Monitoramento com foco em Segurança. Italo Valcy UFBA

Documentos relacionados
Cibersegurança no ambiente acadêmico. Italo Valcy Salvador BA, 27/Set/2016

FAE São José dos Pinhais

Rodrigo Regis dos Santos Tiago Jun Nakamura São Paulo, SP 16 de julho de 2015

Tiago Jun Nakamura Analista de Desenvolvimento São Paulo, SP 13 de maio de 2015

RELATÓRIO ANUAL Destaques do Tratamento de Incidentes em 2010

Segurança e Auditoria. Auditoria Coleta de dados, Análise de dados, Auditoria preventiva. de Sistemas

Nova Prestech.net. Gerenciamento de Segurança da Informação com Software Livre. Consultoria e Soluções em Informática.

SNORT. Sistema de Detecção de Intrusão de Rede. Amanda Argou Vilnei Neves REDES II

Gerenciamento de Redes

20º Fórum de Certificação para Produtos de Telecomunicações 30 de novembro de 2016 Campinas, SP

III Workshop do POP-RS Serviços disponibilizados pelo PoP-RS

TRAIRA: uma ferramenta para Tratamento de Incidentes de Rede Automatizado

Gerenciamento e Interoperabilidade de Redes

Segurança de Redes 5º Semestre

Gerência de Redes de Computadores RMON. Prof. Alex Furtunato

Aspectos de Segurança no IPv6

FERRAMENTAS DE GERENCIAMENTO DE REDES DE COMPUTADORES

Um Agente SNMP para Detecção de Intrusão Baseada na Interação de Protocolos

Os vírus se espalham através de (MORIMOTO, 2011, p. 403):

GERENCIADOR DE REDE NTOP

Solução em AntiSpam em Nuvem. Filtre mais de 99,98% dos s indesejados!

Segurança da informação

INTERNET E SEGURANÇA DOS DADOS. Introdução a Computação e Engenharia de Software. Profa. Cynthia Pinheiro

Sistema de Monitoramento de Dispositivos utilizando o Pandora FMS

Firewalls. Carlos Gustavo A. da Rocha. ASSR

Auditoria e Segurança de Sistemas -VPN (Virtual Private Network)

Gerência de Redes. Modelo de Gerenciamento OSI

Gerência de Redes Turma : V

Detecção de Intrusão. Intrusão. Intruso. É o processo pelo qual algo tenta violar uma sistema.

RICOH SIM. Solução Integrada Ricoh de Monitoramento e Gerenciamento de Ativos de TI.

Detecção e Tratamento de Softwares Maliciosos na Rede do Governo do Estado do Paraná

O Curso PfSense Vantage é o mais completo e avançado, focado na aplicação imediata do aprendizado, ministrado por instrutores certificados.

Recursos incríveis para Tecnologia

Uso de ferramentas de Segurança

PROCESSO DE SELEÇÃO DE ESTAGIÁRIO EDITAL 100/2017

Metodologia de Monitoração

Disciplina: Segurança de Redes. Professor: Roitier Campos

Covert channels: o que são, o que fazem e como se prevenir contra eles

Gerenciamento de Redes. Alan Santos

DESCONTOS DE ATÉ 50%

O Curso PfSense Vantage é o mais completo e avançado, focado na aplicação imediata do aprendizado, ministrado por instrutores certificados.

Licenciatura em Informática

MITO OU VERDADE? 11/02/2013 MITO OU VERDADE? MITO OU VERDADE? MITO OU VERDADE? Dois antivírus funcionam melhor que um?

TOSIBOX. Seu próprio caminho através da Internet das Coisas (IoT)

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /


Gerenciamento e Interoperabilidade de Redes

Uso de Flows no Tratamento de Incidentes da Unicamp

HLBR: Um IPS invisível para a segurança em redes de computadores. João Eriberto Mota Filho (Comando do Exército Brasileiro)

Sistemas de Detecção de Intrusão

Segurança na Rede Local Redes de Computadores

Administradores de Guardium

Aumentando a Segurança da Informação com Softwares Livres em uma Universidade

Segurança da Informação nas Universidades A Experiência da UFRN

Panorama e Melhores Práticas de Segurança na Rede Acadêmica de Santa Catarina

1. Monitorização. Índice. 1.1 Principais pontos críticos

Ferramentas de Pentest

Projeto Integrador Segurança de Redes e Transmissão de Dados

PROAPPS Security Data Sheet Professional Appliance / Apresentação

[Digite texto] XLabs. Web App Firewall. formation Security

Resposta a Incidentes no Brasil: Situação Atual e o Papel do NBSO

Segurança da Informação

GERÊNCIA DE REDES DE COMPUTADORES. 6 Gerência de Aplicações

Comunicações de Dados

*pfsense é uma marca registrada da Electric Sheep Fencing LLC.


Gerência de Redes Turma : V

Gerência de Redes de Computadores Zabbix - Funcionalidades. Prof. Alex Furtunato

Administração dos serviços de redes utilizando linux

Kelvin Lopes Dias Diego dos Passos Silva

INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

HP IMC NTA Implementation

Segurança da Informação

Manual de Ativação AhF01 Fog IoT

1. Monitorização. Índice. 1.1 Principais pontos críticos Pontos críticos directos

HoneyPot e HoneyNet. Reginaldo Campos Segurança em Redes de Computadores

Protocolos e Arquiteturas de Redes. Thiago Leite

Firewall. Prof. Marciano dos Santos Dionizio

Gerenciamento de Redes. Protocolo SNMP

Conteúdo do pacote de 03 cursos hands-on

Uma nova luz para a sustentabilidade. Inversor Fotovoltaico on-grid ecosolys MANUAL MONITOR SOLAR WI-FI

Instituto Superior de Tecnologia em Ciências da Computação de Petrópolis VPN Virtual Private Network

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Redes de computadores e a Internet. Prof. Gustavo Wagner. A camada de rede

Curso de extensão em Administração de Redes

Características de Firewalls

S.I.M - Uma aplicação para o Monitoramento Integrado de Redes de Computadores

Possuímos modelos de Subscrição de Suporte ao Software Pfsense para que sua empresa fique tranquila e focada em seu negócio.

CEA463 SEGURANÇA E AUDITORIA DE SISTEMAS

Transcrição:

Monitoramento com foco em Segurança Italo Valcy UFBA

Network Flows FONTES ABERTAS MONITORAMENTO Wi-Fi QoS / QoE REDES SOCIAIS Logs 2

Disponibilidade A disponibilidade é um princípio básico da Segurança da Informação Uma informação estará disponível para uso no momento desejado Monitoramento básico: checagem porta do serviço O que mais pode ser monitorado? Emular um cliente (phantomjs, monitoring plugins etc) Tempo de resposta Conteúdo da resposta Não Escopo 3

Disponibilidade Exemplo: tempo de resposta e falhas no login CAFe remanso: Falha de autenticacao 22/09/16 21/09/16 20/09/16 19/09/16 18/09/16 17/09/16 16/09/16 18 16 14 12 10 8 6 4 2 0 15/09/16 4

Monitoramento de Flows Monitoramento tradicional não fornece os detalhes suficientes para área de redes ou segurança?? O que causou esse pico no gráfico? Quais são os top talkers da sua rede? Quais os hosts envolvidos naquele ataque XYZ? Existem máquinas acessando hosts maliciosos? 5

Monitoramento de Flows O que são fluxos de rede? 1 flow é um sumário com vários pacotes de rede Apenas o cabeçalho é coletado, por amostragem Para que serve? Apoiar o tratamento de incidentes de segurança Detectar anomalias e tentativas de intrusão Identificar computadores infectados, servidores comprometidos, envio de spam etc. 6

Monitoramento de Flows O equipamento deve fornecer suporte para sflow, netflow ou ipfix Importante dimensionar a taxa de amostragem Software de Análise (nfsen, ntop, silk etc.) 7

Monitoramento de Flows Estudo de caso 1) máquina possivelmente infectada A equipe responsável pela rede não conseguiu identificar o host interno que originou essa conexão Necessidade de monitoramento do Firewall/NAT! 8

Monitoramento de Flows Estudo de caso 2) violação de copyright Os dados da notificação não casavam com os logs O dispositivo não suportava gerar logs de NAT 9

Monitoramento de Flows Estudo de caso 3) intrusão em servidor Invasor tinha a senha de uma conta com acesso remoto Todos os logs de auditoria foram apagados Identificação do IP do atacante via sflow Foi possível também fazer correlação com outros eventos anteriores 10

Sistema de Detecção de Intrusão São sistemas de detecção de comportamento malicioso com base em: Assinaturas de ataques Análise de comportamento (ex: redes neurais etc.) Monitoramento inline, mirror ou baseado em flows Tipos: Baseado em host (Tripware, OSSEC, Samhain etc.) Baseado em rede (Snort, Suricata, Bro etc.) 11

Sistema de Detecção de Intrusão Estudo de caso UFBA (Suricata) Eventos observados por dia Eventos IDS por dia 700000 600000 500000 400000 300000 200000 100000 0 12

Sistema de Detecção de Intrusão Estudo de caso 1) máquina infectada com vírus Infecção com Conficker Equipamento médico sistema de raio X 13

Sistema de Detecção de Intrusão Estudo de caso 2) site propagando vírus Vírus Fake JS / jquery.php 14

Firewall / NAT É fundamental monitorar o Firewall para viabilizar a GIS e identificar comportamento anormal Hosts comprometidos Tentativas de violação da política de Segurança Tradução de Endereços de Rede (NAT/PAT) Monitoramento pode se dá de diversas maneiras: Syslog SNMP / Traps Notificações por e mail Dashboards (top talkers, hits, app control, cpu, mem, sess) 15

Firewall / NAT Casos já identificados na UFBA: Máquina com backdoor/rootkit Máquina participando de botnet para spam Máquina realizando scan de rede Evidências de acesso de atacante (correlação com inc.) Máquina com vírus e comunicação C&C 16

Firewall / NAT E com relação ao NAT, o que monitorar? É importante monitorar as traduções de endereços de rede para tratamento de incidentes No mínimo: IP/Porta originais e traduzidos, duração, protocolo Seu firewall suporta fazer logging do NAT? Cisco, Fortinet, Checkpoint, PaloAlto, Juniper, etc: Sim IPTables/Netfilter, PFSense: não nativamente 17

Firewall / NAT Logging de NAT no IPTables/Netfilter: https://github.com/italovalcy/nfct snatlog Logging de NAT no PFSense/PF https://github.com/italovalcy/pfnattrack Exemplo: 18

IPv4/IPv6 Host Address No tratamento de incidentes, nem sempre o IP é suficiente: E se você utilizar DHCP? E máquinas com IP estático? E com IPv6 auto configuration? Opção: L2M (Layer 2 manager) https://certbahia.pop ba.rnp.br/projects/l2m 19

L2M 20

Logs e correlação de logs Logs do sistema são fonte importante para verificação e alertas de segurança Erros, alertas, mal funcionamento Tentativas de ataque (brute force, SQLi, DoS,...) APTs Vazamento de dados Bloqueios maliciosos Necessidade de ferramentas e scripts para automatizar o tratamento devido ao volume Média da UFBA ~ 190M logs/dia 21

Logs e correlação de logs Logs do sistema são fonte importante para verificação e alertas de segurança Erros, alertas, mal funcionamento Tentativas de ataque (brute force, SQLi, DoS,...) APTs Vazamento de dados Bloqueios maliciosos Necessidade de ferramentas e scripts para automatizar o tratamento devido ao volume Média da UFBA ~ 190M logs/dia 22

Logs e correlação de logs Exemplo: ELK 23

Logs e correlação de logs SIEM: Security Information and Event Management "A máquina de Bob foi comprometida pelo virus asbss.exe, obtido de um site malicioso. Esse virus usou a conta de Bob e tentou infectar a máquina DAVEPC3, mas o antivirus bloqueou. No entanto, a máquina de Bob, BOBPC1, provavelmente ainda esta comprometida. Devemos bloquear o dominio malicioso e limpar a máquina de Bob o quanto antes!" 24

OSSIM Open Source SIEM SIEM open source GPL v3 Monitoramento de ativos de rede Centralização de informações e gerenciamento Levantamento de vulnerabilidades e ricos Provê capacidade de detecção de ameaças Aprendizado colaborativo de APT http://communities.alienvault.com/ 25

Ferramentas integradas ao OSSIM Mapeamento nmap prads Detecção de Ameaças ossec snort suricata Monitoramento fprobe nfdump ntop tcpdump nagios Levantamento de vulnerabilidades osvdb openvas 26

Fontes abertas 27

Buscador UFBA Script Python de busca em fontes abertas por sites hackeados 28

Horus GT EWS GT RNP Cybersecurity Early Warning System 29

Conclusão O monitoramento é essencial para Segurança da Informação Não monitorar o ambiente é como dirigir à noite com os faróis apagados! Você pode se prejudicar ou prejudicar os outros... Comece pelo básico: monitore o desempenho dos serviços, logs locais e remotos, fluxos de rede, ferramentas de segurança, Realize auditorias periódicas É difícil uma solução/ferramenta que se adeque a tudo Faça apresentações sobre o ambiente monitorado! Estatísticas, Relatórios, Dashboards 30

Impacto na QoE Fonte: http://viaipe.rnp.br 31

Obrigado! Perguntas? Italo Valcy <italovalcy@ufba.br>

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback