CAPITULO 3
IPS (Intrusion Prevention System - Sistema de Prevenção de Invasão)
Os aplicativos, o MRTG, o RRDTool, o Nagios, o Cacti, o Zenoss, o NAV, o Munin e Zabbix, que são algumas aplicações usadas para monitoramento.
MRTG (Multi Router Traffic Grapher) foi um dos primeiros sistemas de gerenciamento desenvolvido. Por ser uma ferramenta simples e robusta. É um aplicativo útil para analisar o tráfego na rede. É uma ferramenta free e pode ser usada em plataforma Linux ou Windows.
RRDTool (Round Robin Database Tool) é uma ferramenta open source considerada uma evolução do MRTG. Os dados são armazenados em um banco de dados de uma forma muito compacta. Ele fornece gráficos úteis se utilizando das informações armazenadas.
Nagios permite gerenciar e monitorar, com ele é possível fazer o gerenciamento de toda a rede pelo protocolo SNMP e receber alertas que podem ser configurados. Embora tenha sido desenvolvido para redes de grande porte, ele pode também ser usado em redes menores, pois seus alertas de hosts ou queda de serviços são eficientes. Ele também se utiliza do protocolo de gerenciamento SNMP para troca de informações com os dispositivos. Ele disponibiliza também o monitoramento de serviços de rede como POP3,
SMTP, SSH, Telnet, HTTP, além de monitorar os recursos de servidores como processamento, espaço em disco e utilização de memória.
Cacti é um front end para o RRDTool, possui interface web e armazena informações no banco de dados MySql para serem processadas e apresentadas de forma gráfica.
Para executar o Cacti em uma plataforma, os seguintes aplicativos deverão estar instalados para dar suporte a ele.
• Apache (ou outra opção de servidor web)
• PHP (a partir da versão 4)
• Extensões do PHP (php-snmp e php-gd2)
• Banco de dados MySQL
• net-snmp
• RRDTool
ZABBIX oferece a monitoração da rede pelos dados obtidos e sendo apresentados em uma interface web. Ele também oferece alerta que podem ser configurados para enviar mensagens para diversos meio de comunicação assíncrono. Os principais módulos do sistema de monitoramento zabbix são:
• ZABBIX Server: coleta dados para monitoramento e os armazenam em banco de dados (oracle, MySQL e PostgreSQL) de onde são processados e gerados gráficos, painéis de acompanhamento e slide-shows. Ele é o único, dos módulos, que deve ser obrigatoriamente instalado.
• ZABBIX Proxy: coleta dados de uma parte dos equipamentos monitorados.
Considerando o monitoramento distribuído, este módulo é essencial, pois faz a coleta de forma assíncrona em outras redes em que há restrições de acesso como firewall. Além disso, diminui a carga do ZABBIX server.
• ZABBIX Agente: Este módulo é instalado nos hosts para coletar informações sobre os seus recursos como processamento e memória. Há ZABBIX agente para as plataformas Linux e Windows. 10
ZENOSS é outra ferramenta para monitoramento de equipamentos de redes de computadores desenvolvido de forma modular, em camadas. A ideia do desenvolvimento modular teve como iniciativa a possibilidade de inserir novas funcionalidades de forma flexível. Este tipo de gerenciador pode monitorar roteadores, switch e máquinas com a plataforma Linux e Windows. Ele disponibiliza para o administrador interface web e armazena os dados no banco de dados MYSQL.
A camada de usuário (user) faz interface com o usuário, portanto ela aceita a maioria dos navegadores disponíveis fornecendo uma poderosa e robusta forma de monitorar, pois linguagens de programação como JavaScript, Mochi Kit, ExtJS são utilizadas. O administrador, pela interface disponibilizada, pode verificar a situação dos equipamentos de rede, gerar relatórios, verificar e avaliar eventos gerados.
A camada de dados (Data) é responsável por armazenar as informações geradas pelos equipamentos de redes. Segundo Guimarães (2010), o ZENOSS usa três repositórios:
• ZenRRD: para armazenamento de coletas temporárias e para adição de novos coletores;
• ZenModel: funcionando como um modelo de configuração para dispositivos, componentes, grupos e localidades;
• ZenEvents: utilizado para armazenar dados em um banco de dados MySQL.
Na camada de processo são geradas as comunicações entre a coleta e camada de dados. A comunicação é feita pelo RPC (Remote Procedure Call).
A camada Collection é responsável por traduzir as informações passadas pelos equipamentos, por exemplo, pelo protocolo SNMP. Nesta camada, alguns daemon dão suporte a esta tradução das mensagens.
NMAP é uma ferramenta poderosa para ser aplicada em linha de comando.
Ela oferece várias opções para explorar a rede em busca de vulnerabilidade e oferece para monitorar algumas informações. Abaixo, algumas opções e a descrição de cada uma delas.
No geral, todas estas aplicações permitem o monitoramento da rede fornecendo várias informações que são possíveis de serem configuráveis. Para que possam se comunicar com os equipamentos e obter informações deles, o protocolo SNMP é usado.
O Wireshark é uma ferramenta que captura os protocolos fornecendo informações dos campos. Ele organiza a apresentação dos protocolos de acordo com as camadas do TCP/IP
Como pode ser observado na figura acima, as seguintes informações são apresentadas para análise.
• Nº: número da sequência do protocolo capturado. Este campo é sequencial e informa a quantidade de pacotes capturados.
• Time: tempo relativo em que o protocolo foi capturado. Sempre leva em consideração o tempo da captura do protocolo anterior.
• Source: informa a origem do pacote, ou seja, o endereço ou o nome do dispositivo que gerou o pacote.
• Destination: informa o destino para onde este pacote vai.
• Protocol: fornece qual o nome do protocolo.
• Info: apresenta informações prévias do protocolo.
Todas as informações são armazenadas. Esta ferramenta disponibiliza filtros para captura de protocolos, assim é possível direcionar a captura para melhor análise. As principais características desta ferramenta são:
• Os dados são analisados em real-time pela interface cabeada ou de arquivos que já foram capturados.
• Suporta leitura e análise de dados de uma ampla gama de redes como Ethernet,
IEEE 802.11 e PPP.
• Interface gráfica amigável possibilitando navegar pelos protocolos capturados.
• Fornece filtros para organizar e exibir dados.
• Há plugins que possibilita a captura de pacotes novos.
Outra opção para captura de pacotes na rede semelhante ao wireshark, porém sem interface gráfica, chama-se tcpdump.
O tcpdump oferece várias opções para capturar pacotes, elas podem ser usadas para filtrar pacotes.
Honeypots
São armadilhas preparadas com recursos computacionais para permitir ataques feitos na rede, o objetivo é desviar o foco dos equipamentos reais de uma empresa em um possível ataque de Crackers. Possibilitar que estes recursos sejam propositalmente invadidos para que sejam avaliados quais são as formas de ataques usadas pelos hackers é o principal objetivo oferecido por este tipo de redes.
Há duas classificações de honeypots, os de baixa interatividade e os de alta interatividade.
Os de baixa interatividade limitam as ações dos atacantes e coletam poucas informações sobre um ataque, porém são mais simples de se gerenciar e introduzem pequeno risco no ambiente de rede, visto que o atacante não tem acesso total ao sistema. Eles podem emular serviços de rede como FTP, HTTP, entre outros.
Os de alta interatividade são capazes de executar as versões reais dos serviços de rede e permitem que o atacante tenha acesso total à máquina comprometida. Esta categoria de honeypots, geralmente empregada em honeynets...
lfmontoni