Auditoria em Sistemas Linux Como saber se suas implementações de segurança funcionam realmente

• Especialista de Testes e Segurança na Cipher;

• CEH (Ethical Hacker);

• CHFI (Forensic Investigator);

• Articulista sobre SegInfo;

• Entusiasta de Software Livre;

• Filósofo e Psicoterapeuta.

http://hackproofing.blogspot.com

• A ISO 27001 - gere segurança na corporação, ou seja, cria um sistema de segurança (SGSI).

• A ISO 27002 - aborda boas práticas de segurança da

informação no ambiente de TI. • Na primeira, os itens devem ser implementados, caso a

empresa queira tornar-se certificada. • Na segunda, nenhum item é obrigatório, mas auxilia na

implementação da primeira.

Auditoria = Exame

• E o que isso tem a ver com servidores Linux?

• Auditoria

• Hardening

• Análise de Vulnerabilidade

• Teste de Invasão

• Perícia Forense

• Planejamento (Pré-auditoria)

• Execução (Auditoria)

• Relatório (Pós-auditoria)

O que é melhor?

• Auditoria Interna

• Auditoria Externa

• Auditoria Articulada

A auditoria de TI abrange ainda outros controles que podem influenciar a segurança de informações:

• Organizacionais;

• De mudanças;

• De operação dos sistemas;

• Sobre banco de dados;

• Sobre microcomputadores;

• Sobre ambientes cliente/servidor.

• Você sabe a diferença?

• E há diferença?

• Firewalls • IDS/IPS • Controle de Logs • Pacotes instalados • Processos sendo executados • Linux File System e sua montagem • Hardware instalado • Usuários existentes • Uso do cron • Permissão de arquivos • Inicialização do sistema

• Através de ferramentas do sistema

• Através de ferramentas automatizadas de terceiros

• Através de análise manual

• Através de testes manuais

• Através da análise de contexto

• Comparando com boas práticas de segurança

• Auditorias em sistemas Linux são feitas utilizando o syslogd

• A configuração está em /etc/syslog.conf

• O formato: Facility.Priority Action to be taken

• Facility – aplicação que gera os logs

• Priority – Emerg, alert, crit, err, warning, notice, info, debug, none

• Action – enviar para arquivo, console, email, outro sistema...

• TARA (Tiger)

• Lynis

• SARA (SATAN)

• Nessus

• OpenVAS

• Firewall Tester

• IDS (Snort & OSSEC)

• OSSIM*

• ESIS**

• Últimos logins ▫ Last

• Último login de todos os usuários (dormant users)

▫ Lastlog

• Últimos logins que falharam (precisa criar o arquivo /var/log/btmp file) ▫ Lastb

• Eventos de segurança

▫ /var/log/secure

• Ferramentas para análise de logs ▫ Swatch – monitoramento em tempo real ▫ Logsentry ▫ Logwatch

luizwt@gmail.com

http://hackproofing.blogspot.com