Snort Conisli
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Snort Conisli as PDF for free.
More details
- Words: 670
- Pages: 42
Sistema Detecção de Intrusos - Snort
Rodrigo Ribeiro Montoro [email protected]
Agenda ● ● ● ● ● ● ● ● ●
Objetivo Apresentação Introdução O que é uma invasão ? O que é um IDS ? Porque o Snort? Snort Distribuido com Logs Centralizados Ferramentas de Apoio Dúvidas
Objetivo Apresentar os conceitos de um Sistema de Detecção de Intrusos e funcionalidades do Snort.
Apresentação
Empresa ●
Soluções em Software Livre
●
Desenvolvimento aplicações Web
●
Projetos de Segurança ( Firewall, IDS, VPN )
●
Parceria DBExperts
Projetos ●
Honeypot-br ( http://www.honeypot.com.br ) Projeto Honeypot-Br.
●
SGFw ( http://www.spooker.com.br/projetos/SGFw/ ) Sistema Gerenciamento de Firewall.
Introdução
Firewall x IDS ●
Firewall “Estático” ● Camada 4 da OSI ●
●
Sistema Detecção de Intrusos (IDS) “Dinamico” ● Camada 7 da OSI ●
Funcionamento OSI
Snort -Sniffer , Packet Log , NIDS ou WIDS ? ●
Sniffer
●
Packet Log
●
NIDS
●
WIDS ( patches - http://www.snort-wireless.org )
O que é uma invasão ?
Definição Invasão é o ato de acessar algo sem devida permissão ou direito por meios ilegais .
Motivos para invasão Curiosidade ● Afirmação / Reconhecimento ● Roubo de Dados ● Derrubar Serviços ● Espionagem Empresarial ● Utilização da máquina outros fins ●
Uso de CPU ● Repositório de conteúdos ● Futuros ataques ●
Como invadem ? ●
Senhas Frágeis
●
Sistemas Desatualizados
●
Ataques Internos
●
Engenharia Social
O que é um IDS ?
Definição Sistema de Detecção de Intrusos é um sistema que visa previnir futuros ataques, bem como monitorar e logar ataques em tempo real. Ele pode interferir nos mesmos, bem como somente logar.
Componentes ●
Libpcap / Decodificador de Pacotes
●
Pre-Processor
●
Mecanismos de Detecção (assinaturas de ataques)
●
Plugins de Saída
Libpcap capturando pacotes na rede
Máquina A quer comunicar-se com a B. ● Envia requisição para FF:FF:FF:FF:FF:FF perguntando quem é a máquina B (destino comunicação)? ● Máquina B se identifica e recebe o que foi enviado. ● O Sensor, mesmo não sendo o destino, também “pega” o que foi enviando, sendo isso o “modo promiscuo (sniffando)” ●
Fluxo Pre-processadores
Pré-Processadores # This preprocessor performs IP defragmentation. This plugin will also detect # arguments loads the default configuration of the preprocessor, which is a preprocessor frag2 preprocessor stream4: detect_scans, disable_evasion_alerts preprocessor stream4_reassemble #This plugin takes the ports numbers that RPC # The RPC decode preprocessor uses generator ID 106 preprocessor rpc_decode: 111 32771 #Outros #preprocessor arpspoof #preprocessor telnet_decode #preprocessor http_decode: 80 unicode iis_alt_unicode double_encode
Mecanismo de detecção
Ataque / Assinatura REGRA alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd32.exe access"; flow:to_server,established; content:"cmd32.exe"; nocase; classtype:web-application-attack; sid:1661; rev:3;)
ATAQUE http://www.spooker.com.br/XXXX/..system32/cmd.exe?/c%20dir%20C:\ http://www.spooker.com.br/scripts/teste.bat/..%C1%9C..%C1%9C..%C1%9C winnt/system32/cmd.exe?/c%20dir%20C:\
Plugins da Saida
Tipos de IDS ●
Network Based Intrusion Detection System (NIDS) Snort ● Cisco IDS ●
●
Host Based Intrusion Detection System (HIDS) Aide ● Tripware ● Samhain ● LIDS ●
IDS Comerciais ●
Diferenças Investimentos ● Front-End de configuração ●
●
IDS Comerciais NFR ● Cisco IDS ● BlackIce ●
Porque o Snort ?
