Snort

4.121 visualizações

Publicada em

Abordagem Introdutória

Publicada em: Tecnologia
0 comentários
4 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
4.121
No SlideShare
0
A partir de incorporações
0
Número de incorporações
47
Ações
Compartilhamentos
0
Downloads
0
Comentários
0
Gostaram
4
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Snort

  1. 1. Sistemas Distribuídos Jean Fellipe De Almeida Pimentel Pedro Correia Fagundes
  2. 2.  Network-Based Intrusion Detection System (NIDS)  Host-Based Intrusion Detection System (HIDS)  Distributed Intrusion Detection System (DIDS)
  3. 3.  Vantagens ◦ Protege uma sub-rede. ◦ Não causa impacto no tráfego da rede. ◦ Atacante não pode tocar o NIDS e pode sequer sabe que está lá.  Desvantagens ◦ Precisa monitorar um alto número de portas ◦ Política de Privacidade
  4. 4.  Vantagens ◦ Protege o hospedeiro, detectando mudanças em arquivos e processos. ◦ Regras podem ser específicas, aumentando desempenho e diminuindo falso-positivos.  Desvantagens ◦ Dependente do SO ◦ Aumenta carga do host ◦ Dificuldade no gerenciamento
  5. 5.  Combinação de NIDS e HIDS.  Recomenda-se comunicação entre cliente e servidor por uma rede privada e segura.  Os logs dos clientes são enviados continuamente para a estação principal.  Os clientes baixam as assinaturas da estação principal e se mantêm atualizados.
  6. 6.  HIDS ◦ Usados para manter Estados do sistema (tamanhos de arquivos, permissões, acessos). ◦ Possibilita o rollback em caso de falha.  NIDS ◦ Redes possuem padrões de tráfego.  Se uma máquina é servidor de emails, haverá SMTP. ◦ NID aprende com o tempo, reconhecendo o que é esperado e aceitável.
  7. 7.  O SNORT é uma ferramenta NIDS ◦ Desenvolvido por Martin Roesch, ◦ “open-source”, ◦ popular por sua flexibilidade nas configurações de regras e constante atualização frente às novas ferramentas de invasão.  Pontos fortes: ◦ Possui o maior cadastro de assinaturas, é leve, pequeno.
  8. 8.  O código fonte é otimizado, desenvolvido em módulos utilizando linguagem de programação C e, junto com a documentação, são de domínio público.  O Snort é desenvolvido e atualizado diariamente, tanto em relação ao código propriamente dito, como das regras de detecção.
  9. 9.  Por ser uma ferramenta leve, a utilização do Snort é indicada para monitorar redes TCP/IP pequenas, onde pode detectar uma grande variedade do tráfego suspeito, assim como ataques externos e então, fornece argumento para as decisões dos administradores.
  10. 10.  Os módulos que compõe o Snort são ferramentas poderosas, capazes de produzir uma grande quantidade de informação sobre os ataques monitorados, dado que é possível avaliar tanto o cabeçalho quanto o conteúdo dos pacotes, além de disponibilizar, por exemplo, a opção de capturar uma sessão inteira.
  11. 11.  O Snort monitora o tráfego de pacotes em redes IP, realizando análises em tempo real sobre diversos protocolos (nível de rede e aplicação) e sobre o conteúdo (hexa e ASCII). Outro ponto positivo desse software é o grande número de possibilidades de tratamento dos alertas gerados.
  12. 12.  O Snort poderá assumir três modalidades: ◦ Sniffer: Esta modalidade simplesmente captura os pacotes e imprime continuamente no console. ◦ Packet logger: Registra os pacotes capturados no disco rígido. ◦ Network intrusion detection system: Esta modalidade é a mais complexa e versátil, permitindo que o Snort analise o trafego da rede de encontro a regras definidas pelo usuário, executando diversas ações baseadas em suas regras.
  13. 13.  Extremamente Flexível: ◦ Algoritmos de Inspeção baseados em Regras. ◦ Sem falsos positivos inerentes. ◦ Controle Total do refinamento das regras.  Metodologias de detecção Multidimensional: ◦ Assinaturas (Impressões Digitais) do Ataque. ◦ Anomalias no Protocolo. ◦ Anomalias no Comportamento.
  14. 14.  Imensa Adoção (Comunidade SNORT): ◦ Dezenas de milhares de instalações (42 mil). ◦ Algumas das maiores empresas do mundo. (Microsoft, Intel,PWC..) ◦ Milhares de contribuidores fazendo regras para novas vulnerabilidades.  Infra-estrutura de Suporte da Comunidade Open Source: ◦ Rápida Respostas às ameaças. ◦ Velocidade de Inovação. ◦ Velocidade de Refinamento.
  15. 15.  Performance Modesta: ◦ Menos de 30mbps, para redes de até 10Mbps.  Interface Gráfica Limitada: ◦ Configuração do Sensor. ◦ Gerenciamento de Regras.
  16. 16.  Implementação lenta e cansativa (pelo menos 10 dias).  Capacidade Analítica Limitada.  Sem Suporte Comercial: ◦ Dependência de pessoas "capacitadas", nem sempre estáveis... ◦ Gastos Significativos com Recursos Humanos.
  17. 17.  O Snort coloca a placa do computador em modo promíscuo.  Isso permite que todos os pacotes que trafeguem pelo segmento de rede daquela máquina sejam capturados.
  18. 18.  Regras ◦ Assinaturas conhecida dos ataques  Variedade de ataques e sondagens ◦ buffer overflow, ◦ port scans, ◦ ataques CGI (Common Gateway Interface), ◦ verificação de SMB (Server Message Block) ◦ ...
  19. 19.  Alerta em tempo real ◦ pode enviar os alertas a um arquivo de alerta individual. ◦ ou a um meio externo como o WinPopUp (utilitário responsável por mandar mensagens de uma máquina para outra em uma rede).
  20. 20.  A arquitetura do Snort enfoca o desempenho, simplicidade e flexibilidade.  Há três subsistemas primários que o compõem: ◦ Decodificador de pacote; ◦ Engenharia de Detecção; ◦ Subsistema de log e alerta.
  21. 21.  A arquitetura de decodificação é organizada ao redor das camadas de rede.  Estas rotinas de decodificação são chamadas ordenadamente, do nível de dados, subindo para o nível de transporte terminando finalmente no nível de aplicação.
  22. 22.  A velocidade é enfatizada, e a maioria das funcionalidades do decodificador consistem na colocação de ponteiros nos pacotes de dados, para mais tarde serem analisados pela arquitetura de detecção.  A ferramenta Snort provê capacidades para decodificar pacotes em redes Ethernet, SLIP (Serial Line Internet Protocol), PPP (Point to Point Protocol), sendo que o suporte a ATM (Asynchronous Transfer Mode) está sendo desenvolvido.
  23. 23.  A ferramenta Snort mantém suas regras de descoberta de intrusão em duas listas denominadas Chain Headers (Cabeçalho da Regra) e Chain Options (Cabeçalho de Opções).  Chain Headers contém os atributos comuns de uma regra.  Chain Options armazena os padrões de ataque que serão pesquisados dentro dos pacotes capturados e as ações que serão tomadas caso um ataque seja diagnosticado.
  24. 24.  O subsistema de log e alerta é selecionado em tempo real com comandos condicionais de interrupção.  As opções de log podem ser fixadas para armazenar pacotes decodificados, em formato legível para o ser humano.
  25. 25.  O formato decodificado de log permite análise rápida de dados armazenados pelo sistema.  Os logs podem ser deixados parcialmente incompletos para agilizar a performance.  O administrador pode ser avisado de novos alertas através do envio de mensagem ao syslog (programa responsável por gerar e armazenar logs no Linux/Unix) ou armazenar em um arquivo texto que pode ser utilizado em multi-plataformas.
  26. 26.  Existem três opções disponíveis para criação de arquivos de alerta.  A primeira opção possibilita a criação de um arquivo texto com informações completas do alerta, registrando a mensagem de alerta e a informação de cabeçalho de pacote fornecido pelo protocolo do nível de transporte.
  27. 27.  A segunda opção cria um arquivo que registra um subconjunto condensado de informações, permitindo maior desempenho que a primeira opção.  A última opção é utilizada para desconsiderar alertas e é extremamente útil quando os registros são desnecessários ou impróprios. Esta situação ocorre quando a rede está passando por testes de penetração.
  28. 28.  A arquitetura de armazenamento de regras é examinada pela arquitetura de detecção de forma recursiva, para cada pacote de dados capturado.  Quando o cabeçalho da regra for idêntico ao cabeçalho do pacote capturado, os dados contidos no pacote são comparados com o cabeçalho das opções da regra. Se a ocorrência de um ataque for identificada, uma ação especifica definida na regra é disparada.
  29. 29.  Uma revisão da arquitetura de descoberta está atualmente em planejamento e em fase de desenvolvimento.  A próxima versão da arquitetura incluirá a capacidade para que os usuários possam escrever e distribuir módulos compatíveis com as palavras- chave da linguagem da arquitetura de detecção. Isto permitirá a customização do programa para situações específicas.
  30. 30.  Capacidades limitadas de resposta automática.  Se concentram em: ◦ filtragem do tráfego ◦ bloqueio do tráfego ◦ desligamento  Maior uso: backtrace. ◦ Conhecer o ataque e ensinar o sistema a se proteger numa próxima vez.
  31. 31.  NID: Snort  Packet Capture: libpcap  Packet Manipulation: libnet, libipq  Packet Inspection: libpcre  Database: PostgreSQL, MySQL  Time Synchronization: NTP  Logs: Barnyard  Regras: OinkMaster
  32. 32.  Snort Brasil ◦ http://www.clm.com.br/snort/default.asp  Snort ◦ http://pt.wikipedia.org/wiki/Snort  Detectando Incidentes de Segurança ◦ http://www.conectiva.com/doc/livros/online/10.0/servidor/pt_BR/ch15s09.html  Sistema Detecção de Intrusos ◦ http://www.scribd.com/doc/6588301/Snort-Conisli  Snort 2.1 Intrusion Detection ◦ BEALE, Jay; BAKER, Andrew; CASWELL, Brian; POOR, Mike. 2 ed. Syngress. 2004. 731 páginas.

×