5 IDPS OPEN SOURCES 5.1 OSSEC O OSSEC um HIDS open source criado pelo brasileiro Daniel Cid.

. Apesar do OSSEC ter sido adquirido pela Third Brigade, empresa fornecedora de software de segurana da informao, em 2008, ele continua sendo um sistema open source e Daniel Cid continua sendo o seu principal desenvolvedor. A Trend Micro, empresa que adquiriu a Third Brigade em 2009, oferece suporte comercial ao produto. Diversos sistemas operacionais so suportados pelo OSSEC, incluindo Linux, Windows, FreeBSD, Solaris e Mac OS. Ele rene a deteco baseada em assinatura e anomalia para identificar ataques, mau uso ou erros do sistema. Atravs de respostas ativas possvel impedir um ataque bloqueando endereos IP e desabilitando um usurio, por exemplo. Tambm possvel emitir alertas atravs de e-mail, sms ou eventos syslog. O OSSEC permite que os usurios criem suas prprias regras fornecendo condies para diminuir o nmero de falsos positivos. Deteco de rootkits, anlise de logs e verificao de integridade de arquivos so as principais funcionalidades do sistema. O OSSEC possui trs mtodos de operao: Local: Utilizado quando se deseja monitorar um nico host. Agente: Funciona como cliente em uma arquitetura cliente/servidor. Responsvel por coletar informaes do host e enviar mensagens ao servidor. Servidor: Pode concentrar eventos de diversos hosts. Por padro cada agente monitora at 256 agentes, mas esse nmero pode ser maximizado. O servidor responsvel por analisar as informaes recebidas dos agentes e gerar alertas. Alm das informaes dos agentes, pode receber eventos syslog de dispositivos como roteadores e firewalls. Os servidores se conectam com os clientes por um canal seguro atravs da porta UDP 1514. Na comunicao via syslog no existe criptografia.

Figura 2 Comunicao em uma arquitetura cliente/servidor A seguir so descritas as principais funcionalidades do OSSEC. 5.1.1 Deteco de rootkits A deteco de rootkits acontece periodicamente atravs do programa rootcheck. Realiza deteco baseada em assinatura, fazendo comparaes com assinaturas de ataques conhecidos disponveis em um banco de dados, e baseada em anomalia, fazendo verificaes no sistema em busca de comportamentos anormais identificando problemas de permisso, portas escondidas ou interfaces suspeitas, por exemplo. 5.1.2 Anlise de log O OSSEC realiza anlise de log em tempo real a fim de detectar ataques, mau uso ou erros no sistema. Os logs fornecem informaes importantes de uso de sistemas, aplicaes ou dispositivos informando quando um arquivo instalado em um host ou quando alguma regra de firewall alterada, por exemplo. Em uma arquitetura distribuda, o agente l os arquivos de log atravs do processo logcollector e envia mensagens para o servidor que utiliza o processo analysisd para checar as informaes. O servidor tambm capaz de gerar alertas. Para isso, utiliza os processos maild e execd. Quando estiver operando no modo local, todos os processos (logcollector, analysisd, maild e execd) sero executados no host onde o OSSEC estiver instalado.

Figura 3 Anlise de log no modo local

Figura 4 Anlise de log em uma arquitetura cliente/servidor 5.1.3 Verificao de integridade de arquivos Esta operao realizada atravs do processo syscheck. O agente realiza uma varredura peridica no sistema e envia para o servidor o resultado de funes hash MD5 e SHA1 aplicadas sobre arquivos importantes do sistema. O servidor utiliza as mensagens dos agentes para verificar se houve alteraes nos arquivos e, caso necessrio, gerar alertas.