Vantagens ●
Open Source
●
Elaboração simples de assinaturas
●
●
Multi Plataforma ● Linux ● Solaris ● BSD ● Win Confiável e Desenvolvido pela comunidade
Desvantagens ●
Falsos - Positivos
●
Não possui front-end de Configuração
Histórico ●
●
Motivação (Marty Roesch) ● Necessidade especifica ● Falta de alternativas Quando Iniciado em 1998 ● 1.500 linhas de codigo ●
●
Desenvolvimento Atualmente na Versão 2.0.4 (Quinta 06/11/03) ● Aproximadamente 75.000 linhas de código ●
Snort Distribuido Logs Centralizados
Facilidades / Dificuldades ●
Facilidades Base Dados única ● Melhor auditoria ●
●
Dificuldades Muitos Sensores ● Fluxo de Dados ●
Bancos de Dados Suportados ●
MySQL
●
PostgreSQL
●
Oracle
●
MSSQL
●
Outros ...
Ferramentas de Apoio
Principais Ferramentas ACID ● SnortSnarf ● Baynard ● IDS Center ● Snort Center ● Pigmeat ● Guardian ●
ACID
Bloqueios / Alertas ●
Bloqueio automático de ataques Guardian ● Pigmeat ●
●
Alertas Popup ● E-mail ● Pager ●
Links http://www.snort.org http://www.linuxsecurity.com.br http://pigmeat.linuxinfo.com.br http://www.underlinux.com.br http://www.packetstormsecurity.org http://www.securityteam.com http://www.securityfocus.com http://www.secforum.com.br http://www.honeypot.com.br
Dúvidas ?
Rodrigo Ribeiro Montoro http://www.2bfree.com.br [email protected] Contato: (11) 5083-5577
Rodrigo Ribeiro Montoro [email protected]
Agenda ● ● ● ● ● ● ● ● ●
Objetivo Apresentação Introdução O que é uma invasão ? O que é um IDS ? Porque o Snort? Snort Distribuido com Logs Centralizados Ferramentas de Apoio Dúvidas
Objetivo Apresentar os conceitos de um Sistema de Detecção de Intrusos e funcionalidades do Snort.
Apresentação
Empresa ●
Soluções em Software Livre
●
Desenvolvimento aplicações Web
●
Projetos de Segurança ( Firewall, IDS, VPN )
●
Parceria DBExperts
Projetos ●
Honeypot-br ( http://www.honeypot.com.br ) Projeto Honeypot-Br.
●
SGFw ( http://www.spooker.com.br/projetos/SGFw/ ) Sistema Gerenciamento de Firewall.
Introdução
Firewall x IDS ●
Firewall “Estático” ● Camada 4 da OSI ●
●
Sistema Detecção de Intrusos (IDS) “Dinamico” ● Camada 7 da OSI ●
Funcionamento OSI
Snort -Sniffer , Packet Log , NIDS ou WIDS ? ●
Sniffer
●
Packet Log
●
NIDS
●
WIDS ( patches - http://www.snort-wireless.org )
O que é uma invasão ?
Definição Invasão é o ato de acessar algo sem devida permissão ou direito por meios ilegais .
Motivos para invasão Curiosidade ● Afirmação / Reconhecimento ● Roubo de Dados ● Derrubar Serviços ● Espionagem Empresarial ● Utilização da máquina outros fins ●
Uso de CPU ● Repositório de conteúdos ● Futuros ataques ●
Como invadem ? ●
Senhas Frágeis
●
Sistemas Desatualizados
●
Ataques Internos
●
Engenharia Social
O que é um IDS ?
Definição Sistema de Detecção de Intrusos é um sistema que visa previnir futuros ataques, bem como monitorar e logar ataques em tempo real. Ele pode interferir nos mesmos, bem como somente logar.
