Este documento apresenta e analisa ferramentas de segurança para redes de computadores com o objetivo de assegurar a informação em ambientes computacionais. Estuda o Nessus Vulnerability Scanner, Untangle Gateway Platform, Plax Network Suite e outros sistemas, destacando suas funcionalidades para proteger e administrar redes de maneira a evitar que fatores internos e externos prejudiquem a segurança da informação.
ATIVIDADE 2 - DESENVOLVIMENTO E APRENDIZAGEM MOTORA - 52_2024
artigo ferramentas de gerenciamento de redes
1. Segurança em Redes de Computadores: estudo e análise de
ferramentas computacionais
Dayanne Melo
Douglas Ribeiro
Mauricio Moda
Pablo Hamburgo
Raimundo de Souza Albarado
Stalin Belo
Thiago Ernesto Magro
Thiago Moura
Universidade Federal do Para (UFPA)
Resumo. A infomação é o capital mais importante e valorizado no mercado de trabalho, assegurar
essa informação em um ambiente computacional tem se tornado uma tarefa desafiadora para os
profissonais deste setor, este artigo tem como objetivo assegurar que essa essa informação circule e
chegue sem problemas ao seu destino para isso sera demonstrado como é possivel chegar a essa
meta utilizando ferramentas que se encaixam muito bem em um ambiente corporativo.
1Introdução
A utilização de redes de computadores no cenário mundial não para de crescer. Hoje a comunicação
de dispositivos em rede está praticamente em todas as empresas do mercado. Essa comunicação,
por fio ou sem fio (wireless), é responsável em armazenar, fornecer e compartilhar quase que
totalmente todas as informações, serviços e recursos uteis para a empresa. Existe uma pessoa que é
responsável em manter essa rede sempre funcionando e com disponibilidade para qualquer
utilidade. Essa pessoa é chamada de administrador da rede. Ele deve ter todo o conhecimento
necessário para solucionar todos os problemas que possam prejudicar o bom desempenho da rede.
Administrar uma rede de computadores não é tarefa fácil, exige conhecimento, dedicação e
além disso boas tecnologias devem estar disponíveis. São várias as atividades necessárias para
administrar uma rede, mas a principal certamente diz respeito a segurança. Foram pesquisados
diversos software que ajudam a manter a rede segura, evitando que fatores do ambiente externo e
interno prejudiquem a rede.
Será apresentado o Nessus Vulnerability Scanner 4.0.2 que uma Ferramenta de segurança
que busca por vulnerabilidades na rede. O Untangle Gateway Platform 7.0.1 que é um sistema que
oferece um conjunto com vários aplicativos para você proteger e administrar sua rede. O Plax
Network Suite 2.7 que é uma ferramenta para monitoramento e gerenciamento das atividades online
do seu computador. O TRAFip, BotHunter e outros sistemas serão também apresentados com
destacamento para suas funcionalidades e aplicações. É importante lembrar que todos esse sistemas
caminham para o mesmo lado que é oferecer segurança na rede.
2.Objetivo
Aperfeiçoar o gerenciamento de redes de computadores;
Sugerir, avaliar e implantar softwares de redes de computadores apropriadas de acordo com suas
2. necessidade e peculiaridades.
Escolher, avaliar e aplicar a configuração de segurança mais adequada com softwares disponíveis
na internet.
Fornecer condições, aprimorar e dinamizar o nível de segurança corrente, acompanhando o
surgimento das inovações tecnológicas.
3. Ferramentas
3.1 Untangle Gateway Platform
A Untangle Gateway Platform foi fabricada pela empresa norteamericana Untangle que foi pioneira
no desenvolvimento de uma plataforma de segurança de rede em código aberto (open source). Seus
aplicativos são voltados para medias e pequenas empresas.
A Untangle Gateway Platform é disponibilizada comercialmente em código aberto como o
objetivo de simplificar as atividades de monitoramento da rede através de um conjunto de vários
aplicativos que ajuda a proteger uma rede por meio do bloqueio de spam, spyware, vírus, adware e
conteúdo indesejado na rede, além de oferecer uma alternativa gratuita e melhor aos caros e
inflexíveis dispositivos proprietários.
Hoje as aplicações da Untangle são utilizadas em centenas de empresas dos mais diferentes
segmentos do mercado, entre eles os serviços financeiros, ramo imobiliário, educação, biociência e
serviços profissionais. [http://www.kaseya.com.br/partners/tap.aspx].
Atualmente, mais de um milhão de computadores são protegidos pelas soluções de
segurança da Untangle. Para rodar os aplicativos em um ambiente de até 50 usuários, por exemplo,
basta ter um micro com configuração equivalente a um Pentium 4 com 1 Gb de memória, 80 Gb de
disco e duas placas de rede. [http://WWW.linhadecodigo.com.br/Noticicia.aspx?id=1488].
Têmse aqui algumas funcionalidades [http://www.gatewayuntangle.com.br/]
3.1.1 Filtro Web:
O Filtro Web do Untangle possibilita ao administrador de redes o uso de políticas de acesso
juntamente com a monitoração do comportamento de usuários sem a necessidade de instalação de
nenhum programa no cliente. Ele auxilia o Administrador a:
Proteger a sua rede de malwares da Internet;
Cortar desperdícios de tempo em sites de relacionamento como Orkut;
Economizar banda de internet bloqueando downloads de vídeos e áudio;
Aplicar políticas de acesso, proibindo sites com conteúdo pornográfico, drogas, violência e outras
categorias.
3.1.2Firewall Avançado:
O firewall é responsável por traçar fronteiras entre o ambiente externo e o interno de sua empresa.
Com essa funcionalidade é possível:
Bloquear portas indevidas de entrada, para maior segurança;
Designar quais sistemas e serviços (http, ftp, etc) estão disponíveis para uso;
Controlar tráfego por protocolo, endereço de origem, endereço de destino e porta;
3.1.3 Antivírus:
3. Com esse recurso é possível:
Protege os emails (SMTP, POP, IMAP);
Protege os sites, webmail e transferência de arquivos (HTTP, FTP);
Fazer relatório de bloqueio.
3.1.4 Filtro AntiSpam:
O Bloqueador de SPAM auxilia os Administradores no controle de spam no gateway da rede,
filtrandoos antes que eles cheguem aos usuários.
3.1.5 Relatórios:
Fornecem ao administrador a visibilidade e os dados necessários para investigar incidentes de
segurança, assim podendo impor políticas de utilização da rede aceitáveis. É possível assim saber
fluxos do trafego da rede, relatórios em formato HTML e PDF.
3.1.6 Prevensão contra Invasões:
Bloqueia hackers antes que haja invasões em sua rede. Com isso é possível contar com atualizações
automáticas da base contra invasão.
3.1.7 Controle de Protocolo:
Traz mais produtividade para a empresa, fazendo a filtragem de aplicações como peertopeer, jogos
online, entre outros.
3.1.8 Prevensão contra Ataques:
A ferramenta de prevenção contra ataques, bloqueia ataques do tipo DoS (Denial of Service). Assim
você terá 24 horas de proteção contra ataques DoS.
3.1.9 Bloqueador de Spyware:
Com essa ferramenta é possível:
Prevenir a instalação de Malwares para usuários que navegam em sites maliciosos;
Bloquear a execução de códigos ActiveX;
Gerar relatórios em tempo real de detecções e bloqueios.
3.1.10 Filtro de Phishing:
Está funcionalidade ajuda os Administradores de Redes na:
Proteção contra emails falsos e sites de fraude;
Proteção a múltiplos protocolos, incluindo HTTP, SMTP, POP e IMAP;
3.1.11 OpenVPN:
OpenVPN fornece acessos remotos seguros à rede interna da empresa a fim de:
Fazer configurações básicas através de um assistente;
Gerar certificados personalizados para cada cliente;
Distribuir facilmente o software do cliente via download ou email.
4. 3.1.12Rotas e Qos:
Com este recurso é possível criar tarefas de encaminhamento ou simples passagens de tráfego com
uma bridge transparente. Assim você poderá configurar NAT,DNS e DHCP Server, além de
priorizar o tráfego da rede para algum tipo de serviço com a utilização do QoS.
3.2Comodo Firewall
3.2.1Definições e conceitos
Firewall é uma medida de segurança com o objetivo de limitar ou impedir o acesso de terceiros a
uma determinada rede ligada á internet. A implementação deste mecanismo pode envolver
ferramentas de hardware ou de software ou mesmo uma combinação de ambos, os quais no limite,
podem impedir qualquer ligação entre a rede interna e outras redes externas. O comodo é um
firewall gratuito e muito conceituado, considerado um dos melhores da atualidade pelo seu alto
nível de detecção, e sua atualização de banco de dados ser muito eficaz, veja os resultados
divulgados (http://forums.comodo.com):
3.2.2Configurações e Funcionalidades
O Comodo Firewall é um programa gratuito e fácil de usar, para baixar basta entrar no site
www.baixaqui.com.br, a sua instalação também foi feita para que usuários sem muita experiência
consigam fazerla sem dificuldades, pois a fabricante do produto fez todos os tipos de testes e
atribuiu uma configuração expressa muito eficiente, embora para usuários experientes e com
necessidades diferentes a configuração manual é mais recomendável.
Depois de instalado o programa vai oferecer uma interface que vai te oferecer acesso fácil as
ferramentas,o comodo firewall já vem muito bem configurado porém existe um problema que deve
ser corrigido após a sua configuração inicial, sempre que algum programa for se conectar a internet
o firewall vai perguntar se deseja continuar para tirar essa funcionalidade é preciso configurar na
aba security para que os browsers tenham acesso sem interrupções, esse mesmo processo deve ser
feito caso outros programas que acessem a internet forem utilizados.
Depois dessa configuração inicial existe uma ferramenta chamada Activity com ela é
possível identificar os programas que estão usando a internet e quais portas estão sendo usadas no
momento, o trafego que cada programa está utilizando e ainda que tipo de protocolo esta sendo
usado. Essas ferramentas existem para proporcionar uma facilidade na hora do gerente monitorar e
controlar o acesso de programas a seu computador e a rede que está conectada, para garantir que
não haja qualquer desperdício de banda ou que os usuários acessem a locais inapropriados a política
adotada pela rede inicialmente pelo gerente da rede.
Outra funcionalidade desenvolvida deste programa é chamada security. Ela está entre a aba
activity e summary, dentro dessa aba vai estar disponível a opção Component Monitor ela mostra
todos os arquivos que estão sendo carregados na memória, tendo especificações de qual é o
componente que esta acessando, da versão do arquivo, da empresa que desenvolveu, a descrição, e
clicando encima do item de interesse é possível conseguir uma análise mais aprofundada do
aplicativo.
Além dessas vantagens o comodo oferece alternativas de bloqueio de portas muito úteis para
computadores que compartilham documentos sigilosos e importantes, por exemplo com ele é
possível bloquear a porta 135 que é a porta de acesso remoto dos computadores, podendo assim
5. impedir a porta mais utilizada pelos crackers para roubar arquivos ou prejudicar alguma
funcionalidade da rede.
3.3BotHunter Software de Segurança de Rede
Quando se fala de Bots de Redes falase ainda de uma enorme ameaça na Internet apesar de todas as
evoluções. Eles normalmente são criados com o uso do computador antigo e worms que exploram
novas vulnerabilidades de segurança. Um software de segurança de rede como BotHunter pode ser
útil para determinar se uma rede de computadores esta comprometida através da análise da
comunicação na rede local.
BotHunter é uma ferramenta de vigilância passiva de rede concebida para reconhecer os
padrões de comunicação de computadores infectados com malware dentro do perímetro da rede[1].
Esta ferramenta gratuita monitora a sua rede em busca de botnets e tráfego característicos de outros
malwares.
Simplificadamente, o botHunter é um IDS (Snort tradicional), porém este acrescenta alguma
assinaturas e plugins (préprocessadores) desenvolvidos, especificamente, com algoritmos que tem
o objetivo de traçar o comportamento de tráfego característico de uma botnet.
Embora o BotHunter tenha sido desenvolvido como um software de segurança de rede,
também pode ser usado para analisar um único computador ou rede doméstica básica, porém a
maioria dos usuários domésticos só terão de fornecer um IP local da rede.
Instalado, o BotHunter fará analise do computador da rede em intervalos de dois minutos e exibir
qualquer potencial infecção na interface.
3.4 Plax Network Suite 2.7
No experimento foi empregada a ferramenta Plax Network Suite 2.7, uma ferramenta para
monitoramento e gerenciamento das atividades online do seu computador, usada no Sistema
Operacional Windows XP/Vista/2000.
