Detecção de intrusos (IDS), conceitos e implantação do SNORT

Breve conceito sobre detecção de intrusos e anomalias. Aqui estarei mostrando um pouco dos meus conhecimentos sobre IDS, NIDS e HIDS. Também faremos uma instalação do Snort com BASE para colocarmos na prática o conhecimento adquirido. Testado em Debian.

[ Hits: 84.414 ]

Por: Everton Godoi em 09/05/2007 | Blog: http://twitter.com/evertongodoi


Detecção de intrusos e anomalias



Sistema de Detecção de intrusos, IDS (intrusion detection system), são sistemas que detectam vários tipos de trafego da rede (NIDS) e também de computadores maliciosos (HIDS) que não são detectados por um firewall da rede. Os IDS são compostos por diversos componentes: sensores que geram todos os eventos de segurança, um console que monitora os eventos e alertas. Para controlar os sensores existe uma central que grava os eventos registrados pelos sensores em uma base de dados e usam regras que geram alertas dos eventos de segurança.

Sistemas de detecção de intrusos é dividido em HOST (HIDS - Host Intrusion Detection System), que seria monitoramento em um computador e REDE (NIDS - Network Intrusion Detection System), monitoramento de uma rede de computadores.

Sistemas de detecção de anomalias consistem em um monitoramento nas variações nas atividades da rede relacionando com um padrão de utilização normal da rede.

Sistema de detecção de intrusos da rede (NIDS) é um sistema que trabalha detectando atividades maliciosas na rede, como ataques baseados em serviço, port scans ou até monitoramento do tráfego da rede. O NIDS faz isto lendo todos os pacotes que entram na rede e tenta encontrar alguns testes padrões, suporte que houvesse um grande número de requisição TCP a várias portas diferentes, pode haver um port scan em algum computador da rede.

Sistema de detecção de intrusos por host (HIDS) é um sistema que monitora o comportamento de um sistema, pois o NIS verifica somente os pacotes de uma rede e o HIDS pode detectar que um software esta tentando fazer alguma atividade que não faz parte de seu funcionamento, ele consegue verificar o estado do sistema operacional, informações armazenadas, memória RAM, e certifica que os índices estão normais, podemos considerar o HIDS como um agente que monitora tudo que seja interno e externo.

Sistema de detecção anomalia é um sistema que para detectar intrusos e mal utilização do computador ele utiliza classificação no monitoramento que seria entre normal e anômalo, a classificação é baseada em regras, ele acaba sendo o contrário dos sistemas baseados em assinatura, que podem somente detectar os ataques para que uma assinatura tenha sido criada previamente.

    Próxima página

Páginas do artigo
   1. Detecção de intrusos e anomalias
   2. Software de IDS Snort
   3. Instalação do Snort
   4. Instalação do BASE
Outros artigos deste autor

Montando RAID manual no Linux

Ligando e abrindo somente uma aplicação no Linux

SQUID e as autenticações em NTLM e RADIUS

Proxy transparente com Squid 2.6 e FWBuilder

Instalação do Apache, MySQL e PHP

Leitura recomendada

Guia introdutório do Linux IV

Apresentando Cinnamon

Linux: Uma ótima opção para sua empresa

Hierarquia do Sistema de Arquivos GNU/Linux

Shell script: *, [], {}, ????, como utilizá-los?

  
Comentários
[1] Comentário enviado por y2h4ck em 09/05/2007 - 10:36h

Achei uma falha de segurança no seu artigo :)

Database Name: snort
Database Host: localhost
Database Port: deixe em branco!
Database User Name: root
Database Password: senhaMysql

Criem um usuário 'snort' por exemplo para ter acesso somente à database que o snort vai utilizar, assim evita-se problemas de segurança com o MySQL é a interface do Snort :)


Abraços.

[2] Comentário enviado por evertongodoi em 09/05/2007 - 10:46h

Opa certeza, realmente o correto é ser feito com o user snort ou qual o usaurio estiver afim de fazer, eu coloquei o user root mesmo pois considerei que o snort iria trabalhar em um server sozinho na rede mas o correto realmente é utilizar um usuario diferente, mas para fazer isso é bem simples para o pessoal aqui da comunidade que nao sabe abaixo segue uma forma de ser feito:

1. Criar as base de dados no MySQL
# mysql -u root -p
mysql> create database snort;

2. Vamos criar um usuário/senha para o snort no banco:
mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort;
mysql> SET PASSWORD FOR snort@localhost=PASSWORD('senhaSnortMysql');
mysql> exit

[3] Comentário enviado por osky_cg.w em 09/05/2007 - 19:55h

Obrigado evertongodoi pelo ótimo artigo e também obrigado a y2h4ck por acrescentar.. é isso []s

[4] Comentário enviado por dailson em 15/05/2007 - 16:30h

Parabéns Pelo Artigo e Parabéns ao y2h4ck

[5] Comentário enviado por aroldobossoni em 08/07/2009 - 16:37h

Minha duvida é sobre o desempenho.

Tenho um K6 II 500 com 512 de RAM que atualmente só roda o um firewall iptables e gostaria de adicionar o snort nela também. Porem estou com receio da maquina ñ aguentar o iptables, snort, mysql e o BASE na mesma maquina

Até pensei de rodar o MySQL em um outro servidor esse outro servidor é um WIN 2003.

O que vc me aconselha nessa situação?

[6] Comentário enviado por alexsandroe em 06/06/2012 - 00:43h

Minha dúvida é a seguinte, realizei todos os passos com sucesso, porém,quando tento forçar uma conexão com ssh por exemplo,o serviço não realiza nenhum tipo de alerta, caso possa me ajudar a encontrar aonde estou falhando, agradeço.

Parabéns pelo Tópico, excelente.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts