Modos de operação do Snort Como mitigar ataques a sua rede utilizando o Snort CleBeeR clebeer[at]gmail[dot]com
About me <ul><li>Atual Mantenedor do EOS Linux
Analista de segurança BRconnection
Coordenador do Laboratório BRC-STR (Brconnection Security Research Team).
9 anos de experiência em Linux
Um dos mantenedores do site da comunidade snort-br
Palestrante em eventos como (FISL e CONISLI)
Staff em eventos de segurança (YSTS e H2HC)
Sócio fundador da ONG HCF (Hackers Construindo Futuros) </li></ul>
Agenda <ul><li>O que é um IDS
Ataques
Entendendo o Snort  </li><ul><li>Funcionamento
Pré-processadores
Plugins de saída
Modos de operação </li></ul><li>Posicionamento de um IDS
Comunidade snort-br
Perguntas e comentário sobre o projeto HCF </li></ul>
O que é um IDS? <ul><li>Sistema de detecção de Intrusos
Analisa até a camada de aplicação (OSI)
Apenas monitora
Atuando como IPS pode tomar ações (DROP)
Pode se basear em comportamento ou assinaturas </li></ul>
Tipos de ataques <ul><li>Ataques externos
Ataques internos
Ataques desestruturados (script kiddies)
Ataques estruturados (Profissionais, empresas)  </li></ul>
Ataques externos
Ataques internos
Ataques desestruturados
Ataques estruturados
Entendendo o Snort (história) <ul><li>Criado em 1998 por Marty Roesch somente como sniffer
Tornou-se um IDS em 1999
Mais de 3.7 Milhões de downloads
Próximos SlideShares
Carregando em…5
×

Modos De OperaçãO Snort Campusparty2010

1.425 visualizações

Publicada em

Como Mitigar ataques a Rede com snort

Publicada em: Tecnologia
0 comentários
3 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.425
No SlideShare
0
A partir de incorporações
0
Número de incorporações
7
Ações
Compartilhamentos
0
Downloads
60
Comentários
0
Gostaram
3
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Modos De OperaçãO Snort Campusparty2010

  1. 1. Modos de operação do Snort Como mitigar ataques a sua rede utilizando o Snort CleBeeR clebeer[at]gmail[dot]com
  2. 2. About me <ul><li>Atual Mantenedor do EOS Linux
  3. 3. Analista de segurança BRconnection
  4. 4. Coordenador do Laboratório BRC-STR (Brconnection Security Research Team).
  5. 5. 9 anos de experiência em Linux
  6. 6. Um dos mantenedores do site da comunidade snort-br
  7. 7. Palestrante em eventos como (FISL e CONISLI)
  8. 8. Staff em eventos de segurança (YSTS e H2HC)
  9. 9. Sócio fundador da ONG HCF (Hackers Construindo Futuros) </li></ul>
  10. 10. Agenda <ul><li>O que é um IDS
  11. 11. Ataques
  12. 12. Entendendo o Snort </li><ul><li>Funcionamento
  13. 13. Pré-processadores
  14. 14. Plugins de saída
  15. 15. Modos de operação </li></ul><li>Posicionamento de um IDS
  16. 16. Comunidade snort-br
  17. 17. Perguntas e comentário sobre o projeto HCF </li></ul>
  18. 18. O que é um IDS? <ul><li>Sistema de detecção de Intrusos
  19. 19. Analisa até a camada de aplicação (OSI)
  20. 20. Apenas monitora
  21. 21. Atuando como IPS pode tomar ações (DROP)
  22. 22. Pode se basear em comportamento ou assinaturas </li></ul>
  23. 23. Tipos de ataques <ul><li>Ataques externos
  24. 24. Ataques internos
  25. 25. Ataques desestruturados (script kiddies)
  26. 26. Ataques estruturados (Profissionais, empresas) </li></ul>
  27. 27. Ataques externos
  28. 28. Ataques internos
  29. 29. Ataques desestruturados
  30. 30. Ataques estruturados
  31. 31. Entendendo o Snort (história) <ul><li>Criado em 1998 por Marty Roesch somente como sniffer
  32. 32. Tornou-se um IDS em 1999
  33. 33. Mais de 3.7 Milhões de downloads
  34. 34. Mais de 270.000 usuários registrados
  35. 35. Mais de 6000 linhas de código
  36. 36. Versão atual 2.8.5.2 </li></ul>
  37. 37. Funcionamento
  38. 38. Preprocessadores <ul><li>SfPortscan
  39. 39. Frag3
  40. 40. HttpInspect </li></ul>
  41. 41. sfPortscan <ul><li>Half connection scan
  42. 42. TCP, UDP & IP scans
  43. 43. Decoy scans
  44. 44. Distributed scans </li></ul>
  45. 45. Frag3 <ul><li>Detecta anomalias nos pacotes fragmentados </li></ul>
  46. 46. Frag evasion
  47. 47. Frag evasion
  48. 48. HttpInspect <ul><li>Normaliza o tráfego http </li><ul><li>/ = %2f
  49. 49. .. = %2e%2e
  50. 50. alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:&quot;WEB-ATTACKS /usr/bin/id command attempt&quot;; flow:to_server,established; content:&quot; /usr/bin/id &quot;; nocase; classtype:web-application-attack; sid:1332; rev:7;)
  51. 51. %2fusr%2fbin%2fid (bypass) </li></ul></ul>
  52. 52. Plugins de saída <ul><li>Banco de dados (postgre, mysql, oracle)
  53. 53. Syslog (local e remoto)
  54. 54. tcpdump </li></ul>
  55. 55. Modos de operação <ul><li>IPS
  56. 56. IDS
  57. 57. Sniffer
  58. 58. Análise de PCAPs </li></ul>
  59. 59. Posicionamento <ul><li>Somente sensor (port-mirror)
  60. 60. Bloqueio (Bridge, inline, gateway) </li></ul>
  61. 61. Sensores integrados
  62. 62. IPS no Firewall
  63. 63. IDS + IPS
  64. 64. IPS integrado ao Firewall
  65. 65. Comunidade snort-br <ul><li>Completando 5 anos em 2010
  66. 66. Mais de 500 inscritos na lista de discussão
  67. 67. Participação em eventos
  68. 68. Divulgação de artigos </li></ul>
  69. 69. HCFBrasil Hacker Construindo Futuros www.hcfbr.org contato[at]hcfbr[dot]org
  70. 70. HCF <ul><li>Como surgiu ?
  71. 71. Qual os nossos projetos
  72. 72. Como participar </li></ul>
  73. 73. Como e onde surgiu a idéia? <ul><li>Evento YSTS (leilões)
  74. 74. Hackers for Charity (johnny Long)
  75. 75. Primeiro evento H2HC 2009 </li></ul>
  76. 76. HCF Projetos <ul><li>Cusos
  77. 77. Palestras
  78. 78. Desenvolvimento de materiais técnicos </li></ul>
  79. 79. Como participar? <ul><li>Serviços de gráfica para impressão de material
  80. 80. Contatos com meios de comunicação
  81. 81. Equipamentos
  82. 82. Espaço para treinamentos
  83. 83. Pessoas para criar e manter o site, criar artes (camisetas, logos, material de divulgação,
  84. 84. Editoração de material didático, etc)
  85. 85. Serviços de transporte
  86. 86. Fornecimento de cofee break
  87. 87. Contato: www.hcfbr.org ou através do email contato[ar]hcfbr[dot]org </li></ul>
  88. 88. Dúvidas
  89. 89. Onde me encontrar? <ul><li>Freenode - #securityguys #snort-br
  90. 90. Congressos
  91. 91. Bares de SP =D </li></ul>
  92. 92. Obrigado <ul><li>www.snort.org.br
  93. 93. www.snort.org
  94. 94. clebeerpub.blogspot.com
  95. 95. www.brc.com.br
  96. 96. www.hcfbr.org </li></ul>

×