Implementação de NIDS com EasyIDS
Apresento uma solução para implementação de um NIDS (Network Intrusion Detection System) com a solução EasyIDS, que é uma customização baseada em CentOS que utiliza o SNORT e possui gerenciamento via web.
Pré-requisitos para rodar o NIDS
NIDS (Network Intrusion Detection System) é uma ferramenta para detectar em tempo real falhas de segurança (não confunda com ferramentas de análise de vulnerabilidades, como o NESSUS) ou tentativas de invasão, para isso ele irá capturar os pacotes que passam na rede para analisar se são possíveis ameaças ou não. Para isso, ele deve receber todos os pacotes que trafegam na rede que se deseja monitorar.
Segue um resumo das formas de se utilizar o NIDS, de acordo com o ambiente da rede:
1. HUB
Não creio que alguém irá utilizar HUB para capturar o tráfego, mas serve para diferenciarmos o funcionamento entre um HUB e um SWITCH. Em uma rede conectada por HUB, todos os pacotes são recebidos por TODAS as portas, ou seja, uma informação enviada por um host será recebida por todos os outros hosts da rede, mesmo que não seja o verdadeiro destinatário, isso é muito perigoso pois um atacante pode utilizar um SNIFFER para capturar o tráfego da rede estando conectado em qualquer porta.
Nesta forma, basta conectar o seu NIDS em qualquer porta do HUB.
2.PORT MIRROR
Alguns switches possuem o recurso de PORT MIRROR, que constitui em enviar uma cópia de todos os pacotes que trafegam na rede para uma determinada porta do switch. Alguns fabricantes dão nomes específicos para suas soluções, como Switched Port Analyzer (SPAN) pela Cisco e Roving Analysis Port (RAP) pela 3COM.
Para operar nesta forma, deve-se conectar o NIDS na porta configurada como PORT MIRROR no switch.
3. BRIDGE
Em redes onde o switch não possui o recursos de port mirror, o Snort pode funcionar como uma ponte (bridge), dessa forma o tráfego irá passar por ele de forma transparente. A solução com EasyIDS já vem com o suporte à interfaces bridge.
Segue um resumo das formas de se utilizar o NIDS, de acordo com o ambiente da rede:
1. HUB
Não creio que alguém irá utilizar HUB para capturar o tráfego, mas serve para diferenciarmos o funcionamento entre um HUB e um SWITCH. Em uma rede conectada por HUB, todos os pacotes são recebidos por TODAS as portas, ou seja, uma informação enviada por um host será recebida por todos os outros hosts da rede, mesmo que não seja o verdadeiro destinatário, isso é muito perigoso pois um atacante pode utilizar um SNIFFER para capturar o tráfego da rede estando conectado em qualquer porta.
Nesta forma, basta conectar o seu NIDS em qualquer porta do HUB.
2.PORT MIRROR
Alguns switches possuem o recurso de PORT MIRROR, que constitui em enviar uma cópia de todos os pacotes que trafegam na rede para uma determinada porta do switch. Alguns fabricantes dão nomes específicos para suas soluções, como Switched Port Analyzer (SPAN) pela Cisco e Roving Analysis Port (RAP) pela 3COM.
Para operar nesta forma, deve-se conectar o NIDS na porta configurada como PORT MIRROR no switch.
3. BRIDGE
Em redes onde o switch não possui o recursos de port mirror, o Snort pode funcionar como uma ponte (bridge), dessa forma o tráfego irá passar por ele de forma transparente. A solução com EasyIDS já vem com o suporte à interfaces bridge.
a de monitoramento faz o q? e a de gerenciamento faz o q tbm, ou melhor, a monitoramento ela vai monitorar a rede ela q fica no switch eu acho e a de gerenciamento onde fica, na net??? como posso saber disso alguem pode responder?