais didática, um IDS exerce funções semelhantes a um sistema de vigilância, porém abstrato. Isso porque ambos monitoram, contam com sensores e alertas, e são controlados por uma equipe de pessoas que tomam as decisões cabíveis a cada evento.
É só isso? Definitivamente, não. Há diferentes tipos de sistemas de detecção de intrusão, bem como diferentes modos de uso e funcionamento entre eles. A seguir, confira uma abordagem enxuta sobre essa distinção.
Tipos de soluções IDS
Atualmente dispomos de soluções de IDS baseadas em host (Host Intrusion Detection System – HIDS) ou em redes. A primeira consiste no monitoramento e análise de informações extraídas de um host, atuando como um verificador de registros de logs — útil para atividades forenses (forensics).
Por outro lado, quando baseada em rede (Network Instrusion Detection System – NIDS), o foco é o tráfego e a transferência de pacotes. Percebe certa familiaridade com isso? É nesse modo de funcionamento que o Snort, justamente, se enquadra.
Convém frisar, no entanto, que a implantação simultânea de ambos os modelos de IDS é plenamente concebível. A fusão do HIDS com o NIDS resulta o que chamamos Hybrid Intrusion Detection System, ou seja, um sistema híbrido de detecção de intrusão — muito aplicado à segurança de nuvens privadas.
IDS em modo passivo ou reativo
Há outros fatores além da escolha do modelo de IDS mais adequado a cada situação. A maneira como a ferramenta age mediante suspeita ou intrusão é um detalhe definido em função do modo de utilização, o qual pode ser passivo ou reativo.
O modo passivo funciona da seguinte maneira: ao identificar uma atividade maliciosa, o sistema emite notificações ao administrador que, então, exerce a tomada de decisão. Por padrão, o Snort utiliza do modo passivo — opcionalmente.
Já o modo reativo se encarrega de detectar a intrusão, alertar o administrador e, também, executar uma ação. Como as medidas tomadas pelo IDS são previamente configuradas, o modo reativo, que dispõe de ótimos recursos de prevenção, costuma ser o mais indicado.
Métodos de detecção
Por último (e não menos importante), temos os parâmetros de detecção de ameaças. Quais são esses eles? São os padrões baseados em: anomalias, assinatura, e comportamento. Vejamos do que se trata cada um deles.
A detecção por anomalias é um modo comum em aplicações IDS. Ela consiste em levantar o que há de habitual na rotina dos usuários da rede, resultando na montagem de um perfil comum. Surgindo eventos discrepantes, o sistema identifica a anomalia como potencial intrusão.
O método baseado em assinaturas, por sua vez, toma como alvo atividades que se enquadram ao que o sistema, previamente configurado pelo sysadmin, classifica como maliciosas. Logicamente, a sua efetividade requer conhecimento amplo das ameaças virtuais existentes.
Já a detecção baseada em comportamento identifica os ataques em razão do comportamento do usuário. Uma vantagem do método é a sua flexibilidade estratégica, a qual permite ao administrador definir uma série de pontos que indiquem uma potencial invasão à rede.
Quais são as principais funções do Snort?
Explicadas as características de um IDS, retomemos o foco ao Snort e suas funcionalidades. Vou começar solucionando uma dúvida que certamente ficou no ar: qual o método de detecção é utilizado no Snort?
As ameaças são detectadas pelo Snort por meio de assinaturas — e esta é uma das funcionalidades-chave do programa. Ainda que tal abordagem tenha os seus pontos fracos (como todas as outras), ela funciona muito bem no Snort de modo similar a um antivírus.
Esclarecendo: as assinaturas são criadas pela equipe da Cisco e, posteriormente, transmitidas aos usuários por meio de atualizações. Sendo assim, há uma equipe super qualificada, formada por hackers éticos e especialistas em Segurança da Informação, trabalhando na identificação e no provisionamento de novas ameaças.
O uso de pré-processadores é, também, uma característica importante do Snort. Eles asseguram, por exemplo, a remontagem de pacotes fragmentados, a análise de desempenho e performance, a detecção de dados sigilosos, a normalização de tráfego em várias instâncias, entre outras tarefas cruciais.
Quer saber de outra função interessante do Snort? Lá vai: a ferramenta é integrável a outras soluções de segurança, como o firewall, fazendo com que ele migre de passivo para reativo. Muito legal, não é mesmo?
Até o presente parágrafo você conferiu um apanhado de aspectos do Snort, onde destrinchamos os pontos primários dessa incrível ferramenta. No próximo artigo, ensinarei a fazer a instalação e a configuração do programa em sua distribuição Linux.
Recado importante: se você já se identificou com o universo Linux e está decidido a tornar-se um especialista em Linux, acelere a sua informação acessando a página Profissionais Linux. Te vejo no próximo conteúdo!