FERRAMENTAS DE RESPOSTAS A INCIDENTES DE SEGURANÇA

Tamanho: px
Começar a partir da página:

Download "FERRAMENTAS DE RESPOSTAS A INCIDENTES DE SEGURANÇA"

Transcrição

1 FERRAMENTAS DE RESPOSTAS A INCIDENTES DE SEGURANÇA Bolsista: Eric Barbosa Jales de Carvalho Coordenador: Nathan Franklin Saraiva de Sousa Teresina Dezembro/2008

2 SUMÁRIO 1.0 INTRODUÇÃO JUSTIFICATIVAS DE EXECUÇÃO DO PROJETO OBJETIVOS E METAS TIPOS DE IDS HIDS Pontos positivos do HIDS: Pontos negativos do HIDS: NIDS Pontos positivos do NIDS: Pontos negativos do NIDS: IDS Híbrido KIDS MÉTODOS DE DETECÇÃO Baseados em assinaturas (conhecimento) Vantagens Desvantagens Baseados em comportamento (anomalias) Vantagens Desvantagens COMPORTAMENTOS PÓS-DETECÇÃO Passivo Ativo HONEYPOT Vantagens Desvantagens Tipos de HoneyPot Baixa Interatividade Alta Interatividade FERRAMENTAS Labrador Osiris OSSEC OSSEC-WUI Tripwire AIDE Snort SnortNotify Snort-inline OSSIM Prelude Prewikka Guardian Fwsnort HLBR Honeyd Nessus Inprotect Nikto CENÁRIO...31

3 10.0 CONCLUSÃO DIFICULDADES ENCONTRADAS BIBLIOGRAFIA...34 ANEXOS...37 ANEXO 1 TUTORIAL PARA INSTALAÇÃO DO SNORT + PHP5 + APACHE2 + MYSQL + BASE + SNORTNOTIFY + POSTFIX...37 PCRE-7.8 Versão utilizada até o momento da criação do tutorial...37 Libpcap_ Versão utilizada até o momento da criação do tutorial...37 SNORT Versão utilizada até o momento da criação do tutorial...38 SNORTRULES...38 ADODB Versão utilizada até o momento da criação do tutorial...39 BASE Versão utilizada até o momento da criação do tutorial...39 SNORTNOTIFY Versão utilizada até o momento da criação do tutorial...41 MYSQL...42 PostFix para fazer um relay em um servidor SMTP autenticado:...44 ANEXO 2 TUTORIAL PARA INSTALAÇÃO DO SNORT + PHP5 + APACHE2 + MYSQL + BASE + GUARDIAN VIA APT-GET E COM ATUALIZAÇÃO PARA A VERSÃO UNSTABLE...48 SNORT via APT-GET (stable)...48 Instalação e Configuração do MySQL...48 Instalação e Configuração do Snort com suporte a MySQL...49 Instalação e Configuração do Apache Instalação e Configuração do PHP Instalação e Configuração do AcidBase...53 Apache com suporte a SSL...55 Atualização do Snort...58 SNORT via APT-GET (unstable)...62 Remontar pacotes do tipo.deb:...62 Criar pacote.deb sem chaves assinadas:...63 Configuração do Snort com suporte a MySQL...63 ANEXO 3 TUTORIAL PARA INSTALAÇÃO DO SNORT EM MODO BRIDGE...67 Configuração das Interfaces...67 Configuração do Snort...68 ANEXO 4 TUTORIAL PARA INSTALAÇÃO DO SNORT-INLINE COM SUPORTE AO MYSQL...70 Instalação e Configuração do MySQL...70 Libdnet-1.1 Versão utilizada até o momento da criação do tutorial...71 Snort_inline Versão utilizada até o momento da criação do tutorial...71 Compilando e Instalando o Snort-Inline:...72 Transformando-o em um IPS...73 ANEXO 5 TUTORIAL PARA INSTALAÇÃO DO HIDS AIDE...74 Instalação e Configuração do AIDE...74 Fazendo uma auditoria com o AIDE...75 Realizando a auditoria:...76 ANEXO 6 TUTORIAL PARA INSTALAÇÃO DO HIDS OSSEC...77 Instalação e Configuração do OSSEC...77 Testando o OSSEC...80 Instalação do Postfix:...80 Instalando o OSSEC como servidor...81 Configurando Clientes (Agentes)...81 Adicionando Clientes ao servidor...81 OSSEC-WUI...82 Instalação do Servidor com suporte ao php:...82

4 ANEXO 7 TUTORIAL PARA INSTALAÇÃO DO HIDS TRIPWIRE...85 Instalação e Configuração do Tripwire...85 Gerar a base inicial de dados...89 Verificação de integridade do sistema:...89 Atualizando a base de dados:...89 ANEXO 8 TUTORIAL PARA INSTALAÇÃO DO HIDS OSIRIS...90 Instalação do Servidor...90 Acessando pelo console...91 Adicionar o servidor para ser monitorado:...94 Adicionar um cliente para ser monitorado...98 ANEXO 9 TUTORIAL PARA INSTALAÇÃO DO SCANNER DE VULNERABILIDADES WEB NIKTO Instalação e Configuração Atualizar a base de dados do nikto Realizar um teste na máquina local: Utilizar uma forma para driblar um possível IDS: ANEXO 10 TUTORIAL PARA INSTALAÇÃO DO HIDS LABRADOR Instalação e Configuração Verificando módulos do Perl necessários para a execução do Labrador: Listar os arquivos que o arquivo de regras irá ler: Criar a base de dados Fazer a verificação nos arquivos Fazer a restauração dos arquivos Instalação e Configuração Gerar o arquivo necessário para adicionar as regras ao firewall Adicionar as regras do firewall baseadas no Snort a partir do fwsnort: ANEXO 12 TUTORIAL PARA INSTALAÇÃO DO IPS HLBR Instalação e Configuração Configuração das interfaces Configuração do arquivo hlbr.config Acrescentar regra Iniciar o daemon do HLBR: Verificar se o HLBR está executando: Visualizar os arquivos de log: ANEXO 13 TUTORIAL PARA INSTALAÇÃO DO HONEYPOT HONEYD Instalação e Configuração Direcionar o tráfego para o HoneyPot: Alterando as configurações default: Configuração do honeyd.conf Iniciar o daemon do Honeyd: Alguns testes ANEXO 14 TUTORIAL PARA INSTALAÇÃO DO SCANNER DE VULNERABILIDADES NESSUS Instalação e Configuração Criar um usuário para acessar o servidor: Iniciar o servidor Nessus Atualizar a lista de plugins do Nessus Realizando um scaneamento: ANEXO 15 TUTORIAL PARA INSTALAÇÃO DO OSSIM Instalação e Configuração Instalar o Ossim com o MYSQL no Debian Adicionar as tabelas de plugins: Instalar o servidor do Ossim:...124

5 Instalar o um agente localmente: Modificar as configurações do Agente: Instalar o Servidor de Web: Instalar o pacote phpgacl Instalar os Plugins snort ntop nagios Outros plugins Osiris Instalar o FrameWork: ANEXO 16 TUTORIAL PARA INSTALAÇÃO DO PRELUDE Instalação e Configuração O registro do cliente no servidor Instalar o Web Front Prewikka Instalar o servidor de Web:...152

6 ÍNDICE DE FIGURAS Figura 1 - Cenário idealizado...31 Figura 2 - Página inicial do Setup do AcidBase...43 Figura 3 Criar as tabelas...43 Figura 4 Tabelas adicionadas...44 Figura 5 - Página inicial do AcidBase...44 Figura 6 - Página inicial do OSSEC-WUI...84 Figura 7 Autorização da criação da site key do Tripwire...85 Figura 8 - Autorização da criação da local key do Tripwire...86 Figura 9 Reconstruir o arquivo de configuração do Tripwire...86 Figura 10 Reconstruir o arquivo de políticas do Tripwire...86 Figura 11 Informar senha para site key do Tripwire...87 Figura 12 Confirmar senha para site key do Tripwire...87 Figura 13 Informar senha para local key do Tripwire...87 Figura 14 Confirmar senha para local key do Tripwire...87 Figura 15 Instalação do Tripwire concluída...88 Figura 16 Baixar plugins Nessus I Figura 17 Baixar plugins Nessus II Figura 18 Baixar plugins Nessus III Figura 19 Baixar plugins Nessus IV Figura 20 Baixar plugins Nessus V Figura 21 Tela de logins do Nessus-Client Figura 22 Tela de seleção de plugins do Nessus-Client Figura 23 Iniciar um scaneamento no Nessus Figura 24 Tela de verificação do Nessus Figura 25 Relatório do Nessus Figura 26 Salvar relatório Figura 27 Relatório do Nessus gerado em html Figura 28 Interface usada no Debconf Figura 29 Prioridade das perguntas do Debconf Figura 30 Nome do servidor do OSSIM Figura 31 IP do servidor OSSIM Figura 32 Nome do Framework Figura 33 IP do Framework Figura 34 Porta do Framework Figura 35 Nome do banco do servidor OSSIM Figura 36 Hostname do servidor MYSQL Figura 37 Nome do administrador do banco ossim Figura 38 Senha do usuário do banco do servidor MYSQL Figura 39 Nome do banco pertencente ao Snort Figura 40 Hostname do servidor MYSQL...127

7 Figura 41 Nome do administrador do banco snort Figura 42 Senha do administrador do banco Figura 43 Nome do banco pertencente ao Osvdb Figura 44 Hostname do servidor MYSQL Figura 45 Nome do administrador do banco osvdb Figura 46 Senha do administrador do banco Figura 47 Tela inicial de configuração do libphp-adodb Figura 48 Seleção das versões do Apache Figura 49 Configuração da base de dados do phpgacl Figura 50 Escolha do banco a ser utilizado pelo phpgacl Figura 51 Senha do administrador do banco MYSQL Figura 52 Senha do MYSQL para o phpgacl Figura 53 Confirmação da senha Figura 54 Interface utilizada pelo Snort Figura 55 Rede a ser monitorada pelo Snort Figura 56 Usuário que irá receber os s do Snort Figura 57 Configurar a base de dados Figura 58 Hostname do servidor MYSQL Figura 59 Nome do banco utilizado pelo Snort Figura 60 Nome do administrador do MYSQL Figura 61 Senha do administrador do MYSQL Figura 62 Interface que o Ntop irá escutar Figura 63 Nome do usuário que irá rodar o daemon do Ntop Figura 64 Página inicial do Ntop Figura 65 Nome do Domínio do servidor Figura 66 Opção de escolha para uso de senhas no servidor Figura 67 Opção de escolha para configurações vindas de um servidor WINS Figura 68 Seleção das versões do Apache Figura 69 Senha para administrar o Nagios via web Figura 70 Opção de habilitar os comandos externos do Nagios Figura 71 Opção de escolha da configuração do banco do nagios-mysql Figura 72 Senha do administrador do MYSQL Figura 73 Senha do MYSQL para o phpgacl Figura 74 Confirmação da senha Figura 75 Configuração da base de dados do acidbase Figura 76 Escolha do banco a ser utilizado pelo acidbase Figura 77 Senha do administrador do banco MYSQL Figura 78 Senha do MYSQL para o acidbase Figura 79 Confirmação da senha Figura 80 Seleção das versões do Apache Figura 81 Nome do banco do servidor OSSIM Figura 82 Hostname do servidor MYSQL Figura 83 Nome do administrador do banco ossim...142

8 Figura 84 Senha do usuário do banco do servidor MYSQL Figura 85 Nome do banco do OSSIM ACL Figura 86 Hostname do servidor MYSQL Figura 87 Nome do administrador do banco ossim Figura 88 Senha do usuário do banco do servidor MYSQL Figura 89 Página de configuração do phpgacl I Figura 90 Página de configuração do phpgacl II Figura 91 Página de configuração do phpgacl III Figura 92 Página de configuração do phpgacl IV Figura 93 Página de configuração do phpgacl V Figura 94 Página de login do OSSIM Figura 95 Página de atualizações das aplicações instaladas pelo OSSIM Figura 96 Configuração da base de dados do acidbase Figura 97 Escolha do banco a ser utilizado pelo prelude-manager Figura 98 Senha do administrador do banco MYSQL Figura 99 Senha do MYSQL para o prelude-manager Figura 100 Confirmação da senha Figura 101 Configuração da base de dados do acidbase Figura 102 Escolha do banco a ser utilizado pelo prewikka Figura 103 Senha do administrador do banco MYSQL Figura 104 Senha do MYSQL para o prewikka Figura 105 Confirmação da senha Figura 106 Tela de login do Prewikka...153

9 1.0 INTRODUÇÃO Com o passar dos anos, o número de incidentes de segurança em informática teve um grande aumento. A disponibilidade de conexão a todo o momento, e com taxas de transmissão cada vez mais elevadas juntamente com o uso difundido da utilização das redes de computadores e serviços usados para Internet, tem contribuído para o crescimento do número de ataques, tais como worms, prospecção (port scan), negação de serviço (DoS), força bruta (bruteforce), estouro de memória (buffer overflow), entre outros. A definição de intrusão ou ataque se dá como qualquer conjunto de ações que tentam, de alguma forma, comprometer a integridade, confidencialidade ou disponibilidade de um recurso computacional, mesmo que este obtenha êxito ou não destas ações. Os sistemas de detecção de intrusão (IDS) têm sido utilizados para proteção, monitoração de atividades maliciosas e diversos tipos de ataques. O IDS funciona como um monitoramento do ambiente buscando indícios de ataques para enviar diferentes alertas aos responsáveis. De uma forma muito básica, o IDS funciona como um sniffer de rede que compara o conteúdo da informação dos pacotes que trafegam pelo meio, com uma base de dados de assinaturas de ataques e/ou anomalias que indicam potencial atividade maliciosa. Em outra forma, o IDS analisa as modificações realizadas na máquina e as compara com uma base de dados, gerada anteriormente, atrás de modificações realizadas. É notório lembra que, não vale apenas se proteger com o IDS ou um firewall. É preciso ter outros mecanismos de rede que possam auxiliar nessa tarefa, como ferramentas de auditoria usadas com o intuito de detectar e indicar as possíveis vulnerabilidades encontradas nos computadores. 9

10 2.0 JUSTIFICATIVAS DE EXECUÇÃO DO PROJETO O tema foi escolhido devido ao nosso Estado ser deficiente em assuntos relacionados à segurança de redes. Além disso, o projeto se mostrou interessante devido a ser um tema atual e por ser pouco abordado. Este projeto procura reunir um conjunto de boas práticas em instalação, configuração e administração de ferramentas de respostas a incidentes de segurança em redes conectadas à Internet. A implantação destas ferramentas minimiza as chances de ocorrerem falhas de segurança e contribuem para a administração das redes e recursos de forma segura. Algumas das ferramentas apresentadas são independentes da plataforma que as utiliza. O trabalho em conjuntos delas ajuda na segurança em profundidade, onde é necessário a criação de diversos níveis de defesa a serem utilizados para a proteção de um ambiente. O firewall pode funcionar como a primeira linha de defesa, realizando o controle de acesso no nível de rede. A autenticação pode ser usada como segunda linha de defesa, bem como um sistema de detecção de intrusão (IDS). Em outro ambiente poderia colocar o IDS como a primeira linha de defesa, realizando ações antes do acesso ao firewall, tornando este como a segunda linha de defesa. Mas adiante estaria a terceira linha de defesa formada por um sistema de autenticação ou um scanner de vulnerabilidades. 10

11 3.0 OBJETIVOS E METAS Esse projeto tem como objetivo o estudo de ferramentas de Respostas a Incidentes de Segurança, utilizando Sistemas de Detecção de Intrusão e de Vulnerabilidades. Focaram-se as ferramentas mais utilizadas e com os melhores desempenhos usados em diversas redes, bem como a instalação e configuração das mesmas. A meta é analisar, planejar e implementar uma rede com ênfase em segurança. Utilizando-se dos log s gerados pelos daemons na busca de possíveis anomalias, para só então encontrar soluções. Dessa forma, garantindo um ambiente mais propício e seguro para o tráfego de informações. 11

12 4.0 TIPOS DE IDS Os IDS são classificados quanto à arquitetura em quatro tipos: Baseado em host, Host-Based Intrusion Detection System (HIDS); Baseado em rede, Network-Based Intrusion Detection System (NIDS); IDS híbrido (Hybrid IDS), que aproveita as melhores características do HIDS e do NIDS. Baseado em kernel, Kernel Intrusion Detection (KIDS); A combinação de diferentes tipos de IDS é importante para que a organização fique protegida contra todos os tipos de ameaças, principalmente dos ataques realizados internamente e daqueles vindos da internet. Por exemplo, as invasões vindas da internet podem ser detectadas pelo uso de IDS baseado em rede (NIDS), enquanto os servidores da DMZ e da rede interna podem ser monitorados também com o uso de IDS baseado em host (HIDS) ou IDS híbridos. Já os kernels IDS são a mais nova e recente fronteira da segurança computacional, podendo até mesmo impossibilitar maiores danos a um sistema que tenha sido comprometido. 4.1 HIDS Faz o monitoramento do sistema com base em informações de arquivos de log s ou de eventos de auditoria. Os eventos de auditoria são gerados pelo kernel do sistema operacional, portanto, possuem mais proteção e detalhes do que os arquivos de log s. O HIDS fiscaliza acessos e alterações em importantes arquivos do sistema, modificações nos privilégios dos usuários, processos do sistema e programas em execução, uso da CPU e detecção de port scanning. O HIDS pode também verifica a checagem da integridade dos arquivos do sistema, fazendo com que arquivos corrompidos, que podem vir a ser backdoors, são detectados antes que causem problemas mais sérios Pontos positivos do HIDS: Verificar o sucesso ou a falha de um ataque; Atividades específicas do sistema podem ser monitoradas detalhadamente, como o acesso a arquivos, modificação em permissões de arquivos, logon e logoff do usuário e funções do administrador; 12

13 Ataques que utilizam criptografia podem não ser notados pelos NIDS, mas descobertos pelos HIDS, pois o Sistema Operacional primeiro decifra os pacotes; Ataques que ocorrem fisicamente no servidor podem ser detectados; É independente da topologia da rede, podendo ser utilizado em redes separadas por switches; Gera poucos falsos positivos, ou seja, poucos alarmes falsos de ataques; Não necessita de hardware adicional Pontos negativos do HIDS: Dificuldade de gerenciar e configurar em todos os hosts da rede que devem ser monitorados; Dependência do sistema operacional, ou seja, um HIDS que funciona no Linux é totalmente diferente de um HIDS que opera no Windows; Não é capaz de detectar ataques de rede, como o scanning de rede ou o Smurf, por exemplo; Caso o HIDS seja invadido, as informações podem ser perdidas; Necessita de espaço de armazenamento adicional para os registros do sistema; Não têm bom desempenho em sistemas operacionais que geram poucas informações de auditoria, como é o caso do Windows 98; Apresenta diminuição de desempenho no host monitorado. 4.2 NIDS O sistema de detecção de intrusão baseado em rede (NIDS) monitora o tráfego do segmento da rede e os hosts nele conectados, geralmente posicionado em um segmento de rede ou switch e com a interface de rede atuando em modo promíscuo. O NIDS é eficiente principalmente contra ataques à suíte de protocolos TCP/IP, como port scanning, IP spoofing ou SYN flooding, buffer overflow, entre outros. A detecção é realizada com a captura e análise dos cabeçalhos e conteúdos dos pacotes, que são comparados em uma base de dados de assinaturas de ataques e/ou anomalias conhecidos. Exemplos de NIDS são o RealSecure, o NFR e o Snort. 13

14 Os NIDS podem ser divididos em duas partes que atuam em conjunto, que são os sensores (hosts) e o gerenciador ou console. Os sensores devem ser espalhados pelos segmentos de rede e são os responsáveis pelo monitoramento do tráfego de rede, executando toda a análise localmente, e reportando os ataques para um console de gerenciamento central. Muitos desses sensores atuam em modo oculto (stealth), tornando mais difícil para um atacante determinar a presença e localização de um determinado sensor. Já o gerenciador ou console faz com que os sensores sejam administrados de modo integrado, com a definição dos tipos de resposta a serem utilizados para cada tipo de comportamento suspeito percebido. A comunicação entre sensores e gerenciador é criptografada. Uma característica importante do NIDS é sua capacidade de detectar ataques na rede em tempo real. Ele pode capturar os pacotes referentes ao ataque, analisar e responder à invasão praticamente ao mesmo tempo em que o servidor é atacado. A resposta poderia ser, por exemplo, o envio de alertas ou o término da conexão. Após a análise feita pelo sistema de detecção, os resultados possíveis em um IDS são: Tráfego suspeito detectado (comportamento normal); Tráfego suspeito não detectado (falso negativo); Tráfego legítimo que o IDS analisa como sendo suspeito (falso positivo); Tráfego legítimo que o IDS analisa como sendo legítimo (comportamento normal). Para um administrador de rede, uns dos principais problemas encontrados no uso de IDS são os falsos positivos, que nada mais são do que os alarmes falsos, como um alarme indicando ataque a um serviço inexistente no ambiente. É preciso conhecer bem o ambiente a ser monitorado, refinar as regras e/ou assinaturas baseadas nesse ambiente para diminuir o número de falsos positivos Pontos positivos do NIDS: O monitoramento pode ser realizado em um ambiente com múltiplas plataformas; Com a análise de cabeçalhos e do payload de pacotes, ataques de rede como o port scanning, IP Spoofing ou Teardrop podem ser detectados; Pode monitorar portas conhecidas como a porta TCP 80 do HTTP. 14

15 Os ataques podem ser detectados e identificados em tempo real e o usuário pode determinar rapidamente o tipo de resposta apropriada; O NIDS é capaz de perceber não só as invasões, mas também as tentativas de ataque que não tiveram resultado; Com o NIDS funcionando, é difícil que um cracker possa apagar seus rastros; O cracker terá dificuldades em saber se existe ou não um NIDS monitorando suas atividades; Não causa impacto no desempenho da rede Pontos negativos do NIDS: Perda de pacotes em redes saturadas; Dependência de base de assinaturas de ataques atualizada; Dificuldade de compreensão de protocolos de aplicação específicos, conto o SMB; Não são capazes de monitorar o tráfego cifrado; Dificuldade de utilização em redes segmentadas; Dificuldade de implementação em redes rápidas. 4.3 IDS Híbrido O HIDS e o NIDS possuem suas vantagens e desvantagens. Isso nos leva a crer que no mundo de hoje, a melhor estratégia é utilizar ambos os tipos para a proteção dos recursos da organização. Por exemplo, o NIDS detectaria SYN Flooding, Smurf, Teardrop, port scanning e no caso de uma pichação do site (web defacement), por exemplo, o HIDS se encarregaria de detectar. Assim, a utilização dos dois tipos de IDS ao mesmo tempo traz grandes benefícios. O IDS híbrido (Hybrid IDS) tem como objetivo combinar os pontos fortes do HIDS e do NIDS, a fim de oferecer uma melhor capacidade de detecção de intrusões. Por outro lado, ele herda também os pontos negativos de ambos, como é o caso da escalabilidade. Seria necessário instalar um IDS híbrido em cada equipamento. 4.4 KIDS O Kernel Intrusion Detection System (KIDS) nada mais é que um sistema de detecção de intrusos, porém a função de capturar e comparar pacotes com regras pré- 15

16 existentes é exercido no kernel em forma de módulo. Possui as idéias básicas de um IDS, sem a utilização da biblioteca libpcap (como o tcpdump, wireshark, SNORT, etc) tratando os pacotes no próprio kernel, obtendo assim um ganho no desempenho do sistema. Dessa forma, pode-se criar uma última fronteira de auditoria e também de barreira para um invasor que possa ganhar acesso ao sistema. 16

17 5.0 MÉTODOS DE DETECÇÃO 5.1 Baseados em assinaturas (conhecimento) O funcionamento desse método se baseia na procura por um padrão ou uma assinatura de ataque que esteja em uma base de dados com informações sobre ataques conhecidos. Essas assinaturas indicam o conteúdo que deve ser procurado no cabeçalho e no payload dos pacotes Vantagens São mais eficientes, gerando um numero bem menor de falsos positivos; As assinaturas são fáceis de serem desenvolvidas Desvantagens Identificam apenas ataques conhecidos, necessitando de uma constante atualização no conjunto de assinaturas; Como grande parte das assinaturas são muito especificas, ataques variantes não são detectados. Pode ser enganado por meio de técnicas como a inserção de espaços em branco no stream de dados do ataque. 5.2 Baseados em comportamento (anomalias) Esse método é baseado em desvios de comportamento dos usuários ou dos sistemas. O IDS estabelece uma base com padrões de uso normal, e qualquer comportamento que desviar do padrão será considerado como uma possível intrusão. Em outras palavras, tudo que não foi visto ou relacionado como padrão anteriormente, pode ser perigoso e, portanto, deve ser evitado. A decisão é tomada por meio de uma analise estatística ou heurística, a fim de encontrar possíveis mudanças de comportamento, tais como aumento de tráfego, utilização da CPU, atividade de disco, logon de usuários, acesso a discos etc Vantagens Por detectar comportamentos e não usuários é possível detectar um ataque desconhecidos; 17

18 Gera informações que podem ser usadas para definir assinaturas Desvantagens É comum produzir grande numero de alarmes falsos, tanto positivos como negativos. Isso se deve a comportamentos imprevisíveis dos usuários e de sistemas; Devem ser realizadas muitas sessões para coletar dados para o sistema, com o intuito de caracterizar os padrões normais de comportamento. 18

19 6.0 COMPORTAMENTOS PÓS-DETECÇÃO Após a detecção do possível ataque, o IDS realiza algum tipo de comportamento. Esse tipo de comportamento pode vir a ser de duas formas, passivo ou ativo. De modo geral, IDS (Intrusion Detection System) é uma solução passiva de segurança ao passo que IPS (Intrusion Prevention System) é uma solução ativa de segurança. 6.1 Passivo Em um sistema passivo, o IDS detecta uma potencial violação da segurança, registra a informação (log) e dispara um alerta. 6.2 Ativo Nesse sistema, o IPS responde à atividade suspeita finalizando a sessão de usuário ou acrescentando regras no Firewall para bloquear o tráfego de rede da fonte suspeita, que pode ser maliciosa ou não. Por outro lado, o IPS tem como ponto negativo a sua suscetibilidade a ataques de negação de serviços, maior do que em IDS, o que exige uma configuração eficiente sem comprometer a disponibilidade do ambiente. 19

20 7.0 HONEYPOT Honeypot (Pote de Mel) são recursos computacionais dedicados a serem sondados, atacados ou comprometidos, com o propósito de reunir o máximo de informações possíveis sobre os atacantes, como a análise de suas ações e sua identificação na rede. Como não possui nenhum serviço rodando em produção, apenas serviços feitos para captura, qualquer interação com o honeypot, como uma sondagem ou verificação, pode ser, a princípio, suspeita. Diversos serviços podem ser simulados ou atendidos por um Honeypot, como FTP, servidor de , SSH, telnet, portas específicas para alguns programas, etc. Um conjunto formado por vários HoneyPot subtende-se como uma HoneyNet. 7.1 Vantagens Facilidade de detecção de pragas que se propagam aleatoriamente pela rede; Baixa incidência de falsos positivos; Fácil de implantar e baixa necessidade de recursos; Possibilidade de detectar novas formas de ataques. 7.2 Desvantagens Análise restrita, só consegue enxergar o tráfego direcionado a eles; Pode servir como porta para o invasor, sendo um risco adicional se mal configurado. 7.3 Tipos de HoneyPot Baixa Interatividade Emulam serviços e Sistemas Operacionais; Fácil de configurar e manter; Maior flexibilidade; Atacantes não têm acesso à máquina real, ou seja, não tem a possibilidade ter o controle da máquina; Difíceis de iludir atacantes avançados/determinados; Ataques e ações não idealizadas podem não funcionar e não ser detectadas; 20

21 Por serem razoavelmente seguros, são apropriados para redes de produção; Excelentes complementos para Sistemas de Detecção de Intrusão (SDI). Exemplos: Back Of_cer Friendly, Deception Toolkit(DTK), Specter, Honeyd, Labrea, Tarpit Alta Interatividade Serviços e Sistemas reais; Mais difícil de instalar e manter; Menor flexibilidade; Atacante pode assumir controle total do honeypot; Coleta extensa de informações, incluindo ferramentas e comandos; Identifica novas vulnerabilidades; Difícil de distinguir de um sistema de produção Exemplos: UML, VMware, Mantrap, sistemas e aplicativos reais; instalação padrão de sistemas operacionais; artifícios de monitoração das atividades dos atacantes(lkm, patches). 21

22 8.0 FERRAMENTAS 8.1 Labrador Labrador ou labrador-ids é um HIDS desenvolvido em Perl. É uma ferramenta multi-plataforma criada para identificar quaisquer modificações indesejadas feitas em seu sistema. A instalação do Labrador pode ser vista no anexo Osiris Osiris é um HIDS que pode ser usado para monitorar alterações em uma rede de hosts ao longo do tempo e comunicar essas alterações para o administrador. Incluindo quaisquer alterações nos sistemas de arquivos. De tempos em tempos, o Osiris tira snapshots do sistema de arquivos e armazena em um banco de dados. Esses bancos de dados, bem como as configurações e log s, são armazenados em um host de gerenciamento central. Quando alterações são detectadas, ele irá registrar estes eventos no log do sistema e opcionalmente enviar para um administrador. Além disso, ele é capaz de monitorar outras informações de sistema, incluindo listas de usuários, listas de grupo e os módulos do kernel ou extensões. O Osiris possui uma arquitetura cliente/servidor e não é um software baseado em assinaturas, ele detecta e comunica as alterações em um sistema de arquivos e permite que o administrador determine que (caso tenha alguma) ação precisa ser feita. Pode ser feito a instalação em diversos sistemas operacionais, bem como Windows, sistemas BSD, Linux, Mac OS X, AIX, IRIX. A instalação do Osiris pode ser vista no anexo OSSEC O ossec hids é software HIDS de código aberto que possui como desenvolvedor principal o brasileiro Daniel Cid. Ele tem a capacidade de trabalhar localmente, ou trabalhar em uma rede como cliente e servidor. Pode realizar operações de análise de log s, checagem de integridade de sistemas e arquivos, monitora registro do Windows, detecção de rootkits, alertas em tempo real e respostas pró-ativas (regras no firewall). 22

23 O OSSEC é multiplataforma e pode ser instalado na maioria dos Sistemas Operacionais, incluindo Linux, OpenBSD, FreeBSD, MacOS, Solaris e Windows (somente o agente). Ele pode trabalhar de três formas: Local funciona na maquina localmente. Agente funciona como cliente e envia todas as informações para o servidor processar e analisar Servidor analisa e une os log's e informações de vários agentes OSSEC-WUI Interface Web front do OSSEC desenvolvido em PHP. Ele serve para ajudar no monitoramento do OSSEC, seja localmente, servidor ou agente. Algumas de suas versões possuem alguns pré-requisitos. A última versão tem como pré-requisitos PHP na versão 4 ou 5, além de ter instalado o OSSEC com versão igual ou superior a A instalação do OSSEC, juntamente com sua interface gráfica, pode ser vista no anexo Tripwire O Tripwire é um software HIDS, e como tal serve para notificar o administrador da ocorrência de modificações em arquivos vitais do sistema, e, conseqüentemente, minimizar o impacto de invasões que não puderam ser impedidas por seu firewall. Ele gera uma base de dados contendo informações como hash, permissões e data de modificação de cada arquivo pré-estabelecido para proteção. No processo de verificação, una nova base de dados é gerada e comparada à primeira, emitindo um relatório para o administrador. A instalação do Tripwire pode ser vista no anexo AIDE O AIDE (Advanced Intrusion Detection Environment) também é um software de HIDS e para muitos é considerado um substituto para a ferramenta de verificação de integridade de arquivo Tripwire, fazendo coisas além da capacidade deste. O AIDE cria um banco de dados através de expressões regulares de regras que são encontrados em 23

24 um arquivo de configuração, e uma vez que esse banco de dados é inicializado, ele pode ser usado para verificar a integridade de arquivos críticos e de usuários. AIDE utiliza os mais populares algoritmos de digestão de mensagens (md5, sha1, rmd160, tiger, haval, etc) para checar a integridade de arquivo. Outros algoritmos podem ser adicionados com facilidade. Todos os atributos de arquivo também podem ser verificados a procura de inconsistências. Ele pode ler também, os bancos de dados de versões mais antigas ou mais recentes. O AIDE pode ser executado em qualquer sistema baseado no Unix, como Solaris, Linux, FreeBSD, Unixware, BSDi, OpenBSD, AIX, HP-UX, Cygwin, etc. A instalação do AIDE pode ser vista no anexo Snort Snort é uma ferramenta de NIDS, bastante utilizada, pois, além de gratuito, é open source. Ele é sniffer que tem como diferencial a capacidade de inspecionar o payload do pacote, área que contém os dados do mesmo, fazendo os registros dos pacotes, além de detectar as invasões. Possui recursos de farejamento de pacotes para a captura dos dados e um mecanismo de registro de pacotes (baseado em assinaturas) e de detecção de invasão. Também pode ser configurado para enviar alertas em tempo real evitando assim a necessidade de monitorar o sistema continuamente, seja proveniente da rede externa, da rede internet ou de um segmento de rede. A arquitetura do Snort é composta por quatro componentes básicos: O farejador; O pré-processador; O mecanismo de detecção; Alerta/registro. Assim como o TCPDump, o Snort faz uso de uma biblioteca chamada libcap para realizar a captura dos pacotes. Esta biblioteca além de capturar os dados destinados à própria máquina é capaz de receber os pacotes destinados a outras máquinas dentro do mesmo segmento de rede. 24

25 O Snort é considerado um SDI leve, não requer grandes recursos de hardware e por isso pode ser instalado em diversas plataformas, tais como sistema Solaris, Linux, sistemas BSD, HP-UX, IRIX, Windows, Power PC, MacOS X e PA-RISC. A instalação do Snort pode ser vista nos anexos 1,2 e SnortNotify É uma aplicação desenvolvida em Perl. Ela procura início de sessões de alertas, através do banco do snort e as envia, como relatório, para o cadastrado. Devido ao grande número de alertas que o Snort gera, é aconselhável usar o SnortNotify apenas em redes pequenas. Caso contrário, o servidor SMTP está sempre ocupado e a caixa de s sempre cheia. A instalação do SnortNotify pode ser vista no anexo Snort-inline Snort-Inline é um IPS que utiliza as assinaturas de um IDS (Snort) existente para tomar as decisões sobre os pacotes que passam por ele. É basicamente uma versão modificada do Snort para se tornar um IPS. Ele aceita pacotes de iptables e ipfw via libipq (linux) ou divert sockets (FreeBSD), em vez de libpcap. Usa, em seguida, a nova regra do tipo (drop, sdrop, reject) para dizer iptables/ipfw se o pacote que passa por ele deve ser eliminado, rejeitado, modificados, ou se tem permissão para transmitir com base um conjunto de regras do Snort. A instalação do Snort-inline pode ser vista no anexo OSSIM OSSIM é um conjunto de softwares de código-fonte aberto integrados com o intuito de fornecer uma infra-estrutura de controle de segurança e monitoramento da rede, permitindo a correlação entre as funcionalidades de cada um dos produtos. O objetivo do OSSIM é proporcionar um framework capaz de centralizar, organizar e melhorar a detecção e exibição dos eventos para um melhor gerenciamento do administrador, obtendo uma visão detalhada sobre todo e qualquer aspecto das suas redes, hosts, acesso físico, dispositivos, servidor etc. 25

26 Softwares que integram o OSSIM: Arpwatch usado para detectar anomalias no MAC; P0f usado para a detecção passiva de Sistemas Operacionais; Pads - usado para detecção de anomalias de serviço; Nessus usado para obter avaliação de vulnerabilidades; Snort IDS que será usado junto com o Nessus; Spade - usada para obter conhecimentos sobre ataques sem assinatura; Tcptrack - usado para obter informações de dados de sessão que podem conceder informação útil para identificação de ataque; Ntop - cria o banco de dados de informações do qual possamos obter a detecção de anomalias por comportamento; Nagios - monitora informações de disponibilidade do host e serviço; Osiris - HIDS usado para monitorar alterações em uma rede de hosts; OCS-NG - inventaria os computadores de uma rede; OSSEC HIDS que checa integridade, rootkits, alterações no registro, etc. O OSSIM possui um centro de operação de segurança, no qual todas as informações e eventos críticos são apresentados a ele. Com a utilização de sensores, tanto de hardwares como de softwares espalhados na rede, os dados são coletados e enviados para esse centro. Isso se deve graças a um agente localizado no sensor, que tem como seu papel coletar e enviar as informações ao servidor. A arquitetura do OSSIM pode ser definida da seguinte maneira: Sensores; Servidor de gerenciamento; Banco de dados; Frontend. A instalação do OSSIM pode ser vista no anexo Prelude O Prelude é um IDS Híbrido, que suporta diversas aplicações open-source ou não. Ele reporta os eventos a um sistema centralizado, através de sensores. 26

27 O Híbrido significa a vantagem de combinar eventos detectados por qualquer aplicação de segurança, seja IDS s, qualquer analisador de log's, aplicações de segurança, shell script, ou qualquer tipo de aplicação que reporte eventos de incidente de segurança. As aplicações de segurança utilizam o Prelude graças a sua estrutura feita em C, Python e Perl. O Prelude é composto de: Sensores - são responsáveis pela detecção de intrusão, e reportar eventos para um servidor predule-manager, utilizando conexões TLS; prelude-manager - processa os eventos, e os envia para armazenamento (mysql, postgresql,xml, etc); prelude console - visualização dos eventos Prewikka Interface Web front do Prelude desenvolvido em Python. Ele serve para ajudar no monitoramento o Prelude-Manager. Pode ser utilizado com uma porta diferente da porta padrão do servidor. 16. A instalação do Prelude, juntamente com o Prewikka, pode ser vista no anexo 8.9 Guardian Guardian é um IPS que trabalha junto com o Snort. Ele é capaz de atualizar automaticamente as regras do firewall baseado nos alertas gerados pelo Snort. As regras atualizadas do firewall bloqueiam todos os dados oriundos da máquina na qual o Snort gerou o alerta, possivelmente um IP do atacante. Como o Snort também gera muitos falsos positivos, é possível deixar máquinas em que o administrador da rede tenha a certeza de que não comprometem o tráfego ou que não são máquinas de atacantes, como servidores DNS, servidores de , gateways ou qualquer outra máquina que desejar. Ele trabalha com script e pode gerar regras de bloqueio/desbloqueio em diversos firewalls, dentre eles ipchains, iptables, ipfwadm, ipfw, ipfilter, etc. 27

28 A instalação do Guardian pode ser vista no anexo Fwsnort Fwsnort é um IPS que também trabalha junto com o Snort. Ele cria as regras de iptables baseado nas regras do Snort. Assim, assinaturas conhecidas de ataques críticos podem ser interpretadas antes de passar para a rede. Além disso, assinaturas da camada de aplicativo que existem em regras do Snort, podem ser facilmente detectadas. No caso, ele adiciona uma opção --hex-string para o iptables permitir que as regras do snort que contenham caracteres hexadecimais sejam tratadas pelo iptables sem que aja qualquer modificação. A instalação do FWsnort pode ser vista no anexo HLBR O HLBR (Hogwash Light Brasil) é também classificado como IPS. Ele foi baseado no IPS desenvolvido por Jason Larsen, chamado de IPS HOGWASH. Ele funciona como uma bridge, tornando-o invisível na rede, sendo capaz de interceptar tráfego malicioso baseado em arquivos de regras e assinaturas de ataques. O HLBR não usa a libpcap para fazer a ponte entre as placas de rede da máquina. Portanto, o trabalho de capturar, desmontar, analisar e remontar é feito pelo próprio HLBR. O HLBR é capaz de analisar o pacote TCP em todas as camadas do Modelo OSI e TCP. Os valores dos campos dos cabeçalhos de camada 2, 3 e 4 são testados pelas suas regras. Ele reconhece o formato dos cabeçalhos sem o auxílio da pilha TCP/IP do sistema operacional. Dessa forma, o HLBR poder negar ataques na camada 3 do Modelo OSI mesmo a máquina onde ele está instalado não possuir número IP. A instalação do HLBR pode ser vista no anexo Honeyd O Honeyd é um software para HoneyPot de baixa interação. Foi desenvolvido por Niels Provos, da Universidade de Michigan, e pode ser instalado tanto em Windows como na maioria dos sistemas baseados em Unix. 28

29 Por ele ser de baixa interatividade, significa que ele vai emular sistemas e serviços de forma simultânea ao nível da pilha TCP/IP. Os sistemas virtuais podem ter serviços falsos como , SSH, Telnet, FTP, DNS, backdoors do Windows como o MyDoom, etc. Ele permite também criar estrurura de ligação em rede, ligação com outros honeypots e até mesmo ligar máquinas reais a ele. Cada sistema virtual possui o seu próprio IP. Assim, o honeyd tem a capacidade de enganar scanners de rede, como o Nmap e o XPROBE, e retornar o campo do Sistema emulado, baseado no arquivo de assinaturas nmap.prints. Dessa fora, permite aos Sistemas virtuais responder exatamente como o sistema operacional que ele emula, quando testado pelo Nmap, por exemplo. A instalação do Honeyd pode ser vista no anexo Nessus O Nessus é uma ferramenta de auditoria muito usada para detectar e indicar uma maneira de solucionar as possíveis vulnerabilidades encontradas nos PC s da rede. Ele varre todas as portas TCP s detectando servidores ativos e simula invasões para detectar vulnerabilidades. Além de simular invasões para detectar vulnerabilidades, o Nessus faz uma varredura de portas usando a ferramenta Nmap (portscan) não apenas nas portas padrão, mas em todas as portas TCP. O Nessus, até a versão 2.2.8, era uma ferramenta open-source e gratuita. Em sua versão mais nova e por questões de concorrências com outras empresas de segurança, que faziam modificações no Nessus e colocavam em seus produtos proprietários para competir com ele, passou a ser código fechado e gratuito. Uma das principais características do Nessus é a sua tecnologia cliente-servidor. O usuário basta apenas ter instalado o cliente em sua máquina e os servidores podem ser alocados em pontos estratégicos da rede, permitindo testes de vários pontos diferentes. Um cliente central ou múltiplos clientes podem controlar todos os servidores. Dessa forma, o servidor executa os teste e o cliente configura e emite os relatórios. O Nessus pode ser instalado na maioria dos sistemas baseados no Unix e no Windows. 29

30 A instalação do Nessus pode ser vista no anexo Inprotect Inprotect é um Web-front para o Nessus e o Nmap. Foi escrito em PHP, Perl e utiliza o MySql, como banco de dados, para fazer as consultas. Ele apresenta os resultados da verificação através de algum navegador, notificação por ou exportados para um arquivo de formato PDF. A instalação do Inprotect em Sistemas GNU Debian possui alguns erros. Ele foi melhor desenvolvido para Sistemas baseados em Red Hat Nikto O Nikto nada mais é, que um scanner, escrito em Perl, de busca ou detecção de vulnerabilidades em webservers. Tem a capacidade de descobrir mais de 625 servidores e conhecer quais são as principais vulnerabilidades de mais de 230 versões específicas de webservers. Possui um banco de dados em formato CSV, no qual é possível realizar atualizações da base de dados de vulnerabilidades, assim como seu próprio código fonte. Ele determina qual é o diretório que contém CGI s, alem de trocar as versões HTTP conforme é necessário para fazer as requisições ao servidor, usando ou não suporte a SSL. Pode passar por Proxy autenticado e ainda varre várias portas no servidor para conseguir encontrar um webserver. Também pode ser acrescido de plugins desenvolvidos em Perl para ter um melhor desempenho e a saída do relatório direcionada para arquivos do tipo TXT, HTML e CVS. O Nikto não esconde sua própria identificação porque é uma ferramenta de auxílio ao administrador de redes, não necessariamente direcionada ao público com interesse na prática de invasões. Porém, ele também suporta algumas técnicas de evasão de IDS s presentes na LibWhisker, na qual é baseado. A instalação do Nikto pode ser vista no anexo 9. 30

31 9.0 CENÁRIO Um dos possíveis cenários que poderia ser feito com a utilização das ferramentas estudadas é apresentado abaixo: Figura 1 - Cenário idealizado 31

32 10.0 CONCLUSÃO As ferramentas de respostas a incidentes de segurança foram feitas para auxiliar o administrador de redes, e não para operarem no seu lugar. As ferramentas fazem um excelente trabalho no que diz respeito ao seu propósito, mas não adianta instalar um IDS ou ter um scanner de vulnerabilidades se os logs gerados não são lidos diariamente. É preciso ficar atento as atualizações ou correções das aplicações, atualizando as mesmas e o Sistema Operacional sempre que possível, tomando cuidado quando a correção da vulnerabilidade não afetar outras aplicações. A melhor forma de fazer um perímetro de segurança eficaz é: Analisar a sua própria rede; Estudar o seu comportamento e identificar algo de perigoso para a mesma. Criar as próprias regras dos IDS baseadas nesse levantamento e não utilizar apenas as regras padrões. Ter um servidor de tempo rodando para na hora da auditoria dos logs das ferramentas não ocorrer surpresas. Analisar diariamente os logs, verificar possíveis vulnerabilidades e ficar sempre atento as atualizações das aplicações. Pela análise das ferramentas estudadas, conclui-se que o OSSIM, por possuir um conjunto de ferramentas, já bem aceitas por analistas de segurança, em seu no framework, apresenta como uma das melhores ferramentas de reposta a incidentes de segurança. Em casos isolados, o SNORT, como IDS, o OSIRIS, como HIDS, o GUARDIAN, como IPS, o NESSUS, como scanner de vulnerabilidades, e o HONEYD, como honeypot de baixa interatividade, são considerados as melhores opções. 32

33 11.0 Dificuldades Encontradas Inicialmente as dificuldades eram em relação à insuficiência de equipamentos ou até mesmo de equipamentos com pouco processamento e memória. Dessa forma, utilizando ferramentas de incidentes de segurança, inviabilizava os testes em possíveis redes vulneráveis. Com a chegada de novos recursos pôde-se criar uma rede virtual na qual os testes puderam ser realizados. Outra dificuldade foi encontrar o lugar no qual cada ferramenta irá se encontrar na rede. Comprometendo a rede ou até mesmo bloqueando os acessos de saídas e entradas para a internet. 33

34 12.0 Bibliografia [1] Labrador Intrusion Detection. Disponível em: [2] OSIRIS. Disponível em: [3] OSSEC. Disponível em: [4] Tripwire. Disponível em: [5] AIDE. Disponível em: [6] Snort. Disponível em: [7] SnortNotify. Disponível em: [8] Snort-Inline. Disponível em: [9] OSSIM. Disponível em: [10] PRELUDE. Disponível em: [11] Guardian. Disponível em: [12] FWSnort. Disponível em: [13] HLBR. Disponível em: [14] Honeyd. Disponível em: [15] NESSUS. Disponível em: [16] Inprotect. Disponível em: [17] Nikto. Disponível em: [18] Jr,Brivaldo Alves da Silva, Melhorando a segurança do Firewall com Bridges usando Snort_Inline no Debian Etch. Disponível em: Bridges-usando-Snort_Inline-no-Debian-Etch?pagina=5 [19] Polesso, Rodrigo, Snort_INLINE: Proteção total. Disponível em: [20] Polesso, Rodrigo, Sistema de Segurança Linux para Usuário Final. Disponível em: 34

35 [21] Brams, Miguel, Intrusion Detection: Snort (IDS), OSSEC (HbIDS) And Prelude (HIDS) On Ubuntu Gutsy Gibbon. Disponível em: [22] LEHMANN, Guillaume, INSTALLATION DE PRELUDE-IDS. Disponível em: [23] Ramesh, Tripwire Tutorial: Linux Host Based Intrusion Detection System. Disponível em: [24] Santos, Ricardo Iramar dos, Osiris - Host Integrity Monitoring System. Disponível em: [25] Xenlab, Security Testing your Apache Configuration with Nikto. Disponível em: [26] Augusto, Keynes, Checando vulnerabilidades com o Nikto. Disponível em: [27] Rafael, Labrador, um detector de intrusos. Disponível em: [28] Linux Firewalls, DEPLOYING FWSNORT. Disponível em: [29] McRee, Russ, fwsnort-1.0.5: iptables intrusion detection. Disponível em: %20Attack%20Detection/Linux%20Firewalls%20Attack%20Detection%20and%20 Response%20with%20Iptables,%20PSAD,%20and%20Fwsnort.pdf [30] Fernandes, Dailson, Blindando sua rede com o HLBR - Um IPS invisível e brasileiro. Disponível em: [31] Suzuki, Luiz Henrique, Implantação de um Honeypot e proposta para metodologia de Gerenciamento de Projetos de Honeynets. Disponível em: [32] Morimoto, Carlos E., Usando o Nessus 3.x. Disponível em: [33] Montoro, Rodrigo Ribeiro, Análise de log s usando o OSSEC HIDS. Disponível em: [34] Sampaio, Miguel, Manual de Instalação do Disponível em: df 35

36 [35] Rodrigues, José Ricardo Simões, O tripwire e a integridade de sistemas GNU/Linux. Disponível em: [36] Chaves, Marcelo H. P. C., The Brazilian Honeypots Alliance. Disponível em: [37] Montoro, Rodrigo Ribeiro, Criando um IDS com resposta ativa com OSSEC / Snort. Disponível em: 36

37 ANEXOS ANEXO 1 TUTORIAL PARA INSTALAÇÃO DO SNORT + PHP5 + APACHE2 + MYSQL + BASE + SNORTNOTIFY + POSTFIX Fazer downloads dos pacotes necessários para a compilação do SNORT PCRE-7.8 Versão utilizada até o momento da criação do tutorial Baixe dependências necessárias: # aptitude install build-essential Download Obs.: Por motivo de organização todos os downloads ficarão na pasta /opt/downloads # cd /opt/downloads # tar xzvf pcre-7.8.tar.gz # cd pcre-7.8 #./configure # make && make install Libpcap_ Versão utilizada até o momento da criação do tutorial Baixe dependências necessárias: # aptitude install bison flex Download 37

38 # cd /opt/downloads # tar xzvf libpcap tar.gz # cd libpcap #./configure # make && make install Após a instalação da biblioteca será necessária a atualização: # ldconfig SNORT Versão utilizada até o momento da criação do tutorial Utilizaremos juntamente com o MYSQL, portanto: # aptitude install mysql-server-5.0 libmysqlclient15-dev Download # cd /opt/downloads # tar xzvf snort tar.gz # cd snort #./configure - -with-mysql # make && make install Configurações necessárias do sistema: # groupadd snort # useradd -g snort snort # mkdir /etc/snort # mkdir /var/log/snort # cp /opt/downloads/snort /etc/* /etc/snort SNORTRULES Faça o seu registro em e baixe as regras para o SNORT 38

39 Donwload Baixe a versão corrente para usuários registrados Baixe e descompacte dentro de /etc/snort: # cd /etc/snort # tar xzvf snortrules-snapshot-current.tar.gz Configuração do snort.conf. No exemplo criado, foi utilizado a rede /24. Modifique apenas as linhas necessárias: # vim /etc/snort/snort.conf var HOME_NET [ /8, /24] var EXTERNAL_NET!$HOME_NET var DNS_SERVERS [ , ] var RULE_PATH /etc/snort/rules output database: log, mysql, user=snort password=snort dbname=snort host=localhost Após realizada as modificações reinicie o snort: # snort -c /etc/snort/snort.conf -D ADODB Versão utilizada até o momento da criação do tutorial # aptitude install apache2 libapache2-mod-php5 php5 php5-gd php-pear php5-cli php5- common php5-mysql php-net-socket php-net-smtp php-mail php-http php-db php-xmlparser Download Baixe e descompacte o adodb dentro de /var/www: # cd /var/www # tar xzvf adodb5.tgz 39

40 BASE Versão utilizada até o momento da criação do tutorial Donwload Retire o redirecionamento para o apache2-default: # vim /etc/apache2/sites-available/default Comente a linha que possui: RedirectMatch ^/$ /apache2-default/ Baixe e descompacte o base dentro de /var/www: # cd /var/www # tar xzvf base tar.gz # mv base base # cd base Configuração do arquivo base_conf.php: # cp base_conf.php.dist base_conf.php # vim base_conf.php $BASE_Language = 'portuguese'; $BASE_urlpath = '/base'; $DBlib_path = '/var/www/adodb/'; $DBtype = 'mysql'; $alert_dbname = 'snort'; $alert_host = 'localhost'; $alert_port = ''; $alert_user = 'snort'; $alert_password = 'snort'; $archive_exists = 0; $archive_dbname = 'snort'; $archive_host = 'localhost'; $archive_port = ''; $archive_user = 'snort'; 40

41 $archive_password = 'snort'; Baixar os arquivos necessários para gerar os gráficos Download Download Download Descompacte e instale: # cd /opt/downloads # tar xzvf Image_Canvas tar.gz # tar xzvf Image_Color tar.gz # tar xzvf Image_Graph tar.gz # pear install Image_Canvas Image_Color Image_Graph Enviar alertas por SNORTNOTIFY Versão utilizada até o momento da criação do tutorial Download - Baixar arquivos Perl necessários: # perl MCPAN e install DBI # perl MCPAN e force install DBD::mysql # perl MCPAN e install Net::SMTP Faça uma cópia do arquivo de configuração para o diretório padrão: # cp /opt/downloads/snortnotify-v2.1/snortnotify.conf /etc 41

42 Modificar o arquivo de configuração: # vim /etc/snortnotify.conf $workto = $offto = $startworkhr = '08'; $endworkhr = = ('1', '2', '3', '4', '5', '6', 7'') ; $sender = 'Snort Alerts $return = $subject = 'Alertas do Snort'; $message = 'snortsensor detected signature from src to dst count times last at timestamp'; $usesendmail = '1'; $sendmail = '/usr/sbin/sendmail'; $mailserver = 'localhost'; $dbhost = 'localhost'; $dbname = 'snort'; $dbuser = 'snort'; $dbpass = 'snort'; $priority = '3'; $threshold = 'on'; MYSQL Configuração do MySQL: # mysql mysql> set password for senhaparaoroot ); mysql> create database snort; mysql> grant insert, select on root.* to mysql> set password for snort ); mysql> grant create, insert, select, delete, update on snort.* to mysql> grant create, insert, select, delete, update on snort.* to snort; mysql> exit 42

43 Criar as tabelas do banco snort: # mysql -u root -p < /opt/downloads/snort /schemas/create_mysql snort Digite a senha do root para o banco Checar se foram feitas as alterações: # mysql -p Digite a senha do root para o banco: mysql> show databases; mysql > use snort; mysql > show tables; mysql > exit Abra um Browser e acesse Clique em página de Setup: Figura 2 - Página inicial do Setup do AcidBase Na próxima página clique em Create BASE AG: 43

44 Figura 3 Criar as tabelas A página que aparece será exibido a criação das tabelas com sucesso. Para continuar clique em Main Page para ir para a página principal Figura 4 Tabelas adicionadas 44

45 Página Principal Figura 5 - Página inicial do AcidBase PostFix para fazer um relay em um servidor SMTP autenticado: # aptitude install sasl2-bin libsasl2 libsasl2-modules postfix postfix-tls O aptitude executará o Debconf para fazer algumas perguntas para você e ajustar algumas configurações pós-instalação de alguns pacotes. Sobre o Postfix, o Debconf perguntará: Qual o tipo de configuração do Postfix? o Internet with smarthost Onde redirecionar as mensagens de sistemas para os usuários de sistema e root? o seu_usuario Qual o FQDN (Fully Qualified Domain Name)? o dominio.com.br 45

46 Qual o servidor a ser usado como relay? o smtp.provedor.com.br ou IP do servidor Outros destinos que o servidor de responderá? Pode deixar o padrão já descrito como resposta. o localhost Forçar a atualização sincronizada? o No. De quais segmentos de rede você receberá as mensagens? o / /24 Usar o procmail para entrega local? o Sim. Limite da caixa de ? o 0 (Zero) Caracter de extensão para endereço local? o + Configuração: Caso esteja usando Debian ou derivados, deverá editar também o /etc/default/saslauthd, retirando o comentário da seguinte linha: START=yes Edite o Arquivo /etc/postfix/main.cf, adicionando no final do arquivo: # Habilita ou não autenticação usando SASL. smtp_sasl_auth_enable = yes # Configura o mecanismo de autenticação do Postfix, no nosso caso está vazio, pois a autenticação é enviada como texto. smtp_sasl_security_options = # Aponta o arquivo com mapa de senha para autenticar no provedor. smtp_sasl_password_maps = hash:/etc/postfix/sasl/sasl # Configura o servidor ao qual o Postfix enviará as mensagens. 46

47 srelayhost = smtp.provedor.com.br Configurar o arquivo /etc/postfix/sasl/sasl para realizar a autenticação: smtp.provedor.com.br smtp relay>:<senha_do_usuario> Ex.: parnaiba.smtp.provedor.com.br Obs.: Entre as colunas é necessário usar tabulação ao invés do espaço (TAB). Agora, devemos criar o arquivo.db do sasl com o comando: # postmap /etc/postfix/sasl/sasl Reinicie o Postfix: # invoke-rc.d postfix restart Faça o teste: # echo "teste" mail -s "teste $(hostname)" E veja os log s em: # tail /var/log/mail.log -f 47

48 ANEXO 2 TUTORIAL PARA INSTALAÇÃO DO SNORT + PHP5 + APACHE2 + MYSQL + BASE + GUARDIAN VIA APT-GET E COM ATUALIZAÇÃO PARA A VERSÃO UNSTABLE SNORT via APT-GET (stable) Instalação e Configuração do MySQL Instale o mysql-server: # aptitude install mysql-server Verifique se o MySQL está rodando e se os sockets estão ativos: # ps aux grep mysql # netstat -nlpt Defina uma senha para o usuário root do MySQL: # mysqladmin -u root password <nova senha> Agora, conecte no MySQL: # mysql -u root -p Conectado no MySQL crie uma base de dados para o Snort: # mysql -u root -p mysql> show databases; mysql> create database snort; mysql> quit 48

49 Instalação e Configuração do Snort com suporte a MySQL Instale o Snort com suporte a MySQL: # aptitude instal snort-mysql Detalhes de configuração: Faixa de endereço na qual o Snort deve ouvir(exemplo): /24 Deseja configurar uma base de dados para snort-mysql gravar os log s: Sim É necessário criar as tabelas dentro da base de dados snort. O Snort traz um exemplo das tabelas na sua documentação. Entre no seguinte diretório: # cd /usr/share/doc/snort-mysql Utilize o arquivo create mysql.gz para criar as tabelas dentro da base de dados snort: # zcat create_mysql.gz mysql -u root -h localhost -p snort Acesse o servidor MySQL e verifique as tabelas na base de dados snort: # mysql -u root -p mysql> show databases; mysql> use snort; mysql> show tables; mysql> status; mysql> quit; 49

50 Verifique os arquivos de configuração do snort: # cd /etc/snort # ls -l Faca um cópia do snort.conf original e mantenha um novo arquivo sem os comentários: # mv snort.conf snort.conf.orig # cat snort.conf.orig grep v ^# grep. > snort.conf Edite o snort.conf e modifique-o da seguinte maneira: # vi snort.conf var HOME_NET /24 var EXTERNAL NET any var DNS_SERVERS $HOME_NET var SMTP_SERVERS $HOME_NET var HTTP_SERVERS $HOME_NET output database: log, mysql, user=root password= dbname=snort host=localhost Verifique também o arquivo de configuração snort.debian.conf: Antes de reiniciar o snort, apague o arquivo de pendência da configuração do banco de dados que ele criou dentro de /etc/snort: # cd /etc/snort # rm db-pending-config Reinicie o snort: # /etc/init.d/snort restart 50

51 suas tabelas: Para finalizar essa etapa, dê permissão de acesso remoto na base de dados snort e # mysql -u root -p mysql> grant all privileges on snort.* to identified by "123456"; mysql> grant all privileges on snort.* to identified by "123456'; mysql> quit Instalação e Configuração do Apache2 Instale o Apache2: # aptitude install apache2 Edite o arquivo de configuração do apache2 e defina um FQDN: # vi /etc/apache2/apache2.conf ServerName X Edite o arquivo /etc/default/apache2, para permitir que o apache seja iniciado: # vi /etc/default/apache2 NO_START=0 Reinicie o Apache2: # /etc/init.d/apache2 restart 51

52 Procedimentos Básicos de Segurança para o Apache2 Remova o diretório padrão apache2-default: # cd /var/www # rm -rf apache2-default Retire a opção de Indexes para o diretório padrão do apache2 e retire o redirecionamento para a pasta apache2-default: # vi /etc/apache2/sites-available/default <Directory /var/www/> Options FollowSymLinks MuitiViews AllowOverride None Order allow,deny allow from all # This directive allows us to have apache2's default start page # in /apache2-default/, but still have / go to the right place # RedirectMatch ^/$ /apache2-default/ </Directory>... ServerSignature Off Reinicie o Apache2: # /etc/init.d/apache2 restart Instalação e Configuração do PHP5 Instale o PHP5 e alguns módulos necessários: # aptitude install php5 php5-mysql php5-pear libapache2-mod-php5 52

53 Edite o arquivo php.ini do Apache2 e descomente a seguinte linha para dar suporte ao MySQL e acrescente parâmetros para deixá-lo mais seguro: # vi /etc/php5/apache2/php.ini ; Example lines: extension=mysql.so ; Safe Mode safe_mode = 0n safe_mode_gid = 0n Reinicie o Apache2: # /etc/init.d/apache2 restart Instalação e Configuração do AcidBase O AcidBase é a ferramenta que será utilizada para visualizar os eventos de alerta que serão gerados pelo Snort e gravados dentro do MySQL. Instale o Acidbase: # aptitude install acidbase Edite o arquivo de configurarão de base de dados do AcidBase, informando os valores corretos: # vi /etc/acidbase/database.php $alert _user=' root '; $alert_password=' '; $basepath=' '; $alert_dbname='snort '; $alert_host=' '; $alert_port=' 3306'; $DBtype='mysql '; 53

54 Libere acesso à página do AcidBase nas configurações do Apache2: # vi /etc/acidbase/apache.conf <IfModule mod_alias.c> Alias /acidbase "/usr/share/acidbase" </IfModule> <DirectoryMatch /usr/share/acidbase/> Options +FollowSymLinks AllowOverride None order deny,allow deny from all allow from / allow from / <IfModule mod_php4.c> php_flag magic_quotes_gpc Off php_flag track_vars On php_value include_path.:/usr/share/php </IfModule> </DirectoryMatch> Crie o link simbólico para a pasta do apache2: # ln -s /etc/acidbase/apache.conf /etc/apache2/conf.d/acidbase.conf Reinicie o Apache2: # /etc/init.d/apache2 restart Permita que o Mysql trabalhe no IP da máquina e não só em localhost: # vi /etc/mysql/my.cnf bind-address =

55 Reinicie o Mysql: # /etc/init.d/mysql restart Acesse o AcidBase no browser: Importante: No primeiro acesso, a interface do AcidBase dará um erro reclamando a falta de algumas das tabelas que o AcidBase utiliza. Para resolver esse erro, clique em Setup Page e depois em Create Base A G Apache com suporte a SSL Vamos verificar se temos o módulo ssl ativo: # apache2ctl -M ou # ls -l /etc/apache2/mods-enable Se não, ative o módulo ssl: # a2enmod ssl Vai pedir para reiniciar o apache, mas antes vamos fazer mais algumas modificações. Vamos acrescentar ao arquivo /etc/apache2/ports.conf a porta padrão que o protocolo http sobre TLS/SSL ouve: # vi /etc/apache2/ports.conf Listen

56 Nos próximo passas mostraremos o que é preciso para criação de um certificado padrão X.509. c como nós mesmos podemos assiná-1ó. Utilizaremos o programa openssl para isto. Verifique se tem o pacote instalado: # dpkg -l openssl Instalando o openssl caso não possua: # aptitude install openssl Crie um diretório para nosso certificado: # mkdir /etc/apache2/ssl # cd /etc/apache2/ssl dos browsers: Agora criaremos um certificado com algoritmo padrão que é aceito pela maioria Primeiro a chave: # openssl genrsa -out hostname.key 1024 Depois o certificado(serão feitas algumas perguntas): # openssl req -new -key hostname.key -out hostname.csr Country Name (2 letter code) [AU]:BR[ENTER] State or Province Name (full name) [Some-State]:Piaui[ENTER] Locality Name (eg, city) []:Teresina[ENTER] Organization Name (eg, company) [Internet Widgits Pty Ltd]:PoP-PI[ENTER] Organizational Unit Name (eg, section) []: Infra[ENTER] Common Name (eg, YOUR name) []:.[ENTER] Address [ENTER] 56

57 Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:[ENTER] An optional company name []:[ENTER] Neste ponto você tem duas opções, pode tanto enviar seu certificado (CSR) para uma das várias autoridades certificadoras para que assinem e tornem seu certificado válido ou você mesmo pode assinar: # openssl x509 -req -days 365 -in hostname.csr -signkey hostname.key -out hostname.crt Obs.: O arquivo hostname.crt é nosso certificado e o hostname.key nossa chave ativar o SSL: Alterando nosso Domínio Virtual e adicionando as diretivas necessárias para # vi /etc/apache2/sites-enable/000-default NameVirtualHost * <VirtualHost *>... SSLEngine on SSLCertificateFile /etc/apache2/ssl/hostname.crt SSLCertificateKeyFile /etc/apache2/ssl/hostname.key... </VirtualHost> Reinicie o serviço: # /etc/init.d/apache2 stop # /etc/init.d/apache2 start Verifique os processos do Apache2 que foram inicializados: # ps auxf grep apache2 grep -v grep 57

58 Confira as portas que foram abertas para o servidor web com https: # netstat -nltp grep apache2 Atualização do Snort Para fazer a atualização do Snort, será necessário realizar um cadastro no site oficial do snort, e obter o chamado Oink Code, que é o código que permite ter acesso as atualizações. verdadeiro: Acesse o site oficial do Snort e faça um novo registro utilizando um Feito o cadastro, acesse o seu e utilize o usuário e senha que foram enviados para fazer login no site do Snort. Após o login, clique no botão "Get Code" para obter o "Oink Code", que será semelhante ao seguinte: 5aO8f649c16a278e1012e1c84bdc8fab9a70e2a4 atualização: Agora acesse a seguinte url, colocando o seu código, para baixar o pacote de 70e2a4/snortrules-snapshot-2.3.tar.gz Após ter baixado o pacote, descompate-o dentro do diretório do snort: # tar xzvf snortrules-snapshot-2.3 tar.gz -C /etc/snort 58

59 Entre no diretório do Snort e mova o diretório doc/signatures para dentro do diretório do AcidBase: # cd /etc/snort/doc # mv signatures /usr/share/acidbase Reinicie o Snort: # /etc/init.d/snort restart Instalando o Guardian Obs.: Por uma limitação do Guardian, seu sistema precisa estar com o idioma em inglês, pois o Guardian se baseia nos parâmetros que estão no ifconfig. Em seu script ele procura pela string inet end e em português estaria inet addr. Caso já tenha instalado a versão do S.O. em português existem 2 soluções: 1. Modifica o script em Perl 2. # LANG = en_us o Somente em memória O Guardian é basicamente um script em Perl, e não está nos repositórios Debian. Podemos obtê-lo pelo seguinte site: Após baixar o Guardian, iremos descompactá-lo: # cd /root # tar xzvf guardian-l X.tar.gz 59

60 Primeiro vamos modificar o arquivo de configuração guardian.conf: # vi guardian.conf Interface eth0 LogFile /var/log/guardian. Log AlertFile /var/log/snort/alert IgnoreFile /etc/guardian.ignore TimeLimit 3600 Colocar o arquivo de configuração no diretório padrão: # cp guardian.conf /etc Podemos criar o arquivo guardian.ignore, e colocar os IP's que não precisam ser checados, no caso podemos colocar o nosso próprio IP: # vi /etc/guardian.ignore Agora precisamos preparar os scripts que o guardian vai utilizar par bloquear e desbloquear os IP's: # cd scripts # cp iptables_block. sh /sbin/guardian_block. Sh # cp iptables_unblock.sh /sbin/guardian_unblock.sh Para colocar o Guardian em funcionamento, vamos jogar o script guardian.pl para um dos diretórios do PATH: # cd.. # cp guardian.pl /sbin Crie o arquivo de log do Guardian: 60

61 # touch /var/log/guardian.log Agora vamos iniciar o Guardian: # guardian.pl -c /etc/guardian.conf # ps ax Para testar, acompanhe o log do Guardian enquanto outra máquina faz uma varredura com nmap: # tail -f /var/log/guardian.log Crie um script no nível de execução padrão para o Guardian ser iniciado automaticamente no boot do sistema: # vi /etc/init.d/guardian #!/bin/bash test -f /sbin/guardian.pl exit 0 case "$1" in start) guardian.pl -c /etc/guardian.conf ;; stop) kill -9 $(pgrep guardian.pl) ;; *) echo "Opção invalida. Use start ou stop." exit 2 ;; esac exit 0 Modificar as permissões do arquivo: 61

62 # chmod 755 /etc/init.d/guardian Adicionar no momento do boot: # update-rc.d guardian defaults Reiniciar o serviço: # /etc/init.d/guardian stop # /etc/init.d/guardian start SNORT via APT-GET (unstable) Remontar pacotes do tipo.deb: # aptitude install dpkg-dev Modificar o repositório no sources.list: # vi /etc/apt/sources.list deb unstable main contrib non-free deb-src unstable main contrib non-free Fazendo o download do código-fonte: # cd /opt # apt-get update # apt-get source snort-mysql Obs: Após concluir o download do source, colocar o repositório no stable e dar um aptget update. # cd /opt/snort

63 Criar pacote.deb sem chaves assinadas: # dpkg-buildpackage -us -uc Irá reclamar e listar as dependências, então iremos instalá-las: # aptitude install todas_as_dependências Por questão de segurança irá dar um erro nos manuais desse pacote: # vi /opt/snort-2.7.0/debian/snort-docs.docs Remova o doc/snort_manual.pdf e o doc/faq.pdf Construa o pacote novamente: # dpkg-buildpackage -us -uc Entre no diretório em que foram criados os.deb e instale-os: # cd /opt # dpkg -i pacote.deb Obs: Vai dar um erro no snort-mysql. Será preciso realizar alguns ajustes: Configuração do Snort com suporte a MySQL # mysql -u -p > drop database snort. Conectado no MySQL crie uma base de dados para o Snort: 63

64 # mysql -u root -p mysql> show databases; mysql> create database snort; mysql> quit Instalação e Configuração do Snort com suporte a MySQL Instale o Snort com suporte a MySQL: # aptitude instal snort-mysql Detalhes de configuração: Faixa de endereço na qual o Snort deve ouvir: /24 Deseja configurar uma base de dados para snort-mysql gravar os log s: Sim É necessário criar as tabelas dentro da base de dados snort. O Snort traz um exemplo das tabelas na sua documentação. Entre no seguinte diretório: # cd /usr/share/doc/snort-mysql Utilize o arquivo create mysql.gz para criar as tabelas dentro da base de dados snort: # zcat create_mysql.gz mysql -u root -h localhost -p snort Acesse o servidor MySQL e verifique as tabelas na base de dados snort: # mysql -u root p mysql> show databases; mysql> use snort; mysql> show tables; mysql> status; 64

65 mysql> quit; Verifique os arquivos de configuração do snort: # cd /etc/snort # ls -l Faca um cópia do snort.conf original e mantenha um novo arquivo sem os comentários: # mv snort.conf snort.conf.original # cat snort.conf.original grep v ^# grep. > snort.conf Edite o snort.conf e modifique-o da seguinte maneira: # vi snort.conf var HOME_NET /24 var EXTERNAL NET any var DNS_SERVERS $HOME_NET var SMTP_SERVERS $HOME_NET var HTTP_SERVERS $HOME_NET output database: log, mysql, user=root password= dbname=snort host=localhost Verifique também o arquivo de configuração snort.debian.conf: # cat snort.debian.conf Visualize as regras (assinaturas) do Snort dentro do diretório rules: # cd rules # ls 65

66 Antes de reiniciar o snort, apague o arquivo de pendência da configuração do banco de dados que ele criou dentro de /etc/snort: # cd /etc/snort # rm db-pending-config Reinicie o snort: # /etc/init.d/snort restart suas tabelas: Para finalizar essa etapa, dê permissão de acesso remoto na base de dados snort e # mysql -u root p Coloque a senha de root e faça as seguintes configurações: mysql> grant all privileges on snort.* to identified by "123456"; mysql> grant all privileges on snort.* to identified by "123456'; mysql> quit Configuração do AcidBase Acesse o AcidBase no browser: Importante: No primeiro acesso, a interface do AcidBase dará um erro reclamando a falta de algumas das tabelas que o AcidBase utiliza. Para resolver esse erro, clique em Setup Page e depois em Create Base A G Reinicie o Snort: # /etc/init.d/snort restart 66

67 ANEXO 3 TUTORIAL PARA INSTALAÇÃO DO SNORT EM MODO BRIDGE Em ambientes onde o Snort precisa ficar transparente na rede ou em redes onde não tem a disponibilidade de trabalhar com um Switch com port-mirror. Podemos fazer que o Snort trabalhe como se fosse uma ponte(bridge), onde todo o tráfego de rede passará por ele de forma transparente. Primeiro precisamos instalar o pacote para criar a bridge entre as interfaces: # aptitude install bridge-utils Agora vamos criar a interface de bridge: # brctl addbr br0 # ifconfig -a Com a interface de bridge criada, temos que definir quais interfaces vão pertencer a ela para a ponte ser estabelecida: # brctl addif br0 eth0 # brctl addif br0 ethl Configuração das Interfaces Para ficar algo transparente, as interfaces não podem ter endereço IP: # ifconfig eth # ifconfig ethl

68 Para colocar a bridge em funcionamento precisamos levantar a sua interface: # ifconfig br0 up Para deixar essas configurações fixas, precisamos editar o /etc/network/interfaces e deixa da seguinte maneira: # vi /etc/network/interfaces auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet static address network broadcast auto ethl iface ethl inet static address network broadcast auto br0 iface br0 inet static bridge_ports eth0 ethl bridge_maxwait 0 Configuração do Snort Agora devemos fazer com que o Snort trabalhe na interface da bridge: # vi /etc/snort/snort.debian.conf DEBIAN_SNORT_STARTUP="boot" DEBIAN_SNORT_HOME_NET=" /24" DEBIAN_SNORT_OPTIONS="" DEBIAN_SNORT_INTERFACE="br0" DEBIAN_SNORT_SEND_STATS="true" DEBIAN_SNORT_STATS_RCPT="root" DEBIAN_SNORT_STATS_THRESHOLD="1" 68

69 E feitas às modificações, reiniciar o snort: # /etc/init.d/snort restart Para desfazer a bridge, devemos fazer os seguintes passos: # ifconfig br0 down # brctl delif br0 eth0 # brctl delif br0 eth1 # brctl delbr br0 Reiniciar as configurações de Rede: # /etc/init.d/networking restart 69

70 ANEXO 4 TUTORIAL PARA INSTALAÇÃO DO SNORT-INLINE Instalação e Configuração do MySQL COM SUPORTE AO MYSQL Instale o mysql-server: # aptitude install mysql-server Verifique se o MySQL está rodando e se os sockets estão ativos: # ps aux grep mysql # netstat -nlpt Defina uma senha para o usuário root do MySQL: # mysqladmin -u root password <nova senha> Agora, conecte no MySQL: # mysql -u root -p Conectado no MySQL crie uma base de dados para o Snort: # mysql -u root -p mysql> show databases; mysql> create database snort; mysql> grant all privileges on snort.* to identified by snort ; mysql> quit 70

71 Instalando dependências Baixe dependências necessárias: # aptitude install build-essential libnet0-dev libpcre3-dev libmysqlclient15-dev iptablesdev No Debian Etch, o pacote libdnet-dev, necessário para a compilação e instalação do Snort-inline possui um erro. Então iremos instalá-lo manualmente. Libdnet-1.1 Versão utilizada até o momento da criação do tutorial Download # cd /opt/downloads # tar xzvf libdnet-1.1.tar.gz # cd libdnet-1.1 #./configure # make && make install Snort_inline Versão utilizada até o momento da criação do tutorial Download # cd /opt/downloads # tar xzvf snort_inline tar.gz # cd snort_inline Criar os diretórios para os arquivos de configurações e as regras: # mkdir -p /etc/snort/rules Copiar o arquivo de configuração do Snort para o diretório padrão: # cp etc/* /etc/snort 71

72 Realizar duas alterações no arquivo de configuração. # vi /etc/snort/snort_inline.conf var RULE_PATH /etc/snort/rules output database: log, mysql, user=snort password=snort dbname=snort host=localhost # make && make install Colocar dois arquivos no diretório de regras: Classification.config define as url s para as referências encontradas nas regras. Reference.config inclui informações para priorização das regras. # cp etc/classification.config /etc/snort/rules # cp etc/reference.config /etc/snort/rules Criar o arquivo de log s do Snort: # mkdir /var/log/snort Criar as tabelas do banco Snort: # mysql -u -p snort < schemas/create_mysql Compilando e Instalando o Snort-Inline: # cd /opt/downloads # tar xzvf snort_inline tar.gz # cd snort_inline #./configure --enable-inline --enable-flexrep --enable-gre --enable-pthread --withlibipq-includes=/usr/include/libipq --with-mysql # make && make install 72

73 O Snort já está capturando o tráfego que passa por ele: # snort_inline -v Transformando-o em um IPS 1. Direcionar todos os pacotes para uma fila: # iptables -A FORWARD -j QUEUE 2. Executar o Snort em modo inline: # snort -Q -N -c /etc/snort/snort_inline.conf -l /var/log/snort -D Obs.: A instalação do AcidBase no Snort-Inline segue da mesma forma descrita anteriormente. 73

74 ANEXO 5 TUTORIAL PARA INSTALAÇÃO DO HIDS AIDE Antes de instalar o AIDE, tire o atributo -a para que ele possa criar os arquivos necessários no diretório de log s: # chattr -R -a /var/log Instalação e Configuração do AIDE O primeiro passo é instalarmos o AIDE no Debian: # aptitude install aide Verifique o man do aide.conf para ver como funcionam as suas checagens: # man aide.conf Vamos verificar os arquivos de configuração que foram criados: # cd /etc/aide # ls # cd aide.conf.d # ls Os arquivos são o seguinte: aide.conf: Principal arquivo de configuração do AIDE. aide.conf.d: Diretórios aonde ficam os arquivos de configurarão específico para cada aplicativo. Analise o arquivo /etc/aide/aide.conf: 74

75 # cd /et c/aide # vi aide.conf Em seguida vamos verificar um dos arquivos de configuração dos aplicativos: # cd /etc/aide/aide.conf.d # vi 31_aide_apache2 Antes de gerar uma base é necessário validar as alterações no arquivo de configuração aide.conf: # update-aide.conf Esse comando vai criar uma cópia do arquivo de configuração no diretório /var/lib/aide chamado aide.conf.autogenerated que vai ser usado pelo comando gerador de bases do Aide. Agora que o AIDE está configurado, e nosso sistema está pronto, podemos gerar a base do AIDE: # aideinit Quando executado, o comando aideinit criará o arquivo /var/lib/aide/aide.db.new e criará também o /var/lib/aide/aide.db. Após o comando aideinit, verifique se as bases foram criadas: # cd /var/lib/aide Fazendo uma auditoria com o AIDE 75

76 Agora que a base está criada, podemos simular algumas modificações no sistema e ver como o AIDE vai nos notificar sobre essas modificações. Vamos mudar a localização do binário rmdir, e criar outro forjado: # mv /bin/rmdir /root # echo teste > /bin/rmdir Realizando a auditoria: # aide -C --config=/var/lib/aide/aide.conf.autogenerated tee /root/relatorio1_aide.txt documentado: O relatório foi gerado na tela e no arquivo. Verifique o relatório que ficou # cd /root # vi relatoriol_aide.txt OBS: Não se esqueça de colocar o rmdir de volta no /bin (cp /root/rmdir /bin). 76

77 ANEXO 6 TUTORIAL PARA INSTALAÇÃO DO HIDS OSSEC Instalação e Configuração do OSSEC Primeiro precisamos obter o código-fonte do Ossec no seu site oficial: # cd /opt # wget Agora vamos descompactá-lo: # tar xzvf ossec-hids tar.gz # ls Instale os pacotes necessários para fazer a compilação: # aptitude install build-essential O OSSEC possui um script para a sua instalação onde serão feitas várias perguntas, para isso execute: # cd ossec-hids #./install.sh No primeiro passo da instalação escolha o idioma a ser instalado : ** Para instalação em português, escolha [br]. ** Fur eine deutsche Installation wohlen Sie [de]. ** For installation in English, choose [en]. ** Para instalar en Espanol, eliga [es]. ** Pour uno installation en François, choisissez [fá] ** Per l'installazione in Italiano, scegli [it]. ** Za instalaciju na srpskom, izaberi [só]. 77

78 (en/br/cn/de/es/fr/it/jp/pl/ru/sr/tr) [en]:br Agora vamos escolher o modo como ele vai trabalhar que pode ser: Servidor - será o servidor que tratará os log s Cliente cliente ou agente que enviará os log s pro Server Local - no caso de apenas um servidor sem clientes a monitorar log s. Que tipo de instalação você deseja (servidor, cliente, local ou ajuda)? local Próximo passo é escolher onde o OSSEC será insta1ado. Podemos aceitar o diretório proposto. Configurando o ambiente de instalação. Escolha onde instalar o OSSEC HIDS [/var/ossec]: Tecle ENTER Depois vamos aceitar para receber notificações por Configurando o OSSEC HIDS. Deseja receber notificações por ? (s/n) [s]: Tecle ENTER Qual é o seu endereço de ? 78

79 Seu servidor SMTP foi encontrado como: smtp.dominio.com.br Ex.: panaiba.pop-pi.rnp.br Deseja usá-lo? (s/n) [s]: Tecle ENTER Em seguida vamos habi1itar a1guns tipos de checagens. Deseja habilitar o sistema de verificação de integridade? (s/n) [s]: Tecle ENTER Deseja habilitar o sistema de detecção de rootkis? (s/n) [s]: Tecle ENTER Respostas automáticas permitem você executar um comando específico baseado nos eventos recebidos. Você pode bloquear um endereço de IP ou desabilitar o acesso de um usuário específico, por exemplo. Maiores informações: Deseja habilitar o sistema de respostas automáticas? (s/n) [s]: Tecle ENTER Deseja habilitar o firewall-drop? (s/n) [s]: Tecle ENTER 79

80 Deseja adicionar mais algum endereço a essa lista? (s/n)? [n]: Tecle ENTER Após isso o OSSEC será compilado e instalado. Com OSSEC instalado, podemos iniciá-lo: # /etc/init.d/ossec start # ps ax Vamos visualizar onde o OSSEC está instalado e seu arquivo de configuração principal: # cd /var/ossec # ls # cd etc # vi ossec. conf Obs: Todos os arquivos de configurarão do OSSEC estão em um formato XML, que é muito simples de entender. Testando o OSSEC Podemos fazer um teste com o OSSEC e ver como o seu active-response trabalha. Vamos testar utilizando um servidor de instalado em nosso sistema, utilizaremos o Postfix nesse exemplo. Instalação do Postfix: # aptitude install postfix Realize um teste de telnet na porta 25 de uma outra máquina para a máquina onde está instalado o postfix. Pode-se notar que o OSSEC bloqueou IP que estava tentando realizar o telnet: 80

81 # telnet Trying Connected Lo Escape character is '^]'. 220 postfix ESMTP Postfix (Debian/GNU) helo teste.com.br mail from: Ok rcpt to: Relay access denied Nesse momento a máquina que está recebendo a conexão já deve ter bloqueado o IP de origem. Se já tentaram fazer essa conexão em sua máquina, veja se o IP da pessoa que tentou já está bloqueado: # iptables -n -L # vi /etc/hosts.deny Essa regra ficará setada até passar o tempo que está configurado nas regras do OSSEC. Instalando o OSSEC como servidor Segue da mesma forma feita anteriormente. A diferença é na hora de o tipo de instalação deverá ser escolhido servidor. Configurando Clientes (Agentes) Os clientes a serem monitorados podem ser tanto Linux como Windows. A versão Windows se encontra em A versão Linux é a mesma feita para o local ou servidor, escolhendo Cliente e depois seguir com a instalação normalmente, apenas informando o IP do servidor quando for solicitado. 81

82 Adicionando Clientes ao servidor Como a comunicação entre os clientes e o servidor é criptografada, será preciso criar, no servidor, uma chave para cada cliente. Adicionando um cliente: # cd /var/ossec/bin #./manage_agents (cliente). Selecione a opção (A)dd an agent (A) e informe um nome e o IP do agente Feito isso, será necessário extrair a chave. Selecione a opção (E)xtract key for an agent (E), o script listará os agentes disponíveis, identificados por um ID. Digite o ID do cliente escolhido e a chave será impressa na tela. Volte no cliente: # cd /var/ossec/bin #./manage_agents Selecione a opção (I)mport key for the server (I). E cole a mesma chave gerada no servidor para esse cliente. Reiniciar o serviço Ossec, tanto no servidor como no cliente: # /etc/init.d/ossec restart OSSEC-WUI Interface Web front para monitorar o OSSEC. Essa versão tem como prérequisitos PHP 4 ou 5, além de ter instalado o OSSEC com versão igual ou superior a

83 Instalação do Servidor com suporte ao php: # aptitude install apache2 php5 libapache-mod-php5 Faça o download do pacote ossec-wui: # wget Descompacte os arquivos no Document Root do Servidor: # cd /var/www # tar xzvf ossec-wui-0.3.tar.gz # mv ossec-wui-0.3 ossec-wui Execute o script de instalação: # cd /var/www/ossec-wui #./setup.sh Irá pedir o usuário dono do processo do apache, no caso desta versão é o wwwdata. Logo após irá solicitar uma senha. Coloque uma senha para acesso administrativo. Adicione o grupo do apache ao usuário ossec: # vi /etc/group ossec:x:1002:www-data ou # gpasswd -a ossec www-data Adicione as permissões necessárias: # chmod 770 tmp/ # chgrp www tmp/ 83

84 Renicie o apache: # /etc/init.d/apache2 restart Abra um Browser e acesse: Página inicial do OSSEC WebUI Figura 6 - Página inicial do OSSEC-WUI 84

85 ANEXO 7 TUTORIAL PARA INSTALAÇÃO DO HIDS TRIPWIRE Instalação e Configuração do Tripwire O passo de instalação do Tripwire no Debian é: # aptitude install tripwire O Tripwire pode proteger arquivos comuns para diversos sistemas, como os seus arquivos de configuração e o arquivo de políticas. Para isso ele dá uma opção de criar uma senha (site key) de acesso a eles: Figura 7 Autorização da criação da site key do Tripwire Da mesma forma que a anterior, ele também protege arquivos específicos para o sistema, como a sua base de dados. Para isso ele dá uma opção de criar uma senha (local key) de acesso a eles: 85

86 Figura 8 - Autorização da criação da local key do Tripwire Reconstruir o arquivo de configuração: Figura 9 Reconstruir o arquivo de configuração do Tripwire Reconstruir o arquivo de políticas: Figura 10 Reconstruir o arquivo de políticas do Tripwire 86

87 Informe a senha para arquivos comuns: Confirme a senha criada: Figura 11 Informar senha para site key do Tripwire Figura 12 Confirmar senha para site key do Tripwire Informe a senha para arquivos específicos: Confirme a senha criada: Figura 13 Informar senha para local key do Tripwire Figura 14 Confirmar senha para local key do Tripwire 87

88 Caso obtenha sucesso em todos os passos, será exibida a tela abaixo: Figura 15 Instalação do Tripwire concluída Após instalar e criar as senhas para o tripwire são gerados dois arquivos dentro de /etc/tripwire: twpol.txt twcfg.txt Esses arquivos não podem ser lidos diretamente. Para isso serão necessários os comandos: # twadmin --print-polfile # twadmin --print-cfgfile O funcionamento do tripwire é controlado por dois arquivos de configurações: 3. /etc/tripwire/twcfg.txt parâmetros gerais. Caminhos para executáveis; 4. /etc/tripwire/twpol.txt políticas de proteção dos arquivos. Como proteção, será necessário modificar o uso do diretório temporário padrão: # vi /etc/tripwire/twcfg.txt TEMPDIRECTORY =/tmp/tripwire Criar e colocar as permissões necessárias: # mkdir /tmp/tripwire # chmod 700 /tmp/tripwire 88

89 Gerar a base inicial de dados. A base de dados não poderá ser lida diretamente. Ela será gerada em /var/lib/tripwire/hostname.domain.twd: # tripwire --init Caso tenha alterado o arquivo de políticas, será necessário atualizar o tripwire: # tripwire --update-policy --secure-mode low /etc/tripwire/twpol.txt Verificação de integridade do sistema: # tripwire --check --interactive Será gerado um arquivo contendo o relatório da checagem. Para visualizar utilize o comando: # twprint --print-report --twrfile /var/lib/tripwire/report/hostname-timestamp.twr > /tmp/checagem.txt Atualizando a base de dados: # tripwire --update --twrfile /var/lib/tripwire/report/hostname-timestamp.twr 89

90 ANEXO 8 TUTORIAL PARA INSTALAÇÃO DO HIDS OSIRIS Instalação do Servidor Baixe dependências necessárias: # aptitude install build-essential libssl-dev Download # cd /opt/downloads # tar xzvf osiris tar.gz # cd Osíris #./configure # make all && make install Obs: Após ter realizado o make install, serão feitas algumas perguntas: A próxima pergunta será sobre iniciar o daemon gerenciador, chamado de osirismd. Irá gerar uma chave RSA para o certificado: 90

91 Inicie também o daemon do cliente local responsável pela verificação, chamado de osirisd. Iremos manipular o osirismd através do comando osiris: Verifique se os dois daemons estão sendo executados: # ps aux grep osiris Acessando pelo console Por padrão e questões de segurança, a primeira configuração, em uma conexão com o daemon osirismd, deverá ser feita localmente. Será gerado um certificado para obtenção de conexão segura. Configure através da linha de comando: # osiris Também por padrão o usuário e senha já são definidos. No caso, usuário admin e senha em branco. Por questões de segurança teremos que gerar uma nova senha: 91

92 Modificando a senha padrão: osirismd: O comando help, ou apenas?, lista os possíveis comandos suportados pelo 92

93 Realizar configurações básicas necessárias no servidor: Confirme a autorização da lista e adicione a rede na qual estará autorizada a conectar no servidor: 93

94 Sair e confirmar todas as modificações: Adicionar o servidor para ser monitorado: 94

95 As próximas perguntas são referentes à base de verificação e são autoexplicativas. Caso não discorde, deixar como padrão: Após as perguntas sobre a base de verificação, serão solicitas perguntas sobre as notificações. Caso não tenha um MTA instalado localmente ou interno que não use autenticação de SMTP deixar como padrão: 95

96 As próximas perguntas são referentes às verificações. Quando foi realizada a primeira verificação e com que freqüências ela será efetuada. Caso seja a primeira vez, deixar como padrão: Habilitar e confirmar as configurações do host: 96

97 Em outro console, verificar se o daemon osirisd está iniciado. Voltando ao console de configuração do osiris, confirmar a inicialização do host. A configuração dos arquivos checados ficará nos arquivos padrão default.linux: Verificar se a base de verificação do host local foi criada. Caso a coluna CREATED esteja escrito (peding), a base ainda está sendo gerada: 97

98 Escolha a base com o comando print-db 1. Selecionar o host servidor e analisar com mais detalhes a base gerada, bastando apenas escolher a letra que aparece no novo prompt: Para sair basta executar os comandos abaixo: Adicionar um cliente para ser monitorado. O pacote de instalação e as dependências são as mesmas do servidor, modificando apenas no comando make. Baixe dependências necessárias: # aptitude install build-essential libssl-dev 98

99 Download # cd /opt/downloads # tar xzvf osiris tar.gz # cd Osíris #./configure # make agent && make install Obs: Após ter realizado o make install, serão feitas algumas perguntas: Inicie também o daemon do cliente local responsável pela verificação, chamado de osirisd. Iremos manipular o osirismd através do comando osiris: Verifique se o daemon está sendo executado: # ps aux grep osiris Obs.: O host deverá ser adicionado no servidor da mesma forma que o host servidor foi adicionado pelo aplicativo via linha de comando, chamado osiris. Colocando um nome para o cliente e o IP ao qual ele pertence. Responder as outras perguntas conforme a configuração do cliente. 99

100 ANEXO 9 TUTORIAL PARA INSTALAÇÃO DO SCANNER DE Instalação e Configuração VULNERABILIDADES WEB NIKTO Primeiro vamos ao download da ferramenta # cd /usr/local # tar xzvf nikto-current.tar.gz Acrescente o diretório do nikto na variável PATH: # vi /etc/profile PATH=$PATH:/usr/local/nikto export PATH Instalar um servidor de web para teste: # aptitude install apache Verificar se o mesmo está iniciado: # netstat -napt grep apache Atualizar a base de dados do nikto # nikto.pl -update Para solicitar os possíveis comandos aceitos pelo nikto: # nikto.pl -h 100

101 Realizar um teste na máquina local: # nikto.pl -h localhost -o /root/localhost.txt Utilizar uma forma para driblar um possível IDS: # nikto.pl -h localhost -evasion 1 -o /root/localhost.txt 101

102 ANEXO 10 TUTORIAL PARA INSTALAÇÃO DO HIDS Instalação e Configuração LABRADOR Primeiro vamos ao download da ferramenta: # cd /usr/local # tar xzvf labrador linux.i386.tar.gz # mv labrador labrador Acrescente o diretório do labrador na variável PATH: # vi /etc/profile PATH=$PATH:/usr/local/labrador export PATH Baixando dependências necessárias: # aptitude install build-essential Verificando módulos do Perl necessários para a execução do Labrador: # cd /usr/local/labrador/tools #./perlcheck.pl Obs.: O script irá fazer as perguntas dos módulos que ainda não estão instalados no sistema. Confirme as instalações e aguarde o final da execução do mesmo. Caso ocorra algum erro na instalação de algum módulo, baixá-lo diretamente do site Mais informações sobre os módulos encontram-se em /usr/local/labrador/leiame.txt. 102

103 Baixar o módulo necessário para criptografar a base de dados: # perl -MCPAM -e shell cpan> install Crypt::Blowfish cpan> q Modificar o arquivo de regras: # cd /usr/local/labrador/conf # cp rules-linux.conf rules.conf Listar os arquivos que o arquivo de regras irá ler: # labrador.pl -l Obs.: Informações de como manipular o arquivos de regras encontram-se na seção 5.1 do arquivo /usr/local/labrador/leiame.txt. Modificar o arquivo de configuração: # cd /usr/local/labrador/conf # vi labrador.conf lang=pt_br encrypt=yes cipher=blowfish Criar a base de dados Criar a base de dados de acordo com o que foi definido no arquivo de regras e no arquivo de configuração labrador.conf: # labrador.pl -n Após o comando é preciso digitar a senha para ser gerada a base de dados, chamada de labrador.db, criptografada. 103

104 Fazer a verificação nos arquivos Para saber se houve alguma alteração: # labrador.pl -v Fazer a restauração dos arquivos ocorrido: Será possível fazer uma restauração dos arquivos, caso alguma alteração tenha # labrador.pl -e 104

105 ANEXO 11 TUTORIAL PARA INSTALAÇÃO DO IPS FWSNORT Instalação e Configuração Download Baixando dependências necessárias: # aptitude install build-essential Instalar Fwsnort juntamente com os módulos em Perl necessários. Será perguntado se você deseja instalar as ultimas regras do Snort. Confirme e prossiga. # cd /usr/local # tar xzvf fwsnort tar.gz # cd fwsnort #./install.pl Configuração do fwsnort.conf. No exemplo criado, foi utilizado a rede /24. Modifique apenas as linhas necessárias: # vim /etc/fwsnort/fwsnort.conf HOME_NET /24 DNS_SERVERS [ , ] WHITELIST , Gerar o arquivo necessário para adicionar as regras ao firewall. O arquivo gerado ficará localizado em /etc/fwsnort/fwsnort.sh: # fwsnort 105

106 Adicionar as regras do firewall baseadas no Snort a partir do fwsnort: # /etc/fwsnort/fwsnort.sh 106

107 ANEXO 12 TUTORIAL PARA INSTALAÇÃO DO IPS HLBR Instalação e Configuração Download Baixando dependências necessárias: # aptitude install build-essential libpcre3-dev libpcre3 Instalar HLBR com o idioma em português: # cd /opt/downalods # tar xzvf hlbr-1.6.tar.gz # cd hlbr-1.6 #./configure Selecione p e [ENTER] #make && make install Configuração das interfaces Como é o daemon do HLBR que gerencia as placas de rede, será necessário colocar endereçamentos locais: # ifconfig eth # ifconfig eth Configuração do arquivo hlbr.config A configuração do HLBR é realizada no arquivo hlbr.config. Somente as entradas IPList devem ser alteradas. Caso não disponha de todos os campos do IPList, basta apenas comentá-los: # vi /etc/hlbr/hlbr.config <IPList www>

108 </list> <IPList dns> </list> <IPList > </list> <IPList firewall> </list> <IPList network> /24 </list> #<IPList others> # # #</list> <IPList servers> www dns firewall #others </list> Acrescentar regra As regras de detecção de ataque do HLBR ficam em /etc/hlbr/rules. Abaixo será adicionado uma regra para identificar SQL Injections: # vi /etc/hlbr/rules/sql-xss.rules <rule> ip tcp regex((?:^\s*[;>"]\s*(?:union SELECT CREATE RENAME dst(www) dst(80) 108

109 TRUNCATE LOAD ALTER DELETE UPDATE INSERT DESC)) (?:(?:SELECT CREATE RENAME TRUNCATE LOAD ALTER DELETE UPDATE INSERT DESC)\s+(?:CONCAT CHAR CONCAT LOAD_FILE 0x)\s?\(?) (?:END\s*\);) ("\s+regexp\w)) message=(sql-xss-5) Detects concatenated basic SQL injection and SQLLFI attempts action=action1 </rule> Iniciar o daemon do HLBR: # /etc/initd.d/hlbr start ou # hlbr -c /etc/hlbr/hlbr.config -r /etc/hlbr/hlbr.rules -d Verificar se o HLBR está executando: # ps aux grep hlbr Os log s do HLBR ficam armazenados em /var/log/hlbr. São gerados log s em arquivos textos com extensão.log e arquivos de dump do tcpdump. Visualizar os arquivos de log: # vi hlbr.log Para visualizar os dumps do tcpdump: # tcpdump -s vvv -tttt -X -r hlbr.dump 109

110 ANEXO 13 TUTORIAL PARA INSTALAÇÃO DO HONEYPOT Instalação e Configuração HONEYD O primeiro passo é instalarmos o Honeyd no Debian: # aptitude install farpd honeyd Direcionar o tráfego para o HoneyPot: # farpd /24 Todos os serviços que vão ser emulados se encontram em /usr/share/honeyd/scripts, alguns são específicos para certos Sistemas Operacionais, como o mydoom.pl, que é próprio para Sistemas Windows. As assinaturas para NMAP (PortScan) dos Sistemas Operacionais emulados se encontram em /etc/honeypot/nmap.prints. Caso o atacante use o P0f, as assinaturas ficam em /etc/honeypot/pf.os. Caso o atacante especifique NMAP juntamente com o xprobe, o arquivo contendo os estilos do xprobe fica localizado em /etc/honeypot/xprobe2.conf. Alterando as configurações default: # vi /etc/default/honeyd RUN= yes NETWORK= /24 O arquivo de configuração do Honeyd se encontra em /etc/honeypot/honeyd.conf. Nele será definido quais sistemas estão sendo emulados, quanto tempo o sistema está ligado, se ele vai responder a ICMP do tipo ECHO_REQUEST, quais as portas para aquele respectivo sistema estarão abertas, qual o serviço aquela porta está escutando e qual o IP para este sistema emulado. 110

111 Configuração do honeyd.conf Emulação de um Sistema operacional Windows e um Sistema Operacional Linux. Ambos se encontram na mesma rede local: # mv /etc/honeypot/honeyd.conf /etc/honeypot/honeyd.conf.orig # vi /etc/honeypot/honeyd.conf # Maquina Windows create windows set windows personality "Microsoft Windows XP Professional SP1" set windows uptime set windows default tcp action reset set windows default udp action reset set windows default icmp action block add windows tcp port 4444 "/usr/share/honeyd/scripts/cmdexe.pl -p winxp -l /var/log/honeyd/blaster.logs " add windows tcp port 23 "/usr/share/honeyd/scripts/telnet/faketelnet.pl -p winxp -l /var/log/honeyd/tel23.logs " add windows tcp port 1080 "/usr/share/honeyd/scripts/mydoom.pl -l /var/log/honeyd/mydoom.logs " bind windows # Maquina Linux 2.4.x create linux set linux personality "Linux " set linux default tcp action reset set linux default udp action reset set linux default icmp action open add linux tcp port 110 "sh /usr/share/honeyd/scripts/unix/general/pop/pop3.sh" add linux tcp port 25 "sh /usr/share/honeyd/scripts/unix/general/smtp.sh" add linux tcp port 21 "sh /usr/share/honeyd/scripts/unix/linux/ftp.sh" set linux uptime bind linux create default set default default tcp action block set default default udp action block set default default icmp action block 111

112 Iniciar o daemon do Honeyd: # /etc/init.d/honeyd start Verificar se ocorreu a inicialização: # ps aux grep honeyd grep -v grep Alguns testes Em outra máquina realize os seguintes testes para verificar a conectividade com as máquinas emuladas e se existem serviços nas portas especificadas: # ping # ping # nmap -st PN # nmap -st PN 112

113 ANEXO 14 TUTORIAL PARA INSTALAÇÃO DO SCANNER DE Instalação e Configuração VULNERABILIDADES NESSUS O primeiro passo é instalarmos o Nessus-server no Debian: # aptitude install nessusd libnessus-dev nessus-dev Instalar também a parte do cliente: # aptitude install nessus Criar um usuário para acessar o servidor: # nessus-adduser Digite o nome do usuário e o tipo de autenticação: 113

114 Acrescente algumas regras para o usuário e depois confirme: Iniciar o servidor Nessus. Os plugins instalados por padrão serão automaticamente carregados: # nessusd & Verificar se o serviço foi iniciado corretamente: # ps aux grep nessus ou # netstat nlpt grep

115 Atualizar a lista de plugins do Nessus. Acessar o site do desenvolvedor (http://www.nessus.org) e clicar em plugins: Figura 16 Baixar plugins Nessus I No Menu à esquerda, escolher a opção Register: Figura 17 Baixar plugins Nessus II 115

116 Dentre as opções de registro escolher Free: Figura 18 Baixar plugins Nessus III Aceitar os termos do registro: Figura 19 Baixar plugins Nessus IV 116

117 Inserir um válido e clicar em Register: Figura 20 Baixar plugins Nessus V Ao receber o , verifique a distribuição na qual o Nessus esta instalada. Digite o comando, que aparece no , em uma console. Esse registro só pode ser utilizado uma única vez: # nessus-fetch --register E4E F8A-E8E9-063B Mate o processo correspondente ao daemon do Nessus e o execute novamente. Dessa forma, os novos plugins serão carregados: # pkill nessus # nessusd & 117

118 Realizando um scaneamento: Figura 21 Tela de logins do Nessus-Client Na aba de Plugins, selecione apenas aqueles apropriados para a checagem: Figura 22 Tela de seleção de plugins do Nessus-Client 118

119 Na aba Target selection, coloque o IP do cliente que deseja verificar ou leia de um arquivo contendo vários IP s. Depois clique em Start the scan para iniciar a verificação: Figura 23 Iniciar um scaneamento no Nessus A verificação pode demorar, dependendo da quantidade de plugins: Figura 24 Tela de verificação do Nessus 119

120 A próxima janela que se abre diz respeito aos hosts que foram verificados, bem como os seus serviços. Encontrando vulnerabilidades, o Nessus também informa uma possível solução. Caso queira salvar esse relatório, basta clicar em Save report: Figura 25 Relatório do Nessus O Nessus suporta salvar em diversos formatos. Escolha o local apropriado, o formato do arquivo (indicado pela seta vermelha) e o nome do relatório. Feito isso, clique em OK: Figura 26 Salvar relatório 120

121 Exibição de um relatório em formato HTML: Figura 27 Relatório do Nessus gerado em html 121

122 ANEXO 15 TUTORIAL PARA INSTALAÇÃO DO OSSIM Instalação e Configuração Modificar o repositório do Debian, adicionar as seguintes linhas no sources.list: # vi /etc/apt/sources.list deb debian/ deb-src debian/ # aptitude update Criar um arquivo de preferências para o Ossim: # vi /etc/apt/preferences Package: * Pin: release o=ossim Pin-Priority: 995 Atualizar a lista de repositórios: # aptitude update Modificar as respostas do debconf: # dpkg-reconfigure -plow debconf 122

123 Figura 28 Interface usada no Debconf Figura 29 Prioridade das perguntas do Debconf Instalar o Ossim com o MYSQL no Debian. Irá solicitar a senha do administrador do MYSQL: # aptitude install ossim-mysql Caso não apareça a solicitação de senha, coloque manualmente: # mysqladmin -u root password <senha> Permita que o Mysql trabalhe no IP da máquina e não só em localhost: # vi /etc/mysql/my.cnf bind-address = * 123

124 Reinicie o Mysql: # /etc/init.d/mysql restart Criar os seguintes bancos no Mysql: # mysql -p mysql> create database ossim; mysql> create database ossim_acl; mysql> create database snort; mysql> create database osvdb; mysql> exit; Adicionar as tabelas nos respectivos bancos: # zcat /usr/share/doc/ossim-mysql/contrib/create_mysql.sql.gz \ /usr/share/doc/ossim-mysql/contrib/ossim_config.sql.gz \ /usr/share/doc/ossim-mysql/contrib/ossim_data.sql.gz \ mysql -u root ossim -p # zcat /usr/share/doc/ossim-mysql/contrib/create_snort_tbls_mysql.sql.gz \ /usr/share/doc/ossim-mysql/contrib/create_acid_tbls_mysql.sql.gz \ mysql -u root snort -p # zcat /usr/share/doc/ossim-mysql/contrib/osvdb-tables.sql.gz \ mysql -u root snort -p Adicionar as tabelas de plugins: # cd /usr/share/doc/ossim-mysql/contrib/plugins # zcat *.sql.gz mysql -u root ossim -p # cat *.sql.gz mysql -u root ossim -p Instalar o servidor do Ossim: # aptitude install ossim-server 124

125 Figura 30 Nome do servidor do OSSIM Figura 31 IP do servidor OSSIM Obs.: O IP significa que ele poderá escutar qualquer IP das redes das quais ele faz parte. Figura 32 Nome do Framework Figura 33 IP do Framework 125

126 Figura 34 Porta do Framework Figura 35 Nome do banco do servidor OSSIM Figura 36 Hostname do servidor MYSQL Figura 37 Nome do administrador do banco ossim Figura 38 Senha do usuário do banco do servidor MYSQL 126

127 Figura 39 Nome do banco pertencente ao Snort Figura 40 Hostname do servidor MYSQL Figura 41 Nome do administrador do banco snort Figura 42 Senha do administrador do banco 127

128 Figura 43 Nome do banco pertencente ao Osvdb Figura 44 Hostname do servidor MYSQL Figura 45 Nome do administrador do banco osvdb Figura 46 Senha do administrador do banco Instalar o um agente localmente: # aptitude install ossim-agent 128

129 Modificar as configurações do Agente: # vi /etc/ossim/agent/config.cfg sensor = interface = eth0 date_format = %d-%m-%y %H:%M:%S ossim_dsn=mysql:localhost:ossim:root: Adicionar os privilégios ao usuário do Snort: # mysql -u root -p mysql> grant all privileges on *.* to identified by "123456"; mysql> quit Instalar o Servidor de Web: # aptitude install apache2 php5 libapache2-mod-php5 libphp-jpgraph php5-cli php5-gd php5-mysql Retire o redirecionamento para o apache2-default: # vim /etc/apache2/sites-available/default Comente a linha que possui: RedirectMatch ^/$ /apache2-default/ Adicionar um nome para responder o servidor do apache: # vi /etc/apache2/apache2.conf ServerName localhost 129

130 Reinicie o Apache2: # /etc/init.d/apache2 restart Instalar o pacote phpgacl Responsável pela alimentação do banco ossim_acl: # aptitude install phpgacl Figura 47 Tela inicial de configuração do libphp-adodb Figura 48 Seleção das versões do Apache Figura 49 Configuração da base de dados do phpgacl 130

131 Figura 50 Escolha do banco a ser utilizado pelo phpgacl Figura 51 Senha do administrador do banco MYSQL Figura 52 Senha do MYSQL para o phpgacl Figura 53 Confirmação da senha 131

132 Instalar os Plugins snort # aptitude install snort-mysql Figura 54 Interface utilizada pelo Snort Figura 55 Rede a ser monitorada pelo Snort Figura 56 Usuário que irá receber os s do Snort 132

133 Figura 57 Configurar a base de dados Figura 58 Hostname do servidor MYSQL Figura 59 Nome do banco utilizado pelo Snort Figura 60 Nome do administrador do MYSQL 133

134 Figura 61 Senha do administrador do MYSQL Antes de reiniciar o snort, apague o arquivo de pendência da configuração do banco de dados que ele criou dentro de /etc/snort: # rm -f /etc/snort/db-pending-config Faca um cópia do snort.conf original e mantenha um novo arquivo sem os comentários: # mv snort.conf snort.conf.orig # cat snort.conf.orig grep v ^# grep. > snort.conf Verificar se o snort.conf encontra-se com as seguintes características, caso contrário, será necessário modificar: # vi snort.conf var HOME_NET /24 var EXTERNAL NET!$HOME_NET var DNS_SERVERS $HOME_NET var SMTP_SERVERS $HOME_NET var HTTP_SERVERS $HOME_NET output database: log, mysql, user=root password= dbname=snort host=localhost include spade.ossim.conf 134

135 Atualizar as regras de assinaturas: # cd /etc/snort/rules # wget # echo include \$RULES_PATH/bleeding-all.rules >> /etc/snort/snort.conf Criar o arquivo bleeding.conf: # echo var SSH_PORTS 22 > /etc/snort/rules/bleeding.conf Atualizar o banco ossim com as regras novas: # /usr/share/ossim/scripts/create_sidmap.pl /etc/snort/rules mysql -u root ossim -p Iniciar o daemon do Snort: # /etc/init.d/snort start ntop # aptitude install librrd2 ntop Figura 62 Interface que o Ntop irá escutar 135

136 Figura 63 Nome do usuário que irá rodar o daemon do Ntop Definir um password para o administrador do Ntop: # ntop -u ntop Insere a senha # [Ctrl]+c # /etc/init.d/ntop start Abra um Browser e acesse: Figura 64 Página inicial do Ntop 136

137 nagios # aptitude install nagios-mysql Figura 65 Nome do Domínio do servidor Figura 66 Opção de escolha para uso de senhas no servidor Figura 67 Opção de escolha para configurações vindas de um servidor WINS 137

138 Figura 68 Seleção das versões do Apache Figura 69 Senha para administrar o Nagios via web Figura 70 Opção de habilitar os comandos externos do Nagios 138

139 Figura 71 Opção de escolha da configuração do banco do nagios-mysql Figura 72 Senha do administrador do MYSQL Figura 73 Senha do MYSQL para o phpgacl Figura 74 Confirmação da senha Obs.: As configurações dos arquivos do Nagios fogem o escopo desse material. Os arquivos do nagios devem ser modificados de acordo com a rede em que se encontra. 139

140 Outros plugins # aptitude install p0f arpwatch pads tcptrack Por causa do ossim-agent, não pode carregar no boot o arpwatch e o pads: # update-rc.d -f arpwatch remove # update-rc.d -f pads remove Osiris # aptitude install osiris osirisd Obs.: São as mesmas configurações descritas sobre o Osiris anteriormente Instalar o FrameWork: # aptitude install ossim-framework Figura 75 Configuração da base de dados do acidbase Figura 76 Escolha do banco a ser utilizado pelo acidbase 140

141 Figura 77 Senha do administrador do banco MYSQL Figura 78 Senha do MYSQL para o acidbase Figura 79 Confirmação da senha Figura 80 Seleção das versões do Apache 141

142 Figura 81 Nome do banco do servidor OSSIM Figura 82 Hostname do servidor MYSQL Figura 83 Nome do administrador do banco ossim Figura 84 Senha do usuário do banco do servidor MYSQL Figura 85 Nome do banco do OSSIM ACL 142

143 Figura 86 Hostname do servidor MYSQL Figura 87 Nome do administrador do banco ossim Figura 88 Senha do usuário do banco do servidor MYSQL Abra um Browser e acesse Siga as instrunções para a configuração do phpgacl: Figura 89 Página de configuração do phpgacl I 143

144 Figura 90 Página de configuração do phpgacl II Figura 91 Página de configuração do phpgacl III Após ter clicado em Submit, a próxima janela que se abre será para criar ACL através de uma interface administrativa: Figura 92 Página de configuração do phpgacl IV 144

145 Figura 93 Página de configuração do phpgacl V Acesse novamente A tela de login do Ossim irá se abrir. Por padrão, o usuário e a senha vêm setados como admin : atualizações: Figura 94 Página de login do OSSIM Depois de efetuado o login, o Ossim dá a possibilidade de realizar algumas Figura 95 Página de atualizações das aplicações instaladas pelo OSSIM 145

146 ANEXO 16 TUTORIAL PARA INSTALAÇÃO DO PRELUDE Instalação e Configuração Instalar as dependências necessárias: # aptitude install debconfig-common Instale o mysql-server: # aptitude install mysql-server Verifique se o MySQL está rodando e se os sockets estão ativos: # ps aux grep mysql # netstat -nlpt Defina uma senha para o usuário root do MySQL: # mysqladmin -u root password <nova senha> Modificar o repositório do Debian, adicionar as seguintes linhas no sources.list: # vi /etc/apt/sources.list deb stable/ # aptitude update Instale o Prelude-Manager: # aptitude install prelude-manager 146

147 Figura 96 Configuração da base de dados do acidbase Figura 97 Escolha do banco a ser utilizado pelo prelude-manager Figura 98 Senha do administrador do banco MYSQL Figura 99 Senha do MYSQL para o prelude-manager Figura 100 Confirmação da senha 147

148 Por padrão, o script do daemon do prelude-manager não vem ativo. Será necessário fazer uma modificação: # vi /etc/default/prelude-manager RUN=yes Coloque o IP do servidor para não ser apenas local: # vi /etc/prelude-manager/prelude-manager.conf listen = Inicie o daemon do Prelude-Manager e verifique se o mesmo está rodando: # /etc/init.d/prelude-manager start # netstat -anput grep prelude Instale o Prelude-LML. Cada host que será monitorado deverá ter esse pacote instalado. Ele é responsável pela análise de log s e o envio dos eventos para o servidor (Prelude-Manager): # aptitude install prelude-lml Colocar o IP do servidor no arquivo do cliente: # vi /etc/prelude/default/client.conf server-addr = Obs.: O servidor não confia nos clientes. Passa a confiar apenas quando eles são registrados. Pode-se primeiro testar adicionando o próprio servidor como cliente. 148

149 O registro do cliente no servidor É feito em quatro passos. 1 Digitar o comando no cliente: # prelude-adduser register prelude-lml idmef:w uid 0 --gid 0 2 Executar o seguinte comando no Servidor. Detalhe para a senha destacada. Ela é do tipo OTP (One-Time Password), usada apenas uma vez. Servirá para autenticar o cliente: # prelude-admin registration-server prelude-manager 149

150 3 Volte no cliente e digite a senha OTP gerada pelo servidor: 4 Confirme o registro no servidor: Inicie o daemon do Prelude-LML no servidor e verifique se o mesmo está rodando: # /etc/init.d/prelude-lml start # ps auxw grep prelude-lml Instalar o Web Front Prewikka # aptitude install prewikka Figura 101 Configuração da base de dados do acidbase 150

151 Figura 102 Escolha do banco a ser utilizado pelo prewikka Figura 103 Senha do administrador do banco MYSQL Figura 104 Senha do MYSQL para o prewikka Figura 105 Confirmação da senha Edite o arquivo de configurarão de base de dados do Prewikka, informando os valores corretos. O valores também se encontram em /etc/prelude-manager/preludemanager.conf: # vi /etc/prewikka/prewikka.conf [idmef_database] 151

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Tópicos Motivação; Características; Histórico; Tipos de detecção de intrusão; Detecção de intrusão baseada na rede; Detecção

Leia mais

Sistemas de Detecção de Intrusão

Sistemas de Detecção de Intrusão Sistemas de Detecção de Intrusão Características Funciona como um alarme. Detecção com base em algum tipo de conhecimento: Assinaturas de ataques. Aprendizado de uma rede neural. Detecção com base em comportamento

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 7: IDS e Honeypots Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução IDS = Intrusion Detection Systems (Sistema de Detecção de Invasão) O IDS funciona sobre

Leia mais

Manual. Honeypots e honeynets

Manual. Honeypots e honeynets Manual Honeypots e honeynets Honeypots No fundo um honeypot é uma ferramenta de estudos de segurança, onde sua função principal é colher informações do atacante. Consiste num elemento atraente para o invasor,

Leia mais

Dom o ín í i n o i o d e d Con o h n e h cim i ent n o o 3 To T p o o p l o o l g o i g a i s e I D I S Carlos Sampaio

Dom o ín í i n o i o d e d Con o h n e h cim i ent n o o 3 To T p o o p l o o l g o i g a i s e I D I S Carlos Sampaio Domínio de Conhecimento 3 Topologias e IDS Carlos Sampaio Agenda Topologia de Segurança Zonas de Segurança DMZ s Detecção de Intrusão (IDS / IPS) Fundamentos de infra-estrutura de redes Nem todas as redes

Leia mais

DESVIO DE TRÁFEGO MALICIOSO DESTINADO A REDES DE PRODUÇÃO PARA UMA HONEYNET

DESVIO DE TRÁFEGO MALICIOSO DESTINADO A REDES DE PRODUÇÃO PARA UMA HONEYNET DESVIO DE TRÁFEGO MALICIOSO DESTINADO A REDES DE PRODUÇÃO PARA UMA HONEYNET lucio@lac.inpe.br Antonio Montes montes@lac.inpe.br Laboratório Associado de Computação e Matemática Aplicada Instituto Nacional

Leia mais

Introdução ao Sistema. Características

Introdução ao Sistema. Características Introdução ao Sistema O sistema Provinha Brasil foi desenvolvido com o intuito de cadastrar as resposta da avaliação que é sugerida pelo MEC e que possui o mesmo nome do sistema. Após a digitação, os dados

Leia mais

Algumas das características listada nela:

Algumas das características listada nela: Fazendo varredura e levantando vulnerabilidades com Nikto 5 DE NOVEMBRO DE 2015 O Nikto é uma ferramenta em Perl desenvolvida por Chris Solo e David Lodge, a qual foi escrita para validação de vulnerabilidade

Leia mais

EN-3611 Segurança de Redes Sistemas de Detecção de Intrusão e Honeypots Prof. João Henrique Kleinschmidt

EN-3611 Segurança de Redes Sistemas de Detecção de Intrusão e Honeypots Prof. João Henrique Kleinschmidt EN-3611 Segurança de Redes Sistemas de Detecção de Intrusão e Honeypots Prof. João Henrique Kleinschmidt Santo André, novembro de 2015 Sistemas de Detecção de Intrusão IDS Sistemas de Detecção de Intrusão

Leia mais

Políticas de Segurança de Sistemas

Políticas de Segurança de Sistemas Políticas de Segurança de Sistemas Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira Estudo de Boletins de Segurança O que é um boletim de segurança? São notificações emitidas pelos fabricantes

Leia mais

Introdução Modelo OSI Sistemas de firewall Bridge x roteamento Atuação de um IPS Funcionamento do Hogwash Instalação do Hogwash Configuração do

Introdução Modelo OSI Sistemas de firewall Bridge x roteamento Atuação de um IPS Funcionamento do Hogwash Instalação do Hogwash Configuração do São Paulo, 03 de novembro de 2005 Introdução Modelo OSI Sistemas de firewall Bridge x roteamento Atuação de um IPS Funcionamento do Hogwash Instalação do Hogwash Configuração do Hogwash Regras do Hogwash

Leia mais

Segurança de Redes. Aula 3 Elementos de Segurança de Redes Prof. Fred Sauer, D.Sc. fsauer@gmail.com

Segurança de Redes. Aula 3 Elementos de Segurança de Redes Prof. Fred Sauer, D.Sc. fsauer@gmail.com Segurança de Redes Aula 3 Elementos de Segurança de Redes Prof. Fred Sauer, D.Sc. fsauer@gmail.com 1 Sumário Conceitos básicos de Segurança (proteção, contramedidas) Firewall Filtros de Pacotes Stateful

Leia mais

Hardening de Servidores O que é Mitm? Hardening

Hardening de Servidores O que é Mitm? Hardening Hardening de Servidores O que é Mitm? O man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados) é uma forma de ataque em que os dados trocados entre duas partes, por exemplo

Leia mais

O projeto Metasploit é um framework que foi criado em 2003 por HD Moore e é uma plataforma que permite a verificação do estado da segurança dos

O projeto Metasploit é um framework que foi criado em 2003 por HD Moore e é uma plataforma que permite a verificação do estado da segurança dos O projeto Metasploit é um framework que foi criado em 2003 por HD Moore e é uma plataforma que permite a verificação do estado da segurança dos computadores existentes numa determinada rede, permitindo

Leia mais

Hardening de Servidores

Hardening de Servidores Hardening de Servidores O que é Mitm? O man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados) é uma forma de ataque em que os dados trocados entre duas partes, por exemplo

Leia mais

IDS - Implementando o SNORT Open Source

IDS - Implementando o SNORT Open Source Objetivos : apresentar ferramenta que auxilia na segurança das redes. Pré requisitos : Comandos Básicos Linux Comandos Básicos de Redes Linux Conhecimento do Padrão TCP/IP em especial protocolos : ICMP,

Leia mais

Segurança no Linux. Guilherme Pontes. Pós-graduação em Segurança de Redes com Linux. lgapontes@gmail.com www.guilhermepontes.eti.

Segurança no Linux. Guilherme Pontes. Pós-graduação em Segurança de Redes com Linux. lgapontes@gmail.com www.guilhermepontes.eti. Segurança no Linux Guilherme Pontes lgapontes@gmail.com www.guilhermepontes.eti.br Pós-graduação em Segurança de Redes com Linux Rede Local As redes de computadores nem sempre tiveram dimensão mundial.

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

Implementando um sistema IDS Nível Básico v 1.0 IDS. http://pplware.sapo.pt/wp-content/uploads/2009/09/snort1.jpg. Nível Básico

Implementando um sistema IDS Nível Básico v 1.0 IDS. http://pplware.sapo.pt/wp-content/uploads/2009/09/snort1.jpg. Nível Básico IDS http://pplware.sapo.pt/wp-content/uploads/2009/09/snort1.jpg Nível Básico Índice Índice 2 Apresentação 3 O que é um IDS 4 Entendendo melhor o funcionamento de um IDS 4 Características de um IDS 5 Vantagens

Leia mais

Instalação do Sistema. Treinamento OTRS Help Desk

Instalação do Sistema. Treinamento OTRS Help Desk Instalação do Sistema Treinamento OTRS Help Desk Sumário Instalação... 3 Recomendações...3 Requisitos de Instalação...5 Preparando a Instalação no CentOS 6.5 (64 bits)...5 Preparando a Instalação no Ubuntu

Leia mais

Exercícios da Parte II: Segurança da Informação Walter Cunha PSI

Exercícios da Parte II: Segurança da Informação Walter Cunha PSI Exercícios da Parte II: Segurança da Informação Walter Cunha PSI 1. (CESGRANRIO/Analista BNDES 2008) NÃO é uma boa prática de uma política de segurança: (a). difundir o cuidado com a segurança. (b). definir

Leia mais

LABORATÓRIO XII. PORTSCAN & FOOTPRINTING Documento versão 0.1. Paulo Henrique Moreira Gurgel #5634135

LABORATÓRIO XII. PORTSCAN & FOOTPRINTING Documento versão 0.1. Paulo Henrique Moreira Gurgel #5634135 LABORATÓRIO XII PORTSCAN & FOOTPRINTING Documento versão 0.1 Paulo Henrique Moreira Gurgel #5634135 Orientado pela Professora Kalinka Regina Lucas Jaquie Castelo Branco Outubro / 2012 Laboratório XII Footprinting

Leia mais

Gerência de Redes Segurança

Gerência de Redes Segurança Gerência de Redes Segurança Cássio D. B. Pinheiro cdbpinheiro@ufpa.br cassio.orgfree.com Objetivos Apresentar o conceito e a importância da Política de Segurança no ambiente informatizado, apresentando

Leia mais

Descrição da atividade: elaborar um relatório sobre Prova de Conceito de ataque Man in the Middle (MITM) através do transbordamento da tabela MAC.

Descrição da atividade: elaborar um relatório sobre Prova de Conceito de ataque Man in the Middle (MITM) através do transbordamento da tabela MAC. Tecnologia de Redes - Marissol Descrição da atividade: elaborar um relatório sobre Prova de Conceito de ataque Man in the Middle (MITM) através do transbordamento da tabela MAC. Definições e Conceitos

Leia mais

Implantação do Zabbix para monitoramento de infraestrutura

Implantação do Zabbix para monitoramento de infraestrutura Implantação do Zabbix para monitoramento de infraestrutura Raphael Celuppi Curso de Especialização em Redes e Segurança de Sistemas Pontifícia Universidade Católica do Paraná Curitiba, Setembro 2009 Sumário

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação 1 Agenda Sistemas de Detecção de Intrusão 2 1 Sistemas de Detecção de Intrusão Os sistemas de detecção de intrusão ou IDS (Intrusion Detection Systems) são dispositivos de monitoramento

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Professor: Cleber Schroeder Fonseca cleberfonseca@charqueadas.ifsul.edu.br 8 1 SEGURANÇA EM REDES DE COMPUTADORES 2 Segurança em redes de computadores Consiste na provisão de políticas

Leia mais

MSN-Proxy v0.7 no Debian 5 (Atualizado)

MSN-Proxy v0.7 no Debian 5 (Atualizado) Remontti MSN-Proxy v0.7 no Debian 5 (Atualizado) MSN-Proxy v0.7 no Debian 5 (Atualizado) Controle o uso do msn Messenger em sua rede. Desfrute de vários recursos, bem como log das conversas, aviso sobre

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Nova Prestech.net. Gerenciamento de Segurança da Informação com Software Livre. Consultoria e Soluções em Informática. http://www.prestech.com.

Nova Prestech.net. Gerenciamento de Segurança da Informação com Software Livre. Consultoria e Soluções em Informática. http://www.prestech.com. Consultoria e Soluções em Informática Gerenciamento de Segurança da Informação com Software Livre http://www.prestech.com.br Victor Batista da Silva Santos victor@prestech.com.br +55 21 8762-6977 +55 21

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Segurança e Vulnerabilidades em Aplicações Web jobona@terra.com.br Definição: Segurança Segundo o dicionário da Wikipédia, o termo segurança significa: 1. Condição ou estado de

Leia mais

Cacti. Dependências básicas Antes de instalar o Cacti é necessário realizar a instalação de suas dependências.

Cacti. Dependências básicas Antes de instalar o Cacti é necessário realizar a instalação de suas dependências. Cacti Segundo o site www.cacti.org, o Cacti é uma solução gráfica completa de rede desenvolvida para aproveitar o poder de armazenamento e funcionalidades gráficas do RRDTool's. Trata-se de uma interface

Leia mais

Controlando o tráfego de saída no firewall Netdeep

Controlando o tráfego de saída no firewall Netdeep Controlando o tráfego de saída no firewall Netdeep 1. Introdução Firewall é um quesito de segurança com cada vez mais importância no mundo da computação. À medida que o uso de informações e sistemas é

Leia mais

Você pode testar se está tudo OK, abrindo um navegador no Debian Linux e acessando qualquer site.

Você pode testar se está tudo OK, abrindo um navegador no Debian Linux e acessando qualquer site. Você pode testar se está tudo OK, abrindo um navegador no Debian Linux e acessando qualquer site. Foi necessário configurar esse segundo adaptador, porque talvez seja necessário fazer o download de alguma

Leia mais

LABORATÓRIO V. NAT E FIREWALL Documento versão 0.1. Aluno: Paulo Henrique Moreira Gurgel #5634135

LABORATÓRIO V. NAT E FIREWALL Documento versão 0.1. Aluno: Paulo Henrique Moreira Gurgel #5634135 LABORATÓRIO V NAT E FIREWALL Documento versão 0.1 Aluno: Paulo Henrique Moreira Gurgel #5634135 Orientado pela Professora Kalinka Regina Lucas Jaquie Castelo Branco Julho / 2010 Laboratório V NAT e Firewall

Leia mais

Bem Vindos! Palestrante: Rodrigo Ribeiro Montoro. Analista de Segurança da BRconnection

Bem Vindos! Palestrante: Rodrigo Ribeiro Montoro. Analista de Segurança da BRconnection Bem Vindos! Palestrante: Rodrigo Ribeiro Montoro Analista de Segurança da BRconnection POR GENTILEZA, MANTENHAM SEUS CELULARES DESLIGADOS DURANTE A APRESENTAÇÃO. OBRIGADO! Gerenciando Riscos em Comunicação

Leia mais

Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo

Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo Conectando-se à Internet com Segurança Soluções mais simples. Sistemas de Segurança de Perímetro Zona Desmilitarizada (DMZ) Roteador de

Leia mais

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com /

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / andre.belini@ifsp.edu.br MATÉRIA: SEGURANÇA DA INFORMAÇÃO Aula N : 09 Tema:

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Firewalls Prof. João Henrique Kleinschmidt Middleboxes RFC 3234: Middleboxes: Taxonomy and Issues Middlebox Dispositivo (box) intermediário que está no meio do caminho dos

Leia mais

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers Ataques e Intrusões Professor André Cardia andre@andrecardia.pro.br msn: andre.cardia@gmail.com Ataques e Intrusões O termo genérico para quem realiza um ataque é Hacker. Essa generalização, tem, porém,

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

ANEXO 9 DO PROJETO BÁSICO DA FERRAMENTA DE MONITORAMENTO, SEGURANÇA E AUDITORIA DE BANCO DE DADOS

ANEXO 9 DO PROJETO BÁSICO DA FERRAMENTA DE MONITORAMENTO, SEGURANÇA E AUDITORIA DE BANCO DE DADOS ANEXO 9 DO PROJETO BÁSICO DA FERRAMENTA DE MONITORAMENTO, SEGURANÇA E AUDITORIA DE BANCO DE DADOS Sumário 1. Finalidade... 2 2. Justificativa para contratação... 2 3. Premissas para fornecimento e operação

Leia mais

GUIA DE INSTALAÇÃO NETDEEP SECURE COM HYPER-V

GUIA DE INSTALAÇÃO NETDEEP SECURE COM HYPER-V GUIA DE INSTALAÇÃO NETDEEP SECURE COM HYPER-V GUIA DE INSTALAÇÃO NETDEEP SECURE COM HYPER-V 1- Visão Geral Neste manual você aprenderá a instalar e fazer a configuração inicial do seu firewall Netdeep

Leia mais

Segurança com Iptables

Segurança com Iptables Universidade Federal de Lavras Departamento de Ciência da Computação Segurança com Iptables Alunos : Felipe Gutierrez e Ronan de Brito Mendes Lavras MG 11/2008 Sumário 1 - Introdução...1 2 Softwares de

Leia mais

3 Ataques e Intrusões

3 Ataques e Intrusões 3 Ataques e Intrusões Para se avaliar a eficácia e precisão de um sistema de detecção de intrusões é necessário testá-lo contra uma ampla amostra de ataques e intrusões reais. Parte integrante do projeto

Leia mais

Orientador de Curso: Rodrigo Caetano Filgueira

Orientador de Curso: Rodrigo Caetano Filgueira Orientador de Curso: Rodrigo Caetano Filgueira Definição O Firewal é um programa que tem como objetivo proteger a máquina contra acessos indesejados, tráfego indesejado, proteger serviços que estejam rodando

Leia mais

Objetivos deste capítulo

Objetivos deste capítulo 1 Objetivos deste capítulo Identificar a finalidade de uma política de segurança. Identificar os componentes de uma política de segurança de rede. Identificar como implementar uma política de segurança

Leia mais

Projeto e Instalação de Servidores Servidores Linux Aula 6 Firewall e Proxy

Projeto e Instalação de Servidores Servidores Linux Aula 6 Firewall e Proxy Projeto e Instalação de Servidores Servidores Linux Aula 6 Firewall e Proxy Prof.: Roberto Franciscatto Introdução FIREWALL Introdução Firewall Tem o objetivo de proteger um computador ou uma rede de computadores,

Leia mais

Uma poderosa ferramenta de monitoramento. Madson Santos - madson@pop-pi.rnp.br Técnico de Operação e Manutenção do PoP-PI/RNP

Uma poderosa ferramenta de monitoramento. Madson Santos - madson@pop-pi.rnp.br Técnico de Operação e Manutenção do PoP-PI/RNP Uma poderosa ferramenta de monitoramento Madson Santos - madson@pop-pi.rnp.br Técnico de Operação e Manutenção do PoP-PI/RNP Abril de 2008 O que é? Características Requisitos Componentes Visual O que é?

Leia mais

Firewall. Qual a utilidade em instalar um firewall pessoal?

Firewall. Qual a utilidade em instalar um firewall pessoal? Firewall Significado: Firewall em português é o mesmo que parede cortafogo, um tipo de parede, utilizada principalmente em prédios, que contém o fogo em casos de incêndio. O firewall da informática faz

Leia mais

Procedimento para instalação do OMNE-Smartweb em Raio-X

Procedimento para instalação do OMNE-Smartweb em Raio-X Procedimento para instalação do OMNE-Smartweb em Raio-X A primeira coisa a analisarmos é onde ficará posicionado o servidor de Raio-x na rede do cliente, abaixo será colocado três situações básicas e comuns

Leia mais

Aula 13 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL

Aula 13 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL Aula 13 Mecanismos de Proteção Fernando José Karl, AMBCI, CISSP, CISM, ITIL Agenda ü Mecanismos de Proteção ü Antivírus ü Antimalware ü Antivírus ü Um sistema de sistema de antivírus detecta códigos maliciosos

Leia mais

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança 3 SERVIÇOS IP 3.1 Serviços IP e alguns aspectos de segurança Os serviços IP's são suscetíveis a uma variedade de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade

Leia mais

Conceitos de Segurança Física e Segurança Lógica. Segurança Computacional Redes de Computadores. Professor: Airton Ribeiro Fevereiro de 2016-1

Conceitos de Segurança Física e Segurança Lógica. Segurança Computacional Redes de Computadores. Professor: Airton Ribeiro Fevereiro de 2016-1 Segurança Computacional Redes de Computadores Professor: Airton Ribeiro Fevereiro de 2016-1 1 2 Compreende os mecanismos de proteção baseados em softwares Senhas Listas de controle de acesso - ACL Criptografia

Leia mais

Firewalls. O que é um firewall?

Firewalls. O que é um firewall? Tópico 13 Firewall Ferramentas de defesa - Firewall. Princípios de projeto de firewall. Sistemas confiáveis. Critérios comuns para avaliação de segurança da tecnologia da informação. 2 Firewalls O que

Leia mais

Mestrado em Segurança da Informação e Direito no Ciberespaço

Mestrado em Segurança da Informação e Direito no Ciberespaço Mestrado em Segurança da Informação e Direito no Ciberespaço Segurança da informação nas organizações Analise da Informação na Rede Fernando Jorge Ribeiro Correia 1 Analise de tráfego 1.1 Objectivos Conhecer

Leia mais

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Símbolos Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador) que tem uma determinada

Leia mais

Mecanismos para Controles de Segurança

Mecanismos para Controles de Segurança Centro Universitário de Mineiros - UNIFIMES Sistemas de Informação Segurança e Auditoria de Sistemas de Informação Mecanismos para Controles de Segurança Mineiros-Go, 12 de setembro de 2012. Profª. Esp.

Leia mais

Passos Preliminares: Acessando a máquina virtual via ssh.

Passos Preliminares: Acessando a máquina virtual via ssh. CIn/UFPE Sistemas de Informação Redes de Computadores Professor: Kelvin Lopes Dias Monitor: Edson Adriano Maravalho Avelar {kld,eama}@cin.ufpe.br Instalando o POSTFIX. Este tutorial irá mostrar como instalar

Leia mais

INSTALAÇÃO PRINTERTUX Tutorial

INSTALAÇÃO PRINTERTUX Tutorial INSTALAÇÃO PRINTERTUX Tutorial 2 1. O Sistema PrinterTux O Printertux é um sistema para gerenciamento e controle de impressões. O Produto consiste em uma interface web onde o administrador efetua o cadastro

Leia mais

Sistema Operacional Unidade 12 Comandos de Rede e Acesso Remoto

Sistema Operacional Unidade 12 Comandos de Rede e Acesso Remoto Sistema Operacional Unidade 12 Comandos de Rede e Acesso Remoto Curso Técnico em Informática SUMÁRIO INTRODUÇÃO... 3 Protocolo de rede... 3 Protocolo TCP/IP... 3 Máscara de sub-rede... 3 Hostname... 3

Leia mais

Segurança exposta em Rede de Computadores. Security displayed in Computer network

Segurança exposta em Rede de Computadores. Security displayed in Computer network Segurança exposta em Rede de Computadores Security displayed in Computer network Luiz Alexandre Rodrigues Vieira Graduando em: (Tecnologia em Redes e Ambientes Operacionais) Unibratec - União dos Institutos

Leia mais

PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS

PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS ESET Business Solutions 1/7 Vamos supor que você tenha iniciado uma empresa ou que já tenha uma empresa bem estabelecida, há certas coisas que deveria esperar

Leia mais

SISTEMAS OPERACIONAIS. 01) Considere as seguintes assertivas sobre conceitos de sistemas operacionais:

SISTEMAS OPERACIONAIS. 01) Considere as seguintes assertivas sobre conceitos de sistemas operacionais: SISTEMAS OPERACIONAIS 01) Considere as seguintes assertivas sobre conceitos de sistemas operacionais: I. De forma geral, os sistemas operacionais fornecem certos conceitos e abstrações básicos, como processos,

Leia mais

Ameaças e Contramedidas de Host

Ameaças e Contramedidas de Host Prof. Hederson Velasco Ramos Prof. Henrique Jesus Quintino de Oliveira quintino@umc.br Fonte: http://www.antispam.br/ Monitoramento (PortScan) Exemplos de monitoramento são varreduras de porta, varredura

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Capítulo 2: Introdução às redes comutadas (configuração switch)

Capítulo 2: Introdução às redes comutadas (configuração switch) Unisul Sistemas de Informação Redes de Computadores Capítulo 2: Introdução às redes comutadas (configuração switch) Roteamento e Switching Academia Local Cisco UNISUL Instrutora Ana Lúcia Rodrigues Wiggers

Leia mais

Manual do Usuário. Resumo

Manual do Usuário. Resumo Manual do Usuário Grupo de Teleinformática e Automação (GTA) Universidade Federal do Rio de Janeiro (UFRJ) http://www.gta.ufrj.br 11 de fevereiro de 2008 Resumo O Grupo de Teleinformática e Automação (GTA/UFRJ)

Leia mais

Cartilha de Segurança para Internet

Cartilha de Segurança para Internet Comitê Gestor da Internet no Brasil Cartilha de Segurança para Internet Parte VII: Incidentes de Segurança e Uso Abusivo da Rede Versão 3.1 2006 CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes

Leia mais

Segurança com o MySQL

Segurança com o MySQL 1. Introdução Segurança com o MySQL Anderson Pereira Ataides O MySQL sem dúvida nenhuma, é o banco de dados open source mais conhecido do mercado e provavelmente o mais utilizado. Ele é rápido, simples,

Leia mais

Trabalho de Sistema de Informações. Instalação e configuração aplicativo Ocomon

Trabalho de Sistema de Informações. Instalação e configuração aplicativo Ocomon Trabalho de Sistema de Informações Aluno: Paulo Roberto Carvalho da Silva Instalação e configuração aplicativo Ocomon O trabalho tem como objetivo o estudo de caso,a instalação, configuração e funcionamento

Leia mais

(In)Segurança Virtual. Técnicas de Ataque e Defesa

(In)Segurança Virtual. Técnicas de Ataque e Defesa (In)Segurança Virtual Técnicas de Ataque e Defesa Expotec 2009 IFRN- Campus Mossoró Nícholas André - nicholasandreoliveira9@gmail.com www.iotecnologia.com.br Mossoró-RN Setembro-2009 O que é preciso! Engenharia

Leia mais

Utilizaremos a última versão estável do Joomla (Versão 2.5.4), lançada em

Utilizaremos a última versão estável do Joomla (Versão 2.5.4), lançada em 5 O Joomla: O Joomla (pronuncia-se djumla ) é um Sistema de gestão de conteúdos (Content Management System - CMS) desenvolvido a partir do CMS Mambo. É desenvolvido em PHP e pode ser executado no servidor

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício O que é Firewall Um Firewall é um sistema para controlar o aceso às redes de computadores, desenvolvido para evitar acessos

Leia mais

Davidson Rodrigo Boccardo flitzdavidson@gmail.com

Davidson Rodrigo Boccardo flitzdavidson@gmail.com Segurança em Sistemas de Computação Davidson Rodrigo Boccardo flitzdavidson@gmail.com Segurança Segurança deve considerar o ambiente externo do sistema, e proteger de: Acesso não autorizado Alteração ou

Leia mais

Tutorial Instalação e configuração do Wordpress

Tutorial Instalação e configuração do Wordpress Universidade Federal do Ceará Campus Quixadá Curso Superior de Tecnologia em Redes de Computadores Administração de Sistemas Operacionais Linux Professor: João Marcelo Tutorial Instalação e configuração

Leia mais

FIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza

FIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza FIREWALL Prof. Fabio de Jesus Souza fabiojsouza@gmail.com Professor Fabio Souza O que são Firewalls? Os firewalls são sistemas de segurança que podem ser baseados em: um único elemento de hardware; um

Leia mais

Instalação e configuração Linux CentOS 6.x

Instalação e configuração Linux CentOS 6.x Instalação e configuração Linux CentOS 6.x Objetivo: Instalar e configurar o sistema operacional Linux CentOS e efetuar suas configurações iniciais. 1- Abra o Virtuabox e clique em novo, e configure conforme

Leia mais

Guia de instalação para ambiente de Desenvolvimento LINUX

Guia de instalação para ambiente de Desenvolvimento LINUX Guia de instalação para ambiente de Desenvolvimento LINUX Conteúdo deste manual Introdução O guia de instalação... 3 Capítulo 1 Instalando o servidor Web Apache... 4 Teste de instalação do Apache... 9

Leia mais

Proposta de Implementação de uma Honeypot para Detecção de Vulnerabilidades

Proposta de Implementação de uma Honeypot para Detecção de Vulnerabilidades Proposta de Implementação de uma Honeypot para Detecção de Vulnerabilidades Marco A. Trentin 1, Gustavo S. Linden 2, Alcides A. S. Coelho Júnior 3, André L. Fávero 3 Universidade de Passo Fundo - Campus

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Cap. 3: Visão Geral das Tecnologias de Segurança Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Projeto de segurança de Redes Page 2 Etapas: Segurança em camadas

Leia mais

Pós Graduação Tecnologia da Informação UNESP Firewall

Pós Graduação Tecnologia da Informação UNESP Firewall Pós Graduação Tecnologia da Informação UNESP Firewall Douglas Costa Fábio Pirani Fernando Watanabe Jefferson Inoue Firewall O que é? Para que serve? É um programa usado para filtrar e dar segurança em

Leia mais

Prevenção, Detecção e

Prevenção, Detecção e Prevenção, Detecção e Resposta a Intrusões com Software Livre Ricardo Kléber Martins Galvão rk@ufrn.br http://www.ricardokleber.com.br Núcleo de Atendimento e Resposta a Incidentes de Segurança Superintendência

Leia mais

Uma Solução de IPS Baseada na Integração SNORT e IPTables

Uma Solução de IPS Baseada na Integração SNORT e IPTables Uma Solução de IPS Baseada na Integração SNORT e IPTables Rivalino Matias Jr. Universidade do Vale do Itajaí Jaime Miranda Junior Grupo Stela/UFSC Porto Alegre - Junho/2004 AGENDA Motivação Conceitos Básicos:

Leia mais

GUIA DE INSTALAÇÃO NETDEEP SECURE COM VIRTUAL BOX

GUIA DE INSTALAÇÃO NETDEEP SECURE COM VIRTUAL BOX GUIA DE INSTALAÇÃO NETDEEP SECURE COM VIRTUAL BOX NETDEEP SECURE COM VIRTUAL BOX 1- Visão Geral Neste manual você aprenderá a instalar e fazer a configuração inicial do seu firewall Netdeep Secure em um

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 6: Firewall Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Qual a função básica de um firewall? Page 2 Introdução Qual a função básica de um firewall? Bloquear

Leia mais

CÓDIGO DA VAGA: TP08 QUESTÕES DE MÚLTIPLAS ESCOLHAS

CÓDIGO DA VAGA: TP08 QUESTÕES DE MÚLTIPLAS ESCOLHAS QUESTÕES DE MÚLTIPLAS ESCOLHAS 1) Em relação à manutenção corretiva pode- se afirmar que : a) Constitui a forma mais barata de manutenção do ponto de vista total do sistema. b) Aumenta a vida útil dos

Leia mais

CONTEÚDO PROGRAMÁTICO

CONTEÚDO PROGRAMÁTICO CONTEÚDO PROGRAMÁTICO LINUX ESSENTIALS Presencial (40h) - À distância (48h) Conhecendo um Novo Mundo Introdução ao GNU/Linux Distribuições GNU/Linux Linux Inside: Instalação Desktop Debian e CentOS Primeiros

Leia mais

Disciplina: Administração de Redes de Computadores.

Disciplina: Administração de Redes de Computadores. Disciplina: Administração de Redes de Computadores. Abordagem: Segurança Prof. Leandro Meireles 2011.2 Sistema Seguro Confidencialidade Integridade Disponibilidade Porque se preocupar com a segurança?

Leia mais

GLADIADOR INTERNET CONTROLADA v.1.2.3.9

GLADIADOR INTERNET CONTROLADA v.1.2.3.9 GLADIADOR INTERNET CONTROLADA v.1.2.3.9 Pela grande necessidade de controlar a internet de diversos clientes, a NSC Soluções em Informática desenvolveu um novo produto capaz de gerenciar todos os recursos

Leia mais

OTES07 Segurança da Informação Módulo 10: IDS Intrusion Detection Systems, IPS Intrusion Prevention Systems, Honeypots&Honeynets

OTES07 Segurança da Informação Módulo 10: IDS Intrusion Detection Systems, IPS Intrusion Prevention Systems, Honeypots&Honeynets OTES07 Segurança da Informação Módulo 10: IDS Intrusion Detection Systems, IPS Intrusion Prevention Systems, Honeypots&Honeynets Prof. Charles Christian Miers e-mail: charles.miers@udesc.br Segurança em

Leia mais

Faculdade de Tecnologia SENAC Goiás. Disciplina: Gerenciamento de Rede de Computadores. Goiânia, 16 de novembro de 2014.

Faculdade de Tecnologia SENAC Goiás. Disciplina: Gerenciamento de Rede de Computadores. Goiânia, 16 de novembro de 2014. Faculdade de Tecnologia SENAC Goiás Disciplina: Gerenciamento de Rede de Computadores : Goiânia, 16 de novembro de 2014. Faculdade de Tecnologia SENAC Goiás Professor: Marissol Martins Alunos: Edy Laus,

Leia mais

Manual de Acesso a Servidores SSH

Manual de Acesso a Servidores SSH UFF - Universidade Federal Fluminense Escola de Engenharia Curso de Engenharia de Telecomunicações Programa de Educação Tutorial Grupo PET-Tele Manual de Acesso a Servidores SSH Autor : Orientador: Vinicius

Leia mais

Funcionalidades da ferramenta zabbix

Funcionalidades da ferramenta zabbix Funcionalidades da ferramenta zabbix Jordan S. Romano¹, Eduardo M. Monks¹ ¹Curso Superior de Tecnologia em Redes de Computadores FACULDADE DE TECNOLOGIA SENAC PELOTAS (FATEC PELOTAS) Rua Gonçalves Chaves,

Leia mais

Sistemas de Monitoração de Rede. Resumo

Sistemas de Monitoração de Rede. Resumo Sistemas de Monitoração de Rede Roberto Majewski Especialização em Redes e Segurança de Sistemas Pontifícia Universidade Católica do Paraná Curitiba, novembro de 2009 Resumo Com o grande crescimento da

Leia mais

Senha Admin. Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização

Senha Admin. Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização Manual do Nscontrol Principal Senha Admin Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização Aqui, você poderá selecionar quais programas você quer que

Leia mais

Grampos Digitais Utilizando Software Livre

Grampos Digitais Utilizando Software Livre Grampos Digitais Utilizando Software Livre Ricardo Kléber Martins Galvão, Naris, Superintendência de Informática, UFRN Resumo Na apuração de crimes digitais e, mais especificamente, de crimes praticados

Leia mais

6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma

6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma 6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma empresa. Diferente do senso comum o planejamento não se limita

Leia mais

Projeto para Implementação de Firewalls

Projeto para Implementação de Firewalls FACULDADE IBTA PÓS GRADUAÇÃO EM GESTÃO DE SEGURANÇA DA INFORMAÇÃO GIULIANO GONÇALEZ BALDI LEONARDO CHEN ANTUNES MAURICIO FERNANDO LOPES RICARDO PCHEVUZINSKE KATZ RODRIGO DOS REIS MARTINS Projeto para Implementação

Leia mais