___________________________
 
     Não se lamente pelos dados que foram roubados ou
     perdidos sem antes se lamentar por não ter contratado 
     um profissional especializado em segurança!
_______________________________
                                                          by Claudio Rocha 

Menu
Principal
Snort
Shadow
RealSecure
NetRanger
PortSentry
NFR
OSSTMM
Identificar Intruso


Mensagem 1

Informa

BR

O caminho certo da Informação

 

Mensagem 2

SEJAM
BEM-VINDOS !

 

 
Introdução:
 
Existem uma enorme variedade de ferramentas para área de segurança "IDS por exemplo" no mercado hoje em dia. Essas que estão sendo apresentadas nesta pagina são algumas das quais eu tive a oportunidade de conhecer por referencias de livros que li e outras por ter usado na prática. 
A principio eu ate pensei em disponibilizar algumas ferramentas descritas aqui para download nesta nesta pagina. Porem a melhor maneira de se manter up-to-date com as ferramentas será colocado um link direto para as paginas oficiais que de cada ferramenta descrita aqui.

Grande parte da ferramentas aqui apresentadas são vinculado ao GNU (GPL - General Public License). Ou seja, as ferramentas podem serem usadas gratuitamente. Já outras ferramentas mencionadas aqui são de empresas privadas que cobram pela licença de uso dos mesmos. Quase todas as empresas privadas disponibilizam uma versão completa para avaliação com período limitado de aproximadamente de 30 dias. Ao meu ver vale apenas fazer um "drive test" com elas visto que algumas empresas oferecem realmente bons produtos e suporte de qualidade.   

Uma breve descrição esta sendo dada para cada ferramenta aqui mencionada. Vale lembrar que para cada ferramenta descrita existe um link para a pagina original onde será possível encontrar alem do produto para download uma enorme fonte de informações com relação ao produto, tipo: (instalação e configuração, como usar, documentação, comandos básicos e avançados e outros links relacionados com os mesmos)..  

* Algumas das ferramentas abaixo estão disponíveis apenas para O.S. Unix ou as vezes somente para Windows. Favor checar a pagina do fabricante da ferramenta para verificar se a versão para Unix ou Windows já estão disponíveis para download.

Top of Page[Back to Top]

     
 
Snort:
 
IDS (intrusion Dectetion System), Sniffer e packet logger. Ferramenta GRATIS.


http://www.snort.org

Snort é uma ferramenta grátis distribuído sob regulamentos do GNU (GPL - General Public License). O Snort é considerado um ferramenta avançada para IDS (Intrusion Detection System) capaz de fazer análise de trafego em tempo real. Ele também faz análise de protocolos,  examina o payload dos pacotes recolhidos da rede,  procura por palavras chaves e pode ser usado para detectar uma grande variedade de ataques e probes de redes tais como: buffer overflow, sthealth port scans, CGI ataques, SMB probes, tentativas de OS fingerprinting e outros.  As principais funções do Snort são: Pacote Sniffer como TCPdump, logar pacotes e um completo serviço de IDS (Intrusion Detection System).

*Snort usa uma flexível linguagem de regras (o usuário pode criar outras regras/assinaturas para adequar as suas necessidades) para descrever qual tráfego será coletado ou não. 

*  Devido a dificuldade por parte de alguns usuários de entender os logs gerados pela ferramenta Snort, vários usuários (expertos) do Snort criaram meios de visualizar os logs e ate mesmo configurar novas regras/assinaturas via GUI interface. * Checar a página oficial do Snort para encontrar tais ferramentas.


Exemplos:

Texto mostra um típico pacote de telnet  - Snort em modo Sniffer  -------------------------------------------------------------------------- 
20:59:49.153313 0:10:4B:D:A9:66 -> 0:60:97:7:C2:8E type:0x800 len:0x7D
192.168.1.3:23 -> 192.168.1.4:1031 TCP TTL:64 TOS:0x10 DF
***PA* Seq: 0xDF4A6536 Ack: 0xB3A6FD01 Win: 0x446A
FF FA 22 03 03 E2 03 04 82 0F 07 E2 1C 08 82 04 ..".............
09 C2 1A 0A 82 7F 0B 82 15 0F 82 11 10 82 13 FF ................
F0 0D 0A 46 72 65 65 42 53 44 20 28 65 6C 72 69 ...FreeBSD (elri
63 2E 68 6F 6D 65 2E 6E 65 74 29 20 28 74 74 79  c.home.net) (tty
70 30 29 0D 0A 0D 0A                                              p0).... ---------------------------------------------------------------------------

Uma simples para  registrar o trafego chegando na porta 79 para classe IP 10.1.1.0/24
---------------------------------------------------------------------------
log tcp any any -> 10.1.1.0/24 79
---------------------------------------------------------------------------

Regra para alertar sobre tentativa de Buffer Overflow. ---------------------------------------------------------------------------
alert tcp any any -> 192.168.1.0/24 143 (content:"|E8C0 FFFF FF|/bin/sh"; msg:"New IMAP Buffer Overflow detected!";)
---------------------------------------------------------------------------

Comandos

Sniffer Mode

  • snort -v
      #
    mostra somente os cabeçalhos dos pacote TCP/IP na tela.

  • snort -vd
    # mostra somente os cabeçalhos do IP, TCP, UDP e ICMP.

  • snort –vde 
    #
    mostra os todos os cabeçalhos e os dados contidos neles também.

Packet Logger Mode

  • snort -dev -l /dirdolog//log.txt  
    # o snort gera um arquivo chamado log.txt de todos os pacotes visto por ele. Considerando que o diretório "dirdolog" já existe, caso contrario deve-se cria-lo.

  •  

  • snort -dev -l ./log -h 192.168.1.0/24
    # faz com que o snort capture cabeçalhos TCP/IP, data link e dados relacionados ao host 192.168.1.0 (Classe C) e  armazene o resultado no subdiretório log. OBS. os dados recolhidos serão armazenado em arquivos correspondente/nomeado com cada endereço IP capturado.

  • snort -l ./log –b 
    # snort executado com a opção (-b) faz a captura total dos pacotes ao invés de capturar somente cabeçalhos ou somente dados. 

  • snort -dv -r packet.log  
    # uma vez criado o arquivo com a opção (-b), pode-se usar  qualquer sniffer que suporta formato binário tcpdump tais como, snort, tcpdump ou Ethereal para manipular os dados recolhidos.

  • snort -dvr packet.log icmp   
    # de posse do arquivo binário gerado pela opção (-b), pode-se então criar novas filtragens do tipo BPF interface. No nosso exemplo estamos fazendo somente a filtragem dos pacotes de ICMP contido no arquivo binário.

Network Intrusion Detection Mode - (NIDS)

  • snort -b -A fast -c snort.conf

  • snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf 
    # snort.conf é o nome do arquivo de configuração. Este arquivo contem as regras e ações a serem tomadas para cada pacote recolhido e confrontado com ele. O resultado do NIDS será gerado no diretório /var/log/snort, ou outro diretório previamente estipulado.

  • O arquivo snort.conf deve estar presente no diretório corrente ou deve ser digitado o diretório onde ele se encontra.

  • A opção -v acima faz com que o snort mostre os resultados também no monitor. Isso causa com que o snort fique um pouco lento podendo ate perder alguns pacotes por causa disso.

  • A opção -e para capturar cabeçalhos do data link layer as vezes são tão importante podendo ser emitido. 

  • snort -d -h 192.168.1.0/24 -l ./log -c snort.conf
    # snort rodando com as opções básicas; ou seja, sem as opções de -v= mostra na tela  e -e= cabeçalho Data Link.

  • snort -c snort.conf -l ./log -s -h 192.168.1.0/24 
    # envia alertas para o syslog opção (-s).

  • snort -c snort.conf -s -h 192.168.1.0/24  
    # cria arquivo log no diretório default e envia alertas.

  • snort -c snort.conf -b -M WORKSTATIONS  
    # gera arquivo de log no formato binário e envia alerta para o Windows Workstation.

  • snort -c snort.conf -b -A fast -l /var/log/snort
    #
    cria arquivo binário e usa alerta rápido e cria arquivo log no /var/log/snort.

  • snort -b -A fast -c snort.conf  
    gera arquivo de log no formato binário e usa alerta rápido.

  • snort -d -c snort.conf -l ./log -h 192.168.1.0/24 -r snort.log 
    # gera arquivos no formato ASCII a partir de um arquivo no formato binário.

  • snort -d -v -r snort.log -O -h 192.168.1.0/24  
    # a opção (
    -O) simplesmente oculta seu endereço IP. Essa opção se torna muito útil nos casos em que queremos enviar arquivos de logs para newsgroup ou qualquer outro lugar publico, .

 



Top of Page[Back to Top]

     
 
Shadow:
 
IDS (intrusion Detection System) usando TCPdump). Ferramenta GRÁTIS.


http://www.nswc.navy.mil/ISSEC/CID/

O programa Shadow não examina o payload dos pacotes recolhidos da rede. Ou seja; ele foi implementado para fazer uma análise primordialmente dos cabeçalhos dos pacotes.Outro diferencial do Shadow é que ele também não funciona em real-time, porem ele pode trabalhar em conjunto com o Snort onde os logs gerados pelo TCPdump do shadow podem ser usados pelo snort. 

Exemplo:

Shadow página de  Welcome. 


Shadow página de Analise.

 


Outra Ferramenta que também usa o nome Shadow.
Ferramenta Comercial - oferece 15 dias para versão demo.

Shadow Security Scanner (Versão Windows)
http://www.safety-lab.com/en/ 

Esta ferramenta é muito fácil de usar e possibilita efetuar Scan, Password Checks e DoS checks.


Top of Page[Back to Top]

     
 
RealSecure:
 
IDS (intrusion Detection System). Ferramenta Comercial. 


http://www.iss.net/

O IDS RealSecure e uma ferramenta comercial que  consiste de vários módulos para atender todo tipo de trafego. Esse produto trabalha em real-time e como qualquer outro IDS ele faz  analises do volume de trafego comparando sua base de dados de assinaturas dos ataques conhecidos ate então.


Top of Page[Back to Top]

     
 
NetRanger:
 
IDS (intrusion Detection System). Ferramenta Comercial.


http://www.cisco.com/univercd/cc/td/doc/pcat/nerg.htm

Essa é uma ferramenta oferecido pela Cisco que  líder no mercado de redes (roteadores/switches). O NetRanger  esta subdividido em vários módulos para atender diferentes volumes de trafego. Este IDS realmente tem seus diferenciais com relação a outros IDS. Uma das capacidades desse IDS é a integração com roteadores também da Cisco, alem disso ha varias outras opções como resetar uma conexão, alertar via e-mail, pager, bips e outros. Esse IDS é basicamente voltado para grandes organizações e ISPs, e o custo para se obter o NetRanger também não é dos mais amigáveis em relação a outras opções no mercado. Porem avaliando custo e benefícios eu acho que essa ferramenta deveria ser avaliada com mais cuidado principalmente por  grandes organizações.   

*Agentes e Consoles do NetRanger são disponíveis para plataformas Windows e Unix.

 

Top of Page[Back to Top]

     
 
PortSentry:
 
IDS (intrusion Detection System). Ferramenta GRÁTIS


http://www.psionic.com/

O PortSentry ISD é um programa desenvolvido para plataforma Unix e distribuído gratuitamente. O PortSentry oferece uma grande variedade de detecção de port scan e segundo o fabricante do software ele é de fácil configuração e uso. Download esta disponível na pagina do link acima.


Top of Page[Back to Top]

     
 
NFR:
 
IDS (intrusion Detection System). Ferramenta Comercial. 


http://www.nfr.com/

O NFR (Network Flight Recorder) é uma opção de IDS que é composta por NIDS (Network  Intrusion Detection ) - ou HIDS (Host Intrusion Detection). Os dois trabalham em real-time ou em modo batch.  Os filtros, ou seja; assinaturas de ataques conhecidas podem ser criados pelo usuário ou  serem adquiridos das empresas de terceiros tipo Anzen Computing ou l0pht Heavy Industries. NFR também disponibiliza uma versão que pode ser rodada direto do CD-Rom sem a necessidade de instalação do mesmo. Pode-se adquirir/download uma versão para teste direto do site deles clicar link acima.


Top of Page[Back to Top]

     
 
OSSTMM:
 
Manual com metodologia de teste para segurança de rede. Ferramenta GRÁTIS.


http://www.ideahamster.org/
http://www.isecom.org/

Este é um manual que descreve métodos de teste de segurança focando a proteção de acesso vindo do mundo externo da rede. O manual descreve vários exemplos e situações onde deverão ser aplicados os testes para garantir a segurança máxima da rede.

O bom desse manual é que ele não tem fins lucrativos e todos o profissionais da área de segurança podem usa-lo como referencia, sugerir melhorias técnicas ou ate criticas construtivas.  Aparentemente não existe nenhuma copia na versão Português, caso eu tenha tempo vou tentar fazer a tradução e disponibilizar um copia em português neste site e no site oficial.

* O manual não entra em detalhes para descrever as ferramentas usadas para testar as vulnerabilidades existentes na rede. O profissional que usar deste manual deve conter  um conhecimento mínimo de algumas ferramentas para teste/auditoria de invasão e da família de protocolos TCP/IP.


Top of Page[Back to Top]

     
 
Identificar Intrusos:
 
Links de alguns checkList.

CheckList para Detecção de Intruso.
http://www.cs.colostate.edu/~fox/security/project/info/intruder_detection_checklist.html
http://www.cs.colostate.edu/~fox/security/project/info/usc20_full.html
http://www.nii.co.in/tuaph1.html

A texto dos links acima estão disponíveis apenas em inglês.

 

Top of Page[Back to Top]


Retornar