Date post: | 13-Jul-2015 |
Category: |
Technology |
Upload: | clebeer-brandao |
View: | 611 times |
Download: | 3 times |
Modos de operação do Snort
Como mitigar ataques a sua rede utilizando o Snort
CleBeeRclebeer[at]gmail[dot]com
About me
Atual Mantenedor do EOS Linux
Analista de segurança BRconnection
Coordenador do Laboratório BRC-STR (Brconnection Security Research Team).
9 anos de experiência em Linux
Um dos mantenedores do site da comunidade snort-br
Palestrante em eventos como (FISL e CONISLI)
Staff em eventos de segurança (YSTS e H2HC)
Sócio fundador da ONG HCF (Hackers Construindo Futuros)
Agenda
O que é um IDS
Ataques
Entendendo o Snort
Funcionamento
Pré-processadores
Plugins de saída
Modos de operação
Posicionamento de um IDS
Comunidade snort-br
Perguntas e comentário sobre o projeto HCF
O que é um IDS?
Sistema de detecção de Intrusos
Analisa até a camada de aplicação (OSI)
Apenas monitora
Atuando como IPS pode tomar ações (DROP)
Pode se basear em comportamento ou assinaturas
Tipos de ataques
Ataques externos
Ataques internos
Ataques desestruturados (script kiddies)
Ataques estruturados (Profissionais, empresas)
Ataques externos
Ataques internos
Ataques desestruturados
Ataques estruturados
Entendendo o Snort (história)
Criado em 1998 por Marty Roesch somente como sniffer
Tornou-se um IDS em 1999
Mais de 3.7 Milhões de downloads
Mais de 270.000 usuários registrados
Mais de 6000 linhas de código
Versão atual 2.8.5.2
Funcionamento
Preprocessadores
SfPortscan
Frag3
HttpInspect
sfPortscan
Half connection scan
TCP, UDP & IP scans
Decoy scans
Distributed scans
Frag3
Detecta anomalias nos pacotes fragmentados
Frag evasion
Frag evasion
HttpInspect
Normaliza o tráfego http
/ = %2f
.. = %2e%2e
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-ATTACKS /usr/bin/id command attempt"; flow:to_server,established; content:"/usr/bin/id"; nocase; classtype:web-application-attack; sid:1332; rev:7;)
%2fusr%2fbin%2fid (bypass)
Plugins de saída
Banco de dados (postgre, mysql, oracle)
Syslog (local e remoto)
tcpdump
Modos de operação
IPS
IDS
Sniffer
Análise de PCAPs
Posicionamento
Somente sensor (port-mirror)
Bloqueio (Bridge, inline, gateway)
Sensores integrados
IPS no Firewall
IDS + IPS
IPS integrado ao Firewall
Comunidade snort-br
Completando 5 anos em 2010
Mais de 500 inscritos na lista de discussão
Participação em eventos
Divulgação de artigos
HCFBrasil
Hacker Construindo Futuros
www.hcfbr.org
contato[at]hcfbr[dot]org
HCF
Como surgiu ?
Qual os nossos projetos
Como participar
Como e onde surgiu a idéia?
Evento YSTS (leilões)
Hackers for Charity (johnny Long)
Primeiro evento H2HC 2009
HCF Projetos
Cusos
Palestras
Desenvolvimento de materiais técnicos
Como participar?
Serviços de gráfica para impressão de material
Contatos com meios de comunicação
Equipamentos
Espaço para treinamentos
Pessoas para criar e manter o site, criar artes (camisetas, logos, material de divulgação,
Editoração de material didático, etc)
Serviços de transporte
Fornecimento de cofee break
Contato: www.hcfbr.org ou através do email contato[ar]hcfbr[dot]org
Dúvidas
Onde me encontrar?
Freenode - #securityguys #snort-br
Congressos
Bares de SP =D
Obrigado
www.snort.org.br
www.snort.org
clebeerpub.blogspot.com
www.brc.com.br
www.hcfbr.org