A Complexidade da Segurança de Redes Atuais
A salvaguarda de redes tornou-se um encargo de crescente complexidade nos últimos anos, impulsionada pela proliferação de ameaças como o *phishing*, ataques persistentes avançados, *doxing* e técnicas de mascaramento. Tais artimanhas dificultam a distinção entre instruções legítimas de gestores remotos e tentativas de fraude. Neste contexto, a segurança de redes transcende as tradicionais barreiras contra espionagem na internet e bloqueio de vírus com *firewalls*. É imperativo agora analisar padrões de tráfego e identificar ações atípicas, mesmo quando executadas por usuários autorizados.
Antigamente, o departamento de TI gozava de amplos privilégios administrativos, permitindo que qualquer membro da equipe de suporte acessasse todos os cantos do sistema corporativo. Os riscos de exposição de dados são agora muito maiores. Até mesmo transgressões não intencionais de confidencialidade podem resultar em litígios dispendiosos, movidos por aqueles cujos dados pessoais são armazenados em seu sistema. O novo cenário exige o reforço dos direitos de acesso e o rastreamento rigoroso de todas as atividades, tanto para prevenir e registrar ações maliciosas quanto para evitar danos acidentais.
Felizmente, os modernos equipamentos de rede oferecem sistemas de mensagens integrados que podem ser aproveitados por meio da instalação de agentes de coleta e software de análise. O mercado de segurança de redes disponibiliza diversas categorias de monitores que auxiliam na proteção da sua empresa contra roubo de dados e outras atividades maliciosas.
Neste guia, exploraremos as seguintes categorias de software para gestão de redes:
| Analisadores de Tráfego |
| Gerenciadores de Logs |
| Scanners de Vulnerabilidades |
| Gerenciadores de Configuração |
| Monitores de Rede |
| Sistemas de Detecção e Prevenção de Intrusão |
Abaixo, apresentamos nossa lista de soluções de segurança de redes de excelência:
- SolarWinds Network Performance Monitor
- WhatsUp Gold
- TrueSight Network Automation / Network Vulnerability Management
- OSSEC
- Sagan
- Paessler PRTG
Mais detalhes sobre cada uma dessas opções serão abordados na próxima seção deste guia.
Analisando as Soluções de Software de Segurança de Rede
As soluções nesta lista abrangem diversas ferramentas abrangentes de gerenciamento de rede que atuam tanto como monitores de desempenho de rede quanto como rastreadores específicos de problemas de segurança. Os três destaques da lista são o SolarWinds Network Performance Monitor, WhatsUp Gold e Paessler PRTG. Cada um desses pacotes pode ser expandido para incluir diversas funcionalidades adicionais. A arquitetura dessas ferramentas também possibilita a limitação de sua funcionalidade, direcionando-as para tarefas específicas, como o monitoramento de segurança. O OSSEC e o Sagan são sistemas de detecção de intrusão altamente conceituados, enquanto o pacote TrueSight oferece uma excelente combinação de recursos de proteção de rede.
Esta lista inclui opções adequadas para redes de pequeno, médio e grande porte.
1. SolarWinds Network Performance Manager (TESTE GRATUITO)
O gerenciador de desempenho de rede é a principal ferramenta oferecida pela SolarWinds. Ele monitora a integridade dos dispositivos de rede através de mensagens do Simple Network Management Protocol (SNMP). Como todos os equipamentos de rede são compatíveis com SNMP, basta instalar um gerenciador SNMP, como esta ferramenta da SolarWinds, para aproveitar as informações fornecidas por esse protocolo.
Obtenha um teste gratuito em https://www.solarwinds.com/network-performance-monitor/
A ferramenta possui uma função de autodescoberta e mapeamento, que cria um inventário dos seus equipamentos de rede. A função de descoberta é executada continuamente, detectando novos dispositivos adicionados à rede. Esta é uma ajuda valiosa para a detecção de intrusão, já que invasões de hardware são uma forma de intrusão. Os recursos de inspeção profunda de pacotes do Network Performance Monitor também auxiliam na proteção da rede, identificando e rastreando comportamentos anômalos nos padrões de tráfego e na atividade do usuário.
