Tecnologia em Segurança da Informação
Snort
Snort
O que é ?
O snort é um IDS (Intrusion Detection System) ou se preferir sistema de detecção de intrusão.
O snort trabalha como um guardião, ou seja, enquanto está ativo vigia as conexões na rede informando caso ocorra alguma tentativa de intrusão, é lógico que não adiantará nada se os logs não forem checados, pois, o snort somente captura o tráfego e lista os pacotes suspeitos, cabe ao administrador checar os logs e alertas para verificação de ataques ou falsos positivos.
Não abordaremos o funcionamento no LINUX, pois, é vasto o material existente, aqui faremos a utilização no Windows.
1)primeiro passo baixar a versão do aplicativo em http://www.snort.org/dl/binaries/win32/
2) após instalado, vá até o prompt de comando e entre no diretório c:\snort\bin
3) Vamos executar o comando snort -W, para verificar as interfaces ativas:
4) agora vamos ativar a eth, no meu caso é a 2, e vamos utilizar o snort em modo sniffer, para isto utilizamos o comando snort -i 2 -v
5) Vejam os pacotes sendo capturados;
6) Capturando o tráfego e guardando os logs, para tal basta o comando : snort -i 2 ../log -h rede /CIDR
7) a pasta com os logs
Agora, basta se aprofundar na ferramenta e começar a criar regras e alertas em modo NIDS, lembrem-se , no windows é necessário o winpcap, para rodar o snort.
até a próxima.
O que é ?
O snort é um IDS (Intrusion Detection System) ou se preferir sistema de detecção de intrusão.
O snort trabalha como um guardião, ou seja, enquanto está ativo vigia as conexões na rede informando caso ocorra alguma tentativa de intrusão, é lógico que não adiantará nada se os logs não forem checados, pois, o snort somente captura o tráfego e lista os pacotes suspeitos, cabe ao administrador checar os logs e alertas para verificação de ataques ou falsos positivos.
Não abordaremos o funcionamento no LINUX, pois, é vasto o material existente, aqui faremos a utilização no Windows.
1)primeiro passo baixar a versão do aplicativo em http://www.snort.org/dl/binaries/win32/
2) após instalado, vá até o prompt de comando e entre no diretório c:\snort\bin
3) Vamos executar o comando snort -W, para verificar as interfaces ativas:
4) agora vamos ativar a eth, no meu caso é a 2, e vamos utilizar o snort em modo sniffer, para isto utilizamos o comando snort -i 2 -v
5) Vejam os pacotes sendo capturados;
6) Capturando o tráfego e guardando os logs, para tal basta o comando : snort -i 2 ../log -h rede /CIDR
7) a pasta com os logs
Agora, basta se aprofundar na ferramenta e começar a criar regras e alertas em modo NIDS, lembrem-se , no windows é necessário o winpcap, para rodar o snort.
até a próxima.
Total Comments 0
