INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA

DA PARAÍBA

Coordenação do Curso Superior de Tecnologia em Redes de Computadores

GERENCIAMENTO CENTRALIZADO DE EVENTOS DE

SEGURANÇA DA INFORMAÇÃO

Diego Cananéa Nóbrega de Azevedo

João Pessoa – PB

Abril/2013

ii

Instituto Federal de Educação, Ciência e Tecnologia da Paraíba

Unidade Acadêmica de Informação e Comunicação

Coordenação do CST em Redes de Computadores

GERENCIAMENTO CENTRALIZADO DE EVENTOS DE SEGURANÇA DA

INFORMAÇÃO

Diego Cananéa Nóbrega de Azevedo

Relatório de Estágio Supervisionado

apresentado à disciplina Estágio

Supervisionado da Coordenação do Curso

Superior em Redes de Computadores do

Instituto Federal de Educação, Ciência e

Tecnologia da Paraíba como requisito

parcial para obtenção do grau de

Tecnólogo em Redes de Computadores.

.

Orientador: Dênio Mariz Timóteo de Sousa

Supervisor: Rodrigo Leal de Sousa Melo

Coordenador do Curso de Redes de Computadores: Thiago Gouveia da Silva

Empresa: Tribunal de Justiça da Paraíba

Período: 03/01/2012 a 01/06/2012

João Pessoa

2013

iii

APROVAÇÃO:

_________________________________________

Rodrigo Leal de Sousa Melo

Orientador na Instituição concedente

_________________________________________

Thiago Gouveia da Silva

Coordenador do CST de Redes de Computadores

_________________________________________

Dênio Mariz Timóteo de Sousa

Professor Orientador

_________________________________________

Jaildo Tavares Pequeno

Professor da Disciplina

_________________________________________

Diego Cananéa Nóbrega de Azevedo

Estagiário

iv

Dedico este trabalho primeiramente a Deus, pela força me concedida para conclusão do

mesmo, e a minha esposa e familiares pelas horas de paciência.

v

Um sistema de gerenciamento de eventos de segurança da

informação é um conjunto complexo de tecnologias projetadas

para fornecer a visão e clareza sobre o sistema de TI.

(MILLER et al., 2010, p. XXV)

vi

RESUMO

Cada vez mais o Poder Judiciário brasileiro faz uso do processo virtual eletrônico.

Atualmente vários Tribunais de diferentes esferas estão virtualizando seus processos, alguns

inclusive já contam apenas com processos virtuais. O Tribunal de Justiça da Paraíba é um dos

pioneiros nessa iniciativa, tendo implantado anos atrás os sistemas dos Juizados Especiais (e-

JUS) e das Varas das Execuções Penais (VEP), e atualmente está em fase de expansão do

sistema judicial eletrônico PJE. Com essa crescente demanda, é natural que se tenha mais

atenção no sentido de prover uma maior segurança para a infraestrutura que mantém tais

sistemas. Foi pensando nisso que ao longo dos anos a Diretoria de Tecnologia investiu em

equipamentos e sistemas específicos para tal finalidade.

O presente estudo vem demonstrar a utilização de um sistema de gerenciamento de

eventos e informações de segurança chamado OSSIM – Open Source Security and

Information Management – no intuito de centralizar as informações geradas por tais

ferramentas a fim de auxiliar na gerência dos incidentes e otimizar o tempo da equipe de

segurança.

Palavras-chave: OSSIM, SIEM, Segurança da informação, Monitoramento, Redes, IDS.

vii

LISTA DE FIGURAS

Figura 1 – Incidentes Reportados ao CERT.BR – Total de 109.083................. 11

Figura 2 – Funcionamento básico de um SIEM (Miller, et al, 2010, p. 78) ...... 13

Figura 3 Estrutura básica de um SIEM em camadas (Miller et al, 2010, p. 64) 13

Figura 4 – Quadrante de Gartner - Ferramentas de SIEM ................................. 14

Figura 5 – Algumas das ferramentas integradas ao OSSIM .............................. 15

Figura 6 – Arquitetura do OSSIM ..................................................................... 16

Figura 7 – Fluxo do funcionamento do OSSIM ................................................ 18

Figura 8 – Funcionamento do OSSIM por Miller et al (2010, p. 142) .............. 19

Figura 9 – Ambiente de virtualização................................................................ 26

Figura 10 – Laboratório de testes ...................................................................... 27

Figura 11 – Diagrama de implantação do OSSIM ............................................ 29

Figura 12 – Instalação do OSSIM - Seleção de perfil ....................................... 31

Figura 13 – Instalação do OSSIM - Seleção de interface .................................. 32

Figura 14 – Instalação do OSSIM - Seleção dos plugins monitores ................. 34

Figura 15 – Tela inicial do OSSIM ................................................................... 35

Figura 16 – Relação de Ativos .......................................................................... 36

Figura 17 – Estatísticas sobre vulnerabilidades ................................................. 38

Figura 18 – Ticket de vulnerabilidade existente em ftp.tjpb.teste ..................... 39

Figura 19 – Configuração OPSEC no firewall Check Point ............................. 44

Figura 20 – Eventos do firewall da Check Point ............................................... 45

Figura 21 – Gráfico de eventos por sensor com o plugin pf .............................. 47

Figura 22 – Detalhes do evento do pfSense ...................................................... 48

Figura 23 – Detalhes da vulnerabilidade do vsftp.............................................. 49

Figura 24 – Detecção do ataque ao servidor ftp.tjpb.teste................................. 49

Figura 25 – Detalhes do ataque ao ftp.tjpb.teste................................................ 50

Figura 26 – Teste do OSSIM com o W3AF ...................................................... 51

Figura 27 – Detecção dos testes do OpenVas contra o OSSIM ........................ 52

SUMÁRIO

1 INTRODUÇÃO ....................................................................................................................... 9

1.1 OBJETIVO .....................................................................................................................................9 1.2 TRIBUNAL DE JUSTIÇA DA PARAÍBA ........................................................................................ 10 1.3 DESCRIÇÃO GERAL DAS ATIVIDADES ....................................................................................... 10 1.4 ORGANIZAÇÃO DO RELATÓRIO ................................................................................................ 10

2 EMBASAMENTO TEÓRICO ................................................................................................... 11

2.1 SEGURANÇA DA INFORMAÇÃO ................................................................................................. 11 2.2 SIEM ........................................................................................................................................ 12 2.3 OSSIM ..................................................................................................................................... 15

2.3.1 Arquitetura .......................................................................................................................... 16 2.3.2 Funcionamento .................................................................................................................... 18 2.3.3 Sensores ............................................................................................................................... 21

2.3.3.1 IDS baseado em rede .............................................................................................. 22 2.3.3.2 IDS baseado em host .............................................................................................. 22 2.3.3.3 Scanner de Vulnerabilidades .................................................................................. 23 2.3.3.4 Sistema de inventário ............................................................................................. 23

3 DESCRIÇÃO DAS ATIVIDADES .............................................................................................. 25

3.1 MONTAGEM DO LABORATÓRIO ................................................................................................ 25 3.1.1 Firewall ............................................................................................................................... 27 3.1.2 DMZ ..................................................................................................................................... 28

3.2 IMPLANTAÇÃO DO OSSIM ....................................................................................................... 28 3.2.1 Planejamento ....................................................................................................................... 28 3.2.2 Hardware ............................................................................................................................. 30 3.2.3 Instalação ............................................................................................................................ 30 3.2.4 Configuração ....................................................................................................................... 34 3.2.5 Configuração dos ativos ...................................................................................................... 35 3.2.6 Verificação das vulnerabilidades ........................................................................................ 37 3.2.7 Sistemas de detecção de intrusão ........................................................................................ 39

3.2.7.1 HIDS ........................................................................................................................... 39 3.2.7.2 NIDS ........................................................................................................................... 40

3.2.8 Configurações gerais ........................................................................................................... 41 3.2.8.1 System Configuration .................................................................................................. 41 3.2.8.2 Main ............................................................................................................................ 41 3.2.8.3 Users ........................................................................................................................... 42 3.2.8.4 AlienValt Components ................................................................................................. 42 3.2.8.5 Collection .................................................................................................................... 42 3.2.8.6 Backup ......................................................................................................................... 42

3.3 INTEGRAÇÃO ............................................................................................................................ 43 3.3.1 Firewall Check Point ........................................................................................................... 43 3.3.2 Firewall pfSense .................................................................................................................. 45

3.4 TESTES ...................................................................................................................................... 48 3.4.1 Ataque à máquina Metasploitable ....................................................................................... 48 3.4.2 Teste de vulnerabilidade do OSSIM .................................................................................... 50

4 CONSIDERAÇÕES FINAIS ..................................................................................................... 53

5 REFERÊNCIAS ...................................................................................................................... 55

9

1 Introdução

A informação sempre foi um elemento valioso no nosso mundo e desde os tempos

antigos foram criados diversos mecanismos para tentar protegê-la como, por exemplo, os

casos da Cifra de César e do Enigma G, métodos de criptografia utilizados pelo Império

Romano e pelo Exército Alemão respectivamente.

Com o advento da Internet, ficamos cada vez mais globalizados e a informação sofre

uma superexposição, podendo ser acessada por qualquer pessoa e de qualquer parte do

mundo. Preocupados em proteger duas informações – para muitos seu bem mais importante –

empresas, órgãos governamentais, pesquisadores, entre outros, dispõem de vários métodos,

técnicas, ferramentas e profissionais para resguardar seus ativos e manter distante possíveis

invasores.

No caso das ferramentas e tecnologias disponíveis, o mercado oferece uma imensa

gama de proteções que vão desde um firewall dedicado a um servidor de antivírus, passando

por sistemas de detecção de intrusos, proxy, entre outros. Com isso as empresas vão

adquirindo soluções e incorporando-as à sua infraestrutura, porém cada uma delas tem sua

própria interface de gerenciamento e apresentação dos dados e relatórios, as quais o analista

de segurança deve acessar para saber o que está acontecendo em sua rede, o que despende

tempo e não oferece uma visão global da situação.

Para solucionar esse problema, surgiram na última década os sistemas de

Gerenciamento de Eventos e Informações de Segurança - SIEM – Security Information and

Event Management – que tem por objetivo agregar todas as informações de segurança geradas

por uma infraestrutura de rede de computadores em uma única interface administrativa,

garantindo ao analista uma visão geral e otimizando seu trabalho. Com este tipo de ferramenta

também é possível a correlação dos eventos a fim de detectar problemas e diminuir a

quantidade de falso-positivos e falso-negativos.

1.1 Objetivo

O objetivo deste trabalho é implantar o SIEM OSSIM – do acrônimo Open Source

Security Information Management – em um laboratório de testes para que o mesmo seja

analisado e testado, visando prover a Gerência de Suporte do Tribunal de Justiça da Paraíba

de informações a respeito de suas vantagens e desvantagens, bem como de suas respostas

frente aos testes.

10

1.2 Tribunal de Justiça da Paraíba

O Tribunal de Justiça da Paraíba é um órgão colegiado do Poder Judiciário Estadual

formado por dezenove desembargadores e que atua em regime de segunda instância. Dele

também faz parte toda estrutura administrativa do Poder e entre suas diretorias está a DITEC

– Diretoria de Tecnologia da Informação, responsável por toda área de tecnologia da

informação do Tribunal e de seus Fóruns de primeira instância distribuídos em 78 cidades.

A DITEC é formada por quatro gerências: Sistemas, Desenvolvimento de TI,

Atendimento e Suporte, sendo esta última responsável por toda parte de infraestrutura de TI,

incluindo serviços e ativos de rede, manutenção, suporte nível dois, banco de dados e

servidores de aplicações. O Tribunal possui uma estrutura de TI grande e complexa que

envolve o uso de mais de três mil estações de trabalho e centenas de ativos de rede e

servidores.

Devido ao aumento do uso do processo virtual, é necessário uma maior atenção quanto

a questão de segurança e por isso o Tribunal conta com várias soluções como antivírus,

firewall, proxy, sistemas de detecção de intrusos, políticas e normas, entre outros. Logo, com

o aumento desta demanda, o monitoramento descentralizado dessas ferramentas acaba

consumindo muito tempo da equipe, a qual muitas vezes não consegue verificar todos os

eventos gerados.

1.3 Descrição geral das atividades

Para este estudo foram realizadas as seguintes atividades:

Montagem de um laboratório de testes com estrutura de rede completa.

Implantação do sistema OSSIM.

Integração com outras ferramentas de segurança.

Realização de testes.

1.4 Organização do relatório

Este trabalho está dividido em quatro partes, sendo a primeira uma breve introdução, a

segunda o embasamento teórico, a terceira a descrição das atividades e por fim a conclusão

com as considerações gerais.

11

2 Embasamento Teórico

2.1 Segurança da Informação

Como já mencionado anteriormente, a informação é um bem muito valioso e “como

conhecimento é o principal capital das organizações, protegê-lo significa proteger o seu

próprio negócio. Assim a segurança passa a fazer parte do processo de negócios das

organizações” (NAKAMURA; GEUS, 2007, p. 50). Muitas empresas têm seus ativos e

informações expostas às mais diversas ameaças, as quais podem causar grandes prejuízos caso

venham a ser exploradas. Hoje em dia, várias delas estão investindo em segurança da

informação, visando conhecer esses riscos e assim reduzí-los.

Segundo o dicionário Aurélio, a informação é um conjunto de dados acerca de alguém

ou de algo e a NBR 27002 da ABNT – Associação Brasileira de Normas Técnicas, norma que

rege a implantação de um sistema de gerenciamento da segurança da informação, afirma que

“segurança da informação é a proteção da informação de vários tipos de ameaças para garantir

a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre

investimentos e as oportunidades de negócio”. Sendo assim, proteger a informação é proteger

o negócio como um todo.

Dados do CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de

Segurança no Brasil) mostram que no último trimestre de 2012 foram reportados 2.047 casos

de invasões bem sucedidas, ou seja, que resultaram em acesso não autorizado a um

computador ou rede.

Figura 1 – Incidentes Reportados ao CERT.BR – Total de 109.083

Em tempos de processo virtual eletrônico, como garantir a segurança dos documentos?

Como identificar que um servidor está sofrendo um ataque de negação de serviço distribuído

(DDoS)? Como saber se uma máquina foi infectada com um vírus? Como prevenir?

12

Respectivamente um sistema de detecção de intrusos, um antivírus e um scanner de

vulnerabilidades podem responder essas perguntas, porém de maneira isolada. Ao se agregar

os dados obtidos por essas ferramentas temos então um poderoso banco de dados com

informações que se pode mensurar, correlacionar e gerenciar.

2.2 SIEM

Em uma definição superficial, podemos dizer que um sistema de Gerenciamento de

Eventos e Informações de Segurança – Security Information and Event Management – é um

“conjunto complexo de tecnologias projetadas para fornecer a visão e clareza sobre o sistema

de TI da empresa como um todo, beneficiando os analistas de segurança e administradores de

TI” (MILLER et a., 2010, p. XXV). É um sistema concebido para centralizar e correlacionar

todas as informações e eventos gerados em uma infraestrutura de TI. Swift (2006, p 04) cita

suas principais funções:

Consolidação de logs – Serviço que armazena de forma centralizada eventos de

sistemas e equipamentos.

Correlação de ameaças – Utilização de inteligência artificial para analisar e

combinar vários tipos de eventos e assim aumentar a capacidade de detecção de

ataques e agressores.

Gerenciamento de incidentes – O que o sistema deve fazer quando detectar uma

ameaça. Esta ação pode ser, por exemplo, uma notificação por email ou uma

resposta automática com a execução de scripts de instrumentação.

Relatórios – Um SIEM pode emitir relatórios de eficiência/eficácia operacional,

forenses ou até mesmo de conformidade com normas como PCI-DSS e ISO

27001.

Isso nos mostra que um profissional de segurança pode utilizar um sistema deste tipo

para monitorar, identificar, documentar e responder às ameaças de segurança. Porém, por se

tratar de uma poderosa ferramenta, ela depende um bom conhecimento da infraestrutura e

integração com diversos dispositivos de segurança, afinal sua principal função é colher os

dados destes e então normalizar, correlacionar e apresentar de maneira eficiente.

13

Figura 2 – Funcionamento básico de um SIEM (Miller, et al, 2010, p. 78)

Ter todos esses dados organizados é muito bom, pois podemos a partir daí determinar,

por exemplo, na política de segurança quais tráfegos devem ser bloqueados no firewall, e

também podemos ter a certeza de que nossas normas estão sendo cumpridas.

Uma função importante de frisar é a correlação dos eventos e informações, como diz

Miller et al (2010, p. 64):

No entanto, para obter mais valor a partir dos eventos e informações que

você coletou, será necessário relacioná-los uns aos outros: a correlacioná-los.

Por exemplo, uma mensagem do syslog de um firewall pode por si só não

significar nada, mas em combinação com outras mensagens de eventos de

um roteador, um servidor de banco de dados, e um sensor de detecção de

intrusão, pode indicar um ataque contra um sistema vulnerável.

Logo, correlação de eventos é o cruzamento que um SIEM faz de todas as informações

disponibilizadas por seus sensores, com o objetivo de identificar uma ameaça que pode passar

despercebida caso seja analisada apenas uma fonte de dados. A figura a seguir mostra uma

estrutura básica de um SIEM em camadas:

Figura 3 Estrutura básica de um SIEM em camadas (Miller et al, 2010, p. 64)

Camada de Eventos → É onde são coletados os logs e mensagens a partir das

outras ferramentas.

14

Camada de Normalização → Aqui é onde toda a informação coletada é convertida

para uma sintaxe comum.

Camada de Correlação → Nesta camada é onde os eventos são relacionados uns

aos outros para encontrar possíveis ameaças.

Relatórios → É onde são criados os relatórios de saídas e/ou ações são tomadas.

A correlação traz inúmeras vantagens para a otimização do trabalho, pois reduz

consideravelmente o número de falso-positivos, falso-negativos e também ajuda na

identificação de ataques que não são conhecidos.

No mercado existem diversos produtos de SIEM, muitos inclusive de gigantes da

indústria de TI e bem caros de serem adquiridos. Uma figura do “Quadrante Mágico de

Gartner” elaborado pela empresa de consultoria Gartner Group, nos apresenta as empresas

que possuem este tipo de produto:

No gráfico podemos observar que os lideres do segmento são os produtos ArcSight da

HP, Q1 Labs da IBM e NitroSecurity da McAfee. Como já mencionado, os preços desse tipo

de ferramenta são elevados, chegando ficar em torno de U$$ 50.000,00 no caso do ArcSight.

Figura 4 – Quadrante de Gartner - Ferramentas de SIEM

15

2.3 OSSIM

OSSIM é o acrônimo para Open Source Security Information Management e como o

próprio nome diz é um sistema para gerenciamento de informações de segurança de código

aberto. É um SIEM livre de custos distribuído na forma de sistema operacional completo

baseado em Linux Debian sobre licença GPLv2 e que pode ser baixado no site da Alien Vault,

empresa mantenedora do sistema.

A solução existe há oito anos e de acordo com a página oficial do projeto (Alien Vault,

2012), o objetivo do OSSIM é fornecer uma compilação abrangente de ferramentas que

trabalham juntas para fornecer uma visão detalhada sobre cada aspecto de suas redes, hosts,

dispositivos de acesso físico, servidores etc. Para realizar tal demanda ele já vem com um

arsenal embutido de ferramentas de código aberto bastante conhecidas como Snort, OSSEC,

Nagios, entre tantos outros, podendo monitorar praticamente tudo em uma infraestrutura de

rede.

Figura 5 – Algumas das ferramentas integradas ao OSSIM

Ainda de acordo com a página, ele também possui um forte mecanismo de correlação,

interfaces de visualização de alto nível, elaboração de relatórios e ferramentas de

gerenciamento de incidentes, tudo com base em um conjunto definido de ativos, como hosts,

redes, grupos e serviços.

Na página da AlienVault podemos observar a robustez do OSSIM em seus casos de

uso, dentre os quais podemos citar a Telefonica, terceira maior empresa de telecomunicações

do mundo e que mantém hoje mais de 250 sensores do OSSIM monitorando sua infra-

16

estrutura. Outro caso interessante é o da Marquette University, onde o sistema é utilizado para

monitorar uma rede de 10Gbps por onde passam terabytes de informações de milhares de

alunos.

2.3.1 Arquitetura

Sua arquitetura é dividida em cinco componentes (LORENZO, 2012, p. 3), conforme a

figura a seguir.

Figura 6 – Arquitetura do OSSIM. Adaptado de Lorenzo (2012)

17

Detectores → Na implantação do OSSIM, qualquer aplicação ou equipamento que

gere eventos na rede monitorada será considerado um detector, neste caso,

considerados detectores externos. Além disso, ainda existem os detectores internos,

ou seja, as ferramentas já integradas e que vem com o ele.

Coletores → Os coletores reúnem toda a informação recebida pelos detectores,

depois eles a classificam e normalizam para então enviar ao SIEM e ao Logger. No

caso dos detectores internos, eles já são totalmente integrados e para os externos

existem plugins para realizar tal tarefa. Atualmente existem 2.395 (Data Source

Plugin, 2012).

SIEM → É a parte mais importante do sistema, pois provê inteligência e

capacidade de tratar os dados com:

o Avaliação de risco.

o Correlação.

o Métricas de risco.

o Varreduras de vulnerabilidades.

o Monitoramento em tempo real.

Usa banco de dados SQL para armazenar as informações normalizadas, garantindo

excelente capacidade de análise e exploração dos dados.

Logger → Componente habilitado apenas na versão comercial – AlienVault

Professional SIEM – tem a função de armazenar em um lugar seguro os eventos

em estado bruto. Esses eventos são assinados digitalmente para admissibilidade

como prova em um tribunal de direito. É uma função importante, mas que não

prejudica o funcionamento da versão livre.

Interface Web → Aqui é onde podem ser acessadas todas as informações e eventos

gerados, bem como acesso aos parâmetros de configuração. As seguintes tarefas

podem ser executadas utilizando a interface:

o Mudança das configurações.

o Acesso às dashboards (painéis) e métricas.

o Gerenciamento de usuários.

o Informações em tempo real.

o Geração de relatórios.

o Sistema de chamados (tickets).

o Gerenciamento de vulnerabilidades.

18

o Gerenciamento de fluxos de rede.

o Configuração de repostas automáticas.

2.3.2 Funcionamento

O SIEM OSSIM parte do princípio que aplicações e dispositivos geram eventos de

segurança, esses eventos são recolhidos e normalizados pelos Coletores para então serem

correlacionados e armazenados pelo SIEM. Ao fim do processo os dados são apresentados na

interface web de gerenciamento. Podemos apresentar esse processo no fluxograma abaixo

retirado do Installation Guide (LORENZO, 2012):

Figura 7 – Fluxo do funcionamento do OSSIM

Miller et al (2010, p. 142) descreve mais detalhadamente o funcionamento de cada

parte do OSSIM, como podemos observar figura e nos tópicos a seguir:

19

Figura 8 – Funcionamento do OSSIM por Miller et al (2010, p. 142)

Detector (Detectores) → Qualquer programa capaz de monitorar a rede, arquivos

ou logs a procura de padrões de ataques. Podem ser de dois tipos:

o Baseado em assinaturas → Utilizam assinaturas (padrões) de ataques já

conhecidos para alertar caso alguma atividade se encaixe em tal regra.

o Baseado em anomalias → São sistemas capazes de aprender padrões de

comportamentos e alertar sobre desvios e anomalias. Essenciais para

detectar ataques desconhecidos.

Monitors (Monitores) → São usados para prover uma perspectiva sobre o tráfego

da rede, permitindo visualizar rapidamente qualquer mudança. Existem três tipos:

o Monitor de rede → Fornece informações sobre o uso da rede, estatísticas

sobre uso de serviços e monitoramento em tempo real de sessões.

o Monitor de disponibilidade → Monitora a conectividade de um dispositivo,

é usado para detectar ataques de negação de serviço (DoS e DDoS) e

interrupções na rede.

o Monitoramento personalizado → O administrador pode criar um

monitoramento personalizado para um dispositivo.

Scan (Varreduras) → Varreduras de vulnerabilidades são um processo importante

para a correlação. Aqui são simulados ataques contra aplicações e dispositivos para

determinar se os mesmo estão vulneráveis.

20

Inventory (Inventário) → Outro ponto importante, pois após ter a rede

inventariada, podemos ter uma visão de todo o parque monitorado. Também é

possível descartar eventos baseado nos recursos utilizados, por exemplo, um

ataque para sistemas Windows direcionado a um host com sistema Linux poderá

ser ignorado.

Collectors (Coletores) → Seu objetivo é capturar e normalizar as mais diferentes

informações de segurança dos dispositivos e repassá-los ao servidor para

processamento. Existem duas maneiras de atuar:

o Push → Neste modo o eventos são enviados pelos dispositivos em formato

nativo do mesmo e normalmente se usa SNMP ou SYSLOG.

o Pull → Aqui se faz a utilização de agentes, que são instalados nos

dispositivos e ficam encarregados de enviar as informações ao servidor.

o Priorização → Quando chegam ao servidor, o eventos recebem uma

classificação de prioridade que varia de 0 a 5 no padrão da Alien Vault.

Esses valores podem ser ajustados pelo administrador.

Risk Assessment (Avaliação de riscos) → É o processo de medir o risco e tentar

determinar o que é importante e o que não é. Funciona como um assessor para o

processo de tomada de decisão. O SIEM tem uma visão geral sobre os ativos, as

ameaças e o tráfego de rede, logo ele pode atribuir valores de risco em tempo real

para um evento, podendo então definir se este provavelmente é um ataque ou um

falso-positivo, por exemplo. O OSSIM calcula esse índice para cada evento e se

baseia em três parâmetros:

o Valor do ativo envolvido no evento (0 a 5) – Quanto custa se

comprometido?

o Priorização, ameaça representada pelo evento (0 a 5) – Quanto dano pode

ser feito para o bem?

o Probabilidade de que o evento ocorrerá (0 a 10).

O cálculo do risco é feito baseado na seguinte equação:

Risco = (Valor do Ativo * Priorização * `Probabilidade) / 25

Correlate (Correlação) → É um dos aspectos mais importante do OSSIM e de

qualquer SIEM. Sua função é reduzir falso-positivos e evitar falso-negativos, além

de detectar novos ataques. Aqui são utilizadas todas as informações disponíveis

21

para criar um contexto de ataques. Para isto são utilizadas cinco variáveis: alertas,

vulnerabilidades, inventário, anomalias e a rede, podendo ser executadas três tipos

de correlação:

o Correlação lógica → Se dá pelo conjunto de regras pré-definidas e

personalizadas, depois uma árvore de condições é construída com com base

nelas, assim conforme um evento é testado a sua prioridade vai

aumentando a medida que as condições são satisfeitas.

o Correlação de inventário → É utilizada para comparar as características de

um ativo em relação a uma ameaça específica.

o Correlação cruzada → Faz a relação cruzada entre os dados de IDS e de

vulnerabilidades, o que eleva a prioridade de um ativo se ele é vulnerável a

um exploit ou não.

Respond (Respostas) → É a capacidade que o OSSIM tem para reagir

automaticamente em relação a uma ameaça. Essa resposta pode ser desde o envio

de um email até um ajuste de um firewall ou switch de rede.

Manage (Gerenciamento) → O OSSIM possui um sistema de tickets que são

abertos no caso de uma ameaça ser validada como real, para que assim o incidente

seja acompanhado até a sua resolução. Cada ticket possui informações sobre o

proprietário, os eventos contidos, o status e o histórico do incidente.

Report (Relatórios) → Mecanismo robusto para a geração de relatórios para

análise ou de gestão, que podem ser modelos já prontos ou personalizados.

Measure (Métricas) → Fornecem uma apresentação dos dados de fácil

visualização e entendimento. O OSSIM já tem vários por padrão como painéis

Executivos e de Conformidade, mas também é possível criar novos personalizados.

2.3.3 Sensores

O SIEM OSSIM trata cada detector como sendo um sensor e como já mencionado

anteriormente, eles são espalhados pela rede visando o monitoramento de vários aspectos da

mesma. Um dos principais atrativos do OSSIM é que ele já possui uma gama de mais de trinta

ferramentas de segurança, bastante conhecidas e todas livres, que são capazes de monitorar

praticamente tudo em uma rede. Para o presente projeto estaremos utilizando alguns deles.

22

Utilizamos dois sistemas de detecção de intrusos (Intrusion Detection System – IDS),

que “são mecanismos que visam identificar padrões previamente conhecidos em arquivos,

diretórios ou tráfego de rede, analisam sequências de eventos previamente conhecidos ou não,

registram e podem tomar medidas defensivas e contramedidas” (RUFINO 2002, p. 211). Seu

funcionamento se assemelha ao de uma câmera de segurança ou um alarme, monitorando a

rede ou um host e alertando os administradores acerca de possíveis problemas. Estão em uso

também um scanner de vulnerabilidades e um sistema de inventário de hardware e software,

além de outros secundários habilitados por padrão pelo OSSIM.

2.3.3.1 IDS baseado em rede

Sistema de detecção de intrusos baseado em rede (Network Intrusion Detection System

– NIDS) é um sistema que “monitora o tráfego do seguimento da rede, geralmente com a

interface de rede atuando em modo promíscuo. A detecção é realizada com a captura e análise

dos cabeçalhos e conteúdos dos pacotes, que são comparados a padrões ou assinaturas

conhecidos” (NAKAMURA; GEUS, 2007, p. 272). É eficiente contra vários tipos de ataques,

como port scanning, IP spoofing, buffer overflow.

Algumas de suas vantagens é o monitoramento de atividades suspeitas em portas

conhecidas liberadas pelo firewall e de múltiplas plataformas, bem como a dificuldade para

um atacante apagar seus vestígios. Em termos de desvantagens podemos citar a incapacidade

de monitorar tráfego criptografado e a dificuldade de utilização em redes segmentadas. Neste

caso utilizamos o Snort1, que já vem incluso no SIEM e é um dos mais utilizados do mundo.

Ele atuará em modo passivo, analisando o tráfego da rede que será espelhado pelos switchs

para o servidor OSSIM. Se fosse trabalhar em modo ativo, ele deveria ser implantado em

modo inline com todo tráfego passando diretamente pelo mesmo.

2.3.3.2 IDS baseado em host

Segundo Nakamura e Geus (2007), esse tipo de IDS faz o monitoramento do sistema

operacional, com base em informações de arquivos de logs ou de agentes de auditoria.

Também é capaz de realizar, por meio de checksums, a checagem da integridade dos arquivos

1 http://www.snort.org/

23

do sistema. Entre os ataques possíveis de serem detectados por esse sistema, podemos citar os

port scanning, rootkits e backdoors.

Algumas das vantagens do uso desse tipo de IDS são que ele pode detectar ataques

que utilizem criptografia, pois o sistema operacional decifra os pacotes antes, e também é

independente da topologia de rede. Dentre as desvantagens, podemos citar a dificuldade no

gerenciamento e configuração, a dependência do sistema operacional utilizado e que caso o

agente seja corrompido em um ataque, os dados podem ser comprometidos.

A distribuição do OSSIM já possui um sistema de HIDS – Host Intrusion Detection

System – chamado OSSEC2, um sistema livre e gratuito desenvolvido por um brasileiro

chamado Daniel Cid e que a atualmente é mantido pela empresa TrendMicro. Ele é multi-

plataforma, suportando sistemas como Windows, Linux, BSD, Solaris, entre muitos outros.

2.3.3.3 Scanner de Vulnerabilidades

Todo sistema computacional é passível de falhas, e elas abrem caminho para pessoas

mal intencionadas obterem acesso a informações restritas. Um bom gerenciamento de

vulnerabilidades ajuda muito um administrador de rede, pois o ajuda a identificar essas falhas

para que o mesmo possa trata-las. É nesse ponto que atua um scanner de vulnerabilidades,

esse tipo de sistema realizar varreduras em redes e sistemas em busca de problemas, gerando

relatórios sobre a situação.

Novamente o servidor OSSIM já traz um sistema para atender tal finalidade, neste

caso o software livre OpenVas, que de acordo com seu site oficial3 é um framework para

realizar varreduras em busca de vulnerabilidades e gerenciamento da mesma. Ele possui um

banco de dados com mais de trinta mil vulnerabilidades catalogadas dos mais diversos tipos

de sistemas e equipamentos. Ao analisar um sistema Linux por exemplo, ele testa todas as

falhas presentes em seu banco relativas a este sistema.

2.3.3.4 Sistema de inventário

Apesar de não se muito explorado aqui neste estudo, um sistema de inventário do

parque computacional é muito útil ao se implantar o OSSIM, pois ajuda na diminuição de

2 http://www.ossec.net/

3 http://www.openvas.org/

24

falso-positivos, visto que se ele sabe que um servidor possui sistema operacional Linux

instalado, todos os ataques relativos a outros tipos de sistema serão de risco reduzido.

O sistema de inventário utilizado é o OCS Inventory NG4, já incluso no SIEM. Seu

funcionamento se resume à instalação do agente e o mesmo irá inventariar toda parte de

hardware e software dos hosts, enviando essas informações para o servidor OSSIM.

4 http://www.ocsinventory-ng.org/en/

25

3 Descrição das atividades

Para a realização do deste estudo, as atividades foram divididas em quatro etapas que

serão descritas a seguir. Após a realização das pesquisas bibliográficas, verificamos que o

SIEM OSSIM é uma ótima solução, como foi demonstrado no embasamento teórico. Além de

possuir excelentes qualidades apresentadas nos tópicos anteriores, ele é um sistema livre e

gratuito e no Tribunal damos prioridade a softwares deste tipo. Além disto, seus concorrentes

são muito caros e de difícil acesso para testes.

Para testar a solução montamos um laboratório e realizamos a implantação da

ferramenta e alguns testes, a fim de gerar este relatório e embasar uma possível decisão da

Gerência sobre a utilização do mesmo.

3.1 Montagem do laboratório

A primeira atividade a ser desenvolvida neste estudo foi a montagem do laboratório de

testes, o qual foi inteiramente virtualizado, garantindo uma maior flexibilidade e economia de

espaço e energia.

Dispomos de dois servidores IBM X3400 com um processador Intel XEON 2GHz com

quatro núcleos, 4GB de memória RAM, 500GB de espaço em disco rígido e três interfaces de

rede cada.

Utilizamos como solução de virtualização livre o Oracle VirtualBox, que apesar de não

ser o melhor em desempenho e gerenciamento, atende perfeitamente ao objetivo deste

trabalho. O único problema é que ele não tem a opção de espelhamento de portas de rede,

configuração essencial para utilização do sistema de detecção de intrusos utilizado neste

estudo. Para garantir esta opção instalamos também o OpenvSwitch, sistema livre e de código

aberto de switch virtual. Com ele podemos não só espelhar portas, mas também criar vlans,

netflow, entre outras opções. A figura 09 mostra como ficou nosso ambiente de virtualização.

26

Figura 9 – Ambiente de virtualização

Nosso objetivo nesse laboratório foi montar uma rede completa e que conte com

sistemas e equipamentos que também fazem parte da rede do Tribunal, nos possibilitando

assim testar o OSSIM em um ambiente próximo ao real, porém em menor escala. Observando

a imagem 10 é possível visualizar a rede de testes antes da implantação do SIEM.

27

Figura 10 – Laboratório de testes

Apesar de ser relativamente simples, podemos observar que nosso laboratório tem uma

infraestrutura completa que conta com dois dispositivos de segurança do tipo firewall,

servidores que recebem acesso externo à rede como no caso do servidor FTP/web e também

possui serviços de rede internos como DHCP e DNS.

Na figura podemos observar que existem duas redes internas:

10.10.0.0/24 → É a DMZ, uma rede na qual ficam os equipamentos que serão

acessados externamente, nesse caso apenas um servidor com sistemas web e FTP.

10.10.1.0/24 → É a rede local, constituída por uma estação de trabalho e um

servidor responsável pelos serviços de DHCP e DNS. É pela rede local que

também é possível acessar a interface de gerenciamento do servidor IDS.

Como foge do escopo deste estudo não entraremos em detalhes das configurações de

virtualização e dos serviços configurados no laboratório, iremos apenas ressaltar alguns

aspectos a fim de contextualizar os testes.

3.1.1 Firewall

O firewall principal utilizado no laboratório foi um appliance virtual da empresa

Check Point, produto idêntico ao que foi adquirido recentemente pelo Tribunal. É um dos

produtos mais respeitados neste tipo de solução.

28

De regras existirão apenas as liberações de acessos externos do na porta 80 (portal) e

21 (FTP) para a máquina www.tjpb.teste, 443 (HTTPS) para acesso à interface administrativa

do próprio firewall, 8080 que será redirecionada para a 443 do servidor do OSSIM e 2222 que

redirecionará para a 22 (ssh) do mesmo servidor.

Além disso, haverá uma regra de nat para que as redes internas possam ter acesso à

Internet e todo o tráfego entre as máquinas e as redes internas é liberado. A política padrão é

bloquear qualquer acesso, exceto os que se encaixem nas regras já mencionadas.

Em relação ao sistema pfSense, ele possui as mesmas regras do firewall principal e

será utilizado apenas para fins de teste de integração com o OSSIM.

3.1.2 DMZ

A rede DMZ tem um servidor com o sistema operacional Linux Metasploitable, que é

intencionalmente baseado em uma versão antiga do Linux Ubuntu, com várias falhas de

segurança e aplicativos vulneráveis instalados. Ele receberá conexões externas nas portas 21

com um servidor vsftpd e na 80 com um servidor web Apache, ambos com versões antigas e

passíveis de serem explorados. Essa distribuição foi criada para ajudar profissionais em seus

testes e é mantida pela Rapid7, empresa que criou o sistema Metasploit, o framework mais

utilizado para testes de segurança em redes e sistemas.

3.2 Implantação do OSSIM

Esta etapa irá descrever como instalamos e configuramos o servidor OSSIM para

monitorar a rede de testes.

3.2.1 Planejamento

Iremos agora falar sobre a instalação do SIEM OSSIM, que é bem fácil, mas que

precisa de atenção em alguns pontos, logo não descreveremos em detalhes toda a operação,

iremos apenas apontar as questões que consideramos mais importantes.

Antes de começar é necessário decidir qual será a estratégia para a implantação e é

fundamental ter um bom conhecimento sobre toda topologia da rede. Fatores como redes e

sistemas existentes, acesso remotos, criptografia, entre outros, devem ser levados em

consideração antes da instalação de um SIEM.

29

No nosso caso já foi explanado em tópicos anteriores a topologia de nossa rede de

testes e sua estrutura pode ser vista no diagrama apresentado na figura 10. A partir desta

figura e da análise dos equipamentos e sistemas existentes decidimos nossa tática para

implantação do OSSIM.

Figura 11 – Diagrama de implantação do OSSIM

Como podemos observar na figura, o servidor tem sua interface de gerência conectada

ao switch da rede local, a qual foi configurada com o endereço IP 10.10.1.252, este será o

endereço para acesso à interface administrativa do OSSIM. Além disso, foram configuradas

duas portas espelhadas, uma em cada switch, nas quais conectamos as duas interfaces do

sistema que atuam em modo promíscuo – apenas escutando a rede. Inicialmente configuramos

os seguintes sensores:

Snort – Irá analisar os dados a partir das interfaces que estão em modo

promíscuo.

OSSEC – Instalação do agente em todos os hosts.

OCS – Instalação do agente em todos os hosts.

Nagios – Configurado para monitorar a disponibilidade dos servidores.

OpenVas – Realização de varreduras programadas em busca de

30

vulnerabilidades.

Além destes ainda estarão ativos outros que o OSSIM habilita por padrão, mas que

não alteramos suas configurações.

3.2.2 Hardware

A necessidade de hardware depende mais da quantidade de eventos gerados e do

tráfego da rede que do sistema em si, porém a AlienVault recomenda um mínimo para o

funcionamento tranqüilo, como 2GB de memória RAM, e um bom espaço em disco rígido,

visto que podem ser gerados uma grande quantidade de eventos.

É recomendado também o uso de processadores 64 bits, pois assim haverá um melhor

aproveitamento de desempenho devido ao suporte a multithreading que muitos de seus

componentes possuem. A versão 32 bits inclusive já foi descontinuada a partir da versão 4.0.

É recomendada também a utilização de placas de rede que suportem o driver e1000,

pois estas têm um melhor suporte nativo. Diante destas recomendações, nós utilizaremos um

servidor com as seguintes configurações de hardware:

1 Processador com 4 núcleos.

2 GB de memória RAM.

55 GB de espaço no disco rígido.

1 Interface de rede que suporta o driver e1000.

É um equipamento suficiente para a instalação neste estudo, mas que dependendo do

tamanho da rede e da quantidade de ativos a serem monitorados, é necessária uma máquina

mais robusta.

3.2.3 Instalação

Depois de definida a estratégia e separado o servidor que receberá o sistema, o

próximo passo é obter a imagem em formato iso do OSSIM no site da AlienVault. Em nosso

laboratório utilizamos a versão 4.1, sendo esta a mais recente. Depois de terminado o

download, gravamos a imagem em um DVD e configuramos a BIOS do servidor para iniciar

o sistema a partir deste drive.

31

Por ser distribuído como uma distribuição Linux completa baseada em Debian, o

OSSIM tem uma instalação padrão, semelhante às distribuições Linux mais utilizadas, com

uma seqüência de telas em modo gráfico onde aparecem as opções a serem definidas.

Inicialmente é necessário configurar a linguagem que será utilizada no processo de

instalação, a localidade e o padrão do teclado. Após essas opções, aparecerá uma das questões

mais importantes que é o perfil da instalação, pois o OSSIM pode ter alguns de seus

componentes instalados em diferentes servidores. Sendo assim, podemos escolher entre

quatro perfis:

Server → Instalação apenas dos componentes de SIEM e Logger (este último

apenas na versão paga).

Sensor → Aqui são habilitados apenas os Detectores e Coletores.

Framework → Este perfil instalará apenas a interface de gerenciamento web.

Database → Instalação do banco de dados SQL onde ficam armazenados os

eventos.

Isto é interessante, pois em redes muito complexas podem-se separar esses

componentes e obter uma maior flexibilidade, escalabilidade e disponibilidade. É possível,

por exemplo, ter vários servidores sendo gerenciados por apenas uma interface web. No

laboratório iremos marcar todas as opções, pois utilizaremos apenas um servidor como

podemos observar na figura a seguir.

Figura 12 – Instalação do OSSIM - Seleção de perfil

32

Continuando, o processo de instalação irá realizar a detecção do hardware e carregar

os componentes necessários. Depois, chega a hora da configuração de rede, outra parte

importante e que é necessária atenção. Como este servidor possui três interfaces de rede, é

necessário escolher uma para gerenciamento. Depois serão pedidos os parâmetros para a

configuração da rede, que foram definidos da seguinte maneira:

Endereço IP → 10.10.1.252

Máscara de rede → 255.255.255.0

Gateway → 10.10.1.254

DNS → 10.10.1.253

Nome do servidor → ossim

Nome do domínio → tjpb.teste

Figura 13 – Instalação do OSSIM - Seleção de interface

33

Na próxima tela será solicitada a senha do usuário root e caso a senha seja deixada em

branco o usuário será desabilitado, ficando o usuário inicial do sistema com o poder

administrativo através do comando sudo. Após a configuração da senha é solicitada a

configuração do relógio através da escolha do fuso horário.

O processo chega então a outro ponto importante que é o particionamento do disco.

No nosso caso, devido a pouca complexidade do cenário, utilizamos uma opção mais simples

que é o particionamento assistido e utilizando o disco inteiro com LVM, ou seja, todo o

sistema ficará em uma única partição. Escolhemos o uso de LVM, pois caso seja necessário

existe a flexibilidade de se aumentar o espaço em disco. Em ambientes mais complexos é

recomendado utilizar partições separadas principalmente a /var, que tende a crescer muito

devido aos logs e banco de dados.

Finalizada a configuração do particionamento, o sistema criará e formatará as

partições e então começa a instalação de fato, que por sinal é um pouco demorada devido à

quantidade de configurações necessárias.

Durante a instalação básica do sistema são requisitadas algumas configurações

iniciais, começando pela escolha das interfaces que atuarão em modo promíscuo (sem

configuração de rede, apenas capturando pacotes) e que no nosso servidor ficaram a eth1 e

eth2. São pedidos depois os endereços das redes que serão monitoradas, ou seja, as redes

10.10.0.0/24 (DMZ) e 10.10.1.0/24 (Rede Local). Outra configuração que é solicitada é a de

e-mail, pois se pode configurar o OSSIM para enviar e-mails com alertas e relatórios.

Por fim duas últimas configurações são necessárias e extremamente importantes, a

seleção dos plugins de detecção e os de monitores. Para nosso caso deixamos habilitados os

que vêm por padrão, pois iremos habilitar outros à medida que necessitarmos. É importante

ressaltar que toda essa configuração feita na instalação pode ser alterada e revista tanto pela

interface web quanto pela linha de comando, podendo inclusive ser feita a mudança de perfil

de instalação.

34

Figura 14 – Instalação do OSSIM - Seleção dos plugins monitores

.

Após mais alguns minutos, necessários para configurar os componentes com os

parâmetros passados, e da atualização do sistema, a instalação do SIEM OSSIM é finalizada.

3.2.4 Configuração

Após a instalação é hora de começar a configuração da ferramenta, para isto basta abrir

um navegador e acessar o endereço ip configurado na instalação, no nosso caso 10.10.1.252.

35

Figura 15 – Tela inicial do OSSIM

Ao acessar a interface web pela primeira vez serão solicitadas informações para

completar o perfil da conta de administrador – usuário admin – como a senha e e-mail. Após o

envio dessas informações é então mostrada a tela de login para acesso ao sistema.

O OSSIM já vem praticamente pronto e assim que acessamos a sua interface podemos

observar que ele já começou a monitorar e exibir alertas, principalmente através do IDS Snort.

Então em um primeiro momento é necessário apenas adequá-lo à infraestrutura existente,

configurando os ativos e integrando com as ferramentas existentes.

3.2.5 Configuração dos ativos

A primeira etapa da configuração que realizamos e que consideramos mais importante

foi o cadastro dos ativos que queremos monitorar. Esse passo é bastante crucial, pois este

banco de informações vai servir de base para muitas das funcionalidades do SIEM como a

correlação dos eventos e o calculo de riscos.

No menu à esquerda da interface temos a opção Asset (Ativo) e ao clicarmos nela a

mesma expande nos mostrando mais três opções.

36

Assets – Clicando nesta opção temos acesso ao nosso inventário de ativos, onde

podemos consultar, cadastrar, configurar ou excluir os ativos. Aqui podemos

organizar nossa infraestrutura por hosts individuais, grupos de hosts, redes, grupos

de redes e portas, além de poder acessar o inventário dos equipamentos pela aba do

OCS.

Asset Search – O sistema nos dá a possibilidade de busca de ativos por várias

características, assim, podemos pesquisar quais deles tem determinado sistema

operacional ou pesquisar quais possuem uma determinada vulnerabilidade ou

evento.

Asset Discovery – Aqui podemos realizar vários tipos de escaneamentos na rede a

fim de achar automaticamente nossos ativos. A partir dessas varreduras podemos

inserir ativos e informações de modo automatizado.

No nosso caso, o que fizemos primeiro foi instalar o agente do OCS Inventory em

todas as máquinas do laboratório, assim todas as informações a respeito de cada host foram

enviadas ao servidor, que automaticamente os inclui na lista de ativos. O OSSIM já possui um

instalador pré-configurado do agente do OCS e que fica no menu Configuration, submenu

Collection, aba Downloads. Para instalá-lo basta apenas salvar o arquivo nas máquinas,

descompactar e caso o sistema seja Linux executar o script setup.sh, se for Windows executar

o install.bat.

Figura 16 – Relação de Ativos

37

Após a inserção dos ativos é necessário completar os dados referentes a cada um como

a localização, qual sensor irá monitorá-lo e o mais importante que é seu valor, que pode ser de

um a cinco e que como já mencionado fará parte do cálculo de risco. Quanto mais

informações forem disponibilizadas, melhor o sistema irá trabalhar, então é necessário um

bom conhecimento da infraestrutura existente e dos serviços disponíveis.

3.2.6 Verificação das vulnerabilidades

Após popular nosso banco de ativos, partimos então para uma verificação ativa das

vulnerabilidades existentes em nossa infraestrutura, um passo bastante importante para manter

a segurança de uma rede, pois como cita Ferreira e Araújo (2008) “uma fonte de ameaça não

representa riscos quando não existe vulnerabilidade que possa ser utilizada”.

Mais uma vez o sistema se mostra bastante simples na tarefa de agendar as buscas. Ao

acessar o menu Analysis e o submenu Vulnerabilities é apresentada uma tela com quatro abas

que nos dá as seguintes opções:

Vulnerabilities → Mostra vários gráficos e estatísticas sobre as vulnerabilidades

encontradas, como os hosts com mais falhas de segurança.

Reports → Como o próprio nome já diz, esta aba permite acesso aos relatórios

resultantes das varreduras, eles podem ser emitidos em formato pdf, html ou

planilha.

Scan Jobs → Opção onde são configuradas e agendadas as buscas por

vulnerabilidades.

Threads Database → Repositório de vulnerabilidades usadas para os testes.

Agendamos então uma varredora no servidor ftp.tjpb.teste, afim de descobrir quais

vulnerabilidades existem naquele sistema. Como era de se esperar, devido ao uso do Linux

Mestaploitable nesse servidor, foram descobertas inúmeras falhas.

38

Figura 17 – Estatísticas sobre vulnerabilidades

Até este ponto se tivéssemos apenas o OpenVas instalado isoladamente também

poderíamos ter realizado a varredura e a geração de um relatório, mesmo que com um pouco

mais de trabalho. Porém, no que tange ao assunto de gerenciamento de vulnerabilidades,

existem duas grandes vantagens na utilização do OSSIM para tal tarefa:

Abertura automática de chamados (tickets) → O sistema tem a capacidade de abrir

chamados automaticamente ao detectar uma vulnerabilidade, por padrão quando

forem do tipo altas (high) e críticas (serious).

Correlacionamento → Ao saber que existe uma falha em um sistema, o OSSIM é

capaz de gerar alertas críticos caso alguma forma de exploração da mesma seja

detectada. E caso exista uma ameaça contra uma vulnerabilidade inexistente ele

detecta a tentativa, mas gera alertas medianos.

Com isto o administrador tem um controle bem maior sobre as falhas de sua infra-

estrutura, inclusive com capacidade para acompanhar as soluções para eliminá-las ou mitigá-

las.

39

Figura 18 – Ticket de vulnerabilidade existente em ftp.tjpb.teste

3.2.7 Sistemas de detecção de intrusão

Na implantação do SIEM utilizamos dois tipos de sistemas de detecção de intrusão

como sensores, sendo um baseado em rede e um em host. É possível ainda utilizar outro tipo

de IDS para rede sem fio através do software livre Kismet, mas que não foi abordado neste

estudo.

3.2.7.1 HIDS

Como já mencionado anteriormente, o OSSIM traz o HIDS – Host Intrusion Detection

System – OSSEC e o configuramos para ajudar na realização de nossos testes, pois ao instalar

o agente deste sistema em nossas máquinas temos a possibilidade de verificar a integridade do

sistema e de arquivos, problemas com permissões, acessos indevidos, entre muitos outros.

40

Como no caso do OCS, o OSSIM já traz um instalador do agente, porém neste caso

apenas para Windows e que, não sabemos o porquê, não vem pré-configurado. Logo, para a

implantação dos agentes foi necessária a realização de alguns procedimentos tanto no servidor

quanto nas máquinas a serem monitoradas. Para os servidores Linux instalamos via pacote

disponível no site do projeto OSSEC.

Primeiramente é necessário adicionar o agente que será instalado através do menu

Analysis, submenu Detection, aba HIDS. Ao acessar a referida aba, fica disponível uma aba

Agents, na qual podemos realizar o procedimento. Após adicionar um agente do OSSEC é

necessário extrair sua chave criptografada de comunicação com o servidor clicando no ícone

na coluna Actions. Esta chave deve ser inserida juntamente com o endereço IP do servidor

OSSIM ao instalar o agente nas máquinas.

No nosso laboratório temos poucas máquinas então foi simples a tarefa de implantação

dos agentes, porém no caso de muitas máquinas esse processo se torna bastante trabalhoso,

mas existe outro método – o qual não foi abordado – para que este processo seja otimizado.

Ainda no caso de uma infra-estrutura muito grande também será necessário mais cuidado ao

planejar quais hosts serão monitorados, pois o OSSEC dispara muitos alertas e pode dificultar

o processo de visualização dos mesmos.

3.2.7.2 NIDS

No que tange ao IDS baseado em rede Snort presente no próprio OSSIM, não foi

necessária nenhuma configuração adicional. Na interface web temos apenas as opções de

configurar quais interfaces serão utilizadas para monitorar – as mesmas serão colocadas em

modo promíscuo – e quais redes serão monitoradas, opções estas que já foram escolhidas no

momento da instalação. Estas configurações podem ser feitas ou alteradas através o menu

Configuration e a opção System Configuration na aba Sensor Configuration.

No caso da atualização das regras do Snort, as mesmas serão atualizadas todas as

vezes que o OSSIM for atualizado, logo não é necessária a instalação de nenhum programa

adicional para realização da tarefa. Para criação de regras personalizadas pode-se fazê-lo

através do menu Intelligence e da opção Policy & Actions, inclusive para eliminação de falso-

positivos e falso-negativos.

Posteriormente configuramos o servidor IDS já existente para enviar suas informações

ao servidor OSSIM, para que este possa analisá-las. Esta integração será abordada mais à

frente.

41

3.2.8 Configurações gerais

No menu do OSSIM podemos acessar através da opção Configuration todas as

informações e configurações do servidor e do sistema. Esta opção é dividida em sete

submenus que são descritas a seguir.

3.2.8.1 System Configuration

Neste submenu temos acesso à tela de status do servidor, com informações a respeito

do consumo de recursos, configuração de rede, atualizações do sistema e sobre o sistema de

SIEM em si.

Existem ainda cinco abas que possibilitam:

Software Updates – Permite acesso às atualizações disponíveis.

General Configuration – Configurações gerais do servidor, como nome e

servidores de email e tempo.

Network Configuration – Configurações de rede para gerência.

Sensor Configuration – Aqui é possível habilitar e desabilitar sensores e

plugins, bem como configurar redes e interfaces a serem monitoradas.

Logs – Visualização dos registros gerados pelo sistema operacional e dos

serviços de Server, Agent e Web do OSSIM.

3.2.8.2 Main

Opções de configuração do sistema de SIEM. Podem-se modificar valores referentes

às métricas como o valor padrão de um ativo, bem como configurações de backup do sistema

e tickets.

Acessando a aba de configuração avançada, é possível modificar parâmetros referentes

ao acesso aos bancos de dados do Snort, OSVDB e OpenVas, por exemplo. A Alien Valt

desaconselha qualquer realização de modificações nas configurações avançadas, pois uma

opção errada pode prejudicar todo o sistema.

42

3.2.8.3 Users

A gerência de usuários do OSSIM é muito flexível, permitindo a criação de usuários

com diferentes níveis de acesso. Permitindo que alguém do da parte operacional de segurança

da informação tenha acesso apenas aos alarmes e tickets para visualização e resolução dos

problemas. Já um diretor de TI só necessitaria de acesso aos gráficos de métricas e relatórios

executivos.

Além disso, por padrão todas as ações disponíveis pela interface de gerenciamento são

passíveis de registros, o que permite uma série de auditorías.

3.2.8.4 AlienValt Components

Nesta parte temos acesso à informações e configurações referentes aos componentes

do OSSIM espalhados pela infraestrutura. Podemos adicionar ou remover sensores e

servidores, bem como mudar algumas de suas configurações e opções.

Existe ainda a aba Locations, onde ficam as informações sobre os locais onde ficam os

equipamentos, permitindo assim uma melhor organização dos mesmos.

3.2.8.5 Collection

Neste submenu existem três abas que auxiliam na configuração dos sensores e

plugins.

Iventory – Aba onde ficam definidas tarefas de inventário do parque de

equipamentos. Configurações a respeito de agendamentos e parâmetros dos

sensores NMAP que varre a rede em busca de novos hosts e serviços, OCS e WMI.

Data Sources – Repositório onde é possível visualizar e modificar cada um dos

plugins disponíveis no sistema.

Downloads – Agentes pré-configurados para utilização na implantação do SIEM,

como é o caso do OCS e do OSSEC.

3.2.8.6 Backup

Por último e não menos importante tem a opção de gerenciamento das cópias feitas

43

a partir da configuração no submenu Main. Aqui é possível visualizar os registros a respeito

das tarefas de backup agendadas e saber se está acontecendo algum problema.

A partir daqui pode-se também restaurar cópias de segurança armazenadas ou

excluí-las caso precise de espaço em disco.

3.3 Integração

Uma das maiores vantagens que se tem na utilização de um SIEM é a centralização das

informações, que visa resolver a problemática levantada no início deste trabalho de que o

analista de segurança deve acessar várias interfaces de diferentes ferramentas para visualizar o

estado de sua rede.

O OSSIM possui a capacidade de analisar eventos oriundos dos mais diversos sistemas

e equipamentos utilizados em uma infraestrutura de rede de computadores. Para garantir a

integração do SIEM com essas ferramentas externas ao mesmo, a AlienVault criou um

sistema de plugins, os quais são bastante simples e flexíveis em sua utilização, permitindo

inclusive a criação de plugins e regras personalizados. Nesta seção descreveremos a

integração com um firewall da empresa Check Point, com um sistema de detecção de intruso

já implantado na rede de testes e como é a criação de um plugin personalizado.

3.3.1 Firewall Check Point

O Tribunal de Justiça adquiriu recentemente uma solução de firewall da empresa

israelense Check Point, uma das melhores neste segmento. Então implantamos em nosso

laboratório um produto idêntico, a fim de testar sua integração com o OSSIM.

Dentre os inúmeros plugins existentes no framework, há dois para produtos da Check

Point: o fw1-alt e o fw1ngr60, sendo este último mais recente e que deve ser utilizado com as

soluções mais novas da empresa, como no nosso caso.

Inicialmente é necessário configurar a comunicação entre o OSSIM e o firewall, pois o

primeiro precisa acessar os registros de eventos do segundo. Para isto existe uma ferramenta

chamada fw1-loggrabber, a qual faz uso do framework Open Plataform for Security (OPSEC)

que visa garantir a interoperabilidade entre ferramentas e aplicações de segurança.

O fw1-loggrabber é o responsável por copiar remotamente os logs do firewall e salvá-

los em um arquivo no servidor do OSSIM. Para configurá-lo, primeiro acessamos a interface

44

de gerência do Check Point e adicionamos uma nova aplicação OPSEC através do menu

Manage, conforme podemos ver na figura a seguir.

Figura 19 – Configuração OPSEC no firewall Check Point

Após o procedimento feito na gerência do firewall, partimos para a configuração do

fw1-loggrabber no servidor do OSSIM, a qual é feita toda via linha de comando. Os arquivos

de instalação da ferramenta encontram-se em /usr/share/ossim/www/downloads/ e depois de

instalado seu executável e arquivos de configuração ficam localizados no diretório /usr/local/

fw1-loggrabber/. É necessário a modificação de alguns valores de parâmetros presentes nos

dois arquivos de configuração.

fw1-loggrabber.conf – Possui configurações referentes ao arquivo de logs,

como rotação e nível de detalhamento. Aqui foram alterados os valores das

variáveis “ONLINE_MODE” para “yes” – garantindo assim acesso em tempo

real aos registros – e “OUTPUT_FILE_PREFIX” que ficou com o valor

/var/log/ossim/fw1-loggrabber, o qual sempre deve ser o mesmo do parâmetro

“location” presente no arquivo de configuração do plugin, localizado no

arquivo /etc/ossim/agent/plugins/fw1ngr60.cfg.

lea.conf – Neste arquivo estão as opções com as quais a ferramenta irá se

autenticar e comunicar com a API de exportação de registros do Check Point.

45

Inserimos o endereço IP do firewall na opção “lea_server ip” e modificamos o

valor presente em “opsec_sic_name” para o valor presente no campo “DN” da

imagem 19. Na variável “lea_server opsec_entity_sic_name” ajustamos o valor

para que ficasse “cn=cp_mgmt,ofw001.tjpb.teste.z6cvwr”.

Antes de finalizar a integração, é necessário salvar no servidor do OSSIM um

certificado digital do firewall. Para esta etapa foi necessário fazer o download de outra

ferramenta, disponível no site do projeto do fw1-loggrabber, chamada opsec-tools e executar

o comando:

ossim:~# opsec_pull_cert –h 10.10.1.254 –n OSSIM –p ossim123 –o /usr/local/ fw1-

loggrabber/etc/opsec.p12

Com toda configuração do fw1-loggrabber realizada bastou apenas acessar a interface

de gerenciamento do OSSIM, acessar a opção de configuração dos sensores presente no

submenu System Configuration e ativar o plugin fw1ngr60 em Collection. A partir daí já

podemos visualizar os registros do firewall na interface web do nosso SIEM.

Figura 20 – Eventos do firewall da Check Point

3.3.2 Firewall pfSense

46

Após realizar a integração com o firewall da Check Point, decidimos testar outra

ferramenta, desta vez um software livre chamado pfSense. Trata-se de uma distribuição

baseada no FreeBSD e customizada para servir de firewall e roteador, além de possuir outras

funcionalidades como proxy e IDS.Decidimos testá-la pois há um outro projeto interno do

Tribunal para estudar a possibilidade de sua utilização.

Para sistemas operacionais baseados em Linux e BSD, o OSSIM traz a possibilidade

de receber os logs via rsyslog, programa padrão nestes sistemas para enviar os registros para

um servidor remoto. A interface do pfSense é bem simples e intuitiva, é possível realizar essa

configuração acessando o menu Status, opção System Logs na gerência web do sistema. Na

aba Settings, basta marcar a opção “Enable syslog’ing to remote syslog Server” e colocar o

endereço IP do SIEM logo abaixo.

Feito isto, o os registros do firewall já podem ser visualizados no arquivo do syslog do

OSSIM. Então, configuramos o arquivo referente ao plugin pf –

/etc/ossim/agent/plugins/pf.cfg – , modificamos a variável “location” apontando para o

arquivo do syslog e ativamos o plugin.

Porém os eventos não estavam sendo visualizados na interface do OSSIM e

pesquisando sobre essa integração vimos que o formato dos registros do pfSense 2.x mudou

em relação à versão 1.x e o plugin não foi atualizado em relação a isto. Pesquisando um pouco

mais, descobrimos que antes cada evento era registrado em apenas uma linha e que nesta nova

versão eram duas. Ao realizar alguns testes notamos que esse comportamento é causado por

uma opção presente no arquivo /etc/inc/filter.inc presente no pfSense. Este arquivo possui o

seguinte comando:

/usr/sbin/tcpdump -s 256 -v -l -n -e -ttt -i pflog0 | logger -t pf -p local0.info

Esse é o comando que envia os eventos para o syslog do firewall e a opção -v é que

está causando a mudança nos logs, ao retirar a mesma os registros começaram a serem

escritos em uma única linha, fazendo com que o plugin do OSSIM conseguisse entender o

texto que estava analisando.

A partir deste momento já podemos observar na interface de gerenciamento do OSSIM

a participação do plugin pf no gráfico de eventos por sensor da tela inicial.

47

Figura 21 – Gráfico de eventos por sensor com o plugin pf

Já na figura a seguir podemos ver um evento vindo do pfSense em detalhes, inclusive

o log do mesmo, agora apresentado em uma única linha, mas que originalmente é uma para o

registro do tráfego e outra com o registro do da ação.

48

Figura 22 – Detalhes do evento do pfSense

3.4 Testes

Já que o objetivo do SIEM OSSIM é o monitoramento de segurança de uma

infraestrutura de redes, decidimos então realizar alguns ataques contra máquinas presentes em

nosso laboratório e contra o próprio servidor do OSSIM, pois o mesmo deve garantir sua

integridade para o caso de acontecer alguma violação na rede ou sistema.

3.4.1 Ataque à máquina Metasploitable

Quando fizemos a busca por vulnerabilidades em nossa rede de testes descobrimos que

o servidor FTP chamado vsftpd instalado na máquina ftp.tjpb.teste tem uma séria

vulnerabilidade, informando que essa versão contém um backdoor, esta falha permite que

usuários não autorizados acessem o sistema operacional do servidor e neste caso específico

com privilégios de root. O OSSIM ao encontrar essa vulnerabilidade a classificou como de

alto nível, tendo inclusive aberto automaticamente um ticket, como podemos observar na

figura 18 do tópico 3.2.6. Abaixo mostramos detalhes referentes a essa falha no relatório de

vulnerabilidades gerado pelo sistema.

49

Figura 23 – Detalhes da vulnerabilidade do vsftp

A exploração dessa falha é muito fácil e não tivemos problema em testá-la em nosso

laboratório. Em síntese, ao enviar os caracteres “:)” como nome do usuário o servidor dá

acesso ao shell do sistema com permissões de usuário root. Para realizar a exploração

utilizamos o framework Metasploit.

O ataque foi realizado com sucesso e conseguimos acesso em nível de super-usuário,

tendo acesso irrestrito às pastas, arquivos e a todo o sistema. Apesar se não impedir os

ataques, visto que o OSSIM não está funcionando como um IPS, ele detectou o mesmo e

gerou um alerta de risco máximo, como podemos observar na figura a seguir.

Figura 24 – Detecção do ataque ao servidor ftp.tjpb.teste

50

O sistema nos permite ainda visualizar mais detalhes ao clicar no alarme gerado, assim

o analista tem acesso às informações sobre as máquinas envolvidas, métricas, detalhes de

como funciona a falha, podendo inclusive baixar o arquivo pcap gerado pela captura do Snort.

Aqui também tem a opção de abertura de um ticket para acompanhamento do problema.

Figura 25 – Detalhes do ataque ao ftp.tjpb.teste

3.4.2 Teste de vulnerabilidade do OSSIM

Neste estudo realizamos alguns testes contra o servidor do OSSIM a fim de verificar a

existência de falhas de segurança no mesmo. Não foram testes muito aprofundados, pois neste

primeiro momento estudamos a ferramenta como um todo, para poder visualizar suas

vantagens e desvantagens.

Inicialmente realizamos um escaneamento com a ferramenta NMAP, um poderoso

scanner de rede, de código aberto e livre, muito utilizado para conseguir informações a

respeito do alvo, como serviços disponíveis, sistema operacional, entre outros. Nosso objetivo

foi observar se apenas as portas necessárias estavam abertas. Constatamos que somente as

portas referentes aos serviços essenciais estavam aceitando conexões, as quais são 22 do ssh,

80 e 443 da interface web de gerenciamento e a 514 que é na qual o rsyslog recebe os

registros vindos de outros sistemas. Mas isto pode variar de acordo com os plugins

51

habilitados, pois alguns deles usam outras portas, como no caso do fw1-loggrabber que utiliza

a 18184.

Após esse teste inicial, decidimos examinar a interface web e para tal demanda

executamos um programa chamado W3AF, desenvolvido pela Rapid7 – mesma mantenedora

do Linux BackTrack – que funciona buscando vulnerabilidades em aplicações web. Neste

caso, foi encontrada uma vulnerabilidade do tipo SQL Injection, considerada crítica, mas que

infelizmente não conseguimos realizar um teste de exploração da mesma. No mais foram

encontrados apenas alertas medianos e baixos. Outro ponto a destacar foi que na etapa em que

o scanner executou técnicas de força bruta deixou o sistema do OSSIM fora do ar, pois foram

iniciadas várias instâncias do apache o que acabou consumindo os recursos dá máquina. Logo,

ao dimensionar o servidor é necessário mais atenção nos recursos.

Figura 26 – Teste do OSSIM com o W3AF

Por fim, foi realizado uma varredura em busca de vulnerabilidades utilizando o

OpenVas, já descrito em tópicos anteriores. Seu relatório não apresentou nenhuma

vulnerabilidade séria, apenas dois alertas medianos e algumas informações, mas nada que seja

preocupante.

52

É importante frisar que durante as três verificações realizadas, o sistema do OSSIM

detectou as tentativas e gerou vários eventos, porém apenas durante o último foram

disparados alertas, como podemos observar a seguir.

Figura 27 – Detecção dos testes do OpenVas contra o OSSIM

53

4 Considerações finais

O estudo relatado visou demonstrar como o SIEM OSSIM trabalha e testar alguns pontos

acerca de seu funcionamento e segurança. O que vimos foi um sistema de código aberto e

livre muito maduro e bem feito, capaz de fazer frente aos seus concorrentes proprietários

tranquilamente.

Dentre suas vantagens destacamos a facilidade em sua implantação, principalmente

em relação ao monitoramento através das ferramentas Snort e OSSEC, que do nosso ponto de

vista são as melhores integradas à solução. Sua interface de gerenciamento é muito agradável,

fácil de trabalhar e bem intuitiva. Outro ponto importante de frisar é a possibilidade de

realizar sua instalação em diferentes máquinas, separadas por perfil, adicionando assim

camadas de flexibilidade e escalabilidade à ferramenta. Porém, para nós a maior vantagem é a

correlação dos eventos, capacidade esta que infelizmente ficou de fora do escopo deste estudo

inicial, mas que merece uma atenção mais que especial, pois com ela abre-se um leque de

opções muito interessante de se trabalhar na questão de detecção de intrusão.

Já em relação às desvantagens, destacamos a ausência extrema de documentação,

inclusive oficial, mas que aparentemente já está recebendo uma atenção por parte da

AlienVault, pois nos últimos acessos aos site do projeto verificamos que foi criada uma nova

seção com materiais mais atualizados. Outra observação é em relação aos plugins, alguns

deles estão com as regras – que são baseadas em expressões regulares – desatualizadas em

relação aos logs analisados pelos mesmos, como no caso do pfSense relatado no tópico 3.3.2,

observamos nas pesquisas realizadas reclamações referentes à outros como o que analisa os

registros do sistema de proxy web Squid. Por fim, outro problema encontrado foi em relação

às regras do Snort, pois muitas delas só detectam ataques se forem oriundos de fora da rede

interna, por causa da variável EXTERNAL_NET que está configurada como !HOME_NET

(tudo que não for rede local) e muitas regras a utilizam para configurar a origem do ataque,

logo muitos problemas dentro da rede interna não serão detectados.

O OSSIM é uma ferramenta bastante complexa e com muitas funcionalidades para

serem exploradas, mas como o objetivo deste estudo não foi esgotar todas as suas funções,

deixamos como sugestão para pesquisas posteriores uma abordagem sobre o sistema de

correlação utilizada pelo framework que pelas pesquisas bibliográficas nos pareceu bem

robusto e eficiente. Outro ponto que merece um estudo aprofundado é a possibilidade do

OSSIM em gerenciar a conformidade da segurança de informação utilizando as normas PCI-

DSS e ISSO 27001, requisito muito procurado hoje em dia,

54

Por fim, podemos dizer que em relação ao problema que foi levantado como

motivação deste estudo, o sistema de gerenciamento de informações e eventos de segurança

OSSIM atende, apesar de com alguns problemas, nossas expectativas quanto ao

monitoramento centralizado de segurança, além de auxiliar na gestão com um sistema de

métricas, relatórios gerenciais e gráficos em tempo real.

Este estudo foi bem recebido pela Gerência de Suporte que o encaminhou para a

Diretoria de Tecnologia, a fim de que o mesmo seja analisado pelo Comitê Diretor de

Tecnologia da Informação, podendo assim transformar-se em um projeto oficial para sua

implantação na estrutura do Tribunal.

55

5 Referências

ABNT. ABNT NBR ISO/IEC 27002:2005: Código de prática para a gestão de segurança da

informação. Rio de Janeiro. ABNT, 2005.

ALIENVAULT. OSSIM, the Open Source SIEM. Disponível em:

<http://communities.alienvault.com/>. Acesso em: 10 de agosto de 2012.

BLASCO, J; KARG, D. Advanced attack detection using OSSIM. Disponível em:

<http://labs.alienvault.com/wordpress/wp-

content/uploads/2011/09/Advanced_attack_detection_using_OSSIM.pdf>. Acesso em: 10 de

dezembro de 2012.

BRAINTHEE. pfSense 2.x firewall logs. Disponível em

<https://alienvault.vanillaforums.com/discussion/962/pfsense-2-x-firewall-logs>. Acesso em

20 de janeiro de 2013.

CERT.br. Incidentes Reportados ao CERT.br – Outubro a Dezembro de 2012. Disponível

em: <www.cert.br./stats/incidentes/2012-oct-dec/tipos-ataque.html>. Acesso em: 15 de

janeiro de 2013.

CRONAUER, P. Getting Logs from Checkpoint with Loggrabber (tested with R70).

Disponível em: <http://www.alienvault.com/docs/collect/CheckpointR70-loggrabber.pdf>.

Acesso em: 15 de janeiro de 2013.

GONZALEZ, S. Collecting Syslog data from a Linux system. Disponível em:

<https://alienvault.bloomfire.com/posts/523830-collecting-syslog-data-from-a-linux-

system/public>. Acesso em: 20 de janeiro de 2013.

LORENZO, J. M. AlienVault Installation Guide. Disponível em:

<https://alienvault.bloomfire.com/posts/525575-installation-guide/public>. Acesso: em 30 de

novembro de 2012.

56

METASPLOIT. VSFTPD v2.3.4 Backdoor Command Execution. Disponível em

<http://www.metasploit.com/modules/exploit/unix/ftp/vsftpd_234_backdoor> Acesso em: 21

de janeiro de 2013.

METAPLOITABLE. Metasploitables is a intentionally vulnerable Linux virtual machine.

Disponível em: < http://sourceforge.net/projects/metasploitable/> Acesso em: 01 de dezembro

de 2012.

MILLER, D. R. et al. Security Information and Event Management (SIEM)

Implementation. McGraw-Hill Companies, 2010.

NAKAMURA, E. T.; GEUS, P.L. Segurança em ambientes cooperativos. Novatec Editora,

2007.

OLIVEIRA, J. OSSIM: Um IDS open source. Disponível em:

<http://www.previsioni.com.br/jailsonjan/wp-

content/uploads/2010/12/Monografia_Jailson_de_Oliveira_04102010.pdf>. Acesso em: 15 de

dezembro de 2012.

RUFINO, Nelson M. O. Segurança Nacional. São Paulo. Novatec Editora, 2002.

SWIFT, T. A Practical Application of SIM/SEM/SIEM: Automating Threat Identification.

Disponível em: <http://www.sans.org/reading_room/whitepapers/logging/practical-

application-sim-sem-siem-automating-threat-identification_1781>. Acesso em: 10 de

novembro de 2012.

57