SNORT – UMA FERRAMENTA IDS OPEN SOURCE
Deixe um comentário
SNORT é uma ferramenta NIDS open-source bastante popular por sua flexibilidade nas configurações de regras e constante atualização frente às novas ferramentas de invasão (como o fagroute). Outro ponto forte desta ferramenta é o fato de ter o maior cadastro de assinaturas, ser leve, pequeno, de fácil instalação, fazer escaneamento do micro e verificar anomalias dentro de toda a rede ao qual seu computador pertence.
O código fonte é otimizado, desenvolvido em módulos, utilizando linguagem de programação C e, juntamente com a documentação, são de domínio público. A configuração é simples e aplicada através de um sistema de arquivos organizado, documentado e de fácil manutenção.
O Snort conta ainda com o permanente desenvolvimento e atualização, que são feitos diariamente, tanto em relação ao código propriamente dito, como das regras de detecção. Os padrões utilizados na construção das regras de detecção das subversões são introduzidos no sistema de configuração, tão logo os alertas são enviados, originados pelos órgãos responsáveis, como por exemplo o CERT, Bugtraq (lista de discussão), entre outros.
Os módulos que compõe o Snort são ferramentas poderosas, capazes de produzir uma grande quantidade de informação sobre os ataques monitorados, dado que é possível avaliar tanto o cabeçalho quanto o conteúdo dos pacotes, além de disponibilizar, por exemplo, a opção de capturar uma sessão inteira.
O Snort monitora o tráfego de pacotes em redes IP, realizando análises em tempo real sobre diversos protocolos (nível de rede e aplicação) e sobre o conteúdo (hexa e ASCII). Outro ponto positivo desse software é o grande número de possibilidades de tratamento dos alertas gerados, O subsistema de registro e alerta é selecionado em tempo de execução através de argumentos na linha de comando, são três opções de registro e cinco de alerta.
O registro pode ser configurado para armazenar pacotes decodificados e legíveis em uma estrutura de diretório baseada em IP, ou no formato binário do tcpdump em um único arquivo. Para um incremento de desempenho, o registro pode ser desligado completamente, permanecendo os alertas.
Já os alertas podem ser enviados ao syslog, registrados num arquivo de texto puro em dois formatos diferentes, ou ser enviados como mensagens WinPopup usando o smbclient. Os alertas podem ser enviados para arquivo texto de forma completa e o alerta rápido. O alerta completo escreve a mensagem de alerta associada à regra e a informação do cabeçalho do pacote até o protocolo de camada de transporte. A opção de alerta rápido escreve um subconjunto condensado de informação do cabeçalho alerta. Por fim, uma última opção desabilita os alertas completamente. Existe também, a possibilidade de utilizar métodos como o Database Plug-in por exemplo, para registrar pacotes em uma variedade de bases de dados diferentes (MySQL, PostgreSQL, entre outros), as quais contam com recursos próprios para efetuar consultas, correlações e dispõem de mecanismos de visualização para analisar dados.
Snort é uma ferramenta de detecção de invasão rápida e confiável que exige poucos recursos de sistema. Você pode adicionar assinaturas de ataque obtendo, compilando e executando explorações contra seu sistema enquanto também executa um sniffer. O Sniffer irá capturar o texto característico ou string binária passada pela ferramenta de ataque para seu servidor. Pegue os últimos poucos caracteres significativos ou caracteres únicos dessa string adicione-os como um descritor de conteúdo em Snort. O Snort devolve respostas principalmente através de logs, mas quando há uma detecção de algo mais sério ele também emite alertas por e-mail.
O Snort é suportada em arquiteturas RISC e CISC e em plataformas das mais diversas, como os vários sabores de Linux (RedHat, Debian, Mandrake, etc.), OpenBSD, FreeBSD, NetBSD, Solaris, SunOS, HP-UX, AIX, IRIX, Tru64, MacOS X.
Por ser uma ferramenta peso leve, a utilização do Snort é indicada para monitorar redes TCP/IP de qualquer porte dependendo da funcionalidade que será exigida dele, onde ele pode detectar uma grande variedade do tráfego suspeito, assim como ataques externos e então, fornecer informações para a tomada de decisão dos administradores.
ARQUITETURA DO SNORT
A implementação do Snort, segundo uma arquitetura modular, focaliza a otimização do desempenho na coleta e análise de pacotes, que com o conjunto de regras correto para um dado exploit aproxima-se do tempo-real. O Snort oferece o conceito de plug-ins, que são seus subsistemas de:
- Pré-processamento: Disposto entre o packet sniffing e o processamento do engine de detecção, decodifica o pacote;
- Detecção: Ocorre durante o processamento do engine de detecção;
- Saída: é executado após o processamento do engine de detecção, para registrar e alertar.
A configuração do programa, as regras que analisam gramaticalmente parsing, e a geração da estrutura de dados ocorrem antes da sessão de sniffer ser inicializada, minimizando a quantidade de processamento por pacote.
Primeiro, o decodificador de pacote interpreta qual é o conjunto de tráfego. Esse tráfego decodificado é analisado por todo plug-in pré-processador definido nas regras. Em seguida, o engine de detecção recebe o tráfego, aplica uma estrutura de regras e pode também aplicar plug-ins de detecção no tráfego excessivo para procurar outras assinaturas. Por fim, o fluxo de dados é enviado para o estágio de saída, onde existem diferentes opções de registro e alerta, e ainda, podem ser enviados para plug-ins de saída que atuam como extremidade final back-end de processamento para detecção.
