Sistema de detecção de intrusão ou IDS, nada mais é do que uma ferramenta capaz de identificar tentativas de invasão em tempo real. Um IDS analisa os pacotes que trafegam na rede comparando com assinaturas de ataques.
Os IDS são classificados em dois tipos:
§ NIDS (Baseados em Rede) examinam o tráfego de rede, mais detalhes podem ser vistos em:http://www.snort.com.br/comofuncionaids.asp#nids
§ HIDS (Baseados em Host) examinam o sistema, mais detalhes podem ser vistos em:http://www.snort.com.br/comofuncionaids.asp#hids
O SNORT
O SNORT é uma ferramenta NIDS desenvolvido por Martin Roesch “open-source” bastante popular por sua flexibilidade nas configurações de regras e constante atualização frente às novas ferramentas de invasão . Outro ponto forte desta ferramenta é o fato de ter o maior cadastro de assinaturas, ser leve, pequeno, fazer escaneamento do micro e verificar anomalias dentro de toda a rede ao qual seu computador pertence.
O código fonte é otimizado, desenvolvido em módulos utilizando linguagem de programação C e, junto, com a documentação, são de domínio público
Fonte : http://www.snort.com.br/snort.asp
A seguir mostraremos o SNORT em ação no Back|Track R3.
1º Passo:
Faremos uma pequena modificação no arquivo snort.conf contido em /etc/snort/snort.conf
nas seguintes linhas
var HOME_NET, colocaremos o IP a ser monitorado neste caso utilizarei o IP 192.168.1.102
var EXTERNAL_NET , manteremos any, ou seja, qualquer IP que tentar uma ação contra nosso alvo monitorado.
2º Passo:
Agora que já alteramos o arquivo snort.conf vamos iniciar
o serviço snort conforme mostrado na figura a seguir:
A ajuda do snort pode ser acessada através do comando snort –help
3º Passo:
Colocando o snort em alerta através do comando snort –q –A console –i eth1 –c /etc/snort/snort.conf , aqui estou utilizando a interface eth1, mude conforme o caso.
4º Passo:
Vamos utilizar a ferramenta LOIC em uma máquina Windows e através dessa máquina faremos um ataque de negação de serviço conforme mostrado na figura a seguir:
Repare a figura a seguir onde o SNORT detecta o ataque:
5º Passo:
Vamos agora realizar um portscan com o NMAP e ver como o SNORT se comporta
E mais uma vez o SNORT detecta o ataque:
0 comentários:
Postar um comentário
ORA VIVA, OLHA TEU COMENTARIO VALE MAIS DO QUE OURO PARA MIM, PRECISO DELE PARA MELHORAR A DISPONIBILIDADE DO BLOG.