fbpx
Início » Blog » Monitore sua rede contra intrusos com HIDS OSSEC!

Monitore sua rede contra intrusos com HIDS OSSEC!

14 fev

Monitore sua rede contra intrusos com HIDS OSSEC!

By Linux, Segurança 0 Comentários

Você sabe se quando sua rede foi invadida?

Imagine a seguinte situação: você é um Administrador de Redes de uma empresa que realiza projetos de construção civil. Um concorrente contrata um hacker para invadir o seu ambiente para obter todas informações possíveis de projetos. O objetivo dele é tirar vantagem sobre futuros clientes. O invasor descobrir até mesmo qual padrão de desenvolvimento que está sendo adotado em seus projetos, através de documentos disponibilizados na rede.

Neste cenário, como você saberia que seu ambiente foi comprometido por um intruso?

Conhecendo o HIDS OSSEC

Para um entendimento melhor da funcionalidade do OSSEC, entenda que um sistema de detecção de intrusão é um processo bastante criterioso para monitorar e analisar o trafego que esta em nosso ambiente computacional. Ele baseia-se se em eventos que estão fora do funcionamento base.

O HIDS (Host Intrusion Detection Systema) do OSSEC define que ele é um sistema de detecção de intrusão baseado em hosts. Assim ele consegue fazer analises dos principais logs e eventos para detectar possíveis intrusões. Atualmente o HIDS OSSEC e mantido pela TrendMicro, mas inicialmente ele foi desenvolvido pelo brasileiro Daniel Cid.

No cenário apresentado acima, que o OSSEC entra como um gerente (Manager), atuando como uma plataforma para monitorar, controlar nossos sistemas na detecção de intrusos e controle de segurança de modo ativo.

Ele possui três modos de funcionamento:

  • Servidor: Neste modo o OSSEC realizará análise todos os logs, criará notificações por e-mail, respostas ativas e também receberá logs de outras máquinas remotas executando agentes ou via syslog. Todas as regras, decoders e opções de configuração principais são armazenados no servidor.
  • Local: Já este modo o OSSEC poderá fazer quase tudo que o servidor faz, ele somente não receberá mensagens de clientes.
  • Agente: No modo agente ele poderá ler os arquivos locais como syslog, snort, apache, etc. Ao ler estes arquivos ele encaminhará as mensagens de forma criptografada para análise.
    • Sem agente: Dispositivos que operam com syslog podem enviar seus logs para o servidor OSSEC fazer analises.

Ele pode monitorar via agentes sistemas como Windows, AIX, HP-UX, VMWare ESX, Linux, FreeBSD, OpenBSD, MacOS e Solaris.

O modo de funcionamento sem agente dá suporte via SYSLOG para os seguintes equipamentos:

  • Cisco PIX, ASA e FWSM.
  • Roteadores Cisco IOS.
  • Cisco IOS módulos IDS/IPS.
  • Cisco concertadores VPN.
  • Juniper Netscreen.
  • SonicWall firewall.
  • Checkpoint firewall.
  • Sourcefire (SNORT) IDS/IPS.
  • Dragon NIDS.

Vale observar que podem haver mais equipamentos que operam com SYSLOG além dos mencionados acima.

Visão do funcionamento do OSSEC

Na figura a seguir você pode visualizar a arquitetura do funcionamento do HIDS OSSEC.

O que o OSSEC pode fazer

É importante saber o que o OSSEC pode realizar em seus sistemas que iram ser monitorados. A seguir são apresentadas as atividades que ele vai desempenhar.

