IDS com Snort + Guardian + Debian Lenny

Implementação de IDS com bloqueio automático de tentativas de invasão utilizando o Snort + Guardian em Debian Lenny com uma interface web para acompanhamento dos alertas gerados pelo IDS.

[ Hits: 110.985 ]

Por: Douglas Q. dos Santos em 15/03/2010 | Blog: http://wiki.douglasqsantos.com.br


A arquitetura e o funcionamento do Snort



O Snort é um aplicativo que habilita a placa de rede do computador onde foi configurado, para modo promíscuo, ou seja, permite que todos os pacotes que trafegam pelo segmento de rede daquela máquina sejam capturados.

Através de regras que são as assinaturas conhecidas dos ataques, é possível descobrir uma variedade de ataques e sondagens, como buffer overflow , port scans, ataques CGI (Common Gateway Interface), verificação de SMB (Server Message Block).O Snort com capacidade de alerta em tempo real, pode enviar os alertas a um arquivo de alerta individual ou a um meio externo como o WinPopUp (utilitário responsável por mandar mensagens de uma máquina para outra em uma rede).

A engenharia de detecção é programada usando um idioma simples que descreve a programação de testes de pacote e ações. A facilidade de uso simplifica e agiliza o desenvolvimento de regras de descoberta de novos ataques. A arquitetura do Snort enfoca o desempenho, simplicidade e flexibilidade. Há três subsistemas primários que o compõem:
  • Decodificador de pacote;
  • Engenharia de Detecção;
  • Subsistema de login e alerta.

Estes subsistemas são desenvolvidos sobre a biblioteca Libpcap. Esta biblioteca oferece uma API (Aplication Program Interface) independente do sistema operacional que permite as aplicações capturarem pacotes de uma rede para gravá-los em um arquivo, e também ler arquivos contendo capturas gravadas. A configuração do programa, analise do arquivo de regras e geração dos dados estruturados acontece antes da seção de captura ser inicializada.

O decodificador de pacotes

A arquitetura de decodificação é organizada ao redor das camadas da pilha protocolar presentes e suportadas pelo protocolo TCP/IP. Estas rotinas de decodificação são chamadas ordenadamente pela pilha protocolar, do nível de dados, subindo para o nível de transporte terminando finalmente no nível de aplicação.

A velocidade é enfatizada, e a maioria das funcionalidades do decodificador consistem na colocação de ponteiros nos pacotes de dados, para mais tarde serem analisados pela arquitetura de detecção. A ferramenta Snort provê capacidades para decodificar pacotes em redes Ethernet, SLIP (Serial Line Internet Protocol), PPP (Point to Point Protocol), sendo que o suporte a ATM (Asynchronous Transfer Mode) está sendo desenvolvido.

A arquitetura de detecção

A ferramenta Snort mantém suas regras de descoberta de intrusão em duas listas denominadas Chain Headers (Cabeçalho da Regra) e Chain Options (Cabeçalho de Opções). Chain Headers contém os atributos comuns de uma regra, e Chain Options armazena os padrões de ataque que serão pesquisados dentro dos pacotes capturados e as ações que serão tomadas caso um ataque seja diagnosticado.

Arquitetura de armazenamento de regras

A arquitetura de armazenamento de regras é examinada pela arquitetura de detecção de forma recursiva, para cada pacote de dados capturado.

Quando o cabeçalho da regra for idêntico ao cabeçalho do pacote capturado, os dados contidos no pacote são comparados com o cabeçalho das opções da regra. Se a ocorrência de um ataque for identificada, uma ação especifica definida na regra é disparada.

Uma revisão da arquitetura de descoberta está atualmente em planejamento e em fase de desenvolvimento. A próxima versão da arquitetura incluirá a capacidade para que os usuários possam escrever e distribuir módulos compatíveis com as palavras chaves da linguagem da arquitetura de detecção. Isto permitirá a customização do programa para situações específicas.

O subsistema de login/alerta

O subsistema de login e alerta é selecionado em tempo real com comandos condicionais de interrupção. Há atualmente três opções de login e cinco de alerta As opções de login podem ser fixadas para armazenar pacotes decodificados, em formato legível para o ser humano.

O formato decodificado de login permite análise rápida de dados armazenados pelo sistema. Os login podem ser deixados parcialmente incompletos para agilizar a performance. O administrador pode ser avisado de novos alertas através do envio de mensagem ao syslog (programa responsável por gerar e armazenar logs no Linux/Unix) ou armazenar em um arquivo texto que pode ser utilizado em multi-plataformas.

Existem três opções disponíveis para criação de arquivos de alerta. A primeira opção possibilita a criação de um arquivo texto com informações completas do alerta, registrando a mensagem de alerta e a informação de cabeçalho de pacote fornecido pelo protocolo do nível de transporte. A segunda opção cria um arquivo que registra um subconjunto condensado de informações, permitindo maior desempenho que a primeira opção. A última opção é utilizada para desconsiderar alertas e é extremamente útil quando os registros são desnecessários ou impróprios. Esta situação ocorre quando a rede está passando por testes de penetração.

Referência: http://www.snort.com.br/arquiteturasnort.asp

Página anterior     Próxima página

Páginas do artigo
   1. O que é IDS
   2. O que é o Snort
   3. A arquitetura e o funcionamento do Snort
   4. Instalação do pré-requisitos para a instalação do Snort
   5. Instalação do Snort
   6. Arquivo de configuração snort.conf
   7. Instalação e configuração do Basic Analysis and Security Engine (BASE)
   8. Instalando e configurando o Guardian
   9. Considerações finais
Outros artigos deste autor

Bind9 slave em chroot no Debian Lenny

Debian Lenny com Kernel 2.6.28 + Layer7 + Firewall

Alta disponibilidade com Debian Lenny + Heartbeat + DRBD8 + OCFS2 + MONIT + LVS

Apache em chroot + MySQL + PHP + mod_security + mod_evasive + vsftpd + Fail2ban + Debian Squeeze

Bind9 em chroot no Debian Lenny

Leitura recomendada

Entendendo um pouco sobre os daemons

PacketFence em Debian 6

Alta Disponibilidade com LVS

Snort - The Open Source Network Intrusion Detection System

Honeypot Kippo 0.8 - Instalação e utilização

  
Comentários
[1] Comentário enviado por douglas_dksh em 15/03/2010 - 18:44h

Olá.

Se tiverem problemas na instalação dos pacotes do PEAR, pode ser feito como abaixo.

#pear upgrade PEAR
#pear install Image_Canvas-alpha
#pear install Image_Graph-alpha --alldeps
#pear install Mail Mail_Mime Image_Color Log Numbers_Roman
#pear install Numbers_Words-0.16.1

Pois os pacotes possuem ordem de instalação.


Douglas.

[2] Comentário enviado por leandrojpg em 16/03/2010 - 11:24h

Eu sou suspeito para falar, pois tenho seguido os tutoriais do douglas a algum tempo e asseguro que são bons demais.
Esse ai do Snort eu implementei, e funcioba bem legal, mas tem que quer fazer linha a linha,importante ler o material para entender bem o snort.

[3] Comentário enviado por douglas_dksh em 16/03/2010 - 11:45h

Obrigado.

[4] Comentário enviado por macvitor em 10/08/2010 - 11:44h

Como podemos saber se o Snort está rodando e funcionando perfeitamente? Em http://localhost/snort está tudo zerado(TCP, UDP, etc.) e ao usar o comando ps auwx |grep snort não retorna nada.

[5] Comentário enviado por epresman em 19/10/2010 - 15:39h

uso a distribuicao brasilfw e estoun com dificuldades para inslatar o snort
como e quem poderia me ajudar?

[6] Comentário enviado por removido em 21/10/2010 - 17:58h

Não consigo entrar na interface WEB do BASE, quando digito o endereço o navegador me dá opção de fazer o download:

Arquivo: PHTML
Site: 192.168.0.146

Esse endereço IP é o da minha eth0. Na instalação não surgiu nenhum erro. Foi tudo certinho. O apache está rodando perfeitamente. Podem me ajudar?

[7] Comentário enviado por douglas_dksh em 26/10/2010 - 15:28h

Mande instalar este pacote para corrigir o erro que acontece quando é enviado o email.

# pear install Net_SMTP
# pear install --alldeps mail




Douglas

[8] Comentário enviado por bvcoelho em 10/11/2010 - 10:31h

Estou com o mesmo problema do m1n3ro, quando eu entro no site "http://ip_servidor/snort " em vez de entrar na página de configuração ele manda salvar a pasta do snort.
Todos os outros passos foram seguidos sem nenhum erro. Sera que alguem pode da uma luz?

[9] Comentário enviado por bvcoelho em 10/11/2010 - 10:41h

Opa problema resolvido nada como um reboot system. :)

[10] Comentário enviado por analistaslack em 29/11/2010 - 19:26h

Show de bola o tutorial, está rodando perfeitamente no meu Ubuntu 10.04 Server 64 bits. Valeu pelo tutorial!!!!

[11] Comentário enviado por fabriciorodrigo em 25/02/2011 - 16:51h

Estou querendo implementar um ips .. porém, gostaria de saber se existem outros além do snort/guardian ...
achei o guardian descontinuado ... (pode ter sido impressão)
Pesquisando encontrei o HLBR ... pórem não consegui definir qual a melhor solução ...

Gostaria de ter sua opnião sobre ...


Desde já agradeço.
Parabéns pelo artigo.

[12] Comentário enviado por douglas_dksh em 25/02/2011 - 17:06h

OpenVas, Fail2ban dai vc tem que ver qual vai se adptar melhor ao seu ambiente.
O guardian so faz os bloqueios.
o que vc pode fazer é ler os arquivos de log do snort com algum script e ir bloqueando ou desbloqueando ips e por ai vai.

[13] Comentário enviado por clebioms em 31/03/2011 - 17:47h

Ola, bem seguindo seu tutorial na parte que segue

# pear upgrade PEAR
# pear install Mail Mail_Mime Image_Color Log Numbers_Roman
# pear install channel://pear.php.net/Numbers_Words-0.16.1
# pear install Image_Graph-alpha
# pear install Image_Canvas-alpha

quando digito o comando pear install Image_Canvas-alpha recebe o mensagem abaixo:

pear/Image_Canvas is already installed and is the same as the released version 0.3.3
install failed

Poderia me ajudar

Cordialmente.

Clebio

[14] Comentário enviado por ulisses.santos em 26/05/2011 - 17:14h

amigo estou com um erro parecido aqui quando colocao o ip 192.168.7.222/snort
aparece abrir ou salvar um arquivo, instalei o
pear install Net_SMTP

mas o outro da este erro
pear install --alldeps mail
pear/mail is already installed and is the same as the released version 1.2.0
install failed


alguma luz, desde ja agradeço e um dos melhores tutoriais que achei para ids.

[15] Comentário enviado por douglas_dksh em 26/05/2011 - 17:25h

Cara quando acontece a primeira situação é quando o apache ainda não encontrou o módulo do php, como a página do base é em php ele te da a opção de abrir ou salvar o arquivo por que o apache ainda não consegue enterpretar o php.
Então para resolver isso só reinicie o seu apache, e se continuar tente abrir em outro navegador.
O segundo erro a resposta esta na saída dele o per/mail já esta instalado, por isso que apareceu a mensagem.

To colocando os materiais agora atualizados no meu site www.gmsecurity.com.br dai la vou conseguir atualizar quando precisar algo.

Douglas.


[16] Comentário enviado por jpfontoura em 28/06/2011 - 17:18h

Amigo instalei tudo conforme o tutorial, mas o base não mostra nada fica tudo zero, mas no log do snort tem as tentativas, pode me dar uma ajuda?

[17] Comentário enviado por renatotec em 01/07/2011 - 10:55h

Bom dia Douglas...parabéns pelo TUTO!

Estou com uma dificuldade, tá tudo funcionando, só que o snort não está mais gravando informações no /var/log/snort/alert, grava apenas na base de dados, sendo assim o guardin não funciona.

[18] Comentário enviado por tiagotrindade em 09/12/2011 - 08:58h

Estou com o mesmo problema do renato...

o Guardian não ta bloqueando nada :|

[19] Comentário enviado por douglas_dksh em 09/12/2011 - 10:28h

E ai galera.

Os logs do snort mudaram nas novas versões com isso o guardian não consegue ler mais o tipo de log.

o que pode ser feito é um script para ler os logs do banco de dados e gerar as regras.

Olhe em http://www.douglas.wiki.br/doku.php?id=snort_barnyard2_snorby_debian_squeeze a implementação do Snort mudou.

Até o momento eu não achei nenhuma ferramenta para efetuar o bloqueio, com isso tive que desenvolver a minha propria.

Douglas.

[20] Comentário enviado por alex_arantes8 em 23/04/2012 - 16:43h

Ola, bem seguindo seu tutorial na parte que segue

# pear upgrade PEAR
# pear install Mail Mail_Mime Image_Color Log Numbers_Roman
# pear install channel://pear.php.net/Numbers_Words-0.16.1
# pear install Image_Graph-alpha
# pear install Image_Canvas-alpha

quando digito o comando pear install Image_Canvas-alpha recebe o mensagem abaixo:

pear/Image_Canvas is already installed and is the same as the released version 0.3.3
install failed

Isso tem PROBLEMA esse erro acima como resolver.grato
alexarantesti@gmail.com

[21] Comentário enviado por berneira em 17/10/2012 - 13:37h


Estou com esse problema ao Abrir o Base


Warning: strftime() [function.strftime]: It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected 'America/Sao_Paulo' for 'BRT/-3.0/no DST' instead in /var/www/snort/base_main.php on line 271
Queried on : Wed October 17, 2012 13:36:09
Database: snort@localhost (Schema Version: 107)
Time Window: no alerts detected

[22] Comentário enviado por andyblessing em 14/09/2014 - 12:19h

Olá
muito bom tutorial
estou com um problema na parte de configurar acessei

http://192.168.0.1/snort/base-1.4.5/setup/setup2.php?action=check

coloco as configuraçoes e minha senha mas aparece o seguinte erro
Database connection failed!
Please try again!

Pode me ajudar
agradeço

[23] Comentário enviado por jmsb em 19/06/2015 - 18:58h

ola , vc poderia ajudar com o guardian , ele não esta executando da essa mensagem, com isso não gera as logs
OS shows Linux
Warning! Logfile is not writeable! Engaging debug mode, output to STDOUT
eth3 address and interface are: 192.168.2.201
Loaded 1 addresses from /etc/guardian.ignore
Running in debug mode..


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts