Nagios versus Hacker: Fight!

Tags: , , , , , ,

Falo muito no blog sobre uma série de ferramentas para testes de intrusão e tentativas de ataque Hacker, que em minha opinião é a mesma coisa, mas com objetivos de aprendizado, nada de lesar pessoas ou empresas.

Falei de algumas ferramentas para análise de invasões ou de redes, mas não dei tantos detalhes quanto a soluções um tanto caseiras, mas que diversas empresas as utilização com eficaz.

Vamos falar da monitoração de ambientes utilizando o Nagios, uma ferramenta freeware que roda no mundo Linux, capaz de monitorar uma série de parâmetros, serviços, URLS e tudo aquilo que você desejar em um ambiente de TI, desde que haja um agente (o que nada impede de você criá-lo), comunicação SNMP ou monitorações mais simples, utilizando, por exemplo, ping.

O Nagios consegue monitorar a quantidade de conexões TCP estabelecidas em um determinado servidor, com isso você é capaz de determinar uma média de conexões diárias entre os seus clientes e o seu servidor, caso essas conexões passem de 30% ou 50%, você poderá configurar um alarme para ser recebido pelo time de administração de redes ou de servidores. Essa monitoração lhe auxiliará na prevenção de um ataque DoS ou DDoS, são raros os mementos que conexões TCP/IP aumentam mais do que 50% entre um cliente e um servidor, daí termos que monitoramos 24×7.

Outro tipo de monitoração que é útil e feita de forma simples pelo Nagios é a quantidade de recursos, como CPU e Memória, consumidos pelo servidor, caso algo saia do padrão, será possível verificar com antecedência o que aconteceu: ou foi um problema de hardware, S.O., rede ou um possível ataque.

Monitoração quanto aos recursos consumidos pelos WebServers, como o Apache, são bem interessantes e auxiliam em muito quanto a detecção de possíveis ataques, na sua grande maioria, ataques DoS e DDoS, o Nagios faz muito bem isso.

Um dos plugins mais legais do Apache para monitoração de ambientes Web é o WebInject, este plugin tem a capacidade de monitorar um determinado site fazendo a simples consulta de uma palavra ou frase que este site possua, caso ele não encontre a string, será criado um alerta imediatamente. Para sites de conteúdo dinâmico é necessária uma análise, que não leva mais do que 3 minutos, para saber qual parte do site nunca é alterada, você não quer receber um alerta a cada 5 minutos no seu telefone, na madrugada ?!

Outra funcionalidade que acabei encontrando para o WebInject foi a monitoração de possíveis ataques hackers que visão a alteração das páginas hospedadas nos webservers, crackers que desejam sacanear com um site ou portal, sempre alteram toda a página inicial, são raros os crackers que deixam parte do conteúdo do site invadido, no caso do WebInject estar monitorando este site, ele abrirá um alerta assim que não encontrar uma determinada string, interessante né ?!

Há uma série de outros plugins e funcionalidades que o Nagios possui, mas vejam que eles não substituem um IDS/IPS, mas sim lhe auxiliam e conseguem diminuir o tempo de problemas e dores de cabeça.

VEJA TAMBÉM

SecurityHeaders.io – verificando a segurança do seu webserver SecurityHeaders é uma ferramenta que realiza um simples, mas importante, scanner de segurança, tendo como foco os headers http do seu webserver.   Vejam, abaixo, o resultado de um scan ...
Sorteio do livro de IPv6 rolou e que ganhou foi… Pessoal, o sorteio do livro de IPv6 da editora Novatec rolou na sexta-feira, como prometido. Eu só esqueci de divulgar o felizardo.. hehehe Normal.. Vamos aos números e alguns dados, para no final,...
Video do Web seminário que rolou sobre Hardening para S.O. + Web Segue abaixo o vídeo/gravação do que rolou quanto ao Web Seminário sobre Hardening para S.O. + Web. O treinamento completo, com desconto, está sendo vendido pelo time da 4bios, acessando o segu...
COMPARTILHE ESTE ARTIGO

COMENTÁRIOS

2 comentários em “Nagios versus Hacker: Fight!

  1. Rubem

    Gustavo, seria uma boa se você ficesse uma tutorial sobre alguns assuntos (Linux,Cisco,Segurança,etc).

DEIXAR UM COMENTÁRIO

MENU