  • Analise de integridade de logs:
    • Quando são instalados os agentes em sistemas operacionais eles realizam checagens de logs. Após catalogar estes logs o agente envia para o servidor OSSEC para realizar analise.
  • Checagem de integridade de arquivos:
    • Nesta analise o objetivo é garantir a integridade dos arquivos. Caso seja detectada alterações, o OSSEC alertará sobre estes evento.
  • Monitoramento de registros do Windows.
    • O agente instalado realiza a coleta do registro e envia para o servidor OSSEC, que analisará e reportará caso contenha indícios de entradas no registro por programas maliciosos.
  • Detecção de Rootkit:
    • Os rackers podem esconder suas ações no sistema com o uso de rootkits. O OSSEC mantém uma base de dados atualizada sobre os diversos tipos de rootkits para prevenir contra ataques desse tipo de intrusão.
  • Alertas em tempo real:
    • Caso o OSSEC encontre uma não conformidade no sistema, ele imediatamente notificará o administrador.
  • Resposta Ativa para incidentes.
    • Assim como descrito acima além de notificar o administrador, o OSSEC pode dar uma resposta ao incidente. Por exemplo várias tentativas de login com usuário root no SSH, o OSSEC entende que pode ser uma tentativa de brute-force e executa um script bloqueando o IP de origem que partiu o ataque por um tempo determinado.
  • Suporte GeoIP:
    • Recentemente foi adicionada a integração do OSSEC com base de dados GeoIP do MaxMind, realizando o mapeamento de um IP para um país ou cidade.

Conclusão

Por fim o HIDS OSSEC é uma ferramenta poderosa para garantir a segurança da informação em ambientes de redes. Ele nós ajuda bastante na tomada de decisão para definir respostas ativas em algumas situações. Também centraliza a analise de logs de vários equipamentos para futura auditoria.

E importante lembrar que o OSSEC não é um antivírus. Assim deve em um ambiente de redes de computadores deve haver uma política específica para sistemas antivírus implementado nas máquinas clientes.

Refêrencias

http://ossec.github.io/docs/manual/non-technical-overview.html
https://blog.sucuri.net/portugues/2015/12/seguranca-de-servidor-ossec-atualizado-para-dar-suporte-geoip.html
https://dicionariodoaurelio.com/intrusao

Compartilhar

Autor

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Posts Relacionados

23 fev

Você sabe a diferença entre um analista comum e um devops?

No post anterior abordamos 4 passos para ser tornar um profissional de TI destacado. E por último, mas não... read more

07 dez

O que Jhonathan Davi pode nos ensinar sobre o ROADSEC ? o maior evento de hacking, segurança e tecnologia do continente!

O Roadsec é um roadshow que leva um dia inteiro de atividades e conteúdos sobre hacking, segurança da informação... read more

25 jan

IPSEC – IP Security

Para começar a entrar no mundo do IPSec devemos entender o contexto deu-se o desenvolvimento e implementação. Quando deu-se o... read more

31 jan

Profissional Hacker Ético [ Ethical Hacker ]

Hacker Ético, assim como o INMETRO que por meio de mecanismos de avaliação de conformidade de produtos e serviços... read more

07 mar

5 Dicas de como usar o RSync

Quem nunca precisou fazer backups de arquivos e diretórios. Por exemplo arquivos de um compartilhamento, arquivos de configuração e base... read more

21 dez

10 dicas de segurança de dados para tornar seu ambiente seguro!

Este é indiscutivelmente o momento mais inquietante na história. O cenário da TI está mudando rapidamente com os avanços... read more

14 mar

Saiba como a virtualização por container revolucionou a infraestrutura de TI. Parte 2

No post anterior, vimos que a virtualização de servidores se tornou uma necessidade para empresas que mantinham uma quantidade... read more

22 fev

10 dicas das ferramentas de pentesters mais usadas no mercado

O profissional Hacker Ético usa  as mesmas ferramentas utilizadas pelos invasores. Ele precisa conhecer essas ferramentas tanto na visão... read more

07 mar

Saiba como a virtualização por container revolucionou a infraestrutura de TI. Parte 1

A virtualização tradicional passou por algumas mudanças para chegar aonde se encontra hoje. Mas bem no inicio, quando não... read more

30 nov

O que você precisa saber sobre o ransomware

  O QUE É O RANSOMWARE? Segundo a wikipedia.org, “ransomware é um tipo de malware que restringe o acesso ao sistema... read more

Cadastre seu email

Quero Receber Novidades, Ofertas e Vagas de empregos

× Fale agora pelo Whatsapp