Boletim digital setembro/2013
Centro de Informática de Ribeirão Preto
Nesta edição:
Novo centro de produção digital do CIRP Cluster na Universidade Sistemas de detecção de intrusão
Expediente Universidade de São Paulo Reitor João Grandino Rodas Vice-Reitor Hélio Nogueira da Cruz Campus de Ribeirão Preto Prefeito do Campus Prof. Osvaldo Luiz Bezzon Superintendência de Tecnologia da Informação Superintendente Prof. Luiz Natal Rossi Centro de Informática de Ribeirão Preto Vice-Diretor Prof. Alexandre Souto Martinez Chefe da Seção Técnica Administrativa Carlos Eduardo Herculano Chefe do Serviço Técnico de Informática Cláudia H. B. Lencioni Chefe da Seção Técnica de Suporte Clélia Camargo Cardoso Chefe da Seção Técnica de Redes Rubens Rodrigo Diniz Chefe Seção Técnica de Manutenção em Informática Luiz Henrique Coletto
Projeto Gráfico João H. Rafael Junior Apoio: Instituto de Estudos Avançados Polo Ribeirão Preto
Índice Novo centro de produção digital do CIRP - 4 Cluster na Universidade - 7 Sistemas de detecção de intrusão - 9
Espaço do leitor
Envie sugestões do que você gostaria de ler no Boletim Digital do CIRP. Email para contato: boletim@cirp.usp.br
Novo centro de produção digital do CIRP O Centro de Produção Digital pertence a um projeto desenvolvido em parceria com a Reitoria e Coordenadoria de Tecnologia da Informação (na época sob a coordenação do Prof. Dr. Gil da Costa da Costa Marques) e o Centro de Informática de Ribeirão Preto.
- Quatro Salas de Videoconferência, sendo: - Sala de Reuniões para até 7 pessoas
O Centro de Produção Digital foi instalado em uma área de aproximadamente 223 m² e conta com recursos audiovisuais avançados, promovendo a comunicação com interatividade. Desde 2009, quando ocorreu a inauguração do CPDig do CIRP, o uso desse espaço e seus recursos tem aumentado exponencialmente, principalmente devido ao crescimento dos recursos de EAD utilizados em aulas, palestras e eventos em geral. No início, as instalações do CPDig eram constituídas por um estúdio, uma sala de aula e apenas uma sala de videoconferência. Durante os anos, essas foram ampliadas e renovadas. Hoje o CPDig dispõe da seguinte estrutura: - Estúdio de Gravação
4
- Sala de Aula para 16 pessoas direcionada para defesas de teses e laboratório de Computadores (13 computadores) com Lousa Digital, duas telas de projeção e Videoconferência
- Anfiteatro com 60 lugares fixos + 20 cadeiras
bem como a realização de videoconferências com imagem e som de alto padrão. Com base nisso, o CPDig ampliou seu portfólio de serviços prestados à Comunidade USP (alunos, funcionários e docentes), não limitando-se apenas aos serviços internos e padronizados, sendo alguns deles:
- Sala para Edição e Produção de Vídeos / Salas de Controle
- Produção de material multimídia (vídeo-aulas, entrevistas, vídeos institucionais, videoclipes musicais e muitos outros). - Aulas dinâmicas com Lousa Digital e Computadores - Realização de Defesas de Tese através de Videoconferência com ou sem transmissão online - Transmissão ao-vivo de qualquer tipo de evento em qualquer sala do CPDdig
Além de toda a estrutura disponível, o CIRP renovou a maior parte dos equipamentos adquiridos na criação do CPDig em 2009. Computadores, terminais de videoconferência, projetores, televisões, câmeras, entre outros, foram substituídos por outros mais atuais e com novos recursos. Assim, para o material multimídia passou a ser produzido em alta qualidade (HD – High Definition),
- Transmissão externos
ao-vivo
de
eventos
- Filmagem e fotografia de eventos internos externos - Apoio técnico em eventos internos e externos - Conversão Digital de Vídeos - Edição de Vídeos - Armazenamento e disponibilização de material multimídia através de uma
Novo centro de produção digital do CIRP ds
- Videoconferências em geral
cpd@cirp.usp.br e nos conte sobre sua necessidade. Encontraremos a melhor solução.
