3.4 - Alertas e registros

Registros e alertas são itens importantes em uma política de segurança, mas, se eles não forem vistos periodicamente pela equipe responsável, de nada adiantam. Firewalls com muitos registros sendo gerados podem ser facilmente esquecidos pelo administrador, que fica perdido entre tantos dados.

Alertas podem ser configurados para envio por e-mail ou SMS, de modo que possam ser mais facilmente vistos pelo administrador. Revisar os registros periodicamente pode ser útil para detectar tentativas de ataque e permitir aos responsáveis a tomada de ações proativas.

Todas as ferramentas indicadas podem ser instaladas a partir do apt-get do Debian ou baixadas do site de cada ferramenta (Netcat, Hping, Nmap). Algumas delas também possuem versões para Windows, Mac OS X e outras plataformas.

A seguir, listamos algumas recomendações que devem ser observadas pelo auditor de segurança da rede:

  1. Os registros de log estão precisos?
  2. Estão sendo gerados mais registros do que o necessário?
  3. Existe procedimento para analisar os alertas?
  4. Eles são enviados para um local de rápida verificação?
  5. Os registros estão em local seguro?
  6. O horário do firewall está correto?
  7. Ele está sendo sincronizado com uma fonte de tempo confiável?

Por fim, verificamos que a tarefa de auditoria não é uma tarefa simples. Apesar de existirem ferramentas que auxiliam o auditor em algumas questões, elas não resolvem todos os problemas. Bom senso e conhecimento ainda são fundamentais. Durante as atividades práticas, vamos exercitar o uso do Nmap, e teremos oportunidade de utilizar as demais ferramentas apresentadas neste módulo.

Copyright © 2016 AIEC.