3.4.1 Funcionalidades
A ferramenta Plax Network Suite 2.7 verifica todos os aplicativos que estão usando sua conexão,
seja para transmitir ou receber dados; e caso seja necessário, bloqueia todas as conexões com a
internet em um único clique.
Existe a opção para ocultar seu endereço de IP: o software bloqueia todas as conexões PING
dirigidas ao seu computador, se você pode configurar seu computador para bloquear a resposta de
ping, ele deve eleva o nível de segurança do seu computador, entretanto, a funcionalidade mais
popular do programa é a existência de um scanner com a exibição de um relatório de todas as portas
de conexão abertas (TCP/IP e UDP) e do mapeamento da aplicação proprietária. Isso pode ser
usado para identificar rapidamente pontos abertos desconhecidos e suas aplicações associadas.
3.4.2.Utilização
6. Utilizando a figura acima serão relatas as cinco funções básicas da ferramenta Plax Network Suite
2.7:
Primeira, habilitar e desabilitar o firewall do XP;
Clicase com o mouse no botão de menu, o qual o ícone é um x em vermelho esse ativará o
firewall do XP, pois na posição atual da figura encontrase desativado.
Segunda, bloquear todo o trafego do computador com a rede;
Essa ação e desencadeada no ícone de cor azul com um cadeado ao centro,quando acionado
fica com a cor de fundo laranja, e para desbloquear basta pressionálo novamente.
Terceira, bloquear o ping;
Acionase pressionando o ícone do cadeado, o terceiro ícone da esquerda para direita, este
quando ligado fica com a alça do cadeado aberta, e impede o ping ocultando o IP da maquina
hospedeira.
Penúltima função, relaciona todas as aplicações em que estão envolvidas as maquinas, as portas e
os protocolos usados;
È atualizada a lista todas as vezes que pressionado a menu com ícone de um monitor verde.
Quinta e ultima função, scanner;
Faz uma varredura de todas as portas de X a Y selecionadas pelos usuários ou apenas uma
única porta selecionada pelo usuário, no final exibe um relatório com os mesmo atributos da função
anterior.
Em alguns casos foi utilizado também a ferramenta Wireshark como complemento da
aplicação na confirmação de alguns protocolos.
3.5Comodo Internet Security
3.5.1Descrição
A empresa Comodo, famosa pelos seus produtos para segurança de computadores, juntou dois
grandes produtos, o Comodo Firewall e o Comodo Antivirus, para formar a suíte Comodo Internet
Security, que tem a função de proteger o seu Windows contra pragas virtuais, ataques externos e
roubo de informações via internet
3.5.2 O antivírus
7. O Comodo antivírus Suporta verificação de pastas e arquivos usando o botão direito do mouse,
com a possibilidade de escanear os dispositivos removíveis como Cd's, DVD's, drives externos,
dispositivos USB, câmeras digitais, além dos arquivos comprimidos. Um ponto forte dele é o
assistente para proteção de pastas e arquivos, que permite a você selecionar seus dados mais
importantes e protegêlos contra modificação ou contra acesso
3.6Nessus Vulnerability Scanner 4.0.2
Nessus é uma ferramenta profissional para fazer diagnósticos de rede em um ambiente corporativo
ou pessoal onde existem possíveis vulnerabilidades de segurança. O software possui um conjunto
completo de recursos capazes de fazer uma varredura em cada equipamento da rede de
computadores.
O produto é dividido em duas partes: servidor e cliente. Primeiramente, o usuário deverá
instalar a versão do servidor no computador que faz a conexão da rede e, em seguida, instalar o
cliente onde deseja acessar as funcionalidades.
3.6.1 Funcionalidades
As funcionalidades do programa incluem diversas políticas de varredura que permitem identificar
uma gama enorme de problemas em uma rede. Além disso, ele faz diagnósticos de todos os dados
técnicos da rede, do hardware e dos softwares que as máquinas possuem.
3.7Ethereal
3.7.1 Funcionalidades
O Ethereal é um poderoso sniffer,ele pode ser usado tanto para proteger seu sistema quanto para
roubar dados dos vizinhos, uma faca de dois gumes, por isso ele é às vezes visto como uma
"ferramenta hacker" quando na verdade o objetivo do programa é dar ao usuario o controle sobre o
que entra e sai da sua máquina e a possibilidade de detectar rapidamente qualquer tipo de trojan,
spyware ou acesso não autorizado.
A ferramenta Ethereal é usada por profissionais de networking em todo o mundo.O seu
código aberto permite que muitos profissionais da comunidade de networking adicionem novas
funcionalidades e melhoramentos. A ferramenta funciona em todas as plataformas, incluindo Linux
e Windows.
O Ethereal possibilita a criação de filtros, para mostrar o que se deseja com sintaxe
aprimorada em relação aos outros analisadores de tráfico de rede.Também, a captura dos pacotes é
feita com a biblioteca pcap. A sintaxe do filtro de captura segue as regras desta biblioteca.
O Ethereal é um programa com tantas funções que o usuario só consegue aprender
realmente usando. Para começar, nada melhor do que capturar alguns pacotes. Através do Capture >
Start, e aparecerá uma janela como esta:
8. Na janela aparece ainda as opções de captura. A primeira opção importante é a "Capture
packets in promiscuous mode", onde o ususario decide se quer capturar apenas os pacotes
endereçados à sua própria máquina, ou se quer tentar capturar também pacotes de outras máquinas
da rede.
Isto é possível pois os hubs tradicionalmente apenas espelham as transmissões, enviando
todos os pacotes para todas as estações. No início de cada pacote vai o endereço MAC do destino.
Este é o endereço físico da placa de rede, que ao contrário do IP não pode ser facilmente alterado.
Normalmente a placa escuta apenas os pacotes destinados a ele, ignorando os demais, mas no
promiscuous mode ela passa a receber todas as comunicações, destinadas à todas as placas.
Em seguida, tem a opção "Update list of packets in real time". Ativando esta opção os
pacotes vão aparecendo na tela conforme são capturados, em tempo real. Caso contrário o usuario
precisa capturar um certo número de pacotes para só depois visualizar todo o bolo.
Mais abaixo estão também algumas opções para interromper a captura depois de um certo
tempo ou depois de capturar uma certa quantidade de dados. O problema aqui é que o Ethereal
captura todos os dados transmitidos na rede, o que pode rapidamente consumir toda a memória
RAM do micro.
Dando o OK será aberta a tela de captura de pacotes, onde pode acompanhar o número de
pacotes capturados:
9. O Ethereal pode ser usado também pelo lado negro da força. Se você estiver numa rede
local, com micros ligados através de um hub, outro usuário pode usar o Ethereal para capturar todas
as suas transmissões. No screenshot abaixo está uma mensagem do ICQ capturada. Na janela
principal do Ethereal é possível ver qual é o emissor e o destinatário da mensagem (tanto o IP
quanto o número do ICQ) e usando o "Follow TCP Stream" é possível ver a transmissão em sí:
Alguns trechos são ilegíveis que incluem os dados usados pelo protocolo, mas no meio tem
as mensagens exibidas em texto plano. No caso aparece apenas um "Sorria, esta mensagem está
sendo monitorada pelo Ethereal", mas numa situação real o Ethereal exibiria toda a conversação,
mesmo que esta durasse horas.
Claro, além de mensagens do ICQ o Ethereal pode interceptar mensagens de email
(incluindo login e senha), dados transmitidos via Web ou FTP, seções de Telnet (novamente,
incluindo login e senha) e assim por diante.
Isto é EXTREMAMENTE perigoso. Qualquer um, que tenha a chance de plugar um
notebook na rede e pegálo de volta depois de algumas horas poderá capturar dados e senhas
suficientes para comprometer boa parte do sistema de sua empresa. Apenas conexões feitas através
do SSH e outros programas que utilizam encriptação forte estariam a salvo.
Naturalmente, além de alguém de fora, existe a possibilidade de um dos seus próprios
funcionários resolver começar a brincar de script kiddie, pregando peças nos outros e causando
danos.
11. http://www.pcforum.com.br/cgi/yabb/YaBB.cgi?num=1168098444, Acessado em 1 de novembro
de 2009.
http://www.babooforum.com.br/forum/TutorialDoComodofirewallPro30t649295.html,
Acessado em 04 de novembro de 2009.
http://www.exitoit.com.br/trafipferramentadegerenciamentodetrafegodaredeslaview
ferramentadeavaliacaodedesempenhodarede.php, Acessado em 31/10/09.