UNIVERSIDADE DO SUL DE SANTA CATARINA JAILSON DE OLIVEIRA OSSIM: UM IDS OPEN SOURCE PROTEGENDO REDES CONECTADAS À INTERNET

Tamanho: px
Começar a partir da página:

Download "UNIVERSIDADE DO SUL DE SANTA CATARINA JAILSON DE OLIVEIRA OSSIM: UM IDS OPEN SOURCE PROTEGENDO REDES CONECTADAS À INTERNET"

Transcrição

1 UNIVERSIDADE DO SUL DE SANTA CATARINA JAILSON DE OLIVEIRA OSSIM: UM IDS OPEN SOURCE PROTEGENDO REDES CONECTADAS À INTERNET Palhoça 2010

2 JAILSON DE OLIVEIRA OSSIM: UM IDS OPEN SOURCE PROTEGENDO REDES CONECTADAS À INTERNET Monografia apresentada ao curso de pós-graduação lato sensu em Curso de Especialização em Gerencia de Projetos de Tecnologias da Informação - Campus Unisul Virtual, como requisito à obtenção do grau de Especialista em Projetos de Tecnologias da Informação. Orientador: Mario G.M. Magno Júnior Palhoça

3 JAILSON DE OLIVEIRA OSSIM: SEGURANÇA DE UM IDS OPEN SOURCE APLICADO À INTERNET Monografia apresentada ao curso de pós-graduação lato sensu do Curso de Especialização em Gerencia de Projetos de Tecnologias da Informação, da Universidade do Sul de Santa Catarina - Campus Unisul Virtual como requisito à obtenção do título de Especialista em Gerencia de Projetos de Tecnologias da Informação. Aprovada em, de de. BANCA EXAMINADORA Prof. Msc Mario Gerson Miranda Magno Júnior Orientador Universidade do Sul de Santa Catarina Prof. Msc Rodrigo Santana Universidade do Sul de Santa Catarina

4 RESUMO Esta pesquisa tem o intuito de verificar, testar e apresentar o IDS OSSIM como uma ferramenta de proteção para redes ligadas à internet, verificando assim, o nível de segurança que esta ferramenta disponibiliza em sua suíte ao proteger as redes de dados, além de informar sobre alguns dos programas que fazem parte do seu núcleo. Será apresentado um breve histórico dos motivos que levaram à rápida evolução da segurança de dados relacionado ao crescimento e uso da internet e de seus protocolos. Nesta pesquisa serão verificadas as possíveis formas de instalações desta ferramenta permitindo tê-la como um coletor de informações ou uma central de processamentos de eventos, com alto nível de tratamento das informações, controles e atividades, com atuação em tempo real. Todas as possíveis falhas que surgirem no decorrer da instalação do sistema a ser pesquisado e durante os testes a serem realizados serão abordadas de forma clara e direta. Para os testes desta pesquisa serão elaborados ataques diretos, para comprovar as respostas aos eventos que o IDS OSSIM possa apresentar, utilizando para este processo o Linux BT4, preparado para os mais diversos tipos de testes de invasão e de vulnerabilidades de sistemas, usando para este processo uma rede experimental. O Linux BT4 servirá de simulador de ataque contra a estrutura de defesa do IDS OSSIM, este por sua vez, estará configurado para capturar informações forenses importantes a partir dos ataques gerados, ataques estes, que são os tipos mais comuns e presentes na internet. Nesta pesquisa também será apresentada uma rápida visão sobre a console gráfica (framework) do IDS OSSIM, que aumenta totalmente o potencial de uso desta ferramenta, facilitando a visualização das informações armazenadas na base de dados, através da utilização de uma biblioteca gráfica para a geração de visualizações diversas, na forma de gráficos, permitindo assim, um rápido acesso às ocorrências detectadas e filtradas. Palavras-chave: IDS,OSSIM,Redes,Ataques,Internet,Proteção,Hackers. 4

5 LISTA DE ILUSTRAÇÕES Figura 1- Gráfico com Pads, Snort, Pam_Unix e Sshd em atividade...21 Figura 2 - Gráfico de eventos e sensores com Portscan, P0f, Snort_tag e Diretive_alert entre outros em atividade...21 Figura 3 - Interface do OSSIM apresentando o Nagios...22 Figura 4 - Configuração da rede de testes básica...24 Figura 5 - Configuração da rede de testes para os ataques...24 Figura 6 - Instalação do OSSIM - Erro de língua padrão...25 Figura 7 - Erros de autenticação da chave GPG...25 Figura 8 - Tela de instalação do OSSIM com erros de sobreposições na escolha do menu...26 Figura 9 - Servidor e Sensores OSSIM...27 Figura 10 - Console gráfica (framework) do OSSIM...30 Figura 11 - LINUX Back Track em uso...33 Figura 12 - Ataque do Fast Track, incluso no Back Track, contra as portas 22, 80, 8080, 514 e 3000 com detecção do OSSIM para os eventos nestas portas...34 Figura 13 - Fat-Track em ação e OSSIM detectando tentativas de ataques...34 Figura 14 - MetaSploited e AutoScan network em atuação, tendo suas conexões recusadas pelo OSSIM (connection refused)...35 Figura 15 - OSSIM detectando ataques contra as portas TCP e UDP...36 Figura 16 - SQLChech apresentando caracteres estranhos...36 Figura 17 - Contabilidade dos tipos de ataques por portas e suas porcentagens

6 LISTA DE SIGLAS OSSIM - Open Source Security Information Management (Gerenciador de Informações de Segurança de Código Aberto) IDS - Intrusion Detection System (Sistema de Detecção de Intrusos) ISO - International Standards Organization (Organização de Padronização Internacional) CA - Open Source (Código Aberto) OS - Operation System SO - Sistema Operacional pt_br / pt_br Português do Brasil (brasilian portuguese) TI Tecnologia da Informação 6

7 AGRADECIMENTOS A todos que acreditam que a educação é base de tudo e que pode mudar um país. A todos aqueles, que perderam suas noites de sono, procurando falhas e soluções em programas, sistemas operacionais e protocolos. A todos os professores que usaram de dedicação para todos nós. A Samanta e Catharina que foram pacientes quando não puderam ter a minha presença e o meu carinho. A Carla Ceolin pelo incentivo para a conclusão deste curso. As professoras Vera Schuhmacher e Ana Luisa Mulbert pela dedicação e apoio nas horas necessárias. 7

8 SUMÁRIO 1 INTRODUÇÃO PROBLEMA JUSTIFICATIVA OBJETIVOS Objetivo Geral Objetivos Específicos DESENVOLVIMENTO METODOLOGIA DA PESQUISA FUNDAMENTAÇÃO TEÓRICA POPULARIDADE X FRAGILIDADE OS HACKERS, OS CRACKERS EOUTROS GRUPOS: O INÍCIO DO CYBERTERRORISMO O TCP/IP COMO FACILITADOR A BATALHA DOS BITS UMA LUZ NO FIM DO TÚNEL O IDS OSSIM DESENVOLVIMENTO DOS TESTES INSTALAÇÃO SERVIDOR OU SENSOR? FRAMEWORK / CONSOLE GRÁFICA ANÁLISE DOS RESULTADOS REFERÊNCIAS

9 1 INTRODUÇÃO OSSIM: Um IDS, um sistema detector de intrusos para proteção de redes de dados, open source, código aberto, protegendo redes conectadas a Internet. A primeira dúvida que nos surge à mente é sobre a segurança das nossas redes conectadas com a internet, pois na maior parte delas não há como verificar imediatamente se realmente são seguras ou se existe alguma forma de proteção eficiente ativa. O que normalmente incomoda as organizações em relação ao uso da internet é a utilização incorreta por parte dos seus funcionários e o descumprimento as normas acordadas nos estatutos internos das organizações, já que o uso indevido pode produzir ou auxiliar mecanismos críticos para que ocorram sinistros relacionados aos dados. Pensando desta forma, surge o questionamento que tenta fazer esta pesquisa, no intuito de verificar até onde chega à segurança das redes quando conectadas a internet, utilizando o IDS OSSIM como mecanismo verificador deste nível de segurança, validando informações e eventos. 1.1 PROBLEMA Existe uma carência muito grande no que se relaciona a documentação acadêmica e informações sobre os sistemas IDS's, principalmente sobre o IDS OSSIM, tais como funcionamento, aplicações, eficiência, instalação, dispositivos, nomenclaturas usadas, configurações, etc. Por existirem poucas informações em português e também uma quantidade muito limitada em outras línguas tais como inglês, francês e espanhol, esta carência de informações gera ausência de conhecimentos ou dificuldades de entendimentos, que na maioria das vezes transformam-se em uma grande confusão, onde as informações sobre um mesmo tópico se conflitam, fazendo com que informações corretas, funcionais e seguras, tornem-se raras ou quase invisíveis no universo da internet, gerando assim, dentro deste contexto, ao serem replicadas, alteradas e agregadas com erros, informações dúbias, portanto, passa a ser vital o levantamento de informações relevantes e coerentes. É necessário então fazer uma pesquisa sobre o IDS OSSIM e sua suíte, que interprete através das informações de sua base de dados forense, o que esta ferramenta pode oferecer 9

10 com referência à proteção e segurança de redes conectadas a internet e quais recursos imediatos ela oferece para o caso de ocorrências críticas, com alto grau de impacto para os sistemas ativos das corporações, tais como ataques, tentativas de invasões. Esta pesquisa servirá para verificar se realmente a proteção oferecida por esta ferramenta é eficiente para as redes ou não. Servirá também como base para avaliar qual é o nível de segurança e eficiência do IDS (Intrusion Detection System) OSSIM (Open Source Security Information Management) na proteção de redes de computadores conectadas à internet. A grande preocupação nestes tipos de programas (IDS) é o que ele está protegendo efetivamente e o que ele não está protegendo, já que para na maior parte das empresas as suas informações são seu patrimônio e mantê-los em segurança é algo fundamental. Ao se utilizar um IDS, qualquer erro de configuração, instalação ou interpretação das informações neste tipo de sistema pode gerar um transtorno ainda maior para os recursos das empresas, já que uma falha poderá deixar recursos prioritários de forma inoperante. Caso regras importantes sejam esquecidas, desprezadas ou inseridas de forma errônea ou de forma inadequada, permitirão ataques, invasões, roubos de dados, de senhas, de números de cartões de créditos, destruição dos bancos de dados, compras falsas, destruição dos servidores ou até mesmo a empresa poderá ficar inoperante por horas, dias ou até semanas, conforme seu nicho de mercado. O OSSIM, de origem espanhola, é um IDS usado pela empresa Telefónica na Europa, um dos maiores grupos de telefonia do mundo que utiliza esta ferramenta na proteção das suas redes, conforme informações presentes no sítio (site) da Alien Vault e nos casos de estudos providos pela própria Telefónica espanhola. Segundo Sisternes, a eficiência do OSSIM ficou comprovada a partir de um projeto implementado na Telefônica espanhola que o aplicou em suas redes de alta velocidade e de alto tráfego, tendo resultados positivos. No Brasil, atualmente vem despertando a curiosidade de pessoas ligadas a TI e empresas públicas e privadas. Um dos problemas que existem para este IDS, é como inseri-lo em uma rede de forma que a sua performance de segurança seja real, transparente, sem onerar as funcionalidades da rede e com o mínimo de falsos-positivos (informações ou alarmes de erros e ataques não reais) e falsos-negativos (informações de ataques reais não levados em consideração). Outra necessidade de funcionamento é que as suas suítes realmente explicitem o que realmente está ocorrendo na rede: tentativas de invasões, ataques dos mais diversos tipos, vírus, tentativas de 10

11 conexões fraudulentas, roubos de informações, usos indevidos dos recursos de internet, tentativas de fishing, acessos a sítios (sites) proibidos, enfim, tudo que redes conectadas a internet podem proporcionar de perigos ou fraudes. Para Davidson (2008), o roubo de informações por roubo de senhas (fishing) se tornou muito eficientes nos últimos anos, devido ao fato do usuário receber um convincente com um link para ser clicado, sentir-se impelido a clicar e no momento em que faz isto, instala programas espiões em seu computador, permitindo que o invasor tenha acesso a senhas e informações importantes, abra portas para outros tipos de conexões e inserções de programas maléficos. Com sistemas IDS (do tipo OSSIM, OSSEC, etc), as respostas aos ataques e invasões podem ser imediatas e automatizadas, podem gerar recursos de impedimentos e controles de níveis de proteção, além de todas as ocorrências serem registradas em uma base de dados para análise forense. Sistemas IDS são de extrema utilidade nas redes atuais devido a grande variedade de estruturas engendradas nestas e pelo número extremo de novos computadores que se conectam diariamente, devido a estes efeitos, surgiu um problema, ainda maior: o cyberterrorismo. Por existirem redes sofisticadas, localizadas geograficamente nas mesmas regiões de grupos extremistas, em conflitos ou terroristas, estes tentam invadir redes vitais de seus rivais, sejam de organizações importantes, de empresas multinacionais ou de governos antagônicos aos seus interesses. Diante desta natureza crítica, que vivemos atualmente, os sistemas IDS tentam minimizar em parte alguns destes problemas críticos, apresentando-se como uma forma de solução para alguns riscos. 1.2 JUSTIFICATIVA Quando ainda era totalmente desconhecido no Brasil, o OSSIM atraiu a minha curiosidade, eu já havia traduzido outros programas para o português do Brasil (pt_br/pt_br), trabalhando em grupos internacionais de desenvolvedores e projetistas de software, com o OSSIM não foi diferente, esmiucei o seu código, testei, implementei, gerei diversos tipos de informações e documentações, verifiquei códigos, criei um blog sobre o mesmo (http://jailsonjan.previsioni.com.br), sempre ficou a vontade de fazer um estudo científico ou uma pesquisa sobre este IDS que possui algo além aos meus olhos. 11

12 Nos últimos anos, as informações digitais das empresas passaram a ser à base de seus negócios, já que muitas delas migraram para a internet, com isto aumentou a necessidade das suas redes serem protegidas de alguma forma, o OSSIM, parece ser um dos melhores e mais completos IDS open source existentes atualmente, para executar esta função de segurança dos backbones, com tudo isto a um custo muito baixo, trazendo economia e proteção. O OSSIM passou por um lento processo de refinamento durante anos, atraindo assim, muitas empresas que o implementaram em suas bases, incluindo nesta lista a Telefónica da Espanha. Com o crescimento do OSSIM no Brasil, muitas novas demandas se farão necessárias, instalações do IDS, configurações, manutenções, cursos e criações de novos itens para complementar e integrar a segurança das redes conectadas a internet, isto poderá gerar novos empregos e novas empresas serão criadas, gerando assim novos serviços. 1.3 OBJETIVOS Objetivo Geral Este estudo tenta demonstrar que existem algumas soluções open source no que se refere a IDSs, trazendo o foco desta pesquisa para uma suíte chamada OSSIM, que abrange diversos programas inteligentes de segurança em um só lugar. Esta pesquisa também tentará demonstrar qual o grau de confiabilidade desta segurança e qual a sua eficiência em diversas situações. Por ser um sistema livre de grande aceitação no mercado internacional, apesar de ser fornecido livremente para ser baixado (download) na forma de código aberto (open source), sendo esta suíte, a primeira vista uma suíte extremamente profissional, mesmo assim, permanece uma dúvida: Qual o seu grau de segurança e confiabilidade as respostas de ataques ou tentativas diversas de fraudes digitais, que ocorram através da internet? Este estudo, no âmbito da pesquisa, irá gerar estas informações. Observar quais são os problemas mais comuns que surgem no decorrer da instalação e utilização do OSSIM, usando para isto informações disponíveis em redes de testes e sítios (sites) do setor. Verificar a aplicabilidade de sua suíte como instrumento na segurança de redes conectadas a internet. 12

13 Pesquisar e observar as funções do OSSIM, referentes as suas atividades de respostas em relação a ocorrências relevantes e tentativas de ataques, nas redes protegidas por ele Objetivos Específicos A pesquisa consistirá em obter informações relevantes existentes sobre o IDS OSSIM, verificar a sua estrutura de funcionamento e a composição da sua suíte (programas), observar algumas formas de configurações de instalações possíveis e a partir disto verificar quais tipos de informações ele privilegia com proteção, quais as incidências de falsos-positivos, e quais informações gráficas ele fornece. Baseado nisso, será realizada uma coleta de dados, para determinar se o OSSIM é um IDS confiável, que apresenta robustez e segurança para a maior parte das necessidades das redes atuais, interligadas a internet. Os objetivos específicos são: Descrever rapidamente o processo de implantação do IDS OSSIM; Descrever as ocorrências surgidas no decorrer do acompanhamento das operações e configurações da ferramenta, identificando os benefícios e as limitações; Descrever os riscos que possam surgir com o uso da ferramenta; Descrever algumas incidências de falsos-positivos ao utilizar o mecanismo de proteção; Descrever alguns benefícios do IDS OSSIM. 13

14 2 DESENVOLVIMENTO 2.1 METODOLOGIA DA PESQUISA Esta pesquisa será elaborada, inicialmente, a partir da procura de informações em sítios (sites) da área, principalmente no dos mentores do software em questão, a Alien Vault, para se obter as possíveis configurações, formas de instalações, tipos de servidores para o OSSIM, atuações e tipos de ataques, processo de implantação, estrutura da suíte de programas inclusos no OSSIM. Montagem de um servidor OSSIM (servidor e sensor em um mesmo equipamento), em uma rede experimental para testes, atuando sobre o sistema operacional LINUX. Neste servidor se efetuará uma instalação básica com parâmetros iniciais onde os passos desta instalação serão acompanhados de uma forma coerente. Após a instalação, o IDS OSSIM, começará a coleta de informações dos dados que trafegarem pela rede. Serão observadas as ocorrências de erros, enumerados os benefícios e as limitações que por ventura existam e que possam ser percebidas no decorrer deste estudo. Após os primeiros momentos de estabilidade do IDS OSSIM, configurado e balizado, com redução de falsos-positivos, serão testadas as possíveis vulnerabilidades em decorrência de ataques à rede experimental através do uso do LINUX BT4 e serão observados como este IDS armazena e utiliza as respostas das tentativas de ataques para avaliações forenses, desta forma teremos a visão das ocorrências mais dinamizada. Elaborar, a partir de uma observação real, quais os benefícios que as empresas poderão ter com a implantação do OSSIM como veículo de proteção e controle de suas redes. 2.2 FUNDAMENTAÇÃO TEÓRICA Com a criação da internet, no início dos anos 90, as redes de computadores que eram inicialmente limitadas às áreas corporativas ou acadêmicas, passaram a ter uma abrangência maior com a expansão das informações oferecidas. Estas redes foram interconectadas, gerando um novo universo de serviços, lazer e conhecimento. Com a queda dos preços dos computadores e as possibilidades de conexão em velocidades cada vez maiores, os cidadãos comuns passaram a fazer uso deste novo conceito tecnológico, consumindo mais informações. 14

15 2.3 POPULARIDADE X FRAGILIDADE No início da internet, o perigo de ataques ou grandes destruições por vírus de computadores não eram significativos, pois ficavam restritos a determinados nichos das redes locais. Com o crescimento da internet, mais conexões de acesso se fizeram presentes, mais pessoas e novos equipamentos se conectaram e mais frágil se tornou a segurança da internet. Nesta época, segundo Ballew (1997), novos protocolos foram criados ou melhorados, sendo configurados para as mais diversas tarefas nas redes (Rip, Eigrp, Ospf, Frame Relay, Atm, etc), integrando-se assim as redes baseadas no protocolo TCP/IP. Com o passar dos anos, as redes tornaram-se populares, maiores e mal configuradas, devido à falta de testes e da pressa dos administradores em colocá-las em uso, possuindo assim vulnerabilidades críticas na integração dos seus protocolos, inclusive com os roteadores (BALLEW, 1997). Com a existência de falhas nas redes e nos sistemas operacionais, aparecem os hackers de redes de dados. 2.4 OS HACKERS, OS CRACKERS EOUTROS GRUPOS: O INÍCIO DO CYBERTERRORISMO O espírito hacker que vemos hoje surgiu isoladamente no final dos anos 60 e início dos anos 70. Eram pessoas que agiam de forma romântica contra o sistema social em que estavam inseridos e baseavam-se no uso gratuito de serviços que normalmente eram pagos, tais como telefonia, uma forma de televisão a cabo, etc, um retrato bem fiel desta época pode ser visto no filme Piratas do Vale do Silício. Segundo Sá (2005), certamente o primeiro hacker da história tenha sido o inglês Alan Tuning, que inventou a lógica computacional aos 24 anos de idade, por ter tido ações de contracultura ao viver e por ter quebrado o código criptográfico do sistema de mensagens nazista Enigma, com a sua máquina Colossus, tudo isto na década de 30. No fim dos anos 80 até a segunda metade dos anos 90, surgiram os primeiros grandes hackers, Kevin David Mitnick, o mais famoso e um dos únicos a ser condenado nos Estados Unidos (EUA), Tsuotomi Samurai Shimomura (Japão), Mark Abne (EUA), Jonh Draper (EUA), Johan Helsingius (Finlândia), Vladmir Levin, este transferiu 10 Milhões de dólares de bancos para a sua conta particular, provando a fragilidade dos bancos espalhados pelo mundo (Rússia), Robert Moris, criador dos worms e outros vírus (EUA) e logo depois do 15

