Escopo
- O monitoramento e resposta ativa nos ambientes de firewall podem evoluir rapidamente com Wazuh, visando reduzir tentativas de acesso indevido e endurecer a borda de rede. Este projeto formaliza uma automação que:
- Extrai logins bem-sucedidos de um firewall específico via Wazuh e FireGateway (script s1).
- Aplica regras de geoblocking (bloqueio de todas as faixas fora do Brasil) e permite IPs autenticados (lista l) no firewall (script s2).
- Dispara s1/s2 automaticamente quando o Wazuh detectar x logins errados em um firewall gerenciado por nós (regra de trigger).
Requisitos
Requisitos Funcionais
- RF01: Gerar um script que identifique se um determinado firewall está sofrendo ataques fora do padrão desejado
- Davi
- RF02: Criar uma regra de trigger para todo ambiente de firewalls da Algar que avalie se os firewalls estão sofrendo ataque.
- RF03: Implementar uma função que aplique num determinado firewall uma regra de bloqueio para todas as faixas de IP fora do Brasil.
- Samuel
- RF04: Desenvolver uma função que libere todos os IPs bem sucedidos fora do Brasil.
- ??
• RF01- Identificação de Anomalias (Script de Análise): O sistema deve
possuir um script capaz de analisar os logs de um firewall específico e identificar se
o mesmo está sofrendo ataques que fogem do padrão aceitável (ex: picos de conexões
recusadas ou falhas de autentica¸c˜ao).
• RF02- Regra de Trigger Global (Wazuh): Deve ser criada e configurada uma
regra de correlação no Wazuh que monitore todo o ambiente de firewalls. Esta regra
deve disparar um alerta (trigger) quando detectar um número X de tentativas de
login falhas (definido como limiar de ataque) em um curto per´ıodo de tempo.
• RF03- Aplicação de Geoblocking (Script S2): Implementar uma função de
resposta ativa que, ao ser acionada, aplique no firewall alvo uma regra de bloqueio
(Drop/Deny) para todas as faixas de IP originadas fora do territ´orio brasileiro (ex
cluindo o Brasil).
• RF04- Whitelist de Logins Legítimos (Script S1/S2): Desenvolver uma função que consulte o histórico de logs (via Wazuh/FireGateway) para identificar IPs estrangeiros que realizaram logins bem-sucedidos recentemente. Estes IPs devem ser adicionados a uma lista de exceção (Whitelist) para garantir que usúarios legítimos em viagem ou sediados fora do Brasil não sejam bloqueados pela regra RF03.
Requisitos Não-Funcionais
- RNF01: Montar ambiente de simulação com firewall teste e instância do Wazuh
- Algar
Cronograma
| RF | Descrição | Início | Tempo em dias | Data Real entrega | Maker | % |
|---|---|---|---|---|---|---|
| 01 | Identificar ataques no firewall | 8 | Davi Faria | 0% | ||
| 02 | Criar inspeção do ambiente de firewall | 6 | Davi Faria | 0% | ||
| 03 | Inibir o sistema para acesso fora do Brasil | 5 | Samuel Andrade | 0% | ||
| 04 | Liberar IPs fora do Brasil | 5 | Samuel Andrade | 0% |
Diagramas
Projeto
Plano de Testes
Ambiente
Histórico
- 19/12/2025:
- Alexander Tibor Assenheimer: Encontro às 14h para subir o ambiente
- Davi, Samuel e Leonardo: Escrever Escopo, Requisitos e Cronograma na Wiki
- 22/12/2025:
- LC: Discutir com Erick sobre liberação do ambiente
- DF: Verificar com Gustavo sobre acesso pelo notebook
- SA: Entender o problema do RF03 para definição de tempo
Equipe
- Davi Rocha Faria
- Samuel Andrade Pinto
- Erick Nascimento Santos
- José Rogério Braga Garcia