| Linha 58: | Linha 58: | ||
** Algar | ** Algar | ||
<br> | <br> | ||
RNF01- Ambiente de Simulação: O desenvolvimento deve ser validado pre | RNF01- Ambiente de Simulação: O desenvolvimento deve ser validado pre | ||
liminarmente em um ambiente controlado, contendo um firewall de teste e uma | liminarmente em um ambiente controlado, contendo um firewall de teste e uma | ||
instância isolada do Wazuh, garantindo que as regras de bloqueio não causem in | instância isolada do Wazuh, garantindo que as regras de bloqueio não causem in | ||
disponibilidade em produção acidentalmente. | disponibilidade em produção acidentalmente. | ||
<br> | <br> | ||
• RNF02-Desempenho da Resposta: Aexecução dos scripts de bloqueio (Active | • RNF02-Desempenho da Resposta: Aexecução dos scripts de bloqueio (Active | ||
Response) deve ocorrer em tempo hábil (sugestão: ¡ 60 segundos) após a detecção | Response) deve ocorrer em tempo hábil (sugestão: ¡ 60 segundos) após a detecção | ||
do gatilho pelo Wazuh. | do gatilho pelo Wazuh. | ||
<br> | <br> | ||
• RNF03- Modularidade dos Scripts: Os scripts (S1 e S2) devem ser modulares | • RNF03- Modularidade dos Scripts: Os scripts (S1 e S2) devem ser modulares | ||
para facilitar a manutenção, separando a lógica de consulta de logs da lógica de | para facilitar a manutenção, separando a lógica de consulta de logs da lógica de | ||
aplicação de regras no firewall. | aplicação de regras no firewall. | ||
<br> | |||
• RNF04-Auditoria: Toda ação de bloqueio ou liberação realizada pela automação | • RNF04-Auditoria: Toda ação de bloqueio ou liberação realizada pela automação | ||
deve gerar um log de auditoria no próprio Wazuh para rastreabilidade. | deve gerar um log de auditoria no próprio Wazuh para rastreabilidade. | ||
Edição das 05h19min de 23 de dezembro de 2025
Escopo
- O monitoramento e resposta ativa nos ambientes de firewall podem evoluir rapidamente com Wazuh, visando reduzir tentativas de acesso indevido e endurecer a borda de rede. Este projeto formaliza uma automação que:
- Extrai logins bem-sucedidos de um firewall específico via Wazuh e FireGateway (script s1).
- Aplica regras de geoblocking (bloqueio de todas as faixas fora do Brasil) e permite IPs autenticados (lista l) no firewall (script s2).
- Dispara s1/s2 automaticamente quando o Wazuh detectar x logins errados em um firewall gerenciado por nós (regra de trigger).
Requisitos
Requisitos Funcionais
- RF01: Gerar um script que identifique se um determinado firewall está sofrendo ataques fora do padrão desejado
- Davi
- RF02: Criar uma regra de trigger para todo ambiente de firewalls da Algar que avalie se os firewalls estão sofrendo ataque.
- RF03: Implementar uma função que aplique num determinado firewall uma regra de bloqueio para todas as faixas de IP fora do Brasil.
- Samuel
- RF04: Desenvolver uma função que libere todos os IPs bem sucedidos fora do Brasil.
- ??
• RF01- Identificação de Anomalias (Script de Análise): O sistema deve
possuir um script capaz de analisar os logs de um firewall específico e identificar se
o mesmo está sofrendo ataques que fogem do padrão aceitável (ex: picos de conexões
recusadas ou falhas de autentica¸c˜ao).
• RF02- Regra de Trigger Global (Wazuh): Deve ser criada e configurada uma
regra de correlação no Wazuh que monitore todo o ambiente de firewalls. Esta regra
deve disparar um alerta (trigger) quando detectar um número X de tentativas de
login falhas (definido como limiar de ataque) em um curto per´ıodo de tempo.
• RF03- Aplicação de Geoblocking (Script S2): Implementar uma função de
resposta ativa que, ao ser acionada, aplique no firewall alvo uma regra de bloqueio
(Drop/Deny) para todas as faixas de IP originadas fora do territ´orio brasileiro (ex
cluindo o Brasil).
• RF04- Whitelist de Logins Legítimos (Script S1/S2): Desenvolver uma função que consulte o histórico de logs (via Wazuh/FireGateway) para identificar IPs estrangeiros que realizaram logins bem-sucedidos recentemente. Estes IPs devem ser adicionados a uma lista de exceção (Whitelist) para garantir que usúarios legítimos em viagem ou sediados fora do Brasil não sejam bloqueados pela regra RF03.
Requisitos Não-Funcionais
- RNF01: Montar ambiente de simulação com firewall teste e instância do Wazuh
- Algar
RNF01- Ambiente de Simulação: O desenvolvimento deve ser validado pre liminarmente em um ambiente controlado, contendo um firewall de teste e uma instância isolada do Wazuh, garantindo que as regras de bloqueio não causem in disponibilidade em produção acidentalmente.
• RNF02-Desempenho da Resposta: Aexecução dos scripts de bloqueio (Active Response) deve ocorrer em tempo hábil (sugestão: ¡ 60 segundos) após a detecção do gatilho pelo Wazuh.
• RNF03- Modularidade dos Scripts: Os scripts (S1 e S2) devem ser modulares para facilitar a manutenção, separando a lógica de consulta de logs da lógica de aplicação de regras no firewall.
• RNF04-Auditoria: Toda ação de bloqueio ou liberação realizada pela automação
deve gerar um log de auditoria no próprio Wazuh para rastreabilidade.
Cronograma
| RF | Descrição | Início | Tempo em dias | Data Real entrega | Maker | % |
|---|---|---|---|---|---|---|
| 01 | Identificar ataques no firewall | 8 | Davi Faria | 0% | ||
| 02 | Criar inspeção do ambiente de firewall | 6 | Davi Faria | 0% | ||
| 03 | Inibir o sistema para acesso fora do Brasil | 5 | Samuel Andrade | 0% | ||
| 04 | Liberar IPs fora do Brasil | 5 | Samuel Andrade | 0% |
Diagramas
Projeto
Plano de Testes
Ambiente
Histórico
- 19/12/2025:
- Alexander Tibor Assenheimer: Encontro às 14h para subir o ambiente
- Davi, Samuel e Leonardo: Escrever Escopo, Requisitos e Cronograma na Wiki
- 22/12/2025:
- LC: Discutir com Erick sobre liberação do ambiente
- DF: Verificar com Gustavo sobre acesso pelo notebook
- SA: Entender o problema do RF03 para definição de tempo
Equipe
- Davi Rocha Faria
- Samuel Andrade Pinto
- Erick Nascimento Santos
- José Rogério Braga Garcia