16 surgimento destes hackers, surgiram os tão temidos grupos hackers, que se formaram movidos pelas expectativas de invadirem grandes redes corporativas, divulgando suas façanhas posteriormente em sítios (sites) hackers, suspeitos e temidos. Nesta época surgiram grupos importantes tais como: Astalavista Group (o mais antigo e ainda existente), Master of Deception, Silver Clowds (Palhaços Prateados, fizeram diversas invasões a grandes corporações), The Cult of the Dead Cow (O Culto da Vaca Morta) que criou um pequeno programa servidor, que tornava qualquer máquina invadida em um servidor, com todos os arquivos abertos para a internet, aceitando controles remotamente. Este programa, também chamado de BO (Back Orifice), por muito tempo foi o maior problema de muitos administradores de redes. Estes grupos serviam para concentrar pessoas com os mesmos interesses em estudar determinados protocolos, tipos de ataques ou para praticar invasões. Ao testar as vulnerabilidades encontradas nos sistemas, estes grupos, produziam assim, paralisações de serviços e de redes através de seus ataques sincronizados, por outro lado, foram muito importantes para a indústria de segurança, pois para se defender, esta foi forçada a evoluir em um curto período de tempo. Segundo Sá (2005), no Brasil, na década de 90, tivemos vários grupos hackers e crackers, mas aqui os conceitos dos dois se fundiam e hackers passavam a ter funções de crackers e o inverso também ocorria. Estes grupos eram especialistas em desfigurar sítios (sites) e de destruir arquivos e servidores, aqui a coisa funcionava como uma grande corrida, uma demonstração de qual grupo era o melhor, existiam diversos grupos e hacker isolados, tais como: Barata Elétrica, Inferno.Br, Red Eye, Dart Varden, Perfect.Br, P.Suspectz, Silver Lords, Cyber Attack, Brazil Hackers Sabotage, entre tantos outros, eles invadiram a Nasa, a Microsoft, sítios (sites) de órgãos de governos e empresas multinacionais. Os grupos brasileiros sempre foram muito ativos, se divertiram, estudaram protocolos e falhas, protestaram, sim o protesto sempre foi a base inicial. Como Davidson (2008) diz em um de seus artigos: You dont t want your enemies to know yours war plans until after the attack, or your competitors to know products plans until after the lunch. Você não questiona os seus inimigos para saber os seus planos de guerra após um ataque, ou seus competidores para saber os planos dos produtos após o almoço. O movimento hacker tornou-se socialmente um tanto negativo, após o surgimento dos crakers, uma outra vertente de hackers, que possuía, como objetivo, apenas a destruição total 16

17 dos seus alvos, fossem eles, servidores corporativos, sítios (sites) de internet, o micro do amigo de escola ou a Nasa. O princípio cracker é parte do Cyberterrorismo, muito temido hoje, mudaram alguns alvos, o objetivo passou a ser mais político, mas o conceito destrutivo ainda é muito parecido com o anterior. Mantido por grupos terroristas e governos repressores ou totalitários, que visam destruir sistemas de serviços vitais de outras nações, para que o caos ocorra, os ataques crackers a servidores de DNS (domain name system sistema de nomes de domínios), servidores de arquivos de grandes corporações, roteadores fundamentais, são exemplos constantes, além da criação de vírus poderosos e programas de ataques mais letais. No Cyberterrorismo, os focos dos ataques são serviços de tráfego, grandes hospitais, centrais elétricas, usinas nucleares, serviços de vôos, bancos, bolsas de valores, sistemas de satélite, sistema de coordenadas de mísseis, serviços públicos, usinas nucleares. Apesar de existir esta ameaça, invisível, as grandes corporações atualmente adotam uma prática um pouco diferente das que eram realizadas uma década atrás, hoje, quando uma invasão é percebida ou detectada, não se faz nenhum alarde, geram-se ações rápidas de correções e tudo é feito com o máximo sigilo, pois todas estas empresas possuem ações nas bolsas de valores e clientes potenciais em várias partes do mundo. Como exemplo hipotético de uma ação deste tipo, poderemos citar um grande banco invadido, onde no dia seguinte todos os seus clientes fiquem sabendo através dos noticiários que suas contas estão inseguras e passíveis de roubo através do sistema. Certamente todos os clientes retirariam os seus valores, fechariam as suas contas, colocariam os seus montantes em outro banco que lhes desse mais segurança. Atualmente, segurança e negócios caminham lado a lado. Os ataques crackers foram os mais destrutivos e chegaram a causar prejuízos de milhares de dólares as redes corporativas, pois nesta época os sistemas eram inseguros e não existiam planos de contingências ou de segurança. Segundo Resende (2005, p.294): Um plano de segurança diz respeito à gestão de dados e informações, que compreende as atividades de guarda e recuperação de dados, do tratamento dos níveis e controle de acesso das informações, constituindo parte da tecnologia da informação da organização. Ainda segundo Sá (2005), nem só de ataques viviam os hackers, Richard Stallman, consolida toda o pensamento hacker ao fundar da Free Software Fundation ( FSF) em 1984, 17

18 com a idéia de desenvolver um sistema operacional livre, criou o projeto GNU (Gnu s Not a Unix), sendo este o embrião de todo conceito do software livre que possuímos hoje, Linux, BSD, FreeBSD, etc, produzir e distribuir o software livremente. A idéia de Stallman prega uma liberdade na utilização do software e o livre a que ele se refere em seu manifesto significava que o usuário teria plenos poderes na utilização e modificação do código do mesmo, conforme as suas necessidades, sem solicitar a permissão da fonte criadora e ainda poderia redistribuir o mesmo software com todas as modificações implementadas. Stalmman vislumbrou a idéia de um software livre quando ainda trabalhava em um grande instituto de pesquisa americano e teve problemas com um driver de uma impressora HP (programa interno que controla as funções de impressão), quando este apresentou problemas, Stallman fez uma solicitação à empresa criadora, que não o atendeu dentro das suas solicitações, ele então, escreveu um novo driver, melhor que o original e começou a distribuí-lo livremente, estava criado então um dos primeiros softwares livres. Ainda segundo Sá (2005) na Finlândia, um outro hacker, chamado Linus Torvalds, ao alterar os códigos do kernel (núcleo) do sistema operacional Minix, cria o sistema operacional Linux, um sistema livre, onde qualquer pessoa com alguns conhecimentos de programação, poderia mudá-lo como desejasse. 2.5 O TCP/IP COMO FACILITADOR Os ataques, associados aos vírus de computadores passaram a agir sobre as vulnerabilidades ou processos até então desconhecidos dos protocolos das redes, principalmente sobre o protocolo TCP/IP, utilizando-os de forma irregular, mudando suas ações naturais, tornando as redes lentas, danificando-as temporariamente ou provocando danos irreversíveis em servidores e serviços. Como diz Davidson (2009): Não existem novos problemas de segurança, continuamos a ter velhos problemas com novos protocolos. A visão e esperança vigente na época dos ataques e invasões em massa, por volta de 1998, era a de criação de um antídoto, uma espécie de antivírus para a rede, uma proteção eficiente para os graves problemas que surgiam e que traziam prejuízos econômicos graves para as corporações, quando estas começavam a migrar seus negócios para a internet. 18

19 2.6 A BATALHA DOS BITS Diversas formas e tipos de ataques ocorriam a cada instante e isto preocupava os grandes provedores e as grandes corporações que utilizavam novas tecnologias para aumentar a captação de recursos dos seus negócios, mas a sombra dos crackers e vírus os perseguiam. Muitos produtos foram criados e prometiam a proteção total ou definitiva, mas os hackers e crackers evoluíam e criavam novos desafios. Esta batalha parecia não ter fim, a solução corporativa encontrada foi tentar contatar estes hackers e cracker, contratá-los de uma forma velada, a peso de ouro, para que suas redes pudessem ser protegidas e defendidas de possíveis invasores. A idéia era simples, mas de grande eficiência, se você não pode com os inimigos, junte-se a eles; ser defendido por quem realmente conhecesse os dois lados, parecia uma boa solução. A luta era intensa, uns criando ferramentas de proteção e outros gerando novos códigos de ataques. 2.7 UMA LUZ NO FIM DO TÚNEL Em determinado instante da internet, por volta do início dos anos 2000, começaram a surgir ferramentas mais eficientes no que dizia respeito à proteção das redes, os programas eram unitários, básicos, modulares, cada um deles dedicados a um determinado tipo de proteção ou de serviço. A maior parte destes programas, voltados para o sistema operacional Unix ou para o Linux, que são sistemas coesos e muito usados na área de segurança, que por exigirem um conhecimento maior no uso de suas ferramentas de exploração e comandos, dava uma maior estabilidade e credibilidade no que se referia a proteção e segurança. Os hackers e crackers evoluíam e conseguiam descobrir novas vulnerabilidades nos sistemas operacionais e nos protocolos das redes. Era preciso criar algo mais efetivo, concentrado e que pudesse proteger uma rede dos ataques mais freqüentes e que gerasse relatórios com informações dos tipos de ataques e das vulnerabilidades presentes em programas e protocolos. 19

20 2.8 O IDS OSSIM Na Espanha, na metade da primeira década dos anos 2000, um grupo de pessoas ligadas à segurança de sistemas e redes, reuniram-se através da internet com outros grupos de programadores, hackers, crackers, de diversos países e imaginaram uma suíte que integrasse todas os programas livres de proteção de redes em um só lugar, controlados através de uma interface gráfica web. Nascia então, a primeira versão do OSSIM. O OSSIM, este detector de intrusos, possui diferentes ferramentas de proteção para redes e serviços, programas livres que foram disponibilizados através de downloads na internet por outros desenvolvedores. Estes programas (softwares) após serem validados e testados em suas funcionalidades e eficiências, passaram por um período de aprovação e de estabilidade e então foram agregados à suíte. Este procedimento é muito comum nos grupos de produção de software livre, primeiro verifica-se a estabilidade do software, depois o coloca em produção, gerando assim uma versão estável. Os seguintes programas foram anexados ao OSSIM por suas qualidades e segurança, ainda existindo na versão atual conforme informa a empresa Alien Vault em seu sítio (site), que faz atualmente a coordenação do produto OSSIM. Em sua estrutura atual ele possui diversos programas, o Arpwatch é usado para detectar anomalias no endereço MAC. P0f, promove a detecção passiva de sistemas operacionais e análises de troca. Pads, que detecta anomalias de serviços. Nessus é um scanner de rede, usado para detecções de vulnerabilidades (simula ataques e procura por falhas), fazendo relações cruzadas (IDS x Scanners de Segurança). Snort, um outro IDS, também usado para relações cruzadas com o Nessus. Spade, que é um engenho estatístico de detecção de anomalias dos pacotes (avalia tentativas de sniffers, floods, brutal force, entre outros tipos de ataques). Ele também é usado para validar a veracidade dos ataques sem assinaturas em redes e servidores, já que este tipo de evento é razoavelmente comum. Os programas Pads, Snort, Pam_Unix e SSHd são correlacionados. 20

21 Figura 1- Gráfico com Pads, Snort, Pam_Unix e Sshd em atividade. Figura 2 - Gráfico de eventos e sensores com Portscan, P0f, Snort_tag e Diretive_alert entre outros em atividade. Tcptrack, usado para comprovar uma ocorrência de ataque, através das informações dos dados de sessão. Ntop, este possui um banco de dados com informações da rede no qual se pode identificar ocorrências suspeitas e também detectar anomalias diversas. Nas últimas versões, foi inserido o monitor e gerenciador de redes, Nagios, um software que gera gráficos das ocorrências das redes, seus componentes e serviços, mantendo um banco de dados para consultas forenses. Existem mecanismos no Nagios que avisam em tempo real as ocorrências de falhas e quedas de links de comunicação. Para a estrutura do 21

22 OSSIM, o Nagios é um programa importante por aceitar agregados (plugins), gerando assim, uma gama muito maior de possibilidades de uso da suíte do OSSIM. Figura 3 - Interface do OSSIM apresentando o Nagios. Osíris, gerador de mapas de rede, sendo usado também como um detector. OCS-NG, uma solução de inventário. OSSEC, uma ferramenta que é um detector de integridade, detector de registros (de ataques, vírus, trojans, fishing, entre outros), programa muito importante na suíte, que também possui um detector de rootkits, que são scripts maldosos. Para o perfeito uso do OSSIM é preciso definir como ele atuará dentro da topologia projetada, atuará como servidor ou como monitor/sensor. O OSSIM, também implementa outros validadores sem grande expressão conforme informações contidas no sítio (site) da Alien Vault, que funcionam no auxílio das atividades dos outros programas, ao vasculharmos os códigos do OSSIM, ou verificarmos suas atividades, observaremos que são pequenos daemons (programas residentes), pequenos coletores de informações, verificadores de portas, pequenos scripts, etc. A suíte, nos dias atuais, gera a configuração em um único arquivo, mantendo ali, senhas e variáveis, este arquivo que é lido por diversos outros programas contidos no OSSIM, chama-se /etc/ossim/ossim_setup.conf e pode ser editado manualmente quando necessário. Após a edição do ossim_setup.conf é necessário aplicar um script para a sua validação, que é o /usr/bin/ossim-reconfigure. Existem outros arquivos editáveis em modo texto nos diretórios agent, framework, server e updates, cada um deles servindo de base das configurações. 22

23 3 DESENVOLVIMENTO DOS TESTES O OSSIM instalado e utilizado para a elaboração desta monografia, foi o da versão 2.2, uma distribuição livre voltada para a comunidade mantenedora, distribuída em formato de um arquivo ISO (padronizado pela International Standards Organization ) com aproximadamente 589 Mb, disponível em Para os testes de tentativas de invasões e de acesso ao sistema, foi usada a distribuição LINUX BT4, própria para testes de vulnerabilidades de sistemas, invasões e penetrações em sistemas diversos. Este Linux teve a sua data, hora e localização geográfica trocada para algumas cidades, como Los Angeles, Rio de Janeiro, São Paulo, Tókio, Londres, para verificar como o OSSIM se comportaria em relação ao armazenamento das informações forenses dos ataques vindas de máquinas com valores diferentes, ficou claro, nos testes, que a hora usada armazenada é a local. 3.1 INSTALAÇÃO Após o arquivo ISO ter sido baixado do sítio (site) da Alien Vault, foi gravado em um DVD com a inicialização do sistema boot, contendo o setup, um mecanismo de instalação do OSSIM, baseado no sistema operacional LINUX, distribuição DEBIAN. Foi dado um boot (inicialização) pelo DVD, carregando-o e iniciando-se a fase de instalação em uma máquina de testes, servidor (individual), possuindo as seguintes configurações, dois processadores de 1.7Ghz, 2Mb de ram, 160Gb de espaço em disco. A máquina OSSIM foi ligada a uma rede contendo uma conexão com a internet e com mais duas máquinas de testes: um laptop para acessar a console gráfica, emitir ataques e verificar as atividades e outro computador com uma máquina virtual (VirtualBox), simulando mais duas outras máquinas comuns (com diferentes sistemas operacionais conectadas a rede). 23

24 Figura 4 - Configuração da rede de testes básica. Para os testes de ataques foi usada apenas uma conexão exclusiva entre o laptop e o servidor, intermediado por um switch, em rede exclusiva para que as respostas aos eventos fossem mais rápidas e para que os ataques pudessem ser contabilizados com mais eficiência pelo servidor OSSIM. A estrutura criada para esta simulação considerou o IDS OSSIM como verificador da rede interna, após o firewal, tratando pacotes passados ou em tráfego na rede interna. A simulação de ataques partiu desta rede com o objetivo de atingir o servidor OSSIM, para assim, definir a sua eficiência mais diretamente sem o obscurecimento de tráfego de outras redes. Este formato tornou-se o mais eficaz neste teste para esta pesquisa, pois as observações das ocorrências ficaram muito mais fáceis de serem percebidas. Figura 5 - Configuração da rede de testes para os ataques. Na primeira instalação, o servidor apresentou problemas nesta nova versão, perdendo a configuração de língua selecionada (brazilian portuguese UTF-8 e ISO ), apresentando caracteres estranhos na tela de instalação. Isto ocorreu na instalação que utiliza a 24

25 console gráfica, após ter sido solicitada a instalação dos pacotes do JAVA. Para a instalação em modo texto e para os testes foi mantida a língua inglesa como padrão. Figura 6 - Instalação do OSSIM - Erro de língua padrão. Ocorreram outras tentativas, tais como instalar em modo texto, mas o sistema atingiu um determinado ponto da instalação e solicitou um arquivo inexistente no OSSIM/Debian, gravado no DVD. Outro erro ocorrido foi o da chave de autenticação GPG, para conexão e atualização de arquivos com a Alien Vault e Debian. Estes erros não existiam nas versões anteriores. Figura 7 - Erros de autenticação da chave GPG. O objetivo foi alcançado, após uma nova instalação, ao ser selecionada a opção de instalação automática, transcorrendo sem maiores problemas, apenas sendo observado que o tempo da instalação foi extremamente longo, mesmo em modo texto, levando aproximando-se uns 20 minutos, para a sua conclusão final. Durante a instalação, o sistema, faz diversas perguntas ao usuário, tais como o número ip (número único para identificação do servidor em uma rede tcp/ip), número do 25

26 gateway (máquina de conexão/saída para a internet), número da rede onde será instalado o servidor, senha do usuário root (usuário com maior poder dentro do sistema LINUX), nome do servidor, posição geográfica para acerto do relógio em relação ao sistema de tempo GMT. O mais importante questionamento feito ao usuário e que poderia passar quase despercebido, fica em uma das primeiras telas do OSSIM, apresentada logo após o boot, é uma solicitação do tipo de instalação que será executada, servidor ou agente/sensor, uma escolha errada neste ponto, pode causar problemas posteriores, pois as duas formas de atuação do OSSIM são bem distintas em seu uso e servem para necessidades diferentes. Uma observação importante constatada logo após este ponto, é a de que existe um erro por sobreposição de imagens e menus, o que gera uma dificuldade muito grande para ler o que está escrito nas opções, já que os caracteres estão na cor branca, quase sumindo em um fundo azul claro, além de outras informações de fundo que ajudam a complicar ainda mais a leitura. Figura 8 - Tela de instalação do OSSIM com erros de sobreposições na escolha do menu. Um outro fator a ser observado é o tempo da carga dos programas que fazem parte da suíte do IDS OSSIM, durante o boot, demoraram bastante para serem carregados na primeira vez em que o mesmo foi iniciado, aproximadamente nove minutos, o sistema carrega programas, cria arquivos de logs e gera alguns pipes (canais de comunicação e transferência de informações entre programas). Muitas estruturas são construídas, preparadas e carregadas nesta hora, há uma sobrecarga do sistema, o que cria uma alta atividade nos processadores. Este tempo de carga, no servidor de testes, foi de nove minutos na primeira vez e de uns três minutos e vinte e sete segundos na segunda vez. 26

27 3.2 SERVIDOR OU SENSOR? Foram verificadas duas formas distintas de instalações funcionais para o OSSIM, a primeira possibilidade é a que o configura como servidor (server), onde todos os dados colhidos por agentes/sensores são enviados para serem processados no servidor, sendo esta comunicação feita através de mensagens criptografadas e o reconhecimento de uma mensagem vinda de um agente/sensor é identificada através de uma chave de autenticação, também criptografada, isto serve para que não haja conflitos com as informações rotineiras da rede e também para manter a veracidade das mensagens. A segunda possibilidade é instalá-lo como sensor agents (agente/sensor), onde o OSSIM se torna um mero coletor de informações, não processando quase nada, enviando os dados capturados para outra máquina presente na rede, configurada como servidor. Trabalhando com as suas interfaces em modo promíscuo, neste modo, as interfaces de rede coletam tudo o que passar por elas, sem nenhum questionamento ou testes, recebendo todo o trânsito de pacotes da rede. O OSSIM configurado desta forma garante que quase todos os pacotes serão coletados e entregues ao servidor OSSIM, para uma análise detalhada. Segundo Casal, os programas internos do OSSIM são divididos em dois grupos: monitores e detectores (monitors e detectors), que são controlados por padrões definidos que usam assinaturas ou regras, são estas divisões que produzem se o OSSIM será instalado como servidor ou como sensor. Na figura 9 temos a visão de uma instalação de um servidor OSSIM coletando informações dos sensores que provem informações de diversas redes (rede 01, rede 02 e rede 03), observando que um dos sensores recolhe informações antes do firewall, na conexão direta com a internet. Figura 9 - Servidor e Sensores OSSIM. 27

28 No OSSIM atual, não existe mais acesso a terceira opção, ainda presente no software OSSEC, que é a de configurar o OSSIM como Local, uma opção retirada nas configurações feitas através da interface gráfica. Este modo de configuração permitia que todos os fluxos da rede pudessem ser coletados e analisados em uma mesma máquina, este formato era ideal para uma rede muito pequena, com poucas máquinas, mas que possuía a necessidade de ser analisada. Esta configuração que ainda existe no OSSEC, no OSSIM, foi transformada na configuração de atuação servidor, que aplica no equipamento uma espécie de servidor/agente/sensor, ou seja, tudo em um mesmo local. Para Casal, em uma topologia complexa podem existir quantos agentes/sensores sejam necessários para a captura de informações das diversas redes existentes, assim como, podem existir diversos servidores para processar um grande número de informações. Em algumas situações, em redes extremamente grandes, pode existir um servidor OSSIM principal conectado a outros servidores OSSIM, que por sua vez estariam interligados a agentes/sensores. Estes servidores intermediários enviariam para o servidor principal as informações relevantes de suas redes, filtradas e processadas. Este tipo de configuração não é muito difundido, devido ao seu alto grau de complexidade. Devemos lembrar que agentes/sensores dependem sempre de servidores, pois estes são apenas coletores de informações passantes que não processam ou filtram quase nada, apenas colhem, fazem uma pequena verificação e enviam ao servidor. Estes mecanismos, muito distintos entre si, causam certa confusão se não forem especificados antes da sua instalação e configuração em um projeto de segurança. Quando a instalação requerida transcorre como server (servidor), significa que a máquina configurada executará todo o trabalho de processamento, validação, filtragem de dados, gerador de gráficos e armazenamento de informações. Os dados obtidos são comparados com as assinaturas de ataques ou de vírus, para que se possa ter uma resposta imediata antes da ocorrência efetiva de um sinistro. Um servidor pode ser configurado para receber informações de inúmeros agentes/sensores desde que possua uma boa capacidade de processamento. Este processo de múltiplas máquinas OSSIM é o ideal para backbones, a espinha dorsal das grandes redes corporativas, ou redes médias, onde por ventura, sejam extensas e possuam múltiplas outras redes anexadas, conectadas ou não a internet, gerando assim, a 28

