O que é Snort ?
O Snort é uma sistema de prevenção a intrusões na rede (Intrusion Prevention System - IPS), open source, mantido e desenvolvido pela Cisco há mais de 5 anos. A ferramenta se destaca por sua capacidade de analisar tráfegos em tempo real e registar pacotes de protocolo TCP.
Por meio dessa versatilidade, o Snort consegue desempenhar o papel de três tipos de aplicações cruciais para monitorar um servidor. Assim, pode ser utilizado como Sniffer de pacotes (de modo similiar ao TCPDump e Wireshark), registrador de pacotes e um sistem avançado de prevenção à intrusão.
O que é um IDS ?
IDS é a sigla para Intrusion Detection System (Sistema de Detecção de Intrusão).O IDS faz o monitoramento, mapeamento, identificação e notificação de atividades suspeitas. Na analogia, o IDS executa as funções semelhantes a um sistema de vigilância, mas abstrato, devido ambos monitoram, contam com sensores e alertas e são controlados por uma equipe de pessoas que tomam as decisões cabíveis a cada evento.
Tipos de soluções IDS
Existem diversas soluções de IDS baseadas em host (Host Instrusion Detection System (HIDS) ou em redes. A primeira consiste no monitoramente e análise de informações extraídas de um host, atuando como um verificador de registros de logs, útil para atividades forenses (forensics).
Por outro lado, quando baseada em rede (Network Instrusion Detection System (NIDS), o foco é o tráfego e a transferência de pacotes. É nesse modo de funcionamento que o Snort se enquadra.
Convém ressaltar, que a implantação simultânea de ambos os modelos de IDS é possível. A fusão do HIDS com NIDS resulta o que chamamos Hybrid Instrusion Detection System, ou seja, um sistema híbrido de detecção de intrusão. Isso é aplicado na segurança de nuvens privadas.
IDS em modo passivo ou reativo
A maneira como a ferramenta age mediante suspeita ou instrusão é um detalhe definido em função do modo de utilização, o qual pode ser passivo ou reativo.
O modo passivo funciona da seguinte maneira: Ao identificar uma atividade maliciosa, o sistema emite notificações ao administrador que, então, exerce a tomada de decisão. Por padrão, o Snort utiliza do modo passivo.
O modo reativo se encarrega de detectar a instrusão, alertar o administrador e executar uma ação. Como as medidas tomadas pelo IDS são previamente configuradas, o modo reativo, que dispõe de ótimos recursos de prevenção, costuma ser o mais indicado.
Métodos de detecção
Por último e não menos importante, temos os parâmetros de detecção de ameaças. Quais são? São os padrões baseados em: anomalias, assinatura e comportamento.
A detecção por anomalias é um modo comum em aplicações IDS. Ela consiste em levantar o que há de habitual na rotina dos usuários da rede, resultando na montagem de um perfil comum. Surgindo eventos discrepantes, o sistema identifica a anomalia como potencial intrusão.
O método baseado em assinturas, por sua vez, toma como alvo atividades que se enquadram ao que o sistema, previamente configurado pelo SysAdmin, classifica como maliciosas. Logicamente, a sua efetividade requer conhecimento amplo das ameaças virtuais existentes.
A detecção baseada em comportamento identifica os ataques em razão do comportamento do usuário. Uma vantagem do méotodo é a sua flexibilidade estratégica, a qual permitie ao administrador definir uma série de pontos que indiquem uma potencial invasão à rede.
Principais funções do Snort
Qual é o método de detecção utilizado no Snort?
As ameaças são detectadas pelo Snort por meio de assinaturas e está é uma das funcionalidades chave da ferramenta. Ainda que possa ter os seus pontos fracos, como as demais, ela funciona muito bem no Snort de modo similar a um antivírus.
As assinaturas são criadas pela equipe da Cisco e, posteriormente, transmitidas aos ausuários por meio de atualizações. Sendo assim, há uma equipe super qualificada, formada por hackers éticos e especialistas em Segurança da Informação, trabalhando na identificação e no provisionamento de novas ameaças.
O uso de pré-processadores é também, uma caracterísiticas importante do Snort. Eles asseguram, por exemplo, a remontagem de pacotes fragmentados, a análise de desempenho e performance, a detecção de dados sigilosos, a normalização de tráfego em várias instâncias, entre outras tarefas cruciais.
Instalação do Snort
Após conhecer sobre as características do IDS e funcionalidades do Snort, chegou a hora de fazer a instalação do Snort e configurá-lo no seu servidor ou computador pessoal.
Testado nas distribuições Debian 10 e Ubuntu 18.04/20.04 LTS
$ sudo apt update $ sudo apt install snort
No setup da instalação é perguntado a interface de rede e a rede, então informe conforme o seu cenário.
Antes a interface de rede era eth0, passou para enp2s0, mas isso pode variar, e no caso da rede deve informar juntamente com a máscara.
Teste da instalação e configuração do Snort
$ sudo snort -T -c /etc/snort/snort.conf -i enp2s0
A flag -T significa teste, enquanto a -c mostra ao Snort que o diretório leva ao snort.conf e o -i, indica a interface especificada.
Referências
[1] Manual Snort[2] Snort Monitor de Redes
Feito!
Nenhum comentário:
Postar um comentário