Criando um IDS com resposta ativa com OSSEC / Snort



Documentos relacionados
SNORT IDS para todos os níveis

Prof. Marcos Monteiro.

Pré-Processadores Grupo SNORT-BR

Configurando DDNS no Stand Alone

1 Cadastre-se Mozilla Firefox. AQUI Esqueci a senha Login Senha. Esqueci a senha Login Enviar Solicitação OBS: Nome: Login:

Bem Vindos! Palestrante: Rodrigo Ribeiro Montoro. Analista de Segurança da BRconnection

1 Essa é a tela de login do Sistema de Atendimento Online, siga o passo a passo abaixo.

Para começarmos as configurações, primeiramente vamos habilitar o DVR Veicular para o acesso. Clique em Menu e depois entre em Geral.

Instalação e Configuração Iptables ( Firewall)

Tutorial de Integração PYTHON

Auditando o Acesso ao Sistema de Arquivos no Windows 2008 Server R2

LILDBI-Web. Objetivo: Aplicar as funcionalidades do LILDBI-Web para alimentação de bases de dados bibliográficas. Conteúdos desta aula

Nesse artigo abordaremos os principais aspectos de instalação e uso do NTOP no Fedora Core 4.

Firewall Iptables - Impasses


MANUAL DE REFERÊNCIA PARA UTILIZAÇÃO DO SISTEMA

1. Capturando pacotes a partir da execução do traceroute

UNIVERSIDADE ESTADUAL DE GOIÁS

Manual Administrador - Mídia System

Instalação do OnSite

Para funcionamento do Netz, alguns programas devem ser instalados e alguns procedimentos devem ser seguidos. São eles:

Capítulo 16 - Rsyslog

02-Configurando um Servidor DHCP. Prof. Armando Martins de Souza

Depois que instalamos o Squid vamos renomear o arquivo de configuração para criarmos um do zero.

Instalação e Configuração do Servidor HTTPD Apache

Configurações de Templates no SolidWorks 2011

ACESSO REMOTO EM NUVEM Guia Rápido

OSSE{LK}C Rodrigo Montoro Pesquisador / Security Operations Center (SOC) rodrigo@clavis.com.br

Tutorial para ensinar a mexer pagina modelo da UFPI.

Domo Estrutura do Sistema Físico e Lógico

Manual de Instalação e Configuração do SQL Express

Procedimentos para configurar o Motion Detection no D-ViewCam 1 Para configurar o Motion Detection no D-ViewCam, é necessário que a câmera IP esteja

ACESSO REMOTO EM NUVEM Guia Rápido

Tutorial - Monitorando a Temperatura de Servidores Windows

MANUAL BACKUP XDENTAL 2012

Tutorial do ADD Analisador de Dados Dinâmico.

Configuração de DNS em Windows Servidor 2008

Utilização do Webmail da UFS

Alertamos que essa é uma configuração avançada e exige conhecimentos técnicos em informática para ser executada.

Índice APRESENTAÇÃO... 1 CADASTRO DOS CONTADORES... 3 REGISTRAR COMO SAGE ID... 5 CRIAR CONVITE PARA O CLIENTE... 8

Vamos criar uma nova Página chamada Serviços. Clique em Adicionar Nova.

Configurando um Servidor de Arquivos SAMBA. Prof. Armando Martins de Souza

Manual de backup do banco de dados PostgreSQL - Versão 2. Setembro-2011

Nova Prestech.net. Gerenciamento de Segurança da Informação com Software Livre. Consultoria e Soluções em Informática.

Introdução. O Windows Server 2003 está dividido em quatro versões:

Manual de Inventario do coletor de dados Scan Pal 2. Importação do Arquivo Inventario.ATX

Manual de Instalação do AP_Conta Windows

Manual do Almoxarifado SIGA-ADM

Instalando e Configurando o DNS Server

Manual do Plone (novo portal do IFCE)

Para participar de um mapa colaborativo usando o Cmap Tools

Configurando um servidor DHCP

GESTOR SMS Como enviar SMS Primeiramente click em Mensagens Aparecera o seguinte menu Click em Nova Mensagem

Manual de Instalação e Integração do PaperCut MF com equipamentos Brother

Online Help StruxureWare Data Center Expert

Como instalar os recursos adicionais para convidados e acesso aos aplicativos

Sistemas de Detecção de Intrusão

Manual de criação de envios no BTG360

STK (Start Kit DARUMA) Driver Genérico Somente Texto para a impressora DR700 ETHERNET

Índice: CMS 3 O que é Content Management System? Clientes 4 O que é o Cliente? 4 Configurando o i-menu/i-view para trabalhar. com o CMS.

Passo 1: Abra seu navegador e digite Passo 2: Na tela que surgir, clique em Get Started.

VIAÇÃO SÃO BENTO LTDA.

