Escopo
- O monitoramento e resposta ativa nos ambientes de firewall podem evoluir rapidamente com Wazuh, visando reduzir tentativas de acesso indevido e endurecer a borda de rede. Este projeto formaliza uma automação que:
- Extrai logins bem-sucedidos de um firewall específico via Wazuh e FireGateway (script s1).
- Aplica regras de geoblocking (bloqueio de todas as faixas fora do Brasil) e permite IPs autenticados (lista l) no firewall (script s2).
- Dispara s1/s2 automaticamente quando o Wazuh detectar x logins errados em um firewall gerenciado por nós (regra de trigger).
Requisitos
Requisitos Funcionais
- RF01: Gerar um script que identifique se um determinado firewall está sofrendo ataques fora do padrão desejado
- Davi
- RF02: Criar uma regra de trigger para todo ambiente de firewalls da Algar que avalie se os firewalls estão sofrendo ataque.
- RF03: Implementar uma função que aplique num determinado firewall uma regra de bloqueio para todas as faixas de IP fora do Brasil.
- Samuel
- RF04: Desenvolver uma função que libere todos os IPs bem sucedidos fora do Brasil.
- ??
• RF01- Identificação de Anomalias (Script de Análise): O sistema deve
possuir um script capaz de analisar os logs de um firewall específico e identificar se
o mesmo está sofrendo ataques que fogem do padrão aceitável (ex: picos de conexões
recusadas ou falhas de autentica¸c˜ao).
• RF02- Regra de Trigger Global (Wazuh): Deve ser criada e configurada uma
regra de correlação no Wazuh que monitore todo o ambiente de firewalls. Esta regra
deve disparar um alerta (trigger) quando detectar um número X de tentativas de
login falhas (definido como limiar de ataque) em um curto per´ıodo de tempo.
• RF03- Aplicação de Geoblocking (Script S2): Implementar uma função de
resposta ativa que, ao ser acionada, aplique no firewall alvo uma regra de bloqueio
(Drop/Deny) para todas as faixas de IP originadas fora do territ´orio brasileiro (ex
cluindo o Brasil).
• RF04- Whitelist de Logins Legítimos (Script S1/S2): Desenvolver uma função que consulte o histórico de logs (via Wazuh/FireGateway) para identificar IPs estrangeiros que realizaram logins bem-sucedidos recentemente. Estes IPs devem ser adicionados a uma lista de exceção (Whitelist) para garantir que usúarios legítimos em viagem ou sediados fora do Brasil não sejam bloqueados pela regra RF03.
Requisitos Não-Funcionais
- RNF01: Montar ambiente de simulação com firewall teste e instância do Wazuh
- Algar
RNF01- Ambiente de Simulação: O desenvolvimento deve ser validado pre liminarmente em um ambiente controlado, contendo um firewall de teste e uma instância isolada do Wazuh, garantindo que as regras de bloqueio não causem in disponibilidade em produção acidentalmente.
• RNF02-Desempenho da Resposta: Aexecução dos scripts de bloqueio (Active Response) deve ocorrer em tempo hábil (sugestão: ¡ 60 segundos) após a detecção do gatilho pelo Wazuh.
• RNF03- Modularidade dos Scripts: Os scripts (S1 e S2) devem ser modulares para facilitar a manutenção, separando a lógica de consulta de logs da lógica de aplicação de regras no firewall.
• RNF04-Auditoria: Toda ação de bloqueio ou liberação realizada pela automação
deve gerar um log de auditoria no próprio Wazuh para rastreabilidade.
Cronograma
| RF | Descrição | Início | Tempo em dias | Data Real entrega | Maker | % |
|---|---|---|---|---|---|---|
| 01 | Identificar ataques no firewall | 8 | Davi Faria | 0% | ||
| 02 | Criar inspeção do ambiente de firewall | 6 | Davi Faria | 1% | ||
| 03 | Inibir o sistema para acesso fora do Brasil | 5 | Samuel Andrade | 0% | ||
| 04 | Liberar IPs fora do Brasil | 5 | Samuel Andrade | 1% |
| RNF | Descrição | Início | Tempo em dias | Data Real entrega | Maker | % | Impedimento |
|---|---|---|---|---|---|---|---|
| 01 | Baixar WLS | 1 | 30/12/2025 | Davi Faria e Samuel | 100% | ||
| 02 | Baixar Wazuh | 1 | 22/12/2025 | Davi Faria e Samuel | 100% | ||
| 03 | Liberar acesso ao firegateway | 1 | Samuel Andrade | 0% | |||
| 04 | Pedir usuário de teste do Wazuh | 1 | Alexandre(para Davi e Samuel) | 100% | |||
| 05 | Pedir credenciais de api firegateway | 1 | Alexandre(para Davi e Samuel) | 0% | |||
| 06 | Conetar Wazuh em firewalls (para ter logs) | 1 | Alexandre(para Davi e Samuel) | 0% | |||
| 07 | Instalar FortClient | 1 | 20/01/2025 | Samuel e Davi | 100% |
Diagramas
Projeto
Plano de Testes
Ambiente
Histórico
- 19/12/2025:
- Alexander Tibor Assenheimer: Encontro às 14h para subir o ambiente
- Davi, Samuel e Leonardo: Escrever Escopo, Requisitos e Cronograma na Wiki
- 22/12/2025:
- LC: Discutir com Erick sobre liberação do ambiente
- DF: Verificar com Gustavo sobre acesso pelo notebook
- SA: Entender o problema do RF03 para definição de tempo
- SA: Foi criado um chamado no Jira para download e instalação do WSL, Ubuntu e Wazuh, SR-1148465.
- 24/12/2025:
- DF: Pedir acesso, na máquina da empresa, para baixar Wazuh e SO linux
- SA: Pedir acesso, na máquina da empresa, para baixar Wazuh e SO linux
- 30/12/2025:
- SA: Chamado SR-1148465 finalizado com sucesso.
- 06/01/2026:
- SA: Foi criado um chamado no Jira para resolver o problema da VPN Global Protect "You are not authorized to connect to GlobalProtect Portal", SRV-1152252. Também Foi criado um chamado no Jira para instalação do FortiClient VPN-only, SRV-1152304.
- 12/01/2026:
- SA: Após outras tentativas de instalação do FortiClient VPN-only, o CORTEX está bloqueando a instalação. Aberto chamado SRV-1152140 para o time de segurança configurar a exceção no antivírus.
- 15/01/2026:
- SA: A liberação do CORTEX conforme solicitado no SRV-1152140 foi realizada. Criado um novo chamado para solicitar novamente a instalação do FortiClient VPN-only, SRV-1155885.
- 16/01/2016:
- SA: Instalação do FortiClient VPN-only realizada com sucesso
- 20/01/2026:
- DF: abri chamado no Jira e instalei fortClient
- 21/01/2026:
- DF: clonei repositorio e acessei máquina virtual, com ambiente.
- DF: Acessei Wazuh, ambiente de homologação
Equipe
- Davi Rocha Faria
- Samuel Andrade Pinto
- Erick Nascimento Santos
- José Rogério Braga Garcia