A gerencia na gesto de ferramental da segurana de redes de

computadores atualmente est servida de diversas ferramentas para o

profissional de redes.
Ressalto que no ser abordada em momento algum do texto instalaes
pois no o foco deste documento acadmico.
Cabe a ele conhecer a ferramenta saber qual delas se adequa a tais
situaes e aplicar para que se tenha um ambiente monitorado 100% mais
no 100% seguro, pois infelizmente isso ainda no possvel.
Deve-se ter a conscincia que nem toda soluo por mais cara que seja,
torna-se a melhor possvel. Temos diversos cenrios em que basta uma
pequena soluo open source para resolver, assim como as vezes
necessrio uma soluo paga para resolver tal situao.
Nesta pesquisa serei direto no que tange a premissa do assunto aqui em
questo Ferramentas Open Source x Ferramentas Proprietrias para
segurana de redes.
Vamos iniciar com as Open sources intercalando com solues pagas
corporativas e faremos as comparao assim teremos um bom panorama
do que podemos oferecer aos nossos clientes ou implementar em nosso dia
a dia de trabalho, falaremos aqui das seguintes: SNORT, GFI LanGuard, PF
Sense ........ NAGIOS, ZABBIX,

Snort para que serve tal ferramenta?

Est ferramenta se baseia em IDS Intrusion Detection System sistema de

deteco de intruso. Carinhosamente chamada de Honey poty ou pote de
mel onde o administrador cria um falso ambiente ao atacante para que o
mesmo ache que esteja fazendo um ataque ao alvo quando na verdade est
sendo monitorado pelo administrador. E quais ataques pode se monitorar:
ataques baseados em servio, port scans, ataques CGI, ataques pelo
Samba (smb) e vrios outros ou at monitoramento do trfego da rede.
Quais informaes ele pode nos fornecer?
Quantas tentativas de ataque sofremos ao dia.
Que tipo de ataque estamos sofrendo.
De onde vem os ataques.
Ferramentas de IDS se classificam em 2 tipos so elas: NDIS e HDIS
NDIS Sistemas de Deteco de Intruso de Rede.
Nesta modalidade a funo principal capturar os pacotes que vem na rede
e analisar os mesmos reportando a um servidor central onde o admin da
rede vai tomar as providncias cabveis. Pode-se tambm colocar pontos
estratgicos na rede para que se possa fazer um monitoramentos mais

crtico esses pontos so colocados em modo silencioso ou stealth. Isso

dificulta a vida do atacante.
SNORT atua na camada de rede 3 e 4, e com isto possvel ele ter uma
observao histrica dos possveis ataques a rede.

Vantagens de se utilizar o Snort em sua rede que seu impacto bem

pequeno, quase zero na rede no que tange os horrios de pico hora em que
o trafego se torna intenso. Bem configurado e administrado pode se
monitorar grandes redes, mais grandes at que tamanho?
Desvantagem que caso seu trfego de rede comece a aumentar de forma
vertiginosa seu IDS tenha um grande problema em processar seus trafego
para gerar um relatrio eficiente.
Se estiver gerando dados criptografados tambm ser uma problemtica
para o admin. No caso de VPNs. Ele tambm no diz se foi com sucesso o
ataque, apenas APONTA O FATO OCORRIDO.
Pacotes fragmentados podem travar o SNORT pois ele no sabe trabalhar
com esse tipo de pacote.
Exemplo bsico de funcionamento do SNORT

http://www.vivaolinux.com.br/artigo/Deteccao-de-intrusos-(IDS)-conceitos-e-implantacao-doSNORT?pagina=2

HIDS - Sistemas de Deteco de Instruo de Host

Ao contrrio do NDIS o HDIS que trabalha diretamente no host, ele analisa
quais processos esto sendo executados para o ataque no S.O do host.
Podemos ter um gerenciamento centralizado gerando relatrios que so
compatveis com sistemas de gerenciamento de rede.
Vantagens de se usar HIDS que ele detecta um ataque que um IDS de
rede NDIS no detectaria, trabalha em um ambiente de rede onde seu
trafego criptografado. O ideal usar o HIDS em nvel de S.O assim os
Trojans podem ser detectados facilmente.

Desvantagens do HDIS que se o atacante conseguir acesso de elevao de

privilgios ele pode desabilitar as funcionalidades da ferramenta. Com isso
possvel fazer um ataque a rede pois o mesmo no vai conseguir detectar
tal ataque.
O hardware deve ser robusto ter configurao digamos razovel pois ser
consumido um grande recurso de processamento do host.

Concluso pessoal sobre o uso do SNORT

Este sistema se baseia em modelos um que trabalha em rede outro que
trabalha em cima de hosts, funciona a soluo? A resposta seria SIM. Sendo
que o admin deve ter em mente o que foi falado no incio do texto levar
em considerao o cenrio tecnolgico que se tem para administrar.
OBS: Mesmo sendo uma ferramenta open source existem verses para
Windows no caso somente o cliente pois o monitoramento totalmente
baseado em LINUX.

Agora vou citar uma ferramenta que em parte acho interessante ao nvel do
SNORT falarei do GFI LANGUARD. Diferente do SNORT o GFI ele escaneia as
vulnerabilidades da rede, seria como um mapeador de Elos fracos na sua
rede pontos de vulnerabilidade. Essas vulnerabilidades so causadas por
falhas dos sistemas instalados no parque de informtica da sua rede.

GFI LANGUARD

uma soluo proprietria para ambiente Windows onde funciona

perfeitamente bem. Sua principal funo detectar as vulnerabilidades e as
corrigi-las reduzindo assim o custo de tempo de servio em atualizaes.
possvel administrar equipamentos como tablets celulares que estejam
conectados em sua rede, faz atualizaes em Windows Linux e Mac OS. Seu
poder de auditoria na rede bem expressivo, possvel ver o nvel em que
se encontra a vulnerabilidade devido ele ter parcerias com diversas
empresas de segurana. Isso antes de ocorrer um ataque que explore essa
vulnerabilidade na rede.
O administrador utilizando-se do GFI consegue ter a viso de quais
aplicativos instalados em cada mquina da rede, com isso possvel fazer
progresses futuras sobre determinados ataques.
Vantagens de se usar GFI Languard : Manter a rede segura por longo
tempo atravs de administrao segura das atualizaes, possvel
escalonar o nvel de vulnerabilidades da rede em diversas plataformas. Os
agentes trabalham nos host escanceando atrs das vulnerabilidades onde
se conectam em um console central.

Seu poder de analisar vulnerabilidades em diversas plataformas dentre elas

CISCO, HP, 3Com , Dell, SonicWALL, Juniper, NETGEAR, Nortel, Alcatel, IBM,
D-Link y e Linksys.
Auditoria de rede inteligente onde e configurvel o estado mnimo de
segurana, ainda se pode comprovar dispositivos USB conectados,
compartilhamentos abertos.
O GFI gera relatrios que esto em conformidades com os principais
quesitos de segurana: PCI-DSS, HIPAA, CIPA, SOX, etc.

Desvantagens do GFI uma ferramenta proprietria custo de licena de uso

no funciona em plataformas Linux, apenas gerenciam workstations e
servers no quesito vulnerabilidades no muito, digamos floridos os
relatrios diferentes de outras plataformas Microsoft que muito
interessante.

Screenshot do console de gerenciamento intuitivo com diversas informaes

Concluso pessoal sobre o uso do GFI LanGuard

Se a predominncia na rede Windows e a empresa dispe de uma
ferramenta de fcil aprendizado e deployment, de uma certa forma fcil
tambm onde no requer tcnicos com vasta experincia e dispe de uma
boa quantia para investir no vejo problemas para ser utilizada.

Bibliografia

http://www.snort.org.br/comofuncionaids.php
http://www.vivaolinux.com.br/artigo/Deteccao-de-intrusos-(IDS)conceitos-e-implantacao-do-SNORT?pagina=2