Next: Páginas de Manual ("Unix Up: Um Sistema de Testes Previous: Experimentos e Resultados Sumário
sniffers são geralmente executados a partir de máquinas comprometidas por atacantes e injetam o mínimo de pacotes na rede em que estão sendo executados. Esse modus operandi faz com que sistemas de detecção locais percam sua confiabilidade, pois o atacante pode facilmente camuflar a existência de seu sniffer ao manipular os sistemas que indicam sua utilização, inclusive modificando o funcionamento de módulos internos do núcleo do sistema operacional. Já sistemas de detecção remota devem levar isto em consideração e esforçar-se ao máximo em termos de flexibilidade para que sniffers mais avançados não venham a reconhecer um padrão na sua utilização e desenvolver uma técnica de evasão.
Apesar da criptografia e da limitação de tráfego imposta pelo cuidado na escolha da configuração da rede restringir bastante a eficência de um sniffer, ainda há muita informação importante que pode ser angariada, o que não permite que somente tais técnicas sejam adotadas em substituição à utilização de sistemas de detecção remota de sniffers.
Tanto a bibloteca como a aplicação implementadas são abertas e têm seu código fonte disponível na Internet. Aliadas à essa característica estão flexibilidade, simplicidade e segurança, o que fazem de nossa implementação um bom exemplo para ser utilizado por administradores de rede e profissionais da área de segurança, além de servir como interessante ferramenta de estudo para alunos de cursos de redes de computadores.
A implementação de um sistema de detecção remota de sniffers é complexa pois sua eficácia é sensível a fatores externos, tais como o funcionamento das implementações dos protocolos da pilha TCP/IP e dos equipamentos usados na rede que podem ser muitos variados e diferenciados. A indisponibilidade de um laboratório para testes fez com que, infelizmente, os resultados obtidos com a flexibilidade da aplicação tenham sido mais téoricos do que práticos.
A segurança de um sistema depende de um conjunto considerável de fatores. Não existe solução ótima que aborde todos os pontos vulneráveis, assim como não existe detector perfeito que possa detectar todo e qualquer tipo de sniffer. O cenário parece-se com o de uma competição entre os atacantes e responsáveis por segurança, e o objetivo destes últimos é sempre estar à frente, dificultando o máximo possível o caminho dos que pretendem comprometer a estrutura ou apoderar-se de dados importantes.
Ainda há muito o que ser estudado e desenvolvido na área de detecção de sniffers. Como toda área em evolução, novos ambientes, topologias e arquiteturas de rede estão sempre surgindo e os atacantes frequentemente utilizando sua infinita criatividade para contornar as barreiras a eles impostas.
Tanto a aplicação como a biblioteca desenvolvida ainda estão em estágio inicial e, além de muitos testes e ajustes finos, têm várias funcionalidades a serem adicionadas. Aumentar o número de testes disponíveis, assim como incluir diversas variações dos existentes e fazer estudos qualitativos sobre seu funcionamento em diversas plataformas seriam os principais focos de extensão deste trabalho. Por parte da aplicação, é interessante desenvolver novos plugins de saída, assim como desenvolver uma interface gráfica e sistemas de reação e resposta aos resultados obtidos.
O lançamento público do código fonte de toda a implementação, assim como a extensa documentação disponível, devem permitir que o desenvolvimento e testes do projeto sejam acelerados num futuro próximo.
Ademar de Souza Reis Jr. 2003-03-11