Um estudo de caso sobre a implantação de um ambiente de prevenção de intrusões com a ferramenta Suricata

  • Gabriel Marvel Vaz UFSM
  • Tiago Antonio Rizzetti UFSM
  • Walter Priesnitz Filho UFSM

Resumo


Neste artigo é apresentado um estudo de caso sobre a implantação de um ambiente de prevenção de intrusões em uma rede de computadores de uma instituição de ensino. A arquitetura adotada baseou-se em utilizar um Network Intrusion Prevention System (NIPS) em conjunto com Host Intrusion Prevention System (HIPS), a fim de detectar e bloquear ataques destinados à rede. O software Suricata foi configurado inline, filtrando o tráfego da rede. Para visualização dos logs, a pilha Elasticsearch, Logstash e Kibana (ELK) foi configurada em conjunto com a ferramenta Synesis, permitindo a visualização dos dados através de uma interface Web. Com isso, foi possível detectar e bloquear ameaças, dentre elas varreduras, comunicações originadas por hosts maliciosos entre outras. A partir disso, foram tomadas ações como a adição de novas regras de firewall, criação de uma blacklist, dentre outras medidas que contribuíram para elevar o nível de segurança da rede.

Palavras-chave: Intrusões, rede, ameaças, segurança

Referências

Amazon (2021). The ELK stack. Acesso em 07 jun. 2021. Disponível em: https://aws.amazon.com/pt/elasticsearch-service/the-elk-stack/.

CERT.br (2021). Incidentes Reportados ao CERT.br - 2020.

COWART, R. (2020). synesis™ Lite for Suricata. Acesso em 07 jun. 2021. Disponível em: https://github.com/robcowart/synesis_lite_suricata.

Farhaoui, Y. (2016). How to secure web servers by the intrusion prevention system (ips)? International Journal of Advanced Computer Research, 6:65–71.

Kak, A. (2021). Lecture Notes on “Computer and Network Security”. Purdue University.

Kaspersky (2016). Host-based Intrusion Prevention System (HIPS).

Kirstens, Wichers, Jkurucar, and Kingthorin (2021). Intrusion Detection. Acesso em 14 jul. 2021. Disponível em: https://owasp.org/www-community/controls/Intrusion_Detection.

Meeks, B. (2017). Suricata STREAM Alerts. Acesso em 13 jul. 2021. Disponível em: https://forum.netgate.com/topic/114340/suricata-stream-alerts/3.

Morais, G. (2011). ANÁLISE E IMPLEMENTAÇÃO DE SISTEMAS IDS E IPS. UNIVERSIDADE DE LISBOA, page 71.

Mota Filho, J. E. (2018). IDS / IPS para a segurança em redes. In 15º Congresso Latino-americano de Software Livre e Tecnologias Abertas (15º LATINOWARE)., Foz do Iguaçu.

Proofpoint (2020). ET Category Descriptions. Acesso em 13 jul. 2021 Disponível em: https://tools.emergingthreats.net/docs/ETPro%20Rule%20Categories.pdf.

Stallings, W. and Brown, L. (2014). Seguranc¸a de Computadores: Princípios e Práticas. Elsevier, Rio de Janeiro.

Suricata (2021). Setting up IPS/inline for Linux. Acesso em 01 jul. 2021. Disponível em: [link].

Utimura, L. N. and Costa, K. A. (2018). Aplicação e Análise Comparativa do Desempenho de Classificadores de Padrões para o Sistema de Detecção de Intrusão Snort. Anais do XXXVI Simpósio Brasileiro de Redes de Computadores e Sistemas Distribuídos.

Wong, K., Dillabaugh, C., Seddigh, N., and Nandy, B. (2017). Enhancing suricata intrusion detection system for cyber security in scada networks. In 2017 IEEE 30th Canadian Conference on Electrical and Computer Engineering (CCECE), pages 1–5.

Xing, T., Xiong, Z., Huang, D., and Medhi, D. (2014). Sdnips: Enabling software defined networking based intrusion prevention system in clouds. In 10th International Conference on Network and Service Management (CNSM) and Workshop, pages 308–311.
Publicado
04/10/2021
VAZ, Gabriel Marvel; RIZZETTI, Tiago Antonio; PRIESNITZ FILHO, Walter. Um estudo de caso sobre a implantação de um ambiente de prevenção de intrusões com a ferramenta Suricata. In: WORKSHOP DE TRABALHOS DE INICIAÇÃO CIENTÍFICA E DE GRADUAÇÃO - SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 21. , 2021, Evento Online. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2021 . p. 256-263. DOI: https://doi.org/10.5753/sbseg_estendido.2021.17358.