Sistema Detecção de Intrusos - Snort
Rodrigo Ribeiro Montoro
[email protected]
Agenda ● ● ● ● ● ● ● ● ●
Objetivo Apresentação Introdução O que é uma invasão ? O que é um IDS ? Porque o Snort? Snort Distribuido com Logs Centralizados Ferramentas de Apoio Dúvidas
Objetivo Apresentar os conceitos de um Sistema de Detecção de Intrusos e funcionalidades do Snort.
Apresentação
Empresa ●
Soluções em Software Livre
●
Desenvolvimento aplicações Web
●
Projetos de Segurança ( Firewall, IDS, VPN )
●
Parceria DBExperts
Projetos ●
Honeypot-br ( http://www.honeypot.com.br ) Projeto Honeypot-Br.
●
SGFw ( http://www.spooker.com.br/projetos/SGFw/ ) Sistema Gerenciamento de Firewall.
Introdução
Firewall x IDS ●
Firewall “Estático” ● Camada 4 da OSI ●
●
Sistema Detecção de Intrusos (IDS) “Dinamico” ● Camada 7 da OSI ●
Funcionamento OSI
Snort -Sniffer , Packet Log , NIDS ou WIDS ? ●
Sniffer
●
Packet Log
●
NIDS
●
WIDS ( patches - http://www.snort-wireless.org )
O que é uma invasão ?
Definição Invasão é o ato de acessar algo sem devida permissão ou direito por meios ilegais .
Motivos para invasão Curiosidade ● Afirmação / Reconhecimento ● Roubo de Dados ● Derrubar Serviços ● Espionagem Empresarial ● Utilização da máquina outros fins ●
Uso de CPU ● Repositório de conteúdos ● Futuros ataques ●
Como invadem ? ●
Senhas Frágeis
●
Sistemas Desatualizados
●
Ataques Internos
●
Engenharia Social
O que é um IDS ?
Definição Sistema de Detecção de Intrusos é um sistema que visa previnir futuros ataques, bem como monitorar e logar ataques em tempo real. Ele pode interferir nos mesmos, bem como somente logar.
Componentes ●
Libpcap / Decodificador de Pacotes
●
Pre-Processor
●
Mecanismos de Detecção (assinaturas de ataques)
●
Plugins de Saída
Libpcap capturando pacotes na rede
Máquina A quer comunicar-se com a B. ● Envia requisição para FF:FF:FF:FF:FF:FF perguntando quem é a máquina B (destino comunicação)? ● Máquina B se identifica e recebe o que foi enviado. ● O Sensor, mesmo não sendo o destino, também “pega” o que foi enviando, sendo isso o “modo promiscuo (sniffando)” ●
Fluxo Pre-processadores
Pré-Processadores # This preprocessor performs IP defragmentation. This plugin will also detect # arguments loads the default configuration of the preprocessor, which is a preprocessor frag2 preprocessor stream4: detect_scans, disable_evasion_alerts preprocessor stream4_reassemble #This plugin takes the ports numbers that RPC # The RPC decode preprocessor uses generator ID 106 preprocessor rpc_decode: 111 32771 #Outros #preprocessor arpspoof #preprocessor telnet_decode #preprocessor http_decode: 80 unicode iis_alt_unicode double_encode
Mecanismo de detecção
Ataque / Assinatura REGRA alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd32.exe access"; flow:to_server,established; content:"cmd32.exe"; nocase; classtype:web-application-attack; sid:1661; rev:3;)
ATAQUE http://www.spooker.com.br/XXXX/..system32/cmd.exe?/c%20dir%20C:\ http://www.spooker.com.br/scripts/teste.bat/..%C1%9C..%C1%9C..%C1%9C winnt/system32/cmd.exe?/c%20dir%20C:\
Plugins da Saida
Tipos de IDS ●
Network Based Intrusion Detection System (NIDS) Snort ● Cisco IDS ●
●
Host Based Intrusion Detection System (HIDS) Aide ● Tripware ● Samhain ● LIDS ●
IDS Comerciais ●
Diferenças Investimentos ● Front-End de configuração ●
●
IDS Comerciais NFR ● Cisco IDS ● BlackIce ●
Porque o Snort ?
Vantagens ●
Open Source
●
Elaboração simples de assinaturas
●
●
Multi Plataforma ● Linux ● Solaris ● BSD ● Win Confiável e Desenvolvido pela comunidade
Desvantagens ●
Falsos - Positivos
●
Não possui front-end de Configuração
Histórico ●
●
Motivação (Marty Roesch) ● Necessidade especifica ● Falta de alternativas Quando Iniciado em 1998 ● 1.500 linhas de codigo ●
●
Desenvolvimento Atualmente na Versão 2.0.4 (Quinta 06/11/03) ● Aproximadamente 75.000 linhas de código ●
Snort Distribuido Logs Centralizados
Facilidades / Dificuldades ●
Facilidades Base Dados única ● Melhor auditoria ●
●
Dificuldades Muitos Sensores ● Fluxo de Dados ●
Bancos de Dados Suportados ●
MySQL
●
PostgreSQL
●
Oracle
●
MSSQL
●
Outros ...
Ferramentas de Apoio
Principais Ferramentas ACID ● SnortSnarf ● Baynard ● IDS Center ● Snort Center ● Pigmeat ● Guardian ●
ACID
Bloqueios / Alertas ●
Bloqueio automático de ataques Guardian ● Pigmeat ●
●
Alertas Popup ● E-mail ● Pager ●
Links http://www.snort.org http://www.linuxsecurity.com.br http://pigmeat.linuxinfo.com.br http://www.underlinux.com.br http://www.packetstormsecurity.org http://www.securityteam.com http://www.securityfocus.com http://www.secforum.com.br http://www.honeypot.com.br
Dúvidas ?
Rodrigo Ribeiro Montoro http://www.2bfree.com.br
[email protected] Contato: (11) 5083-5577