Vamos criar uma nova Página chamada Serviços. Clique em Adicionar Nova.

zirion.com.br 3 1 Para o primeiro acesso, o Usuário será: admin 2 O campo Senha deverá ser deixado em branco. 3 Clique em OK

MANUAL DE UTILIZAÇÃO

CRIANDO BANCOS DE DADOS NO SQL SERVER 2008 R2 COM O SQL SERVER MANAGEMENT STUDIO

Tutorial de aprendizado para adicionar conteúdo no site

Comandos Linux Comando tcpdump, guia de referência e introdução. Sobre este documento

Você pode testar se está tudo OK, abrindo um navegador no Debian Linux e acessando qualquer site.

Integração com Asterisk

Algumas das características listada nela:

STK (Start Kit DARUMA) Utilizando conversor Serial/Ethernet com Mini-Impressora DR600/DR700.

Manual do Usuário. Tag List. Tag List Generator. smar FIRST IN FIELDBUS JUL / 02. Tag-List VERSÃO 1.0 TAGLSTC3MP

Atividade Proposta da Disciplina: Laboratório de Rede de Computadores

HelpAndManual_unregistered_evaluation_copy Manual de Instalação do VisualControl

Guia de instalação para ambiente de Desenvolvimento LINUX

Configuração para o MK-AUTH

Tutorial SGCD. 1. Efetuando Login no Sistema. 2. Criando uma nova página. 3. Editando uma página já existente

XD GESTÃO COMERCIAL ESPANHA

MANUAL DE CONFIGURAÇÃO

MICROSOFT EXCEL AVANÇADO

Configurando o IIS no Server 2003

Cobrança Bancária. Contas / Manutenção.

UNIVERSIDADE FEDERAL DO AMAPÁ PRÓ REITORIA DE ADMINISTRAÇÃO E PLANEJAMENTO DEPARTAMENTO DE INFORMÁTICA. Manual do Moodle- Sala virtual

DarkStat para BrazilFW

Manual de Instalação e Configuração para Revendedores e Assinantes Virtual Server.

ACOMPANHE SEU FINANCIAMENTO CRÉDITO IMOBILIÁRIO CAIXA

Manual de utilização do sistema de envio de sms marketing e corporativo da AGENCIA GLOBO. V

Sistema de Registro de Contratos e Financiamentos

- Wireless e NTP - 272

Guia de Demonstração MeusPets

3. No painel da direita, dê um clique com o botão direito do mouse em qualquer espaço livre (área em branco).

Procedimentos para obter planilhas

Tutorial para hostear e/ou gerar missões para a GVV usando o BADC

Rastreando fluxos para detecção de eventos em redes


NewAgent enterprise-brain

Documentação Symom. Agente de Monitoração na Plataforma Windows

Transcrição:

Criando um IDS com resposta ativa com OSSEC / Snort Rodrigo Ribeiro Montoro (Sp0oKeR) 1 BRconnection Ltda. Introdução: Atualmente o crescimento de ataques e necessidades de possuirmos serviços expostos na internet faz com que a necessidade da segurança em perímetro seja cada vez maior. Objetivo: Esse paper não ensinará você a instalar ou configurar snort e/ou OSSEC HIDS, a meta aqui será ensinar a usar o modelo de output do snort CSV e construir uma regra no OSSEC para active response do mesmo. O Ossec precisa estar com active-response ativado. Resumo OSSEC / Snort: OSSEC é um Host Based Intrusion detection system que faz análise de logs, checagem de integridade, active response (resposta em real time), verificacão de rootkits entre outros. Mais info http://www.ossec.net Snort é um Network Intrusion Detection system, que acopla funcionalidade para detecção de ataques na rede. Mais info http://www.snort.org 1 Rodrigo Montoro(Sp0oKeR) utiliza o linux a mais de 8 anos, sendo certificado RHCE ( Redhat Certified Engineer), LPI Nível I e SnortCP (Snort Certified Professional). Participante do snort-br, slackware-br, ISSA-Brasil, OWASP-BR entre outros. Palestrante em eventos como FISL, Conisli, CNASI. Atualmente trabalha como Analista de Segurança na empresa BRconnection no qual é responsável pela parte de Pentests onde tem a missão de realizar pesquisas e estudos sobre metodologias de combate a vulnerabilidades. Para entrar em contato spooker@brc.com.br / spooker@gmail.com 1/5

Mãos a massa: O ossec por padrão possui a seguinte estrutura: /var/ossec raiz do ossec /var/ossec/etc/ossec.conf principal arquivo de configuração /var/ossec/rules onde as regras ficam O snort,padrão redhat : /etc/snort/ - raiz das configurações /etc/snort/snort.conf arquivo principal de configuração Inicialmente vamos editar o snort.conf e adicionar o output no modelo csv para o arquivo /var/log/snort-spooker.log. Um pouco sobre o modo de output do csv: Abaixo uma listagem dos parametros que podemos ter no nosso log: timestamp sig generator sig id sig rev msg proto src srcport dst dstport ethsrc ethdst ethlen tcpflags tcpseq tcpack tcplen tcpwindow ttl tos id dgmlen iplen icmptype icmpcode icmpid icmpseq Exemplo: output alert_csv: <nome_arquivo> <formato> 2/5

output alert_csv: /var/log/alerta.csv timestamp, msg No nosso caso, iremos editar o snort.conf e adicionar: output alert_csv: /var/log/snort-spooker.log msg,timestamp,src,dst,dstport Esse modelo de log, nós traria o horário, mensagem da regra, ip origem, ip destino e porta destino. Exemplo: [OSSEC] Virus Detected,11/20-10:01:26.148307,192.168.240.200,200.xxx.xxx.xx,80 Onde MSG: [OSSEC] Virus Detected Data: 11/20-10:01:26.14830 Origem: 192.168.240.200 Destino: 200.xxx.xxx.xx Porta Destino: 80 A flag [OSSEC] terá que ser adicionada no campo msg das regras/ataques do snort que deseja ter resposta ativa. Com nossos snort configurado (OBS: precisa reinicar o snort para gerar logs), vamos ao OSSEC: Primeiro adicionarei o arquivo para ser monitorado pelo OSSEC, no caso como é uma entrada por linha, usarei modo syslog. Edite o ossec.conf e adicone: <localfile> <log_format>syslog</log_format> <location>/var/log/snort-spooker.log</location> </localfile> Após editar, reinicie o ossec para o mesmo comecar a monitorar nosso log. /var/ossec/bin/ossec-control restart O segundo passo, será criar o decoder e a regra que irão gerar os alertas: 3/5

Edite o /var/ossec/etc/decoder.xml e adicione <!-- Sp0oKeR Playing - Exemplos de alert [OSSEC] Sp0oKeR Virus,11/20-11:58:17.203367,192.168.240.200,200.182.206.2,80 --> <decoder name="ossec-snort"> <prematch>^[ossec]</prematch> <regex offset="after_prematch">,\s+,(\d+.\d+.\d+.\d+),(\d+.\d+.\d+.\d+),(\d+)</regex> <order>srcip, dstip, dstport</order> </decoder> O prematch, tentará visualizar o comeco da linha com [OSSEC], que será a flag que dara um start no alerta. Lembre-se que voce pode modificar essa flag para qualquer outra, desde que reconfigure todo os passos que fazem referencia a ela. Depois do prematch, o decoder irá fazer o prematch, que será responsável em pegar o ip de origem, ip destino e porta destino (<order>srcip, dstip, dstport</order>), que será usado no active response depois. Agora gerarei a regra que fara com que o alerta seja gerado, incluiremos ela no /var/ossec/rules/local_rules.xml que é o local padrão para inputarmos nossas regras. <group name="snort,alert_csv,"> <rule id = "111" level = "7"> <decoded_as>ossec-snort</decoded_as> <description> SNORT Attack</description> </rule> <rule id="122" level="7"> <if_sid>111</if_sid> <match>[ossec]</match> <description>snort Attack Detected with OSSEC Flag</description> </rule> Com isso, e logicamente como comentei voce ja deve ter o ossec instalado com active response ativado, o alerta (o alerta sempre terá independente de active response ativado ou não) será o seguinte: ** Alert 1195574579.1031: mail - snort,alert_csv, 2007 Nov 20 14:02:59 frankstein->/var/log/snort-spooker.log Rule: 122 (level 7) -> 'SNORT Attack Detected with OSSEC Flag' Src IP: 192.168.240.200 User: (none) [OSSEC] Sp0oKeR Virus,11/20-14:02:59.650069,192.168.240.200,200.xxx.zzz.yyy,80 4/5

E como veremos abaixo, o mesmo como a regra tem level >=6, ele ativara o active response: # tail -2 active-responses.log Tue Nov 20 14:02:59 BRST 2007 /var/ossec/active-response/bin/host-deny.sh add - 192.168.240.200 1195574579.1321 122 Tue Nov 20 14:02:59 BRST 2007 /var/ossec/active-response/bin/firewall-drop.sh add - 192.168.240.200 1195574579.1321 122 Conclusões: Com o OSSEC + SNORT podemos ter uma ótima ferramenta de resposta ativa para ataques que desejar monitorar, visto que na parte de mensagem do assinatura do snort,voce precise adicionar a flag [OSSEC], como exemplo msg: [OSSEC] Mensagem do ataque da regra snort. Qualquer dúvida, sugestão, críticas fiquem a vontade para entrar em contato Referências: http://www.snort.org http://www.ossec.net http://www.brc.com.br/artigos/ Data [São Paulo, 21 de Novembro de 2007.] 5/5

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback