SNORT. Sistema de Detecção de Intrusão de Rede. Amanda Argou Vilnei Neves REDES II

Tamanho: px

Começar a partir da página:

Download "SNORT. Sistema de Detecção de Intrusão de Rede. Amanda Argou Vilnei Neves REDES II"

Judite Wagner Caires
7 Há anos
Visualizações:

1 SNORT Sistema de Detecção de Intrusão de Rede Amanda Argou Vilnei Neves

2 SUMÁRIO Introdução; SNORT Motivações; Características; Objetivos; NIDS; Vantagens; Desvantagens; Exemplo de Topologia; Sensor; Funcionamento; Modalidades Arquitetura; Fluxo; Virtudes; Fraquezas; Referências

3 INTRODUÇÃO É uma ferramenta Open Source NIDS (Network Intrusion Detection System); desenvolvido por Martin Roesch e mantido pela Sourcefire, da qual é fundador; capaz de desenvolver análise de tráfego em tempo real e registro de pacote em redes IP.

4 MOTIVAÇÕES Grande crescimento da interconexão de computadores, materializado pela Internet, conseqüentemente aumento nos tipos e no número de ataques; elevado grau de complexidade para a capacidade dos tradicionais mecanismos de prevenção; para maioria das aplicações atuais, é praticamente inviável a simples utilização de mecanismos que diminuam a probabilidade de eventuais ataques.

5 OBJETIVOS monitorar redes TCP/IP, detectando uma grande variedade do tráfego suspeito, assim como ataques externos e então, fornecer argumentos para as decisões dos administradores; uma ferramenta inteligente capaz de detectar tentativas de invasão em tempo real; alertar as tentativas de invasão; como também em forma reativa, aplicar ações necessárias contra o ataque.

6 NIDS É tipo de IDS (Sistema de Detecção de Intrusão) baseado em rede; os ataques são capturados e analisados através de pacotes de rede; ouvindo um segmento de rede, pode monitorar o tráfego afetando múltiplas estações que estão conectadas ao segmento de rede; podem consistir em um conjunto de sensores ou estações espalhados por vários pontos da rede.

7 Exemplo de Topologia REDES II

8 Exemplo de Topologia REDES II

9 NIDS - Vantagens tem pouco impacto sobre a performance da rede; geralmente ficam em modo passivo, apenas escutando o tráfego da rede sem interferir no seu funcionamento; bem posicionados podem monitorar uma grande rede; podem ser muito seguros contra a maioria dos ataques; além de ficarem invisíveis aos atacantes.

10 NIDS - Desvantagens podem ter dificuldade em processar todos os pacotes em uma rede que possua um grande tráfego de dados; não podem analisar o tráfego de informações criptografadas; Esse problema vem aumentando em função da utilização de VPNs pelas organizações (e pelos atacantes também).

11 SNORT - Características Desenvolvido em módulos utilizando linguagem de programação C e, junto, com a documentação, são de domínio público. pode rodar em plataformas específicas de hardware e/ ou máquinas com plataforma intel; deve trabalhar em todos os lugares que o libpcap¹ trabalha; ¹ a biblioteca de captura de pacotes é uma API da BPF (Berkeley Packet Filter) que torna simples criar filtros para análise de pacotes. Está em muitos projetos conhecidos como, tcpdump, snort, arpwatch, fragrouter, hping, e muitos outros.

12 SNORT - Características foi compilado com sucesso nas seguintes plataformas:

13 SNORT - Características a principal característica é inspeção de conteúdo do pacote; várias maneiras de armazenar os logs dos dados de eventos gerados: em arquivo texto ou binário e nos banco de dados SQL (PostgreSQL, MySQL, UnixODBC, MS SQL Server, Oracle); capacidade de gerar alertas em tempo real; grande número de possibilidades de tratamento de alertas gerados; é indicado para monitorar redes TCP/IP pequenas.

14 SENSOR é tratado como uma interface ou ponto de entrada de dados capturados; todo evento detectado pelo Snort é associado a um sensor; basicamente é encarado pelo SO como uma interface em modo promíscuo conectada a um dispositivo de rede; localização dos sensores é um dos principais pontos a serem definidos na arquitetura do sistema de detecção. O que se deseja monitorar?

15 ESQUEMA REDES II

16 FUNCIONAMENTO monitora o tráfego de pacotes em redes IP, realizando análises em tempo real sobre diversos protocolos (nível de rede e aplicação) e sobre o conteúdo (hexa e ASCII); avalia tanto o cabeçalho quanto o conteúdo dos pacotes; além de disponibilizar, por exemplo, a opção de capturar uma sessão inteira;

17 FUNCIONAMENTO (cont.) executa análise de protocolo; busca/associa padrões de conteúdo e pode ser usado para detectar uma variedade de ataques e probes (buffer overflows, stealth port scans, ataques CGI, SMB probes, OS fingerprinting, entre outras); decodifica a camada de aplicação do pacote, para detectar atividade hostil; então, através de regras pode-se coletar o tráfego de dados específicos, como por exemplo, assinaturas digitais contidas nessa camada.

18 MODALIDADES Sniffer: Está modalidade simplesmente captura os pacotes e imprime continuamente no console; Packet logger: Registra os pacotes capturados no disco rígido; Network intrusion detection system: Esta modalidade é a mais complexa e versátil, permitindo que o Snort analise o trafego da rede de encontro a regras definidas pelo usuário, executando diversas ações baseadas em suas regras.

19 ARQUITETURA Há três subsistemas primários que o compõem: Decodificador de pacotes: Disposto entre o packet sniffing e o processamento do engine de detecção, decodifica o pacote; Engenharia de Detecção: Ocorre durante o processamento do engine de detecção; Arquitetura de detecção; Arquitetura de armazenamento de regras; Subsistema de login e alerta (Saída): é executado após o processamento do engine de detecção, para registrar e alertar. REDES II

20 FLUXO o decodificador de pacote interpreta qual é o conjunto de tráfego.

21 FLUXO o tráfego decodificado é analisado por todo plug-ins pré-processador definido nas regras.

22 FLUXO o engine de detecção recebe o tráfego, aplica uma estrutura de regras e pode também aplicar plug-ins de detecção no tráfego excessivo para procurar outras assinaturas

23 FLUXO o fluxo de dados é enviado para o estágio de saída, onde existem diferentes opções de registro e alerta e ainda, podem ser enviados para plug-ins de saída que atuam como extremidade final back-end de processamento para detecção.

24 SNORT - VIRTUDES Flexível: Algoritmos de Inspeção baseados em Regras; Sem falsos positivos inerentes; Controle Total do refinamento das regras. Metodologias de detecção Multi-Dimensional: Assinaturas (Impressões Digitais) do Ataque; Anomalias no Protocolo; Anomalias no Comportamento;

25 SNORT Fraquezas Performance Modesta: Menos de 30mbps, para redes de até 10Mbps; Interface Gráfica Limitada: Configuração do Sensor; Gerenciamento de Regras; Implementação lenta e cansativa; Capacidade Analítica Limitada.

26 REFERÊNCIAS liminares

Documentos relacionados

Segurança Corporativa utilizando Sistema de Detecção de Intrusão (IDS)

Segurança Corporativa utilizando Sistema de Detecção de Intrusão (IDS) Clóvis Issao Karia Endo 1, Júlio César Pereira 1 1 Universidade Paranaense (Unipar) Paranavaí PR Brasil clovis.endo@hotmail.com, juliocesarp@unipar.br