Deteco de intrusos e anomalias Sistema de Deteco de intrusos, IDS (intrusion detection system), so sistemas que detectam vrios tipos

de trafego da rede (NIDS) e tambm de computadores maliciosos (HIDS) que no so detectados por um firewall da rede. Os IDS so compostos por diversos componentes: sensores que geram todos os eventos de segurana, um console que monitora os eventos e alertas. Para controlar os sensores existe uma central que grava os eventos registrados pelos sensores em uma base de dados e usam regras que geram alertas dos eventos de segurana. Sistemas de deteco de intrusos dividido em HOST (HIDS - Host Intrusion Detection System), que seria monitoramento em um computador e REDE (NIDS - Network Intrusion Detection System), monitoramento de uma rede de computadores. Sistemas de deteco de anomalias consistem em um monitoramento nas variaes nas atividades da rede relacionando com um padro de utilizao normal da rede. Sistema de deteco de intrusos da rede (NIDS) um sistema que trabalha detectando atividades maliciosas na rede, como ataques baseados em servio, port scans ou at monitoramento do trfego da rede. O NIDS faz isto lendo todos os pacotes que entram na rede e tenta encontrar alguns testes padres, suporte que houvesse um grande nmero de requisio TCP a vrias portas diferentes, pode haver um port scan em algum computador da rede. Sistema de deteco de intrusos por host (HIDS) um sistema que monitora o comportamento de um sistema, pois o NIS verifica somente os pacotes de uma rede e o HIDS pode detectar que um software esta tentando fazer alguma atividade que no faz parte de seu funcionamento, ele consegue verificar o estado do sistema operacional, informaes armazenadas, memria RAM, e certifica que os ndices esto normais, podemos considerar o HIDS como um agente que monitora tudo que seja interno e externo. Sistema de deteco anomalia um sistema que para detectar intrusos e mal utilizao do computador ele utiliza classificao no monitoramento que seria entre normal e anmalo, a classificao baseada em regras, ele acaba sendo o contrrio dos sistemas baseados em assinatura, que podem somente detectar os ataques para que uma assinatura tenha sido criada previamente. Software de IDS Snort O Snort um sistema de deteco de intruso que capaz de executar registros dos pacotes e a anlise do trfego de uma rede em tempo real, ele consegue executar anlise do protocolo, ele faz combinaes que pode detectar uma variedade de ataques e probabilidades, como port scan, ataques CGI, ataques pelo Samba (smb) e vrios outros. O sistema tambm pode ser utilizado para finalidades de uma anlise de tentativa de ataque no momento em que elas esto ocorrendo, ele pode ser trabalhado com outro software para ter uma interface visual de simples visualizao, um exemplo trabalho o Snort com o (BASE) Basic Analysis and Security Engine. O Snort suporta ainda um scaneamento da rede com um antivrus como o Amavis e ele trabalha na camada de rede 3 e 4, e com isto possvel ele ter uma observao histrica dos possveis ataques a rede.

Abaixo imagem de um IDS em funcionamento, basicamente ele tem trs placas de rede que sero o scanner das redes externa e interna (setas vermelhas), ele ligado em um HUB que filtra todas as entradas e sadas da rede para verificar a existncia de algum protocolo ou requisio maliciosas.

Funcionamento do Snort Instalao do Snort Antes de iniciar a instalao do Snort temos que instalar todas as dependncias dele para que funcione junto com o BASE, vamos ento iniciar a instalao baseado na lista abaixo: APACHE: apache apache-ssl MYSQL: mysql-server libmysqlclient12-dev zlib1g-dev PHP 4: php4 php4-mysql libphp-adodb libnet1 libnet1-dev php4-gd php4-gd php4-pear php4cli TCPDUMP: tcpdump libpcap0.8 libpcap0.8-dev libpcre3-dev Vamos ento iniciar a instalao: Instalao do servidor Web: # apt-get install apache apache-ssl Instalao do servidor de Banco de Dados: # apt-get install mysql-server libmysqlclient12-dev zlib1g-dev Instalao da linguagem Web PHP: # apt-get install php4 php4-mysql libphp-adodb libnet1 libnet1-dev php4-gd php4-gd php4-pear php4-cli Instalao do TCPDump: # apt-get install tcpdump libpcap0.8 libpcap0.8-dev libpcre3-dev

Agora vamos fazer a instalao do Snort, recomendvel sempre verificar no site oficial do Snort qual a ltima verso do software para fazer a instalao, hoje vamos fazer a instalao da verso 2.6.1.4. Vamos acessar a pastar /usr/local/src/ que eu utilizo como a pasta padro para os source que eu fao download: # cd /usr/local/src/ Baixando o snort-2.6.1.4.tar.gz: # wget http://www.snort.org/dl/current/snort-2.6.1.4.tar.gz Descompactando o arquivo baixado: # tar -xvzf snort-2.6.1.4.tar.gz Agora vamos compilar e instalar o Snort j com suporte a MySQL: # cd /usr/local/src/snort-2.6.1.4 # ./configure --with-mysql # make # make install # ./configure --with-mysql Criar as pastas padres para o Snort funcionar: # mkdir /etc/snort /var/log/snort Agora vamos criar a conta e o grupo de trabalho do Snort: # addgroup --gid 70 snort # adduser --no-create-home --shell /bin/false --gid 70 --uid 70 --disabled-password snort Vamos adicionar algumas regras oficiais no Snort, acesse o site: http://www.snort.org/pub-bin/downloads.cgi e verifique qual a ltima verso que est disponvel no site, aqui iremos instalar a 2.4: # cd /etc/snort # wget http://www.snort.org/pub-bin/downloads.cgi/\ Download/sub_rules/snortrules-snapshot-2.4_s.tar.gz Descompactando o pacote com as regras e fazendo uma copia dos arquivos .conf e .map do snort:

# tar -xvzf snortrules-snapshot-2.4_s.tar.gz Aps descompactar ele ir criar automaticamente as pastas rules e doc, isso dentro da pasta que voc descompactar, que deve ser a /etc/snort. Agora vamos fazer cpia dos arquivos .conf e .map: # cp /usr/local/src/snort-2.6.1.4/etc/*.conf* /etc/snort/ # cp /usr/local/src/snort-2.6.1.4/etc/*.map /etc/snort/ Agora vamos configurar o snort: # vi /etc/snort/snort.conf ## Edite o arquivo como monstra abaixo # # Arquivo com regras do snort var RULE_PATH /etc/snort/rules # Rede onde o snort ir trabalhar var HOME_NET 192.168.1.0/24 # var EXTERNAL_NET !$HOME_NET Adicionando o Snort no MySQL para ele armazenar os logs de captura no banco de dados: # mysql -u root -p mysql> create database snort; mysql> exit; # cd /usr/local/src/snort-2.6.1.4/schemas/ # mysql -u root -p < create_mysql snort Configurao para o Snort utilizar o MYSQL: # vi /etc/snort/snort.conf # Arquivo de configurao do Snort, para ele funcionar normalmente # deve-se descomentar a linha output # database: log to a variety of databases # --------------------------------------# output database: log, mysql, user=root password=senhaMysql dbname=snort host=localhost #---------------------------------------Finalizamos aqui a instalao do Snort com suporte a MySQL, agora vamos para a instalao do BASE. Instalao do BASE Agora vamos fazer a instalao do BASE, mas para ele funcionar precisamos ter um servidor Apache-

SSL funcionando, ento vamos fazer algumas configuraes que so necessrias para ele rodar com suporte a PHP: # vi /etc/apache-ssl/httpd.conf #-------------------------------------------# Se no tiver estas linhas voc deve adicion-las # AddType application/x-httpd-php .php AddType application/x-httpd-php-source .phps # #------------------------------------------# vi/etc/php4/apache/php.ini #-------------------------------------------# Se no tiver estas linhas voc deve adicion-las # extension=mysql.so # #-------------------------------------------Reiniciando o servidor Apache-SSL: # . /etc/init.d/apache-ssl restart

Instalao do base (Basic Analysis and Security Engine)

Acessando a pasta www do apache: # cd /var/www Fazendo download do base: # wget http://ufpr.dl.sourceforge.net/sourceforge/secureideas/base-1.2.7.tar.gz Removendo a pgina index.html do diretrio www e descompactando o base-1.2.7 aqui baixado, renomeando pasta e alterando permisses de usurios da pastas para o usurios web (www-data): # rm index.html # tar xvzf base-1.2.7.tar.gz # mv base-1.2.7 base # chown -R www-data:www-data base Agora vamos configurar o base via web, primeiro abra o browser e acesse o endereo:

https://www.seuserver.com.br/base E adicione as configuraes bsicas do BASE: Linguagem: Portugus Path para o Adobd: /usr/share/adodb/ Database Name: snort Database Host: localhost Database Port: deixe em branco! Database User Name: root Database Password: senhaMysql Clique em "create baseag" Agora v para o passo 5: login Configurando o PEAR no Debian: # pear config-set preferred_state alpha Instalando alguns pacotes necessrios do Pear para que o BASE funcione normalmente: # pear install Image_Color # pear install Image_Canvas # pear install Image_Graph Configurando o php4 para suportar a biblioteca grfica do php-gd: # vim /etc/php4/cli/php.ini #------------------------------------------------------# Descomente a linha abaixo # extension=gd.so # #------------------------------------------------------Espero ter ajudado a comunidade com este artigo, pois demorei algum tempo para faz-lo. Est bem tranqilo para entender o que , como funciona e implantao de um IDS na rede. Estou a disposio para esclarecer dvidas dos usurios da comunidade, obrigado a todos, T+. Everton Godoi - evertongodoi@hotmail.com

Achei uma falha de segurana no seu artigo :) Database Name: snort Database Host: localhost Database Port: deixe em branco! Database User Name: root Database Password: senhaMysql Criem um usurio 'snort' por exemplo para ter acesso somente database que o snort vai utilizar, assim evita-se problemas de segurana com o MySQL a interface do Snort :) Abraos. [2] Comentrio enviado por evertongodoi em 09/05/2007 - 10:46h: Opa certeza, realmente o correto ser feito com o user snort ou qual o usaurio estiver afim de fazer, eu coloquei o user root mesmo pois considerei que o snort iria trabalhar em um server sozinho na rede mas o correto realmente utilizar um usuario diferente, mas para fazer isso bem simples para o pessoal aqui da comunidade que nao sabe abaixo segue uma forma de ser feito: 1. Criar as base de dados no MySQL # mysql -u root -p mysql> create database snort; 2. Vamos criar um usurio/senha para o snort no banco: mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort; mysql> SET PASSWORD FOR snort@localhost=PASSWORD('senhaSnortMysql'); mysql> exit

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=6500