Snort - Gerenciamento de redes

Artigo sobre gerenciamento de redes e suas utilidades a partir do uso do Snort, excelente aplicativo open source (parte conceitual bem caprichada).

[ Hits: 50.336 ]

Por: woshington rodrigues em 10/12/2009


Snort - gerenciamento de redes



Agora que já ficou claro sobre o que é um IDS, falarei sobre um IDS em específico, apresento aqui... o SNORT!

Ferramenta do tipo NIDS, ou seja, é um IDS que opera na rede, é open source, leve possui o maior registro de assinaturas dentre os demais IDS. O código fonte do programa é otimizado, feito em módulos na linguagem de programação C. Sua documentação é de domínio público, sofre atualizações constantemente, opera em redes TCP/IP e se manifesta de 3 formas distintas:
  • Sniffer: simplesmente captura os pacotes e os mostra na tela.
  • Packet Logger: este módulo registra os pacotes capturados no disco rígido.
  • Network Intrusion Detection System: esta ação consegue analisar o tráfego mais as regras definidas pelo usuário e tomar atitudes de acordo com a conveniência e as regras estipuladas.

Cito aqui os pontos fortes do Snort.

Extremamente flexível:
  • Algoritmos de inspeção baseados em regras.
  • Sem falsos positivos inerentes.
  • Controle total do refinamento das regras.

Metodologias de detecção multi-dimensional:
  • Assinaturas (impressões digitais) do ataque.
  • Anomalias no protocolo.
  • Anomalias no comportamento.

Imensa adoção (comunidade SNORT):
  • Dezenas de milhares de instalações (42 mil).
  • Algumas das maiores empresas do mundo (Microsoft, Intel, PWC).
  • Milhares de contribuidores fazendo regras para novas vulnerabilidades.

Infra-estrutura de suporte da comunidade open source:
  • Rápida respostas às ameaças.
  • Velocidade de inovação.
  • Velocidade de refinamento.

Cito agora os pontos fracos.

Performance modesta:
  • Menos de 30mbps para redes de até 10Mbps.

Interface gráfica limitada:
  • Configuração do sensor.
  • Gerenciamento de regras.
  • Implementação lenta e cansativa (pelo menos 10 dias). Capacidade analítica limitada.

Sem suporte comercial:
  • Dependência de pessoas "capacitadas", nem sempre estáveis...
  • Gastos significativos com recursos humanos.

O Snort habilita a placa de rede para o módulo promíscuo, aceitando todas os pacotes e capturando-os, sua arquitetura funciona em 3 etapas que são:
  • decodificador de pacotes, que é organizado em torno da arquitetura de protocolos.
  • arquitetura de detecção, basicamente formada pelo Chain Headers (Cabeçalho de Regra) e Chain Options (Cabeçalho de Opções). O Chain Headers possui os atributos normais a uma regra e o Chain Options contém os padrões de ataques a serem analisados nos pacotes capturados.
  • arquitetura de armazenamento de regras - é examinada pela arquitetura de detecção de forma recursiva, para cada pacote de dados capturado. Quando o cabeçalho da regra for idêntico ao cabeçalho do pacote capturado, os dados contidos no pacote são comparados com o cabeçalho das opções da regra. Se a ocorrência de um ataque for identificada, uma ação específica definida na regra é disparada.

O Snort é compatível com praticamente todos os sistemas operacionais mais conhecidos, segue a lista: Linux, OpenBSD, FreeBSD, NetBSD, Solaris, SunOS, HP-UX, AIX, IRIX, Tru64, MACOS, Win32.

O Snort tem suporte a redes Ethernet, SLIP, PPP (Point to Point Protocol) e está sendo desenvolvido o módulo ATM (Assinchronous Transfer Mode). Foi desenvolvido a partir da biblioteca Libpcap.

O log que o Snort gera é de difícil compreensão e alguns usuários tem dificuldade em entendê-lo, por esse motivo criaram uma ferramenta com interface gráfica via GUI para facilitar para o usuário. Estas ferramentas são baixadas separadamente e algumas delas podem ser encontradas no site do Snort.

Confiram a seguir alguns comandos do Snort.

Página anterior     Próxima página

Páginas do artigo
   1. Gerenciamento de redes
   2. IDS e IPS, gerenciamento e segurança de redes
   3. Snort - gerenciamento de redes
   4. Alguns comandos do Snort
Outros artigos deste autor

Ato 3 - Estrutura de Controle e Funções

PHP e suas variáveis (básico)

Nessus Portscanner

Ato 2 - comandos de saída, constantes e operadores em PHP (básico)

Leitura recomendada

Empacotamento e instalação do MPV Player no Linux

Um olhar sobre o Portage-tools - Parte I

Bioinformática - Análise Filogenética com Clustalx

Elaborando vídeo-aula no Linux com Gtk-recordMydesktop

DD-WRT no D-Link Dir-300 Rev A

  
Comentários
[1] Comentário enviado por grandmaster em 10/12/2009 - 09:22h

Sempre bom novos artigos sobre o snort. Muito util no gerenciamento.

---
Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br

[2] Comentário enviado por removido em 10/12/2009 - 17:34h

muito bom

[3] Comentário enviado por kabalido em 10/12/2009 - 19:25h

Belo e muito útil artigo. Eu particularmente gosto de artigos que falam sobre ferramentas de gerenciamento de rede e sniffers.
Parabéns! Muito bom mesmo.

[4] Comentário enviado por d3lf0 em 11/12/2009 - 09:34h

Gostei cara bem legal seu artigo, é uma ótima ferramenta =]

[5] Comentário enviado por wos- em 14/12/2009 - 11:44h

agradeço aos comentários, e como já dito anteriormente,
espero em breve trazer maiores dicas acerca da operacionalização em ambiente gráfico do Snort,
e algo mais prático e menos conceitual

[6] Comentário enviado por fernandorosa em 15/12/2009 - 23:37h

muito bom e proveitosa este artigo, valeu!

[7] Comentário enviado por fernandorosa em 15/12/2009 - 23:38h

digo: proveitoso

[8] Comentário enviado por sydbio em 17/12/2009 - 10:38h

Com certeza vai ajudar muita gente, continue assim! fiquei sabendo que ja tem outro por vir, não demore!!!

[9] Comentário enviado por dailson em 18/12/2009 - 10:47h

Parabéns pelo artigo.
De grande valia.

[10] Comentário enviado por atacama2020 em 29/12/2009 - 13:54h

Show pra caramba! Parabéns.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts