Slide 1: Monitoramento e Segurana de Redes com Software Livre

Tiago Bortoletto Vaz

tiagovaz@dcc.ufba.br

PSL-BA

UFBA

XXI ENECOMP - Agosto 2004

Slide 2: Sumrio
y y y y y y y

Consideraes sobre gerncia e monitoramento de redes Gerncia de recursos - Nagios Monitoramento de trfego e recursos - Cacti Caracterizao de trfego - Ntop Anlise de vulnerabilidades - Nessus Integridade de arquivos - AIDE Deteco de rootkits com o chkrootkit e princpios da anlise forense

Slide 3: Consideraes sobre gerncia e monitoramento de redes

y

Alguns cuidados: o Independncia de fornecedor o Utilizao de padres abertos o Baixo custo de implementao o Bons softwares Mantendo uma rede estvel (ou menos instvel): o Gerncia de falhas o Gerncia de desempenho o Configurao centralizada

Slide 4: Gerncia de recursos - Nagios

y

O que ?
o

m software livre de monitoramento de hosts, servios e redes. (www.nagios.org)

Caractersticas o Monitora servios de rede o Monitora recursos de hosts o Define hierarquia da rede o Sistema inteligente de notificaes o Alertas para pagers, email, celular, etc; o Possibilidade de implementao de servidores de monitoramento distribudos e redundantes. o Interface WEB capaz de informar sobre status de redes, hosts, servios, logs, notificaes. o mapas da rede 2D e 3D o Relatrios, integrao com BDs, etc

Slide 5: Gerncia de recursos - Nagios

Slide 6: Gerncia de recursos - Nagios

y

Dicas para instalao: o Sente, relaxe e leia a documentao o Use os arquivos de exemplo (*-sample.cfg) Requisitos: o Plataforma Linux (ou qualquer variante Unix) o Servidor WEB o Biblioteca GD/PNG/JPEG Processo de instalao: o Compilar (ou desempacotar) no Nagios o Instalar plugins o Configurar servidor WEB o Configurar o Nagios

Slide 7: Gerncia de recursos - Nagios

y

Etapa 1: Instalando Nagios o tar vxzf nagios-1.2.tar.gz o adduser nagios o ./configure && make all install install-config o Ou rpm, make install (ports BSD), apt-get, etc Etapa 2: Instalando Plugins o idem passo 1 para nagios-plugins

Praticando agora!

Slide 8: Gerncia de recursos - Nagios

y

rvore de diretrios o ./bin (binrio do programa) o ./etc (arquivos de configurao) o ./sbin (CGIs) o ./share (arquivos HTML e documentao online) o ./logs (arquivos de log) o ./libexec (plugins)

Slide 9: Gerncia de recursos - Nagios

y

Etapa 3: Configurando o Apache

ScriptAlias /nagios/cgi-bin/ /usr/local/nagios/sbin/ <Directory "/usr/local/nagios/sbin/"> AllowOverride AuthConfig Options ExecCGI Order allow,deny Allow from all </Directory> -------------------------------------------------------Alias /nagios/ /usr/local/nagios/share/ <Directory "/usr/local/nagios/share"> Options None AllowOverride AuthConfig Order allow,deny Allow from all </Directory>

Slide 10: Gerncia de recursos - Nagios

y

Etapa 4: Configurando o Nagios o Host definitions o Service definitions o Contact definitions o Host group definitions o Contact group definitions o Time period definitions o Command definitions o Service dependency definitions o Service escalation definitions o Host dependency definitions o Host escalation definitions o Hostgroup escalation definitions

Praticando agora! Desafio:

y y

Com o Nagios devidamente instalado e configurado, monitore os servios HTTP e SSH da mquina do instrutor. Configure o Nagios para monitorar se um host qualquer na internet est no ar. Faa esse host dependente do gateway default da rede e observe como ficou o mapa 2d do Nagios.

Slide 11: Monitoramento de trfego e recursos - Cacti

y

o que ?
o

m frontend completo para o RRDTool, ... tem suporte SNMP para aqueles que usam o MRTG para criao de grficos. (http://www.raxnet.net/products/cacti/)

Caractersticas o Escrito em PHP, utiliza MySQL e RRDTool o Suporte a SNMP o Suporte a scripting o Distribudo sob GPL o Configurao via WEB o Autenticao nativa, permisses especficas

Slide 12: Monitoramento de trfego e recursos - Cacti

y

Pr-requisitos para instalao do Cacti o Apache o PHP4 ou > o MySQL o RRDTool o Net-snmp Instalao fcil o apt-get install mysql-server o apt-get install cacti

Slide 13: Monitoramento de trfego e recursos - Cacti

Praticando agora! Desafio:
y

Crie os grficos para monitorar os seguintes tens da sua mquina local: o Utilizao de memria o Quantidade de processos o Quantidade de usurios logados o Espao em disco utilizado nas parties montadas Crie os grficos de utilizao de banda monitorando a interface eth0 da mquina do instrutor via SNMP.

Slide 14: Caracterizao de trfego - Ntop

y

O que ? o O Ntop um software livre para anlise de trfego. Ele possui um servidor HTTP(s) nativo, e gera online uma srie de grficos e estatsticas de tudo que se passa na rede naquele exato momento. Algumas caractersticas: o Ordenao de trfego o Estatsticas em grficos o RRD o Identifica usurios na rede o Suporte a NetFlow/sFlow o Identifica sub-redes o Servidor HTTPS nativo o WAP o Instalao muito simples

Slide 15: Caracterizao de trfego - Ntop

y

Instalando o Ntop o vai ter que adivinhar ;o)

Praticando agora! Desafio:

y

Instale o Ntop e configure-o para "ouvir" na interface eth0. Abra o navegador e verifique seu funcionamento, identificando: o O host da rede que est gerando maior trfego, e que tipo de trfego ele est gerando. o A distribuio de trfaego dos protocolos TCP, UDP, ICMP e (R)ARP na rede. o A distribuio de broadcast e unicast na rede. o A mdia predominante de tamanho de pacotes na rede. o O sistema operacional predominante na rede. o Um roteador na rede.

Slide 16: Anlise de vulnerabilidades - Nessus

y

O que Nessus? * Um security scanner. Analisa servios e vulnerabilidades e gera relatrios completos Caractersticas: o Arquitetura cliente-servidor o Base de dados de testes de segurana sempre atualizada o Testes locais e remotos

o o o o o y

Escalvel Plugins Reconhecimento de servios Mltiplos servios Maior base de usurios e feedback (maturidade)

Instalando e configurando o Nessus o Praticando agora!

Slide 17: Integridade de arquivos - AIDE

y y y y

O que ? Mas pra que serve isso? Como funciona? Instalando

o

apt-get install aide

Praticando agora!

Slide 18: Deteco de rootkits com o chkrootkit e princpios da anlise forense

y y y

O que so rootkits? LKM rootkits O chkrootkit o O que ? o Pra que serve? o Como funciona? Instalando o chkrootkit o apt-get install chkrootkit

Praticando agora!

Slide 19: Deteco de rootkits com o chkrootkit e princpios da anlise forense

Desafio: Use o chkrootkit pra procurar um rootkit instalado no sistema.
y y y

Encontrou algo? Por que acha que encontrou? No um falso positivo? Por que? O que fazer agora?

Vamos discutir alguns princpios da anlise forense em sala de aula e entender como funciona o rootkit que foi propositalmente instalado em alguns sistemas.