Sistema Detecção de Intrusos - Snort

Rodrigo Ribeiro Montoro

rodrigo@2bfree.com.br
 Agenda
● Objetivo
● Apresentação
● Introdução
● O que é uma invasão ?
● O que é um IDS ?
● Porque o Snort?
● Snort Distribuido com Logs Centralizados
● Ferramentas de Apoio
● Dúvidas
 Objetivo

Apresentar os conceitos de um Sistema de Detecção

de Intrusos e funcionalidades
do Snort.
Apresentação
 Empresa

● Soluções em Software Livre

● Desenvolvimento aplicações Web
● Projetos de Segurança ( Firewall, IDS, VPN )
● Parceria DBExperts
 Projetos

● Honeypot-br ( http://www.honeypot.com.br )

Projeto Honeypot-Br.

● SGFw ( http://www.spooker.com.br/projetos/SGFw/ )

Sistema Gerenciamento de Firewall.

Introdução
Firewall x IDS
● Firewall
● “Estático”
● Camada 4 da OSI

● Sistema Detecção de Intrusos (IDS)

● “Dinamico”
● Camada 7 da OSI
Funcionamento OSI
 Snort -Sniffer , Packet Log
, NIDS ou WIDS ?
● Sniffer
● Packet Log
● NIDS
● WIDS ( patches - http://www.snort-wireless.org )
O que é uma
invasão ?
 Definição

Invasão é o ato de acessar algo sem devida permissão ou

direito por meios ilegais .
 Motivos para invasão
● Curiosidade
● Afirmação / Reconhecimento

● Roubo de Dados

● Derrubar Serviços

● Espionagem Empresarial

● Utilização da máquina outros fins

● Uso de CPU
● Repositório de conteúdos

● Futuros ataques
 Como invadem ?

● Senhas Frágeis
● Sistemas Desatualizados
● Ataques Internos
● Engenharia Social
O que é um IDS ?
 Definição

Sistema de Detecção de Intrusos é um sistema que visa

previnir futuros ataques, bem como monitorar e
logar ataques em tempo real. Ele pode interferir nos
mesmos, bem como somente logar.
 Componentes
● Libpcap / Decodificador de Pacotes

● Pre-Processor

● Mecanismos de Detecção (assinaturas de ataques)

● Plugins de Saída
Libpcap capturando pacotes na rede
● Máquina A quer comunicar-se com a B.
● Envia requisição para FF:FF:FF:FF:FF:FF perguntando

quem é a máquina B (destino comunicação)?

● Máquina B se identifica e recebe o que foi enviado.

● O Sensor, mesmo não sendo o destino, também “pega” o

que foi enviando, sendo isso o “modo promiscuo (sniffando)”

Fluxo Pre-processadores
 Pré-Processadores
# This preprocessor performs IP defragmentation. This plugin will also detect
# arguments loads the default configuration of the preprocessor, which is a
preprocessor frag2
preprocessor stream4: detect_scans, disable_evasion_alerts
preprocessor stream4_reassemble

#This plugin takes the ports numbers that RPC

# The RPC decode preprocessor uses generator ID 106
preprocessor rpc_decode: 111 32771

#Outros
#preprocessor arpspoof
#preprocessor telnet_decode
#preprocessor http_decode: 80 unicode iis_alt_unicode double_encode
Mecanismo de detecção
 Ataque / Assinatura
REGRA

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS

cmd32.exe access"; flow:to_server,established; content:"cmd32.exe"; nocase;
classtype:web-application-attack; sid:1661; rev:3;)

ATAQUE
http://www.spooker.com.br/XXXX/..system32/cmd.exe?/c%20dir%20C:\

http://www.spooker.com.br/scripts/teste.bat/..%C1%9C..%C1%9C..%C1%9C
winnt/system32/cmd.exe?/c%20dir%20C:\
Plugins da Saida
 Tipos de IDS
● Network Based Intrusion Detection System (NIDS)
● Snort
● Cisco IDS

● Host Based Intrusion Detection System (HIDS)

● Aide
● Tripware

● Samhain

● LIDS
 IDS Comerciais
● Diferenças
● Investimentos
● Front-End de configuração

● IDS Comerciais
● NFR
● Cisco IDS

● BlackIce
Porque o Snort ?
 Vantagens
● Open Source
● Elaboração simples de assinaturas
● Multi Plataforma
● Linux

● Solaris

● BSD

● Win

● Confiável e Desenvolvido pela comunidade

 Desvantagens

● Falsos - Positivos

● Não possui front-end de Configuração

 Histórico
● Motivação (Marty Roesch)
● Necessidade especifica

● Falta de alternativas

● Quando
● Iniciado em 1998
● 1.500 linhas de codigo

● Desenvolvimento
● Atualmente na Versão 2.0.4 (Quinta 06/11/03)
● Aproximadamente 75.000 linhas de código
Snort Distribuido
Logs Centralizados
 Facilidades / Dificuldades

● Facilidades ● Dificuldades
● Base Dados única ● Muitos Sensores
● Melhor auditoria ● Fluxo de Dados
Bancos de Dados Suportados

● MySQL
● PostgreSQL
● Oracle
● MSSQL
● Outros ...
Ferramentas
de Apoio
 Principais Ferramentas
● ACID
● SnortSnarf

● Baynard

● IDS Center

● Snort Center

● Pigmeat

● Guardian
ACID
 Bloqueios / Alertas
● Bloqueio automático de ataques
● Guardian
● Pigmeat

● Alertas
● Popup
● E-mail

● Pager
 Links
http://www.snort.org
http://www.linuxsecurity.com.br
http://pigmeat.linuxinfo.com.br
http://www.underlinux.com.br
http://www.packetstormsecurity.org
http://www.securityteam.com
http://www.securityfocus.com
http://www.secforum.com.br
http://www.honeypot.com.br
Dúvidas ?
Rodrigo Ribeiro Montoro

http://www.2bfree.com.br

rodrigo@2bfree.com.br

Contato: (11) 5083-5577