quinta-feira, 3 de janeiro de 2013

Detecção de Intrusos com SNORT - Back|Track 5R3


Sistema de detecção de intrusão ou IDS, nada mais é do que uma ferramenta capaz de identificar tentativas de invasão em tempo real. Um IDS analisa os pacotes que trafegam na rede comparando com assinaturas de ataques.
Os IDS são classificados em dois tipos:
O SNORT

O SNORT é uma ferramenta NIDS desenvolvido por Martin Roesch “open-source” bastante popular por sua flexibilidade nas configurações de regras e constante atualização frente às novas ferramentas de invasão . Outro ponto forte desta ferramenta é o fato de ter o maior cadastro de assinaturas, ser leve, pequeno, fazer escaneamento do micro e verificar anomalias dentro de toda a rede ao qual seu computador pertence.
O código fonte é otimizado, desenvolvido em módulos utilizando linguagem de programação C e, junto, com a documentação, são de domínio público


A seguir mostraremos o SNORT em ação no Back|Track R3.

1º Passo:
Faremos uma pequena modificação no arquivo snort.conf  contido em /etc/snort/snort.conf
nas seguintes linhas
var HOME_NET, colocaremos o IP a ser monitorado neste caso utilizarei o IP 192.168.1.102
var EXTERNAL_NET , manteremos any, ou seja, qualquer IP que tentar uma ação contra nosso alvo monitorado.



2º Passo:
Agora que já alteramos o arquivo snort.conf vamos iniciar o serviço snort conforme mostrado na figura a seguir:




A ajuda do snort pode ser acessada através do comando snort –help

3º Passo:
Colocando o snort em alerta através do comando snort –q –A console –i eth1 –c /etc/snort/snort.conf , aqui estou utilizando a interface eth1, mude conforme o caso.



4º Passo:
Vamos utilizar a ferramenta LOIC em uma máquina Windows e através dessa máquina faremos um ataque de negação de serviço conforme mostrado na figura a seguir:


Repare a figura a seguir onde o SNORT detecta o ataque:


5º Passo:
Vamos agora realizar um portscan com o NMAP e ver como o SNORT se comporta


E mais uma vez o SNORT detecta o ataque:


0 comentários:

Postar um comentário

Proibido palavras ofensivas, racistas ou descriminatórias.

[Seu Comentário será liberado no máximo em 24horas]