Para saber mais sobre o Snort. www.snort.org
PS: Dedicado a Luiz Fernando (Peixinho)
UE vê com ceticismo anúncio da Microsoft de revelar códigos de softwares
Comentários (1)
O anúncio da Microsoft na quinta-feira (21) de que irá revelar informações detalhadas sobre seus produtos e tecnologias, com o objetivo de fomentar o desenvolvimento de programas independentes, foi recebido com ceticismo pela UE (União Européia).
Os especialistas do Comitê Europeu para Sistemas Interoperacionais (Ecis, na sigla em inglês) afirmam que a medida da fabricante de softwares não encerra a questão sobre um possível abuso de posição de liderança no mercado por parte da Microsoft, que é acusada de dificultar a operabilidade de seus programas com os da concorrência.
“A comissão considera bem-vinda qualquer medida genuína no sentido da interoperabilidade”, afirmaram os especialistas em comunicado. “Contudo, a comissão observa que o anúncio de hoje [ontem] segue outros quatro anúncios anteriores da Microsoft que também ressaltava a importância da interoperabilidade”.
A Ecis afirma que o teste verdadeiro para a Microsoft será uma reunião prevista para acontecer na próxima semana. A questão será a compatibilidade dos documentos no formato Office OOXML, que atualmente depende do sistema operacional Windows.
“O mundo precisa de uma mudança permanente do comportamento da Microsoft, não apenas de outro anúncio”, afirmaram no comunicado os especialistas da Ecis.
Pressão
O anúncio de revelar informações sobre seus softwares é mais uma etapa da mudança de postura anunciada pela empresa em outubro do ano passado para se adequar as regulamentações antitrustes européias.
Na ocasião, a empresa havia concordado em permitir que fabricantes independentes de softwares tenham acesso à documentação técnica necessária para desenvolver produtos compatíveis com o sistema operacional Windows, uma antiga reivindicação do setor.
Também concordou em pagar uma multa milionária de 497 milhões de euros (cerca de R$ 1,3 bilhão) por ter descumprido determinações da UE nesse sentido.
Em janeiro, uma nova investigação foi aberta em razão de um pedido da produtora norueguesa de navegadores para a web Opera. A investigação tem como objetivo analisar se o vínculo estabelecido entre o browser Internet Explorer e o Windows é legal.
A Opera quer que a Comissão Européia force a Microsoft a separar o Internet Explorer do Windows. Também apela para que o órgão force a Microsoft a seguir “padrões fundamentais e abertos da Web.”
Oportunista
Para alguns especialistas, a pressão da UE contou, mas, na prática, valeu o senso de oportunidade da Microsoft. “Essa também foi uma decisão de negócio”, afirma Nicholas Economides, professor da New York University. “Parte do mercado pede pela interoperabilidade.”
A interoperabilidade é uma tendência que exige dos desenvolvedores de software produtos que “conversem” entre si.
Segundo Maurício Cacique, presidente da Associação de Parceiros da Microsoft no Brasil, a partir de agora, as chances de ganhar novos clientes são maiores. “Estimaria um acréscimo mínimo de 10% no total de clientes que podemos atender com essas novas possibilidades”, afirma.
Fonte: http://www1.folha.uol.com.br/folha/informatica/ult124u374820.shtml
Debian GNU/Linux 3.1
Deixe um comentário
Um ano depois da publicação do Debian GNU/Linux 4.0 (etch), e quase 3 anos desde que Debian GNU/Linux 3.1 (sarge) foi publicado, o suporte de segurança desta última será finalizado no final do mês que vêm.
Assim anunciou Joey Schulze.
Mais informacoes em: http://lists.debian.org/debian-announce/2008/msg00001.html
Versão Stable do Windows Vista
Urgente!!!!
Foi encontrado na net uma versao hackeado do mais novo OS da nossa empresa Microsoft, o Windows Vista!
Criadores dizem que a versao e muito estavel e nao trava. Essa eu queria ver.
Abaixo comfiram um screen da versao.
Lançado FreeBSD 7!
O novo FreeBSD e um marco com relacao aos seus recursos como o Sun ZFS (ainda experimental), melhorias na tecnologia WireLess e grandes adcionais no suporte ao SMP, com certeza devido aos avancos dos processadores multi-core. Alguns outros pacotes foram adicionados como o GCC 4.2.1, Xorg 7.3, Bind 9.4.2 e Gnome 2.20.2.
Como de costume a insalacao ainda e em 3Cds, e ainda é disponibilizado para as plataformas IA 64, PC-98, Sparc64, Alpha e PowerPC, i386 e AMD64.
Tux para todos os gostos
Viajando na net, encontrei um site que e na verdade uma fabrica de Tux. Eles tem o nosso bixinho de estimacao mais querido de todas as formas e jeitos possiveis. Com certeza voce encontrara um que e a sua cara…heheheheh.
Entre e divirta-se a vontade pois aqui tudo e LIVRE!!!
Download Fedora Core
Ola pessoal… coloco aki o link para download de uma das distribuicoes mais amigaveis que conheco, o Fedora Core!!!
Na sua versão 8 (stable) ele traz nativamente os ambientes graficos KDE e Gnome(meu preferido).
O link abaixo redicionara para a pagina do Projeto Fedora(Fedora Project), no qual o mesmo que mantem o sistema na internet para distribuicao.
Aproveitem…OS gratuito e de Qualidade!!!! heheeehheeh
Projeto Fedora – Download
Hallo Linux-Nutzer!!!!
Um ola a todos os entusiastas do mundo linux e aos ambientes de programacao diversos. Este espaco sera igual a um coracao de mae quando o assunto for linux ou linguagens de programacao. hehehehehe. Mais é claro que a fisica tera seu devido espaco neste blog, ja que ela é tao essencial. Espero contar com a participacao de todos para que este nao vire apenas mais um blog na NET.
A todos um muito obrigado, e muita sorte para nós nessa nova caminhada.
