GERENCIAMENTO CENTRALIZADO DE EVENTOS DE SEGURANÇA DA INFORMAÇÃO

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DA PARAÍBA Coordenação do Curso Superior de Tecnologia em Redes de Computadores GERENCIAMENTO CENTRALIZADO DE EVENTOS DE SEGURANÇA DA INFORMAÇÃO Diego Cananéa Nóbrega de Azevedo João Pessoa PB Abril/2013

ii Instituto Federal de Educação, Ciência e Tecnologia da Paraíba Unidade Acadêmica de Informação e Comunicação Coordenação do CST em Redes de Computadores GERENCIAMENTO CENTRALIZADO DE EVENTOS DE SEGURANÇA DA INFORMAÇÃO Diego Cananéa Nóbrega de Azevedo Relatório de Estágio Supervisionado apresentado à disciplina Estágio Supervisionado da Coordenação do Curso Superior em Redes de Computadores do Instituto Federal de Educação, Ciência e Tecnologia da Paraíba como requisito parcial para obtenção do grau de Tecnólogo em Redes de Computadores.. Orientador: Dênio Mariz Timóteo de Sousa Supervisor: Rodrigo Leal de Sousa Melo Coordenador do Curso de Redes de Computadores: Thiago Gouveia da Silva Empresa: Tribunal de Justiça da Paraíba Período: 03/01/2012 a 01/06/2012 João Pessoa 2013

iii APROVAÇÃO: Rodrigo Leal de Sousa Melo Orientador na Instituição concedente Thiago Gouveia da Silva Coordenador do CST de Redes de Computadores Dênio Mariz Timóteo de Sousa Professor Orientador Jaildo Tavares Pequeno Professor da Disciplina Diego Cananéa Nóbrega de Azevedo Estagiário

Dedico este trabalho primeiramente a Deus, pela força me concedida para conclusão do mesmo, e a minha esposa e familiares pelas horas de paciência. iv

v Um sistema de gerenciamento de eventos de segurança da informação é um conjunto complexo de tecnologias projetadas para fornecer a visão e clareza sobre o sistema de TI. (MILLER et al., 2010, p. XXV)

vi RESUMO Cada vez mais o Poder Judiciário brasileiro faz uso do processo virtual eletrônico. Atualmente vários Tribunais de diferentes esferas estão virtualizando seus processos, alguns inclusive já contam apenas com processos virtuais. O Tribunal de Justiça da Paraíba é um dos pioneiros nessa iniciativa, tendo implantado anos atrás os sistemas dos Juizados Especiais (e- JUS) e das Varas das Execuções Penais (VEP), e atualmente está em fase de expansão do sistema judicial eletrônico PJE. Com essa crescente demanda, é natural que se tenha mais atenção no sentido de prover uma maior segurança para a infraestrutura que mantém tais sistemas. Foi pensando nisso que ao longo dos anos a Diretoria de Tecnologia investiu em equipamentos e sistemas específicos para tal finalidade. O presente estudo vem demonstrar a utilização de um sistema de gerenciamento de eventos e informações de segurança chamado OSSIM Open Source Security and Information Management no intuito de centralizar as informações geradas por tais ferramentas a fim de auxiliar na gerência dos incidentes e otimizar o tempo da equipe de segurança. Palavras-chave: OSSIM, SIEM, Segurança da informação, Monitoramento, Redes, IDS.

vii LISTA DE FIGURAS Figura 1 Incidentes Reportados ao CERT.BR Total de 109.083... 11 Figura 2 Funcionamento básico de um SIEM (Miller, et al, 2010, p. 78)... 13 Figura 3 Estrutura básica de um SIEM em camadas (Miller et al, 2010, p. 64) 13 Figura 4 Quadrante de Gartner - Ferramentas de SIEM... 14 Figura 5 Algumas das ferramentas integradas ao OSSIM... 15 Figura 6 Arquitetura do OSSIM... 16 Figura 7 Fluxo do funcionamento do OSSIM... 18 Figura 8 Funcionamento do OSSIM por Miller et al (2010, p. 142)... 19 Figura 9 Ambiente de virtualização... 26 Figura 10 Laboratório de testes... 27 Figura 11 Diagrama de implantação do OSSIM... 29 Figura 12 Instalação do OSSIM - Seleção de perfil... 31 Figura 13 Instalação do OSSIM - Seleção de interface... 32 Figura 14 Instalação do OSSIM - Seleção dos plugins monitores... 34 Figura 15 Tela inicial do OSSIM... 35 Figura 16 Relação de Ativos... 36 Figura 17 Estatísticas sobre vulnerabilidades... 38 Figura 18 Ticket de vulnerabilidade existente em ftp.tjpb.teste... 39 Figura 19 Configuração OPSEC no firewall Check Point... 44 Figura 20 Eventos do firewall da Check Point... 45 Figura 21 Gráfico de eventos por sensor com o plugin pf... 47 Figura 22 Detalhes do evento do pfsense... 48 Figura 23 Detalhes da vulnerabilidade do vsftp... 49 Figura 24 Detecção do ataque ao servidor ftp.tjpb.teste... 49 Figura 25 Detalhes do ataque ao ftp.tjpb.teste... 50 Figura 26 Teste do OSSIM com o W3AF... 51 Figura 27 Detecção dos testes do OpenVas contra o OSSIM... 52

SUMÁRIO 1 INTRODUÇÃO... 9 1.1 OBJETIVO...9 1.2 TRIBUNAL DE JUSTIÇA DA PARAÍBA... 10 1.3 DESCRIÇÃO GERAL DAS ATIVIDADES... 10 1.4 ORGANIZAÇÃO DO RELATÓRIO... 10 2 EMBASAMENTO TEÓRICO... 11 2.1 SEGURANÇA DA INFORMAÇÃO... 11 2.2 SIEM... 12 2.3 OSSIM... 15 2.3.1 Arquitetura... 16 2.3.2 Funcionamento... 18 2.3.3 Sensores... 21 2.3.3.1 IDS baseado em rede... 22 2.3.3.2 IDS baseado em host... 22 2.3.3.3 Scanner de Vulnerabilidades... 23 2.3.3.4 Sistema de inventário... 23 3 DESCRIÇÃO DAS ATIVIDADES... 25 3.1 MONTAGEM DO LABORATÓRIO... 25 3.1.1 Firewall... 27 3.1.2 DMZ... 28 3.2 IMPLANTAÇÃO DO OSSIM... 28 3.2.1 Planejamento... 28 3.2.2 Hardware... 30 3.2.3 Instalação... 30 3.2.4 Configuração... 34 3.2.5 Configuração dos ativos... 35 3.2.6 Verificação das vulnerabilidades... 37 3.2.7 Sistemas de detecção de intrusão... 39 3.2.7.1 HIDS... 39 3.2.7.2 NIDS... 40 3.2.8 Configurações gerais... 41 3.2.8.1 System Configuration... 41 3.2.8.2 Main... 41 3.2.8.3 Users... 42 3.2.8.4 AlienValt Components... 42 3.2.8.5 Collection... 42 3.2.8.6 Backup... 42 3.3 INTEGRAÇÃO... 43 3.3.1 Firewall Check Point... 43 3.3.2 Firewall pfsense... 45 3.4 TESTES... 48 3.4.1 Ataque à máquina Metasploitable... 48 3.4.2 Teste de vulnerabilidade do OSSIM... 50 4 CONSIDERAÇÕES FINAIS... 53 5 REFERÊNCIAS... 55

9 1 Introdução A informação sempre foi um elemento valioso no nosso mundo e desde os tempos antigos foram criados diversos mecanismos para tentar protegê-la como, por exemplo, os casos da Cifra de César e do Enigma G, métodos de criptografia utilizados pelo Império Romano e pelo Exército Alemão respectivamente. Com o advento da Internet, ficamos cada vez mais globalizados e a informação sofre uma superexposição, podendo ser acessada por qualquer pessoa e de qualquer parte do mundo. Preocupados em proteger duas informações para muitos seu bem mais importante empresas, órgãos governamentais, pesquisadores, entre outros, dispõem de vários métodos, técnicas, ferramentas e profissionais para resguardar seus ativos e manter distante possíveis invasores. No caso das ferramentas e tecnologias disponíveis, o mercado oferece uma imensa gama de proteções que vão desde um firewall dedicado a um servidor de antivírus, passando por sistemas de detecção de intrusos, proxy, entre outros. Com isso as empresas vão adquirindo soluções e incorporando-as à sua infraestrutura, porém cada uma delas tem sua própria interface de gerenciamento e apresentação dos dados e relatórios, as quais o analista de segurança deve acessar para saber o que está acontecendo em sua rede, o que despende tempo e não oferece uma visão global da situação. Para solucionar esse problema, surgiram na última década os sistemas de Gerenciamento de Eventos e Informações de Segurança - SIEM Security Information and Event Management que tem por objetivo agregar todas as informações de segurança geradas por uma infraestrutura de rede de computadores em uma única interface administrativa, garantindo ao analista uma visão geral e otimizando seu trabalho. Com este tipo de ferramenta também é possível a correlação dos eventos a fim de detectar problemas e diminuir a quantidade de falso-positivos e falso-negativos. 1.1 Objetivo O objetivo deste trabalho é implantar o SIEM OSSIM do acrônimo Open Source Security Information Management em um laboratório de testes para que o mesmo seja analisado e testado, visando prover a Gerência de Suporte do Tribunal de Justiça da Paraíba de informações a respeito de suas vantagens e desvantagens, bem como de suas respostas frente aos testes.

10 1.2 Tribunal de Justiça da Paraíba O Tribunal de Justiça da Paraíba é um órgão colegiado do Poder Judiciário Estadual formado por dezenove desembargadores e que atua em regime de segunda instância. Dele também faz parte toda estrutura administrativa do Poder e entre suas diretorias está a DITEC Diretoria de Tecnologia da Informação, responsável por toda área de tecnologia da informação do Tribunal e de seus Fóruns de primeira instância distribuídos em 78 cidades. A DITEC é formada por quatro gerências: Sistemas, Desenvolvimento de TI, Atendimento e Suporte, sendo esta última responsável por toda parte de infraestrutura de TI, incluindo serviços e ativos de rede, manutenção, suporte nível dois, banco de dados e servidores de aplicações. O Tribunal possui uma estrutura de TI grande e complexa que envolve o uso de mais de três mil estações de trabalho e centenas de ativos de rede e servidores. Devido ao aumento do uso do processo virtual, é necessário uma maior atenção quanto a questão de segurança e por isso o Tribunal conta com várias soluções como antivírus, firewall, proxy, sistemas de detecção de intrusos, políticas e normas, entre outros. Logo, com o aumento desta demanda, o monitoramento descentralizado dessas ferramentas acaba consumindo muito tempo da equipe, a qual muitas vezes não consegue verificar todos os eventos gerados. 1.3 Descrição geral das atividades Para este estudo foram realizadas as seguintes atividades: Montagem de um laboratório de testes com estrutura de rede completa. Implantação do sistema OSSIM. Integração com outras ferramentas de segurança. Realização de testes. 1.4 Organização do relatório Este trabalho está dividido em quatro partes, sendo a primeira uma breve introdução, a segunda o embasamento teórico, a terceira a descrição das atividades e por fim a conclusão com as considerações gerais.

11 2 Embasamento Teórico 2.1 Segurança da Informação Como já mencionado anteriormente, a informação é um bem muito valioso e como conhecimento é o principal capital das organizações, protegê-lo significa proteger o seu próprio negócio. Assim a segurança passa a fazer parte do processo de negócios das organizações (NAKAMURA; GEUS, 2007, p. 50). Muitas empresas têm seus ativos e informações expostas às mais diversas ameaças, as quais podem causar grandes prejuízos caso venham a ser exploradas. Hoje em dia, várias delas estão investindo em segurança da informação, visando conhecer esses riscos e assim reduzí-los. Segundo o dicionário Aurélio, a informação é um conjunto de dados acerca de alguém ou de algo e a NBR 27002 da ABNT Associação Brasileira de Normas Técnicas, norma que rege a implantação de um sistema de gerenciamento da segurança da informação, afirma que segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre investimentos e as oportunidades de negócio. Sendo assim, proteger a informação é proteger o negócio como um todo. Dados do CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) mostram que no último trimestre de 2012 foram reportados 2.047 casos de invasões bem sucedidas, ou seja, que resultaram em acesso não autorizado a um computador ou rede. Figura 1 Incidentes Reportados ao CERT.BR Total de 109.083 Em tempos de processo virtual eletrônico, como garantir a segurança dos documentos? Como identificar que um servidor está sofrendo um ataque de negação de serviço distribuído (DDoS)? Como saber se uma máquina foi infectada com um vírus? Como prevenir?

12 Respectivamente um sistema de detecção de intrusos, um antivírus e um scanner de vulnerabilidades podem responder essas perguntas, porém de maneira isolada. Ao se agregar os dados obtidos por essas ferramentas temos então um poderoso banco de dados com informações que se pode mensurar, correlacionar e gerenciar. 2.2 SIEM Em uma definição superficial, podemos dizer que um sistema de Gerenciamento de Eventos e Informações de Segurança Security Information and Event Management é um conjunto complexo de tecnologias projetadas para fornecer a visão e clareza sobre o sistema de TI da empresa como um todo, beneficiando os analistas de segurança e administradores de TI (MILLER et a., 2010, p. XXV). É um sistema concebido para centralizar e correlacionar todas as informações e eventos gerados em uma infraestrutura de TI. Swift (2006, p 04) cita suas principais funções: Consolidação de logs Serviço que armazena de forma centralizada eventos de sistemas e equipamentos. Correlação de ameaças Utilização de inteligência artificial para analisar e combinar vários tipos de eventos e assim aumentar a capacidade de detecção de ataques e agressores. Gerenciamento de incidentes O que o sistema deve fazer quando detectar uma ameaça. Esta ação pode ser, por exemplo, uma notificação por email ou uma resposta automática com a execução de scripts de instrumentação. Relatórios Um SIEM pode emitir relatórios de eficiência/eficácia operacional, forenses ou até mesmo de conformidade com normas como PCI-DSS e ISO 27001. Isso nos mostra que um profissional de segurança pode utilizar um sistema deste tipo para monitorar, identificar, documentar e responder às ameaças de segurança. Porém, por se tratar de uma poderosa ferramenta, ela depende um bom conhecimento da infraestrutura e integração com diversos dispositivos de segurança, afinal sua principal função é colher os dados destes e então normalizar, correlacionar e apresentar de maneira eficiente.

13 Figura 2 Funcionamento básico de um SIEM (Miller, et al, 2010, p. 78) Ter todos esses dados organizados é muito bom, pois podemos a partir daí determinar, por exemplo, na política de segurança quais tráfegos devem ser bloqueados no firewall, e também podemos ter a certeza de que nossas normas estão sendo cumpridas. Uma função importante de frisar é a correlação dos eventos e informações, como diz Miller et al (2010, p. 64): No entanto, para obter mais valor a partir dos eventos e informações que você coletou, será necessário relacioná-los uns aos outros: a correlacioná-los. Por exemplo, uma mensagem do syslog de um firewall pode por si só não significar nada, mas em combinação com outras mensagens de eventos de um roteador, um servidor de banco de dados, e um sensor de detecção de intrusão, pode indicar um ataque contra um sistema vulnerável. Logo, correlação de eventos é o cruzamento que um SIEM faz de todas as informações disponibilizadas por seus sensores, com o objetivo de identificar uma ameaça que pode passar despercebida caso seja analisada apenas uma fonte de dados. A figura a seguir mostra uma estrutura básica de um SIEM em camadas: Figura 3 Estrutura básica de um SIEM em camadas (Miller et al, 2010, p. 64) Camada de Eventos É onde são coletados os logs e mensagens a partir das outras ferramentas.

14 Camada de Normalização Aqui é onde toda a informação coletada é convertida para uma sintaxe comum. Camada de Correlação Nesta camada é onde os eventos são relacionados uns aos outros para encontrar possíveis ameaças. Relatórios É onde são criados os relatórios de saídas e/ou ações são tomadas. A correlação traz inúmeras vantagens para a otimização do trabalho, pois reduz consideravelmente o número de falso-positivos, falso-negativos e também ajuda na identificação de ataques que não são conhecidos. No mercado existem diversos produtos de SIEM, muitos inclusive de gigantes da indústria de TI e bem caros de serem adquiridos. Uma figura do Quadrante Mágico de Gartner elaborado pela empresa de consultoria Gartner Group, nos apresenta as empresas que possuem este tipo de produto: Figura 4 Quadrante de Gartner - Ferramentas de SIEM No gráfico podemos observar que os lideres do segmento são os produtos ArcSight da HP, Q1 Labs da IBM e NitroSecurity da McAfee. Como já mencionado, os preços desse tipo de ferramenta são elevados, chegando ficar em torno de U$$ 50.000,00 no caso do ArcSight.

15 2.3 OSSIM OSSIM é o acrônimo para Open Source Security Information Management e como o próprio nome diz é um sistema para gerenciamento de informações de segurança de código aberto. É um SIEM livre de custos distribuído na forma de sistema operacional completo baseado em Linux Debian sobre licença GPLv2 e que pode ser baixado no site da Alien Vault, empresa mantenedora do sistema. A solução existe há oito anos e de acordo com a página oficial do projeto (Alien Vault, 2012), o objetivo do OSSIM é fornecer uma compilação abrangente de ferramentas que trabalham juntas para fornecer uma visão detalhada sobre cada aspecto de suas redes, hosts, dispositivos de acesso físico, servidores etc. Para realizar tal demanda ele já vem com um arsenal embutido de ferramentas de código aberto bastante conhecidas como Snort, OSSEC, Nagios, entre tantos outros, podendo monitorar praticamente tudo em uma infraestrutura de rede. Figura 5 Algumas das ferramentas integradas ao OSSIM Ainda de acordo com a página, ele também possui um forte mecanismo de correlação, interfaces de visualização de alto nível, elaboração de relatórios e ferramentas de gerenciamento de incidentes, tudo com base em um conjunto definido de ativos, como hosts, redes, grupos e serviços. Na página da AlienVault podemos observar a robustez do OSSIM em seus casos de uso, dentre os quais podemos citar a Telefonica, terceira maior empresa de telecomunicações do mundo e que mantém hoje mais de 250 sensores do OSSIM monitorando sua infra-

16 estrutura. Outro caso interessante é o da Marquette University, onde o sistema é utilizado para monitorar uma rede de 10Gbps por onde passam terabytes de informações de milhares de alunos. 2.3.1 Arquitetura Sua arquitetura é dividida em cinco componentes (LORENZO, 2012, p. 3), conforme a figura a seguir. Figura 6 Arquitetura do OSSIM. Adaptado de Lorenzo (2012)

17 Detectores Na implantação do OSSIM, qualquer aplicação ou equipamento que gere eventos na rede monitorada será considerado um detector, neste caso, considerados detectores externos. Além disso, ainda existem os detectores internos, ou seja, as ferramentas já integradas e que vem com o ele. Coletores Os coletores reúnem toda a informação recebida pelos detectores, depois eles a classificam e normalizam para então enviar ao SIEM e ao Logger. No caso dos detectores internos, eles já são totalmente integrados e para os externos existem plugins para realizar tal tarefa. Atualmente existem 2.395 (Data Source Plugin, 2012). SIEM É a parte mais importante do sistema, pois provê inteligência e capacidade de tratar os dados com: o Avaliação de risco. o Correlação. o Métricas de risco. o Varreduras de vulnerabilidades. o Monitoramento em tempo real. Usa banco de dados SQL para armazenar as informações normalizadas, garantindo excelente capacidade de análise e exploração dos dados. Logger Componente habilitado apenas na versão comercial AlienVault Professional SIEM tem a função de armazenar em um lugar seguro os eventos em estado bruto. Esses eventos são assinados digitalmente para admissibilidade como prova em um tribunal de direito. É uma função importante, mas que não prejudica o funcionamento da versão livre. Interface Web Aqui é onde podem ser acessadas todas as informações e eventos gerados, bem como acesso aos parâmetros de configuração. As seguintes tarefas podem ser executadas utilizando a interface: o Mudança das configurações. o Acesso às dashboards (painéis) e métricas. o Gerenciamento de usuários. o Informações em tempo real. o Geração de relatórios. o Sistema de chamados (tickets). o Gerenciamento de vulnerabilidades.

18 o Gerenciamento de fluxos de rede. o Configuração de repostas automáticas. 2.3.2 Funcionamento O SIEM OSSIM parte do princípio que aplicações e dispositivos geram eventos de segurança, esses eventos são recolhidos e normalizados pelos Coletores para então serem correlacionados e armazenados pelo SIEM. Ao fim do processo os dados são apresentados na interface web de gerenciamento. Podemos apresentar esse processo no fluxograma abaixo retirado do Installation Guide (LORENZO, 2012): Figura 7 Fluxo do funcionamento do OSSIM Miller et al (2010, p. 142) descreve mais detalhadamente o funcionamento de cada parte do OSSIM, como podemos observar figura e nos tópicos a seguir:

19 Figura 8 Funcionamento do OSSIM por Miller et al (2010, p. 142) Detector (Detectores) Qualquer programa capaz de monitorar a rede, arquivos ou logs a procura de padrões de ataques. Podem ser de dois tipos: o Baseado em assinaturas Utilizam assinaturas (padrões) de ataques já conhecidos para alertar caso alguma atividade se encaixe em tal regra. o Baseado em anomalias São sistemas capazes de aprender padrões de comportamentos e alertar sobre desvios e anomalias. Essenciais para detectar ataques desconhecidos. Monitors (Monitores) São usados para prover uma perspectiva sobre o tráfego da rede, permitindo visualizar rapidamente qualquer mudança. Existem três tipos: o Monitor de rede Fornece informações sobre o uso da rede, estatísticas sobre uso de serviços e monitoramento em tempo real de sessões. o Monitor de disponibilidade Monitora a conectividade de um dispositivo, é usado para detectar ataques de negação de serviço (DoS e DDoS) e interrupções na rede. o Monitoramento personalizado O administrador pode criar um monitoramento personalizado para um dispositivo. Scan (Varreduras) Varreduras de vulnerabilidades são um processo importante para a correlação. Aqui são simulados ataques contra aplicações e dispositivos para determinar se os mesmo estão vulneráveis.

20 Inventory (Inventário) Outro ponto importante, pois após ter a rede inventariada, podemos ter uma visão de todo o parque monitorado. Também é possível descartar eventos baseado nos recursos utilizados, por exemplo, um ataque para sistemas Windows direcionado a um host com sistema Linux poderá ser ignorado. Collectors (Coletores) Seu objetivo é capturar e normalizar as mais diferentes informações de segurança dos dispositivos e repassá-los ao servidor para processamento. Existem duas maneiras de atuar: o Push Neste modo o eventos são enviados pelos dispositivos em formato nativo do mesmo e normalmente se usa SNMP ou SYSLOG. o Pull Aqui se faz a utilização de agentes, que são instalados nos dispositivos e ficam encarregados de enviar as informações ao servidor. o Priorização Quando chegam ao servidor, o eventos recebem uma classificação de prioridade que varia de 0 a 5 no padrão da Alien Vault. Esses valores podem ser ajustados pelo administrador. Risk Assessment (Avaliação de riscos) É o processo de medir o risco e tentar determinar o que é importante e o que não é. Funciona como um assessor para o processo de tomada de decisão. O SIEM tem uma visão geral sobre os ativos, as ameaças e o tráfego de rede, logo ele pode atribuir valores de risco em tempo real para um evento, podendo então definir se este provavelmente é um ataque ou um falso-positivo, por exemplo. O OSSIM calcula esse índice para cada evento e se baseia em três parâmetros: o Valor do ativo envolvido no evento (0 a 5) Quanto custa se comprometido? o Priorização, ameaça representada pelo evento (0 a 5) Quanto dano pode ser feito para o bem? o Probabilidade de que o evento ocorrerá (0 a 10). O cálculo do risco é feito baseado na seguinte equação: Risco = (Valor do Ativo * Priorização * `Probabilidade) / 25 Correlate (Correlação) É um dos aspectos mais importante do OSSIM e de qualquer SIEM. Sua função é reduzir falso-positivos e evitar falso-negativos, além de detectar novos ataques. Aqui são utilizadas todas as informações disponíveis

21 para criar um contexto de ataques. Para isto são utilizadas cinco variáveis: alertas, vulnerabilidades, inventário, anomalias e a rede, podendo ser executadas três tipos de correlação: o Correlação lógica Se dá pelo conjunto de regras pré-definidas e personalizadas, depois uma árvore de condições é construída com com base nelas, assim conforme um evento é testado a sua prioridade vai aumentando a medida que as condições são satisfeitas. o Correlação de inventário É utilizada para comparar as características de um ativo em relação a uma ameaça específica. o Correlação cruzada Faz a relação cruzada entre os dados de IDS e de vulnerabilidades, o que eleva a prioridade de um ativo se ele é vulnerável a um exploit ou não. Respond (Respostas) É a capacidade que o OSSIM tem para reagir automaticamente em relação a uma ameaça. Essa resposta pode ser desde o envio de um email até um ajuste de um firewall ou switch de rede. Manage (Gerenciamento) O OSSIM possui um sistema de tickets que são abertos no caso de uma ameaça ser validada como real, para que assim o incidente seja acompanhado até a sua resolução. Cada ticket possui informações sobre o proprietário, os eventos contidos, o status e o histórico do incidente. Report (Relatórios) Mecanismo robusto para a geração de relatórios para análise ou de gestão, que podem ser modelos já prontos ou personalizados. Measure (Métricas) Fornecem uma apresentação dos dados de fácil visualização e entendimento. O OSSIM já tem vários por padrão como painéis Executivos e de Conformidade, mas também é possível criar novos personalizados. 2.3.3 Sensores O SIEM OSSIM trata cada detector como sendo um sensor e como já mencionado anteriormente, eles são espalhados pela rede visando o monitoramento de vários aspectos da mesma. Um dos principais atrativos do OSSIM é que ele já possui uma gama de mais de trinta ferramentas de segurança, bastante conhecidas e todas livres, que são capazes de monitorar praticamente tudo em uma rede. Para o presente projeto estaremos utilizando alguns deles.

22 Utilizamos dois sistemas de detecção de intrusos (Intrusion Detection System IDS), que são mecanismos que visam identificar padrões previamente conhecidos em arquivos, diretórios ou tráfego de rede, analisam sequências de eventos previamente conhecidos ou não, registram e podem tomar medidas defensivas e contramedidas (RUFINO 2002, p. 211). Seu funcionamento se assemelha ao de uma câmera de segurança ou um alarme, monitorando a rede ou um host e alertando os administradores acerca de possíveis problemas. Estão em uso também um scanner de vulnerabilidades e um sistema de inventário de hardware e software, além de outros secundários habilitados por padrão pelo OSSIM. 2.3.3.1 IDS baseado em rede Sistema de detecção de intrusos baseado em rede (Network Intrusion Detection System NIDS) é um sistema que monitora o tráfego do seguimento da rede, geralmente com a interface de rede atuando em modo promíscuo. A detecção é realizada com a captura e análise dos cabeçalhos e conteúdos dos pacotes, que são comparados a padrões ou assinaturas conhecidos (NAKAMURA; GEUS, 2007, p. 272). É eficiente contra vários tipos de ataques, como port scanning, IP spoofing, buffer overflow. Algumas de suas vantagens é o monitoramento de atividades suspeitas em portas conhecidas liberadas pelo firewall e de múltiplas plataformas, bem como a dificuldade para um atacante apagar seus vestígios. Em termos de desvantagens podemos citar a incapacidade de monitorar tráfego criptografado e a dificuldade de utilização em redes segmentadas. Neste caso utilizamos o Snort 1, que já vem incluso no SIEM e é um dos mais utilizados do mundo. Ele atuará em modo passivo, analisando o tráfego da rede que será espelhado pelos switchs para o servidor OSSIM. Se fosse trabalhar em modo ativo, ele deveria ser implantado em modo inline com todo tráfego passando diretamente pelo mesmo. 2.3.3.2 IDS baseado em host Segundo Nakamura e Geus (2007), esse tipo de IDS faz o monitoramento do sistema operacional, com base em informações de arquivos de logs ou de agentes de auditoria. Também é capaz de realizar, por meio de checksums, a checagem da integridade dos arquivos 1 http://www.snort.org/

23 do sistema. Entre os ataques possíveis de serem detectados por esse sistema, podemos citar os port scanning, rootkits e backdoors. Algumas das vantagens do uso desse tipo de IDS são que ele pode detectar ataques que utilizem criptografia, pois o sistema operacional decifra os pacotes antes, e também é independente da topologia de rede. Dentre as desvantagens, podemos citar a dificuldade no gerenciamento e configuração, a dependência do sistema operacional utilizado e que caso o agente seja corrompido em um ataque, os dados podem ser comprometidos. A distribuição do OSSIM já possui um sistema de HIDS Host Intrusion Detection System chamado OSSEC 2, um sistema livre e gratuito desenvolvido por um brasileiro chamado Daniel Cid e que a atualmente é mantido pela empresa TrendMicro. Ele é multiplataforma, suportando sistemas como Windows, Linux, BSD, Solaris, entre muitos outros. 2.3.3.3 Scanner de Vulnerabilidades Todo sistema computacional é passível de falhas, e elas abrem caminho para pessoas mal intencionadas obterem acesso a informações restritas. Um bom gerenciamento de vulnerabilidades ajuda muito um administrador de rede, pois o ajuda a identificar essas falhas para que o mesmo possa trata-las. É nesse ponto que atua um scanner de vulnerabilidades, esse tipo de sistema realizar varreduras em redes e sistemas em busca de problemas, gerando relatórios sobre a situação. Novamente o servidor OSSIM já traz um sistema para atender tal finalidade, neste caso o software livre OpenVas, que de acordo com seu site oficial 3 é um framework para realizar varreduras em busca de vulnerabilidades e gerenciamento da mesma. Ele possui um banco de dados com mais de trinta mil vulnerabilidades catalogadas dos mais diversos tipos de sistemas e equipamentos. Ao analisar um sistema Linux por exemplo, ele testa todas as falhas presentes em seu banco relativas a este sistema. 2.3.3.4 Sistema de inventário Apesar de não se muito explorado aqui neste estudo, um sistema de inventário do parque computacional é muito útil ao se implantar o OSSIM, pois ajuda na diminuição de 2 http://www.ossec.net/ 3 http://www.openvas.org/

24 falso-positivos, visto que se ele sabe que um servidor possui sistema operacional Linux instalado, todos os ataques relativos a outros tipos de sistema serão de risco reduzido. O sistema de inventário utilizado é o OCS Inventory NG 4, já incluso no SIEM. Seu funcionamento se resume à instalação do agente e o mesmo irá inventariar toda parte de hardware e software dos hosts, enviando essas informações para o servidor OSSIM. 4 http://www.ocsinventory-ng.org/en/

25 3 Descrição das atividades Para a realização do deste estudo, as atividades foram divididas em quatro etapas que serão descritas a seguir. Após a realização das pesquisas bibliográficas, verificamos que o SIEM OSSIM é uma ótima solução, como foi demonstrado no embasamento teórico. Além de possuir excelentes qualidades apresentadas nos tópicos anteriores, ele é um sistema livre e gratuito e no Tribunal damos prioridade a softwares deste tipo. Além disto, seus concorrentes são muito caros e de difícil acesso para testes. Para testar a solução montamos um laboratório e realizamos a implantação da ferramenta e alguns testes, a fim de gerar este relatório e embasar uma possível decisão da Gerência sobre a utilização do mesmo. 3.1 Montagem do laboratório A primeira atividade a ser desenvolvida neste estudo foi a montagem do laboratório de testes, o qual foi inteiramente virtualizado, garantindo uma maior flexibilidade e economia de espaço e energia. Dispomos de dois servidores IBM X3400 com um processador Intel XEON 2GHz com quatro núcleos, 4GB de memória RAM, 500GB de espaço em disco rígido e três interfaces de rede cada. Utilizamos como solução de virtualização livre o Oracle VirtualBox, que apesar de não ser o melhor em desempenho e gerenciamento, atende perfeitamente ao objetivo deste trabalho. O único problema é que ele não tem a opção de espelhamento de portas de rede, configuração essencial para utilização do sistema de detecção de intrusos utilizado neste estudo. Para garantir esta opção instalamos também o OpenvSwitch, sistema livre e de código aberto de switch virtual. Com ele podemos não só espelhar portas, mas também criar vlans, netflow, entre outras opções. A figura 09 mostra como ficou nosso ambiente de virtualização.

