Falo muito no blog sobre uma série de ferramentas para testes de intrusão e tentativas de ataque Hacker, que em minha opinião é a mesma coisa, mas com objetivos de aprendizado, nada de lesar pessoas ou empresas.

Falei de algumas ferramentas para análise de invasões ou de redes, mas não dei tantos detalhes quanto a soluções um tanto caseiras, mas que diversas empresas as utilização com eficaz.

Vamos falar da monitoração de ambientes utilizando o Nagios, uma ferramenta freeware que roda no mundo Linux, capaz de monitorar uma série de parâmetros, serviços, URLS e tudo aquilo que você desejar em um ambiente de TI, desde que haja um agente (o que nada impede de você criá-lo), comunicação SNMP ou monitorações mais simples, utilizando, por exemplo, ping.

O Nagios consegue monitorar a quantidade de conexões TCP estabelecidas em um determinado servidor, com isso você é capaz de determinar uma média de conexões diárias entre os seus clientes e o seu servidor, caso essas conexões passem de 30% ou 50%, você poderá configurar um alarme para ser recebido pelo time de administração de redes ou de servidores. Essa monitoração lhe auxiliará na prevenção de um ataque DoS ou DDoS, são raros os mementos que conexões TCP/IP aumentam mais do que 50% entre um cliente e um servidor, daí termos que monitoramos 24×7.

Outro tipo de monitoração que é útil e feita de forma simples pelo Nagios é a quantidade de recursos, como CPU e Memória, consumidos pelo servidor, caso algo saia do padrão, será possível verificar com antecedência o que aconteceu: ou foi um problema de hardware, S.O., rede ou um possível ataque.

Monitoração quanto aos recursos consumidos pelos WebServers, como o Apache, são bem interessantes e auxiliam em muito quanto a detecção de possíveis ataques, na sua grande maioria, ataques DoS e DDoS, o Nagios faz muito bem isso.

Um dos plugins mais legais do Apache para monitoração de ambientes Web é o WebInject, este plugin tem a capacidade de monitorar um determinado site fazendo a simples consulta de uma palavra ou frase que este site possua, caso ele não encontre a string, será criado um alerta imediatamente. Para sites de conteúdo dinâmico é necessária uma análise, que não leva mais do que 3 minutos, para saber qual parte do site nunca é alterada, você não quer receber um alerta a cada 5 minutos no seu telefone, na madrugada ?!

Outra funcionalidade que acabei encontrando para o WebInject foi a monitoração de possíveis ataques hackers que visão a alteração das páginas hospedadas nos webservers, crackers que desejam sacanear com um site ou portal, sempre alteram toda a página inicial, são raros os crackers que deixam parte do conteúdo do site invadido, no caso do WebInject estar monitorando este site, ele abrirá um alerta assim que não encontrar uma determinada string, interessante né ?!

Há uma série de outros plugins e funcionalidades que o Nagios possui, mas vejam que eles não substituem um IDS/IPS, mas sim lhe auxiliam e conseguem diminuir o tempo de problemas e dores de cabeça.