Objetivos : apresentar ferramenta que auxilia na segurança das redes. Pré requisitos : Comandos Básicos Linux Comandos Básicos de Redes Linux Conhecimento do Padrão TCP/IP em especial protocolos : ICMP, IP, TCP e UDP
Qual é o fator principal a ser segurado? A segurança da informação protege a informação de diversos tipos de ameaças, para assim preservá-la.
Usuário Comum Crackers Hackers
Filosofia da Segurança, pelo menos duas : Proibitiva: tudo que não é expressamente permitido é proibido (Nega-se tudo e permite de acordo com a necessidade real) Permissiva: tudo que não é proibido é permitido (Tudo pode ate que seja proibido)
Cuidado com fator Pessoal Idoneidade Pessoal Tópicos acima em torno da Informação.
A informação deve ser : Confiável. Íntegra. Disponível. Autêntica. Legal.
Open Source Segurança Física Segurança Lógica
Padrão de comunicação mundial : TCP/IP Camada de Transporte Camada de Rede
Comparação TCP/IP x OSI TCP/IP OSI Aplicação HTTP IMAP FTP SMTP POP, dentre outros Aplicação Apresentação Sessão TCP UDP Transporte Transporte ICMP IP ARP, dentre outros Inter Rede Inter-rede ETHERNET PPP TOKEN RING FDDI, dentre outros Data Link Enlace Meios Físicos Físico Físico
Tipos de Ataques Trashing Engenharia social Ataque físico Sniffing Port scanning Scanning de Vulnerabilidade IP Spoofing DoS (Deny of Service) Dentre outros
Importância de um IDS Auxílio ao administrador; Antecipação na defesa; Monitoramento dos protocolos no início do ataque;
CARACTERíSTICAS Deve estar sempre em Funcionamento; Acessivel a Alterações de rotinas; Não deve ser Tolerância a falhas; Existe Portabilidade.
São enquadrados em dois grandes grupos: Por Assinatura(nosso caso) Por Anomalia
Tipos de Ação: TIPOS DE IDS CLASSIFICAÇÃO Ativo Passivo(nosso caso)
Funcionalidade: TIPOS DE IDS CLASSIFICAÇÃO HIDS: Atividade de Rede; Atividade de Login; Atividade do Administrador.
TIPOS DE IDS CLASSIFICAÇÃO NIDS: Assinatura; Protocolo; Estado do Protocolo.
PROBLEMAS Fragmentação; Criptografia; Falso Positivo; Falso Negativo; Subversão.
Modelo conceitual de uma ferramenta IDS Gerador de Eventos (E-boxes); Analisador de Eventos (A-boxes); Base de dados de Eventos (D-boxes); Unidade de Resposta (R-boxes)
Fonte:www.snort.org
Flexibilidade de trabalhar em várias plataformas Onde usar?
Decodificador de Pacote Decodificador ou Pré-Processador Organiza os pacotes capturados pelo libcap Pré-processadores remontam o pacote da maneira correta, para diminuir falsonegativos na hora da comparação com as assinaturas.
SNORT O Snort é um sistema de detecção de invasão baseado em rede; O Snort é um sistema avançado capaz de detectar quando um ataque está sendo realizado;
Open Source SNORT Uma característica marcante do Snort é a facilidade de criação de assinaturas de ataques; O Snort é uma ótima ferramenta, mas como todo aplicativo deve ser bem implementada;
Open Source Foi desenvolvido para os Sistemas Operacionais: Linux; FreeBSD; NetBSD; OpenBSD; Solaris; MacOS; entre outros. SNORT
Registro e Alerta O registro de pacotes em (Banco de Dados). Os alertas podem ser enviados a dispositivos. Plugins de Saída podem interagir com firewall e ferramentas com BASE.
Regras alert / log alert tcp!192.168.0.0/24 any -> 192.168.0.0/24 22 (content: 00 ; msg: Acesso externo SSH ;) log udp any any -> 192.168.0.0/24 1:200 log upd
Regras activate / dynamic activate tcp!$home_net any -> $HOME_NET 143 (flags: PA; content: E8C0FFFFFF /bin ; activates: 1; msg:imap buffer overflow! ;) dynamic tcp!$home_net any -> $HOME_NET 143 (activated_by:1; count: 50;)
Plugins: São recursos opcionais que podem ser inseridos durante a compilação; Exemplo: SMB(winpopup). Aplicativos: Ferramentas externas que reforçam o uso do snort.
Ambiente de implantação do Snort LIBCAP Servidor de Páginas APACHE Banco de Dados - MySql 5 PHP 5 BASE(Basic Analysis and Security Engine)
BASE
TESTES # nmap -O -ss <IPdestino>
IDS-Sistema Detecção Intrusão /usr/sbin/snort -m 027 -D -d -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf comando utilizado ao inicializar o snort em /etc/init.d/./snort start após inicializar o snort foi feita a conferência nos processos : /usr/sbin/snort -m 027 -D -d -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf -m 027 - umask tipo 027 - somente poderá - (rw-r-----) -d - mostra os pacotes em modo verbose -D - roda o snort em modo daemon -l - informa o diretório de onde será armazenado o log, em nosso caso /var/log/snort -u - informa o usuário do daemon -g - group do usuário -c - é informado aqui o arquivo de configuração
Open Source Fontes: RFC 793 TCP RFC 768 UDP FRC 792 ICMP RFC 791 IP www.snort.org www.apache.org www.php.net www.google.com
IDS-Sistema Detecção Intrusão Perguntas? claudio.ueg@gmail.com