29 necessidade de um monitoramento intensivo por correrem riscos de ataques ou uso indevido de seus recursos por usuários internos e externos. Para redes pequenas, a instalação do OSSIM apenas como servidor, contemplando as duas funções, é a mais recomendada, basta que o servidor OSSIM possua diversas interfaces de redes conectadas a ele e estas as redes que serão analisadas, apresentando assim, uma razoável performance, não sendo necessários servidores de extrema capacidade de processamento. Em alguns países da Europa (Espanha, Inglaterra, França), o OSSIM é usado em proteção de backbones, que tratam sistemas de telefonia com acessos web e redes ligadas a comércio eletrônicos. 3.3 FRAMEWORK / CONSOLE GRÁFICA Um dos recursos do OSSIM muito importante é o seu framework, ou seja, a sua console gráfica, onde através desta, pode-se configurar quase todos os programas instalados e receber informações de ocorrências, vulnerabilidades, ataques, visualizar gráficos de usos e outras atividades. Segundo Jan, quando elucida sobre a interface do OSSIM em seu sítio (site), diz que na aba principal (main) de configurações (configurations), existem mais de dezessete sessões básicas, iniciais, que podem ser configuradas para que o OSSIM possa começar a operar com segurança, ao testarmos nesta pesquisa, confirmamos a veracidade destas informações. Na página inicial da console gráfica, as primeiras e mais relevantes imagens que são vistas, representam os gráficos de alertas e eventos e de ataques, que são fundamentais para saber com exatidão o que está acontecendo na rede. 29

30 Figura 10 - Console gráfica (framework) do OSSIM. O acesso a console gráfica do OSSIM foi feita através de outra máquina, um laptop, sendo acessado através do navegador (browser). Como o OSSIM possui um servidor web comum, para as funções destes serviços, é usado o servidor web Apache / Tom Cat. Apesar de ter grande parte da sua base na linguagem de programação PHP, o OSSIM possui módulos em outras linguagens e frameworks de programação, tais como Javascript, JQuery, CSS, Ajax, Phyton, etc. A console gráfica do OSSIM apresenta alta qualidade gráfica, com a utilização de Ajax, o que consolida um designer moderno e com grande praticidade de uso. Com a aplicação do conceito de abas o acesso à informação tornou-se muito prático, concentrado e mais rápido do que em versões anteriores. As funcionalidades também melhoraram, devido ao uso de bibliotecas gráficas usadas no PHP para a geração de gráficos e outros recursos. Uma das coisas mais surpreendentes nesta versão do OSSIM é a utilização de um gerador de mapas de redes chamado Osíris, que apresenta de forma gráfica a estrutura da rede, formando uma espécie de leque com as informações dos servidores e clientes da mesma. Na mesma linha do Osíris, mas com conceitos diferentes, está outro poderoso programa, o Nagios, que armazena em tempo real as ocorrências da rede, apresentando a utilização e as falhas dos links de comunicação da rede, tudo isto de forma gráfica na console. 30

31 Uma outra informação bastante interessante e útil para o gerenciamento e gestão de TI é a apresentação dos tipos de acessos efetuados pelas máquinas presentes na rede, tudo isto de forma gráfica, mostrando inclusive os sítios (sites) visitados e o tempo utilizado. 3.4 ANÁLISE DOS RESULTADOS As configurações não são simples para por o OSSIM em operação, pois para configurá-lo deve-se dispor de um bom nível de conhecimento sobre redes e protocolos de médio para alto, pois como o OSSIM é um IDS poderoso, todos os itens de configurações devem ser avaliados, verificados e compreendidos nas suas totalidades. Um exemplo claro e prático da necessidade deste tipo de conhecimento é a utilização do Nessus, que quando usado de forma equivocada por pessoas que o desconhecem, ao iniciar sua avaliação de testes de vulnerabilidades (simulação de ataques para descobertas de falhas), o mesmo pode ser lançado contra um servidor de produção (servidor funcional) e se este possuir uma vulnerabilidade grave, poderá ocorrer negação de serviços, redução de velocidade, travamentos ou até mesmo deixar de funcionar momentaneamente, este teste pode ser considerado perigoso quando habilitado por pessoas inexperientes ou curiosas. Este teste quando executado deve ocorrer fora dos horários de atividades das redes das empresas, de preferência durante os momentos de baixa atividade na mesma. As operações fundamentais do OSSIM estão diretamente relacionadas a um outro programa livre chamado OSSEC, programa que define se a instalação será Server (Servidor) ou Agent (agente/sensor/monitor), definindo o tipo de coleta de informações. A interface de configuração do OSSIM é prática, sendo bastante objetiva em suas funções, após esta configuração será gerado um arquivo que será usado como base para alguns outros programas. Ao usar o OSSIM, percebe-se logo que as configurações devem ser elaboradas da melhor forma possível; bem dimensionadas, representando a realidade da rede onde se opera, esta aproximação, com as funcionalidades da rede, minimiza drasticamente o surgimento de falsos-positivos, que são alarmes de falsas ocorrências críticas, tentativas de invasões, assinaturas de vírus, vulnerabilidades de softwares, ataques diversos (spoofing, brutal force, zumbis, etc). 31

32 Para Sisternes, o gerenciamento das informações de segurança, através do OSSIM, são confiáveis quando configuradas de forma correta. Com a utilização do painel administrador do OSSIM (através da web), vai-se configurando toda a estrutura dos softwares que se encontram em outras camadas, reduzindo-se o número de falsos-positivos a uma quantidade insignificante. O ideal seria aproximar este número ao mais próximo de zero, mas isto nem sempre ocorre, devido às configurações das redes serem elaboradas de formas errôneas e o uso indevido de protocolos diversos ou configurações inadequadas de elementos dos mesmos, nestes casos o número de ocorrências de falsos-positivos (falsas informações de ocorrências) sobe drasticamente, gerando incômodos em quem gerencia este tipo de rede. Na rede experimental, foi detectado um nível muito alto de falsos-positivos inicialmente e alarmes vindos do programa Nagios, principalmente com referências a espaço em disco devido ao rápido crescimento dos arquivos de logs e outras utilizações de espaço para dados, arquivos temporários e crescimento dos registros do banco de dados. Foram observados avisos falsos de possibilidades de intrusão por warm na porta TCP 139, que foi solucionado com algumas verificações e configurações. A senha de acesso a console gráfica foi um outro problema apresentado, pois mesmo sendo informada a correta (admin - admin) gerados pela Alien Vault, esta não funcionou, uma cópia do arquivo de configuração original de uma outra instalação anterior substituiu o arquivo defeituoso, o sistema manteve a senha e o usuário padrão, permitindo a troca por outra senha diferente. Este processo, nos primeiros momentos, apresentou um pouco de trabalho para ser superado, sem acesso, quase nada se podia fazer. A maior facilidade encontrada foi à configuração do sistema através da interface gráfica e a visualização das ocorrências e utilização dos serviços através de gráficos e listagens. Para Stender, devido à dificuldade de se realizar testes de segurança e da necessidade da manutenção do nível de qualidade que se deseja durante e depois do processo, a aplicação de testes em sistemas ou programas desta espécie, podem ser funcionais ou não funcionais, dependendo apenas da forma de como o mesmo é aplicado, já que se visa conseguir um alto nível de respostas. Para os teste de ataques aplicados aqui e de acordo com o que diz Herzog, existem dois tipos de ataques, o ataque passivo, que tem como objetivo recolher informações irrelevantes, que não possuam muita influência direta ou muita importância e onde este tipo de ataque quase nunca transpassa os limites do atacado. O outro tipo de ataque é o intrusivo, que passa as barreiras legais do atacado e que tem por objetivo, recolher 32

33 dados importantes, podendo ser monitorado e ativar algum tipo de recurso de segurança no atacado. Será usado para esta pesquisa o ataque intrusivo para testes funcionais. Os tipos de testes aplicados contra o IDS OSSIM usaram o conceito de testes Black Box, onde os testes são elaborados como caixas pretas fechadas, ou seja, não sendo necessário saber, cada passo que os programas de testes executam, observando-se apenas os resultados de suas saídas. Os testes foram aplicados com o uso do LINUX BT4, próprio para explorar sistemas operacionais, protocolos usados em redes e para executar testes de segurança. Figura 11 - LINUX Back Track em uso. Segundo Karg é possível verificar e bloquear a ação de exploradores (exploits) através do OSSIM com este determinando os níveis de riscos. Para os testes aplicados contra o servidor, foram selecionados; Fast Track que é um teste de penetração (penetration test), no qual foram usados módulos de ataque em massa contra o servidor (mass cliente-side), um módulo de ataque que tentou derrubar o servidor (attack), um outro módulo com o qual foram aplicados 201 tipos diferentes de exploradores (exploits) com a intenção de se conseguir algum tipo de acesso ou descobrir alguma vulnerabilidade no servidor visando com isto, executar uma conexão indevida. Todos foram lançados contra as portas mais comuns usadas por programas, 22, 80, 8080, 514 e Conforme diz Karg, para coletar este tipo de informação e não permitir que o atacante tenha sucesso em seus objetivos, é necessário que os serviços dos agentes e dos servidores estejam ativos e configurados. 33

34 Figura 12 - Ataque do Fast Track, incluso no Back Track, contra as portas 22, 80, 8080, 514 e 3000 com detecção do OSSIM para os eventos nestas portas. Para Wang (2004), um explorador (exploit) de segurança se manifesta claramente com a presença de uma falha de segurança, mas nem sempre um defeito que ocorre na segurança causa uma exploração. Depois do teste de exploradores (exploits), foi executado um teste com o mesmo programa Fast Track, só que desta vez focado em uma falha existente em servidores Windows e no protocolo de FTP e suas portas. O teste visava tentar atacar uma máquina Windows, presente na rede através do protocolo TFTP e torná-la inoperante. O OSSIM detectou este evento e muitos outros eventos internos, inerentes aos ataques. Figura 13 - Fat-Track em ação e OSSIM detectando tentativas de ataques. Os programas Metasploited e Autopwn Automation, foram utilizados para tentar acessar o servidor através de alguma falha em portas altas. O Firefox Heap Spray que simula uma conexão com o servidor como se fosse um navegador (browser) requisitando informações, mas a idéia era gerar uma queda (crash) no servidor por excesso destas requisições. Através do Autopwnpost, tentou-se injetar e explorar informações do servidor. Para todos estes programas, aplicados contra o servidor OSSIM, todos os exploradores (exploits) foram 34

35 detectados e o servidor OSSIM não permitiu nenhum tipo de acesso, conexão, roubo de senhas ou arquivos, bloqueando os acessos e registrando as ocorrências. O programa AutoScan Network, um scaner de rede não conseguiu conectar-se ao servidor OSSIM, pois não encontrou nenhuma porta ou programa com vulnerabilidade. Segundo Junior (2010), para estes tipos de ataques, o ideal é que o sistema de proteção não responda nada para o sistema atacante e nem gere nenhum contra-ataque para o ip invasor, que apenas o bloqueie, se proteja, gere informações forenses e alerte, pois isto irá criar um desinteresse no hacker com referência ao sistema atacado, não o sensibilizando com informações que possam ser relevantes para uma possível descoberta de vulnerabilidade no sistema atacado. Figura 14 - MetaSploited e AutoScan network em atuação, tendo suas conexões recusadas pelo OSSIM (connection refused). Foi elaborado um teste de brutal force e um do mesmo tipo para SSH (SSh Bruteforced), para possível quebra de senhas e acessos indevidos, ambos programas foram interceptados e detectados pelo servidor OSSIM. Outras tentativas de burlar o sistema também foram geradas e nada significante foi conseguido, apesar de ter sido usado o programa Nemesis, um injetor de pacotes que trabalha com os protocolos da rede para conseguir a violação no servidor. Nada foi conseguido com este tipo de programa, pois o OSSIM conseguiu registrar as ocorrências e eventos contra as portas TCP/UDP. 35

36 Figura 15 - OSSIM detectando ataques contra as portas TCP e UDP. Contra o banco de dados, foram lançadas tentativas de conexões, de recuperação de informações internas ou para ganhar acesso ao mesmo, na expectativa de conseguir executar a troca de sua senha principal. Foram usados os programas DBPwAudit, que faria uma conexão e traria informações importantes do banco de dados. SQLCheck, que apresenta informações do banco em modo texto e SQLMAP que produz um mapeamento do banco de dados. O primeiro programa não conseguiu conexão, o segundo trouxe linhas de dados falsas (false strings) e o terceiro nada apresentou, a não ser o apagamento da tela do equipamento atacante. Todos os programas foram bloqueados ou detectados pelo OSSIM. Figura 16 - SQLChech apresentando caracteres estranhos. Foram gerados alguns testes de SQL injection, que consistiu em tentar enviar comandos ou substituições de valores, através da linha de endereço do navegador (browser), tentando com isto, apagar tabelas do banco de dados, trocar a senha de usuários de programas, etc. No teste aqui elaborado, serviu para verificar a consistência da passagem de parâmetros através 36

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Gerência de Redes Segurança

Gerência de Redes Segurança Gerência de Redes Segurança Cássio D. B. Pinheiro cdbpinheiro@ufpa.br cassio.orgfree.com Objetivos Apresentar o conceito e a importância da Política de Segurança no ambiente informatizado, apresentando

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Tópicos Motivação; Características; Histórico; Tipos de detecção de intrusão; Detecção de intrusão baseada na rede; Detecção

Leia mais

Firewall. Alunos: Hélio Cândido Andersson Sales

Firewall. Alunos: Hélio Cândido Andersson Sales Firewall Alunos: Hélio Cândido Andersson Sales O que é Firewall? Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre seu computador e a Internet (ou entre a

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 7: IDS e Honeypots Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução IDS = Intrusion Detection Systems (Sistema de Detecção de Invasão) O IDS funciona sobre

Leia mais

Winconnection 6. Internet Gateway

Winconnection 6. Internet Gateway Winconnection 6 Internet Gateway Descrição Geral O Winconnection 6 é um gateway de acesso à internet desenvolvido dentro da filosofia UTM (Unified Threat Management). Assim centraliza as configurações

Leia mais

Riscos, Ameaças e Vulnerabilidades. Aécio Costa

Riscos, Ameaças e Vulnerabilidades. Aécio Costa Riscos, Ameaças e Vulnerabilidades Aécio Costa Riscos, Ameaças e Vulnerabilidades Independente do meio ou forma pela qual a informação é manuseada, armazenada, transmitida e descartada, é recomendável

Leia mais

INSTALAÇÃO PRINTERTUX Tutorial

INSTALAÇÃO PRINTERTUX Tutorial INSTALAÇÃO PRINTERTUX Tutorial 2 1. O Sistema PrinterTux O Printertux é um sistema para gerenciamento e controle de impressões. O Produto consiste em uma interface web onde o administrador efetua o cadastro

Leia mais

e Uso Abusivo da Rede

e Uso Abusivo da Rede SEGURANÇA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES

Leia mais

Para funcionamento do Netz, alguns programas devem ser instalados e alguns procedimentos devem ser seguidos. São eles:

Para funcionamento do Netz, alguns programas devem ser instalados e alguns procedimentos devem ser seguidos. São eles: Instalação do Netz Para funcionamento do Netz, alguns programas devem ser instalados e alguns procedimentos devem ser seguidos. São eles: Instalação do Java SE 6, que pode ser instalado através da JDK.

Leia mais

Hardening de Servidores

Hardening de Servidores Hardening de Servidores O que é Mitm? O man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados) é uma forma de ataque em que os dados trocados entre duas partes, por exemplo

Leia mais

Mecanismos para Controles de Segurança

Mecanismos para Controles de Segurança Centro Universitário de Mineiros - UNIFIMES Sistemas de Informação Segurança e Auditoria de Sistemas de Informação Mecanismos para Controles de Segurança Mineiros-Go, 12 de setembro de 2012. Profª. Esp.

Leia mais

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções.

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Esse box destina-se ao cliente que já efetuou o seu primeiro acesso e cadastrou um login e senha. Após

Leia mais

Políticas de Segurança de Sistemas

Políticas de Segurança de Sistemas Políticas de Segurança de Sistemas Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira Estudo de Boletins de Segurança O que é um boletim de segurança? São notificações emitidas pelos fabricantes

Leia mais

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente.

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente. Noções básicas sobre segurança e computação segura Se você se conecta à Internet, permite que outras pessoas usem seu computador ou compartilha arquivos com outros, deve tomar algumas medidas para proteger

Leia mais

Cartilha de Segurança para Internet

Cartilha de Segurança para Internet Comitê Gestor da Internet no Brasil Cartilha de Segurança para Internet Parte VII: Incidentes de Segurança e Uso Abusivo da Rede Versão 3.1 2006 CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes

Leia mais

UNIVERSIDADE FEDERAL DE PELOTAS

UNIVERSIDADE FEDERAL DE PELOTAS Usando um firewall para ajudar a proteger o computador A conexão à Internet pode representar um perigo para o usuário de computador desatento. Um firewall ajuda a proteger o computador impedindo que usuários

Leia mais

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso:

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso: MALWARE Spyware É o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Seguem

Leia mais

Gerenciamento de Redes

Gerenciamento de Redes Gerenciamento de Redes As redes de computadores atuais são compostas por uma grande variedade de dispositivos que devem se comunicar e compartilhar recursos. Na maioria dos casos, a eficiência dos serviços

Leia mais

ESET CYBER SECURITY PRO para Mac Guia de Inicialização Rápida. Clique aqui para fazer o download da versão mais recente deste documento

ESET CYBER SECURITY PRO para Mac Guia de Inicialização Rápida. Clique aqui para fazer o download da versão mais recente deste documento ESET CYBER SECURITY PRO para Mac Guia de Inicialização Rápida Clique aqui para fazer o download da versão mais recente deste documento ESET Cyber Security Pro fornece proteção de última geração para seu

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

ESET SMART SECURITY 7

ESET SMART SECURITY 7 ESET SMART SECURITY 7 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento

Leia mais

GUIA DE INSTALAÇÃO NETDEEP SECURE COM VIRTUAL BOX

GUIA DE INSTALAÇÃO NETDEEP SECURE COM VIRTUAL BOX GUIA DE INSTALAÇÃO NETDEEP SECURE COM VIRTUAL BOX NETDEEP SECURE COM VIRTUAL BOX 1- Visão Geral Neste manual você aprenderá a instalar e fazer a configuração inicial do seu firewall Netdeep Secure em um

Leia mais

Via Prática Firewall Box Gateway O acesso à Internet

Via Prática Firewall Box Gateway O acesso à Internet FIREWALL BOX Via Prática Firewall Box Gateway O acesso à Internet Via Prática Firewall Box Gateway pode tornar sua rede mais confiável, otimizar sua largura de banda e ajudar você a controlar o que está

Leia mais

Tipos de pragas Virtuais; Como funciona os antivírus; Principais golpes virtuais; Profº Michel

Tipos de pragas Virtuais; Como funciona os antivírus; Principais golpes virtuais; Profº Michel Tipos de pragas Virtuais; Como funciona os antivírus; Principais golpes virtuais; Profº Michel Tipos de pragas virtuais 1 Vírus A mais simples e conhecida das ameaças. Esse programa malicioso pode ligar-se

Leia mais

ESET SMART SECURITY 8

ESET SMART SECURITY 8 ESET SMART SECURITY 8 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento

Leia mais

O que temos pra hoje?

O que temos pra hoje? O que temos pra hoje? Temas de Hoje: Firewall Conceito Firewall de Software Firewall de Softwares Pagos Firewall de Softwares Grátis Firewall de Hardware Sistemas para Appliances Grátis UTM: Conceito Mão

Leia mais

Symantec Endpoint Protection 12.1 Segurança inigualável. Performance superior. Projetado para ambientes virtuais.

Symantec Endpoint Protection 12.1 Segurança inigualável. Performance superior. Projetado para ambientes virtuais. Segurança inigualável. Performance superior. Projetado para ambientes virtuais. Visão Geral Com o poder do Symantec Insight, o Symantec Endpoint Protection é a segurança rápida e poderosa para endpoints.

Leia mais

A utilização das redes na disseminação das informações

A utilização das redes na disseminação das informações A utilização das redes na disseminação das informações Elementos de Rede de computadores: Denomina-se elementos de rede, um conjunto de hardware capaz de viabilizar e proporcionar a transferência da informação

Leia mais

PTA Versão 4.0.6 21/11/2012 Manual do Usuário ÍNDICE

PTA Versão 4.0.6 21/11/2012 Manual do Usuário ÍNDICE ÍNDICE INTRODUÇÃO... 2 Finalidade do Aplicativo... 2 Notas sobre a versão... 2 INSTALAÇÃO DO APLICATIVO... 3 Privilégios necessários para executar o instalador... 3 VISÃO GERAL DO PTA... 4 Quando utilizar

Leia mais

http://aurelio.net/vim/vim-basico.txt Entrar neste site/arquivo e estudar esse aplicativo Prof. Ricardo César de Carvalho

http://aurelio.net/vim/vim-basico.txt Entrar neste site/arquivo e estudar esse aplicativo Prof. Ricardo César de Carvalho vi http://aurelio.net/vim/vim-basico.txt Entrar neste site/arquivo e estudar esse aplicativo Administração de Redes de Computadores Resumo de Serviços em Rede Linux Controlador de Domínio Servidor DNS

Leia mais

File Transport Protocolo - FTP. Fausto Levandoski, Marcos Vinicius Cassel, Tiago Castro de Oliveira

File Transport Protocolo - FTP. Fausto Levandoski, Marcos Vinicius Cassel, Tiago Castro de Oliveira File Transport Protocolo - FTP Fausto Levandoski, Marcos Vinicius Cassel, Tiago Castro de Oliveira Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos,

Leia mais

Segurança no Computador

Segurança no Computador Segurança no Computador Segurança na Internet: Módulo 1 (CC Entre Mar E Serra), 2008 Segurança na Internet, CC Entre Mar E Serra 1 Segurança no Computador Um computador (ou sistema computacional) é dito

Leia mais

Dicas de Segurança no uso de Computadores Desktops

Dicas de Segurança no uso de Computadores Desktops Universidade Federal de Goiás Dicas de Segurança no uso de Computadores Desktops Jánison Calixto CERCOMP UFG Cronograma Introdução Conceitos Senhas Leitores de E-Mail Navegadores Anti-Vírus Firewall Backup

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício O que é Firewall Um Firewall é um sistema para controlar o aceso às redes de computadores, desenvolvido para evitar acessos

Leia mais

Segurança exposta em Rede de Computadores. Security displayed in Computer network

Segurança exposta em Rede de Computadores. Security displayed in Computer network Segurança exposta em Rede de Computadores Security displayed in Computer network Luiz Alexandre Rodrigues Vieira Graduando em: (Tecnologia em Redes e Ambientes Operacionais) Unibratec - União dos Institutos

Leia mais

Intranets. FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO

Intranets. FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO Intranets FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO As intranets são redes internas às organizações que usam as tecnologias utilizadas na rede mundial

Leia mais

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guia de Inicialização Rápida

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guia de Inicialização Rápida Microsoft Windows 7 / Vista / XP / 2000 / Home Server Guia de Inicialização Rápida O ESET Smart Security fornece proteção de última geração para o seu computador contra código malicioso. Com base no ThreatSense,

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

SolarWinds Kiwi Syslog Server

SolarWinds Kiwi Syslog Server SolarWinds Kiwi Syslog Server Monitoramento de syslog fácil de usar e econômico O Kiwi Syslog Server oferece aos administradores de TI o software de gerenciamento mais econômico do setor. Fácil de instalar

Leia mais

Gerenciamento de Redes de Computadores. Introdução ao Gerenciamento de Redes

Gerenciamento de Redes de Computadores. Introdução ao Gerenciamento de Redes Introdução ao Gerenciamento de Redes O que é Gerenciamento de Redes? O gerenciamento de rede inclui a disponibilização, a integração e a coordenação de elementos de hardware, software e humanos, para monitorar,

Leia mais

Sistemas Operacionais

Sistemas Operacionais Sistemas Operacionais Tipos de Sistemas Operacionais Com o avanço dos computadores foram surgindo alguns tipos de sistemas operacionais que contribuíram para o desenvolvimento do software. Os tipos de

Leia mais

Capítulo 2: Introdução às redes comutadas (configuração switch)

Capítulo 2: Introdução às redes comutadas (configuração switch) Unisul Sistemas de Informação Redes de Computadores Capítulo 2: Introdução às redes comutadas (configuração switch) Roteamento e Switching Academia Local Cisco UNISUL Instrutora Ana Lúcia Rodrigues Wiggers

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Data: 22 de junho de 2004. E-mail: ana@lzt.com.br

Data: 22 de junho de 2004. E-mail: ana@lzt.com.br Data: 22 de junho de 2004. E-mail: ana@lzt.com.br Manual do Suporte LZT LZT Soluções em Informática Sumário VPN...3 O que é VPN...3 Configurando a VPN...3 Conectando a VPN... 14 Possíveis erros...16 Desconectando

Leia mais

6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma

6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma 6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma empresa. Diferente do senso comum o planejamento não se limita

Leia mais

5º Semestre. AULA 02 Introdução a Gerência de Redes (Arquitetura e Áreas de Gerenciamento)

5º Semestre. AULA 02 Introdução a Gerência de Redes (Arquitetura e Áreas de Gerenciamento) Disciplina: Gerência de Redes Professor: Jéferson Mendonça de Limas 5º Semestre AULA 02 Introdução a Gerência de Redes (Arquitetura e Áreas de Gerenciamento) 2014/1 Agenda de Hoje Evolução da Gerência

Leia mais

Utilizaremos a última versão estável do Joomla (Versão 2.5.4), lançada em

Utilizaremos a última versão estável do Joomla (Versão 2.5.4), lançada em 5 O Joomla: O Joomla (pronuncia-se djumla ) é um Sistema de gestão de conteúdos (Content Management System - CMS) desenvolvido a partir do CMS Mambo. É desenvolvido em PHP e pode ser executado no servidor

Leia mais

Payment Card Industry (PCI)

Payment Card Industry (PCI) Payment Card Industry (PCI) Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Procedimentos para o Scanning de Segurança Version 1.1 Portuguese Distribuição: Setembro de 2006 Índice

Leia mais

ESET SMART SECURITY 9

ESET SMART SECURITY 9 ESET SMART SECURITY 9 Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / XP Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento o ESET Smart Security é um software

Leia mais

Guia de Prática. Windows 7 Ubuntu 12.04

Guia de Prática. Windows 7 Ubuntu 12.04 Guia de Prática Windows 7 Ubuntu 12.04 Virtual Box e suas interfaces de rede Temos 04 interfaces de rede Cada interface pode operar nos modos: NÃO CONECTADO, que representa o cabo de rede desconectado.

Leia mais

SISTEMAS OPERACIONAIS. 01) Considere as seguintes assertivas sobre conceitos de sistemas operacionais:

SISTEMAS OPERACIONAIS. 01) Considere as seguintes assertivas sobre conceitos de sistemas operacionais: SISTEMAS OPERACIONAIS 01) Considere as seguintes assertivas sobre conceitos de sistemas operacionais: I. De forma geral, os sistemas operacionais fornecem certos conceitos e abstrações básicos, como processos,

Leia mais

Guia do funcionário seguro

Guia do funcionário seguro Guia do funcionário seguro INTRODUÇÃO A Segurança da informação em uma empresa é responsabilidade do departamento de T.I. (tecnologia da informação) ou da própria área de Segurança da Informação (geralmente,

Leia mais

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira Segurança e Informação Ativo de ouro dessa nova era Aula 01 Soraya Christiane / Tadeu Ferreira Informação É o ativo que tem um valor para a organização e necessita ser adequadamente protegida (NBR 17999,

Leia mais

Gerência de Redes e Serviços de Comunicação Multimídia

Gerência de Redes e Serviços de Comunicação Multimídia UNISUL 2013 / 1 Universidade do Sul de Santa Catarina Engenharia Elétrica - Telemática 1 Gerência de Redes e Serviços de Comunicação Multimídia Aula 3 Gerenciamento de Redes Cenário exemplo Detecção de

Leia mais

Manual. Honeypots e honeynets

Manual. Honeypots e honeynets Manual Honeypots e honeynets Honeypots No fundo um honeypot é uma ferramenta de estudos de segurança, onde sua função principal é colher informações do atacante. Consiste num elemento atraente para o invasor,

Leia mais

FACULDADE DE TECNOLOGIA DE OURINHOS SEGURANÇA DA INFORMAÇÃO. Felipe Luiz Quenca Douglas Henrique Samuel Apolo Ferreira Lourenço Samuel dos Reis Davi

FACULDADE DE TECNOLOGIA DE OURINHOS SEGURANÇA DA INFORMAÇÃO. Felipe Luiz Quenca Douglas Henrique Samuel Apolo Ferreira Lourenço Samuel dos Reis Davi FACULDADE DE TECNOLOGIA DE OURINHOS SEGURANÇA DA INFORMAÇÃO Felipe Luiz Quenca Douglas Henrique Samuel Apolo Ferreira Lourenço Samuel dos Reis Davi ENDIAN FIREWALL COMMUNITY 2.5.1 OURINHOS-SP 2012 HOW-TO

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Professor: Cleber Schroeder Fonseca cleberfonseca@charqueadas.ifsul.edu.br 8 1 SEGURANÇA EM REDES DE COMPUTADORES 2 Segurança em redes de computadores Consiste na provisão de políticas

Leia mais

GTS.15 Grupo Técnico em Segurança de Redes Marco Antônio Abade

GTS.15 Grupo Técnico em Segurança de Redes Marco Antônio Abade GTS.15 Grupo Técnico em Segurança de Redes Marco Antônio Abade sobre o Autor Bacharel em Análise de Sistemas pela Universidade de Ribeirão Preto e Pós-graduado em Segurança da Informação pelo ITA Instituto

Leia mais

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com /

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / andre.belini@ifsp.edu.br MATÉRIA: SEGURANÇA DA INFORMAÇÃO Aula N : 09 Tema:

Leia mais

Configurando opções do servidor de páginas e do servidor ftp.

Configurando opções do servidor de páginas e do servidor ftp. Configurando opções do servidor de páginas e do servidor ftp. Após ter criado um diretório virtual, quer seja de http ou de ftp, você pode configurar uma série de opções para este diretório. As configurações

Leia mais

Os riscos que rondam as organizações

Os riscos que rondam as organizações Os riscos que rondam as organizações Os potenciais atacantes O termo genérico para identificar quem realiza o ataque em um sistema computacional é hacker. Os hackers, por sua definição original, são aqueles

Leia mais

Segurança de Rede Prof. João Bosco M. Sobral 1

Segurança de Rede Prof. João Bosco M. Sobral 1 1 Sinopse do capítulo Problemas de segurança para o campus. Soluções de segurança. Protegendo os dispositivos físicos. Protegendo a interface administrativa. Protegendo a comunicação entre roteadores.

Leia mais

Técnico de Informática. Modulo II Segurança de Redes. Profª. Vanessa Rodrigues. Firewall

Técnico de Informática. Modulo II Segurança de Redes. Profª. Vanessa Rodrigues. Firewall Técnico de Informática Modulo II Segurança de Redes Profª. Vanessa Rodrigues Firewall Introdução Mesmo as pessoas menos familiarizadas com a tecnologia sabem que a internet não é um "território" livre

Leia mais

CA Nimsoft Monitor para servidores

CA Nimsoft Monitor para servidores DOCUMENTAÇÃO TÉCNICA Setembro de 2012 CA Nimsoft Monitor para servidores agility made possible CA Nimsoft para monitoramento de servidores sumário CA Nimsoft Monitor para servidores 3 visão geral da solução

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion Principais tecnologias front-end HTML CSS JAVASCRIPT AJAX JQUERY FLASH JAVA APPLET Linguagens que executam no cliente HTML

Leia mais

Documento de Requisitos de Rede (DRP)

Documento de Requisitos de Rede (DRP) Documento de Requisitos de Rede (DRP) Versão 1.2 SysTrack - Grupo 1 1 Histórico de revisões do modelo Versão Data Autor Descrição 1.0 30/04/2011 João Ricardo Versão inicial 1.1 1/05/2011 André Ricardo

Leia mais

Senha Admin. Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização

Senha Admin. Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização Manual do Nscontrol Principal Senha Admin Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização Aqui, você poderá selecionar quais programas você quer que

Leia mais

Autoria Web Apresentação e Visão Geral sobre a Web

Autoria Web Apresentação e Visão Geral sobre a Web Apresentação e Visão Geral sobre a Web Apresentação Thiago Miranda Email: mirandathiago@gmail.com Site: www.thiagomiranda.net Objetivos da Disciplina Conhecer os limites de atuação profissional em Web

Leia mais

Conhecer as características e possibilidades do SO GNU Linux como servidor em uma rede; Analisar a viabilidade de implantação do sistema em OM do

Conhecer as características e possibilidades do SO GNU Linux como servidor em uma rede; Analisar a viabilidade de implantação do sistema em OM do OBJETIVOS Conhecer as características e possibilidades do SO GNU Linux como servidor em uma rede; Analisar a viabilidade de implantação do sistema em OM do Exército Brasileiro. SUMÁRIO 1. Introdução 2.

Leia mais

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo.

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo. Gerenciamento de segurança on-line White paper Dezembro de 2007 As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns Página 2 Conteúdo 2 Introdução 3 Compreendendo ataques

Leia mais

LANDesk Security Suite

LANDesk Security Suite LANDesk Security Suite Proporcione aos seus ativos proteção integrada a partir de uma console única e intuitiva que integra múltiplas camadas de segurança. Aplique políticas de segurança à usuários e dispositivos

Leia mais

Hardening de Servidores O que é Mitm? Hardening

Hardening de Servidores O que é Mitm? Hardening Hardening de Servidores O que é Mitm? O man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados) é uma forma de ataque em que os dados trocados entre duas partes, por exemplo

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Segurança e Vulnerabilidades em Aplicações Web jobona@terra.com.br Definição: Segurança Segundo o dicionário da Wikipédia, o termo segurança significa: 1. Condição ou estado de

Leia mais

Firewall. Qual a utilidade em instalar um firewall pessoal?

Firewall. Qual a utilidade em instalar um firewall pessoal? Firewall Significado: Firewall em português é o mesmo que parede cortafogo, um tipo de parede, utilizada principalmente em prédios, que contém o fogo em casos de incêndio. O firewall da informática faz

Leia mais

1 de 5 Firewall-Proxy-V4 :: MANTENDO O FOCO NO SEU NEGÓCIO ::

1 de 5 Firewall-Proxy-V4 :: MANTENDO O FOCO NO SEU NEGÓCIO :: 1 de 5 Firewall-Proxy-V4 D O C U M E N T A Ç Ã O C O M E R C I A L FIREWALL, PROXY, MSN :: MANTENDO O FOCO NO SEU NEGÓCIO :: Se o foco do seu negócio não é tecnologia, instalar e manter por conta própria

Leia mais

ATIVIDADE 1. Redes Windows. 1.1 Histórico do SMB

ATIVIDADE 1. Redes Windows. 1.1 Histórico do SMB ATIVIDADE 1 Redes Windows Falar sobre Samba e redes mistas Windows / Linux, sem antes explicar o conceito básico de uma rede não parece correto e ao mesmo tempo, perder páginas e mais páginas explicando

Leia mais

Prevenção. Como reduzir o volume de spam

Prevenção. Como reduzir o volume de spam Prevenção Como reduzir o volume de spam A resposta simples é navegar consciente na rede. Este conselho é o mesmo que recebemos para zelar pela nossa segurança no trânsito ou ao entrar e sair de nossas

Leia mais

Em informática, um vírus de computador é um software malicioso que vem sendo desenvolvido por programadores que, tal como um vírus biológico, infecta

Em informática, um vírus de computador é um software malicioso que vem sendo desenvolvido por programadores que, tal como um vírus biológico, infecta Em informática, um vírus de computador é um software malicioso que vem sendo desenvolvido por programadores que, tal como um vírus biológico, infecta o sistema, faz cópias de si mesmo e tenta se espalhar

Leia mais

Ferramentas e Diferentes tipos de Ataques Objetivo: Fundamentar as diferentes técnicas de ataques hackers e suas ferramentas.

Ferramentas e Diferentes tipos de Ataques Objetivo: Fundamentar as diferentes técnicas de ataques hackers e suas ferramentas. 02/12/2014 Tipos de Ataque Segurança em Redes de Computadores Emanuel Rebouças, MBA Disciplina: SEGURANÇA EM REDES DE COMPUTADORES / Módulo: INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Copyright 2014 AGENDA Ferramentas

Leia mais

GLADIADOR INTERNET CONTROLADA v.1.2.3.9

GLADIADOR INTERNET CONTROLADA v.1.2.3.9 GLADIADOR INTERNET CONTROLADA v.1.2.3.9 Pela grande necessidade de controlar a internet de diversos clientes, a NSC Soluções em Informática desenvolveu um novo produto capaz de gerenciar todos os recursos

Leia mais

ESET NOD32 ANTIVIRUS 6

ESET NOD32 ANTIVIRUS 6 ESET NOD32 ANTIVIRUS 6 Microsoft Windows 8 / 7 / Vista / XP / Home Server Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento O ESET NOD32 Antivirus fornece

Leia mais

O projeto Metasploit é um framework que foi criado em 2003 por HD Moore e é uma plataforma que permite a verificação do estado da segurança dos

O projeto Metasploit é um framework que foi criado em 2003 por HD Moore e é uma plataforma que permite a verificação do estado da segurança dos O projeto Metasploit é um framework que foi criado em 2003 por HD Moore e é uma plataforma que permite a verificação do estado da segurança dos computadores existentes numa determinada rede, permitindo

Leia mais

ETEC Campo Limpo AULA 07. 1. Interpretando informações do UTILITÁRIO DE CONFIGURAÇÃO DO SISTEMA

ETEC Campo Limpo AULA 07. 1. Interpretando informações do UTILITÁRIO DE CONFIGURAÇÃO DO SISTEMA AULA 07 1. Interpretando informações do UTILITÁRIO DE CONFIGURAÇÃO DO SISTEMA O Utilitário de configuração do sistema, o famoso "msconfig" está disponível nas versões recentes do Windows. Para abrir o

Leia mais

Cartilha de Segurança para Internet Checklist

Cartilha de Segurança para Internet Checklist Cartilha de Segurança para Internet Checklist NIC BR Security Office nbso@nic.br Versão 2.0 11 de março de 2003 Este checklist resume as principais recomendações contidas no documento intitulado Cartilha

Leia mais

Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada

Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada Visão Geral do Mercado Embora o uso dos produtos da Web 2.0 esteja crescendo rapidamente, seu impacto integral sobre

Leia mais

IDENTIFICANDO VULNERABILIDADES DE SEGURANÇA COMPUTACIONAL

IDENTIFICANDO VULNERABILIDADES DE SEGURANÇA COMPUTACIONAL IDENTIFICANDO VULNERABILIDADES DE SEGURANÇA COMPUTACIONAL Raquel Fonseca da Silva¹, Julio César Pereira¹ ¹Universidade Paranaense (Unipar) Paranavaí PR Brasil raquel-fenix@hotmail.com, juliocesarp@unipar.br

Leia mais

Versão 1.0 Janeiro de 2011. Xerox Phaser 3635MFP Plataforma de interface extensível

Versão 1.0 Janeiro de 2011. Xerox Phaser 3635MFP Plataforma de interface extensível Versão 1.0 Janeiro de 2011 Xerox Phaser 3635MFP 2011 Xerox Corporation. XEROX e XEROX e Design são marcas da Xerox Corporation nos Estados Unidos e/ou em outros países. São feitas alterações periodicamente

Leia mais

Bem-vindo ao Guia de Introdução - Segurança

Bem-vindo ao Guia de Introdução - Segurança Bem-vindo ao Guia de Introdução - Segurança Table of Contents Bem-vindo ao Guia de Introdução - Segurança... 1 PC Tools Internet Security... 3 Introdução ao PC Tools Internet Security... 3 Instalação...

Leia mais

F-Secure Anti-Virus for Mac 2015

F-Secure Anti-Virus for Mac 2015 F-Secure Anti-Virus for Mac 2015 2 Conteúdo F-Secure Anti-Virus for Mac 2015 Conteúdo Capítulo 1: Introdução...3 1.1 Gerenciar assinatura...4 1.2 Como me certificar de que o computador está protegido...4

Leia mais

Modelo de referência OSI. Modelo TCP/IP e Internet de cinco camadas

Modelo de referência OSI. Modelo TCP/IP e Internet de cinco camadas Modelo de referência OSI. Modelo TCP/IP e Internet de cinco camadas Conhecer os modelo OSI, e TCP/IP de cinco camadas. É importante ter um padrão para a interoperabilidade entre os sistemas para não ficarmos

Leia mais

Kaspersky Endpoint Security e o gerenciamento. Migração e novidades

Kaspersky Endpoint Security e o gerenciamento. Migração e novidades Kaspersky Endpoint Security e o gerenciamento. Migração e novidades Treinamento técnico KL 202.10 Treinamento técnico KL 202.10 Kaspersky Endpoint Security e o gerenciamento. Migração e novidades Migração

Leia mais

Hackers. Seus dados podem ser inúteis, mas seu computador em si pode ainda ser um recurso valioso.

Hackers. Seus dados podem ser inúteis, mas seu computador em si pode ainda ser um recurso valioso. Firewalls Hackers Gostam de alvos fáceis. Podem não estar interessados nas suas informações. Podem invadir seu computador apenas por diversão. Para treinar um ataque a uma máquina relativamente segura.

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

PARA MAC. Guia de Inicialização Rápida. Clique aqui para fazer o download da versão mais recente deste documento

PARA MAC. Guia de Inicialização Rápida. Clique aqui para fazer o download da versão mais recente deste documento PARA MAC Guia de Inicialização Rápida Clique aqui para fazer o download da versão mais recente deste documento ESET Cyber Security fornece proteção de última geração para seu computador contra código mal-intencionado.

Leia mais

Auditoria e Segurança de Sistemas Segurança de Redes de Computadores Adriano J. Holanda

Auditoria e Segurança de Sistemas Segurança de Redes de Computadores Adriano J. Holanda Auditoria e Segurança de Sistemas Segurança de Redes de Computadores Adriano J. Holanda Segurança na rede Segurança na rede refere-se a qualquer atividade planejada para proteger sua rede. Especificamente

Leia mais

Segurança Física e Segurança Lógica. Aécio Costa

Segurança Física e Segurança Lógica. Aécio Costa Segurança Física e Segurança Lógica Aécio Costa Segurança física Ambiente Segurança lógica Programas A segurança começa pelo ambiente físico Não adianta investir dinheiro em esquemas sofisticados e complexos

Leia mais

Professor(es): Fernando Pirkel. Descrição da(s) atividade(s):

Professor(es): Fernando Pirkel. Descrição da(s) atividade(s): Professor(es): Fernando Pirkel Descrição da(s) atividade(s): Definir as tecnologias de redes necessárias e adequadas para conexão e compartilhamento dos dados que fazem parte da automatização dos procedimentos

Leia mais