5 Ids

Segurana de Redes
carlos.rocha@ifrn.edu.br
Intrusion Detection System
Carlos Gustavo A. da Rocha
Segurana de Redes
Deteco de Intruso
o processo de detectar, analisar, e reportar
atividades ou trfegos no autorizados ou danosos
Segurana de Redes
As atividades de um computador podem ser
Normais
Anormais, porm no maliciosas
Maliciosas
Sistemas de deteco de intruso podem

analisar
Trfego de rede, processos, arquivos etc

Deteco de Intruso
Segurana de Redes
O trfego pode ser analisado por um IDS de

rede Network Intrusion Detection System
(NIDS)
Sistemas operacionais por Host Intrusion

Detection System (HIDS)
Sistemas hbridos podem realizar as duas

tarefas
NIDS so mais fceis de manter, mas um HIDS

pode detectar mais eventos
Deteco de Intruso
Segurana de Redes
IDS de rede
Analisa o trfego direcionado a uma rede ou host
necessrio capturar o trfego para realizar a deteco

de intruso, idealmente em modo promscuo
Possui as mesmas caractersticas e limitaes da

instalao de um analisador de trfego
O local onde o detector de intruso ser colocado

primordial para a qualidade da deteco
Deteco de Intruso
Segurana de Redes
Snort NIDS
IDS de Rede
Utiliza uma srie de regras como assinaturas de

anomalias
Atualizveis como em um anti-vrus
um dos NIDS mais utilizado atualmente
Considerado um padro de fato para a industria
O software SNORT gratuito e de cdigo aberto

Deteco de Intruso
Segurana de Redes
Snort base de assinaturas
Existem duas formas obter a base de assinaturas
Subscribers: receive real-time rules updates as they are

available
$29.99 (personal), $499 (business) / year
Registered users: can access rule updates 30 days after

release to subscription users
Free
Deteco de Intruso
Segurana de Redes
Snort configurao
/etc/snort
Configurao e arquivos de regras
/var/log/snort
logs
Deteco de Intruso
Segurana de Redes
Snort configurao
/etc/snort/snort.conf
Arquivo de configurao principal do SNORT
Vem com uma srie de opes padres, contudo a

personalizao ir melhorar em muito a deteco
Um arquivo padro pode ter pode gerar uma

quantidade grande de falso-positivos
Contudo, um arquivo de configurao muito limitado

pode provocar falso-negativos
Deteco de Intruso
Segurana de Redes
Snort regras
So bastante flexveis, fceis de criar ou alterar
Um exemplo de regra mostrado a seguir
Antes dos (): Rule Header
Dentro dos (): Rule Options

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg:"WEB-PHP /_admin access"; flow:to_server,established;
uricontent:"/_admin/"; nocase; reference:bugtraq,9537;
reference:nessus,12032; classtype:web-application-activity;
sid:2393; rev:1;)
Deteco de Intruso
Segurana de Redes
sid:2393; rev:1;)
alert: Ao a tomar (gerar um alerta)
tcp: Protocolo (udp, icmp, ip)
$EXTERNAL_NET any: Origem do trfego (IP e porta)
->: Direo (<>, <-)
$HTTP_SERVERS $HTTP_PORTS: Destino do trfego (IP e porta)
Deteco de Intruso
Segurana de Redes
sid:2393; rev:1;)
msg:"WEB-PHP /_admin access": Mensagem para aparecer no LOG
flow:to_server,established: Conexo deve estar estabelecida
uricontent:"/_admin/": Este o contedo que gera o alerta
nocase: Insensvel ao case (maisculas ou minsculas)
reference:bugtraq,9537; reference:nessus,12032: Referncias
Deteco de Intruso
Segurana de Redes
sid:2393; rev:1;)
classtype:web-application-activity: classe da assinatura
sid:2393: Identificador da assinatura
rev:1: Reviso da regra
Deteco de Intruso
Segurana de Redes
Deteco de Intruso
Snort conjuntos de regras padres

attack-responses.rules community-mail-client.rules community-web-iis.rules
imap.rules pop3.rules web-cgi.rules backdoor.rules community-misc.rules
community-web-misc.rules info.rules porn.rules web-client.rules bad-
traffic.rules community-nntp.rules community-web-php.rules local.rules
rpc.rules web-coldfusion.ruleschat.rules community-oracle.rules ddos.rules
misc.rules rservices.rules web-frontpage.rules community-bot.rules
community-policy.rules deleted.rules multimedia.rules scan.rules web-
iis.rulescommunity-deleted.rules community-sip.rules dns.rules mysql.rules
shellcode.rules web-misc.rulescommunity-dos.rules community-smtp.rules
dos.rules netbios.rules smtp.rules web-php.rules community-exploit.rules
community-sql-injection.rules experimental.rules nntp.rules snmp.rules
x11.rules community-ftp.rules community-virus.rules exploit.rules
oracle.rules sql.rules community-game.rules community-web-attacks.rules
finger.rules other-ids.rules telnet.rules community-icmp.rules community-
web-cgi.rules ftp.rules p2p.rules tftp.rules community-imap.rules community-
web-client.rules icmp-info.rules policy.rules virus.rules community-
inappropriate.rules community-web-dos.rules icmp.rules pop2.rules web-
attacks.rules
Segurana de Redes
Deteco de Intruso
Snort operao
Alm do snort.conf uma srie de opes

pode ser passada pela linha de comando
Boa parte so opes gerais de funcionamento
Interface de rede, tipo de log, permisses etc
Opes passadas na linha de comando

sobrescrevem aquelas do snort.conf
Segurana de Redes
Snort principais opes

snort [options] <filter>
-b Logar pacotes no formato tcpdump
-c <rules> Usar o arquivo de regras <rules>
-D Executa o SNORT em background
-i <if> Escuta na interface <if>
-l <logdird> armazenar logs no diretrio <logdir>
-u <uname> Executa o snort como usurio <uname>
<Filter> Trfego a ser capturado, sintaxe libpcap
Deteco de Intruso
Segurana de Redes
IDS de host
Analisa uma srie de caractersticas de uma

mquina e gera alertas com base em eventos
considerados anormais
Processos em execuo, alteraes em arquivos de

configurao ou executveis, eventos inesperados etc
Para o SO windows, a grosso modo, podemos

considerar que softwares antivrus, antispyware
etc so HIDS
Deteco de Intruso
Segurana de Redes
IDS de host (2)
Para o SO Linux, existem alguns softwares com

caractersticas de um HIDS, sendo bastante
prximos s ferramentas de verificao de
integridade
OSSEC
Tripwire / AIDE
Deteco de Intruso

5 Ids

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

5 Ids

Uploaded by

Copyright:

Available Formats

Segurana de Redes

As atividades de um computador podem ser

Anormais, porm no maliciosas

Sistemas de deteco de intruso podem

Trfego de rede, processos, arquivos etc

O trfego pode ser analisado por um IDS de

Sistemas operacionais por Host Intrusion

Sistemas hbridos podem realizar as duas

NIDS so mais fceis de manter, mas um HIDS

Analisa o trfego direcionado a uma rede ou host

necessrio capturar o trfego para realizar a deteco

Possui as mesmas caractersticas e limitaes da

O local onde o detector de intruso ser colocado

Utiliza uma srie de regras como assinaturas de

Atualizveis como em um anti-vrus

um dos NIDS mais utilizado atualmente

Considerado um padro de fato para a industria

O software SNORT gratuito e de cdigo aberto

Snort base de assinaturas

Existem duas formas obter a base de assinaturas

Subscribers: receive real-time rules updates as they are

$29.99 (personal), $499 (business) / year

Registered users: can access rule updates 30 days after

Configurao e arquivos de regras

Arquivo de configurao principal do SNORT

Vem com uma srie de opes padres, contudo a

Um arquivo padro pode ter pode gerar uma

Contudo, um arquivo de configurao muito limitado

So bastante flexveis, fceis de criar ou alterar

Um exemplo de regra mostrado a seguir

Antes dos (): Rule Header

Dentro dos (): Rule Options

Snort conjuntos de regras padres

Alm do snort.conf uma srie de opes

Boa parte so opes gerais de funcionamento

Interface de rede, tipo de log, permisses etc

Opes passadas na linha de comando

Snort principais opes

Analisa uma srie de caractersticas de uma

Processos em execuo, alteraes em arquivos de

Para o SO windows, a grosso modo, podemos

IDS de host (2)

Para o SO Linux, existem alguns softwares com

You might also like