Detecção de intrusos (IDS), conceitos e implantação do SNORT
Breve conceito sobre detecção de intrusos e anomalias. Aqui estarei mostrando um pouco dos meus conhecimentos sobre IDS, NIDS e HIDS. Também faremos uma instalação do Snort com BASE para colocarmos na prática o conhecimento adquirido. Testado em Debian.
Parte 2: Software de IDS Snort
O Snort é um sistema de detecção de intruso que é capaz de executar registros dos pacotes e a análise do tráfego de uma rede em tempo real, ele consegue executar análise do protocolo, ele faz combinações que pode detectar uma variedade de ataques e probabilidades, como port scan, ataques CGI, ataques pelo Samba (smb) e vários outros.
O sistema também pode ser utilizado para finalidades de uma análise de tentativa de ataque no momento em que elas estão ocorrendo, ele pode ser trabalhado com outro software para ter uma interface visual de simples visualização, um exemplo é trabalho o Snort com o (BASE) Basic Analysis and Security Engine. O Snort suporta ainda um scaneamento da rede com um antivírus como o Amavis e ele trabalha na camada de rede 3 e 4, e com isto é possível ele ter uma observação histórica dos possíveis ataques a rede.
Abaixo imagem de um IDS em funcionamento, basicamente ele tem três placas de rede que serão o scanner das redes externa e interna (setas vermelhas), ele é ligado em um HUB que filtra todas as entradas e saídas da rede para verificar a existência de algum protocolo ou requisição maliciosas.
O sistema também pode ser utilizado para finalidades de uma análise de tentativa de ataque no momento em que elas estão ocorrendo, ele pode ser trabalhado com outro software para ter uma interface visual de simples visualização, um exemplo é trabalho o Snort com o (BASE) Basic Analysis and Security Engine. O Snort suporta ainda um scaneamento da rede com um antivírus como o Amavis e ele trabalha na camada de rede 3 e 4, e com isto é possível ele ter uma observação histórica dos possíveis ataques a rede.
Abaixo imagem de um IDS em funcionamento, basicamente ele tem três placas de rede que serão o scanner das redes externa e interna (setas vermelhas), ele é ligado em um HUB que filtra todas as entradas e saídas da rede para verificar a existência de algum protocolo ou requisição maliciosas.
Funcionamento do Snort
Database Name: snort
Database Host: localhost
Database Port: deixe em branco!
Database User Name: root
Database Password: senhaMysql
Criem um usuário 'snort' por exemplo para ter acesso somente à database que o snort vai utilizar, assim evita-se problemas de segurança com o MySQL é a interface do Snort :)
Abraços.