IDS - Implementando o SNORT Open Source

Tamanho: px

Começar a partir da página:

Download "IDS - Implementando o SNORT Open Source"

Anderson Vidal Mendes
8 Há anos
Visualizações:

2 Objetivos : apresentar ferramenta que auxilia na segurança das redes. Pré requisitos : Comandos Básicos Linux Comandos Básicos de Redes Linux Conhecimento do Padrão TCP/IP em especial protocolos : ICMP, IP, TCP e UDP

3 Qual é o fator principal a ser segurado? A segurança da informação protege a informação de diversos tipos de ameaças, para assim preservá-la.

4 Usuário Comum Crackers Hackers

5 Filosofia da Segurança, pelo menos duas : Proibitiva: tudo que não é expressamente permitido é proibido (Nega-se tudo e permite de acordo com a necessidade real) Permissiva: tudo que não é proibido é permitido (Tudo pode ate que seja proibido)

permite de acordo com a necessidade real) Permissiva: tudo

6 Cuidado com fator Pessoal Idoneidade Pessoal Tópicos acima em torno da Informação.

7 A informação deve ser : Confiável. Íntegra. Disponível. Autêntica. Legal.

8 Open Source Segurança Física Segurança Lógica

9 Padrão de comunicação mundial : TCP/IP Camada de Transporte Camada de Rede

10 Comparação TCP/IP x OSI TCP/IP OSI Aplicação HTTP IMAP FTP SMTP POP, dentre outros Aplicação Apresentação Sessão TCP UDP Transporte Transporte ICMP IP ARP, dentre outros Inter Rede Inter-rede ETHERNET PPP TOKEN RING FDDI, dentre outros Data Link Enlace Meios Físicos Físico Físico

Transporte ICMP IP ARP, dentre outros Inter Rede Inter-rede ETHERNET

11 Tipos de Ataques Trashing Engenharia social Ataque físico Sniffing Port scanning Scanning de Vulnerabilidade IP Spoofing DoS (Deny of Service) Dentre outros

12 Importância de um IDS Auxílio ao administrador; Antecipação na defesa; Monitoramento dos protocolos no início do ataque;

13 CARACTERíSTICAS Deve estar sempre em Funcionamento; Acessivel a Alterações de rotinas; Não deve ser Tolerância a falhas; Existe Portabilidade.

14 São enquadrados em dois grandes grupos: Por Assinatura(nosso caso) Por Anomalia

15 Tipos de Ação: TIPOS DE IDS CLASSIFICAÇÃO Ativo Passivo(nosso caso)

16 Funcionalidade: TIPOS DE IDS CLASSIFICAÇÃO HIDS: Atividade de Rede; Atividade de Login; Atividade do Administrador.

17 TIPOS DE IDS CLASSIFICAÇÃO NIDS: Assinatura; Protocolo; Estado do Protocolo.

18 PROBLEMAS Fragmentação; Criptografia; Falso Positivo; Falso Negativo; Subversão.

19 Modelo conceitual de uma ferramenta IDS Gerador de Eventos (E-boxes); Analisador de Eventos (A-boxes); Base de dados de Eventos (D-boxes); Unidade de Resposta (R-boxes)

20 Fonte:

21 Flexibilidade de trabalhar em várias plataformas Onde usar?

22 Decodificador de Pacote Decodificador ou Pré-Processador Organiza os pacotes capturados pelo libcap Pré-processadores remontam o pacote da maneira correta, para diminuir falsonegativos na hora da comparação com as assinaturas.

23 SNORT O Snort é um sistema de detecção de invasão baseado em rede; O Snort é um sistema avançado capaz de detectar quando um ataque está sendo realizado;

24 Open Source SNORT Uma característica marcante do Snort é a facilidade de criação de assinaturas de ataques; O Snort é uma ótima ferramenta, mas como todo aplicativo deve ser bem implementada;

25 Open Source Foi desenvolvido para os Sistemas Operacionais: Linux; FreeBSD; NetBSD; OpenBSD; Solaris; MacOS; entre outros. SNORT

26 Registro e Alerta O registro de pacotes em (Banco de Dados). Os alertas podem ser enviados a dispositivos. Plugins de Saída podem interagir com firewall e ferramentas com BASE.

27 Regras alert / log alert tcp! /24 any -> /24 22 (content: 00 ; msg: Acesso externo SSH ;) log udp any any -> /24 1:200 log upd

28 Regras activate / dynamic activate tcp!$home_net any -> $HOME_NET 143 (flags: PA; content: E8C0FFFFFF /bin ; activates: 1; msg:imap buffer overflow! ;) dynamic tcp!$home_net any -> $HOME_NET 143 (activated_by:1; count: 50;)

29 Plugins: São recursos opcionais que podem ser inseridos durante a compilação; Exemplo: SMB(winpopup). Aplicativos: Ferramentas externas que reforçam o uso do snort.

30 Ambiente de implantação do Snort LIBCAP Servidor de Páginas APACHE Banco de Dados - MySql 5 PHP 5 BASE(Basic Analysis and Security Engine)

31 BASE

32 TESTES # nmap -O -ss <IPdestino>

33 IDS-Sistema Detecção Intrusão /usr/sbin/snort -m 027 -D -d -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf comando utilizado ao inicializar o snort em /etc/init.d/./snort start após inicializar o snort foi feita a conferência nos processos : /usr/sbin/snort -m 027 -D -d -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf -m umask tipo somente poderá - (rw-r-----) -d - mostra os pacotes em modo verbose -D - roda o snort em modo daemon -l - informa o diretório de onde será armazenado o log, em nosso caso /var/log/snort -u - informa o usuário do daemon -g - group do usuário -c - é informado aqui o arquivo de configuração

34 Open Source Fontes: RFC 793 TCP RFC 768 UDP FRC 792 ICMP RFC 791 IP

35 IDS-Sistema Detecção Intrusão Perguntas?

Documentos relacionados

MÓDULO 8 Modelo de Referência TCP/IP

MÓDULO 8 Modelo de Referência TCP/IP A internet é conhecida como uma rede pública de comunicação de dados com o controle totalmente descentralizado, utiliza para isso um conjunto de protocolos TCP e IP,