- Apoio técnico
Autor:
- Empréstimo de Equipamentos de Audiovisual de Câmeras
Vinícius Costa Lima
galeria de vídeos
- Câmera Filmadora (Hand Cam), Tripé, Te r m i n a l d e V i d e o c o n f e r ê n c i a , Projetores, Caixa de Som, entre outros. Portanto, nota-se que o Centro de Produção Digital do CIRP vem aumentando sua visibilidade e ampliando suas atividades a cada dia, buscando prestar serviços com alto nível de excelência a todos os seus usuários. Quer conhecer um pouco mais? Entre em contato conosco através do e-mail
6
Técnico em Informática - Recursos Audiovisuais SCSUPOR – CIRP USP Ribeirão Preto
Cluster na Universidade Da Pedra Lascada do Egoísmo ao Suave Contorno da Colaboração Uma Visão Suprema sobre Cooperação Participativa Prefácio de um futuro: Foi em certo dia iluminado, com um simples gesto e uma rápida reunião em minha sala, uma surpreendente visão sobre futuros possíveis digna de ficção científica bateu em minha fronte, onde o egoísmo da humanidade se dissolveria e estaríamos no patamar de seres divinos, sem as alcunhas e mazelas da humanidade dos dias atuais, vislumbrei o que pode ser uma grande conquista para o futuro computacional da USP e outras universidades. O Cluster: Agrupamento de máquinas que realizam uma tarefa computacional em menos tempo do que uma máquina sozinha, utilizando programação paralela. Clusters na USP: Muitos projetos isolados de cluster, desempenhando uma função dentro de um projeto específico, de um departamento ou disciplina, ficando desocupado na maior parte do tempo e depois de concluído sua tarefa, ser descartado, desmontado ou encostado, utilizando suas partes em outras seções, ou mesmo inutilizadas pelo tempo. A visão: Concatenar os diversos projetos e verbas para compor, com a c o l a b o ra ç ã o e p a r t i c i p a ç ã o d o s
Professores envolvidos em um único cluster, para ser utilizado pelos mesmos. Exemplificando: um professor tem um projeto para cinco máquinas. Em vez de fazer um cluster solitário, com uso restrito ao seu laboratório e a seus alunos, poderia ter as mesmas cinco máquinas do projeto, instalados em único cluster da universidade, agregando num único cluster e podendo usar mais núcleos do que o projeto original previa. E esse único cluster poderia conter além das cinco máquinas mais sete de outro projeto, e mais 10 de outro e todos os professores colaboradores poderiam utilizar todas as 22 máquinas, agilizando seja qual for o projeto, calculo ou necessidade de processamento. Com as vantagens de que teriam pessoas competentes na administração dos mesmos, com conhecimentos específicos para dar o suporte necessário a instalações de software e de hardware, resolvendo problemas comuns ou esdrúxulos de bibliotecas ou drives incompatíveis, realizando o suporte necessário e fundamental, que retira tempo essencial ao ensino e desenvolvimento de qualquer atividade educacional, em uma estrutura de Server-rack, com no-breaks e gerador de energia para garantir o funcionamento ininterrupto, localizadas em um único lugar seguro e refrigerado adequadamente.
Cluster na Universidade
A lição: Este artigo foi idealizado após
núcleos
nosso antigo diretor conversar com um
“threads”), com 8GB de memória RAM,
colega professor e sugerir a compra de
totalizando 160 núcleos de
(quatro
“cores”
e
quatro
máquinas montadas na SCMANUT para fazer um cluster e agregar ao nosso
processamento
cluster
CIRP
oferecendo um desempenho notável,
oferece a infraestrutura e pessoal para
aberto a toda a comunidade uspiana,
administrar as máquinas e suporte ao
para uso, cooperação e participação
usuário.
para aumentar os núcleos do cluster
Educacional,
onde
o
a
3.5
Giga-hertz,
acadêmico do CIRP. Após trocas de email, reunião, definição de verbas e feito um pregão, peças
Fica a ideia de um futuro melhor, negar
compradas e entregues, 13 máquinas
o egoísmo do “é meu”, compartilhar é a
estão prontas e funcionais.
palavra, colaborar e participar é a ação. É pegar ou ficar para trás.
O professor que teve seu projeto agregado ao nosso cluster não teve
M a i s
i n f o r m a ç õ e s
dúvidas e soube como ninguém a
h t t p : / / w w w. c i r p . u s p . b r / c l u s t e r -
vantagem de se trabalhar em equipe e
educacional-cirp ou no fone 3602-
não se importar em colocar verbas de
3620.
um projeto com outro projeto, sem restrição nenhuma. Parabéns a ele pela lição
de
humildade
e
cooperação
participativa. Conclusão: Agora nosso cluster tem 20 máquinas, todas i7-3770k, com oito
8
Autor: Luiz Henrique Coletto Chefia SCMANUT - CIRP/USP
Como identificar Intrusão em Servidores e Equipamentos conectados à Rede de Dados?
instaladas em Servidores e Desktops. - Técnicas utilizadas
e
Ferramentas
mais
Muitas ferramentas estão disponíveis para esta árdua tarefa.
IDS: Sistema de Detecção de Intrusão
Detectar intrusão exige que se tenha amplo conhecimento e domínio de todos os servidores e Desktops do parque computacional.
São ferramentas que notificam ocorrências de tentativas de intrusão. Isso é obtido pela verificação de certos padrões de ataque, configurados dependendo da ferramenta utilizada.
Um servidor ou Desktop comprometido pode fazer com que tudo pare, por congestionamento da Rede de Dados, ou até que nada aparentemente seja detectado. Um servidor comprometido pode apresentar o mesmo comportamento, ficar indisponível e ter os dados copiados para outros locais, sem a devida autorização e consentimento. Ter Servidores de Rede parados significa que a empresa está parada e seus negócios estão parados também. Isso causa prejuízos e a empresa pode deixar de existir. Um Trojan (Cavalo de tróia), por exemplo, pode ser instalado em algum equipamento, sem que ninguém perceba, e este Trojan vai enviar dados (senhas, dados bancários, etc) para alguém interessado nestes dados.
Infelizmente, devido a grande variedade de vulnerabilidades, detectar uma intrusão em sua rede não é algo simples. É praticamente impossível que uma pessoa detecte uma invasão de rede em tempo real e tome alguma ação de imediato. O que pode acontecer quando se utiliza ferramentas de IDS: - A alta taxa de falso positivo ocorre quando a ferramenta classifica uma ação como uma possível intrusão, porém tratase de uma ação legítima. - O falso negativo ocorre quando uma intrusão real acontece mas a ferramenta permite que ela passe como se fosse uma ação legítima. - Erros ocorrem quando o intruso modifica a operação da ferramenta de IDS para forçar a ocorrência de falso negativo.
O roubo de dados bancários pode resultar em falsos cartões de crédito e roubo de dinheiro.
Um bom exemplo de falso positivo é o ataque de SYN FLOOD, ou seja, inundação de requisições de sincronismo de conexão.
Detectar Trojans é relativamente simples, mas, inicialmente, proteções tem que ser
O
simples
fato
de
acessar
um
determinado tipo de página pode gerar
Sistemas de detecção de intrusão uma detecção da ocorrência desse tipo de ataque. É muito difícil definir regras que diferenciem entre atividades hostis e autorizadas. O teste de invasão pode ser utilizado com
a
finalidade
de
demonstrar
efetivamente se a ferramenta de IDS está operando conforme o esperado e ajuda no refinamento das regras de forma a reduzir a taxa de falso positivo. O
IDS
deve
ser
monitorado
constantemente e ter um responsável pela sua administração e manutenção. Os Incidentes de Segurança também devem ser monitorados e devidamente manipulados. Relatórios devem ser emitidos e as assinaturas dos ataques devem ser atualizadas
constantemente.
Os
Hackers não param de criar novas ferramentas. IPS:
Sistema
de
Prevenção
de
configurar regras no Firewall para bloquear
Intrusão
conexões
suspeitas.
São
encontrados na forma de Hosts e É um complemento ao IDS e visa
baseados em Rede.
bloquear a intrusão, evitando danos à É um detector de tráfego malicioso que
rede de dados.
gerencia a ocorrência de falso positivo Enquanto o IDS detecta uma possível
e falso negativo.
invasão, o IPS dispara o alarme e tenta Há no mercado equipamentos para
bloquear a invasão.
executar Também
permite
decidir
e
decisões de acesso, por exemplo, 10
tomar
a
função
de
IPS.
equipamentos dedicados e caros.
São
Coletam dados e analisam as atividades dos hosts onde estão instalados. Os HIDs examinam ações específicas com base em host, como, por exemplo, os aplicativos que estão sendo utilizados, os arquivos que estão sendo acessados e as informações que residem nos logs de kernel,
processos
suspeitos,
proprietários, desempenho do servidor, performance, tráfego de rede, etc. Os HIDSs não reconhecem ataques destinados à toda rede porque monitora apenas os pacotes da rede de dados recebidos pelo host. Um
HID
consome
processamento,
o
que
recursos diminui
de sua
performance. Um sistema HID deve proteger o Host e evitar as tentativas de ataques não detectadas pelos NIDS. Por exemplo: Sourcefire, TippingPoint,
NIDS - Sistema de Detecção de
McAfee e Juniper
Intrusão baseado em Redes
Estes fabricantes fornecem sistemas que
Os NIDs analisam o fluxo de informações
reunem
sobre
entre computadores, ou seja, o tráfego
configurações de rede e host, aplicativos
da rede. Farejam um comportamento
e sistemas operacionais, a identidade do
suspeito na rede.
informações
usuário e do comportamento da rede e linhas de base de tráfego.
Dessa forma, os NIDs podem detectar um hacker antes que possa haver uma
HIDS - Sistema de Detecção de
invasão, enquanto que os HIDs só
Intrusão baseado em Hosts
poderão detectar problemas depois de o hacker já ter violado o sistema.
Sistemas de detecção de intrusão Detectam a tentativa de intrusão em tempo real. Os arquivos de logs devem ser analisados pelo administrador dos
- Scanners de aplicações Web - Quebra de senhas
servidores e das redes.
- Ferramentas de criptografia
A deficiência está na análise de tráfego
- Debugger, depuradores
de grandes redes. Para isso deve-se implementar podem
diversos
analisar
NIDS.
Não
informações
- Firewalls - Ferramentas de forense
criptografadas. - Detecção de Intrusão Os NIDS também proporcionam uma análise mais ampla de uma rede corporativa por meio de varreduras e explorações. O que é mais importante,
- Varredura de portas - Detectores de Rootkits
os NIDs possibilitam que
- Segurança em Sistemas Operacionais
administradores protejam dispositivos
- Sniffers
não
computadorizados,
exemplo, impressão,
firewalls,
como,
por
servidores
concentradores
de
VPN
e
- Exploração de vulnerabilidades - Monitoração de tráfego
roteadores. - Scanners de Vulnerabilidades Outras vantagens são a flexibilidade com diversos dispositivos e sistemas
- Ferramentas para Wireless
operacionais e a proteção contra abuso de largura de banda da rede de dados e ataques de negação de serviço (DoS).
É muito importante observar que tais ferramentas
Um sistema NID deve ter a capacidade
também
podem
ser
utilizadas para invasão de sistemas.
de proteger os servidores a partir de um único local de rede.
Por exemplo, utilizar um Sniffer para analisar o tráfego de rede de dados e
* Ferramentas para análise e detecção
buscar por padrões, senhas, login, etc.
de intrusão (http://www.sectools.org) A São classificadas em: - Antimalware 12
utilização
deve
ser
feita
com
responsabilidade e com as devidas autorizações por parte dos
administradores de Servidores de Rede. Antes de usar estas ferramentas é bom tomar conhecimento das normas de segurança de seu ambiente de trabalho e conhecer as regras, responsabilidades e
como
você
pode
aumentar
segurança na Internet: www.cartilha.cert.br Autor:
penalidades.
MSc. Eng. Ali Faiez Taha
* A Cartilha de Segurança para Internet
Seção de Redes do CIRP
contém recomendações e dicas sobre
a
sua