Modos de operação do Snort

Como mitigar ataques a sua rede utilizando o Snort

CleBeeRclebeer[at]gmail[dot]com

   

About me

Atual Mantenedor do EOS Linux

Analista de segurança BRconnection

Coordenador do Laboratório BRC-STR (Brconnection Security Research Team).

9 anos de experiência em Linux

Um dos mantenedores do site da comunidade snort-br

Palestrante em eventos como (FISL e CONISLI)

Staff em eventos de segurança (YSTS e H2HC)

Sócio fundador da ONG HCF (Hackers Construindo Futuros)

   

Agenda

O que é um IDS

Ataques

Entendendo o Snort

Funcionamento

Pré-processadores

Plugins de saída

Modos de operação

Posicionamento de um IDS

Comunidade snort-br

Perguntas e comentário sobre o projeto HCF

   

O que é um IDS?

Sistema de detecção de Intrusos

Analisa até a camada de aplicação (OSI)

Apenas monitora

Atuando como IPS pode tomar ações (DROP)

Pode se basear em comportamento ou assinaturas

   

Tipos de ataques

Ataques externos

Ataques internos

Ataques desestruturados (script kiddies)

Ataques estruturados (Profissionais, empresas)

   

Ataques externos

   

Ataques internos

   

Ataques desestruturados

   

Ataques estruturados

   

Entendendo o Snort (história)

Criado em 1998 por Marty Roesch somente como sniffer

Tornou-se um IDS em 1999

Mais de 3.7 Milhões de downloads

Mais de 270.000 usuários registrados

Mais de 6000 linhas de código

Versão atual 2.8.5.2

   

Funcionamento

   

Preprocessadores

SfPortscan

Frag3

HttpInspect

   

sfPortscan

Half connection scan

TCP, UDP & IP scans

Decoy scans

Distributed scans

   

Frag3

Detecta anomalias nos pacotes fragmentados

   

Frag evasion

   

Frag evasion

   

HttpInspect

Normaliza o tráfego http

/ = %2f

.. = %2e%2e

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-ATTACKS /usr/bin/id command attempt"; flow:to_server,established; content:"/usr/bin/id"; nocase; classtype:web-application-attack; sid:1332; rev:7;)

%2fusr%2fbin%2fid (bypass)

   

Plugins de saída

Banco de dados (postgre, mysql, oracle)

Syslog (local e remoto)

tcpdump

   

Modos de operação

IPS

IDS

Sniffer

Análise de PCAPs

   

Posicionamento

Somente sensor (port-mirror)

Bloqueio (Bridge, inline, gateway)

   

Sensores integrados

   

IPS no Firewall

   

IDS + IPS

   

IPS integrado ao Firewall

   

Comunidade snort-br

Completando 5 anos em 2010

Mais de 500 inscritos na lista de discussão

Participação em eventos

Divulgação de artigos

   

HCFBrasil

Hacker Construindo Futuros

www.hcfbr.org

contato[at]hcfbr[dot]org

   

HCF

Como surgiu ?

Qual os nossos projetos

Como participar

   

Como e onde surgiu a idéia?

Evento YSTS (leilões)

Hackers for Charity (johnny Long)

Primeiro evento H2HC 2009

   

HCF Projetos

Cusos

Palestras

Desenvolvimento de materiais técnicos

   

Como participar?

Serviços de gráfica para impressão de material

Contatos com meios de comunicação

Equipamentos

Espaço para treinamentos

Pessoas para criar e manter o site, criar artes (camisetas, logos, material de divulgação,

Editoração de material didático, etc)

Serviços de transporte

Fornecimento de cofee break

Contato: www.hcfbr.org ou através do email contato[ar]hcfbr[dot]org

   

Dúvidas

   

Onde me encontrar?

Freenode - #securityguys #snort-br

Congressos

Bares de SP =D

   

Obrigado

www.snort.org.br

www.snort.org

clebeerpub.blogspot.com

www.brc.com.br

www.hcfbr.org