Snort "O sniffer"
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Snort "O sniffer"

  • 5,268 views
Uploaded on

Snort, um poderoso sniffer, que integrado com outros softwares, é uma poderosa ferramenta na área de segurança de redes.

Snort, um poderoso sniffer, que integrado com outros softwares, é uma poderosa ferramenta na área de segurança de redes.

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
5,268
On Slideshare
5,252
From Embeds
16
Number of Embeds
2

Actions

Shares
Downloads
118
Comments
0
Likes
0

Embeds 16

http://www.slideshare.net 15
http://www.apurva.com 1

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Snort, “O sniffer”
    • O que é o Snort?
    • O que são rules?
    • Integrações possíveis com o snort
      • Guardian
      • MySQL
      • PHP + BASE
      • SnortSam
    • Esquemas de rede com Snort
    • Autor: Leonardo “Stroyker” Damasceno
  • 2. O Snort
    • O que é?
      • O snort é um IDS (Intrusion Detection System), é um farejador(Sniffer), que analisa o tráfego da rede, tomando ou não ação junto com outros softwares. Ele faz a analise de pacotes, mostrando em seu log, qual o tipo de “ataque”, ou “requisição” foi feito. A analise é feita, e o tipo do ataque é definido pelas rules(regras).
  • 3. Rules
    • O que é?
      • Rules, do inglês, significa “regras”. O snort possui suas regras, que normalmente, são localizadas dentro do próprio diretório do snort( /etc/snort/rules ). Existem várias regras, para icmp, p2p, ataque dos, ataque ddos... Dentro do diretório rules, estão as regras, normalmente definidas como “nome.rules”. Ex.: icmp.rules, p2p.rules, dos.rules, ddos.rules. Você pode editar as regras, de acordo com as suas necessidades. As rules, não vem junto com o snort. Você precisa fazer o download das rules no site do snort( www.snort.org ), descompactar e colocar dentro do diretório do snort.
  • 4. Integrações possíveis com o snort
    • GUARDIAN
    • MySQL
    • PHP + BASE
    • SNORTSAM
  • 5. Guardian
    • O que é?
    • Guardian, é um software que trabalha junto com o snort. Sua função é atualizar o firewall( trabalha bem com firewall iptables ), implementando regras de acordo com os alertas que foram gerados no log. Você pode definir em seu arquivo de configuração( guardian.conf ) o tempo que o ip ficará bloqueado, e ainda, definir outras configurações. Para iniciar o guardian use:
    • guardian.pl -c /etc/guardian.conf
  • 6. MySQL
    • O que é?
      • MySQL é um banco de dados que já tem um grande respeito por parte dos usuários. Por sem um banco altamente confiável. Ele é integrado com o snort, para armazenar os alertas gerados.
    • Por que usar MySQL+Snort?
      • Torna-se bem mais confiável, armazenar os alertas em uma base de dados.
  • 7. PHP + BASE
    • BASE
      • BASE( Basic Analysis and Security Engine ), é um software feito na linguagem de programação PHP, que exibe os alertas gerados pelo snort, gerando ainda gráficos, e uma porcentagem dos alertas dos protocolos: TCP, UDP, ICMP, e também alertas de PortScan.
    • Podemos gerar gráficos com as seguintes opções:
      • Gráfico de Alertas
      • Gráfico de Alertas por Tempo
  • 8. SnortSam
    • O que é?
      • O SnortSam é um software que permite que o Snort se comunique com o firewall para impedir connecções hostis. Tem uma solução Cliente/Servidor. Ex.: Servidor com firewall ficaria com SnortSam Servidor, e o servidor Snort ficaria com SnortSam Cliente, assim, havendo a comunicação entre os dois, para possíveis bloqueios para segurança da rede.
  • 9. Esquema de rede com Snort
    • Snort + SnortSam:
  • 10. Esquema de rede com Snort
    • Snort + Guardian:
  • 11. Esquema de rede com Snort
    • PHP + BASE: