SlideShare uma empresa Scribd logo

Snort

Jean Pimentel
Jean Pimentel

Abordagem Introdutória

Tecnologia
1 de 39
Sistemas Distribuídos Jean Fellipe De Almeida Pimentel Pedro Correia Fagundes
 Network-Based Intrusion Detection System (NIDS)  Host-Based Intrusion Detection System (HIDS)  Distributed Intrusion Detection System (DIDS)
 Vantagens ◦ Protege uma sub-rede. ◦ Não causa impacto no tráfego da rede. ◦ Atacante não pode tocar o NIDS e pode sequer sabe que está lá.  Desvantagens ◦ Precisa monitorar um alto número de portas ◦ Política de Privacidade
 Vantagens ◦ Protege o hospedeiro, detectando mudanças em arquivos e processos. ◦ Regras podem ser específicas, aumentando desempenho e diminuindo falso-positivos.  Desvantagens ◦ Dependente do SO ◦ Aumenta carga do host ◦ Dificuldade no gerenciamento
 Combinação de NIDS e HIDS.  Recomenda-se comunicação entre cliente e servidor por uma rede privada e segura.  Os logs dos clientes são enviados continuamente para a estação principal.  Os clientes baixam as assinaturas da estação principal e se mantêm atualizados.
 HIDS ◦ Usados para manter Estados do sistema (tamanhos de arquivos, permissões, acessos). ◦ Possibilita o rollback em caso de falha.  NIDS ◦ Redes possuem padrões de tráfego.  Se uma máquina é servidor de emails, haverá SMTP. ◦ NID aprende com o tempo, reconhecendo o que é esperado e aceitável.
 O SNORT é uma ferramenta NIDS ◦ Desenvolvido por Martin Roesch, ◦ “open-source”, ◦ popular por sua flexibilidade nas configurações de regras e constante atualização frente às novas ferramentas de invasão.  Pontos fortes: ◦ Possui o maior cadastro de assinaturas, é leve, pequeno.
 O código fonte é otimizado, desenvolvido em módulos utilizando linguagem de programação C e, junto com a documentação, são de domínio público.  O Snort é desenvolvido e atualizado diariamente, tanto em relação ao código propriamente dito, como das regras de detecção.
 Por ser uma ferramenta leve, a utilização do Snort é indicada para monitorar redes TCP/IP pequenas, onde pode detectar uma grande variedade do tráfego suspeito, assim como ataques externos e então, fornece argumento para as decisões dos administradores.
 Os módulos que compõe o Snort são ferramentas poderosas, capazes de produzir uma grande quantidade de informação sobre os ataques monitorados, dado que é possível avaliar tanto o cabeçalho quanto o conteúdo dos pacotes, além de disponibilizar, por exemplo, a opção de capturar uma sessão inteira.
 O Snort monitora o tráfego de pacotes em redes IP, realizando análises em tempo real sobre diversos protocolos (nível de rede e aplicação) e sobre o conteúdo (hexa e ASCII). Outro ponto positivo desse software é o grande número de possibilidades de tratamento dos alertas gerados.
 O Snort poderá assumir três modalidades: ◦ Sniffer: Esta modalidade simplesmente captura os pacotes e imprime continuamente no console. ◦ Packet logger: Registra os pacotes capturados no disco rígido. ◦ Network intrusion detection system: Esta modalidade é a mais complexa e versátil, permitindo que o Snort analise o trafego da rede de encontro a regras definidas pelo usuário, executando diversas ações baseadas em suas regras.
 Extremamente Flexível: ◦ Algoritmos de Inspeção baseados em Regras. ◦ Sem falsos positivos inerentes. ◦ Controle Total do refinamento das regras.  Metodologias de detecção Multidimensional: ◦ Assinaturas (Impressões Digitais) do Ataque. ◦ Anomalias no Protocolo. ◦ Anomalias no Comportamento.
 Imensa Adoção (Comunidade SNORT): ◦ Dezenas de milhares de instalações (42 mil). ◦ Algumas das maiores empresas do mundo. (Microsoft, Intel,PWC..) ◦ Milhares de contribuidores fazendo regras para novas vulnerabilidades.  Infra-estrutura de Suporte da Comunidade Open Source: ◦ Rápida Respostas às ameaças. ◦ Velocidade de Inovação. ◦ Velocidade de Refinamento.
 Performance Modesta: ◦ Menos de 30mbps, para redes de até 10Mbps.  Interface Gráfica Limitada: ◦ Configuração do Sensor. ◦ Gerenciamento de Regras.
 Implementação lenta e cansativa (pelo menos 10 dias).  Capacidade Analítica Limitada.  Sem Suporte Comercial: ◦ Dependência de pessoas "capacitadas", nem sempre estáveis... ◦ Gastos Significativos com Recursos Humanos.
 O Snort coloca a placa do computador em modo promíscuo.  Isso permite que todos os pacotes que trafeguem pelo segmento de rede daquela máquina sejam capturados.
 Regras ◦ Assinaturas conhecida dos ataques  Variedade de ataques e sondagens ◦ buffer overflow, ◦ port scans, ◦ ataques CGI (Common Gateway Interface), ◦ verificação de SMB (Server Message Block) ◦ ...
 Alerta em tempo real ◦ pode enviar os alertas a um arquivo de alerta individual. ◦ ou a um meio externo como o WinPopUp (utilitário responsável por mandar mensagens de uma máquina para outra em uma rede).
 A arquitetura do Snort enfoca o desempenho, simplicidade e flexibilidade.  Há três subsistemas primários que o compõem: ◦ Decodificador de pacote; ◦ Engenharia de Detecção; ◦ Subsistema de log e alerta.
 A arquitetura de decodificação é organizada ao redor das camadas de rede.  Estas rotinas de decodificação são chamadas ordenadamente, do nível de dados, subindo para o nível de transporte terminando finalmente no nível de aplicação.
 A velocidade é enfatizada, e a maioria das funcionalidades do decodificador consistem na colocação de ponteiros nos pacotes de dados, para mais tarde serem analisados pela arquitetura de detecção.  A ferramenta Snort provê capacidades para decodificar pacotes em redes Ethernet, SLIP (Serial Line Internet Protocol), PPP (Point to Point Protocol), sendo que o suporte a ATM (Asynchronous Transfer Mode) está sendo desenvolvido.
 A ferramenta Snort mantém suas regras de descoberta de intrusão em duas listas denominadas Chain Headers (Cabeçalho da Regra) e Chain Options (Cabeçalho de Opções).  Chain Headers contém os atributos comuns de uma regra.  Chain Options armazena os padrões de ataque que serão pesquisados dentro dos pacotes capturados e as ações que serão tomadas caso um ataque seja diagnosticado.
 O subsistema de log e alerta é selecionado em tempo real com comandos condicionais de interrupção.  As opções de log podem ser fixadas para armazenar pacotes decodificados, em formato legível para o ser humano.
 O formato decodificado de log permite análise rápida de dados armazenados pelo sistema.  Os logs podem ser deixados parcialmente incompletos para agilizar a performance.  O administrador pode ser avisado de novos alertas através do envio de mensagem ao syslog (programa responsável por gerar e armazenar logs no Linux/Unix) ou armazenar em um arquivo texto que pode ser utilizado em multi-plataformas.
 Existem três opções disponíveis para criação de arquivos de alerta.  A primeira opção possibilita a criação de um arquivo texto com informações completas do alerta, registrando a mensagem de alerta e a informação de cabeçalho de pacote fornecido pelo protocolo do nível de transporte.
 A segunda opção cria um arquivo que registra um subconjunto condensado de informações, permitindo maior desempenho que a primeira opção.  A última opção é utilizada para desconsiderar alertas e é extremamente útil quando os registros são desnecessários ou impróprios. Esta situação ocorre quando a rede está passando por testes de penetração.
 A arquitetura de armazenamento de regras é examinada pela arquitetura de detecção de forma recursiva, para cada pacote de dados capturado.  Quando o cabeçalho da regra for idêntico ao cabeçalho do pacote capturado, os dados contidos no pacote são comparados com o cabeçalho das opções da regra. Se a ocorrência de um ataque for identificada, uma ação especifica definida na regra é disparada.
 Uma revisão da arquitetura de descoberta está atualmente em planejamento e em fase de desenvolvimento.  A próxima versão da arquitetura incluirá a capacidade para que os usuários possam escrever e distribuir módulos compatíveis com as palavras- chave da linguagem da arquitetura de detecção. Isto permitirá a customização do programa para situações específicas.
 Capacidades limitadas de resposta automática.  Se concentram em: ◦ filtragem do tráfego ◦ bloqueio do tráfego ◦ desligamento  Maior uso: backtrace. ◦ Conhecer o ataque e ensinar o sistema a se proteger numa próxima vez.
 NID: Snort  Packet Capture: libpcap  Packet Manipulation: libnet, libipq  Packet Inspection: libpcre  Database: PostgreSQL, MySQL  Time Synchronization: NTP  Logs: Barnyard  Regras: OinkMaster
 Snort Brasil ◦ http://www.clm.com.br/snort/default.asp  Snort ◦ http://pt.wikipedia.org/wiki/Snort  Detectando Incidentes de Segurança ◦ http://www.conectiva.com/doc/livros/online/10.0/servidor/pt_BR/ch15s09.html  Sistema Detecção de Intrusos ◦ http://www.scribd.com/doc/6588301/Snort-Conisli  Snort 2.1 Intrusion Detection ◦ BEALE, Jay; BAKER, Andrew; CASWELL, Brian; POOR, Mike. 2 ed. Syngress. 2004. 731 páginas.

Recomendados

Snort
SnortSnort
SnortMichael Boman
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de IntrusãoSistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusãoelliando dias
 
Introdução à programação
Introdução à programação Introdução à programação
Introdução à programação João Piedade
 
Seguranca em Redes IDS
Seguranca em Redes IDSSeguranca em Redes IDS
Seguranca em Redes IDSLuiz Arthur
 
Proteção e segurança de sistemas operacionais
Proteção e segurança de sistemas operacionaisProteção e segurança de sistemas operacionais
Proteção e segurança de sistemas operacionaiscleber_opo
 
Segurança dos Sistemas Operativos
Segurança dos Sistemas OperativosSegurança dos Sistemas Operativos
Segurança dos Sistemas OperativosPedro Marmelo
 
Arquitetura cliente servidor
Arquitetura cliente servidorArquitetura cliente servidor
Arquitetura cliente servidorMarcia Abrahim
 
Sistemas Operativos Servidores
Sistemas Operativos ServidoresSistemas Operativos Servidores
Sistemas Operativos ServidoresAlexandre Maia
 

Recomendados

Snort
SnortSnort
SnortMichael Boman
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de IntrusãoSistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusãoelliando dias
 
Introdução à programação
Introdução à programação Introdução à programação
Introdução à programação João Piedade
 
Seguranca em Redes IDS
Seguranca em Redes IDSSeguranca em Redes IDS
Seguranca em Redes IDSLuiz Arthur
 
Proteção e segurança de sistemas operacionais
Proteção e segurança de sistemas operacionaisProteção e segurança de sistemas operacionais
Proteção e segurança de sistemas operacionaiscleber_opo
 
Segurança dos Sistemas Operativos
Segurança dos Sistemas OperativosSegurança dos Sistemas Operativos
Segurança dos Sistemas OperativosPedro Marmelo
 
Arquitetura cliente servidor
Arquitetura cliente servidorArquitetura cliente servidor
Arquitetura cliente servidorMarcia Abrahim
 
Sistemas Operativos Servidores
Sistemas Operativos ServidoresSistemas Operativos Servidores
Sistemas Operativos ServidoresAlexandre Maia
 
Introdução ao SQL
Introdução ao SQLIntrodução ao SQL
Introdução ao SQLThiago Freitas
 
Routers e portos de interface
Routers e portos de interfaceRouters e portos de interface
Routers e portos de interfaceGabriel Santos
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
Sql - introdução
Sql - introduçãoSql - introdução
Sql - introduçãoSamuel Novais, MBA
 
Extreme HTTP Performance Tuning: 1.2M API req/s on a 4 vCPU EC2 Instance
Extreme HTTP Performance Tuning: 1.2M API req/s on a 4 vCPU EC2 InstanceExtreme HTTP Performance Tuning: 1.2M API req/s on a 4 vCPU EC2 Instance
Extreme HTTP Performance Tuning: 1.2M API req/s on a 4 vCPU EC2 InstanceScyllaDB
 
Monitoramento de Aplicações Web Modernas com Zabbix
Monitoramento de Aplicações Web Modernas com ZabbixMonitoramento de Aplicações Web Modernas com Zabbix
Monitoramento de Aplicações Web Modernas com ZabbixAndré Déo
 
NGINX: Basics and Best Practices EMEA
NGINX: Basics and Best Practices EMEANGINX: Basics and Best Practices EMEA
NGINX: Basics and Best Practices EMEANGINX, Inc.
 
AI 연구자를 위한 클린코드 - GDG DevFest Seoul 2019
AI 연구자를 위한 클린코드 - GDG DevFest Seoul 2019AI 연구자를 위한 클린코드 - GDG DevFest Seoul 2019
AI 연구자를 위한 클린코드 - GDG DevFest Seoul 2019Kenneth Ceyer
 
Aula 008 - Gerenciamento e Desempenho de Redes: Halexsandro Sales
Aula 008 - Gerenciamento e Desempenho de Redes: Halexsandro SalesAula 008 - Gerenciamento e Desempenho de Redes: Halexsandro Sales
Aula 008 - Gerenciamento e Desempenho de Redes: Halexsandro SalesVerdanatech Soluções em TI
 
Fluentd 101
Fluentd 101Fluentd 101
Fluentd 101SATOSHI TAGOMORI
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacaoMariana Gonçalves Spanghero
 
Building zero data loss pipelines with apache kafka
Building zero data loss pipelines with apache kafkaBuilding zero data loss pipelines with apache kafka
Building zero data loss pipelines with apache kafkaAvinash Ramineni
 
Módulo 1 de PSI
Módulo 1 de PSIMódulo 1 de PSI
Módulo 1 de PSIHilário Santos Russo
 
Nick Fisk - low latency Ceph
Nick Fisk - low latency CephNick Fisk - low latency Ceph
Nick Fisk - low latency CephShapeBlue
 
BGPalerter: BGP prefix monitoring
BGPalerter: BGP prefix monitoringBGPalerter: BGP prefix monitoring
BGPalerter: BGP prefix monitoringBangladesh Network Operators Group
 
Cidr calculo de subrede
Cidr calculo de subredeCidr calculo de subrede
Cidr calculo de subredeGutemberg Sales
 
Segurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de RedeSegurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de RedeNatanael Simões
 
A Importância, os Mecanismos e a Segurança de um SO
A Importância, os Mecanismos e a Segurança de um SOA Importância, os Mecanismos e a Segurança de um SO
A Importância, os Mecanismos e a Segurança de um SOSandu Postolachi
 
Segurança no Linux
Segurança no LinuxSegurança no Linux
Segurança no LinuxJuliana Félix
 
Aula 1: Virtualização
Aula 1: VirtualizaçãoAula 1: Virtualização
Aula 1: Virtualizaçãocamila_seixas
 
Palestra Como Montar uma Agência Mobile Maketing
Palestra Como Montar uma Agência Mobile MaketingPalestra Como Montar uma Agência Mobile Maketing
Palestra Como Montar uma Agência Mobile MaketingNWMídia Marketing
 
Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosIvani Nascimento
 

Mais conteúdo relacionado

Mais procurados

Routers e portos de interface
Routers e portos de interfaceRouters e portos de interface
Routers e portos de interfaceGabriel Santos
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
Extreme HTTP Performance Tuning: 1.2M API req/s on a 4 vCPU EC2 Instance
Extreme HTTP Performance Tuning: 1.2M API req/s on a 4 vCPU EC2 InstanceExtreme HTTP Performance Tuning: 1.2M API req/s on a 4 vCPU EC2 Instance
Extreme HTTP Performance Tuning: 1.2M API req/s on a 4 vCPU EC2 InstanceScyllaDB
 
Monitoramento de Aplicações Web Modernas com Zabbix
Monitoramento de Aplicações Web Modernas com ZabbixMonitoramento de Aplicações Web Modernas com Zabbix
Monitoramento de Aplicações Web Modernas com ZabbixAndré Déo
 
NGINX: Basics and Best Practices EMEA
NGINX: Basics and Best Practices EMEANGINX: Basics and Best Practices EMEA
NGINX: Basics and Best Practices EMEANGINX, Inc.
 
AI 연구자를 위한 클린코드 - GDG DevFest Seoul 2019
AI 연구자를 위한 클린코드 - GDG DevFest Seoul 2019AI 연구자를 위한 클린코드 - GDG DevFest Seoul 2019
AI 연구자를 위한 클린코드 - GDG DevFest Seoul 2019Kenneth Ceyer
 
Aula 008 - Gerenciamento e Desempenho de Redes: Halexsandro Sales
Aula 008 - Gerenciamento e Desempenho de Redes: Halexsandro SalesAula 008 - Gerenciamento e Desempenho de Redes: Halexsandro Sales
Aula 008 - Gerenciamento e Desempenho de Redes: Halexsandro SalesVerdanatech Soluções em TI
 
Building zero data loss pipelines with apache kafka
Building zero data loss pipelines with apache kafkaBuilding zero data loss pipelines with apache kafka
Building zero data loss pipelines with apache kafkaAvinash Ramineni
 
Nick Fisk - low latency Ceph
Nick Fisk - low latency CephNick Fisk - low latency Ceph
Nick Fisk - low latency CephShapeBlue
 
Segurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de RedeSegurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de RedeNatanael Simões
 
A Importância, os Mecanismos e a Segurança de um SO
A Importância, os Mecanismos e a Segurança de um SOA Importância, os Mecanismos e a Segurança de um SO
A Importância, os Mecanismos e a Segurança de um SOSandu Postolachi
 
Aula 1: Virtualização
Aula 1: VirtualizaçãoAula 1: Virtualização
Aula 1: Virtualizaçãocamila_seixas
 

Mais procurados (20)

Introdução ao SQL
Introdução ao SQLIntrodução ao SQL
Introdução ao SQL
 
Routers e portos de interface
Routers e portos de interfaceRouters e portos de interface
Routers e portos de interface
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
 
Sql - introdução
Sql - introduçãoSql - introdução
Sql - introdução
 
Extreme HTTP Performance Tuning: 1.2M API req/s on a 4 vCPU EC2 Instance
Extreme HTTP Performance Tuning: 1.2M API req/s on a 4 vCPU EC2 InstanceExtreme HTTP Performance Tuning: 1.2M API req/s on a 4 vCPU EC2 Instance
Extreme HTTP Performance Tuning: 1.2M API req/s on a 4 vCPU EC2 Instance
 
Monitoramento de Aplicações Web Modernas com Zabbix
Monitoramento de Aplicações Web Modernas com ZabbixMonitoramento de Aplicações Web Modernas com Zabbix
Monitoramento de Aplicações Web Modernas com Zabbix
 
NGINX: Basics and Best Practices EMEA
NGINX: Basics and Best Practices EMEANGINX: Basics and Best Practices EMEA
NGINX: Basics and Best Practices EMEA
 
AI 연구자를 위한 클린코드 - GDG DevFest Seoul 2019
AI 연구자를 위한 클린코드 - GDG DevFest Seoul 2019AI 연구자를 위한 클린코드 - GDG DevFest Seoul 2019
AI 연구자를 위한 클린코드 - GDG DevFest Seoul 2019
 
Aula 008 - Gerenciamento e Desempenho de Redes: Halexsandro Sales
Aula 008 - Gerenciamento e Desempenho de Redes: Halexsandro SalesAula 008 - Gerenciamento e Desempenho de Redes: Halexsandro Sales
Aula 008 - Gerenciamento e Desempenho de Redes: Halexsandro Sales
 
Fluentd 101
Fluentd 101Fluentd 101
Fluentd 101
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Building zero data loss pipelines with apache kafka
Building zero data loss pipelines with apache kafkaBuilding zero data loss pipelines with apache kafka
Building zero data loss pipelines with apache kafka
 
Módulo 1 de PSI
Módulo 1 de PSIMódulo 1 de PSI
Módulo 1 de PSI
 
Nick Fisk - low latency Ceph
Nick Fisk - low latency CephNick Fisk - low latency Ceph
Nick Fisk - low latency Ceph
 
BGPalerter: BGP prefix monitoring
BGPalerter: BGP prefix monitoringBGPalerter: BGP prefix monitoring
BGPalerter: BGP prefix monitoring
 
Cidr calculo de subrede
Cidr calculo de subredeCidr calculo de subrede
Cidr calculo de subrede
 
Segurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de RedeSegurança da Informação - Ataques de Rede
Segurança da Informação - Ataques de Rede
 
A Importância, os Mecanismos e a Segurança de um SO
A Importância, os Mecanismos e a Segurança de um SOA Importância, os Mecanismos e a Segurança de um SO
A Importância, os Mecanismos e a Segurança de um SO
 
Segurança no Linux
Segurança no LinuxSegurança no Linux
Segurança no Linux
 
Aula 1: Virtualização
Aula 1: VirtualizaçãoAula 1: Virtualização
Aula 1: Virtualização
 

Destaque

Palestra Como Montar uma Agência Mobile Maketing
Palestra Como Montar uma Agência Mobile MaketingPalestra Como Montar uma Agência Mobile Maketing
Palestra Como Montar uma Agência Mobile MaketingNWMídia Marketing
 
Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosIvani Nascimento
 
Além do responsive design: a mudança de paradigma do design adaptativo e os m...
Além do responsive design: a mudança de paradigma do design adaptativo e os m...Além do responsive design: a mudança de paradigma do design adaptativo e os m...
Além do responsive design: a mudança de paradigma do design adaptativo e os m...Caelum
 
Gestão tributária colaborativa
Gestão tributária colaborativaGestão tributária colaborativa
Gestão tributária colaborativaRoberto Dias Duarte
 
Pacificando a Favela Tributária - reforma tributária ou simplificação?
Pacificando a Favela Tributária - reforma tributária ou simplificação?Pacificando a Favela Tributária - reforma tributária ou simplificação?
Pacificando a Favela Tributária - reforma tributária ou simplificação?Roberto Dias Duarte
 
Trabalho de contabilidade geral novas regras contábeis brasileiras.
Trabalho de contabilidade geral novas regras contábeis brasileiras.Trabalho de contabilidade geral novas regras contábeis brasileiras.
Trabalho de contabilidade geral novas regras contábeis brasileiras.Ju_moura
 
Yayasan Holi'ana'a_Together for Nias
Yayasan Holi'ana'a_Together for NiasYayasan Holi'ana'a_Together for Nias
Yayasan Holi'ana'a_Together for NiasYayasan Holi'ana'a
 
La auditoría según NIAs utilizando gesia
La auditoría según NIAs utilizando gesiaLa auditoría según NIAs utilizando gesia
La auditoría según NIAs utilizando gesiaAudinfor
 
Safety evaluation of plastic food contact materials using analytical
Safety evaluation of plastic food contact materials using analyticalSafety evaluation of plastic food contact materials using analytical
Safety evaluation of plastic food contact materials using analyticalViolette DUCRUET
 
Manual de formação ege snc - módulo 6214
Manual de formação ege snc - módulo 6214Manual de formação ege snc - módulo 6214
Manual de formação ege snc - módulo 6214Pedagogy
 
Entomologie moléculaire et étude de la structuration génétique des population...
Entomologie moléculaire et étude de la structuration génétique des population...Entomologie moléculaire et étude de la structuration génétique des population...
Entomologie moléculaire et étude de la structuration génétique des population...Institut Pasteur de Madagascar
 
Nigerian Feed and Poultry Industry challenges nias 2009
Nigerian Feed and Poultry Industry challenges nias 2009Nigerian Feed and Poultry Industry challenges nias 2009
Nigerian Feed and Poultry Industry challenges nias 2009Dr Babatunde Bello
 
Nias nagas presentar
Nias nagas presentarNias nagas presentar
Nias nagas presentarChikytaty
 
PUESTA EN MARCHA DE LAS NORMAS INTERNACIONALES DE AUDITORIA
PUESTA EN MARCHA DE LAS NORMAS INTERNACIONALES DE AUDITORIAPUESTA EN MARCHA DE LAS NORMAS INTERNACIONALES DE AUDITORIA
PUESTA EN MARCHA DE LAS NORMAS INTERNACIONALES DE AUDITORIAEsteban Uyarra Encalado
 

Destaque (20)

Palestra Como Montar uma Agência Mobile Maketing
Palestra Como Montar uma Agência Mobile MaketingPalestra Como Montar uma Agência Mobile Maketing
Palestra Como Montar uma Agência Mobile Maketing
 
Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusos
 
PADS - MSc Thesis @ UFP
PADS - MSc Thesis @ UFPPADS - MSc Thesis @ UFP
PADS - MSc Thesis @ UFP
 
Além do responsive design: a mudança de paradigma do design adaptativo e os m...
Além do responsive design: a mudança de paradigma do design adaptativo e os m...Além do responsive design: a mudança de paradigma do design adaptativo e os m...
Além do responsive design: a mudança de paradigma do design adaptativo e os m...
 
Gestão tributária colaborativa
Gestão tributária colaborativaGestão tributária colaborativa
Gestão tributária colaborativa
 
Pacificando a Favela Tributária - reforma tributária ou simplificação?
Pacificando a Favela Tributária - reforma tributária ou simplificação?Pacificando a Favela Tributária - reforma tributária ou simplificação?
Pacificando a Favela Tributária - reforma tributária ou simplificação?
 
Trabalho de contabilidade geral novas regras contábeis brasileiras.
Trabalho de contabilidade geral novas regras contábeis brasileiras.Trabalho de contabilidade geral novas regras contábeis brasileiras.
Trabalho de contabilidade geral novas regras contábeis brasileiras.
 
Yayasan Holi'ana'a_Together for Nias
Yayasan Holi'ana'a_Together for NiasYayasan Holi'ana'a_Together for Nias
Yayasan Holi'ana'a_Together for Nias
 
Nias
NiasNias
Nias
 
Open Access by Saskia Woutersen-Windhouwer
Open Access by Saskia Woutersen-WindhouwerOpen Access by Saskia Woutersen-Windhouwer
Open Access by Saskia Woutersen-Windhouwer
 
La auditoría según NIAs utilizando gesia
La auditoría según NIAs utilizando gesiaLa auditoría según NIAs utilizando gesia
La auditoría según NIAs utilizando gesia
 
Nias CBHP updates
Nias CBHP updatesNias CBHP updates
Nias CBHP updates
 
NIAS-IFRS
NIAS-IFRSNIAS-IFRS
NIAS-IFRS
 
Safety evaluation of plastic food contact materials using analytical
Safety evaluation of plastic food contact materials using analyticalSafety evaluation of plastic food contact materials using analytical
Safety evaluation of plastic food contact materials using analytical
 
Manual de formação ege snc - módulo 6214
Manual de formação ege snc - módulo 6214Manual de formação ege snc - módulo 6214
Manual de formação ege snc - módulo 6214
 
Entomologie moléculaire et étude de la structuration génétique des population...
Entomologie moléculaire et étude de la structuration génétique des population...Entomologie moléculaire et étude de la structuration génétique des population...
Entomologie moléculaire et étude de la structuration génétique des population...
 
Nigerian Feed and Poultry Industry challenges nias 2009
Nigerian Feed and Poultry Industry challenges nias 2009Nigerian Feed and Poultry Industry challenges nias 2009
Nigerian Feed and Poultry Industry challenges nias 2009
 
Accounting standards unit2
Accounting standards unit2Accounting standards unit2
Accounting standards unit2
 
Nias nagas presentar
Nias nagas presentarNias nagas presentar
Nias nagas presentar
 
PUESTA EN MARCHA DE LAS NORMAS INTERNACIONALES DE AUDITORIA
PUESTA EN MARCHA DE LAS NORMAS INTERNACIONALES DE AUDITORIAPUESTA EN MARCHA DE LAS NORMAS INTERNACIONALES DE AUDITORIA
PUESTA EN MARCHA DE LAS NORMAS INTERNACIONALES DE AUDITORIA
 

Semelhante a Snort

Ferramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei PollonFerramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei PollonTchelinux
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxImpacta Eventos
 
Ampliando os Horizontes dos Profissionais de Redes através do Python
Ampliando os Horizontes dos Profissionais de Redes através do PythonAmpliando os Horizontes dos Profissionais de Redes através do Python
Ampliando os Horizontes dos Profissionais de Redes através do PythonIP10
 
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan SeidlTI Safe
 
Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_cleitonfcsantos
 
Analisadores de protocolo: comparação e uso
Analisadores de protocolo: comparação e usoAnalisadores de protocolo: comparação e uso
Analisadores de protocolo: comparação e usoJerônimo Medina Madruga
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linuxguest4e5ab
 
O endian firewall community
O endian firewall communityO endian firewall community
O endian firewall communityintegraldiv
 
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS2206-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS22Gustavo Rodrigues Ramos
 
Introdução aos Sistemas Distribuídos
Introdução aos Sistemas DistribuídosIntrodução aos Sistemas Distribuídos
Introdução aos Sistemas DistribuídosFrederico Madeira
 
Webinar: Desvendando as camadas de IoT
Webinar: Desvendando as camadas de IoTWebinar: Desvendando as camadas de IoT
Webinar: Desvendando as camadas de IoTEmbarcados
 
IMS - IP Multimedia Subsystem
IMS - IP Multimedia SubsystemIMS - IP Multimedia Subsystem
IMS - IP Multimedia SubsystemFrederico Madeira
 
Monitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bitsMonitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bitsArthur Paixão
 
Saiba mais sobre OCS Inventory
Saiba mais sobre OCS InventorySaiba mais sobre OCS Inventory
Saiba mais sobre OCS Inventory4LinuxCursos
 
Apresentação de Introdução ao Syslog
Apresentação de Introdução ao SyslogApresentação de Introdução ao Syslog
Apresentação de Introdução ao SyslogIsaque Profeta
 

Semelhante a Snort (20)

Snort "O sniffer"
Snort "O sniffer"Snort "O sniffer"
Snort "O sniffer"
 
Ferramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei PollonFerramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei Pollon
 
Aula 8.0 - Segurança
Aula 8.0 - SegurançaAula 8.0 - Segurança
Aula 8.0 - Segurança
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores Linux
 
Rssf com TinyOS
Rssf com TinyOSRssf com TinyOS
Rssf com TinyOS
 
Ampliando os Horizontes dos Profissionais de Redes através do Python
Ampliando os Horizontes dos Profissionais de Redes através do PythonAmpliando os Horizontes dos Profissionais de Redes através do Python
Ampliando os Horizontes dos Profissionais de Redes através do Python
 
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
 
Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_Redes -aula_8_-_seguranca_2_
Redes -aula_8_-_seguranca_2_
 
Analisadores de protocolo: comparação e uso
Analisadores de protocolo: comparação e usoAnalisadores de protocolo: comparação e uso
Analisadores de protocolo: comparação e uso
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5
 
Netfilter + Iptables
Netfilter + IptablesNetfilter + Iptables
Netfilter + Iptables
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linux
 
O endian firewall community
O endian firewall communityO endian firewall community
O endian firewall community
 
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS2206-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
 
Introdução aos Sistemas Distribuídos
Introdução aos Sistemas DistribuídosIntrodução aos Sistemas Distribuídos
Introdução aos Sistemas Distribuídos
 
Webinar: Desvendando as camadas de IoT
Webinar: Desvendando as camadas de IoTWebinar: Desvendando as camadas de IoT
Webinar: Desvendando as camadas de IoT
 
IMS - IP Multimedia Subsystem
IMS - IP Multimedia SubsystemIMS - IP Multimedia Subsystem
IMS - IP Multimedia Subsystem
 
Monitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bitsMonitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bits
 
Saiba mais sobre OCS Inventory
Saiba mais sobre OCS InventorySaiba mais sobre OCS Inventory
Saiba mais sobre OCS Inventory
 
Apresentação de Introdução ao Syslog
Apresentação de Introdução ao SyslogApresentação de Introdução ao Syslog
Apresentação de Introdução ao Syslog
 

Mais de Jean Pimentel

Multimídia - Imagens
Multimídia - ImagensMultimídia - Imagens
Multimídia - ImagensJean Pimentel
 
Sistemas Imunológicos Artificiais
Sistemas Imunológicos ArtificiaisSistemas Imunológicos Artificiais
Sistemas Imunológicos ArtificiaisJean Pimentel
 
AIX - Sistemas de Arquivos
AIX - Sistemas de ArquivosAIX - Sistemas de Arquivos
AIX - Sistemas de ArquivosJean Pimentel
 
AIX - Gerência de Memória
AIX - Gerência de MemóriaAIX - Gerência de Memória
AIX - Gerência de MemóriaJean Pimentel
 
RIP - Routing Information Protocol
RIP - Routing Information ProtocolRIP - Routing Information Protocol
RIP - Routing Information ProtocolJean Pimentel
 
AIX - Gerência de Processos
AIX - Gerência de ProcessosAIX - Gerência de Processos
AIX - Gerência de ProcessosJean Pimentel
 
Redes Mesh - Protocolos de Roteamento
Redes Mesh - Protocolos de RoteamentoRedes Mesh - Protocolos de Roteamento
Redes Mesh - Protocolos de RoteamentoJean Pimentel
 
Redes Mesh - Introdução
Redes Mesh - IntroduçãoRedes Mesh - Introdução
Redes Mesh - IntroduçãoJean Pimentel
 

Mais de Jean Pimentel (13)

Segurança em P2P
Segurança em P2PSegurança em P2P
Segurança em P2P
 
Introdução ao P2P
Introdução ao P2PIntrodução ao P2P
Introdução ao P2P
 
Multimídia - Imagens
Multimídia - ImagensMultimídia - Imagens
Multimídia - Imagens
 
Fluxo MPEG
Fluxo MPEGFluxo MPEG
Fluxo MPEG
 
Loss Monitor
Loss MonitorLoss Monitor
Loss Monitor
 
Sistemas Imunológicos Artificiais
Sistemas Imunológicos ArtificiaisSistemas Imunológicos Artificiais
Sistemas Imunológicos Artificiais
 
AIX - Sistemas de Arquivos
AIX - Sistemas de ArquivosAIX - Sistemas de Arquivos
AIX - Sistemas de Arquivos
 
AIX - Gerência de Memória
AIX - Gerência de MemóriaAIX - Gerência de Memória
AIX - Gerência de Memória
 
Windows Mobile
Windows MobileWindows Mobile
Windows Mobile
 
RIP - Routing Information Protocol
RIP - Routing Information ProtocolRIP - Routing Information Protocol
RIP - Routing Information Protocol
 
AIX - Gerência de Processos
AIX - Gerência de ProcessosAIX - Gerência de Processos
AIX - Gerência de Processos
 
Redes Mesh - Protocolos de Roteamento
Redes Mesh - Protocolos de RoteamentoRedes Mesh - Protocolos de Roteamento
Redes Mesh - Protocolos de Roteamento
 
Redes Mesh - Introdução
Redes Mesh - IntroduçãoRedes Mesh - Introdução
Redes Mesh - Introdução
 

Snort

  • 1. Sistemas Distribuídos Jean Fellipe De Almeida Pimentel Pedro Correia Fagundes
  • 2. Network-Based Intrusion Detection System (NIDS)  Host-Based Intrusion Detection System (HIDS)  Distributed Intrusion Detection System (DIDS)
  • 3.
  • 4. Vantagens ◦ Protege uma sub-rede. ◦ Não causa impacto no tráfego da rede. ◦ Atacante não pode tocar o NIDS e pode sequer sabe que está lá.  Desvantagens ◦ Precisa monitorar um alto número de portas ◦ Política de Privacidade
  • 5.
  • 6. Vantagens ◦ Protege o hospedeiro, detectando mudanças em arquivos e processos. ◦ Regras podem ser específicas, aumentando desempenho e diminuindo falso-positivos.  Desvantagens ◦ Dependente do SO ◦ Aumenta carga do host ◦ Dificuldade no gerenciamento
  • 7.
  • 8. Combinação de NIDS e HIDS.  Recomenda-se comunicação entre cliente e servidor por uma rede privada e segura.  Os logs dos clientes são enviados continuamente para a estação principal.  Os clientes baixam as assinaturas da estação principal e se mantêm atualizados.
  • 9. HIDS ◦ Usados para manter Estados do sistema (tamanhos de arquivos, permissões, acessos). ◦ Possibilita o rollback em caso de falha.  NIDS ◦ Redes possuem padrões de tráfego.  Se uma máquina é servidor de emails, haverá SMTP. ◦ NID aprende com o tempo, reconhecendo o que é esperado e aceitável.
  • 10. O SNORT é uma ferramenta NIDS ◦ Desenvolvido por Martin Roesch, ◦ “open-source”, ◦ popular por sua flexibilidade nas configurações de regras e constante atualização frente às novas ferramentas de invasão.  Pontos fortes: ◦ Possui o maior cadastro de assinaturas, é leve, pequeno.
  • 11. O código fonte é otimizado, desenvolvido em módulos utilizando linguagem de programação C e, junto com a documentação, são de domínio público.  O Snort é desenvolvido e atualizado diariamente, tanto em relação ao código propriamente dito, como das regras de detecção.
  • 12. Por ser uma ferramenta leve, a utilização do Snort é indicada para monitorar redes TCP/IP pequenas, onde pode detectar uma grande variedade do tráfego suspeito, assim como ataques externos e então, fornece argumento para as decisões dos administradores.
  • 13. Os módulos que compõe o Snort são ferramentas poderosas, capazes de produzir uma grande quantidade de informação sobre os ataques monitorados, dado que é possível avaliar tanto o cabeçalho quanto o conteúdo dos pacotes, além de disponibilizar, por exemplo, a opção de capturar uma sessão inteira.
  • 14. O Snort monitora o tráfego de pacotes em redes IP, realizando análises em tempo real sobre diversos protocolos (nível de rede e aplicação) e sobre o conteúdo (hexa e ASCII). Outro ponto positivo desse software é o grande número de possibilidades de tratamento dos alertas gerados.
  • 15. O Snort poderá assumir três modalidades: ◦ Sniffer: Esta modalidade simplesmente captura os pacotes e imprime continuamente no console. ◦ Packet logger: Registra os pacotes capturados no disco rígido. ◦ Network intrusion detection system: Esta modalidade é a mais complexa e versátil, permitindo que o Snort analise o trafego da rede de encontro a regras definidas pelo usuário, executando diversas ações baseadas em suas regras.
  • 16. Extremamente Flexível: ◦ Algoritmos de Inspeção baseados em Regras. ◦ Sem falsos positivos inerentes. ◦ Controle Total do refinamento das regras.  Metodologias de detecção Multidimensional: ◦ Assinaturas (Impressões Digitais) do Ataque. ◦ Anomalias no Protocolo. ◦ Anomalias no Comportamento.
  • 17. Imensa Adoção (Comunidade SNORT): ◦ Dezenas de milhares de instalações (42 mil). ◦ Algumas das maiores empresas do mundo. (Microsoft, Intel,PWC..) ◦ Milhares de contribuidores fazendo regras para novas vulnerabilidades.  Infra-estrutura de Suporte da Comunidade Open Source: ◦ Rápida Respostas às ameaças. ◦ Velocidade de Inovação. ◦ Velocidade de Refinamento.
  • 18. Performance Modesta: ◦ Menos de 30mbps, para redes de até 10Mbps.  Interface Gráfica Limitada: ◦ Configuração do Sensor. ◦ Gerenciamento de Regras.
  • 19. Implementação lenta e cansativa (pelo menos 10 dias).  Capacidade Analítica Limitada.  Sem Suporte Comercial: ◦ Dependência de pessoas "capacitadas", nem sempre estáveis... ◦ Gastos Significativos com Recursos Humanos.
  • 20. O Snort coloca a placa do computador em modo promíscuo.  Isso permite que todos os pacotes que trafeguem pelo segmento de rede daquela máquina sejam capturados.
  • 21.
  • 22. Regras ◦ Assinaturas conhecida dos ataques  Variedade de ataques e sondagens ◦ buffer overflow, ◦ port scans, ◦ ataques CGI (Common Gateway Interface), ◦ verificação de SMB (Server Message Block) ◦ ...
  • 23. Alerta em tempo real ◦ pode enviar os alertas a um arquivo de alerta individual. ◦ ou a um meio externo como o WinPopUp (utilitário responsável por mandar mensagens de uma máquina para outra em uma rede).
  • 24. A arquitetura do Snort enfoca o desempenho, simplicidade e flexibilidade.  Há três subsistemas primários que o compõem: ◦ Decodificador de pacote; ◦ Engenharia de Detecção; ◦ Subsistema de log e alerta.
  • 25. A arquitetura de decodificação é organizada ao redor das camadas de rede.  Estas rotinas de decodificação são chamadas ordenadamente, do nível de dados, subindo para o nível de transporte terminando finalmente no nível de aplicação.
  • 26. A velocidade é enfatizada, e a maioria das funcionalidades do decodificador consistem na colocação de ponteiros nos pacotes de dados, para mais tarde serem analisados pela arquitetura de detecção.  A ferramenta Snort provê capacidades para decodificar pacotes em redes Ethernet, SLIP (Serial Line Internet Protocol), PPP (Point to Point Protocol), sendo que o suporte a ATM (Asynchronous Transfer Mode) está sendo desenvolvido.
  • 27.
  • 28. A ferramenta Snort mantém suas regras de descoberta de intrusão em duas listas denominadas Chain Headers (Cabeçalho da Regra) e Chain Options (Cabeçalho de Opções).  Chain Headers contém os atributos comuns de uma regra.  Chain Options armazena os padrões de ataque que serão pesquisados dentro dos pacotes capturados e as ações que serão tomadas caso um ataque seja diagnosticado.
  • 29.
  • 30. O subsistema de log e alerta é selecionado em tempo real com comandos condicionais de interrupção.  As opções de log podem ser fixadas para armazenar pacotes decodificados, em formato legível para o ser humano.
  • 31. O formato decodificado de log permite análise rápida de dados armazenados pelo sistema.  Os logs podem ser deixados parcialmente incompletos para agilizar a performance.  O administrador pode ser avisado de novos alertas através do envio de mensagem ao syslog (programa responsável por gerar e armazenar logs no Linux/Unix) ou armazenar em um arquivo texto que pode ser utilizado em multi-plataformas.
  • 32. Existem três opções disponíveis para criação de arquivos de alerta.  A primeira opção possibilita a criação de um arquivo texto com informações completas do alerta, registrando a mensagem de alerta e a informação de cabeçalho de pacote fornecido pelo protocolo do nível de transporte.
  • 33. A segunda opção cria um arquivo que registra um subconjunto condensado de informações, permitindo maior desempenho que a primeira opção.  A última opção é utilizada para desconsiderar alertas e é extremamente útil quando os registros são desnecessários ou impróprios. Esta situação ocorre quando a rede está passando por testes de penetração.
  • 34.
  • 35. A arquitetura de armazenamento de regras é examinada pela arquitetura de detecção de forma recursiva, para cada pacote de dados capturado.  Quando o cabeçalho da regra for idêntico ao cabeçalho do pacote capturado, os dados contidos no pacote são comparados com o cabeçalho das opções da regra. Se a ocorrência de um ataque for identificada, uma ação especifica definida na regra é disparada.
  • 36. Uma revisão da arquitetura de descoberta está atualmente em planejamento e em fase de desenvolvimento.  A próxima versão da arquitetura incluirá a capacidade para que os usuários possam escrever e distribuir módulos compatíveis com as palavras- chave da linguagem da arquitetura de detecção. Isto permitirá a customização do programa para situações específicas.
  • 37. Capacidades limitadas de resposta automática.  Se concentram em: ◦ filtragem do tráfego ◦ bloqueio do tráfego ◦ desligamento  Maior uso: backtrace. ◦ Conhecer o ataque e ensinar o sistema a se proteger numa próxima vez.
  • 38. NID: Snort  Packet Capture: libpcap  Packet Manipulation: libnet, libipq  Packet Inspection: libpcre  Database: PostgreSQL, MySQL  Time Synchronization: NTP  Logs: Barnyard  Regras: OinkMaster
  • 39. Snort Brasil ◦ http://www.clm.com.br/snort/default.asp  Snort ◦ http://pt.wikipedia.org/wiki/Snort  Detectando Incidentes de Segurança ◦ http://www.conectiva.com/doc/livros/online/10.0/servidor/pt_BR/ch15s09.html  Sistema Detecção de Intrusos ◦ http://www.scribd.com/doc/6588301/Snort-Conisli  Snort 2.1 Intrusion Detection ◦ BEALE, Jay; BAKER, Andrew; CASWELL, Brian; POOR, Mike. 2 ed. Syngress. 2004. 731 páginas.