General
Snort: ferramenta livre garante segurança na Rede Serpro
Este "open-source" monitora o tráfego de pacotes em redes IP, realizando análises em tempo real sobre diversos protocolos (nível de rede e aplicação) e seus conteúdos (hexa e ASCII). Outro ponto positivo desse software é o grande número de possibilidades de tratamento dos alertas gerados.
O Grupo de Resposta a Ataques do Serpro tem no Snort um importante aliado na análise do tráfego de redes internas da Empresa, na detecção de tráfego relacionado com pragas virtuais - adicionando uma camada extra ao sistema de antivírus corporativo - e aplicações que não são autorizadas pela política de segurança institucional.
Segundo Jone Freire, analista de redes do Serpro, ao utilizar uma ferramenta livre desta natureza, o Serpro promove uma grande economia de recursos públicos: "O custo para aquisição de uma solução proprietária similar alcança a ordem dos milhões de reais".
Conhecimento para a comunidade
Freire salienta que além de utilizar a ferramenta e as assinaturas disponibilizadas pela comunidade de usuários, o Serpro também desenvolve, a partir da análise de programas maliciosos em laboratório, novas assinaturas para o Snort. Destaque para a divulgação da assinatura do UltraSurf: “Essa assinatura, desenvolvida pelo Serpro, foi pioneira, pois não existia no banco de assinaturas do Snort uma regra capaz de identificar a utilização do UltraSurf, que estava causando transtorno em todo o mundo. Essa regra já foi publicada na Emerging Threats, que atualmente é a segunda mais importante lista de assinaturas do Snort, sendo que a detentora da primeira posição fica com a SourceFire, Empresa que financia e controla o desenvolvimento da ferramenta”, explica o analista.
Para o diretor de operações do Serpro, Nivaldo Venâncio da Cunha, a Empresa pratica a filosofia do software livre, compartilhando e acrescentando conhecimento para beneficiar os usuários. "A relação de troca de conhecimentos com a comunidade traduz uma interação constante: é um dar e receber diário de conhecimentos. O Serpro incentiva suas áreas técnicas a intensificarem essa participação com as comunidades de software livre", destaca.
Ultrasurf
O UltraSurf é um software desenvolvido pela empresa UltraRech, que permite aos usuários em redes com controle de acesso burlar a política de segurança de acesso à Internet. A ferramenta utiliza um túnel criptografado, via porta TCP 443, em direção a máquinas disponíveis na Internet que funcionam como saída: cogita-se na Comunidade que são máquinas invadidas.
Não há como garantir que o tráfego direcionado através do túnel não seja capturado e analisado nestas máquinas. Além disso, como o UltraSurf é uma ferramenta proprietária, seus códigos fontes não estão disponíveis, e existe a possibilidade de permitirem que atacantes tenham acesso a rede interna através do túnel.
Novos projetos livres no Serpro
Atualmente o Serpro testa a implementação do Snort In-line, que irá atuar com a detecção e prevenção de intrusão, ou seja, permitirá bloquear acessos indevidos em tempo real e de forma mais eficiente. A maior dificuldade nesta solução é encontrar um hardware que possa garantir baixas taxas de atraso e não cause impacto negativo no desempenho das redes locais.
Também encontra-se em fase de estudos, o desenvolvimento de um Datawarehouse de alertas do IDS e do Antivírus e a avaliação em laboratório do OSSIM, solução livre que permite correlacionar alertas de diferentes fontes e funciona como um sistema de suporte à decisão.
Comunicação Social do Serpro - Brasília, 10 de setembro de 2008