mitigando ataques com_snort
DESCRIPTION
TRANSCRIPT
Reducing network attacks with Snort
cleber brandaocleber.brandao[nospam]locaweb.com.br
sexta-feira, 18 de novembro de 11
Agenda• What is an IDS
• Types of attack
• Snort structure
• How snort works
• Preprocessors
• Output plugins
• Operation modes• Positioning• Q&A
sexta-feira, 18 de novembro de 11
What is an IDS?
• Intrusion Detection System
• Layer 7 analysis
• Just a sensor
• IPS can drop packets
• Pattern match or behavior
sexta-feira, 18 de novembro de 11
Types of attack
sexta-feira, 18 de novembro de 11
External attacks
sexta-feira, 18 de novembro de 11
Internal attacks
sexta-feira, 18 de novembro de 11
Unstructured attacks
sexta-feira, 18 de novembro de 11
Structured attacks
sexta-feira, 18 de novembro de 11
Understanding the Snort
• Created in 1998 just like sniff
• Becomes as IDS in 1999
• Last version 2.9.1.2
sexta-feira, 18 de novembro de 11
How snort works
sexta-feira, 18 de novembro de 11
Preproccessors
• sfPortScan
• Frag3
• httpInspect
sexta-feira, 18 de novembro de 11
sfPortscan
• Half connection scans
• Decoy scans
• Distributed scans
• Port sweep scans
sexta-feira, 18 de novembro de 11
Frag3
• Detect anomalies in fragmented packets
sexta-feira, 18 de novembro de 11
Frag3 evasion
sexta-feira, 18 de novembro de 11
Frag3 evasion (2)
sexta-feira, 18 de novembro de 11
httpInspect
• HTTP normalization
sexta-feira, 18 de novembro de 11
httpInspect (sample)
• / = %2f
• . = %2e• alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS
$HTTP_PORTS (msg:”WEB-ATTACKS /usr/bin/id command attempt”;flow:to_server,established; content:”/usr/bin/id”;nocase;classtype:web-application-attack;sid:1332;rev:7;)
• %2fusr%2fbin%2fid = bybass
sexta-feira, 18 de novembro de 11
Output plugins
• Databases (mysql, postgre, oracle)
• Syslog
• Pcap (tcpdump, wireshark)
• Unified2
sexta-feira, 18 de novembro de 11
Operation modes
• IDS
• IPS
• Sniffer
• pcaps analysis
sexta-feira, 18 de novembro de 11
Positioning
• Sensor (port-mirror, network tap)
• IPS (bridge, gateway)
• Internal
• External
sexta-feira, 18 de novembro de 11
Questions ?
sexta-feira, 18 de novembro de 11
Where to find me
• Freenode - #securityguys, #snort-br
• Security conferences
• Buy me a Beer ;)
sexta-feira, 18 de novembro de 11
Thank you
• www.locaweb.com.br
• www.snort.org.br
• www.snort.org
• clebeerpub.blogspot.com
sexta-feira, 18 de novembro de 11