26 Figura 9 Ambiente de virtualização Nosso objetivo nesse laboratório foi montar uma rede completa e que conte com sistemas e equipamentos que também fazem parte da rede do Tribunal, nos possibilitando assim testar o OSSIM em um ambiente próximo ao real, porém em menor escala. Observando a imagem 10 é possível visualizar a rede de testes antes da implantação do SIEM.

27 Figura 10 Laboratório de testes Apesar de ser relativamente simples, podemos observar que nosso laboratório tem uma infraestrutura completa que conta com dois dispositivos de segurança do tipo firewall, servidores que recebem acesso externo à rede como no caso do servidor FTP/web e também possui serviços de rede internos como DHCP e DNS. Na figura podemos observar que existem duas redes internas: 10.10.0.0/24 É a DMZ, uma rede na qual ficam os equipamentos que serão acessados externamente, nesse caso apenas um servidor com sistemas web e FTP. 10.10.1.0/24 É a rede local, constituída por uma estação de trabalho e um servidor responsável pelos serviços de DHCP e DNS. É pela rede local que também é possível acessar a interface de gerenciamento do servidor IDS. Como foge do escopo deste estudo não entraremos em detalhes das configurações de virtualização e dos serviços configurados no laboratório, iremos apenas ressaltar alguns aspectos a fim de contextualizar os testes. 3.1.1 Firewall O firewall principal utilizado no laboratório foi um appliance virtual da empresa Check Point, produto idêntico ao que foi adquirido recentemente pelo Tribunal. É um dos produtos mais respeitados neste tipo de solução.

28 De regras existirão apenas as liberações de acessos externos do na porta 80 (portal) e 21 (FTP) para a máquina www.tjpb.teste, 443 (HTTPS) para acesso à interface administrativa do próprio firewall, 8080 que será redirecionada para a 443 do servidor do OSSIM e 2222 que redirecionará para a 22 (ssh) do mesmo servidor. Além disso, haverá uma regra de nat para que as redes internas possam ter acesso à Internet e todo o tráfego entre as máquinas e as redes internas é liberado. A política padrão é bloquear qualquer acesso, exceto os que se encaixem nas regras já mencionadas. Em relação ao sistema pfsense, ele possui as mesmas regras do firewall principal e será utilizado apenas para fins de teste de integração com o OSSIM. 3.1.2 DMZ A rede DMZ tem um servidor com o sistema operacional Linux Metasploitable, que é intencionalmente baseado em uma versão antiga do Linux Ubuntu, com várias falhas de segurança e aplicativos vulneráveis instalados. Ele receberá conexões externas nas portas 21 com um servidor vsftpd e na 80 com um servidor web Apache, ambos com versões antigas e passíveis de serem explorados. Essa distribuição foi criada para ajudar profissionais em seus testes e é mantida pela Rapid7, empresa que criou o sistema Metasploit, o framework mais utilizado para testes de segurança em redes e sistemas. 3.2 Implantação do OSSIM Esta etapa irá descrever como instalamos e configuramos o servidor OSSIM para monitorar a rede de testes. 3.2.1 Planejamento Iremos agora falar sobre a instalação do SIEM OSSIM, que é bem fácil, mas que precisa de atenção em alguns pontos, logo não descreveremos em detalhes toda a operação, iremos apenas apontar as questões que consideramos mais importantes. Antes de começar é necessário decidir qual será a estratégia para a implantação e é fundamental ter um bom conhecimento sobre toda topologia da rede. Fatores como redes e sistemas existentes, acesso remotos, criptografia, entre outros, devem ser levados em consideração antes da instalação de um SIEM.

29 No nosso caso já foi explanado em tópicos anteriores a topologia de nossa rede de testes e sua estrutura pode ser vista no diagrama apresentado na figura 10. A partir desta figura e da análise dos equipamentos e sistemas existentes decidimos nossa tática para implantação do OSSIM. Figura 11 Diagrama de implantação do OSSIM Como podemos observar na figura, o servidor tem sua interface de gerência conectada ao switch da rede local, a qual foi configurada com o endereço IP 10.10.1.252, este será o endereço para acesso à interface administrativa do OSSIM. Além disso, foram configuradas duas portas espelhadas, uma em cada switch, nas quais conectamos as duas interfaces do sistema que atuam em modo promíscuo apenas escutando a rede. Inicialmente configuramos os seguintes sensores: Snort Irá analisar os dados a partir das interfaces que estão em modo promíscuo. OSSEC Instalação do agente em todos os hosts. OCS Instalação do agente em todos os hosts. Nagios Configurado para monitorar a disponibilidade dos servidores. OpenVas Realização de varreduras programadas em busca de

30 vulnerabilidades. Além destes ainda estarão ativos outros que o OSSIM habilita por padrão, mas que não alteramos suas configurações. 3.2.2 Hardware A necessidade de hardware depende mais da quantidade de eventos gerados e do tráfego da rede que do sistema em si, porém a AlienVault recomenda um mínimo para o funcionamento tranqüilo, como 2GB de memória RAM, e um bom espaço em disco rígido, visto que podem ser gerados uma grande quantidade de eventos. É recomendado também o uso de processadores 64 bits, pois assim haverá um melhor aproveitamento de desempenho devido ao suporte a multithreading que muitos de seus componentes possuem. A versão 32 bits inclusive já foi descontinuada a partir da versão 4.0. É recomendada também a utilização de placas de rede que suportem o driver e1000, pois estas têm um melhor suporte nativo. Diante destas recomendações, nós utilizaremos um servidor com as seguintes configurações de hardware: 1 Processador com 4 núcleos. 2 GB de memória RAM. 55 GB de espaço no disco rígido. 1 Interface de rede que suporta o driver e1000. É um equipamento suficiente para a instalação neste estudo, mas que dependendo do tamanho da rede e da quantidade de ativos a serem monitorados, é necessária uma máquina mais robusta. 3.2.3 Instalação Depois de definida a estratégia e separado o servidor que receberá o sistema, o próximo passo é obter a imagem em formato iso do OSSIM no site da AlienVault. Em nosso laboratório utilizamos a versão 4.1, sendo esta a mais recente. Depois de terminado o download, gravamos a imagem em um DVD e configuramos a BIOS do servidor para iniciar o sistema a partir deste drive.

31 Por ser distribuído como uma distribuição Linux completa baseada em Debian, o OSSIM tem uma instalação padrão, semelhante às distribuições Linux mais utilizadas, com uma seqüência de telas em modo gráfico onde aparecem as opções a serem definidas. Inicialmente é necessário configurar a linguagem que será utilizada no processo de instalação, a localidade e o padrão do teclado. Após essas opções, aparecerá uma das questões mais importantes que é o perfil da instalação, pois o OSSIM pode ter alguns de seus componentes instalados em diferentes servidores. Sendo assim, podemos escolher entre quatro perfis: Server Instalação apenas dos componentes de SIEM e Logger (este último apenas na versão paga). Sensor Aqui são habilitados apenas os Detectores e Coletores. Framework Este perfil instalará apenas a interface de gerenciamento web. Database Instalação do banco de dados SQL onde ficam armazenados os eventos. Isto é interessante, pois em redes muito complexas podem-se separar esses componentes e obter uma maior flexibilidade, escalabilidade e disponibilidade. É possível, por exemplo, ter vários servidores sendo gerenciados por apenas uma interface web. No laboratório iremos marcar todas as opções, pois utilizaremos apenas um servidor como podemos observar na figura a seguir. Figura 12 Instalação do OSSIM - Seleção de perfil

32 Continuando, o processo de instalação irá realizar a detecção do hardware e carregar os componentes necessários. Depois, chega a hora da configuração de rede, outra parte importante e que é necessária atenção. Como este servidor possui três interfaces de rede, é necessário escolher uma para gerenciamento. Depois serão pedidos os parâmetros para a configuração da rede, que foram definidos da seguinte maneira: Endereço IP 10.10.1.252 Máscara de rede 255.255.255.0 Gateway 10.10.1.254 DNS 10.10.1.253 Nome do servidor ossim Nome do domínio tjpb.teste Figura 13 Instalação do OSSIM - Seleção de interface

33 Na próxima tela será solicitada a senha do usuário root e caso a senha seja deixada em branco o usuário será desabilitado, ficando o usuário inicial do sistema com o poder administrativo através do comando sudo. Após a configuração da senha é solicitada a configuração do relógio através da escolha do fuso horário. O processo chega então a outro ponto importante que é o particionamento do disco. No nosso caso, devido a pouca complexidade do cenário, utilizamos uma opção mais simples que é o particionamento assistido e utilizando o disco inteiro com LVM, ou seja, todo o sistema ficará em uma única partição. Escolhemos o uso de LVM, pois caso seja necessário existe a flexibilidade de se aumentar o espaço em disco. Em ambientes mais complexos é recomendado utilizar partições separadas principalmente a /var, que tende a crescer muito devido aos logs e banco de dados. Finalizada a configuração do particionamento, o sistema criará e formatará as partições e então começa a instalação de fato, que por sinal é um pouco demorada devido à quantidade de configurações necessárias. Durante a instalação básica do sistema são requisitadas algumas configurações iniciais, começando pela escolha das interfaces que atuarão em modo promíscuo (sem configuração de rede, apenas capturando pacotes) e que no nosso servidor ficaram a eth1 e eth2. São pedidos depois os endereços das redes que serão monitoradas, ou seja, as redes 10.10.0.0/24 (DMZ) e 10.10.1.0/24 (Rede Local). Outra configuração que é solicitada é a de e-mail, pois se pode configurar o OSSIM para enviar e-mails com alertas e relatórios. Por fim duas últimas configurações são necessárias e extremamente importantes, a seleção dos plugins de detecção e os de monitores. Para nosso caso deixamos habilitados os que vêm por padrão, pois iremos habilitar outros à medida que necessitarmos. É importante ressaltar que toda essa configuração feita na instalação pode ser alterada e revista tanto pela interface web quanto pela linha de comando, podendo inclusive ser feita a mudança de perfil de instalação.

34 Figura 14 Instalação do OSSIM - Seleção dos plugins monitores. Após mais alguns minutos, necessários para configurar os componentes com os parâmetros passados, e da atualização do sistema, a instalação do SIEM OSSIM é finalizada. 3.2.4 Configuração Após a instalação é hora de começar a configuração da ferramenta, para isto basta abrir um navegador e acessar o endereço ip configurado na instalação, no nosso caso 10.10.1.252.

35 Figura 15 Tela inicial do OSSIM Ao acessar a interface web pela primeira vez serão solicitadas informações para completar o perfil da conta de administrador usuário admin como a senha e e-mail. Após o envio dessas informações é então mostrada a tela de login para acesso ao sistema. O OSSIM já vem praticamente pronto e assim que acessamos a sua interface podemos observar que ele já começou a monitorar e exibir alertas, principalmente através do IDS Snort. Então em um primeiro momento é necessário apenas adequá-lo à infraestrutura existente, configurando os ativos e integrando com as ferramentas existentes. 3.2.5 Configuração dos ativos A primeira etapa da configuração que realizamos e que consideramos mais importante foi o cadastro dos ativos que queremos monitorar. Esse passo é bastante crucial, pois este banco de informações vai servir de base para muitas das funcionalidades do SIEM como a correlação dos eventos e o calculo de riscos. No menu à esquerda da interface temos a opção Asset (Ativo) e ao clicarmos nela a mesma expande nos mostrando mais três opções.

36 Assets Clicando nesta opção temos acesso ao nosso inventário de ativos, onde podemos consultar, cadastrar, configurar ou excluir os ativos. Aqui podemos organizar nossa infraestrutura por hosts individuais, grupos de hosts, redes, grupos de redes e portas, além de poder acessar o inventário dos equipamentos pela aba do OCS. Asset Search O sistema nos dá a possibilidade de busca de ativos por várias características, assim, podemos pesquisar quais deles tem determinado sistema operacional ou pesquisar quais possuem uma determinada vulnerabilidade ou evento. Asset Discovery Aqui podemos realizar vários tipos de escaneamentos na rede a fim de achar automaticamente nossos ativos. A partir dessas varreduras podemos inserir ativos e informações de modo automatizado. No nosso caso, o que fizemos primeiro foi instalar o agente do OCS Inventory em todas as máquinas do laboratório, assim todas as informações a respeito de cada host foram enviadas ao servidor, que automaticamente os inclui na lista de ativos. O OSSIM já possui um instalador pré-configurado do agente do OCS e que fica no menu Configuration, submenu Collection, aba Downloads. Para instalá-lo basta apenas salvar o arquivo nas máquinas, descompactar e caso o sistema seja Linux executar o script setup.sh, se for Windows executar o install.bat. Figura 16 Relação de Ativos

37 Após a inserção dos ativos é necessário completar os dados referentes a cada um como a localização, qual sensor irá monitorá-lo e o mais importante que é seu valor, que pode ser de um a cinco e que como já mencionado fará parte do cálculo de risco. Quanto mais informações forem disponibilizadas, melhor o sistema irá trabalhar, então é necessário um bom conhecimento da infraestrutura existente e dos serviços disponíveis. 3.2.6 Verificação das vulnerabilidades Após popular nosso banco de ativos, partimos então para uma verificação ativa das vulnerabilidades existentes em nossa infraestrutura, um passo bastante importante para manter a segurança de uma rede, pois como cita Ferreira e Araújo (2008) uma fonte de ameaça não representa riscos quando não existe vulnerabilidade que possa ser utilizada. Mais uma vez o sistema se mostra bastante simples na tarefa de agendar as buscas. Ao acessar o menu Analysis e o submenu Vulnerabilities é apresentada uma tela com quatro abas que nos dá as seguintes opções: Vulnerabilities Mostra vários gráficos e estatísticas sobre as vulnerabilidades encontradas, como os hosts com mais falhas de segurança. Reports Como o próprio nome já diz, esta aba permite acesso aos relatórios resultantes das varreduras, eles podem ser emitidos em formato pdf, html ou planilha. Scan Jobs Opção onde são configuradas e agendadas as buscas por vulnerabilidades. Threads Database Repositório de vulnerabilidades usadas para os testes. Agendamos então uma varredora no servidor ftp.tjpb.teste, afim de descobrir quais vulnerabilidades existem naquele sistema. Como era de se esperar, devido ao uso do Linux Mestaploitable nesse servidor, foram descobertas inúmeras falhas.

38 Figura 17 Estatísticas sobre vulnerabilidades Até este ponto se tivéssemos apenas o OpenVas instalado isoladamente também poderíamos ter realizado a varredura e a geração de um relatório, mesmo que com um pouco mais de trabalho. Porém, no que tange ao assunto de gerenciamento de vulnerabilidades, existem duas grandes vantagens na utilização do OSSIM para tal tarefa: Abertura automática de chamados (tickets) O sistema tem a capacidade de abrir chamados automaticamente ao detectar uma vulnerabilidade, por padrão quando forem do tipo altas (high) e críticas (serious). Correlacionamento Ao saber que existe uma falha em um sistema, o OSSIM é capaz de gerar alertas críticos caso alguma forma de exploração da mesma seja detectada. E caso exista uma ameaça contra uma vulnerabilidade inexistente ele detecta a tentativa, mas gera alertas medianos. Com isto o administrador tem um controle bem maior sobre as falhas de sua infraestrutura, inclusive com capacidade para acompanhar as soluções para eliminá-las ou mitigálas.

39 Figura 18 Ticket de vulnerabilidade existente em ftp.tjpb.teste 3.2.7 Sistemas de detecção de intrusão Na implantação do SIEM utilizamos dois tipos de sistemas de detecção de intrusão como sensores, sendo um baseado em rede e um em host. É possível ainda utilizar outro tipo de IDS para rede sem fio através do software livre Kismet, mas que não foi abordado neste estudo. 3.2.7.1 HIDS Como já mencionado anteriormente, o OSSIM traz o HIDS Host Intrusion Detection System OSSEC e o configuramos para ajudar na realização de nossos testes, pois ao instalar o agente deste sistema em nossas máquinas temos a possibilidade de verificar a integridade do sistema e de arquivos, problemas com permissões, acessos indevidos, entre muitos outros.

40 Como no caso do OCS, o OSSIM já traz um instalador do agente, porém neste caso apenas para Windows e que, não sabemos o porquê, não vem pré-configurado. Logo, para a implantação dos agentes foi necessária a realização de alguns procedimentos tanto no servidor quanto nas máquinas a serem monitoradas. Para os servidores Linux instalamos via pacote disponível no site do projeto OSSEC. Primeiramente é necessário adicionar o agente que será instalado através do menu Analysis, submenu Detection, aba HIDS. Ao acessar a referida aba, fica disponível uma aba Agents, na qual podemos realizar o procedimento. Após adicionar um agente do OSSEC é necessário extrair sua chave criptografada de comunicação com o servidor clicando no ícone na coluna Actions. Esta chave deve ser inserida juntamente com o endereço IP do servidor OSSIM ao instalar o agente nas máquinas. No nosso laboratório temos poucas máquinas então foi simples a tarefa de implantação dos agentes, porém no caso de muitas máquinas esse processo se torna bastante trabalhoso, mas existe outro método o qual não foi abordado para que este processo seja otimizado. Ainda no caso de uma infra-estrutura muito grande também será necessário mais cuidado ao planejar quais hosts serão monitorados, pois o OSSEC dispara muitos alertas e pode dificultar o processo de visualização dos mesmos. 3.2.7.2 NIDS No que tange ao IDS baseado em rede Snort presente no próprio OSSIM, não foi necessária nenhuma configuração adicional. Na interface web temos apenas as opções de configurar quais interfaces serão utilizadas para monitorar as mesmas serão colocadas em modo promíscuo e quais redes serão monitoradas, opções estas que já foram escolhidas no momento da instalação. Estas configurações podem ser feitas ou alteradas através o menu Configuration e a opção System Configuration na aba Sensor Configuration. No caso da atualização das regras do Snort, as mesmas serão atualizadas todas as vezes que o OSSIM for atualizado, logo não é necessária a instalação de nenhum programa adicional para realização da tarefa. Para criação de regras personalizadas pode-se fazê-lo através do menu Intelligence e da opção Policy & Actions, inclusive para eliminação de falsopositivos e falso-negativos. Posteriormente configuramos o servidor IDS já existente para enviar suas informações ao servidor OSSIM, para que este possa analisá-las. Esta integração será abordada mais à frente.

41 3.2.8 Configurações gerais No menu do OSSIM podemos acessar através da opção Configuration todas as informações e configurações do servidor e do sistema. Esta opção é dividida em sete submenus que são descritas a seguir. 3.2.8.1 System Configuration Neste submenu temos acesso à tela de status do servidor, com informações a respeito do consumo de recursos, configuração de rede, atualizações do sistema e sobre o sistema de SIEM em si. Existem ainda cinco abas que possibilitam: Software Updates Permite acesso às atualizações disponíveis. General Configuration Configurações gerais do servidor, como nome e servidores de email e tempo. Network Configuration Configurações de rede para gerência. Sensor Configuration Aqui é possível habilitar e desabilitar sensores e plugins, bem como configurar redes e interfaces a serem monitoradas. Logs Visualização dos registros gerados pelo sistema operacional e dos serviços de Server, Agent e Web do OSSIM. 3.2.8.2 Main Opções de configuração do sistema de SIEM. Podem-se modificar valores referentes às métricas como o valor padrão de um ativo, bem como configurações de backup do sistema e tickets. Acessando a aba de configuração avançada, é possível modificar parâmetros referentes ao acesso aos bancos de dados do Snort, OSVDB e OpenVas, por exemplo. A Alien Valt desaconselha qualquer realização de modificações nas configurações avançadas, pois uma opção errada pode prejudicar todo o sistema.

42 3.2.8.3 Users A gerência de usuários do OSSIM é muito flexível, permitindo a criação de usuários com diferentes níveis de acesso. Permitindo que alguém do da parte operacional de segurança da informação tenha acesso apenas aos alarmes e tickets para visualização e resolução dos problemas. Já um diretor de TI só necessitaria de acesso aos gráficos de métricas e relatórios executivos. Além disso, por padrão todas as ações disponíveis pela interface de gerenciamento são passíveis de registros, o que permite uma série de auditorías. 3.2.8.4 AlienValt Components Nesta parte temos acesso à informações e configurações referentes aos componentes do OSSIM espalhados pela infraestrutura. Podemos adicionar ou remover sensores e servidores, bem como mudar algumas de suas configurações e opções. Existe ainda a aba Locations, onde ficam as informações sobre os locais onde ficam os equipamentos, permitindo assim uma melhor organização dos mesmos. 3.2.8.5 Collection plugins. Neste submenu existem três abas que auxiliam na configuração dos sensores e Iventory Aba onde ficam definidas tarefas de inventário do parque de equipamentos. Configurações a respeito de agendamentos e parâmetros dos sensores NMAP que varre a rede em busca de novos hosts e serviços, OCS e WMI. Data Sources Repositório onde é possível visualizar e modificar cada um dos plugins disponíveis no sistema. Downloads Agentes pré-configurados para utilização na implantação do SIEM, como é o caso do OCS e do OSSEC. 3.2.8.6 Backup Por último e não menos importante tem a opção de gerenciamento das cópias feitas

43 a partir da configuração no submenu Main. Aqui é possível visualizar os registros a respeito das tarefas de backup agendadas e saber se está acontecendo algum problema. A partir daqui pode-se também restaurar cópias de segurança armazenadas ou excluí-las caso precise de espaço em disco. 3.3 Integração Uma das maiores vantagens que se tem na utilização de um SIEM é a centralização das informações, que visa resolver a problemática levantada no início deste trabalho de que o analista de segurança deve acessar várias interfaces de diferentes ferramentas para visualizar o estado de sua rede. O OSSIM possui a capacidade de analisar eventos oriundos dos mais diversos sistemas e equipamentos utilizados em uma infraestrutura de rede de computadores. Para garantir a integração do SIEM com essas ferramentas externas ao mesmo, a AlienVault criou um sistema de plugins, os quais são bastante simples e flexíveis em sua utilização, permitindo inclusive a criação de plugins e regras personalizados. Nesta seção descreveremos a integração com um firewall da empresa Check Point, com um sistema de detecção de intruso já implantado na rede de testes e como é a criação de um plugin personalizado. 3.3.1 Firewall Check Point O Tribunal de Justiça adquiriu recentemente uma solução de firewall da empresa israelense Check Point, uma das melhores neste segmento. Então implantamos em nosso laboratório um produto idêntico, a fim de testar sua integração com o OSSIM. Dentre os inúmeros plugins existentes no framework, há dois para produtos da Check Point: o fw1-alt e o fw1ngr60, sendo este último mais recente e que deve ser utilizado com as soluções mais novas da empresa, como no nosso caso. Inicialmente é necessário configurar a comunicação entre o OSSIM e o firewall, pois o primeiro precisa acessar os registros de eventos do segundo. Para isto existe uma ferramenta chamada fw1-loggrabber, a qual faz uso do framework Open Plataform for Security (OPSEC) que visa garantir a interoperabilidade entre ferramentas e aplicações de segurança. O fw1-loggrabber é o responsável por copiar remotamente os logs do firewall e salválos em um arquivo no servidor do OSSIM. Para configurá-lo, primeiro acessamos a interface

44 de gerência do Check Point e adicionamos uma nova aplicação OPSEC através do menu Manage, conforme podemos ver na figura a seguir. Figura 19 Configuração OPSEC no firewall Check Point Após o procedimento feito na gerência do firewall, partimos para a configuração do fw1-loggrabber no servidor do OSSIM, a qual é feita toda via linha de comando. Os arquivos de instalação da ferramenta encontram-se em /usr/share/ossim/www/downloads/ e depois de instalado seu executável e arquivos de configuração ficam localizados no diretório /usr/local/ fw1-loggrabber/. É necessário a modificação de alguns valores de parâmetros presentes nos dois arquivos de configuração. fw1-loggrabber.conf Possui configurações referentes ao arquivo de logs, como rotação e nível de detalhamento. Aqui foram alterados os valores das variáveis ONLINE_MODE para yes garantindo assim acesso em tempo real aos registros e OUTPUT_FILE_PREFIX que ficou com o valor /var/log/ossim/fw1-loggrabber, o qual sempre deve ser o mesmo do parâmetro location presente no arquivo de configuração do plugin, localizado no arquivo /etc/ossim/agent/plugins/fw1ngr60.cfg. lea.conf Neste arquivo estão as opções com as quais a ferramenta irá se autenticar e comunicar com a API de exportação de registros do Check Point.

45 Inserimos o endereço IP do firewall na opção lea_server ip e modificamos o valor presente em opsec_sic_name para o valor presente no campo DN da imagem 19. Na variável lea_server opsec_entity_sic_name ajustamos o valor para que ficasse cn=cp_mgmt,ofw001.tjpb.teste.z6cvwr. Antes de finalizar a integração, é necessário salvar no servidor do OSSIM um certificado digital do firewall. Para esta etapa foi necessário fazer o download de outra ferramenta, disponível no site do projeto do fw1-loggrabber, chamada opsec-tools e executar o comando: ossim:~# opsec_pull_cert h 10.10.1.254 n OSSIM p ossim123 o /usr/local/ fw1- loggrabber/etc/opsec.p12 Com toda configuração do fw1-loggrabber realizada bastou apenas acessar a interface de gerenciamento do OSSIM, acessar a opção de configuração dos sensores presente no submenu System Configuration e ativar o plugin fw1ngr60 em Collection. A partir daí já podemos visualizar os registros do firewall na interface web do nosso SIEM. Figura 20 Eventos do firewall da Check Point 3.3.2 Firewall pfsense

46 Após realizar a integração com o firewall da Check Point, decidimos testar outra ferramenta, desta vez um software livre chamado pfsense. Trata-se de uma distribuição baseada no FreeBSD e customizada para servir de firewall e roteador, além de possuir outras funcionalidades como proxy e IDS.Decidimos testá-la pois há um outro projeto interno do Tribunal para estudar a possibilidade de sua utilização. Para sistemas operacionais baseados em Linux e BSD, o OSSIM traz a possibilidade de receber os logs via rsyslog, programa padrão nestes sistemas para enviar os registros para um servidor remoto. A interface do pfsense é bem simples e intuitiva, é possível realizar essa configuração acessando o menu Status, opção System Logs na gerência web do sistema. Na aba Settings, basta marcar a opção Enable syslog ing to remote syslog Server e colocar o endereço IP do SIEM logo abaixo. Feito isto, o os registros do firewall já podem ser visualizados no arquivo do syslog do OSSIM. Então, configuramos o arquivo referente ao plugin pf /etc/ossim/agent/plugins/pf.cfg, modificamos a variável location apontando para o arquivo do syslog e ativamos o plugin. Porém os eventos não estavam sendo visualizados na interface do OSSIM e pesquisando sobre essa integração vimos que o formato dos registros do pfsense 2.x mudou em relação à versão 1.x e o plugin não foi atualizado em relação a isto. Pesquisando um pouco mais, descobrimos que antes cada evento era registrado em apenas uma linha e que nesta nova versão eram duas. Ao realizar alguns testes notamos que esse comportamento é causado por uma opção presente no arquivo /etc/inc/filter.inc presente no pfsense. Este arquivo possui o seguinte comando: /usr/sbin/tcpdump -s 256 -v -l -n -e -ttt -i pflog0 logger -t pf -p local0.info Esse é o comando que envia os eventos para o syslog do firewall e a opção -v é que está causando a mudança nos logs, ao retirar a mesma os registros começaram a serem escritos em uma única linha, fazendo com que o plugin do OSSIM conseguisse entender o texto que estava analisando. A partir deste momento já podemos observar na interface de gerenciamento do OSSIM a participação do plugin pf no gráfico de eventos por sensor da tela inicial.

47 Figura 21 Gráfico de eventos por sensor com o plugin pf Já na figura a seguir podemos ver um evento vindo do pfsense em detalhes, inclusive o log do mesmo, agora apresentado em uma única linha, mas que originalmente é uma para o registro do tráfego e outra com o registro do da ação.

48 Figura 22 Detalhes do evento do pfsense 3.4 Testes Já que o objetivo do SIEM OSSIM é o monitoramento de segurança de uma infraestrutura de redes, decidimos então realizar alguns ataques contra máquinas presentes em nosso laboratório e contra o próprio servidor do OSSIM, pois o mesmo deve garantir sua integridade para o caso de acontecer alguma violação na rede ou sistema. 3.4.1 Ataque à máquina Metasploitable Quando fizemos a busca por vulnerabilidades em nossa rede de testes descobrimos que o servidor FTP chamado vsftpd instalado na máquina ftp.tjpb.teste tem uma séria vulnerabilidade, informando que essa versão contém um backdoor, esta falha permite que usuários não autorizados acessem o sistema operacional do servidor e neste caso específico com privilégios de root. O OSSIM ao encontrar essa vulnerabilidade a classificou como de alto nível, tendo inclusive aberto automaticamente um ticket, como podemos observar na figura 18 do tópico 3.2.6. Abaixo mostramos detalhes referentes a essa falha no relatório de vulnerabilidades gerado pelo sistema.

49 Figura 23 Detalhes da vulnerabilidade do vsftp A exploração dessa falha é muito fácil e não tivemos problema em testá-la em nosso laboratório. Em síntese, ao enviar os caracteres :) como nome do usuário o servidor dá acesso ao shell do sistema com permissões de usuário root. Para realizar a exploração utilizamos o framework Metasploit. O ataque foi realizado com sucesso e conseguimos acesso em nível de super-usuário, tendo acesso irrestrito às pastas, arquivos e a todo o sistema. Apesar se não impedir os ataques, visto que o OSSIM não está funcionando como um IPS, ele detectou o mesmo e gerou um alerta de risco máximo, como podemos observar na figura a seguir. Figura 24 Detecção do ataque ao servidor ftp.tjpb.teste

50 O sistema nos permite ainda visualizar mais detalhes ao clicar no alarme gerado, assim o analista tem acesso às informações sobre as máquinas envolvidas, métricas, detalhes de como funciona a falha, podendo inclusive baixar o arquivo pcap gerado pela captura do Snort. Aqui também tem a opção de abertura de um ticket para acompanhamento do problema. Figura 25 Detalhes do ataque ao ftp.tjpb.teste 3.4.2 Teste de vulnerabilidade do OSSIM Neste estudo realizamos alguns testes contra o servidor do OSSIM a fim de verificar a existência de falhas de segurança no mesmo. Não foram testes muito aprofundados, pois neste primeiro momento estudamos a ferramenta como um todo, para poder visualizar suas vantagens e desvantagens. Inicialmente realizamos um escaneamento com a ferramenta NMAP, um poderoso scanner de rede, de código aberto e livre, muito utilizado para conseguir informações a respeito do alvo, como serviços disponíveis, sistema operacional, entre outros. Nosso objetivo foi observar se apenas as portas necessárias estavam abertas. Constatamos que somente as portas referentes aos serviços essenciais estavam aceitando conexões, as quais são 22 do ssh, 80 e 443 da interface web de gerenciamento e a 514 que é na qual o rsyslog recebe os registros vindos de outros sistemas. Mas isto pode variar de acordo com os plugins

51 habilitados, pois alguns deles usam outras portas, como no caso do fw1-loggrabber que utiliza a 18184. Após esse teste inicial, decidimos examinar a interface web e para tal demanda executamos um programa chamado W3AF, desenvolvido pela Rapid7 mesma mantenedora do Linux BackTrack que funciona buscando vulnerabilidades em aplicações web. Neste caso, foi encontrada uma vulnerabilidade do tipo SQL Injection, considerada crítica, mas que infelizmente não conseguimos realizar um teste de exploração da mesma. No mais foram encontrados apenas alertas medianos e baixos. Outro ponto a destacar foi que na etapa em que o scanner executou técnicas de força bruta deixou o sistema do OSSIM fora do ar, pois foram iniciadas várias instâncias do apache o que acabou consumindo os recursos dá máquina. Logo, ao dimensionar o servidor é necessário mais atenção nos recursos. Figura 26 Teste do OSSIM com o W3AF Por fim, foi realizado uma varredura em busca de vulnerabilidades utilizando o OpenVas, já descrito em tópicos anteriores. Seu relatório não apresentou nenhuma vulnerabilidade séria, apenas dois alertas medianos e algumas informações, mas nada que seja preocupante.

52 É importante frisar que durante as três verificações realizadas, o sistema do OSSIM detectou as tentativas e gerou vários eventos, porém apenas durante o último foram disparados alertas, como podemos observar a seguir. Figura 27 Detecção dos testes do OpenVas contra o OSSIM