Snort "O sniffer"

5,010 views

Published on

Snort, um poderoso sniffer, que integrado com outros softwares, é uma poderosa ferramenta na área de segurança de redes.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
5,010
On SlideShare
0
From Embeds
0
Number of Embeds
18
Actions
Shares
0
Downloads
184
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Snort "O sniffer"

  1. 1. Snort, “O sniffer” <ul><li>O que é o Snort? </li></ul><ul><li>O que são rules? </li></ul><ul><li>Integrações possíveis com o snort </li></ul><ul><ul><li>Guardian </li></ul></ul><ul><ul><li>MySQL </li></ul></ul><ul><ul><li>PHP + BASE </li></ul></ul><ul><ul><li>SnortSam </li></ul></ul><ul><li>Esquemas de rede com Snort </li></ul><ul><li>Autor: Leonardo “Stroyker” Damasceno </li></ul>
  2. 2. O Snort <ul><li>O que é? </li></ul><ul><ul><li>O snort é um IDS (Intrusion Detection System), é um farejador(Sniffer), que analisa o tráfego da rede, tomando ou não ação junto com outros softwares. Ele faz a analise de pacotes, mostrando em seu log, qual o tipo de “ataque”, ou “requisição” foi feito. A analise é feita, e o tipo do ataque é definido pelas rules(regras). </li></ul></ul>
  3. 3. Rules <ul><li>O que é? </li></ul><ul><ul><li>Rules, do inglês, significa “regras”. O snort possui suas regras, que normalmente, são localizadas dentro do próprio diretório do snort( /etc/snort/rules ). Existem várias regras, para icmp, p2p, ataque dos, ataque ddos... Dentro do diretório rules, estão as regras, normalmente definidas como “nome.rules”. Ex.: icmp.rules, p2p.rules, dos.rules, ddos.rules. Você pode editar as regras, de acordo com as suas necessidades. As rules, não vem junto com o snort. Você precisa fazer o download das rules no site do snort( www.snort.org ), descompactar e colocar dentro do diretório do snort. </li></ul></ul>
  4. 4. Integrações possíveis com o snort <ul><li>GUARDIAN </li></ul><ul><li>MySQL </li></ul><ul><li>PHP + BASE </li></ul><ul><li>SNORTSAM </li></ul>
  5. 5. Guardian <ul><li>O que é? </li></ul><ul><li>Guardian, é um software que trabalha junto com o snort. Sua função é atualizar o firewall( trabalha bem com firewall iptables ), implementando regras de acordo com os alertas que foram gerados no log. Você pode definir em seu arquivo de configuração( guardian.conf ) o tempo que o ip ficará bloqueado, e ainda, definir outras configurações. Para iniciar o guardian use: </li></ul><ul><li>guardian.pl -c /etc/guardian.conf </li></ul>
  6. 6. MySQL <ul><li>O que é? </li></ul><ul><ul><li>MySQL é um banco de dados que já tem um grande respeito por parte dos usuários. Por sem um banco altamente confiável. Ele é integrado com o snort, para armazenar os alertas gerados. </li></ul></ul><ul><li>Por que usar MySQL+Snort? </li></ul><ul><ul><li>Torna-se bem mais confiável, armazenar os alertas em uma base de dados. </li></ul></ul>
  7. 7. PHP + BASE <ul><li>BASE </li></ul><ul><ul><li>BASE( Basic Analysis and Security Engine ), é um software feito na linguagem de programação PHP, que exibe os alertas gerados pelo snort, gerando ainda gráficos, e uma porcentagem dos alertas dos protocolos: TCP, UDP, ICMP, e também alertas de PortScan. </li></ul></ul><ul><li>Podemos gerar gráficos com as seguintes opções: </li></ul><ul><ul><li>Gráfico de Alertas </li></ul></ul><ul><ul><li>Gráfico de Alertas por Tempo </li></ul></ul>
  8. 8. SnortSam <ul><li>O que é? </li></ul><ul><ul><li>O SnortSam é um software que permite que o Snort se comunique com o firewall para impedir connecções hostis. Tem uma solução Cliente/Servidor. Ex.: Servidor com firewall ficaria com SnortSam Servidor, e o servidor Snort ficaria com SnortSam Cliente, assim, havendo a comunicação entre os dois, para possíveis bloqueios para segurança da rede. </li></ul></ul>
  9. 9. Esquema de rede com Snort <ul><li>Snort + SnortSam: </li></ul>
  10. 10. Esquema de rede com Snort <ul><li>Snort + Guardian: </li></ul>
  11. 11. Esquema de rede com Snort <ul><li>PHP + BASE: </li></ul>

×