Snort - Gerenciamento de redes

Artigo sobre gerenciamento de redes e suas utilidades a partir do uso do Snort, excelente aplicativo open source (parte conceitual bem caprichada).

[ Hits: 50.926 ]

Por: woshington rodrigues em 10/12/2009


Alguns comandos do Snort



Sniffer Mode



Mostra somente os cabeçalhos dos pacote TCP/IP na tela:

# snort -v

Mostra somente os cabeçalhos do IP, TCP, UDP e ICMP:

# snort -vd

Mostra todos os cabeçalhos e os dados contidos neles também:

# snort -vde

Packet Logger Mode

O Snort gera um arquivo chamado log.txt de todos os pacotes vistos por ele. Considerando que o diretório "dirdolog" já existe, caso contrário deve-se criá-lo.

# snort-dev-l/dirdolog/log.txt

Faz com que o Snort capture cabeçalhos TCP/IP, data link e dados relacionados ao host 192.168.1.0 (Classe C) e armazene o resultado no subdiretório log:

Obs.: os dados recolhidos serão armazenados em arquivos correspondentes/nomeados com cada endereço IP capturado.

# snort -dev -l ./log -h 192.168.1.0/24

Snort executado com a opção (-b) faz a captura total dos pacotes ao invés de capturar somente cabeçalhos ou somente dados.

# snort -l ./log -b

Uma vez criado o arquivo com a opção (-b), pode-se usar qualquer sniffer que suporta formato binário tcpdump, tais como snort, tcpdump ou ethereal para manipular os dados recolhidos:

# snort -dv -r packet.log

De posse do arquivo binário gerado pela opção (-b), pode-se então criar novas filtragens do tipo BPF interface. No nosso exemplo estamos fazendo somente a filtragem dos pacotes de ICMP contido no arquivo binário.

# snort -dvr packet.log icmp

Network Intrusion Detection Mode - (NIDS)

O arquivo de configuração do Snort chama-se snort.conf. Este arquivo contém as regras e ações a serem tomadas para cada pacote recolhido e confrontado com ele. O resultado do NIDS será gerado no diretório /var/log/snort ou outro diretório previamente estipulado.

# snort -b -A fast -c snort.conf
# snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf

O arquivo snort.conf deve estar presente no diretório corrente ou deve ser digitado o diretório onde ele se encontra.

A opção -v acima faz com que o Snort mostre os resultados também no monitor. Isso causa com que o Snort fique um pouco lento, podendo até perder alguns pacotes por causa disso.

A opção -e serve para capturar cabeçalhos do data link layer.

Envia alertas para o syslog, opção (-s):

# snort -c snort.conf -l ./log -s -h 192.168.1.0/24

Cria arquivo log no diretório default e envia alertas.

# snort -c snort.conf -s -h 192.168.1.0/24

Gera arquivo de log no formato binário e envia alerta para o Windows Workstation:

# snort -c snort.conf -b -M WORKSTATIONS

Cria arquivo binário, usa alerta rápido e cria arquivo log no /var/log/snort:

# snort -c snort.conf -b -A fast -l /var/log/snort

Gera arquivo de log no formato binário e usa alerta rápido:

# snort -b -A fast -c snort.conf

Gera arquivos no formato ASCII a partir de um arquivo no formato binário:

# snort -d -c snort.conf -l ./log -h 192.168.1.0/24 -r snort.log

A opção (-O) simplesmente oculta seu endereço IP. Essa opção se torna muito útil nos casos em que queremos enviar arquivos de logs para newsgroup ou qualquer outro lugar publico.

# snort -d -v -r snort.log -O -h 192.168.1.0/24

Há de se destacar a utilidade dos sistemas detectores de intrusão e a rápida ascensão destas ferramentas no âmbito da informática. Muito se fala atualmente em segurança, em vírus, malwares e trojans. A sociedade aos poucos está mudando, as empresas passam a se preocupar mais com a proteção a seus dados e a prova maior disso é o alto número de ferramentas destinadas a segurança que surgiram no mercado. O Snort é apenas mais uma que se soma a essas.

Brevemente espero trazer outras dicas da operacionalização do Snort já com o apoio de uma ferramenta gráfica.

Página anterior    

Páginas do artigo
   1. Gerenciamento de redes
   2. IDS e IPS, gerenciamento e segurança de redes
   3. Snort - gerenciamento de redes
   4. Alguns comandos do Snort
Outros artigos deste autor

Ato 3 - Estrutura de Controle e Funções

PHP e suas variáveis (básico)

Ato 2 - comandos de saída, constantes e operadores em PHP (básico)

Nessus Portscanner

Leitura recomendada

Rodando o Windows 3.1 no Linux

Rodando um servidor de IRC (ircd)

Windows CE/PocketPC com Linux, sim!

Instalando e utilizando o Google Earth

DSpace no Ubuntu 12.04 - Instalação via Banco de Dados Oracle 11g

  
Comentários
[1] Comentário enviado por grandmaster em 10/12/2009 - 09:22h

Sempre bom novos artigos sobre o snort. Muito util no gerenciamento.

---
Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br

[2] Comentário enviado por removido em 10/12/2009 - 17:34h

muito bom

[3] Comentário enviado por kabalido em 10/12/2009 - 19:25h

Belo e muito útil artigo. Eu particularmente gosto de artigos que falam sobre ferramentas de gerenciamento de rede e sniffers.
Parabéns! Muito bom mesmo.

[4] Comentário enviado por d3lf0 em 11/12/2009 - 09:34h

Gostei cara bem legal seu artigo, é uma ótima ferramenta =]

[5] Comentário enviado por wos- em 14/12/2009 - 11:44h

agradeço aos comentários, e como já dito anteriormente,
espero em breve trazer maiores dicas acerca da operacionalização em ambiente gráfico do Snort,
e algo mais prático e menos conceitual

[6] Comentário enviado por fernandorosa em 15/12/2009 - 23:37h

muito bom e proveitosa este artigo, valeu!

[7] Comentário enviado por fernandorosa em 15/12/2009 - 23:38h

digo: proveitoso

[8] Comentário enviado por sydbio em 17/12/2009 - 10:38h

Com certeza vai ajudar muita gente, continue assim! fiquei sabendo que ja tem outro por vir, não demore!!!

[9] Comentário enviado por dailson em 18/12/2009 - 10:47h

Parabéns pelo artigo.
De grande valia.

[10] Comentário enviado por atacama2020 em 29/12/2009 - 13:54h

Show pra caramba! Parabéns.


Contribuir com comentário