Componentes ●
Libpcap / Decodificador de Pacotes
●
Pre-Processor
●
Mecanismos de Detecção (assinaturas de ataques)
●
Plugins de Saída
Libpcap capturando pacotes na rede
Máquina A quer comunicar-se com a B. ● Envia requisição para FF:FF:FF:FF:FF:FF perguntando quem é a máquina B (destino comunicação)? ● Máquina B se identifica e recebe o que foi enviado. ● O Sensor, mesmo não sendo o destino, também “pega” o que foi enviando, sendo isso o “modo promiscuo (sniffando)” ●
Fluxo Pre-processadores
Pré-Processadores # This preprocessor performs IP defragmentation. This plugin will also detect # arguments loads the default configuration of the preprocessor, which is a preprocessor frag2 preprocessor stream4: detect_scans, disable_evasion_alerts preprocessor stream4_reassemble #This plugin takes the ports numbers that RPC # The RPC decode preprocessor uses generator ID 106 preprocessor rpc_decode: 111 32771 #Outros #preprocessor arpspoof #preprocessor telnet_decode #preprocessor http_decode: 80 unicode iis_alt_unicode double_encode
Mecanismo de detecção
Ataque / Assinatura REGRA alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd32.exe access"; flow:to_server,established; content:"cmd32.exe"; nocase; classtype:web-application-attack; sid:1661; rev:3;)
ATAQUE http://www.spooker.com.br/XXXX/..system32/cmd.exe?/c%20dir%20C:\ http://www.spooker.com.br/scripts/teste.bat/..%C1%9C..%C1%9C..%C1%9C winnt/system32/cmd.exe?/c%20dir%20C:\
Plugins da Saida
Tipos de IDS ●
Network Based Intrusion Detection System (NIDS) Snort ● Cisco IDS ●
●
Host Based Intrusion Detection System (HIDS) Aide ● Tripware ● Samhain ● LIDS ●
IDS Comerciais ●
Diferenças Investimentos ● Front-End de configuração ●
●
IDS Comerciais NFR ● Cisco IDS ● BlackIce ●
Porque o Snort ?
Vantagens ●
Open Source
●
Elaboração simples de assinaturas
●
●
Multi Plataforma ● Linux ● Solaris ● BSD ● Win Confiável e Desenvolvido pela comunidade
Desvantagens ●
Falsos - Positivos
●
Não possui front-end de Configuração
Histórico ●
●
Motivação (Marty Roesch) ● Necessidade especifica ● Falta de alternativas Quando Iniciado em 1998 ● 1.500 linhas de codigo ●
●
Desenvolvimento Atualmente na Versão 2.0.4 (Quinta 06/11/03) ● Aproximadamente 75.000 linhas de código ●
Snort Distribuido Logs Centralizados
Facilidades / Dificuldades ●
Facilidades Base Dados única ● Melhor auditoria ●
●
Dificuldades Muitos Sensores ● Fluxo de Dados ●
Bancos de Dados Suportados ●
MySQL
●
PostgreSQL
●
Oracle
●
MSSQL
●
Outros ...
Ferramentas de Apoio
Principais Ferramentas ACID ● SnortSnarf ● Baynard ● IDS Center ● Snort Center ● Pigmeat ● Guardian ●
ACID
Bloqueios / Alertas ●
Bloqueio automático de ataques Guardian ● Pigmeat ●
●
Alertas Popup ● E-mail ● Pager ●
Links http://www.snort.org http://www.linuxsecurity.com.br http://pigmeat.linuxinfo.com.br http://www.underlinux.com.br http://www.packetstormsecurity.org http://www.securityteam.com http://www.securityfocus.com http://www.secforum.com.br http://www.honeypot.com.br
Dúvidas ?
Rodrigo Ribeiro Montoro http://www.2bfree.com.br [email protected] Contato: (11) 5083-5577
Related Documents
Snort Conisli
November 2019 46
Snort
November 2019 37
Snort
November 2019 46
Snort
November 2019 40
Snort Project
December 2019 44