Detecção de intrusos (IDS), conceitos e implantação do SNORT

evertongodoi

Breve conceito sobre detecção de intrusos e anomalias. Aqui estarei mostrando um pouco dos meus conhecimentos sobre IDS, NIDS e HIDS. Também faremos uma instalação do Snort com BASE para colocarmos na prática o conhecimento adquirido. Testado em Debian.

[ Hits: 84.385 ]

Por: Everton Godoi em 09/05/2007 | Blog: http://twitter.com/evertongodoi

1 0
Denuncie   Favoritos   Indicar   Impressora

Software de IDS Snort



O Snort é um sistema de detecção de intruso que é capaz de executar registros dos pacotes e a análise do tráfego de uma rede em tempo real, ele consegue executar análise do protocolo, ele faz combinações que pode detectar uma variedade de ataques e probabilidades, como port scan, ataques CGI, ataques pelo Samba (smb) e vários outros.

O sistema também pode ser utilizado para finalidades de uma análise de tentativa de ataque no momento em que elas estão ocorrendo, ele pode ser trabalhado com outro software para ter uma interface visual de simples visualização, um exemplo é trabalho o Snort com o (BASE) Basic Analysis and Security Engine. O Snort suporta ainda um scaneamento da rede com um antivírus como o Amavis e ele trabalha na camada de rede 3 e 4, e com isto é possível ele ter uma observação histórica dos possíveis ataques a rede.

Abaixo imagem de um IDS em funcionamento, basicamente ele tem três placas de rede que serão o scanner das redes externa e interna (setas vermelhas), ele é ligado em um HUB que filtra todas as entradas e saídas da rede para verificar a existência de algum protocolo ou requisição maliciosas.


Funcionamento do Snort
Página anterior     Próxima página

Páginas do artigo
   1. Detecção de intrusos e anomalias
   2. Software de IDS Snort
   3. Instalação do Snort
   4. Instalação do BASE
Outros artigos deste autor

Montando RAID manual no Linux

SQUID e as autenticações em NTLM e RADIUS

Ligando e abrindo somente uma aplicação no Linux

Instalação do Apache, MySQL e PHP

Proxy transparente com Squid 2.6 e FWBuilder

Leitura recomendada

Esqueça tudo e venha para o Linux!

CentOS 5.8 - MySQL Cluster 7.1 + HAProxy

Crie Seu Próprio Gerenciador de Pacotes do Zero - Parte 1

GNU/Linux, querido software livre

Chakra Linux - Apresentação, instalação e configuração

  
Comentários
[1] Comentário enviado por y2h4ck em 09/05/2007 - 10:36h

Achei uma falha de segurança no seu artigo :)

Database Name: snort
Database Host: localhost
Database Port: deixe em branco!
Database User Name: root
Database Password: senhaMysql

Criem um usuário 'snort' por exemplo para ter acesso somente à database que o snort vai utilizar, assim evita-se problemas de segurança com o MySQL é a interface do Snort :)


Abraços.

[2] Comentário enviado por evertongodoi em 09/05/2007 - 10:46h

Opa certeza, realmente o correto é ser feito com o user snort ou qual o usaurio estiver afim de fazer, eu coloquei o user root mesmo pois considerei que o snort iria trabalhar em um server sozinho na rede mas o correto realmente é utilizar um usuario diferente, mas para fazer isso é bem simples para o pessoal aqui da comunidade que nao sabe abaixo segue uma forma de ser feito:

1. Criar as base de dados no MySQL
# mysql -u root -p
mysql> create database snort;

2. Vamos criar um usuário/senha para o snort no banco:
mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort;
mysql> SET PASSWORD FOR snort@localhost=PASSWORD('senhaSnortMysql');
mysql> exit

[3] Comentário enviado por osky_cg.w em 09/05/2007 - 19:55h

Obrigado evertongodoi pelo ótimo artigo e também obrigado a y2h4ck por acrescentar.. é isso []s

[4] Comentário enviado por dailson em 15/05/2007 - 16:30h

Parabéns Pelo Artigo e Parabéns ao y2h4ck

[5] Comentário enviado por aroldobossoni em 08/07/2009 - 16:37h

Minha duvida é sobre o desempenho.

Tenho um K6 II 500 com 512 de RAM que atualmente só roda o um firewall iptables e gostaria de adicionar o snort nela também. Porem estou com receio da maquina ñ aguentar o iptables, snort, mysql e o BASE na mesma maquina

Até pensei de rodar o MySQL em um outro servidor esse outro servidor é um WIN 2003.

O que vc me aconselha nessa situação?

[6] Comentário enviado por alexsandroe em 06/06/2012 - 00:43h

Minha dúvida é a seguinte, realizei todos os passos com sucesso, porém,quando tento forçar uma conexão com ssh por exemplo,o serviço não realiza nenhum tipo de alerta, caso possa me ajudar a encontrar aonde estou falhando, agradeço.

Parabéns pelo Tópico, excelente.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Compartilhando a tela do Computador no Celular via Deskreen

Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

O mínimo que você precisa saber sobre o terminal (parte 2)

O mínimo que você precisa saber sobre o terminal (parte 1)

Dicas

Como renomear arquivos de letras maiúsculas para minúsculas

Imprimindo no formato livreto no Linux

Vim - incrementando números em substituição

Efeito "livro" em arquivos PDF

Como resolver o erro no CUPS: Unable to get list of printer drivers

Tópicos

Não to conseguindo resolver este problemas ao instalar o playonelinux (1)

Excluir banco de dados no xampp (1)

phpmyadmin não abre no xampp (2)

Ubuntu não sai som (0)

KeepOS Não consigo usar o comando sudo. (4)

Top 10 do mês

Scripts

[Python] Automação de scan de vulnerabilidades

[Python] Script para analise de superficie de ataque

[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

[Shell Script] Script para adicionar bordas às imagens de uma pasta

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: