On Sat 20 Jun 2009 16:08:47 Rafael de Paula Herrera wrote: > - quando escaneam uma rede ou maquinas isoladas? > - como fazem pra descobrir exploits? (nessus msm?) > - como monitoram as atividades em seus servidores? analisam logs o > tempo todo? ferramentas ids? honeypots?
Em servidores o básico é mante-los sempre atualizados e longe de problemas, o "longe de problemas" a que me refiro é _não_ fazer besteira (sim, me refiro ao ser que está entre o monitor e a cadeira). Fique sempre atento aos reports de segurança (existem sites muito úteis p/ isso), pois em muitos casos o tempo de resposta dos mantenedores das distros é alto demais p/ o meu gosto, então, em alguns casos é necessário apelar p/ upgrades diretos. Softwares MUITO úteis numa rede são as próprias ferramentas GNU do sistema, e coisas como Nagios, Cacti (tem que saber interpretar os gráficos), Snort, OSSEC, vários scripts p/ detecção de intrusão específicos, etc... Logs são sempre importantes, é por eles que você começa a diagnosticar as coisas quando algo está errado, como o volume sempre é muito grande (dados) vc deve analisar/procurar comportamentos/assinaturas fora da rotina (senão vc acaba se perdendo no volume e não acha o que precisa). Ferramentas existem aos montes p/ automatizar essa análise. Clientes geralmente usam aquele SO estranho, então você meio que passa o tempo todo "apagando incêndios" (graças a Deus não dou suporte p/ esse SO). Uma coisa interessante que tenho notado que ajuda MUITO nisso é que os logs do Squid, especificamente o cache.log, ajudam a identificar máquinas com aquele SO estranho "impestiadas" de tudo quanto é tranqueira, tem sido MUITO eficaz no diagnóstico de coisas não usuais (onde anti-vírus não tem surtido efeito). Enfim, esse thread é extenso e as soluções são inúmeras. -- Herbert --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: slack-users-br+unsubscr...@googlegroups.com -~----------~----~----~----~------~----~------~--~---