Escolar Documentos
Profissional Documentos
Cultura Documentos
PSL-BA
UFBA
Slide 2: Sumrio
y y y y y y y
Consideraes sobre gerncia e monitoramento de redes Gerncia de recursos - Nagios Monitoramento de trfego e recursos - Cacti Caracterizao de trfego - Ntop Anlise de vulnerabilidades - Nessus Integridade de arquivos - AIDE Deteco de rootkits com o chkrootkit e princpios da anlise forense
Alguns cuidados: o Independncia de fornecedor o Utilizao de padres abertos o Baixo custo de implementao o Bons softwares Mantendo uma rede estvel (ou menos instvel): o Gerncia de falhas o Gerncia de desempenho o Configurao centralizada
O que ?
o
Caractersticas o Monitora servios de rede o Monitora recursos de hosts o Define hierarquia da rede o Sistema inteligente de notificaes o Alertas para pagers, email, celular, etc; o Possibilidade de implementao de servidores de monitoramento distribudos e redundantes. o Interface WEB capaz de informar sobre status de redes, hosts, servios, logs, notificaes. o mapas da rede 2D e 3D o Relatrios, integrao com BDs, etc
Dicas para instalao: o Sente, relaxe e leia a documentao o Use os arquivos de exemplo (*-sample.cfg) Requisitos: o Plataforma Linux (ou qualquer variante Unix) o Servidor WEB o Biblioteca GD/PNG/JPEG Processo de instalao: o Compilar (ou desempacotar) no Nagios o Instalar plugins o Configurar servidor WEB o Configurar o Nagios
Etapa 1: Instalando Nagios o tar vxzf nagios-1.2.tar.gz o adduser nagios o ./configure && make all install install-config o Ou rpm, make install (ports BSD), apt-get, etc Etapa 2: Instalando Plugins o idem passo 1 para nagios-plugins
Praticando agora!
rvore de diretrios o ./bin (binrio do programa) o ./etc (arquivos de configurao) o ./sbin (CGIs) o ./share (arquivos HTML e documentao online) o ./logs (arquivos de log) o ./libexec (plugins)
ScriptAlias /nagios/cgi-bin/ /usr/local/nagios/sbin/ <Directory "/usr/local/nagios/sbin/"> AllowOverride AuthConfig Options ExecCGI Order allow,deny Allow from all </Directory> -------------------------------------------------------Alias /nagios/ /usr/local/nagios/share/ <Directory "/usr/local/nagios/share"> Options None AllowOverride AuthConfig Order allow,deny Allow from all </Directory>
Etapa 4: Configurando o Nagios o Host definitions o Service definitions o Contact definitions o Host group definitions o Contact group definitions o Time period definitions o Command definitions o Service dependency definitions o Service escalation definitions o Host dependency definitions o Host escalation definitions o Hostgroup escalation definitions
y y
Com o Nagios devidamente instalado e configurado, monitore os servios HTTP e SSH da mquina do instrutor. Configure o Nagios para monitorar se um host qualquer na internet est no ar. Faa esse host dependente do gateway default da rede e observe como ficou o mapa 2d do Nagios.
o que ?
o
m frontend completo para o RRDTool, ... tem suporte SNMP para aqueles que usam o MRTG para criao de grficos. (http://www.raxnet.net/products/cacti/)
Caractersticas o Escrito em PHP, utiliza MySQL e RRDTool o Suporte a SNMP o Suporte a scripting o Distribudo sob GPL o Configurao via WEB o Autenticao nativa, permisses especficas
Pr-requisitos para instalao do Cacti o Apache o PHP4 ou > o MySQL o RRDTool o Net-snmp Instalao fcil o apt-get install mysql-server o apt-get install cacti
Crie os grficos para monitorar os seguintes tens da sua mquina local: o Utilizao de memria o Quantidade de processos o Quantidade de usurios logados o Espao em disco utilizado nas parties montadas Crie os grficos de utilizao de banda monitorando a interface eth0 da mquina do instrutor via SNMP.
O que ? o O Ntop um software livre para anlise de trfego. Ele possui um servidor HTTP(s) nativo, e gera online uma srie de grficos e estatsticas de tudo que se passa na rede naquele exato momento. Algumas caractersticas: o Ordenao de trfego o Estatsticas em grficos o RRD o Identifica usurios na rede o Suporte a NetFlow/sFlow o Identifica sub-redes o Servidor HTTPS nativo o WAP o Instalao muito simples
Instale o Ntop e configure-o para "ouvir" na interface eth0. Abra o navegador e verifique seu funcionamento, identificando: o O host da rede que est gerando maior trfego, e que tipo de trfego ele est gerando. o A distribuio de trfaego dos protocolos TCP, UDP, ICMP e (R)ARP na rede. o A distribuio de broadcast e unicast na rede. o A mdia predominante de tamanho de pacotes na rede. o O sistema operacional predominante na rede. o Um roteador na rede.
O que Nessus? * Um security scanner. Analisa servios e vulnerabilidades e gera relatrios completos Caractersticas: o Arquitetura cliente-servidor o Base de dados de testes de segurana sempre atualizada o Testes locais e remotos
o o o o o y
Escalvel Plugins Reconhecimento de servios Mltiplos servios Maior base de usurios e feedback (maturidade)
Praticando agora!
O que so rootkits? LKM rootkits O chkrootkit o O que ? o Pra que serve? o Como funciona? Instalando o chkrootkit o apt-get install chkrootkit
Praticando agora!
Encontrou algo? Por que acha que encontrou? No um falso positivo? Por que? O que fazer agora?
Vamos discutir alguns princpios da anlise forense em sala de aula e entender como funciona o rootkit que foi propositalmente instalado em alguns sistemas.