Snort - Gerenciamento de redes

Artigo sobre gerenciamento de redes e suas utilidades a partir do uso do Snort, excelente aplicativo open source (parte conceitual bem caprichada).

[ Hits: 52.656 ]

Por: woshington rodrigues em 10/12/2009


IDS e IPS, gerenciamento e segurança de redes



O Snort é uma ferramenta open source utilizada para detecção e prevenção de intrusão, é um sistema de detecção de intrusão desenvolvido pela SourceFire (IDS/IPS), é também o IDS/IPS mais utilizado no mundo e líder mundial com mais de 1 milhão de downloads e cerca de 250.000 usuários registrados. É o padrão quando se fala em IPS. Este tipo de sistema age no sentido de alertar sobre tentativas de invasões e até mesmo tentativas de escanear a sua rede, mas antes de detalhar o Snort irei expor aqui o que são as ferramentas de detecção de intrusão.

Esta área vem se estabelecendo como uma das mais crescentes no setor em virtude do aumento de ataques a redes que normalmente contém informações caras e sigilosas. Para proteger esses dados as corporações estão dispostas a implementar estes programas de detecção de intrusão, afinal de contas fica bem mais barato investir no gerenciamento da rede do que pagar por auditorias, arcar com os prejuízos do desvio e perda de informações.

Fica evidente a necessidade do sistema de IDS. O IDS detecta em tempo real possíveis intrusões, além disso é também capaz de reagir aos ataques tomando medidas cabíveis. O sistema analisa todos os pacotes que trafegam na rede e fazem comparações entre os pacotes recebidos e assinaturas de ataques, informações importantes são reportadas todos os dias pelo IDS, tais como:
  • Quantas tentativas de ataques sofremos por dia;
  • Qual o tipo de ataque mais usado;
  • Qual a origem dos ataques.

Com todas essas informações fica mais fácil prover uma defesa contra todos esses ataques, existem basicamente 2 tipos de IDS, que são os baseados em redes (NIDS). Sistemas NIDS analisam o tráfego de toda a rede e podem ser instalados em vários pontos da rede, protegendo as estações.

Os sensores espalhados pela rede reportam a informação a uma estação central, rodam em modo stealth (invisível), desta forma um possível invasor não consegue detectá-los.

Os NIDS funcionam de maneira passiva e consomem poucos recursos da rede, ficam espalhados por ela apenas esperando um ataque, quando ocorre, emite o alerta. Contudo os NIDS não conseguem ainda processar informações de dados criptografados e tem problemas com switches.

O outro tipo de IDS é o HIDS, que funciona baseado em host (computadores individuais), portanto é mais preciso e consegue analisar melhor os efeitos da tentativa de ataque. Enquanto que o NIDS não consegue prever as consequências do ataque, os HIDS tem um maior grau de detecção, pois operam no sistema operacional e conseguem analisar pacotes criptografados antes de serem criptografados ou depois de decriptografados detectam trojans ou outros tipos de ataques que envolvam problemas de integridade nos programas. Em contrapartida esse sistema não consegue perceber intrusões na rede inteira e consome mais recursos do computador.

A maioria dos usuários mal intencionados que tentam invadir sistemas normalmente se aproveitam de falhas no sistema operacional ou de algum aplicativo específico que a vítima se utilize. Existem 6 tipos principais de intrusão, que são os seguintes:
  • Tentativas de arrombar;
  • Ataques mascarados;
  • Penetração do sistema de controle de segurança;
  • Vazamento;
  • Negação de serviço;
  • Uso malicioso;

Quanto as técnicas de descoberta de intrusão, podemos dividi-las em dois grupos, que são:

a) Descoberta de anomalias: estatui que toda atividade de intrusão é necessariamente anômala, ou seja, fora do normal, a respeito disso existem alguns problemas tais como:
  • Falso positivo: ocorre quando o IDS classifica um processo como processo suspeito e na verdade é um processo legítimo;
  • Falso negativo: é o contrário do falso positivo, quando um processo suspeito é caracterizado como um processo legítimo.
  • Subversão: acontece quando o sistema de IDS é alterado para acusar a ocorrência de falso negativo.

b) Descoberta de abusos: não tem a capacidade de descobrir novo ataques, contudo podem descobrir todos os ataques possíveis a partir de um padrão já conhecido. Analisa todas as possibilidades de uma assinatura. Abaixo os tipos de ataque que um sistema pode sofrer.
  • Risco: exposição acidental ou impossível de prever da informação, violação da integridade das operações devido ao mau uso de algum equipamento ou aplicações mal desenvolvidas.
  • Vulnerabilidade: alguma falha conhecida do aplicativo, equipamento ou sistema que coloque em risco o sistema.
  • Ataque: é a efetivação de uma ameaça.
  • Penetração: é a arte de invadir e obter acesso a um sistema computacional tendo poder sobre os arquivos.

Página anterior     Próxima página

Páginas do artigo
   1. Gerenciamento de redes
   2. IDS e IPS, gerenciamento e segurança de redes
   3. Snort - gerenciamento de redes
   4. Alguns comandos do Snort
Outros artigos deste autor

Nessus Portscanner

PHP e suas variáveis (básico)

Ato 2 - comandos de saída, constantes e operadores em PHP (básico)

Ato 3 - Estrutura de Controle e Funções

Leitura recomendada

Como montar um pacote RPM

Instalando o Notify-OSD do Ubuntu 9.04 no Ubuntu 8.10 Intrepid Ibex

VirtualBox + PhpVirtualBox + Ubuntu 14.04 Server

Instale já o Audacity na sua máquina!

WeeChat - Um (O) cliente IRC CLI

  
Comentários
[1] Comentário enviado por grandmaster em 10/12/2009 - 09:22h

Sempre bom novos artigos sobre o snort. Muito util no gerenciamento.

---
Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br

[2] Comentário enviado por removido em 10/12/2009 - 17:34h

muito bom

[3] Comentário enviado por kabalido em 10/12/2009 - 19:25h

Belo e muito útil artigo. Eu particularmente gosto de artigos que falam sobre ferramentas de gerenciamento de rede e sniffers.
Parabéns! Muito bom mesmo.

[4] Comentário enviado por d3lf0 em 11/12/2009 - 09:34h

Gostei cara bem legal seu artigo, é uma ótima ferramenta =]

[5] Comentário enviado por wos- em 14/12/2009 - 11:44h

agradeço aos comentários, e como já dito anteriormente,
espero em breve trazer maiores dicas acerca da operacionalização em ambiente gráfico do Snort,
e algo mais prático e menos conceitual

[6] Comentário enviado por fernandorosa em 15/12/2009 - 23:37h

muito bom e proveitosa este artigo, valeu!

[7] Comentário enviado por fernandorosa em 15/12/2009 - 23:38h

digo: proveitoso

[8] Comentário enviado por sydbio em 17/12/2009 - 10:38h

Com certeza vai ajudar muita gente, continue assim! fiquei sabendo que ja tem outro por vir, não demore!!!

[9] Comentário enviado por dailson em 18/12/2009 - 10:47h

Parabéns pelo artigo.
De grande valia.

[10] Comentário enviado por atacama2020 em 29/12/2009 - 13:54h

Show pra caramba! Parabéns.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts