Uso de Ferramentas de Auditoria Agora que já entendemos o conceito e a importância da auditoria em TI, vamos colocar a teoria em prática utilizando ferramentas reais de auditoria. A auditoria de segurança da informação envolve a identificação de vulnerabilidades, monitoramento de redes e análise de logs para garantir que os sistemas estejam protegidos contra ameaças. No mercado, existem diversas ferramentas utilizadas por profissionais da área para realizar auditorias. Hoje, vamos explorar quatro delas: Nmap – Para análise de portas e serviços ativos. Wireshark – Para captura e análise de pacotes na rede. OpenVAS – Para identificação de falhas de segurança em sistemas. Wazuh (ou OSSEC) – Para monitoramento de logs e detecção de ameaças. Cada grupo irá instalar e utilizar essas ferramentas para realizar uma auditoria básica em um ambiente de teste e documentar as descobertas. Passo a passo: Instalação e Uso das Ferramentas 1. Nmap – Analisando Portas e Serviços Ativos O Nmap (Network Mapper) é uma ferramenta usada para explorar redes e identificar serviços em execução em máquinas remotas. Instalação do Nmap No Linux (Ubuntu/Debian): sudo apt update && sudo apt install nmap -y No Windows: Baixe o instalador do Nmap no site oficial: https://nmap.org/download.html. Siga as instruções do assistente de instalação. Comando básico para varredura de portas Para escanear uma rede e listar dispositivos ativos, use: nmap -sn 192.168.1.0/24 Para escanear uma máquina específica e listar serviços em execução, use: nmap -sV 192.168.1.10 🚀 Tarefa: Cada grupo deve rodar um escaneamento básico em uma máquina local e identificar os serviços ativos. 2. Wireshark – Captura e Análise de Pacotes O Wireshark é uma ferramenta de análise de tráfego de rede que permite visualizar os pacotes transmitidos em tempo real. Instalação do Wireshark No Linux (Ubuntu/Debian): sudo apt update && sudo apt install wireshark -y No Windows: Baixe o instalador do site oficial: https://www.wireshark.org/download.html. Instale e abra o programa. Como usar o Wireshark Abra o Wireshark e selecione a interface de rede ativa (ex: Wi-Fi ou Ethernet). Clique em Start para começar a captura de pacotes. Utilize filtros para identificar tráfego específico, como: Capturar apenas tráfego HTTP: http Filtrar pacotes de uma máquina específica: ip.addr == 192.168.1.10 Analise os pacotes capturados para verificar se há tráfego suspeito. 🚀 Tarefa: Capturar pacotes durante o uso da internet e identificar protocolos sendo utilizados. 3. OpenVAS – Identificação de Vulnerabilidades O OpenVAS é um scanner de vulnerabilidades que ajuda a identificar falhas de segurança em sistemas. Instalação do OpenVAS no Linux (Kali Linux recomendado) sudo apt update && sudo apt install openvas -y sudo gvm-setup sudo gvm-start No Windows, o OpenVAS precisa ser executado em uma máquina virtual com Linux. Como usar o OpenVAS Acesse a interface web do OpenVAS em https://127.0.0.1:9392/. Faça login com as credenciais geradas na instalação. Crie um novo scan e adicione um IP ou rede para análise. Execute o scan e aguarde os resultados. 🚀 Tarefa: Executar um scan em uma máquina local e identificar possíveis vulnerabilidades. 4. Wazuh – Monitoramento de Logs e Detecção de Ameaças O Wazuh (ou OSSEC) é uma ferramenta de monitoramento de logs que ajuda a detectar ataques e violações de segurança. Instalação do Wazuh no Linux (Servidor + Agente) 🔹 1. Adicionar a Chave GPG do Wazuh Antes de instalar o Wazuh, precisamos adicionar a chave GPG para validar os pacotes: sudo mkdir -p /etc/apt/keyrings curl -sO https://packages.wazuh.com/key/GPG-KEY-WAZUH sudo mv GPG-KEY-WAZUH /etc/apt/keyrings/wazuh.asc 🔹 2. Adicionar o Repositório do Wazuh Agora, adicionamos o repositório Wazuh ao sistema: echo "deb [signed-by=/etc/apt/keyrings/wazuh.asc] https://packages.wazuh.com/4.x/apt/ stable main" | sudo tee /etc/apt/sources.list.d/wazuh.list Atualize a lista de pacotes: sudo apt update 🔹 3. Instalar o Wazuh Manager (Servidor) Se este sistema será o servidor Wazuh, instale o Wazuh Manager: sudo apt install -y wazuh-manager Habilite e inicie o serviço: sudo systemctl enable --now wazuh-manager 🔹 Se estiver rodando no WSL, onde systemd pode não estar disponível, inicie manualmente: sudo /var/ossec/bin/wazuh-control start Verifique o status: sudo /var/ossec/bin/wazuh-control status 🔹 4. Instalar o Wazuh Agent (Cliente) Se este sistema será um cliente a ser monitorado, instale o Wazuh Agent: sudo apt install -y wazuh-agent Agora, configure o IP do Servidor Wazuh no agente: sudo nano /var/ossec/etc/ossec.conf Encontre a linha: <address>MANAGER_IP</address> Substitua MANAGER_IP pelo IP do servidor Wazuh. Salve (CTRL + X, Y, Enter) e inicie o agente: sudo systemctl enable --now wazuh-agent 🔹 Se estiver rodando no WSL, onde systemd pode não estar disponível, inicie manualmente: sudo /var/ossec/bin/wazuh-control start 🔹 5. Acessar o Painel Web do Wazuh Agora, no navegador, acesse: https://<IP-DO-SERVIDOR>:5601/app/wazuh Se o painel não abrir, verifique se a porta 5601 está aberta: sudo ufw allow 5601/tcp Caso esteja rodando em Docker, descubra o IP do container: docker inspect -f '{{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' wazuh-manager E use esse IP para acessar. 🔹 6. Alternativa: Rodar Wazuh via Docker Se preferir rodar o Wazuh no Docker, use: docker run -d --name wazuh-manager -p 1514:1514 -p 55000:55000 wazuh/wazuh Verifique se está rodando: docker ps Agora, acesse via navegador: https://<IP-DO-SERVIDOR>:5601/app/wazuh