Embed Size (px)
DESCRIPTION
Snort, um poderoso sniffer, que integrado com outros softwares, é uma poderosa ferramenta na área de segurança de redes.
Citation preview
Snort, “O sniffer”
O que é o Snort?O que é o Snort? O que são rules?O que são rules? Integrações possíveis com o snortIntegrações possíveis com o snort
GuardianGuardian MySQLMySQL PHP + BASEPHP + BASE SnortSamSnortSam
Esquemas de rede com SnortEsquemas de rede com Snort
Autor: Autor: Leonardo “Stroyker” Damasceno
O Snort
O que é?O que é? O snort é um IDS (Intrusion Detection System), é um
farejador(Sniffer), que analisa o tráfego da rede, tomando ou não ação junto com outros softwares. Ele faz a analise de pacotes, mostrando em seu log, qual o tipo de “ataque”, ou “requisição” foi feito. A analise é feita, e o tipo do ataque é definido pelas rules(regras).
Rules
O que é?O que é? Rules, do inglês, significa “regras”. O snort possui suas
regras, que normalmente, são localizadas dentro do próprio diretório do snort( /etc/snort/rules ). Existem várias regras, para icmp, p2p, ataque dos, ataque ddos... Dentro do diretório rules, estão as regras, normalmente definidas como “nome.rules”. Ex.: icmp.rules, p2p.rules, dos.rules, ddos.rules. Você pode editar as regras, de acordo com as suas necessidades. As rules, não vem junto com o snort. Você precisa fazer o download das rules no site do snort( www.snort.org ), descompactar e colocar dentro do diretório do snort.
Integrações possíveis com o snort
GUARDIANGUARDIAN
MySQLMySQL
PHP + BASEPHP + BASE
SNORTSAMSNORTSAM
Guardian
O que é?O que é? Guardian, é um software que trabalha junto com o snort.
Sua função é atualizar o firewall( trabalha bem com firewall iptables ), implementando regras de acordo com os alertas que foram gerados no log. Você pode definir em seu arquivo de configuração( guardian.conf ) o tempo que o ip ficará bloqueado, e ainda, definir outras configurações. Para iniciar o guardian use:
guardian.pl -c /etc/guardian.confguardian.pl -c /etc/guardian.conf
MySQL
O que é?O que é? MySQL é um banco de dados que já tem um grande
respeito por parte dos usuários. Por sem um banco altamente confiável. Ele é integrado com o snort, para armazenar os alertas gerados.
Por que usar MySQL+Snort?Por que usar MySQL+Snort? Torna-se bem mais confiável, armazenar os alertas em
uma base de dados.
PHP + BASE
BASEBASE BASE( Basic Analysis and Security Engine ), é um
software feito na linguagem de programação PHP, que exibe os alertas gerados pelo snort, gerando ainda gráficos, e uma porcentagem dos alertas dos protocolos: TCP, UDP, ICMP, e também alertas de PortScan.
Podemos gerar gráficos com as seguintes opções:
Gráfico de Alertas Gráfico de Alertas por Tempo
SnortSam
O que é?O que é? O SnortSam é um software que permite que o Snort se
comunique com o firewall para impedir connecções hostis. Tem uma solução Cliente/Servidor. Ex.: Servidor com firewall ficaria com SnortSam Servidor, e o servidor Snort ficaria com SnortSam Cliente, assim, havendo a comunicação entre os dois, para possíveis bloqueios para segurança da rede.
Esquema de rede com Snort
Snort + SnortSam:Snort + SnortSam:
Esquema de rede com Snort
Snort + Guardian:Snort + Guardian:
Esquema de rede com Snort PHP + BASE:PHP + BASE:
