SEGURANÇA
Juan Carlos Garavito – www.sxc.hu
Detecção de intrusão com o IDS Snort
Rede sem porcaria Desvende e evite ataques ocultos com o Snort. por Chris Riley
L
ogo após implementar e configurar um sistema de detecção de intrusão (IDS) e conectálo à Web já é possível perceber que ele imediatamente encontra toda uma variedade de formas de tráfego que não deveriam fazer parte de uma DMZ. Em sites hospedados isso é ainda mais perceptível, pois o firewall dos provedores desses serviços freqüente permitem a passagem de quase todo o tráfego. Nos primeiros cinco minutos após conectar o IDS à Web, ocorrem diversas varreduras de portas e tentativas de acesso aos servidores principais. A partir dos logs do IDS, fica óbvio que os servidores estão sob um verdadeiro ataque. Portanto, é bom observar a rede, mesmo com um firewall bem configurado, e isso requer um IDS. No nível mais básico, um IDS simplesmente captura o tráfego da rede. Depois, ele usa as regras arma56
zenadas para conferir o conteúdo dos pacotes capturados em busca de ataques a vulnerabilidades conhecidas ou código malicioso. Quando o IDS descobre algo que se assemelha a uma regra, ele ativa uma ação pré-configurada. A ação varia de acordo com a configuração, porém, no modo básico de IDS, o sistema simplesmente registra o tráfego malicioso ou envia um alerta. Um sensor IDS no perímetro da rede pode vigiar o tráfego que o firewall admite; um sensor localizado fora do firewall pemite a observação de tentativas de acesso. O Snort [1] é um IDS de código aberto que, como vários outros projetos de código aberto criados nos últimos anos, tem hoje um braço corporativo, o Sourcefire [2], mas permanece disponível gratuitamente e sob a GPL. Este artigo descreve o uso do Snort para proteção da rede.
Instalação
O Snort geralmente é fácil de instalar. Ele está disponível nos repositórios da maioria das distribuições; porém, talvez seja uma versão antiga, e na área de segurança é sempre bom estar a par dos últimos lançamentos. Durante a escrita deste artigo, a versão mais recente do Snort era a 2.8.3.1. Instalá-lo a partir dos fontes não é tão fácil quanto usar os pacotes da sua distribuição, mas há várias possibilidades de customização do software que fazem o processo realmente valer a pena. Para isso, o ideal é começar baixando o código-fonte a partir do site principal e conferindo seu hash MD5 contra o fornecido pelo site: wget http://www.snort.org/dl/ ➥current/snort-2.8.3.1.tar.gz wget http://www.snort.org/dl/ ➥current/snort-2.8.3.1.tar.gz.md5 md5sum -c http://www.snort.org/dl/ ➥current/snort-2.8.3.1.tar.gz
http://www.linuxmagazine.com.br