Mestrando: Leandro Márcio Bertholdo
Orientadora: Liane M.R. Tarouco
Resumo
CUCO é um protótipo contruido para solucionar problemas que a comunidade em geral, acadêmica ou não, vem enfrentando para manter a integridade, confiabilidade e utilizabilidade das informações e equipamentos sob seu poder. Está também no âmbito deste documento propor uma solução visando aumentar a segurança de redes acadêmicas, onde alternativas como firewalls[1] não são aplicáveis. O alvo deste projeto é a rede da própria universidade, que, seja por suas características inerentemente não restritivas de uso, ou pelo tipo e necessidades dos usuários que a povoam, precisa de monitoração constante. O sistema CUCO apresenta uma maneira de perceber ataques originados interna ou externamente, e possibilitar uma resposta rápida e eficiente antes que danos maiores, sejam causados.
Neste ponto apresenta-se uma filosofia de monitoração, que visa aumentar a segurança e o controle de todas as máquinas e subredes administradas . O sistema CUCO tem por principal objetivo alertar o administrador local sobre a identificação de alterações que possam de alguma forma comprometer a segurança do sistema. Ele tem como meta possibilitar ao administrador tomar através do sistema medidas como uma monitoração mais minuciosa (monitoração shell e tty) visando descobrir qual foi a técnica usada na invasão e possibilitar atitudes emergenciais de forma a impedir que o intruso tome posse do sistema, fornecendo assim o tempo necessário para que a falha na segurança seja sanada.
O sistema CUCO baseia-se em uma filosofia de gerenciamento remoto (SNMPv2) em conjunto com inumeros scripts e programas capazes de captar quando uma das máquinas da rede esteja, por exemplo sendo atacada com uma técnica como SYNflooding.
Também faz parte do sistema a utilização de um esquema de alarmes (traps) SNMPv2 utilizados para o reconhecimento de ações consideradas ou agressivas, ou danosas ao sistema, sendo elas cometidas por um usuário local, ou um hacker remoto. O sistema é concebido para detectar formas de ataque como SNIFFING de rede, ou mesmo a instalação de TRAP-DOORS no sistema.
Além destas características, CUCO implementa um gerenciador de LOGS para examinar as mensagens consideradas perigosas, emitidas por qualquer uma das estações UNIX sobre controle do sistema.
O sistema é capaz de reconhecer e gerar alarmes para tentativas de acesso autorizados, como a que segue:
Além destas características, o sistema também implementa um sistema de reconhecimento e obtenção de informações. Este módulo implementa diversas maneiras de identificar a fonte de um ataque. Para isto o sistema utiliza várias ferramentas normais de obtenção de informação (NSLOOKUP, WHOIS,...) além da possibilidade de RESPONDER A UM ATAQUE, utilizando SCANNING de diversas portas TCP e UDP da máquina atacante. Isto é um informação bastante útil, e que pode ajudar o administrador a paralizar um ataque.