Snort Conisli

  • November 2019
  • PDF

This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA


Overview

Download & View Snort Conisli as PDF for free.

More details

  • Words: 670
  • Pages: 42
Sistema Detecção de Intrusos - Snort

Rodrigo Ribeiro Montoro [email protected]

Agenda ● ● ● ● ● ● ● ● ●

Objetivo Apresentação Introdução O que é uma invasão ? O que é um IDS ? Porque o Snort? Snort Distribuido com Logs Centralizados Ferramentas de Apoio Dúvidas

Objetivo Apresentar os conceitos de um Sistema de Detecção de Intrusos e funcionalidades do Snort.

Apresentação

Empresa ●

Soluções em Software Livre



Desenvolvimento aplicações Web



Projetos de Segurança ( Firewall, IDS, VPN )



Parceria DBExperts

Projetos ●

Honeypot-br ( http://www.honeypot.com.br ) Projeto Honeypot-Br.



SGFw ( http://www.spooker.com.br/projetos/SGFw/ ) Sistema Gerenciamento de Firewall.

Introdução

Firewall x IDS ●

Firewall “Estático” ● Camada 4 da OSI ●



Sistema Detecção de Intrusos (IDS) “Dinamico” ● Camada 7 da OSI ●

Funcionamento OSI

Snort -Sniffer , Packet Log , NIDS ou WIDS ? ●

Sniffer



Packet Log



NIDS



WIDS ( patches - http://www.snort-wireless.org )

O que é uma invasão ?

Definição Invasão é o ato de acessar algo sem devida permissão ou direito por meios ilegais .

Motivos para invasão Curiosidade ● Afirmação / Reconhecimento ● Roubo de Dados ● Derrubar Serviços ● Espionagem Empresarial ● Utilização da máquina outros fins ●

Uso de CPU ● Repositório de conteúdos ● Futuros ataques ●

Como invadem ? ●

Senhas Frágeis



Sistemas Desatualizados



Ataques Internos



Engenharia Social

O que é um IDS ?

Definição Sistema de Detecção de Intrusos é um sistema que visa previnir futuros ataques, bem como monitorar e logar ataques em tempo real. Ele pode interferir nos mesmos, bem como somente logar.

Componentes ●

Libpcap / Decodificador de Pacotes



Pre-Processor



Mecanismos de Detecção (assinaturas de ataques)



Plugins de Saída

Libpcap capturando pacotes na rede

Máquina A quer comunicar-se com a B. ● Envia requisição para FF:FF:FF:FF:FF:FF perguntando quem é a máquina B (destino comunicação)? ● Máquina B se identifica e recebe o que foi enviado. ● O Sensor, mesmo não sendo o destino, também “pega” o que foi enviando, sendo isso o “modo promiscuo (sniffando)” ●

Fluxo Pre-processadores

Pré-Processadores # This preprocessor performs IP defragmentation. This plugin will also detect # arguments loads the default configuration of the preprocessor, which is a preprocessor frag2 preprocessor stream4: detect_scans, disable_evasion_alerts preprocessor stream4_reassemble #This plugin takes the ports numbers that RPC # The RPC decode preprocessor uses generator ID 106 preprocessor rpc_decode: 111 32771 #Outros #preprocessor arpspoof #preprocessor telnet_decode #preprocessor http_decode: 80 unicode iis_alt_unicode double_encode

Mecanismo de detecção

Ataque / Assinatura REGRA alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd32.exe access"; flow:to_server,established; content:"cmd32.exe"; nocase; classtype:web-application-attack; sid:1661; rev:3;)

ATAQUE http://www.spooker.com.br/XXXX/..system32/cmd.exe?/c%20dir%20C:\ http://www.spooker.com.br/scripts/teste.bat/..%C1%9C..%C1%9C..%C1%9C winnt/system32/cmd.exe?/c%20dir%20C:\

Plugins da Saida

Tipos de IDS ●

Network Based Intrusion Detection System (NIDS) Snort ● Cisco IDS ●



Host Based Intrusion Detection System (HIDS) Aide ● Tripware ● Samhain ● LIDS ●

IDS Comerciais ●

Diferenças Investimentos ● Front-End de configuração ●



IDS Comerciais NFR ● Cisco IDS ● BlackIce ●

Porque o Snort ?

Vantagens ●

Open Source



Elaboração simples de assinaturas





Multi Plataforma ● Linux ● Solaris ● BSD ● Win Confiável e Desenvolvido pela comunidade

Desvantagens ●

Falsos - Positivos



Não possui front-end de Configuração

Histórico ●



Motivação (Marty Roesch) ● Necessidade especifica ● Falta de alternativas Quando Iniciado em 1998 ● 1.500 linhas de codigo ●



Desenvolvimento Atualmente na Versão 2.0.4 (Quinta 06/11/03) ● Aproximadamente 75.000 linhas de código ●

Snort Distribuido Logs Centralizados

Facilidades / Dificuldades ●

Facilidades Base Dados única ● Melhor auditoria ●



Dificuldades Muitos Sensores ● Fluxo de Dados ●

Bancos de Dados Suportados ●

MySQL



PostgreSQL



Oracle



MSSQL



Outros ...

Ferramentas de Apoio

Principais Ferramentas ACID ● SnortSnarf ● Baynard ● IDS Center ● Snort Center ● Pigmeat ● Guardian ●

ACID

Bloqueios / Alertas ●

Bloqueio automático de ataques Guardian ● Pigmeat ●



Alertas Popup ● E-mail ● Pager ●

Links http://www.snort.org http://www.linuxsecurity.com.br http://pigmeat.linuxinfo.com.br http://www.underlinux.com.br http://www.packetstormsecurity.org http://www.securityteam.com http://www.securityfocus.com http://www.secforum.com.br http://www.honeypot.com.br

Dúvidas ?

Rodrigo Ribeiro Montoro http://www.2bfree.com.br [email protected] Contato: (11) 5083-5577

Related Documents

Snort Conisli
November 2019 46
Snort
November 2019 37
Snort
November 2019 46
Snort
November 2019 40
Snort Project
December 2019 44
Leabook Reseau Snort
May 2020 28