Académique Documents
Professionnel Documents
Culture Documents
● Honeypot-br ( http://www.honeypot.com.br )
Projeto Honeypot-Br.
● SGFw ( http://www.spooker.com.br/projetos/SGFw/ )
● Roubo de Dados
● Derrubar Serviços
● Espionagem Empresarial
● Uso de CPU
● Repositório de conteúdos
● Futuros ataques
Como invadem ?
● Senhas Frágeis
● Sistemas Desatualizados
● Ataques Internos
● Engenharia Social
O que é um IDS ?
Definição
● Pre-Processor
● Plugins de Saída
Libpcap capturando pacotes na rede
● Máquina A quer comunicar-se com a B.
● Envia requisição para FF:FF:FF:FF:FF:FF perguntando
#Outros
#preprocessor arpspoof
#preprocessor telnet_decode
#preprocessor http_decode: 80 unicode iis_alt_unicode double_encode
Mecanismo de detecção
Ataque / Assinatura
REGRA
ATAQUE
http://www.spooker.com.br/XXXX/..system32/cmd.exe?/c%20dir%20C:\
http://www.spooker.com.br/scripts/teste.bat/..%C1%9C..%C1%9C..%C1%9C
winnt/system32/cmd.exe?/c%20dir%20C:\
Plugins da Saida
Tipos de IDS
● Network Based Intrusion Detection System (NIDS)
● Snort
● Cisco IDS
● Samhain
● LIDS
IDS Comerciais
● Diferenças
● Investimentos
● Front-End de configuração
● IDS Comerciais
● NFR
● Cisco IDS
● BlackIce
Porque o Snort ?
Vantagens
● Open Source
● Elaboração simples de assinaturas
● Multi Plataforma
● Linux
● Solaris
● BSD
● Win
● Falsos - Positivos
● Falta de alternativas
● Quando
● Iniciado em 1998
● 1.500 linhas de codigo
● Desenvolvimento
● Atualmente na Versão 2.0.4 (Quinta 06/11/03)
● Aproximadamente 75.000 linhas de código
Snort Distribuido
Logs Centralizados
Facilidades / Dificuldades
● Facilidades ● Dificuldades
● Base Dados única ● Muitos Sensores
● Melhor auditoria ● Fluxo de Dados
Bancos de Dados Suportados
● MySQL
● PostgreSQL
● Oracle
● MSSQL
● Outros ...
Ferramentas
de Apoio
Principais Ferramentas
● ACID
● SnortSnarf
● Baynard
● IDS Center
● Snort Center
● Pigmeat
● Guardian
ACID
Bloqueios / Alertas
● Bloqueio automático de ataques
● Guardian
● Pigmeat
● Alertas
● Popup
● E-mail
● Pager
Links
http://www.snort.org
http://www.linuxsecurity.com.br
http://pigmeat.linuxinfo.com.br
http://www.underlinux.com.br
http://www.packetstormsecurity.org
http://www.securityteam.com
http://www.securityfocus.com
http://www.secforum.com.br
http://www.honeypot.com.br
Dúvidas ?
Rodrigo Ribeiro Montoro
http://www.2bfree.com.br
rodrigo@2bfree.com.br