Conhecendo o Snort

O que é Snort ?

O Snort é uma sistema de prevenção a intrusões na rede (Intrusion Prevention System - IPS), open source, mantido e desenvolvido pela Cisco há mais de 5 anos. A ferramenta se destaca por sua capacidade de analisar tráfegos em tempo real e registar pacotes de protocolo TCP.

Por meio dessa versatilidade, o Snort consegue desempenhar o papel de três tipos de aplicações cruciais para monitorar um servidor. Assim, pode ser utilizado como Sniffer de pacotes (de modo similiar ao TCPDump e Wireshark), registrador de pacotes e um sistem avançado de prevenção à intrusão.

O que é um IDS ?

IDS é a sigla para Intrusion Detection System (Sistema de Detecção de Intrusão).O IDS faz o monitoramento, mapeamento, identificação e notificação de atividades suspeitas. Na analogia, o IDS executa as funções semelhantes a um sistema de vigilância, mas abstrato, devido ambos monitoram, contam com sensores e alertas e são controlados por uma equipe de pessoas que tomam as decisões cabíveis a cada evento.

Tipos de soluções IDS

Existem diversas soluções de IDS baseadas em host (Host Instrusion Detection System (HIDS) ou em redes. A primeira consiste no monitoramente e análise de informações extraídas de um host, atuando como um verificador de registros de logs, útil para atividades forenses (forensics).

Por outro lado, quando baseada em rede (Network Instrusion Detection System (NIDS), o foco é o tráfego e a transferência de pacotes. É nesse modo de funcionamento que o Snort se enquadra.

Convém ressaltar, que a implantação simultânea de ambos os modelos de IDS é possível. A fusão do HIDS com NIDS resulta o que chamamos Hybrid Instrusion Detection System, ou seja, um sistema híbrido de detecção de intrusão. Isso é aplicado na segurança de nuvens privadas.

IDS em modo passivo ou reativo

A maneira como a ferramenta age mediante suspeita ou instrusão é um detalhe definido em função do modo de utilização, o qual pode ser passivo ou reativo.

O modo passivo funciona da seguinte maneira: Ao identificar uma atividade maliciosa, o sistema emite notificações ao administrador que, então, exerce a tomada de decisão. Por padrão, o Snort utiliza do modo passivo.

O modo reativo se encarrega de detectar a instrusão, alertar o administrador e executar uma ação. Como as medidas tomadas pelo IDS são previamente configuradas, o modo reativo, que dispõe de ótimos recursos de prevenção, costuma ser o mais indicado.

Métodos de detecção

Por último e não menos importante, temos os parâmetros de detecção de ameaças. Quais são? São os padrões baseados em: anomalias, assinatura e comportamento.

A detecção por anomalias é um modo comum em aplicações IDS. Ela consiste em levantar o que há de habitual na rotina dos usuários da rede, resultando na montagem de um perfil comum. Surgindo eventos discrepantes, o sistema identifica a anomalia como potencial intrusão.

O método baseado em assinturas, por sua vez, toma como alvo atividades que se enquadram ao que o sistema, previamente configurado pelo SysAdmin, classifica como maliciosas. Logicamente, a sua efetividade requer conhecimento amplo das ameaças virtuais existentes.

A detecção baseada em comportamento identifica os ataques em razão do comportamento do usuário. Uma vantagem do méotodo é a sua flexibilidade estratégica, a qual permitie ao administrador definir uma série de pontos que indiquem uma potencial invasão à rede.

Principais funções do Snort

Qual é o método de detecção utilizado no Snort?

As ameaças são detectadas pelo Snort por meio de assinaturas e está é uma das funcionalidades chave da ferramenta. Ainda que possa ter os seus pontos fracos, como as demais, ela funciona muito bem no Snort de modo similar a um antivírus.

As assinaturas são criadas pela equipe da Cisco e, posteriormente, transmitidas aos ausuários por meio de atualizações. Sendo assim, há uma equipe super qualificada, formada por hackers éticos e especialistas em Segurança da Informação, trabalhando na identificação e no provisionamento de novas ameaças.

O uso de pré-processadores é também, uma caracterísiticas importante do Snort. Eles asseguram, por exemplo, a remontagem de pacotes fragmentados, a análise de desempenho e performance, a detecção de dados sigilosos, a normalização de tráfego em várias instâncias, entre outras tarefas cruciais.

Instalação do Snort

Após conhecer sobre as características do IDS e funcionalidades do Snort, chegou a hora de fazer a instalação do Snort e configurá-lo no seu servidor ou computador pessoal.

Testado nas distribuições Debian 10 e Ubuntu 18.04/20.04 LTS

$ sudo apt update

$ sudo apt install snort

No setup da instalação é perguntado a interface de rede e a rede, então informe conforme o seu cenário.

Antes a interface de rede era eth0, passou para enp2s0, mas isso pode variar, e no caso da rede deve informar juntamente com a máscara.

Teste da instalação e configuração do Snort

$ sudo snort -T -c /etc/snort/snort.conf -i enp2s0

A flag -T significa teste, enquanto a -c mostra ao Snort que o diretório leva ao snort.conf e o -i, indica a interface especificada.

Referências

[1] Manual Snort

[2] Snort Monitor de Redes

Feito!

Conhecendo o Wireshark

O que é Wireshark ?

O Wireshark é uma ferramenta  que analisa o tráfego de rede, e o organiza por protocolos. As funcionalidades do Wireshark são semelhantes com o tcpdump, mas possui uma interface gráfica, com mais informação e possibilidade da utilização de filtros.

Através dessa ferramenta é possível controlar o tráfego de uma rede e monitorar a entrada e saída de dados do computador, em diferentes protocolos, ou da rede à qual o computador está ligado.

Também é possível controlar o tráfego de um determinado dispositivo de rede em uma máquina que pode ter um ou mais desses dispositivos. Se você estiver a rede local, com micros ligados através de um hub ou switch, outro usuário pode usar o Wireshark para capturar todas as suas transmissões.

Instalação do Wireshark no Debian e Ubuntu

Ubuntu 18.04/20.04/Debian 10

Atualiza a lista de repositório

# apt update

Instala o Wireshark

# apt -y install wireshark

Na instalação será perguntado se deseja capturar pacotes com usuário não root, selecione "YES" para poder ter permissão com o usuário regular ao capturar pacotes no Wireshark.

Cria o grupo Wireshark

$ sudo groupadd wireshark

Adicionar o usuário regular no grupo wireshark

$ sudo usermod -a -G wireshark $USER

Alterar o grupo wireshark no diretório e setar permissão adequada

$ sudo chgrp wireshark /usr/bin/dumpcap
$ sudo chmod o-rx /usr/bin/dumpcap
$ sudo setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/bin/dumpcap
$ sudo chmod +x /usr/bin/dumpcap

Verificar

$ sudo getcap /usr/bin/dumpcap

Saída do comando anterior

/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip

Feito!

Conhecendo o TCPDump

O que é TCPDump?

O tcpdump é uma ferramenta utilizada para monitorar os pacotes trafegados numa rede de computadores. Ela mostra os cabeçalhos dos pacotes que passam pela interface de rede.

Alguns exemplos de uso do tcpdump

PS: Adapte a interface de rede e o IP para o seu cenário.

Mostrar quais as ligações de um determinado endereço TCP/IP à porta 80 do seu servidor

# tcpdump -ni esp2s0 src IP and dst port 80

Mostrar as interfaces disponiveis

# tcpdump -D

Mostrar todo o tráfego sem resolver nomes

# tcpdump -n

Mostrar todo o tráfego UDP no adaptador esp2s0

# tcpdump -nAi esp2s0 udp

Mostrar todo o tráfego no host 192.168.2.3 e UDP sem resolver nomes

# tcpdump -n host 192.168.2.3 and udp

Mostrar todo o tráfego no host 192.168.2.3 que seja UDP e destino ou origem a porta 53

# tcpdump -n host 192.168.2.3 and udp and port 53

Mostrar todo o tráfego no host 192.168.2.3 que seja UDP qualquer porta menos a 53 mostra o cabeçalho da camada 2 (enlace)

# tcpdump -ne host 192.168.2.3 and udp and port ! 53

Mostrar todo o tráfego com origem ou destino na porta 80 ou apenas da porta 110

# tcpdump -n tcp and '(port 80or src port110)'

Mostrar os pacotes ICMP referente a qualquer host da rede 192.168.2.0/21 sem resolver nomes

# tcpdump -n icmp and net 192.168.2.0/21

Mostrar todo o tráfego referente ao MAC especificado em resolver nomes

# tcpdump -n ether host 00:ff:31:22:2d:11

Referências

Manual TCPDump

Feito!

Conhecendo o Nmap

O que é Nmap?

O Nmap é uma ferramenta de linha de comando que permite fazer um scan completo em uma rede, para se obter as informações de quais hosts estão ativos. Além disso, ele também permite fazer scan de porta, a fim de descobrir quais portas estão abertas, assim como fornece a informação de quais sistemas estão em execução em um determinado momento.

Alguns comandos do Nmap em rede externa

Detectando falhas em servidores utilizando o método de saída do tipo verbose -v

# nmap -sS -v -Pn -A --open --script=vulneravel IP

Descobre a vulnerabilidade do servidor com aquele endereço de IP especificamente.

Analisando vulnerabilidades em mais endereços de IP de uma rede.
# nmap -sS -v -Pn -A --open --script=vuln + IP/Mask

Descobrindo portas abertas, versões de serviços e sistema operacional que está rodando no alvo.

# nmap -v –sV -Pn -O —open IP

O argumento "-O" pode ser substituído pelo argumento "-A".

Realizando pesquisas sobre alvos

# nmap –script=asn-query,whois-ip,ip-geolocation-maxmind IP

Burlando Firewall

Existem 3 maneiras diferentes de burlar um Firewall em uma rede externa.

# nmap -f -sV -A IP

Neste comando ocorre a fragmentação de pacotes que serão enviados para se conectar ao alvo.

# nmap -sS -sV -A IP

Faz varreduras do tipo SYN na rede alvo.

# nmap -Pn -sV -A IP

Não enviar pacotes ICMP para o alvo, ou seja, não pingar na rede.

Enviando um recado para o administrador que está do outro lado da rede.

# nmap –sS www.dominio.com —verbose –data-string "Você está sendo ownado, admin!"

Buscando falhas de DDoS

# nmarp -sU -A -PN -n -pU:19,53,123,161 –script=ntp-monlist,dns-recursion,snmrp-sysdescr IP

Fazendo brute-force no banco de dados alvo

# nmap --script=mysql-brute IP

scan de uma rede

# nmap -sn IP/Mask

Considerações finais

Use com moderação os comandos informados. É de sua responsabilidade o mau uso dos comandos, esteja ciente disso.

Feito!

Conhecendo o Angry IP Scanner

O que é Angry IP Scanner?

Angry IP Scanner é uma ferramenta que te permite obter o endereço de IP dos dispositivos conectados na mesma rede. O programa verifica o intervalo de endereços que você especifica e mostra o endereço de IP desses computadores a partir do qual obtém uma resposta.

Essa ferramenta é capaz de detectar portas que um computador têm abertas. Quando um sistema é encontrado, seu endereço é mostrado na tela. O usuário pode realizar diferentes ações com ele, desde que sejam permitidas: ver os arquivos compartilhados, acessar seu servidor Web ou FTP, executar ping ou iniciar o Telnet.

Além disso, você pode ver alguns detalhes dos computadores detectados com esta ferramente, como: Hostname, grupo ao qual pertence, endereço MAC e etc.

Instalação

A ferramenta Angry IP Scanner tem para Windows, Linux e macOS. No presente howto será explicado a instalação no Linux (Debian e Ubuntu).

$ wget https://github.com/angryip/ipscan/releases/download/3.7.6/ipscan_3.7.6_amd64.deb -O ipscan.deb

$ sudo dpkg -i ipscan.deb

Após completar a instalação da ferramenta Angry IP Scanner, abre-a e faça o range de IP de sua rede e clique em "Start" para fazer o Scan da rede.

Feito!