5 Implementação em Ambiente Real
5.1 Helpdesk
No decorrer do estágio demos assistência a vários problemas que surgiram, como no caso dos telefones dos gabinetes dos professores, que derivado a problemas técnicos tivemos de substituir por várias vezes os transformadores dos telefones.
Procedemos também à instalação na Escola Superior de Saúde (ESS) do IPG de Power over Ethernet (PoE) em duas das salas. Efetuámos as ligações necessárias no bastidor do hall de entrada.
Conclusão
Ao longo do estágio foi possível por em prática os conhecimentos desenvolvidos, em especial na área de segurança de redes. Adquiri novos conhecimentos, tais como em Linux pois todas as ferramentas foram implementadas neste sistema operativo.
Tive também a oportunidade de tomar conhecimento de como funciona um Data Center no seu dia-a-dia, os seus problemas e as suas soluções.
Sem dúvida que ao longo destes três meses de estágio, com a experiência adquirida me vai ser muito útil num futuro próximo, pois a minha “bagagem” do conhecimento aumentou consideravelmente
Toda esta temática abordada ao longo deste relatório, tem quanto a trabalho futuro, muito trabalho a ser desenvolvido e implementado. Existem outras ferramentas que podem ser implementadas, como por exemplo o programa Request Tracker (RT) que funciona com emissão de tickets, consoante o evento registado, o PassiveDNS que recolhe DNS de modo passivo para posterior análise. No que diz respeito á implementação de um CSIRT teria de adquirir mais equipamento e técnicos especializados porque segundo o Centro Nacional de CiberSegurança (CNCS) existem um conjunto de capacidades mínimas para a implementação dos CSIRTs.
É com muito apreço que agradeço ao pessoal do CI do IPG pelo apoio demonstrado ao longo desta caminhada, e com especial atenção para a minha orientadora de estágio Filipa Gaudêncio pela sua disponibilidade e paciência que demonstrou.
Bibliografia
Centro Nacional de Cibersegurança (CNCS),2015. Roadmap Capacidades Mínimas, DN- PI – V.1.0.
(Cnf,2016) Cisco IOS NetFlow - Cisco, acedido em 5 de março de 2016, em http://www.cisco.com. (ENISA,2006) Agência Europeia para a Segurança das Redes e da Informação (ENISA), 2006.Abordagem Gradual de Criação de uma CSIRT, Versão WP2006/5.1(CERT-D1/D2).
(IMQ, 2016) (Git, 2016) CERT-Tools · GitHub, acedido em 04 de março de 2016 em https://github.com/certtools/intelmq
(IMM, 2016) (Git, 2016) CERT-Tools · GitHub, acedido em 04 de março de 2016 em https://github.com/certtools/intelmq-manager
(ISO, 2013) ISO/IEC 27001:2013 Information technology; Security techniques; Information security management systems; Requirements, acedido em 06 de junho de 2016 em
http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber=54 534.
Introduction to Cybersecurity, 2016, acedido em 5 de maio de 2016, em https://82252856.netacad.com/courses/379773
(HoL, 1998) Howard, J. D., & Longstaff, T. A. (1998). A Common Language for Computer Security Incidents, (October).
(Haa, 2016) User Documentation Nfdump & NfSen (2006), acedido em 05 de março de 2016, em https://www.first.org/conference/2006/papers/haag-peter-papers.pdf.
(IPG, 2016) Instituto Politécnico da Guarda, acedido em 01/05/2016, em http://www.ipg.pt
(Nfs,2016) NfSen, Sourceforge, acedido em 01 de abril de 2016, em https://sourceforge.net/projects/nfsen/.
(Nfd,2016) Nfdump, Sourceforge, acedido em 08 de abril de 2016, em https://sourceforge.net/projects/Nfdump/ .
(Ptr, 2016) Shunze Academy, acedido em 05 de maio de 2016, em http://www.shunze.info/forum/thread.php?threadid=1953&boardid=3&sid=14d20a8b386 394d1a49ce59c0368c3c8&page=1 .
(Ros, 2008) Ross, Júlio, Redes de Computadores. LVTEC156 1ª edição, 2008. (RUC, 2012) Russel Jesse, Cohn Ronald, Morris Worm, Book on Demand, 2012.
(Sfm, 2016) Surfmap, Sourceforge, acedido em 05 de abril, em https://sourceforge.net/projects/surfmap/files.
(Sch, 2000) Schneier, Bruce, Secrets And Lies: Digital Security in a Networked World, John Wiley & Sons, Nova Iorque, 2000.
(Tei, 2008) Teixeira, Jarbas, Linux sem segredos. Digerati Books, São Paulo, 2008. 144 p. ISBN 978-85-7873-006-2 1.
(WhM, 2009) Whitman, M., & Mattord, H. (2009). Principles of information security. (2009 Cengage Learning EMEA, Ed.) (Third Edit.,p.598). Boston.
Anexo I
Apresenta-se os procedimentos de instalação de bots que requerem procedimentos especiais.
Exemplo de instalação de bot blueliv-crimeserver: Primeiro necessário o registo em:
https://community.blueliv.com/#/discover
Este passo é importante para termos acesso à chave api key que teremos de inserir no coletor blueliv do IntelMQ, a figura 13 remete-nos para a página de registo.
FIGURA 13PAGINA DE LOGIN DO BLUELIV
Instalação do bot:
pip install git+git://github.com/Blueliv/api-Python-sdk
O passo seguinte é a adição do bot no IntelMQ em que selecionamos a aba Management, como nos mostra a figura 14 e escolhemos o coletor pretendido, que neste caso é o Blueliv e alteramos o campo api_key, para a api que nos é fornecida no website, como nos mostra a figura 15.
Depois de selecionado o coletor, é selecionado o parser a verde Blueliv, o qual não é necessário efetuar alterações. O parser liga-se ao bot expert, a azul, no nosso caso a vários experts, o deduplicator, o taxonomy, o maxmind-geo-ip, o cymru-whois e ao asn-lookup. Estes últimos bots ligam-se aos bots Outputs tcp e file. Para ligarmos os diferentes tipos de coletor temos de selecionar add node e ligá-los.
Exemplo de instalação do bot maxmind_geo_ip:
sudo wget https://geolite.maxmind.com/download/geoip/database/GeoLite2-City.mmdb.gz sudo gunzip GeoLite2-City.mmdb.gz
sudo mv /tmp/GeoLite2-City.mmdb /opt/intelmq/var/lib/bots/maxmind_geoip/ sudo chown -R intelmq.intelmq /opt/intelmq/var/lib/bots/maxmind_geoip pip install geoip2
Anexo II
Apresentamos algumas funcionalidades do Splunk.
O Splunk categoriza a informação em campos relevantes, fazendo o de forma autónoma. A página inicial é a do login conforme figura 16. Na figura 17 temos o exemplo de um campo criado pelo Splunk que é classification.taxonomy em que podemos ver os diferentes tipos de eventos categorizados neste campo.
FIGURA 17 TAXONOMIA DE EVENTOS
Na figura 18 vemos um evento do IntelMQ quanto á sua classificação, feed, quanto á origem, tempo e também o IP de origem.
Comandos relevantes o Splunk: Aceder à diretoria do Splunk
cd /opt/Splunk
Iniciar o Splunk
cd /opt/Splunk/bin sudo ./Splunk start
Modo de pesquisa:
O modo de pesquisa é iniciado na página inicial “Search & Report” como nos mostra a figura 19. Existem três tipos de pesquisa disponíveis, host, source e sourcetype.
No modo source é a fonte de onde são retirados os dados, tipo ficheiro. No modo sourcetype é o tipo de informação.
Anexo III
Apresenta-se a instalação dos plugins do NFSen. SURMAP Download wget http://sourceforge.net/projects/surfmap/files/install.sh chmod +x install.sh Instalação do plugin: ./install.sh
sudo /data/nfsen/bin/nfsen reload
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
Descompactar o pacote:
$ tar zxf SURFmap_v3.3.1.tar.gz
cp -r SURFmap/frontend/* /var/www/nfsen/plugins/ cp -r SURFmap/backend/* /data/nfsen/plugins/
vi /data/nfsen/etc/nfsen.conf (o caminho pode ser diferente)
[ 'live', 'SURFmap' ],
Iniciar o plugin:
PORTTRACKER Criar diretoria:
mkdir /data/ports-db
Dar permissões:
chown www-data:www-data /data/ports-db/
sudo -u www-data nftrack -I -d /data/ports-db
Copiar ficheiros para o back-enf e front-end:
cp /usr/local/src/nfsen-1.3.6p1/contrib/PortTracker/PortTracker.pm /data/nfsen/plugins/
cp /usr/local/src/nfsen-1.3.6p1/contrib/PortTracker/PortTracker.php
/var/www/html/nfsen/plugins/
Editar ficheiro
vi /etc/nfsen.conf
@plugins = ( [ ‘live’, ‘PortTracker’], );
Reiniciar NfSen:
reinstall/reconfigure/restart nfsen
Anexo IV
Apresentamos a configuração do switch.
C2960SIDC#sh ru
service password-encryption hostname C2960SIDC
!
enable secret 5 $1$eVRf$U0vFucziL6w5mJfBOhRMn/ !
!
interface FastEthernet0/2 switchport access vlan x switchport mode access
switchport port-security maximum 2
switchport port-security mac-address sticky !
interface FastEthernet0/3 switchport access vlan x switchport mode access
switchport port-security maximum 2
switchport port-security mac-address sticky interface GigabitEthernet0/1
switchport trunk allowed vlan x,x,x switchport mode trunk
! interface GigabitEthernet0/2 ! interface Vlan1 IP address xxx.xxx.xxx.xx xxx.xxx.xxx.xxx no IP route-cache ! IP default-gateway xxx.xxx.xxx.xxx IP http server IP http secure-server
banner motd ^C Welcome to SIDC, No Unauthorized Access Allowed^C ! line con 0 password 7 110A1016141D line vty 0 4 password 7 110A1016141D1D181D3A2A373B login local transport input ssh line vty 5 15 password 7 110A1016141D1D181D3A2A373B login local transport input ssh ! end
Anexo V
Apresentamos os comandos necessários ao manuseamento do NfSen. Parar o NfSen:
/etc/init.d/nfsen stop
Reconfigurar o NfSen:
/etc/init.d/nfsen reconfig
/etc/init.d/nfsen start
Ou em modo manual.
cd /data/nfsen/bin ./nfsen start