Depois de configurar qualquer servidor entre os primeiros passos habituais ligados à segurança estão o firewall, atualizações e upgrades, chaves ssh, dispositivos de hardware. Mas a maioria dos sysadmins não escaneia seus próprios servidores para descobrir pontos fracos como explicado com OpenVas ou Nessus, nem configura honeypots ou um Sistema de Detecção de Intrusão (IDS) que é explicado abaixo.
Existem vários IDS no mercado e os melhores são gratuitos, o Snort é o mais popular, só conheço Snort e OSSEC e prefiro OSSEC ao Snort porque ele come menos recursos mas acho que o Snort ainda é o universal. Opções adicionais são: Suricata , Bro IDS, Security Onion.
A pesquisa mais oficial sobre a eficácia do IDS é bastante antiga, de 1998, o mesmo ano em que o Snort foi inicialmente desenvolvido, e foi realizada pela DARPA, concluiu que tais sistemas eram inúteis antes dos ataques modernos. Após 2 décadas, o TI evoluiu em progressão geométrica, a segurança também e tudo está quase atualizado, a adoção do IDS é útil para cada administrador de sistema.
- Snort IDS
- Installing Snort
- A começar com o modo sniffer do Snort
- Começando com o modo Packet Logger do Snort
- Com o seguinte comando Snort lê as regras especificadas no arquivo /etc/snort/snort.conf para filtrar o tráfego corretamente, evitando ler todo o tráfego e focando em incidentes específicosreferido no snort.conf através de regras customizáveis.
Snort IDS
Snort IDS funciona em 3 modos diferentes, como sniffer, como registrador de pacotes e sistema de detecção de intrusão de rede. O último é o mais versátil para o qual este artigo está focado.
Installing Snort
Então corremos:
No meu caso o software já está instalado, mas não foi por defeito, foi assim que foi instalado no Kali (Debian).
A começar com o modo sniffer do Snort
O modo sniffer lê o tráfego da rede e mostra a tradução para um visualizador humano.
Para testá-lo digite:
Esta opção não deve ser usada normalmente, exibir o tráfego requer demasiados recursos, e é aplicada apenas para mostrar a saída do comando.
No terminal podemos ver os cabeçalhos de tráfego detectados pelo Snort entre o pc, o roteador e a Internet. Snort também reporta a falta de políticas para reagir ao tráfego detectado.
Se quisermos que o Snort mostre os dados também digite:
Para mostrar os cabeçalhos da camada 2 executados:
Apenas como o parâmetro “v”, “e” representa um desperdício de recursos também, o seu uso deve ser evitado para a produção.
Começando com o modo Packet Logger do Snort
Para salvar os relatórios do Snort precisamos especificar para o Snort um diretório de log, se queremos que o Snort mostre apenas cabeçalhos e registre o tráfego no tipo de disco:
# snort -d -l snortlogs
O log será salvo dentro do diretório snortlogs.
Se você quiser ler os arquivos de log digite:
Com o seguinte comando Snort lê as regras especificadas no arquivo /etc/snort/snort.conf para filtrar o tráfego corretamente, evitando ler todo o tráfego e focando em incidentes específicos
referido no snort.conf através de regras customizáveis.
O parâmetro “-A console” instrui o snort a alertar no terminal.
>
Obrigado por ler este texto introdutório ao uso do Snort.