publicidade
publicidade
publicidade
publicidade
publicidade
publicidade
publicidade

Detecção de Intrusos com SNORT - Back|Track 5R3

Sistema de detecção de intrusão ou IDS, nada mais é do que uma ferramenta capaz de identificar tentativas de invasão em tempo real. Um IDS analisa os pacotes que trafegam na rede comparando com assinaturas de ataques.

Os IDS são classificados em dois tipos:

§ NIDS (Baseados em Rede) examinam o tráfego de rede, mais detalhes podem ser vistos em:http://www.snort.com.br/comofuncionaids.asp#nids

§ HIDS (Baseados em Host) examinam o sistema, mais detalhes podem ser vistos em:http://www.snort.com.br/comofuncionaids.asp#hids

O SNORT

O SNORT é uma ferramenta NIDS desenvolvido por Martin Roesch “open-source” bastante popular por sua flexibilidade nas configurações de regras e constante atualização frente às novas ferramentas de invasão . Outro ponto forte desta ferramenta é o fato de ter o maior cadastro de assinaturas, ser leve, pequeno, fazer escaneamento do micro e verificar anomalias dentro de toda a rede ao qual seu computador pertence.

O código fonte é otimizado, desenvolvido em módulos utilizando linguagem de programação C e, junto, com a documentação, são de domínio público

Fonte : http://www.snort.com.br/snort.asp

A seguir mostraremos o SNORT em ação no Back|Track R3.

1º Passo:

Faremos uma pequena modificação no arquivo snort.conf  contido em /etc/snort/snort.conf

nas seguintes linhas

var HOME_NET, colocaremos o IP a ser monitorado neste caso utilizarei o IP 192.168.1.102

var EXTERNAL_NET , manteremos any, ou seja, qualquer IP que tentar uma ação contra nosso alvo monitorado.

2º Passo:

Agora que já alteramos o arquivo snort.conf vamos iniciar

o serviço snort conforme mostrado na figura a seguir:

A ajuda do snort pode ser acessada através do comando snort –help

3º Passo:

Colocando o snort em alerta através do comando snort –q –A console –i eth1 –c /etc/snort/snort.conf , aqui estou utilizando a interface eth1, mude conforme o caso.

4º Passo:

Vamos utilizar a ferramenta LOIC em uma máquina Windows e através dessa máquina faremos um ataque de negação de serviço conforme mostrado na figura a seguir:

Repare a figura a seguir onde o SNORT detecta o ataque:

5º Passo:

Vamos agora realizar um portscan com o NMAP e ver como o SNORT se comporta

E mais uma vez o SNORT detecta o ataque:

Deixe seu Comentário:
Sem comentários »
Categorias:

0 comentários:

Postar um comentário

ORA VIVA, OLHA TEU COMENTARIO VALE MAIS DO QUE OURO PARA MIM, PRECISO DELE PARA MELHORAR A DISPONIBILIDADE DO BLOG.