Professional Documents
Culture Documents
SEGURANA
Teresina
Dezembro/2008
SUMRIO
1.0 INTRODUO ....................................................................................................................9
2.0 JUSTIFICATIVAS DE EXECUO DO PROJETO..................................................... 10
3.0 OBJETIVOS E METAS.................................................................................................... 11
4.0 TIPOS DE IDS .................................................................................................................. 12
4.1 HIDS ...............................................................................................................................................12
4.1.1 Pontos positivos do HIDS: .............................................................................................................12
4.1.2 Pontos negativos do HIDS: ............................................................................................................13
4.2 NIDS ...............................................................................................................................................13
4.2.1 Pontos positivos do NIDS: .............................................................................................................14
4.2.2 Pontos negativos do NIDS: ............................................................................................................15
4.3 IDS Hbrido.....................................................................................................................................15
4.4 KIDS ...............................................................................................................................................15
7.0 HONEYPOT...................................................................................................................... 20
7.1 Vantagens ......................................................................................................................................20
7.2 Desvantagens.................................................................................................................................20
7.3 Tipos de HoneyPot .........................................................................................................................20
7.3.1 Baixa Interatividade ......................................................................................................................20
7.3.2 Alta Interatividade ........................................................................................................................21
10.0 CONCLUSO.................................................................................................................. 32
11.0 DIFICULDADES ENCONTRADAS ............................................................................ 33
12.0 BIBLIOGRAFIA............................................................................................................. 34
ANEXOS ................................................................................................................................... 37
ANEXO 1 TUTORIAL PARA INSTALAO DO SNORT + PHP5 + APACHE2 +
MYSQL + BASE + SNORTNOTIFY + POSTFIX ............................................................... 37
PCRE-7.8 Verso utilizada at o momento da criao do tutorial......................................................37
Libpcap_1.0.0 - Verso utilizada at o momento da criao do tutorial ...............................................37
SNORT 2.8.3.1 - Verso utilizada at o momento da criao do tutorial ...........................................38
SNORTRULES........................................................................................................................................38
ADODB5.04 - Verso utilizada at o momento da criao do tutorial ..................................................39
BASE-1.4.1 - Verso utilizada at o momento da criao do tutorial....................................................39
SNORTNOTIFY 2.1 - Verso utilizada at o momento da criao do tutorial......................................41
MYSQL .................................................................................................................................................42
PostFix para fazer um relay em um servidor SMTP autenticado: .........................................................44
NDICE DE FIGURAS
Figura 1 - Cenrio idealizado....................................................................................................... 31
Figura 2 - Pgina inicial do Setup do AcidBase............................................................................ 43
Figura 3 Criar as tabelas ........................................................................................................... 43
Figura 4 Tabelas adicionadas.................................................................................................... 44
Figura 5 - Pgina inicial do AcidBase ........................................................................................... 44
Figura 6 - Pgina inicial do OSSEC-WUI ....................................................................................... 84
Figura 7 Autorizao da criao da site key do Tripwire.......................................................... 85
Figura 8 - Autorizao da criao da local key do Tripwire......................................................... 86
Figura 9 Reconstruir o arquivo de configurao do Tripwire................................................... 86
Figura 10 Reconstruir o arquivo de polticas do Tripwire ........................................................ 86
Figura 11 Informar senha para site key do Tripwire ................................................................ 87
Figura 12 Confirmar senha para site key do Tripwire .............................................................. 87
Figura 13 Informar senha para local key do Tripwire............................................................... 87
Figura 14 Confirmar senha para local key do Tripwire ............................................................ 87
Figura 15 Instalao do Tripwire concluda.............................................................................. 88
Figura 16 Baixar plugins Nessus I ........................................................................................... 115
Figura 17 Baixar plugins Nessus II .......................................................................................... 115
Figura 18 Baixar plugins Nessus III ......................................................................................... 116
Figura 19 Baixar plugins Nessus IV ......................................................................................... 116
Figura 20 Baixar plugins Nessus V .......................................................................................... 117
Figura 21 Tela de logins do Nessus-Client .............................................................................. 118
Figura 22 Tela de seleo de plugins do Nessus-Client.......................................................... 118
Figura 23 Iniciar um scaneamento no Nessus........................................................................ 119
Figura 24 Tela de verificao do Nessus................................................................................. 119
Figura 25 Relatrio do Nessus................................................................................................ 120
Figura 26 Salvar relatrio ....................................................................................................... 120
Figura 27 Relatrio do Nessus gerado em html ..................................................................... 121
Figura 28 Interface usada no Debconf ................................................................................... 123
Figura 29 Prioridade das perguntas do Debconf.................................................................... 123
Figura 30 Nome do servidor do OSSIM .................................................................................. 125
Figura 31 IP do servidor OSSIM .............................................................................................. 125
Figura 32 Nome do Framework.............................................................................................. 125
Figura 33 IP do Framework .................................................................................................... 125
Figura 34 Porta do Framework............................................................................................... 126
Figura 35 Nome do banco do servidor OSSIM ....................................................................... 126
Figura 36 Hostname do servidor MYSQL................................................................................ 126
Figura 37 Nome do administrador do banco ossim ............................................................... 126
Figura 38 Senha do usurio do banco do servidor MYSQL .................................................... 126
Figura 39 Nome do banco pertencente ao Snort................................................................... 127
Figura 40 Hostname do servidor MYSQL................................................................................ 127
1.0 INTRODUO
Com o passar dos anos, o nmero de incidentes de segurana em informtica
teve um grande aumento. A disponibilidade de conexo a todo o momento, e com taxas
de transmisso cada vez mais elevadas juntamente com o uso difundido da utilizao
das redes de computadores e servios usados para Internet, tem contribudo para o
crescimento do nmero de ataques, tais como worms, prospeco (port scan), negao
de servio (DoS), fora bruta (bruteforce), estouro de memria (buffer overflow), entre
outros.
A definio de intruso ou ataque se d como qualquer conjunto de aes que
tentam, de alguma forma, comprometer a integridade, confidencialidade ou
disponibilidade de um recurso computacional, mesmo que este obtenha xito ou no
destas aes.
Os sistemas de deteco de intruso (IDS) tm sido utilizados para proteo,
monitorao de atividades maliciosas e diversos tipos de ataques. O IDS funciona como
um monitoramento do ambiente buscando indcios de ataques para enviar diferentes
alertas aos responsveis. De uma forma muito bsica, o IDS funciona como um sniffer
de rede que compara o contedo da informao dos pacotes que trafegam pelo meio,
com uma base de dados de assinaturas de ataques e/ou anomalias que indicam potencial
atividade maliciosa. Em outra forma, o IDS analisa as modificaes realizadas na
mquina e as compara com uma base de dados, gerada anteriormente, atrs de
modificaes realizadas.
notrio lembra que, no vale apenas se proteger com o IDS ou um firewall.
preciso ter outros mecanismos de rede que possam auxiliar nessa tarefa, como
ferramentas de auditoria usadas com o intuito de detectar e indicar as possveis
vulnerabilidades encontradas nos computadores.
10
11
4.1 HIDS
Faz o monitoramento do sistema com base em informaes de arquivos de logs
ou de eventos de auditoria. Os eventos de auditoria so gerados pelo kernel do sistema
operacional, portanto, possuem mais proteo e detalhes do que os arquivos de logs. O
HIDS fiscaliza acessos e alteraes em importantes arquivos do sistema, modificaes
nos privilgios dos usurios, processos do sistema e programas em execuo, uso da
CPU e deteco de port scanning.
O HIDS pode tambm verifica a checagem da integridade dos arquivos do
sistema, fazendo com que arquivos corrompidos, que podem vir a ser backdoors, so
detectados antes que causem problemas mais srios.
4.1.1 Pontos positivos do HIDS:
Verificar o sucesso ou a falha de um ataque;
Atividades especficas do sistema podem ser monitoradas detalhadamente, como
o acesso a arquivos, modificao em permisses de arquivos, logon e logoff do
usurio e funes do administrador;
12
Ataques que utilizam criptografia podem no ser notados pelos NIDS, mas
descobertos pelos HIDS, pois o Sistema Operacional primeiro decifra os
pacotes;
Ataques que ocorrem fisicamente no servidor podem ser detectados;
independente da topologia da rede, podendo ser utilizado em redes separadas
por switches;
Gera poucos falsos positivos, ou seja, poucos alarmes falsos de ataques;
No necessita de hardware adicional.
4.1.2 Pontos negativos do HIDS:
Dificuldade de gerenciar e configurar em todos os hosts da rede que devem ser
monitorados;
Dependncia do sistema operacional, ou seja, um HIDS que funciona no Linux
totalmente diferente de um HIDS que opera no Windows;
No capaz de detectar ataques de rede, como o scanning de rede ou o Smurf,
por exemplo;
Caso o HIDS seja invadido, as informaes podem ser perdidas;
Necessita de espao de armazenamento adicional para os registros do sistema;
No tm bom desempenho em sistemas operacionais que geram poucas
informaes de auditoria, como o caso do Windows 98;
Apresenta diminuio de desempenho no host monitorado.
4.2 NIDS
O sistema de deteco de intruso baseado em rede (NIDS) monitora o trfego
do segmento da rede e os hosts nele conectados, geralmente posicionado em um
segmento de rede ou switch e com a interface de rede atuando em modo promscuo.
O NIDS eficiente principalmente contra ataques sute de protocolos TCP/IP,
como port scanning, IP spoofing ou SYN flooding, buffer overflow, entre outros. A
deteco realizada com a captura e anlise dos cabealhos e contedos dos pacotes,
que so comparados em uma base de dados de assinaturas de ataques e/ou anomalias
conhecidos. Exemplos de NIDS so o RealSecure, o NFR e o Snort.
13
Os NIDS podem ser divididos em duas partes que atuam em conjunto, que so
os sensores (hosts) e o gerenciador ou console. Os sensores devem ser espalhados pelos
segmentos de rede e so os responsveis pelo monitoramento do trfego de rede,
executando toda a anlise localmente, e reportando os ataques para um console de
gerenciamento central. Muitos desses sensores atuam em modo oculto (stealth),
tornando mais difcil para um atacante determinar a presena e localizao de um
determinado sensor. J o gerenciador ou console faz com que os sensores sejam
administrados de modo integrado, com a definio dos tipos de resposta a serem
utilizados para cada tipo de comportamento suspeito percebido. A comunicao entre
sensores e gerenciador criptografada.
Uma caracterstica importante do NIDS sua capacidade de detectar ataques na
rede em tempo real. Ele pode capturar os pacotes referentes ao ataque, analisar e
responder invaso praticamente ao mesmo tempo em que o servidor atacado. A
resposta poderia ser, por exemplo, o envio de alertas ou o trmino da conexo. Aps a
anlise feita pelo sistema de deteco, os resultados possveis em um IDS so:
Trfego suspeito detectado (comportamento normal);
Trfego suspeito no detectado (falso negativo);
Trfego legtimo que o IDS analisa como sendo suspeito (falso positivo);
Trfego legtimo que o IDS analisa como sendo legtimo (comportamento
normal).
Para um administrador de rede, uns dos principais problemas encontrados no uso
de IDS so os falsos positivos, que nada mais so do que os alarmes falsos, como um
alarme indicando ataque a um servio inexistente no ambiente. preciso conhecer bem
o ambiente a ser monitorado, refinar as regras e/ou assinaturas baseadas nesse ambiente
para diminuir o nmero de falsos positivos.
4.2.1 Pontos positivos do NIDS:
O monitoramento pode ser realizado em um ambiente com mltiplas
plataformas;
Com a anlise de cabealhos e do payload de pacotes, ataques de rede como o
port scanning, IP Spoofing ou Teardrop podem ser detectados;
Pode monitorar portas conhecidas como a porta TCP 80 do HTTP.
14
4.4 KIDS
O Kernel Intrusion Detection System (KIDS) nada mais que um sistema de
deteco de intrusos, porm a funo de capturar e comparar pacotes com regras pr15
16
5.1.2 Desvantagens
Identificam apenas ataques conhecidos, necessitando de uma constante
atualizao no conjunto de assinaturas;
Como grande parte das assinaturas so muito especificas, ataques
variantes no so detectados.
Pode ser enganado por meio de tcnicas como a insero de espaos em
branco no stream de dados do ataque.
18
6.1 Passivo
Em um sistema passivo, o IDS detecta uma potencial violao da segurana,
registra a informao (log) e dispara um alerta.
6.2 Ativo
Nesse sistema, o IPS responde atividade suspeita finalizando a sesso de
usurio ou acrescentando regras no Firewall para bloquear o trfego de rede da fonte
suspeita, que pode ser maliciosa ou no. Por outro lado, o IPS tem como ponto negativo
a sua suscetibilidade a ataques de negao de servios, maior do que em IDS, o que
exige uma configurao eficiente sem comprometer a disponibilidade do ambiente.
19
7.0 HONEYPOT
Honeypot (Pote de Mel) so recursos computacionais dedicados a serem sondados,
atacados ou comprometidos, com o propsito de reunir o mximo de informaes
possveis sobre os atacantes, como a anlise de suas aes e sua identificao na rede.
Como no possui nenhum servio rodando em produo, apenas servios feitos
para captura, qualquer interao com o honeypot, como uma sondagem ou verificao,
pode ser, a princpio, suspeita.
Diversos servios podem ser simulados ou atendidos por um Honeypot, como FTP,
servidor de e-mail, SSH, telnet, portas especficas para alguns programas, etc. Um
conjunto formado por vrios HoneyPot subtende-se como uma HoneyNet.
7.1 Vantagens
Facilidade de deteco de pragas que se propagam aleatoriamente pela rede;
Baixa incidncia de falsos positivos;
Fcil de implantar e baixa necessidade de recursos;
Possibilidade de detectar novas formas de ataques.
7.2 Desvantagens
Anlise restrita, s consegue enxergar o trfego direcionado a eles;
Pode servir como porta para o invasor, sendo um risco adicional se mal
configurado.
21
8.0 FERRAMENTAS
8.1 Labrador
Labrador ou labrador-ids um HIDS desenvolvido em Perl. uma ferramenta
multi-plataforma criada para identificar quaisquer modificaes indesejadas feitas em
seu sistema.
A instalao do Labrador pode ser vista no anexo 10.
8.2 Osiris
Osiris um HIDS que pode ser usado para monitorar alteraes em uma rede de
hosts ao longo do tempo e comunicar essas alteraes para o administrador. Incluindo
quaisquer alteraes nos sistemas de arquivos. De tempos em tempos, o Osiris tira
snapshots do sistema de arquivos e armazena em um banco de dados. Esses bancos de
dados, bem como as configuraes e logs, so armazenados em um host de
gerenciamento central. Quando alteraes so detectadas, ele ir registrar estes eventos
no log do sistema e opcionalmente enviar e-mail para um administrador. Alm disso, ele
capaz de monitorar outras informaes de sistema, incluindo listas de usurios, listas
de grupo e os mdulos do kernel ou extenses.
O Osiris possui uma arquitetura cliente/servidor e no um software baseado em
assinaturas, ele detecta e comunica as alteraes em um sistema de arquivos e permite
que o administrador determine que (caso tenha alguma) ao precisa ser feita.
Pode ser feito a instalao em diversos sistemas operacionais, bem como
Windows, sistemas BSD, Linux, Mac OS X, AIX, IRIX.
A instalao do Osiris pode ser vista no anexo 8.
8.3 OSSEC
O ossec hids software HIDS de cdigo aberto que possui como desenvolvedor
principal o brasileiro Daniel Cid. Ele tem a capacidade de trabalhar localmente, ou
trabalhar em uma rede como cliente e servidor. Pode realizar operaes de anlise de
logs, checagem de integridade de sistemas e arquivos, monitora registro do Windows,
deteco de rootkits, alertas em tempo real e respostas pr-ativas (regras no firewall).
22
8.4 Tripwire
O Tripwire um software HIDS, e como tal serve para notificar o administrador
da ocorrncia de modificaes em arquivos vitais do sistema, e, conseqentemente,
minimizar o impacto de invases que no puderam ser impedidas por seu firewall.
Ele gera uma base de dados contendo informaes como hash, permisses e data
de modificao de cada arquivo pr-estabelecido para proteo. No processo de
verificao, una nova base de dados gerada e comparada primeira, emitindo um
relatrio para o administrador.
A instalao do Tripwire pode ser vista no anexo 7.
8.5 AIDE
O AIDE (Advanced Intrusion Detection Environment) tambm um software de
HIDS e para muitos considerado um substituto para a ferramenta de verificao de
integridade de arquivo Tripwire, fazendo coisas alm da capacidade deste. O AIDE cria
um banco de dados atravs de expresses regulares de regras que so encontrados em
23
um arquivo de configurao, e uma vez que esse banco de dados inicializado, ele pode
ser usado para verificar a integridade de arquivos crticos e de usurios.
AIDE utiliza os mais populares algoritmos de digesto de mensagens (md5,
sha1, rmd160, tiger, haval, etc) para checar a integridade de arquivo. Outros algoritmos
podem ser adicionados com facilidade. Todos os atributos de arquivo tambm podem
ser verificados a procura de inconsistncias. Ele pode ler tambm, os bancos de dados
de verses mais antigas ou mais recentes.
O AIDE pode ser executado em qualquer sistema baseado no Unix, como
Solaris, Linux, FreeBSD, Unixware, BSDi, OpenBSD, AIX, HP-UX, Cygwin, etc.
A instalao do AIDE pode ser vista no anexo 5.
8.6 Snort
Snort uma ferramenta de NIDS, bastante utilizada, pois, alm de gratuito,
open source. Ele sniffer que tem como diferencial a capacidade de inspecionar o payload do
pacote, rea que contm os dados do mesmo, fazendo os registros dos pacotes, alm de detectar
as invases.
Alerta/registro.
Assim como o TCPDump, o Snort faz uso de uma biblioteca chamada libcap
para realizar a captura dos pacotes. Esta biblioteca alm de capturar os dados destinados
prpria mquina capaz de receber os pacotes destinados a outras mquinas dentro do
mesmo segmento de rede.
24
8.7 OSSIM
OSSIM um conjunto de softwares de cdigo-fonte aberto integrados com o
intuito de fornecer uma infra-estrutura de controle de segurana e monitoramento da
rede, permitindo a correlao entre as funcionalidades de cada um dos produtos.
O objetivo do OSSIM proporcionar um framework capaz de centralizar,
organizar e melhorar a deteco e exibio dos eventos para um melhor gerenciamento
do administrador, obtendo uma viso detalhada sobre todo e qualquer aspecto das suas
redes, hosts, acesso fsico, dispositivos, servidor etc.
25
Sensores;
Servidor de gerenciamento;
Banco de dados;
Frontend.
8.8 Prelude
O Prelude um IDS Hbrido, que suporta diversas aplicaes open-source ou
no. Ele reporta os eventos a um sistema centralizado, atravs de sensores.
26
8.9 Guardian
Guardian um IPS que trabalha junto com o Snort. Ele capaz de atualizar
automaticamente as regras do firewall baseado nos alertas gerados pelo Snort. As regras
atualizadas do firewall bloqueiam todos os dados oriundos da mquina na qual o Snort
gerou o alerta, possivelmente um IP do atacante.
Como o Snort tambm gera muitos falsos positivos, possvel deixar mquinas
em que o administrador da rede tenha a certeza de que no comprometem o trfego ou
que no so mquinas de atacantes, como servidores DNS, servidores de EMAIL,
gateways ou qualquer outra mquina que desejar.
Ele trabalha com script e pode gerar regras de bloqueio/desbloqueio em diversos
firewalls, dentre eles ipchains, iptables, ipfwadm, ipfw, ipfilter, etc.
27
8.10 Fwsnort
Fwsnort um IPS que tambm trabalha junto com o Snort. Ele cria as regras de
iptables baseado nas regras do Snort. Assim, assinaturas conhecidas de ataques crticos
podem ser interpretadas antes de passar para a rede. Alm disso, assinaturas da camada
de aplicativo que existem em regras do Snort, podem ser facilmente detectadas. No
caso, ele adiciona uma opo --hex-string para o iptables permitir que as regras do snort
que contenham caracteres hexadecimais sejam tratadas pelo iptables sem que aja
qualquer modificao.
A instalao do FWsnort pode ser vista no anexo 11.
8.11 HLBR
O HLBR (Hogwash Light Brasil) tambm classificado como IPS. Ele foi
baseado no IPS desenvolvido por Jason Larsen, chamado de IPS HOGWASH. Ele
funciona como uma bridge, tornando-o invisvel na rede, sendo capaz de interceptar
trfego malicioso baseado em arquivos de regras e assinaturas de ataques.
O HLBR no usa a libpcap para fazer a ponte entre as placas de rede da mquina.
Portanto, o trabalho de capturar, desmontar, analisar e remontar feito pelo prprio
HLBR. O HLBR capaz de analisar o pacote TCP em todas as camadas do Modelo OSI
e TCP.
Os valores dos campos dos cabealhos de camada 2, 3 e 4 so testados pelas suas
regras. Ele reconhece o formato dos cabealhos sem o auxlio da pilha TCP/IP do
sistema operacional. Dessa forma, o HLBR poder negar ataques na camada 3 do
Modelo OSI mesmo a mquina onde ele est instalado no possuir nmero IP.
A instalao do HLBR pode ser vista no anexo 12.
8.12 Honeyd
O Honeyd um software para HoneyPot de baixa interao. Foi desenvolvido
por Niels Provos, da Universidade de Michigan, e pode ser instalado tanto em Windows
como na maioria dos sistemas baseados em Unix.
28
Por ele ser de baixa interatividade, significa que ele vai emular sistemas e
servios de forma simultnea ao nvel da pilha TCP/IP. Os sistemas virtuais podem ter
servios falsos como e-mail, SSH, Telnet, FTP, DNS, backdoors do Windows como o
MyDoom, etc. Ele permite tambm criar estrurura de ligao em rede, ligao com
outros honeypots e at mesmo ligar mquinas reais a ele.
Cada sistema virtual possui o seu prprio IP. Assim, o honeyd tem a capacidade
de enganar scanners de rede, como o Nmap e o XPROBE, e retornar o campo do
Sistema emulado, baseado no arquivo de assinaturas nmap.prints. Dessa fora, permite
aos Sistemas virtuais responder exatamente como o sistema operacional que ele emula,
quando testado pelo Nmap, por exemplo.
A instalao do Honeyd pode ser vista no anexo 13.
8.13 Nessus
O Nessus uma ferramenta de auditoria muito usada para detectar e indicar uma
maneira de solucionar as possveis vulnerabilidades encontradas nos PCs da rede. Ele
varre todas as portas TCPs detectando servidores ativos e simula invases para detectar
vulnerabilidades.
Alm de simular invases para detectar vulnerabilidades, o Nessus faz uma
varredura de portas usando a ferramenta Nmap (portscan) no apenas nas portas padro,
mas em todas as portas TCP.
O Nessus, at a verso 2.2.8, era uma ferramenta open-source e gratuita. Em sua
verso mais nova e por questes de concorrncias com outras empresas de segurana,
que faziam modificaes no Nessus e colocavam em seus produtos proprietrios para
competir com ele, passou a ser cdigo fechado e gratuito.
Uma das principais caractersticas do Nessus a sua tecnologia cliente-servidor.
O usurio basta apenas ter instalado o cliente em sua mquina e os servidores podem ser
alocados em pontos estratgicos da rede, permitindo testes de vrios pontos diferentes.
Um cliente central ou mltiplos clientes podem controlar todos os servidores. Dessa
forma, o servidor executa os teste e o cliente configura e emite os relatrios.
O Nessus pode ser instalado na maioria dos sistemas baseados no Unix e no
Windows.
29
8.14 Nikto
O Nikto nada mais , que um scanner, escrito em Perl, de busca ou deteco de
vulnerabilidades em webservers. Tem a capacidade de descobrir mais de 625 servidores
e conhecer quais so as principais vulnerabilidades de mais de 230 verses especficas
de webservers.
Possui um banco de dados em formato CSV, no qual possvel realizar
atualizaes da base de dados de vulnerabilidades, assim como seu prprio cdigo
fonte. Ele determina qual o diretrio que contm CGIs, alem de trocar as verses
HTTP conforme necessrio para fazer as requisies ao servidor, usando ou no
suporte a SSL. Pode passar por Proxy autenticado e ainda varre vrias portas no
servidor para conseguir encontrar um webserver. Tambm pode ser acrescido de plugins
desenvolvidos em Perl para ter um melhor desempenho e a sada do relatrio
direcionada para arquivos do tipo TXT, HTML e CVS.
O Nikto no esconde sua prpria identificao porque uma ferramenta de
auxlio ao administrador de redes, no necessariamente direcionada ao pblico com
interesse na prtica de invases. Porm, ele tambm suporta algumas tcnicas de evaso
de IDSs presentes na LibWhisker, na qual baseado.
A instalao do Nikto pode ser vista no anexo 9.
30
9.0 CENRIO
Um dos possveis cenrios que poderia ser feito com a utilizao das ferramentas
estudadas apresentado abaixo:
31
10.0 CONCLUSO
As ferramentas de respostas a incidentes de segurana foram feitas para auxiliar
o administrador de redes, e no para operarem no seu lugar. As ferramentas fazem um
excelente trabalho no que diz respeito ao seu propsito, mas no adianta instalar um
IDS ou ter um scanner de vulnerabilidades se os logs gerados no so lidos diariamente.
preciso ficar atento as atualizaes ou correes das aplicaes, atualizando as
mesmas e o Sistema Operacional sempre que possvel, tomando cuidado quando a
correo da vulnerabilidade no afetar outras aplicaes.
A melhor forma de fazer um permetro de segurana eficaz :
Analisar a sua prpria rede;
Estudar o seu comportamento e identificar algo de perigoso para a
mesma.
Criar as prprias regras dos IDS baseadas nesse levantamento e no
utilizar apenas as regras padres.
Ter um servidor de tempo rodando para na hora da auditoria dos logs das
ferramentas no ocorrer surpresas.
Analisar diariamente os logs, verificar possveis vulnerabilidades e ficar
sempre atento as atualizaes das aplicaes.
Pela anlise das ferramentas estudadas, conclui-se que o OSSIM, por possuir
um conjunto de ferramentas, j bem aceitas por analistas de segurana, em seu
no framework, apresenta como uma das melhores ferramentas de reposta a
incidentes de segurana. Em casos isolados, o SNORT, como IDS, o OSIRIS,
como HIDS, o GUARDIAN, como IPS, o NESSUS, como scanner de
vulnerabilidades, e o HONEYD, como honeypot de baixa interatividade, so
considerados as melhores opes.
32
33
12.0 Bibliografia
[1] Labrador Intrusion Detection. Disponvel em: http://labradorids.sourceforge.net/
[2] OSIRIS. Disponvel em: http://osiris.shmoo.com/
[3] OSSEC. Disponvel em: http://www.ossec.net/
[4] Tripwire. Disponvel em: http://sourceforge.net/projects/tripwire/
[5] AIDE. Disponvel em: http://cs.tut.fi/~rammer/aide.html
[6] Snort. Disponvel em: http://www.snort.org/
[7] SnortNotify. Disponvel em: http://www.780inc.com/snortnotify.html
[8] Snort-Inline. Disponvel em: http://snort-inline.sourceforge.net/
[9] OSSIM. Disponvel em: http://www.ossim.net/
[10] PRELUDE. Disponvel em: http://www.prelude-ids.com/
[11] Guardian. Disponvel em: http://www.chaotic.org/guardian/
[12] FWSnort. Disponvel em: http://cipherdyne.org/fwsnort/
[13] HLBR. Disponvel em: http://hlbr.sourceforge.net/
[14] Honeyd. Disponvel em: http://www.honeyd.org/
[15] NESSUS. Disponvel em: http://www.nessus.org/nessus/
[16] Inprotect. Disponvel em: http://inprotect.sourceforge.net/
[17] Nikto. Disponvel em: http://www.cirt.net/code/nikto.shtml
[18] Jr,Brivaldo Alves da Silva, Melhorando a segurana do Firewall com
Bridges usando Snort_Inline no Debian Etch. Disponvel em:
http://www.vivaolinux.com.br/artigo/Melhorando-a-seguranca-do-Firewall-comBridges-usando-Snort_Inline-no-Debian-Etch?pagina=5
[19] Polesso, Rodrigo, Snort_INLINE: Proteo total. Disponvel em:
http://www.vivaolinux.com.br/artigo/Snort_INLINE-Protecao-total/?pagina=3
[20] Polesso, Rodrigo, Sistema de Segurana Linux para Usurio Final.
Disponvel em: http://www.dainf.ct.utfpr.edu.br/~cristina/MShield.pdf
34
[21] Brams, Miguel, Intrusion Detection: Snort (IDS), OSSEC (HbIDS) And
Prelude (HIDS) On Ubuntu Gutsy Gibbon. Disponvel em:
http://www.howtoforge.com/snort-ossec-prelude-on-ubuntu-gutsy-gibbon
[22] LEHMANN, Guillaume, INSTALLATION DE PRELUDE-IDS. Disponvel em:
http://lehmann.free.fr/PreludeInstall/
[23] Ramesh, Tripwire Tutorial: Linux Host Based Intrusion Detection
System. Disponvel em: http://www.thegeekstuff.com/2008/12/tripwire-tutoriallinux-host-based-intrusion-detection-system/
[24] Santos, Ricardo Iramar dos, Osiris - Host Integrity Monitoring System.
Disponvel em: http://www.dicas-l.com.br/dicas-l/20040930.php
[25] Xenlab, Security Testing your Apache Configuration with Nikto.
Disponvel em: http://www.howtoforge.com/apache_security_testing_with_nikto
[26] Augusto, Keynes, Checando vulnerabilidades com o Nikto. Disponvel
em: http://www.vivaolinux.com.br/artigo/Checando-vulnerabilidades-com-o-Nikto/
[27] Rafael, Labrador, um detector de intrusos. Disponvel em:
http://www.vivaolinux.com.br/artigo/Labrador-um-detector-de-intrusos/
[28] Linux Firewalls, DEPLOYING FWSNORT. Disponvel em:
http://www.tinker.tv/download/firewalls_ch10.pdf
[29] McRee, Russ, fwsnort-1.0.5: iptables intrusion detection. Disponvel em:
http://www.receptiveit.com.au/files/eBooks/Linux%20Firewalls%20%20Attack%20Detection/Linux%20Firewalls%20Attack%20Detection%20and%20
Response%20with%20Iptables,%20PSAD,%20and%20Fwsnort.pdf
[30] Fernandes, Dailson, Blindando sua rede com o HLBR - Um IPS invisvel e
brasileiro. Disponvel em: http://www.vivaolinux.com.br/artigo/Blindando-suarede-com-o-HLBR-Um-IPS-invisivel-e-brasileiro/
[31] Suzuki, Luiz Henrique, Implantao de um Honeypot e proposta para
metodologia de Gerenciamento de Projetos de Honeynets. Disponvel em:
http://monografias.cic.unb.br/dspace/bitstream/123456789/102/1/LuizAlexandre.pdf
[32] Morimoto, Carlos E., Usando o Nessus 3.x. Disponvel em:
http://www.guiadohardware.net/tutoriais/usando-nessus/
[33] Montoro, Rodrigo Ribeiro, Anlise de logs usando o
OSSEC HIDS. Disponvel em:
[34] Sampaio, Miguel, Manual de Instalao do Snort@Ubuntu. Disponvel
em:
http://www.snort.org/docs/setup_guides/intl/portuguese/Snort_Install_Portuguese.p
df
35
36
ANEXOS
# cd /opt/Downloads
# tar xzvf pcre-7.8.tar.gz
# cd pcre-7.8
# ./configure
# make && make install
Libpcap_1.0.0 - Verso utilizada at o momento da criao do tutorial
Baixe dependncias necessrias:
37
# cd /opt/Downloads
# tar xzvf libpcap-1.0.0.tar.gz
# cd libpcap-1.0.0
# ./configure
# make && make install
Aps a instalao da biblioteca ser necessria a atualizao:
# ldconfig
SNORT 2.8.3.1 - Verso utilizada at o momento da criao do tutorial
Utilizaremos juntamente com o MYSQL, portanto:
# cd /opt/Downloads
# tar xzvf snort-2.8.3.1.tar.gz
# cd snort-2.8.3.1
# ./configure - -with-mysql
# make && make install
Configuraes necessrias do sistema:
# groupadd snort
# useradd -g snort snort
# mkdir /etc/snort
# mkdir /var/log/snort
# cp /opt/Downloads/snort-2.8.3.1/etc/* /etc/snort
SNORTRULES
Faa o seu registro em http://www.snort.org e baixe as regras para o SNORT
38
Donwload http://www.snort.org/pub-bin/downloads.cgi
Baixe a verso corrente para usurios registrados
Baixe e descompacte dentro de /etc/snort:
# cd /etc/snort
# tar xzvf snortrules-snapshot-CURRENT.tar.gz
Configurao do snort.conf. No exemplo criado, foi utilizado a rede
10.10.10.0/24. Modifique apenas as linhas necessrias:
# vim /etc/snort/snort.conf
var HOME_NET [127.0.0.0/8,10.10.10.0/24]
var EXTERNAL_NET !$HOME_NET
var DNS_SERVERS [200.137.160.130,200.137.160.135]
var RULE_PATH /etc/snort/rules
output database: log, mysql, user=snort password=snort dbname=snort host=localhost
Aps realizada as modificaes reinicie o snort:
# snort -c /etc/snort/snort.conf -D
ADODB5.04 - Verso utilizada at o momento da criao do tutorial
# aptitude install apache2 libapache2-mod-php5 php5 php5-gd php-pear php5-cli php5common php5-mysql php-net-socket php-net-smtp php-mail php-http php-db php-xmlparser
Download http://sourceforge.net/project/showfiles.php?group_id=42718
Baixe e descompacte o adodb dentro de /var/www:
# cd /var/www
# tar xzvf adodb5.tgz
39
# vim /etc/apache2/sites-available/default
Comente a linha que possui:
# cd /var/www
# tar xzvf base-1.4.1.tar.gz
# mv base-1.4.1 base
# cd base
Configurao do arquivo base_conf.php:
# cp base_conf.php.dist base_conf.php
# vim base_conf.php
$BASE_Language = 'portuguese';
$BASE_urlpath = '/base';
$DBlib_path = '/var/www/adodb/';
$DBtype = 'mysql';
$alert_dbname = 'snort';
$alert_host = 'localhost';
$alert_port = '';
$alert_user = 'snort';
$alert_password = 'snort';
$archive_exists = 0;
$archive_dbname = 'snort';
$archive_host = 'localhost';
$archive_port = '';
$archive_user = 'snort';
40
$archive_password = 'snort';
Baixar os arquivos necessrios para gerar os grficos
Download http://download.pear.php.net/package/Image_Canvas-0.3.1.tgz
Download http://download.pear.php.net/package/Image_Color-1.0.2.tgz
Download http://download.pear.php.net/package/Image_Graph-0.7.2.tgz
Descompacte e instale:
# cd /opt/Downloads
# tar xzvf Image_Canvas-0.3.1.tar.gz
# tar xzvf Image_Color-1.0.2.tar.gz
# tar xzvf Image_Graph-0.7.2.tar.gz
# pear install Image_Canvas-0.3.1 Image_Color-1.0.2 Image_Graph-0.7.2
# cp /opt/Downloads/snortnotify-v2.1/SnortNotify.conf /etc
41
# vim /etc/SnortNotify.conf
$workto = 'security@pop-pi.rnp.br';
$offto = 'pager@example.com';
$startworkhr = '08';
$endworkhr = '18';
@workdays = ('1', '2', '3', '4', '5', '6', 7'') ;
$sender = 'Snort Alerts <snort@pop-pi.rnp.br>';
$return = 'snort@pop-pi.rnp.br';
$subject = 'Alertas do Snort';
$message = 'snortsensor detected signature from src to dst count times last at
timestamp';
$usesendmail = '1';
$sendmail = '/usr/sbin/sendmail';
$mailserver = 'localhost';
$dbhost = 'localhost';
$dbname = 'snort';
$dbuser = 'snort';
$dbpass = 'snort';
$priority = '3';
$threshold = 'on';
MYSQL
Configurao do MySQL:
# mysql
mysql> set password for root@localhost=password(senhaparaoroot);
mysql> create database snort;
mysql> grant insert, select on root.* to snort@localhost;
mysql> set password for snort@localhost=password(snort);
mysql> grant create, insert, select, delete, update on snort.* to snort@localhost;
mysql> grant create, insert, select, delete, update on snort.* to snort;
mysql> exit
42
# mysql -p
Digite a senha do root para o banco:
43
A pgina que aparece ser exibido a criao das tabelas com sucesso. Para
continuar clique em Main Page para ir para a pgina principal
44
Pgina
Principal
Configurao:
Caso esteja usando Debian ou derivados, dever editar tambm o
/etc/default/saslauthd, retirando o comentrio da seguinte linha:
START=yes
Edite o Arquivo /etc/postfix/main.cf, adicionando no final do arquivo:
srelayhost = smtp.provedor.com.br
Configurar o arquivo /etc/postfix/sasl/sasl para realizar a autenticao:
# postmap /etc/postfix/sasl/sasl
Reinicie o Postfix:
Faa o teste:
# tail /var/log/mail.log -f
47
# mysql -u root -p
Conectado no MySQL crie uma base de dados para o Snort:
# mysql -u root -p
mysql> show databases;
mysql> create database snort;
mysql> quit
48
# cd /usr/share/doc/snort-mysql
Utilize o arquivo create mysql.gz para criar as tabelas dentro da base de dados snort:
# mysql -u root -p
mysql> show databases;
mysql> use snort;
mysql> show tables;
mysql> status;
mysql> quit;
49
# cd /etc/snort
# ls -l
Faca um cpia do snort.conf original e mantenha um novo arquivo sem os comentrios:
# mv snort.conf snort.conf.orig
# cat snort.conf.orig | grep v ^# | grep . > snort.conf
Edite o snort.conf e modifique-o da seguinte maneira:
# vi snort.conf
var HOME_NET 10.10.10.0/24
var EXTERNAL NET any
var DNS_SERVERS $HOME_NET
var SMTP_SERVERS $HOME_NET
var HTTP_SERVERS $HOME_NET
output database: log, mysql, user=root
host=localhost
password=123456
dbname=snort
# cd /etc/snort
# rm db-pending-config
Reinicie o snort:
# /etc/init.d/snort restart
50
Para finalizar essa etapa, d permisso de acesso remoto na base de dados snort e
suas tabelas:
# mysql -u root -p
mysql> grant all privileges on snort.* to root@10.10.10.102 identified by "123456";
mysql> grant all privileges on snort.* to root@microX identified by "123456';
mysql> quit
Instalao e Configurao do Apache2
Instale o Apache2:
# vi /etc/apache2/apache2.conf
ServerName 10.10.10. X
Edite o arquivo /etc/default/apache2, para permitir que o apache seja iniciado:
# vi /etc/default/apache2
NO_START=0
Reinicie o Apache2:
# /etc/init.d/apache2 restart
51
# cd /var/www
# rm -rf apache2-default
Retire a opo de Indexes para o diretrio padro do apache2 e retire o
redirecionamento para a pasta apache2-default:
# vi /etc/apache2/sites-available/default
<Directory /var/www/>
Options FollowSymLinks MuitiViews
AllowOverride None
Order allow,deny
allow from all
# This directive allows us to have apache2's default start page
# in /apache2-default/, but still have / go to the right place
# RedirectMatch ^/$ /apache2-default/
</Directory>
.
.
.
ServerSignature Off
Reinicie o Apache2:
# /etc/init.d/apache2 restart
Instalao e Configurao do PHP5
Instale o PHP5 e alguns mdulos necessrios:
52
# vi /etc/php5/apache2/php.ini
; Example lines:
extension=mysql.so
; Safe Mode
safe_mode = 0n
safe_mode_gid = 0n
Reinicie o Apache2:
# /etc/init.d/apache2 restart
Instalao e Configurao do AcidBase
O AcidBase a ferramenta que ser utilizada para visualizar os eventos de alerta
que sero gerados pelo Snort e gravados dentro do MySQL.
Instale o Acidbase:
# vi /etc/acidbase/database.php
$alert _user=' root ';
$alert_password=' 123456';
$basepath=' ';
$alert_dbname='snort ';
$alert_host=' 10.10.10.102';
$alert_port=' 3306';
$DBtype='mysql ';
53
# vi /etc/acidbase/apache.conf
<IfModule mod_alias .c>
Alias /acidbase "/usr/share/acidbase"
</IfModule>
<DirectoryMatch /usr/share/acidbase/>
Options +FollowSymLinks
AllowOverride None
order deny,allow
deny from all
allow from 10.10.10.0/255.255.255.0
allow from 127.0.0.0/255.0.0.0
<IfModule mod_php4.c>
php_flag magic_quotes_gpc Off
php_flag track_vars On
php_value include_path .:/usr/share/php
</IfModule>
</DirectoryMatch>
Crie o link simblico para a pasta do apache2:
# ln -s /etc/acidbase/apache.conf /etc/apache2/conf.d/acidbase.conf
Reinicie o Apache2:
# /etc/init.d/apache2 restart
Permita que o Mysql trabalhe no IP da mquina e no s em localhost:
# vi /etc/mysql/my.cnf
bind-address
= 10.10.10.102
54
Reinicie o Mysql:
# /etc/init.d/mysql restart
Acesse o AcidBase no browser:
http://10.10.10.102/acidbase/
Importante: No primeiro acesso, a interface do AcidBase dar um erro reclamando a
falta de algumas das tabelas que o AcidBase utiliza. Para resolver esse erro, clique em
Setup Page e depois em Create Base A G
Apache com suporte a SSL
Vamos verificar se temos o mdulo ssl ativo:
# apache2ctl -M
ou
# ls -l /etc/apache2/mods-enable
Se no, ative o mdulo ssl:
# a2enmod ssl
Vai pedir para reiniciar o apache, mas antes vamos fazer mais algumas modificaes.
Vamos acrescentar ao arquivo /etc/apache2/ports.conf a porta padro que o
protocolo http sobre TLS/SSL ouve:
# vi /etc/apache2/ports.conf
Listen 443
55
# dpkg -l openssl
Instalando o openssl caso no possua:
# mkdir /etc/apache2/ssl
# cd /etc/apache2/ssl
Agora criaremos um certificado com algoritmo padro que aceito pela maioria
dos browsers:
Primeiro a chave:
56
Please enter the following 'extra' attributes to be sent with your certificate request A
challenge password []:[ENTER]
An optional company name []:[ENTER]
Neste ponto voc tem duas opes, pode tanto enviar seu certificado (CSR) para
uma das vrias autoridades certificadoras para que assinem e tornem seu certificado
vlido ou voc mesmo pode assinar:
# openssl x509 -req -days 365 -in hostname.csr -signkey hostname.key -out
hostname.crt
Obs.: O arquivo hostname.crt nosso certificado e o hostname.key nossa chave
Alterando nosso Domnio Virtual e adicionando as diretivas necessrias para
ativar o SSL:
# vi /etc/apache2/sites-enable/000-default
NameVirtualHost *
<VirtualHost *>
........
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/hostname.crt
SSLCertificateKeyFile /etc/apache2/ssl/hostname.key
........
</VirtualHost>
Reinicie o servio:
# /etc/init.d/apache2 stop
# /etc/init.d/apache2 start
Verifique os processos do Apache2 que foram inicializados:
57
Confira as portas que foram abertas para o servidor web com https:
http://www.snort.org
Feito o cadastro, acesse o seu e-mail e utilize o usurio e senha que foram
enviados para fazer login no site do Snort.
Aps o login, clique no boto "Get Code" para obter o "Oink Code", que ser
semelhante ao seguinte:
5aO8f649c16a278e1012e1c84bdc8fab9a70e2a4
Agora acesse a seguinte url, colocando o seu cdigo, para baixar o pacote de
atualizao:
http://www.snort.org/pub-bin/oinkmaster.cgi/5aO8f649cla278elO12elc34bdc3fab9a
70e2a4/snortrules-snapshot-2.3.tar.gz
Aps ter baixado o pacote, descompate-o dentro do diretrio do snort:
58
# cd /etc/snort/doc
# mv signatures /usr/share/acidbase
Reinicie o Snort:
# /etc/init.d/snort restart
Instalando o Guardian
Obs.: Por uma limitao do Guardian, seu sistema precisa estar com o idioma em ingls,
pois o Guardian se baseia nos parmetros que esto no ifconfig. Em seu script ele
procura pela string inet end e em portugus estaria inet addr. Caso j tenha
instalado a verso do S.O. em portugus existem 2 solues:
1. Modifica o script em Perl
2. # LANG = en_us
o Somente em memria
O Guardian basicamente um script em Perl, e no est nos repositrios Debian.
Podemos obt-lo pelo seguinte site:
http://www.chaotic.org/guardian/
Aps baixar o Guardian, iremos descompact-lo:
# cd /root
# tar xzvf guardian-l X.tar.gz
59
# vi guardian.conf
Interface eth0
LogFile /var/log/guardian. Log
AlertFile /var/log/snort/alert
IgnoreFile
/etc/guardian.ignore
TimeLimit
3600
Colocar o arquivo de configurao no diretrio padro:
# cp guardian.conf /etc
Podemos criar o arquivo guardian.ignore, e colocar os IP's que no precisam ser
checados, no caso podemos colocar o nosso prprio IP:
# vi /etc/guardian.ignore
10.10.10.7
Agora precisamos preparar os scripts que o guardian vai utilizar par bloquear e
desbloquear os IP's:
# cd scripts
# cp iptables_block. sh /sbin/guardian_block. Sh
# cp iptables_unblock.sh /sbin/guardian_unblock.sh
Para colocar o Guardian em funcionamento, vamos jogar o script guardian.pl
para um dos diretrios do PATH:
# cd ..
# cp guardian.pl /sbin
Crie o arquivo de log do Guardian:
60
# touch /var/log/guardian.log
Agora vamos iniciar o Guardian:
# guardian.pl -c /etc/guardian.conf
# ps ax
Para testar, acompanhe o log do Guardian enquanto outra mquina faz uma
varredura com nmap:
# tail -f /var/log/guardian.log
Crie um script no nvel de execuo padro para o Guardian ser iniciado
automaticamente no boot do sistema:
# vi /etc/init.d/guardian
#!/bin/bash
test -f /sbin/guardian.pl || exit 0
case "$1" in
start)
guardian.pl -c /etc/guardian.conf
;;
stop)
kill -9 $(pgrep guardian.pl)
;;
*)
echo "Opo invalida. Use start ou stop."
exit 2
;;
esac
exit 0
# /etc/init.d/guardian stop
# /etc/init.d/guardian start
SNORT via APT-GET (unstable)
Remontar pacotes do tipo .deb:
# aptitude install dpkg-dev
Modificar o repositrio no sources.list:
# vi /etc/apt/sources.list
deb http://ftp.debian.org/debian unstable main contrib non-free
deb-src http://ftp.debian.org/debian unstable main contrib non-free
Fazendo o download do cdigo-fonte:
# cd /opt
# apt-get update
# apt-get source snort-mysql
Obs: Aps concluir o download do source, colocar o repositrio no stable e dar um aptget update.
# cd /opt/snort-2.7.0
62
# vi /opt/snort-2.7.0/debian/snort-docs.docs
Remova o doc/snort_manual.pdf e o doc/faq.pdf
Construa o pacote novamente:
# cd /opt
# dpkg -i pacote.deb
Obs: Vai dar um erro no snort-mysql. Ser preciso realizar alguns ajustes:
Configurao do Snort com suporte a MySQL
# mysql -u -p > drop database snort .
# mysql -u root -p
mysql> show databases;
mysql> create database snort;
mysql> quit
Instalao e Configurao do Snort com suporte a MySQL
Instale o Snort com suporte a MySQL:
# cd /usr/share/doc/snort-mysql
Utilize o arquivo create mysql.gz para criar as tabelas dentro da base de dados snort:
# mysql -u root p
mysql> show databases;
mysql> use snort;
mysql> show tables;
mysql> status;
64
mysql> quit;
Verifique os arquivos de configurao do snort:
# cd /etc/snort
# ls -l
Faca um cpia do snort.conf original e mantenha um novo arquivo sem os comentrios:
# mv snort.conf snort.conf.original
# cat snort.conf.original | grep v ^# | grep . > snort.conf
Edite o snort.conf e modifique-o da seguinte maneira:
# vi snort.conf
var HOME_NET 10.10.10.0/24
var EXTERNAL NET any
var DNS_SERVERS $HOME_NET
var SMTP_SERVERS $HOME_NET
var HTTP_SERVERS $HOME_NET
output database: log, mysql, user=root
host=localhost
password=123456
dbname=snort
# cat snort.debian.conf
Visualize as regras (assinaturas) do Snort dentro do diretrio rules:
# cd rules
# ls
65
# cd /etc/snort
# rm db-pending-config
Reinicie o snort:
# /etc/init.d/snort restart
Para finalizar essa etapa, d permisso de acesso remoto na base de dados snort e
suas tabelas:
# mysql -u root p
Coloque a senha de root e faa as seguintes configuraes:
mysql> grant all privileges on snort.* to root@10.10.10.102 identified by "123456";
mysql> grant all privileges on snort.* to root@microX identified by "123456';
mysql> quit
Configurao do AcidBase
Acesse o AcidBase no browser:
http://10.10.10.102/acidbase/
Importante: No primeiro acesso, a interface do AcidBase dar um erro
reclamando a falta de algumas das tabelas que o AcidBase utiliza. Para resolver esse
erro, clique em Setup Page e depois em Create Base A G
Reinicie o Snort:
# /etc/init.d/snort restart
66
67
# ifconfig br0 up
Para
deixar
essas
configuraes
fixas,
precisamos
editar
# vi /etc/network/interfaces
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet static
address 0.0.0.0
network 0.0.0.0
broadcast 0.0.0.0
auto ethl
iface ethl inet static
address 0.0.0.0
network 0.0.0.0
broadcast 0.0.0.0
auto br0
iface br0 inet static
bridge_ports eth0 ethl
bridge_maxwait 0
Configurao do Snort
Agora devemos fazer com que o Snort trabalhe na interface da bridge:
# vi /etc/snort/snort.debian.conf
DEBIAN_SNORT_STARTUP="boot" DEBIAN_SNORT_HOME_NET="10.10.10.0/24"
DEBIAN_SNORT_OPTIONS=""
DEBIAN_SNORT_INTERFACE="br0"
DEBIAN_SNORT_SEND_STATS="true"
DEBIAN_SNORT_STATS_RCPT="root" DEBIAN_SNORT_STATS_THRESHOLD="1"
68
# /etc/init.d/snort restart
Para desfazer a bridge, devemos fazer os seguintes passos:
# /etc/init.d/networking restart
69
# mysql -u root -p
Conectado no MySQL crie uma base de dados para o Snort:
# mysql -u root -p
mysql> show databases;
mysql> create database snort;
mysql> grant all privileges on snort.* to snort@localhost identified by snort;
mysql> quit
70
Instalando dependncias
Baixe dependncias necessrias:
# cd /opt/Downloads
# tar xzvf libdnet-1.1.tar.gz
# cd libdnet-1.1
# ./configure
# make && make install
Snort_inline-2.6.1.5 - Verso utilizada at o momento da criao do tutorial
Download http://snort-inline.sourceforge.net/download.html
# cd /opt/Downloads
# tar xzvf snort_inline-2.6.1.5.tar.gz
# cd snort_inline-2.6.1.5
Criar os diretrios para os arquivos de configuraes e as regras:
# mkdir -p /etc/snort/rules
Copiar o arquivo de configurao do Snort para o diretrio padro:
# cp etc/* /etc/snort
71
# vi /etc/snort/snort_inline.conf
var RULE_PATH /etc/snort/rules
output database: log, mysql, user=snort password=snort dbname=snort host=localhost
# make && make install
Colocar dois arquivos no diretrio de regras:
Classification.config define as urls para as referncias encontradas nas regras.
Reference.config inclui informaes para priorizao das regras.
# cp etc/classification.config /etc/snort/rules
# cp etc/reference.config /etc/snort/rules
Criar o arquivo de logs do Snort:
# mkdir /var/log/snort
Criar as tabelas do banco Snort:
72
# snort_inline -v
Transformando-o em um IPS
1. Direcionar todos os pacotes para uma fila:
73
# chattr -R -a /var/log
Instalao e Configurao do AIDE
O primeiro passo instalarmos o AIDE no Debian:
# man aide.conf
Vamos verificar os arquivos de configurao que foram criados:
# cd /etc/aide
# ls
# cd aide.conf.d
# ls
Os arquivos so o seguinte:
aide.conf: Principal arquivo de configurao do AIDE.
aide.conf.d: Diretrios aonde ficam os arquivos de configuraro especfico para
cada aplicativo.
Analise o arquivo /etc/aide/aide.conf:
74
# cd /et c/aide
# vi aide.conf
# cd /etc/aide/aide.conf.d
# vi 31_aide_apache2
Antes de gerar uma base necessrio validar as alteraes no arquivo de
configurao aide.conf:
# update-aide.conf
Esse comando vai criar uma cpia do arquivo de configurao no diretrio
/var/lib/aide chamado aide.conf.autogenerated que vai ser usado pelo comando gerador
de bases do Aide.
Agora que o AIDE est configurado, e nosso sistema est pronto, podemos gerar
a base do AIDE:
# aideinit
Quando executado, o comando aideinit criar o arquivo /var/lib/aide/aide.db.new
e criar tambm o /var/lib/aide/aide.db.
Aps o comando aideinit, verifique se as bases foram criadas:
# cd /var/lib/aide
Fazendo uma auditoria com o AIDE
75
Agora que a base est criada, podemos simular algumas modificaes no sistema
e ver como o AIDE vai nos notificar sobre essas modificaes.
Vamos mudar a localizao do binrio rmdir, e criar outro forjado:
# mv /bin/rmdir /root
# echo teste > /bin/rmdir
Realizando a auditoria:
# aide -C --config=/var/lib/aide/aide.conf.autogenerated | tee /root/relatorio1_aide.txt
O relatrio foi gerado na tela e no arquivo. Verifique o relatrio que ficou
documentado:
# cd /root
# vi relatoriol_aide.txt
OBS: No se esquea de colocar o rmdir de volta no /bin (cp /root/rmdir /bin).
76
# cd /opt
# wget http://www.ossec.net/files/ossec-hids-1.6.1.tar.gz
Agora vamos descompact-lo:
# cd ossec-hids-1.6.1
# ./install.sh
No primeiro passo da instalao escolha o idioma a ser instalado :
77
(en/br/cn/de/es/fr/it/jp/pl/ru/sr/tr) [en]:br
Agora vamos escolher o modo como ele vai trabalhar que pode ser:
Servidor - ser o servidor que tratar os logs
Cliente cliente ou agente que enviar os logs pro Server
Local - no caso de apenas um servidor sem clientes a monitorar logs.
Que tipo de instalao voc deseja (servidor, cliente, local ou ajuda)?
local
Prximo passo escolher onde o OSSEC ser insta1ado. Podemos aceitar o
diretrio proposto.
Configurando o ambiente de instalao.
Escolha onde instalar o OSSEC HIDS [/var/ossec]:
Tecle ENTER
Depois vamos aceitar para receber notificaes por e-mail
Configurando o OSSEC HIDS.
Deseja receber notificaes por e-mail? (s/n) [s]:
Tecle ENTER
Qual o seu endereo de e-mail?
eric@pop-pi.rnp.br
78
smtp.dominio.com.br
Ex.: panaiba.pop-pi.rnp.br
Deseja us-lo? (s/n) [s]:
Tecle ENTER
Em seguida vamos habi1itar a1guns tipos de checagens.
Deseja habilitar o sistema de verificao de integridade? (s/n) [s]:
Tecle ENTER
Deseja habilitar o sistema de deteco de rootkis? (s/n) [s]:
Tecle ENTER
Respostas automticas permitem voc executar um comando especfico baseado
nos eventos recebidos. Voc pode bloquear um endereo de IP ou desabilitar o acesso
de
um
usurio
especfico,
por
exemplo.
Maiores
informaes:
http://www.ossec.net/en/manual.html#active-response
Deseja habilitar o sistema de respostas automticas? (s/n) [s]:
Tecle ENTER
Deseja habilitar o firewall-drop? (s/n) [s]:
Tecle ENTER
79
Tecle ENTER
Aps isso o OSSEC ser compilado e instalado.
Com OSSEC instalado, podemos inici-lo:
# /etc/init.d/ossec start
# ps ax
Vamos visualizar onde o OSSEC est instalado e seu arquivo de configurao principal:
# cd /var/ossec
# ls
# cd etc
# vi ossec. conf
Obs: Todos os arquivos de configuraro do OSSEC esto em um formato XML,
que muito simples de entender.
Testando o OSSEC
Podemos fazer um teste com o OSSEC e ver como o seu active-response trabalha.
Vamos testar utilizando um servidor de e-mail instalado em nosso sistema, utilizaremos
o Postfix nesse exemplo.
Instalao do Postfix:
# aptitude install postfix
Realize um teste de telnet na porta 25 de uma outra mquina para a mquina
onde est instalado o postfix. Pode-se notar que o OSSEC bloqueou IP que estava
tentando realizar o telnet:
80
# iptables -n -L
# vi /etc/hosts.deny
Essa regra ficar setada at passar o tempo que est configurado nas regras do OSSEC.
Instalando o OSSEC como servidor
Segue da mesma forma feita anteriormente. A diferena na hora de o tipo de
instalao dever ser escolhido servidor.
Configurando Clientes (Agentes)
Os clientes a serem monitorados podem ser tanto Linux como Windows.
81
# cd /var/ossec/bin
# ./manage_agents
Selecione a opo (A)dd an agent (A) e informe um nome e o IP do agente
(cliente).
Feito isso, ser necessrio extrair a chave. Selecione a opo (E)xtract key for
an agent (E), o script listar os agentes disponveis, identificados por um ID. Digite o
ID
do
cliente
escolhido
chave
ser
impressa
na
tela.
Volte no cliente:
# cd /var/ossec/bin
# ./manage_agents
Selecione a opo (I)mport key for the server (I). E cole a mesma chave
gerada no servidor para esse cliente.
Reiniciar o servio Ossec, tanto no servidor como no cliente:
# /etc/init.d/ossec restart
OSSEC-WUI
Interface Web front para monitorar o OSSEC. Essa verso tem como prrequisitos PHP 4 ou 5, alm de ter instalado o OSSEC com verso igual ou superior a
0.9-3.
82
# wget http://www.ossec.net/files/ui/ossec-wui-0.3.tar.gz
Descompacte os arquivos no Document Root do Servidor:
# cd /var/www
# tar xzvf ossec-wui-0.3.tar.gz
# mv ossec-wui-0.3 ossec-wui
Execute o script de instalao:
# cd /var/www/ossec-wui
# ./setup.sh
Ir pedir o usurio dono do processo do apache, no caso desta verso o wwwdata. Logo aps ir solicitar uma senha. Coloque uma senha para acesso
administrativo.
Adicione o grupo do apache ao usurio ossec:
# vi /etc/group
ossec:x:1002:www-data
ou
# gpasswd -a ossec www-data
Adicione as permisses necessrias:
# chmod 770 tmp/
# chgrp www tmp/
83
Renicie o apache:
# /etc/init.d/apache2 restart
Abra um Browser e acesse:
http://localhost/ossec-wui
Pgina inicial do OSSEC WebUI
84
Da mesma forma que a anterior, ele tambm protege arquivos especficos para o
sistema, como a sua base de dados. Para isso ele d uma opo de criar uma senha (local
key) de acesso a eles:
85
86
87
Aps instalar e criar as senhas para o tripwire so gerados dois arquivos dentro de
/etc/tripwire:
twpol.txt
twcfg.txt
Esses arquivos no podem ser lidos diretamente. Para isso sero necessrios os
comandos:
# twadmin --print-polfile
# twadmin --print-cfgfile
O funcionamento do tripwire controlado por dois arquivos de configuraes:
3. /etc/tripwire/twcfg.txt parmetros gerais. Caminhos para executveis;
4. /etc/tripwire/twpol.txt polticas de proteo dos arquivos.
Como proteo, ser necessrio modificar o uso do diretrio temporrio padro:
# vi /etc/tripwire/twcfg.txt
TEMPDIRECTORY =/tmp/tripwire
Criar e colocar as permisses necessrias:
# mkdir /tmp/tripwire
# chmod 700 /tmp/tripwire
88
# tripwire --init
Caso tenha alterado o arquivo de polticas, ser necessrio atualizar o tripwire:
89
# cd /opt/Downloads
# tar xzvf osiris-4.2.3.tar.gz
# cd Osris-4.2.3
# ./configure
# make all && make install
Obs: Aps ter realizado o make install, sero feitas algumas perguntas:
90
# osiris
Tambm por padro o usurio e senha j so definidos. No caso, usurio admin e
senha em branco. Por questes de segurana teremos que gerar uma nova senha:
91
92
93
94
As prximas perguntas so referentes base de verificao e so autoexplicativas. Caso no discorde, deixar como padro:
95
96
97
98
Download http://osiris.shmoo.com/download.html
# cd /opt/Downloads
# tar xzvf osiris-4.2.3.tar.gz
# cd Osris-4.2.3
# ./configure
# make agent && make install
Obs: Aps ter realizado o make install, sero feitas algumas perguntas:
99
# cd /usr/local
# tar xzvf nikto-current.tar.gz
Acrescente o diretrio do nikto na varivel PATH:
# vi /etc/profile
PATH=$PATH:/usr/local/nikto
export PATH
Instalar um servidor de web para teste:
# nikto.pl -h
100
101
# cd /usr/local
# tar xzvf labrador-0.9.1-linux.i386.tar.gz
# mv labrador-0.9.1 labrador
Acrescente o diretrio do labrador na varivel PATH:
# vi /etc/profile
PATH=$PATH:/usr/local/labrador
export PATH
Baixando dependncias necessrias:
102
# cd /usr/local/labrador/conf
# cp rules-Linux.conf rules.conf
Listar os arquivos que o arquivo de regras ir ler:
# labrador.pl -l
Obs.: Informaes de como manipular o arquivos de regras encontram-se na seo 5.1
do arquivo /usr/local/labrador/LEIAME.txt.
Modificar o arquivo de configurao:
# cd /usr/local/labrador/conf
# vi labrador.conf
lang=pt_br
encrypt=yes
cipher=Blowfish
Criar a base de dados
Criar a base de dados de acordo com o que foi definido no arquivo de regras e no
arquivo de configurao labrador.conf:
# labrador.pl -n
Aps o comando preciso digitar a senha para ser gerada a base de dados,
chamada de labrador.db, criptografada.
103
# labrador.pl -v
Fazer a restaurao dos arquivos
Ser possvel fazer uma restaurao dos arquivos, caso alguma alterao tenha
ocorrido:
# labrador.pl -e
104
# cd /usr/local
# tar xzvf fwsnort-1.0.5.tar.gz
# cd fwsnort-1.0.5
# ./install.pl
Configurao do fwsnort.conf. No exemplo criado, foi utilizado a rede
10.10.10.0/24. Modifique apenas as linhas necessrias:
# vim /etc/fwsnort/fwsnort.conf
HOME_NET
DNS_SERVERS
WHITELIST
10.10.10.0/24
[200.137.160.130,200.137.160.135]
10.10.10.5, 10.10.10.7
# fwsnort
105
106
# cd /opt/Downalods
# tar xzvf hlbr-1.6.tar.gz
# cd hlbr-1.6
# ./configure
Selecione p e [ENTER]
#make && make install
Configurao das interfaces
Como o daemon do HLBR que gerencia as placas de rede, ser necessrio
colocar endereamentos locais:
# vi /etc/hlbr/hlbr.config
<IPList www>
200.137.160.188
107
</list>
<IPList dns>
200.137.160.130
200.137.160.135
</list>
<IPList email>
200.137.160.188
</list>
<IPList firewall>
10.10.10.254
</list>
<IPList network>
10.10.10.0/24
</list>
#<IPList others>
#10.10.10.5
#10.10.10.7
#</list>
<IPList servers>
www
dns
email
firewall
#others
</list>
Acrescentar regra
As regras de deteco de ataque do HLBR ficam em /etc/hlbr/rules. Abaixo ser
adicionado uma regra para identificar SQL Injections:
# vi /etc/hlbr/rules/SQL-xss.rules
<rule>
ip
tcp
regex((?:^\s*[;>"]\s*(?:UNION|SELECT|CREATE|RENAME|
dst(www)
dst(80)
108
TRUNCATE|LOAD|ALTER|DELETE|UPDATE|INSERT|DESC))|(?:(?:SELECT|
CREATE|RENAME|TRUNCATE|LOAD|ALTER|DELETE|UPDATE|INSERT|
DESC)\s+(?:CONCAT|CHAR|CONCAT|LOAD_FILE|0x)\s?\(?)|
(?:END\s*\);)|
("\s+REGEXP\W))
message=(sql-xss-5) Detects concatenated basic SQL injection and SQLLFI attempts
action=action1
</rule>
Iniciar o daemon do HLBR:
# /etc/initd.d/hlbr start
ou
# hlbr -c /etc/hlbr/hlbr.config -r /etc/hlbr/hlbr.rules -d
Verificar se o HLBR est executando:
# ps aux | grep hlbr
Os logs do HLBR ficam armazenados em /var/log/hlbr. So gerados logs em
arquivos textos com extenso .log e arquivos de dump do tcpdump.
Visualizar os arquivos de log:
# vi hlbr.log
Para visualizar os dumps do tcpdump:
109
os
servios
que
vo
ser
emulados
se
encontram
em
arquivo
contendo
os
estilos
do
xprobe
fica
localizado
em
se
encontra
em
/etc/honeypot/xprobe2.conf.
Alterando as configuraes default:
# vi /etc/default/honeyd
RUN= yes
NETWORK=10.10.10.0/24
O
arquivo
de
configurao
do
Honeyd
ECHO_REQUEST, quais as portas para aquele respectivo sistema estaro abertas, qual
o servio aquela porta est escutando e qual o IP para este sistema emulado.
110
Configurao do honeyd.conf
Emulao de um Sistema operacional Windows e um Sistema Operacional
Linux. Ambos se encontram na mesma rede local:
# mv /etc/honeypot/honeyd.conf /etc/honeypot/honeyd.conf.orig
# vi /etc/honeypot/honeyd.conf
# Maquina Windows
create windows
set windows personality "Microsoft Windows XP Professional SP1"
set windows uptime 679701
set windows default tcp action reset
set windows default udp action reset
set windows default icmp action block
add windows tcp port 4444 "/usr/share/honeyd/scripts/cmdexe.pl -p winxp -l
/var/log/honeyd/blaster.logs "
add windows tcp port 23 "/usr/share/honeyd/scripts/telnet/faketelnet.pl -p winxp -l
/var/log/honeyd/tel23.logs "
add
windows
tcp
port
1080
"/usr/share/honeyd/scripts/mydoom.pl
-l
/var/log/honeyd/mydoom.logs "
bind 10.10.10.100 windows
# Maquina Linux 2.4.x
create linux
set linux personality "Linux 2.4.16 - 2.4.18"
set linux default tcp action reset
set linux default udp action reset
set linux default icmp action open
add linux tcp port 110 "sh /usr/share/honeyd/scripts/unix/general/pop/pop3.sh"
add linux tcp port 25 "sh /usr/share/honeyd/scripts/unix/general/smtp.sh"
add linux tcp port 21 "sh /usr/share/honeyd/scripts/unix/linux/ftp.sh"
set linux uptime 456460
bind 10.10.10.101 linux
create default
set default default tcp action block
set default default udp action block
set default default icmp action block
111
# ping 10.10.10.100
# ping 10.10.10.101
112
113
# nessusd &
Verificar se o servio foi iniciado corretamente:
114
115
116
# pkill nessus
# nessusd &
117
Realizando um scaneamento:
118
119
A prxima janela que se abre diz respeito aos hosts que foram verificados, bem
como os seus servios. Encontrando vulnerabilidades, o Nessus tambm informa uma
possvel soluo. Caso queira salvar esse relatrio, basta clicar em Save report:
120
121
# vi /etc/apt/sources.list
deb http://www.ossim.net/download/ debian/
deb-src http://www.ossim.net/download/ debian/
# aptitude update
Criar um arquivo de preferncias para o Ossim:
# vi /etc/apt/preferences
Package: *
Pin: release o=ossim
Pin-Priority: 995
Atualizar a lista de repositrios:
# aptitude update
Modificar as respostas do debconf:
122
# vi /etc/mysql/my.cnf
bind-address
=*
123
Reinicie o Mysql:
# /etc/init.d/mysql restart
Criar os seguintes bancos no Mysql:
# mysql -p
mysql> create database ossim;
mysql> create database ossim_acl;
mysql> create database snort;
mysql> create database osvdb;
mysql> exit;
Adicionar as tabelas nos respectivos bancos:
# zcat /usr/share/doc/ossim-mysql/contrib/create_mysql.sql.gz \
/usr/share/doc/ossim-mysql/contrib/ossim_config.sql.gz \
/usr/share/doc/ossim-mysql/contrib/ossim_data.sql.gz | \
mysql -u root ossim -p
# zcat /usr/share/doc/ossim-mysql/contrib/create_snort_tbls_mysql.sql.gz \
/usr/share/doc/ossim-mysql/contrib/create_acid_tbls_mysql.sql.gz | \
mysql -u root snort -p
# zcat /usr/share/doc/ossim-mysql/contrib/OSVDB-tables.sql.gz \
mysql -u root snort -p
Adicionar as tabelas de plugins:
# cd /usr/share/doc/ossim-mysql/contrib/plugins
# zcat *.sql.gz | mysql -u root ossim -p
# cat *.sql.gz | mysql -u root ossim -p
Instalar o servidor do Ossim:
# aptitude install ossim-server
124
Obs.: O IP 0.0.0.0 significa que ele poder escutar qualquer IP das redes das quais ele
faz parte.
Figura 33 IP do Framework
125
126
127
128
# mysql -u root -p
mysql> grant all privileges on *.* to root@10.10.10.102 identified by "123456";
mysql> quit
Instalar o Servidor de Web:
# aptitude install apache2 php5 libapache2-mod-php5 libphp-jpgraph php5-cli php5-gd
php5-mysql
Retire o redirecionamento para o apache2-default:
# vim /etc/apache2/sites-available/default
Comente a linha que possui:
# vi /etc/apache2/apache2.conf
ServerName localhost
129
Reinicie o Apache2:
# /etc/init.d/apache2 restart
Instalar o pacote phpgacl
Responsvel pela alimentao do banco ossim_acl:
130
131
Instalar os Plugins
snort
# aptitude install snort-mysql
132
133
# rm -f /etc/snort/db-pending-config
Faca um cpia do snort.conf original e mantenha um novo arquivo sem os comentrios:
# mv snort.conf snort.conf.orig
# cat snort.conf.orig | grep v ^# | grep . > snort.conf
Verificar se o snort.conf encontra-se com as seguintes caractersticas, caso
contrrio, ser necessrio modificar:
# vi snort.conf
var HOME_NET 10.10.10.0/24
var EXTERNAL NET !$HOME_NET
var DNS_SERVERS $HOME_NET
var SMTP_SERVERS $HOME_NET
var HTTP_SERVERS $HOME_NET
output database: log, mysql, user=root
host=localhost
include spade.ossim.conf
password=123456
dbname=snort
134
# cd /etc/snort/rules
# wget http://www.bleedingsnort.com/bleeding-all.rules
# echo include \$RULES_PATH/bleeding-all.rules >> /etc/snort/snort.conf
Criar o arquivo bleeding.conf:
# /etc/init.d/snort start
ntop
# aptitude install librrd2 ntop
135
# ntop -u ntop
Insere a senha
# [Ctrl]+c
# /etc/init.d/ntop start
Abra um Browser e acesse:
http://localhost:3000
136
nagios
# aptitude install nagios-mysql
137
138
139
Outros plugins
# aptitude install p0f arpwatch pads tcptrack
Por causa do ossim-agent, no pode carregar no boot o arpwatch e o pads:
140
141
142
143
Aps ter clicado em Submit, a prxima janela que se abre ser para criar ACL
atravs de uma interface administrativa:
144
145
# vi /etc/apt/sources.list
deb http://packages.inl.fr/ stable/
# aptitude update
Instale o Prelude-Manager:
147
# vi /etc/default/prelude-manager
RUN=yes
Coloque o IP do servidor para no ser apenas local:
# vi /etc/prelude-manager/prelude-manager.conf
listen = 10.10.10.118
Inicie o daemon do Prelude-Manager e verifique se o mesmo est rodando:
# /etc/init.d/prelude-manager start
# netstat -anput | grep prelude
Instale o Prelude-LML. Cada host que ser monitorado dever ter esse pacote
instalado. Ele responsvel pela anlise de logs e o envio dos eventos para o servidor
(Prelude-Manager):
# vi /etc/prelude/default/client.conf
server-addr = 10.10.10.118
Obs.: O servidor no confia nos clientes. Passa a confiar apenas quando eles so
registrados. Pode-se primeiro testar adicionando o prprio servidor como cliente.
148
149
# /etc/init.d/prelude-lml start
# ps auxw | grep prelude-lml
150
# vi /etc/prewikka/prewikka.conf
[idmef_database]
151
type: mysql
host: localhost
user: prelude
pass: 123456
name: prelude
Instalar o servidor de Web:
# aptitude install apache2 libapache2-mod-python
Crie um arquivo para host virtual:
# vi /etc/apache2/sites-available/prewikka
NameVirtualHost *
<VirtualHost *>
ServerAdmin admin@domain.com
<Location />
SetHandler mod_python
PythonHandler prewikka.ModPythonHandler
PythonOption PrewikkaConfig /etc/prewikka/prewikka.conf
</Location>
<Location /prewikka>
SetHandler None
</Location>
Alias /prewikka /usr/share/prewikka/htdocs
Alias /htdocs /usr/share/prewikka/htdocs
</VirtualHost>
Habilitar somente o host virtual Prewikka e reiniciar o daemon do Apache:
# a2dissite 000-default
# a2ensite prewikka
# apache2ctl restart
152
# prewikka-httpd
Abra um navegador e acesse o endereo http://10.10.10.118:8000. Por padro, o
usurio e a senha vm setados como admin:
153