%titulo%

Detecção e contenção automatizada de atividade maliciosa em redes de campus: caso UFBA

Com o advento da Internet na era comercial e a diversificação dos serviços oferecidos, a quantidade de dispositivos conectados à rede tem aumentado a cada ano. Simultaneamente, um série de problemas vieram agregados dentre os quais, a elevação da ocorrência de atividade maliciosa nas redes de computadores, conforme demonstram as estatísticas do CERT.br . As redes de campus, em particular, a rede acadêmica da Universidade Federal da Bahia (UFBA) é composta por um grande volume de computadores, tipos de equipamentos e perfis de usuários, proporcionado um cenário crítico para a ação de usuários e softwares maliciosos sobre a rede. Diversos grupos, tais como CAIS/RNP e o CERT.Bahia, realizam o monitoramento das redes acadêmicas notificando eventos de incidentes de segurança. Uma das tecnologias utilizadas para detecção destes eventos são os honeypots, recursos projetados especificamente para serem atacados, tradicionalmente utilizando endereços IP públicos, detectam atividades oriundas da Internet, que podem ter sido iniciadas apenas em um dispositivo com um IP público, ou em máquinas com endereços privados, através de NAT.

Neste contexto, propomos nesse trabalho uma abordagem diferente para detecção de atividade maliciosa, utilizando honeypots com endereços IP privados, dentro da rede interna, distribuídos por toda rede acadêmica da UFBA, detectando de forma automatizada atividades maliciosas que ocorrem dentro da rede de maneira mais veloz, devido a proximidade com as máquinas e outros que possivelmente não seriam identificados pelos honeypots externos, como por exemplo, ataques do tipo port scan, dirigidos para rede interna, que afetam seu bom funcionamento.

Adicionalmente, propomos o desenvolvimento do módulo de contenção automática de incidentes de segurança, para ferramenta TRAIRA (desenvolvida pelo CERT.Bahia), a fim de tornar todo o processo automatizado, desde o princípio com as notificações geradas pelos honeypots deste trabalho e dos grupos de segurança até o final, com a identificação na rede da máquina notificada e a realização da contenção. Atualmente, nossa solução encontra-se em produção

Palavras-chave: atividade maliciosa, Cert.Bahia, contenção, detecção, honeypot, incidentes de segurança, rede campus