Venha conhecer mais sobre detecção e bloqueio de ataques em redes em tempo real com Linux. Nesta palestra utilizaremos ferramentas e técnicas como firewall, sistema de notificações, bloqueio de máquinas realizando escaneamentos de portas, bloqueio de máquinas executando escaneamento de vulnerabilidades (usando nikto, OpenVAS etc), bloqueio de máquinas com múltiplos erros de autenticação, avisos sobre ocorrências de port security em switches Cisco e bloqueio de atividades anormais oriundas da Internet.

Ademais, serão mostrados vários programas e técnicas baseados em inotify (inode notify). Essa aplicação faz parte do Linux e é responsável por fazer o kernel observar os filesystems em operação, avisando aos programas sobre alterações ocorridas. Um exemplo disso é quando copiamos um arquivo via shell e o mesmo é mostrado, imediatamente, em um programa gráfico de gerenciamento de arquivos, como o Dolphin (KDE) ou o Nautilus (Gnome). Esse programa gráfico sempre será avisado sobre essas alterações, em tempo real, pelo Kernel Linux (ação do inotify). Dessa forma podemos criar operações de administração de sistemas e de segurança de rede como: observação de invasões em redes de computadores obtendo alertas em tempo real, criando-se algo em torno de um elemento verificador de integridade; backup instantâneo de arquivos, sempre que os mesmos forem alterados; remoção de dumps de bancos de dados, imediatamente após o backup para um servidor específico; criação de um sistema de DHCP primário e secundário, similar ao que ocorre com o DNS.

Também mostraremos como construir um sistema distribuído de detecção e tratamento de anomalias e ataques, provendo alertas e bloqueios em tempo real. Com isso, teremos um sistema eficiente atuando como um IDS (Intrusion Detection System). Qualquer atividade anormal poderá ser detectada com a técnica que será mostrada, bastando que se utilize o conhecimento sobre a rede a ser monitorada e a criatividade.