A SolarWinds oferece várias outras ferramentas de gerenciamento de rede que aprimoram as capacidades do Network Performance Monitor em relação ao monitoramento de segurança. Um NetFlow Traffic Analyzer examina os fluxos de tráfego na sua rede e inclui recursos de monitoramento de segurança. Isso engloba o rastreamento de tráfego malformado e potencialmente mal-intencionado para a porta de rede 0. Além desses recursos de monitoramento, as visualizações de tráfego e os alertas de anomalias ajudam a identificar atividades incomuns.
O painel desta ferramenta oferece uma ótima visualização de dados em tempo real e também armazena dados de pacotes para análise histórica. A ferramenta possui várias opções para captura de pacotes, incluindo métodos de amostragem que reduzem a quantidade de dados que você precisa armazenar para análise. Caso não tenha orçamento para o SolarWinds Network Performance Monitor e o NetFlow Traffic Analyzer, você pode experimentar o Real-time Bandwidth Monitor gratuito. No entanto, esta ferramenta possui recursos limitados, sendo adequada apenas para pequenas redes.
Para obter informações mais detalhadas sobre as atividades do usuário, você pode adicionar o User Device Tracker. Este recurso permite que você rastreie a atividade do usuário e monitore eventos da porta do *switch*, incluindo tentativas de *hackers* de varrer as portas. A ferramenta também pode fechar portas e bloquear usuários seletivamente caso seja detectada uma intrusão.
Recursos adicionais do portfólio da SolarWinds podem ser integrados ao monitor, visto que a empresa criou uma plataforma comum para todas as suas principais ferramentas, permitindo o compartilhamento de dados e módulos interdisciplinares. O Network Configuration Manager seria uma boa adição para questões de segurança, pois controla as configurações do seu equipamento de rede. Ele também procura atualizações de *firmware* e as instala, o que é uma tarefa fundamental para a segurança dos sistemas de TI.
A SolarWinds oferece várias ferramentas gratuitas que podem auxiliar no controle da segurança de sua rede, incluindo o pacote Solar-PuTTY. Este é um emulador de terminal seguro para permitir que você acesse servidores remotos com segurança. Ele também inclui uma implementação de SFTP que pode ser usada para fazer *backup* e distribuir imagens de configuração do dispositivo, uma alternativa econômica ao Network Configuration Manager para redes pequenas com orçamentos limitados.
O servidor *syslog* Kiwi é outra ferramenta de segurança útil da SolarWinds que pequenas organizações podem usar gratuitamente. Não é necessário pagar pela ferramenta se estiver monitorando até cinco dispositivos. A ferramenta também é adequada para redes maiores, mas, nesse caso, será necessário pagar. O gerenciador de *log* também coleta e armazena mensagens SNMP, e você pode definir alertas sobre os volumes dos tipos de mensagens. Este é um recurso muito útil se você não tiver um gerenciador de rede baseado em SNMP. Os alertas destacarão ataques de volume e tentativas de quebra de senha de força bruta. A ferramenta também pode detectar surtos incomuns no tráfego e atividades suspeitas do usuário.
2. WhatsUp Gold
O WhatsUp Gold é um concorrente do SolarWinds Network Performance Monitor. Produzido pela Ipswitch, também oferece vários módulos complementares que aprimoram os recursos de monitoramento de segurança do WhatsUp Gold. Este monitor de rede destaca comportamentos incomuns ao monitorar *switches* e roteadores com o sistema de mensagens SNMP. O console permite configurar alertas personalizados que fornecem avisos sobre picos de tráfego e atividades ilógicas do usuário.
Os alertas são exibidos no painel do sistema e podem ser enviados como notificações por e-mail ou SMS. É possível direcionar notificações diferentes para distintos membros da equipe, conforme a origem e a gravidade da mensagem. Uma ferramenta complementar gratuita, o Servidor de *syslog* do WhatsUp, aprimora as informações que você pode obter das mensagens do sistema e também cria alertas personalizados. As mensagens do *syslog* podem ser exibidas no console, encaminhadas para outros aplicativos e armazenadas em arquivos. O servidor gerencia os arquivos *syslog* em uma árvore de diretórios lógica para facilitar a recuperação de mensagens específicas. As mensagens arquivadas podem ser lidas novamente no painel para análise. A interface também permite classificar e filtrar mensagens, possibilitando a identificação de padrões de comportamento e detecção de atividades anômalas.
O WhatsUp Gold oferece diversos aprimoramentos pagos que aumentam seu poder de monitoramento de segurança. É recomendável adicionar o módulo Gerenciamento de tráfego de rede para obter informações sobre o fluxo de dados em sua rede. Enquanto o pacote principal do WhatsUp Gold se concentra no *status* dos dispositivos, o módulo de Gerenciamento de Tráfego coleta informações de fluxo de dados. Este módulo inclui recursos de marcação de tráfego para implementações de QoS. Ele pode dividir o relatório de volume de tráfego por dispositivo de origem e destino, por país e domínio de origem e destino, por conversa, aplicativo, protocolo ou número de porta. Esse nível de detalhe o ajudará a rastrear atividades incomuns e até mesmo bloquear determinados aplicativos, como utilitários de transferência de arquivos em caso de emergência.
O módulo Gerenciamento de configuração de rede o ajudará a controlar quaisquer alterações nas configurações de seus dispositivos de rede. Alterações não autorizadas nas configurações do dispositivo geralmente são um sinal de intrusões e ameaças persistentes avançadas. Isso ocorre porque os *hackers* podem abrir portas e bloquear funções de relatórios que indicariam atividades não autorizadas. É necessário criar uma política para cada tipo de dispositivo, marca e modelo, e criar um perfil de configuração padrão para cada grupo. O complemento WhatsUp Network Configuration Management permite distribuir imagens de configuração padrão, fazer *backup* de configurações aprovadas e reverter para essas configurações padrão caso alguma alteração de configuração seja detectada.
As ferramentas pagas do WhatsUp Gold podem ser acessadas gratuitamente por 30 dias. Todo o software WhatsUp Gold é instalado no ambiente Windows.
3. TrueSight Network Automation / Network Vulnerability Management
Esses dois produtos da BMC Software combinam-se para criar um kit de ferramentas de segurança realmente abrangente. A ferramenta de automação de rede monitora sua rede após descobrir, registrar e mapear todos os seus equipamentos. O módulo de gerenciamento de configuração do pacote Network Automation é o recurso mais impressionante deste sistema de monitoramento de rede. Ele integra modelos, ou “políticas”, que implementam automaticamente os padrões de segurança. Existe uma política para cada um dos padrões conhecidos: NIST, HIPAA, PCI, CIS, DISA, SOX e SCAP. Portanto, se você precisa aderir a um desses sistemas de integridade de dados, a ferramenta de automação de rede até mesmo o implementa por você.
O gerenciador de configuração do TrueSight Network Automation ajusta a configuração de cada dispositivo de rede para que esteja em conformidade com a política selecionada. Em seguida, ele faz *backup* dessa configuração e monitora quaisquer alterações nas configurações do dispositivo. Se forem feitas alterações que desviam o dispositivo da conformidade com a política, o gerenciador de configuração recarrega o arquivo de configuração de *backup*. Esta ação elimina essas alterações não autorizadas. O sistema Network Automation também é um gerenciador de *patches*. Ele se mantém atualizado com os sistemas de notificação dos fabricantes de equipamentos para *patches* e atualizações de *firmware*. Assim que um *patch* estiver disponível, a ferramenta o notifica e até mesmo implementa as atualizações em seus dispositivos de rede.
O utilitário Network Vulnerability Management verifica todos os dispositivos em busca de vulnerabilidades. O sistema se baseia em verificações com notificações de fornecedores e no Banco de Dados Nacional de Vulnerabilidades do NIST para registrar pontos fracos conhecidos nos equipamentos de rede e nos servidores que você opera. Por fim, a ferramenta atualiza o software para bloquear *exploits* e monitorar o desempenho de dispositivos e servidores.
4. OSSEC
OSSEC significa Open Source HIDS Security. Um sistema HIDS é um sistema de detecção de intrusão baseado em *host*. A detecção de intrusão tornou-se uma especialização essencial no mundo da segurança de rede, sendo imprescindível instalar um IDS como parte do seu pacote de segurança.
Os dois grandes atributos do OSSEC são que ele é o HIDS líder disponível e é totalmente gratuito para uso. O produto pertence e é suportado pelo conhecido produtor de software de segurança, Trend Micro. As metodologias HIDS dependem do gerenciamento de arquivos de *log*. O interrogatório correto dos arquivos de *log* deve revelar ações de *hackers* para explorar seu sistema, roubar dados e recursos. É por isso que os *hackers* sempre alteram os arquivos de *log*. O OSSEC cria uma soma de verificação para cada arquivo de *log*, permitindo detectar adulteração. A ferramenta monitora arquivos de *log* que registram transferências de arquivos, atividade de *firewall* e antivírus, *logs* de eventos e *logs* de servidor de correio e *web*. É necessário configurar políticas que ditam as ações do utilitário. Essas políticas podem ser criadas internamente ou adquiridas da comunidade OSSEC. A política estabelece as condições que o OSSEC deve monitorar, gerando um alerta se um dos *logs* monitorados exibir atividade não autorizada. Esses alertas podem ser enviados para a interface ou por meio de notificações por e-mail.
Se você instalar o sistema no Windows, ele monitorará o registro em busca de alterações não autorizadas. Em sistemas do tipo Unix, ele rastreará o acesso à conta *root*. O OSSEC pode ser executado em Windows, Linux, Mac OS e Unix.
O OSSEC é uma excelente ferramenta de coleta de dados, mas seu *front-end* é um produto separado e, na verdade, não é mais suportado. Como este HIDS é tão respeitado, vários fornecedores de software criaram interfaces compatíveis com os formatos de dados OSSEC. Muitas dessas interfaces são gratuitas. Portanto, você instala o OSSEC e um *front-end* de outra fonte para visualização e análise de dados. Verifique o Kibana ou o Splunk para essa função.
5. Sagan
Sagan é um gerenciador de arquivos de *log* gratuito. Ele possui várias funções que o tornam um bom sistema de detecção de intrusão baseado em *host*. O Sagan também é capaz de analisar dados coletados por sistemas de detecção de intrusão baseados em rede. Um NIDS coleta dados de tráfego através de um *sniffer* de pacotes. O Sagan não possui um *sniffer* de pacotes, mas pode ler dados de tráfego coletados por Snort, Bro e Suricata – todos de uso gratuito. Deste modo, você obtém uma combinação de atividades de segurança HIDS e NIDS com o Sagan.
Você pode instalar o Sagan em Unix, Linux e Mac OS. Infelizmente, não há versão para Windows. Apesar de não poder acessar computadores usando o sistema operacional Windows, ele pode processar mensagens de *log* de eventos do Windows. Os métodos de processamento do Sagan distribuem sua carga por vários servidores ou qualquer outro equipamento em sua rede que possua um processador. Isso alivia a carga de processamento em cada equipamento.
A ferramenta inclui recursos que a transformam em um sistema de prevenção de intrusões (IPS). Após detectar um comportamento anômalo, o Sagan pode gravar em suas tabelas de *firewall* para banir endereços IP específicos da rede, de forma permanente ou temporária. Esta é uma ótima ferramenta para a segurança de redes, pois implementa banimentos de IP automaticamente e mantém o sistema disponível para usuários legítimos. O Sagan simultaneamente gera um alerta para informá-lo sobre a intrusão. As ações de prevenção não precisam ser implementadas caso você queira usar o Sagan apenas como um IDS.
Para fins de relatório, o Sagan possui um bom recurso que rastreia endereços IP suspeitos até sua localização. Essa pode ser uma ferramenta muito útil para rastrear *hackers* que utilizam vários endereços diferentes para tentar evitar a detecção. O Sagan permite agregar a atividade da rede por localização do endereço IP de origem, unificando assim todas as ações de um meliante usando diversos endereços.
6. PAessler PRTG
O Paessler PRTG é um sistema de monitoramento robusto que opera através de uma série de sensores. Cada sensor monitora um atributo específico de uma rede. É possível reduzir o escopo da ferramenta de monitoramento, focando em apenas um aspecto da sua infraestrutura através da ativação de sensores específicos. O sistema monitora dispositivos de rede, tráfego de rede, aplicativos e servidores. A Paessler optou por tornar este produto uma ferramenta de monitoramento pura, portanto, não possui funções de gerenciamento, como gerenciamento de configuração.
Um dos sensores do PRTG é o Syslog Receiver. Ele coleta mensagens do *syslog* e as insere em um banco de dados. Após o armazenamento, essas mensagens podem ser classificadas, gravadas em arquivos ou avaliadas como eventos acionadores que podem ter ações automatizadas associadas a elas.
Os recursos de monitoramento de segurança do PRTG incluem um recurso de inspeção profunda de pacotes, denominado “sensor farejador de pacotes”. Ele amostra pacotes de tráfego de rede e os armazena em um arquivo. Após capturar dados suficientes, você pode analisar o tráfego no painel do PRTG. Este recurso permite direcionar o tráfego da *web*, e-mail e transferência de arquivos com esta ferramenta, sendo um bom auxiliar para monitorar a atividade do usuário e também para proteger um servidor *web* contra ataques. O monitor de *firewall* acompanha eventos de ataque e o notifica através de alertas. A ferramenta também verifica regularmente junto ao seu provedor de *firewall* se há atualizações e *patches* para o software, faz o *download* e os instala automaticamente. Isso garante que você tenha as soluções mais recentes para falhas de segurança recém-descobertas.
O sistema PRTG é instalado no Windows. Alternativamente, você pode optar por acessar o serviço online. De qualquer forma, é possível usá-lo gratuitamente ativando até 100 sensores. Também está disponível um teste gratuito de 30 dias do Paessler PRTG, com sensores ilimitados incluídos.
Considerações Finais sobre Ferramentas de Segurança de Rede
Existem muitos tipos diferentes de ferramentas especializadas de segurança de rede disponíveis. É necessário instalar várias delas para manter os dados e recursos da sua empresa protegidos contra roubo, danos e exploração.
É importante observar que muitas das ferramentas de nossa lista recomendada são gratuitas. As ferramentas pagas geralmente oferecem versões gratuitas ou períodos de teste, para que você possa experimentar cada uma delas sem nenhum custo.
Algumas dessas ferramentas funcionam no Windows, enquanto outras funcionam no Linux e no Unix. Portanto, se sua empresa usar apenas um sistema operacional nos *hosts*, suas opções de ferramenta de segurança serão limitadas. O tamanho da sua rede é outro fator que influenciará sua escolha de ferramenta específica.
Você tem uma ferramenta de segurança de rede favorita? Já experimentou algum dos softwares da nossa lista? Compartilhe sua experiência com a comunidade deixando uma mensagem na seção de comentários abaixo.