Security Magazine - Edição 19

 

Embed or link this publication

Description

Décima nona edição da revista Security Magazine

Popular Pages


p. 1

Revista de Segurança em Informática Informação sempre tem valor • Segurança em Wireless • Parábolas de Segurança • Review Ano IV - Número 19 - 2003

[close]

p. 2



[close]

p. 3

edit orial to índice Wireless, é tão perigoso assim? C om a evolução natural, se é que podemos assim classificar, da Internet, estamos constatando que a grande maioria das empresas está presente nessa grande rede. Sejam elas de grande porte, que a utilizam para que possam interagir com seus clientes e parceiros, sejam aquelas micro empresas com quatro, talvez cinco, ou mesmo menos, colaboradores, mas que também podem ser encontradas quando realizamos uma busca em qualquer das ferramentas existentes. Com isso, tanto as grandes corporações quanto as pequenas se encontram naquele momento no mesmo patamar, ou seja, são equivalentes. Fantástico, e na realidade uma grande mudança de paradigma em nosso cotidiano. Infelizmente, nem tudo são flores. Para que se possa estar presente nesta grande vitrine, alguns processos são necessários como, por exemplo, um servidor web, não é verdade? E esse instrumento que nos proporciona o ingresso dentro deste tipo de comunicação, tem que ser protegido, ou problemas sérios podem acontecer. Com isso escolhemos para nossa matéria de capa um artigo que trata justamente deste tipo de ferramenta, onde o Andrey Rodrigues (andreyr@bol.com.br) sabiamente, e de forma clara e simples nos mostra como investigar um servidor web, tão importante para a sobrevivência de uma empresa de qualquer tamanho. Esperamos que lhes seja útil. Outra matéria discorre, pondo lenha na fogueira de uma nova forma de comunicação, que veio para ficar, em nosso entendimento, sobre a segurança em wireless. Muito se tem falado, e a briga vai ser boa, pois os departamentos comerciais batem de frente com os técnicos. Não precisamos ser muito inteligentes para sabermos que ganha nesta batalha. No mais, seguem outras matérias as quais desejamos serem do gosto de vocês nossos leitores. Boa leitura ! 04 Quem não se comunica se ...... 11 Investigando Servidores Web 14 Informação Sempre tem Valor 41 Avaliação da utilização do COBIT 30. edição: Crescimento da Aceitação do COBIT 47 Parábolas de Segurança 53 E XPEDIENTE A Security Magazine é uma publicação da Security Magazine Editora Ltda. Endereço para correspondência: Alameda Araguaia, 933 - cj. 53 - Barueri – SP- CEP: 06455-000 • Editora Executiva: Eloísa de Abreu • Programação Visual e Editoração: MWS Design • Publicidade: Security Magazine • Colaboradores: G.M. Amitay, Edison Fontes, F. F. Ramos, Datasafe Data Security • Fotolitos: Zemic • Impressão: Francolor. A editora e os colaboradores da Security Magazine podem ser contatados para fornecimento de releases,lançamentos de produtos, comentários e sugestões pelo email info@securitymagazine.com.br ou pelo fone/fax: (11) 4195-8370. Os artigos assinados não expressam necessariamente a opinião dos editores. Nenhum material desta publicação pode ser reproduzido sem prévia autorização. A utilização, reprodução, armazenamento em banco de dados,sob qualquer forma ou meio,dos textos,fotos e outras criações constantes da Security Magazine são terminantemente proibidos sem prévia autorização por escrito. Todos os artigos pertencem aos seus autores e estão protegidos pela Lei de COPYRIGHT internacional. www.securitymagazine.com.br 3

[close]

p. 4

Ar tigo Artigo Wireless, é tão perigoso assim? por Equipe Security O único item que você precisa saber sobre wireless é que não poderá “perimetralizá-lo”. A tecnologia wireless não é algo que possa ser finalizado como em qualquer perímetro de rede, consequentemente, você não poderá estar implementando segurança em wireless da mesma forma que faria em uma rede convencional, ou seja, nas fronteiras. Ao invés disso, a sua segurança deve alcançar uma rede bem mais abrangente. Você deve ter em mente em estar protegendo qualquer dispositivo com um cartão de rede wireless: todos os pontos de acesso wireless, cada micro, cada handheld, cada bit que trafega em sua banda de rede, cada usuário, e em qualquer lugar que eles forem. Você tem que fazê-lo, para que eles não sejam atacados por outros e, indefesos, eles venham a ser um pátio de recreio para cruéis saqueadores, livres para serem conduzidos amavelmente para sua rede inter- na, para então terem acesso às valiosas informações e entregá-las aos seus competidores... Mas, wireless, quais são as suas características? Dois fatores principais determinam que tipos de características wireless estão presentes. São eles o modo de rede e o padrão IEEE (Institute of Electrical and Electronics Engineering (Instituto de Engenheiros Elétricos e Eletrônicos). As redes LANs wireless podem existir tanto como modo ponto-a-ponto (ad hoc) quanto como no modo infraestruturado, ou seja, todos os dispositivos wireless devem estar conectados a um ponto de acesso. No primeiro modo, os clientes se comunicam diretamente com eles próprios. Por exemplo, duas pessoas, João e Maria, configuram a sua própria rede wireless, do tipo ad hoc. Maria pode expor as suas aplicações 4 ANO IV - NÚMERO 19

[close]

p. 5

desprotegidas, seus compartilhamentos, e outros itens em seu sistema para o João. Infelizmente, eles estarão expostos a qualquer outro usuário com um cartão wireless. Ei, parabéns! Você acaba de transformar a sua infraestrutura de vanguarda do Windows 2000 Active Directory para o nosso velho e conhecido Windows for Workgroups! E isso não é tão difícil assim, o Windows XP por default e de forma automática procura Você não encontrar e se pode estar conectar a um ponto implementando de acesso wireless se ele existir, e caso não segurança em encontre, ele se colowireless da mesma ca, automaticamente, no modo ad hoc, e forma que faria em então um pouquinho uma rede de inteligência bastaconvencional ria para se conectar. A rede wireless no modo de infra-estrutura usa o que chamamos de AP (ponto de acesso, access point). O AP é um pouquinho mais inteligente do que um hub. Então, se a Maria quer fazer uma visita ao João e ainda permanecer conectada a rede corporativa, ele poderá comprar um AP e colocá-lo embaixo de sua mesa. Ao invés de conectar o seu notebook na tomada de rede LAN, ela pluga na tomada do AP. Na medida em que eles não esta- rão usando um cabo, estarão utilizando um nome de rede ou o SSID (Service Set Identifier - Identificador de configuração de serviço) do ponto de acesso. Porém o SSID não é seguro, em função de que diversas redes wireless se mantêm com a configuração de fábrica default, largamente conhecidas, e também que diversos pontos de acesso fazem broadcast aos SSID. Mas, onde estaria a segurança?, você perguntaria. A resposta dependeria de qual padrão de wireless estão implementados em seu sistema de hardware e software. Existem diversos padrões wireless surgindo e se desenvolvendo, e aproximadamente e deles tem sido largamente encontrados atualmente no mercado: 802.11a, 802.11b e o 802.1x. O mais antigo deles é o padrão 802.11b, e, portanto, uma grande parte das redes wireless usam ele. Depois veio o 802.11a, o qual é mais rápido do que o anterior, mas infelizmente você não pode ter os dois padrões juntos em uma mesma rede. Por fim, o 802.1x é um padrão de autenticação para uma rede wireless 802.11, entretanto exige hardware e software adicional w ww.securit ymagazine.com.br 5

[close]

p. 6

para sua implementação, o que vem, a princípio, causando uma certa resistência na sua disseminação. Segurança, para a maioria das redes wireless 802.11, significa dispositivo de autenticação (não autenticação de usuário, bem entendido!) e encriptação WEP (Wired Equivalent Privacy), ambos, via de regra, usando a mesma chave. A autenticação pode ser configurada para o modo de sistema aberto ou no modo de chave compartilhada. O primeiro deles, o sistema aberto de autenticação, na realidade não autentica nada, ou seja, qualquer um pode requisitar uma conexão e obtê-la. E tendo em vista que a base de autenticação no padrão 802.11 é um dispositivo de autenticação, um atacante não precisará de um userID e uma senha válida em sua rede para ganhar acesso a rede wireless. Já a chave compartilhada, é de alguma maneira mais útil, já que para se conectar ao sistema, o atacante precisaria saber pelo menos, a chave compartilhada, a qual também é usada para a encriptação. A encriptação WEP se mostrou fraca nos testes realizados. Um problema na sua implementação faz com que ataques relativamente fáceis permitiriam a descoberta da chave e, portanto, permitiria a decriptação dos dados. Existem diversas ferramentas de cracking na Internet. A troca frequente das chaves poderia de alguma maneira evitar estes tipos de ataques, entretanto, não existe um gerenciamento das chaves no padrão 802.11, logo as mudanças significariam atualizações manuais em todos os sistemas, que provavelmente estariam distribuídos mundialmente, fazendo que esta atitude ficasse bastante prejudicada. É claro que existem mais implementações que podem aumentar a sua segurança. Em uma rede Windows 2000, você pode usar o servidor IAS (Internet Access Services), o qual deverá ser instalado e configurado manualmente. O Windows XP fornece um cliente nativo do padrão 802.1x, que pode então estar usando a configuração acima. A autenticação pode então ser feita via EAP (Extensible Authentication Protocol). Este protocolo define um processo básico de autenticação comum a maioria dos protocolos de autenticação a permite ainda a escolha de add-on para administração. Para o servidor IAS - Windows 2000, os protocolos suportados são: * EAP-TLS (EAP com Transport Layer Security, um padrão IETF similar ao SSL) * Protected EAP (PEAP) com EAP-TLS * PEAP com EAP-MS-CHAP O PEAP é projetado para suprir as deficiências do EAP, o qual não protege a identidade do usuário e os processos de negociação. As versões TLS deste 6 ANO IV - NÚMERO 19

[close]

p. 7

Seguem agora, alguns passos imporprotocolo exigem o uso de certificados, tantes para se implementar, ou mesmo, ao passo que o PEAP com EAP-MSaumentar a segurança de uma rede CHAP faz uso de senhas. Qualquer dewireless. les significa um avanço enorme. Um outro subproduto deles é a possibilidaAcho que a primeira lição é pensar em de do 802.1x particionar a rede wireless. sua rede como sendo uma rede não Quando um cliente requisita uma autenconfiável. Isso fará você pensar com ticação, seu acesso a rede wireless se tormais cuidado em todos os seus passos. na restrito ao ponto de acesso até que seja autenticado. Imagine Falando em termos de como se fosse um switch Uma rede host poderíamos estar com duas portas: uma ressaltando o que segue. para serviços para usuáwireless abre rios não-autenticados, uma série de Você nunca coloe a outra para aqueles caria clientes e serautenticados. Quanportas em sua rede vidores Windows do a Maria tenta se interna, por isso na Internet sem que conectar a rede, seu implemente políticas eles estivessem cliente comunicaprotegidos, não é se com a porta dos fortes de segurança mesmo? Da mesma não-autenticados. em todas as forma, você não deve No caso do fornecimáquinas, e não por a sua rede wireless mento das credenciais na grande rede mundial válidas, seu sistema poapenas nas sem que exista algum derá então se comunicar tem wireless tipo de proteção. com a porta de acesso dos autenticados e ganhar acesMais especificamente faso ao resto da rede, tanto a lando lembre-se de: sem fio como a normal. Atenção para que ambos, o ponto de acesso e o cliente devem suportar o padrão 802.1x, e que você tem que configurar o servidor IAS ou outro compatível com RADIUS. Desnecessário comentar que se a configuração estiver errada, toda a segurança acaba. * solidificar e endurecer as permissões de acesso em seu registry e no NTFS, * não usar sistema FAT, * usar uma política de grupo forte para ser aplicada em políticas das contas (banco de dados das contas locais w ww.securit ymagazine.com.br 7

[close]

p. 8

existe — e eles precisam de políticas fortes também), * reduzir ao máximo os direitos dos usuários, * e de aplicar opções de segurança que efetivamente protejam o sistema. Considere estar usando os direitos de acesso dos usuários da rede ao sistema para estabelecer um grupo, digamos um grupo de administração local, o qual seria o único com capacidade de acessar este computador através da rede. Se o host for um servidor, então estabeleça um grupo que inclui apenas aqueles os quais deveriam estar se conectando a ele. Lembre-se de que, se uma rede wireless abre uma série de buracos em sua rede interna, talvez seja a hora de ser implementadas políticas fortes de segurança em todas as máquinas, e não apenas naquelas onde existem cartões de rede wireless. Um ótimo guia, que ensina muito sobre segurança baseada em host é o Microsoft Security Operations Guide. Finalmente, lembre-se de que quando a Maria conecta o seu micro em um AP (access point), é a mesma situação onde ela se conectaria via cabo em um hub; ela está em uma LAN com todos os outros computadores que usam wireless, que estão na rede com acesso naquele ponto AP. Um personall firewall no micro da Maria seria uma excelente recomendação de segurança, e um enorme passo em direção a um sistema mais seguro. Alternativamente, poder-se-ia pensar em estar usando IPsec, o qual permitiria apenas aos protocolos aprovados saírem e retornarem ao computador da Maria. Falando em termos de rede agora, poderíamos estar comentando o abaixo. A menos que sua rede wireless seja independente - uma pequena rede, dentro de um ambiente sem que existam conexões a Internet, por exemplo - o AP está conectado a alguma rede. Ele serve como sendo uma ponte para clientes wireless consigam suas conexões para a sua rede local wireless. Então pense exatamente como tal - uma ponte de uma região “não-confiável” para uma “confiável”. Não imagine como sendo toda a sua gama de usuários wireless como nãoconfiáveis. mas sim em estar evitando conexões indesejadas. Para tal, use o padrão 802.1x onde puder, e use uma VPN onde não conseguir fazê-lo. Dessa forma, o “intruso” poderá ser capaz de realizar a conexão ao AP, mas não conseguirá ser capaz de acessar a sua rede, isso porque ele não terá as credenciais apropriadas tanto para a VPN quanto para o servidor RADIUS. Não podemos esquecer de nosso conhecido firewall. Lembre-se de que aqui a posição dele é importantíssima. No caso da existência de apenas um, você 8 ANO IV - NÚMERO 19

[close]

p. 9

não quer pô-lo entre o AP e seus usuários, que tentam acessá-lo. Mas sim colocá-lo entre o seu AP e sua rede interna. Na configuração de sua rede wireless, use o 802.1x se disponível, caso contrário utilize o WEP. Apesar de “crackeável”, poderá criar um razoável trabalho para aqueles que tentam ouvi-lo. Os programas de cracking têm que capturar uma certa quantidade de dados antes de começarem a funcionar. Portanto, seria pelo menos trabalhoso para o invasor, que possivelmente desistiriam da jornada. As chaves WEP podem ser alteradas e deve com certeza fazê-lo, apesar do trabalho envolvido, e pelo amor de Deus, troque as configurações SSID que vem default de fábrica. Se puder, desabilite o broadcast SSID. Os usuários que precisam ser conectados deverão saber o SSID ou tê-los pré-configurado em seus clientes. Se puder também, faça com que seus clientes tenham um IP estático desligando o DHCP (dynamic host configuration protocol) no AP. Onde o DHCP deve ser usado, limite ao seu número de usuários, afinal, porque ter mais do que se precisa? Reserve endereços para sistemas es- pecíficos se puder. Exija MAC address para ganhar acesso. Sabemos que o MAC address pode ser spoofado, mas de qualquer forma nosso amigo atacante detrá que determinar quais são os MAC addresses que são válidos. E convenhamos, não é uma tarefa tão simples assim. Use encriptação de dados nos arquivos guardados no host. No caso de uma invasão bem sucedida, ele terá mais trabalho para obter informações úteis. Mas não se esqueça de seguir as boas regras de guarda das senhas de encriptação, caso contrário, poderá perder dados. Para sistemas móveis, devemos ter uma especial atenção. Um dos aspectos de segurança em wireless que muitos já estão cansados de saber é do perigo de se carregar um cartão de rede wireless em seu notebook, PDA ou outro dispositivo. APs wireless estão em aeroportos, coffee shops, centros de convenções e outros lugares públicos. Além disso, diversos AP privados são passíveis de conexão de lugares públicos. Quem garante se todos aqueles que se conectam nesses APs possuem boas intenções? Quando usuários acessam estas estações, eles expõem seus sistemas aos intrusos. Uma forte proteção de host aliada a um personal firewall é o mínimo que essas máquinas devem ter. Não devemos nos esquecer de que se o sistema da máquina cliente for Windows XP, por default, ele automaticamente tenta localizar uma rede w ww.securit ymagazine.com.br 9

[close]

p. 10

wireless nas redondezas e descobre as informações necessárias para sua configuração também de forma automática. Se possível, desabilite os cartões wireless quando os usuários não estiverem em seus escritórios, ou mesmo, quando puderem se conectar a AP “amigáveis”. E, se por acaso, os usuários tem que acessar as redes em territórios, digamos, desconhecidos ou perigosos, eles devem ter um HD extra, que esteja configurado com um sistema operacional travado, etc e tal. Desta forma, os usuários poderão ter as facilidades providas e acessar a Internet, porém os dados corporativos não serão expostos. Esta técnica está sendo muito utilizada em conferências, por exemplo. Muitos cuidados não é mesmo. Isso porque não falamos dos usuários por si só. De qualquer forma, estamos diante de algo relativamente novo e que deve ser tratado com mais cuidado do que o que poderíamos estar chamando de redes convencionais, com seus perigos e falhas convencionais. Muito está se fazendo, e a melhor maneira é estar atualizado com o sistema que se usa em nossa corporação. Assine listas de discussão, boletins e tudo o mais que houver que possa lhe trazer mais informação. Sim, sabemos que o tempo é escasso, mas infelizmente, o outro lado da força o tem, e demais. 10 ANO IV - NÚMERO 19

[close]

p. 11

Ar tigo Artigo Quem não se comunica se ...... por Fernando Saldanha (saldanha@contingencia.com.br) ocê conhece a frase acima? Quem não se comunica se trumbica? Ultimamente tenho ouvido muitas “verdades” do tipo: Plano de Continuidade é isso, recuperação de desastres é aquilo, Plano de Contingência é.....E não pude deixar de me lembrar do Velho Guerreiro. Para início de conversa administração empresarial não é uma ciência exata e segurança de informação ou gestão de continuidade de negócios ainda não tiveram tempo de vida para que os conceitos inerentes às mesmas sejam praticados e aceitos por todos. Ou melhor, aqui no Brasil ainda não existe um saber acumulado que permita afirmações definitivas sobre o que é, e sobre o que não é contingência, continuidade, recuperação de desastres, etc. É claro que se formos consultar a bibliografia em inglês iremos encontrar tais conceitos, mas, aqui no Brasil, este assunto que ainda está na sua fase adolescente merece ser tratado com mais atenção e por isto me lembrei da frase do título. Ao nos comunicarmos devemos ter como objetivo o correto entendimento da nossa mensagem pelo destinatário da mesma. Isto é se comunicar. Agora podemos ir ao nosso assunto. V w ww.securit ymagazine.com.br 11

[close]

p. 12

O importante é saber se a estratégia de continuidade existente é de conhecimento da Organização e se ela é referendada pela alta administração Você tem plano de continuidade? Garanto que muitos responderam “sim”. Outros tantos pensaram, “não dá para chamar o que nós temos de plano de continuidade....”, e ainda outros “não, não temos nada!”. Mas, do que estamos falando? Quando citei acima “plano de continuidade” você entendeu exatamente o mesmo que eu imaginei? É provável que a resposta seja não. E este é o ponto focal deste artigo. Ter os conceitos bem entendidos é importante, mas mais importante é ter o mesmo entendimento que seus pares e toda a sua organização (e dos seus leitores). Se você tem um servidor “A” espelhado num outro servidor “B”, estando ambos instalados na mesma sala, você pode dizer para os seus acionistas que vocês tem contingência para o servidor “A”. Mas, deve ficar claro para quem você esta dando esta informação que a sua contingência tem capacidade de responder apenas a um desastre cujo impacto se restrinja à perda do servidor “A”. Se isto não ficar bem entendido, e você tiver que dar explicações depois de um incêndio que tenha atingido a sala dos servidores, destruindo todos os seus equipamentos, o seu emprego estará em risco. Os acionistas podem considerar que você havia dito que havia um plano de contingência, e no entender deles um incêndio seria contornável. Ou seja, a questão não é no mérito da consistência do plano de contingência, plano de continuidade ou plano de recuperação de desastres, seja lá o nome que ele tenha. Se espelhamento é contingência, redundância ou alta disponibilidade também não importa, é uma questão semântica. O importante é saber se a estratégia de continuidade existente é de conhecimento da Organização e se ela é referendada pela alta administração. Um Plano de Continuidade é um conjunto de procedimentos que demandam esforços e investimentos devendo o seu todo ser considerado como opção estratégica de nível empresarial. Por isto não basta que você tenha o seu plano de continuidade departamental. É preciso que este plano seja de toda a organização e para isto a melhor forma é seguir o velho guerreiro nosso guru: se comunicar. Para tal é necessário que os conceitos 12 ANO IV - NÚMERO 19

[close]

p. 13

utilizados sejam ao menos conhecidos e entendidos de uma só forma dentro da organização. Em especial isto diz respeito às áreas de infra-estrutura. Todos os seus usuários, que podem estar espalhados por toda a organização, devem saber da capacidade de sua resistência a desastres e estarem em condições de conviverem com tal patamar numa contingência. Isto se faz com trabalho de equipes multidepartamentais e através da permanente divulgação (comunicação!!!) dos procedimentos de contingência. Tenha cuidado. Quando você falar que possui redundância o seu interlocutor estará entendendo da forma como você imagina? Não passe falsas expectativas, compartilhe as decisões estratégicas com a alta administração e tenha o cuidado de se comunicar de forma a que sua mensagem seja corretamente entendida por todos os seus companheiros de trabalho. Na medida que tais conceitos forem sendo mais utilizados, naturalmente o seu entendimento irá se disseminando pelas nossas organizações gerando uma massa de conhecimento que irá permitir que todos (ou pelo menos a quem de direito) utilizem um mesmo vocabulário. Por hoje este era o recado. Comuniquei? A propósito, antes do ponto final, minha recomendação é que não se use o termo contingência para uma estratégia que admita que o recurso primário e o recurso de contingência possam ser impactados por um desastre simples, tal qual um incêndio (conforme o exemplo dos servidores espelhados que utilizamos). Ainda que este seja o jargão de sua Empresa, tente mudar o conceito, ele pode ser perigoso e passar uma idéia de uma infra-estrutura com um nível de segurança que não corresponda com fidelidade à existente. Outra observação vai para aqueles que responderam “não temos nada”. Não existe nenhuma organização que não possua nada em termos de garantia da continuidade. Vários procedimentos relacionados com a continuidade normalmente são praticados. Seja controlando o acesso ou fazendo cópias de segurança semanais. Até hoje não encontrei nenhuma empresa onde não houvesse nenhuma prática que pudesse ser considerada como sendo um embrião de um processo de garantia da continuidade. Sejamos realistas e vamos aproveitar o que já existe construído. Aquele abraço. w ww.securit ymagazine.com.br 13

[close]

p. 14

Ar tigo Artigo Investigando Servidores Web por Andrey Rodrigues de Freitas andreyr@bol.com.br O s ataques com base em Web geralmente se encaixam em três (3) categorias: ataques contra o próprio servidor (um pedido de acesso), ataques contra o conteúdo (desfiguração do site/defacement) e ataques contra a empresa ou organização (roubo de produto ou informação). Os ataques via Web são freqüentes devido à vulnerabilidade no software e autenticação do sistema operacional e os mais comuns são os de desfiguração de site. Em um sistema Web pode-se envolver diferentes tecnologias, tais como: Java, JavaScript, VbScript, Active Server Pages (ASP), Secure Sockets Layer (SSL), Common Gateway Interface (CGI), PHP, HTML, ColdFusion, etc. E os métodos investigativos são facilmente adaptados para qualquer uma dessas tecnologias. Investigações em servidores Web são mais facilmente conduzidas com a assistência de administradores e desenvolvedores do site. Diversos arquivos de log podem ser usados para confirmar ou não se um incidente ocorreu e então determinar o tipo, extensão, causa e origem do incidente. Somente uma entrada no arquivo de log possa não ser suficiente para termos uma imagem do incidente, mas uma série de entradas dá ao investigador um controle do tempo e o contexto necessário para compreender o incidente. Uma compreensão geral do incidente é fundamental para a resposta eficaz. Antes de poder recuperar a segurança de um servidor Web, é preciso compreender sua vulnerabilidade. MICROSOFT IIS (INTERNET INFORMATION SERVER) A forma mais simples de segurança de um Web Site é manter um log dos 14 ANO IV - NÚMERO 19

[close]

p. 15

computadores que contatam o site. O log é um registro de quem visitou, quando visitou e o que procurou no site. Ao verificar os logs, pode-se descobrir quantas pessoas estão usando o site e certificar-se de que ninguém está fazendo mau uso dele. Ao investigar arquivos de log, as informações são armazenadas de uma forma legível e simples. Os campos importantes para investigar incidentes suspeitos incluem o registro data/hora, endereço IP de origem, código do status do HTTP e recurso requisitado. No IIS, o arquivo de log padrão está localizado no diretório C:\WINNT\System32\Logfiles\W3SVC1 e o nome do log é baseado na data atual, no formato exaammdd.log, por exemplo: ex020327.log. O formato padrão é o W3C (World Wide Web Consortium) Extended Log File Format (Formato de Arquivo de Log Estendido), um formato padrão que muitos utilitários de terceiros interpretam e analisam. Outros formatos disponíveis são: Microsoft IIS Log File Format (Formato de log do Microsoft IIS) , NCSA Common Log File Format (Formato de arquivo de log comum do NCSA) e log ODBC (Open Database Connectivity) em sistemas Windows 2000, que envia um formato fixo a um banco de dados especificado. W3C EXTENDED LOG FILE FORMAT O formato estendido do W3C é um formato ASCII personalizável com vários campos diferentes. Pode-se incluir campos importantes, ao mesmo tempo em que limita o tamanho do log omitindo campos indesejáveis. Os campos são separados por espaços. O horário é registrado como UTC (Hora de Greenwich). O exemplo abaixo mostra linhas de um arquivo que usa os seguintes campos: Hora, Endereço IP do cliente, Método, Tronco URI, Status do HTTP e Versão do HTTP. #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 2002-03-27 17:42:15 #Fields: time c-ip cs-method cs-uri-stem sc-status cs-version 17:42:15 172.16.255.255 GET / default.asp 200 HTTP/1.0 A entrada anterior indica que no dia 27 de março de 2002 às 17:42, UTC, um usuário com a versão 1.0 do HTTP e o endereço IP 172.16.255.255 emitiu um comando GET do HTTP para o arquivo Default.asp. A solicitação foi atendida sem erro. O campo #Date: indica quando a primeira entrada do log foi feita; essa entrada é feita quando o log é criado. O campo #Version: indica que foi usado o formato de log do W3C. w ww.securit ymagazine.com.br 15

[close]

Comments

no comments yet