+ Responder ao Tópico



  1. #1

    Padrão Duvidas c/ uso do Snort.

    Estou tento alguns problemas c/ o snort, e depois da sua instalação surgiram algumas duvidas.

    1 - Todo "ataque" é logado em tempo real ou demora algum tempo?

    2 - Comparando c/ os logs gerados pelo meu fire (iptables), noto q o snort não loga todos os ataques, isso é normal?

    3 - qual a diferença entre HOME_NET e EXTERNAL_NET e qual delas o snort fareja?

    Desde ja agradeço a atenção.

  2. #2
    Visitante

    Padrão Duvidas c/ uso do Snort.

    bom o snort responde em tempo real
    se o firewall ta logando algo que o snort nao ta pegando ajuste as regras e sensores no snort .

    home_net e sua rede interna external_net a internet
    qual delas monitorar ?
    bom isso depende de vc e da sua rede

    []'s



  3. #3

    Padrão Duvidas c/ uso do Snort.

    Respostas:

    1) Ele gera em tempo real.

    2) Perai, pq você acha que não loga todos os ataques? Será que você não está confundido a simples tentativa de entrada em determinada porta com um ataque?

    3) Digamos que em HOME_NET vai ser as faixas de IP que o Snort deve "ignorar" como atacantes, e EXTERNAL é que ele deve considerar como atacantes.

    Falo? :P

  4. #4

    Padrão Duvidas c/ uso do Snort.

    Citação Postado originalmente por DropALL
    Respostas:

    1) Ele gera em tempo real.

    2) Perai, pq você acha que não loga todos os ataques? Será que você não está confundido a simples tentativa de entrada em determinada porta com um ataque?

    3) Digamos que em HOME_NET vai ser as faixas de IP que o Snort deve "ignorar" como atacantes, e EXTERNAL é que ele deve considerar como atacantes.

    Falo? :P
    Valeu pela luz.

    Minha duvida agora é saber se meu snort esta ok, pois ele gera algo em torno de 3 a 4 logs por dia, ele esta na internet c/ um ip válido e tenho um fire baseado em iptables q entre alguma regras dropa INPUT, procurei somente manter a porta 22 p/ acesso SSH, e segundo alguns portscanners somente ela esta aberta. Mais ainda sou iniciante q esta meio perdido, mais faço o possivel pra aprender, e a ajuda desse forum eh fundamental.

    Desde ja agradeço a atenção.



  5. #5

    Padrão Duvidas c/ uso do Snort.

    Colega,

    Por você(como você mesmo disse) ser iniciante não sugiro deixar a SSH aberta, já que implica em muito na sua segurança. Mas se você for precisar MESMO, faça algumas mudanças no SSHD do seu servidor, como:
    1) Mudar a porta de resposta do SSH, inves de 22, mude para alguma porta alta aleatoria (essa já evita 95% dos force brutes, e se fizerem scan de portas teu snort loga antes e bloqueia caso vc tenha o guardian configurado direitinho)...
    2) Configure no seu iptables, para que permita entrada nessa porta, apenas as faixas 200.0.0.0/8 e 201.0.0.0/8 que são faixas dentro do Brasil, se você não loga do japão nao precisa ter outras faixas...
    3) Configure para que o "root" não possa logar direto.
    4) Crie um usuario para que ele sim possa logar via ssh e então entrar como root (allowusers e su), com nome de login aleatorio, e senha forte (minusculas, maiusculas, numeros, caracteres especiais e acima de 10 digitos)

    Com mais paranoia pode-se:
    1) Incrementar a segurança do seu servidor com sistemas tipo Tripwire, AIDE ou até mesmo LIDS....
    2) E criar jaulas chroot para casos especificos :P
    3) Enviar e-mails para você a cada login bem ou mal sucedido no seu servidor

    Casos ainda mais extremos de paranoia:
    1) Discagem para seu celular com mensagem telefonica de aviso de login em tempo real(não é mensagem sms, é discado mesmo) :P

    6)

    ehehhe

  6. #6
    garupeiro
    Visitante

    Padrão Duvidas c/ uso do Snort.

    Caracas o cara aki em cima fez uma viagem animal

    BEM VINDO AO MUNDO DA MATRIX :P :good:



  7. #7
    Frizo
    Visitante

    Padrão 200.0.0.0/8 201.0.0.0/8

    Após receber tentativas diárias de ataques à porta 22 vindo principalmente de fora do Brasil, resolvi liberá-la apenas para os IPs citados acima

    Durante aproximadamente um mês recebi umas 3 ou 4 tentativas de ataque vindas de 200 ~ 201 na qual rastreei e envie e-mail para o ABUSE do respectivo domínio.

    Acontece que hoje houve uma tentativa vinda de 216.231.36.198.

    Alguém tem alguma explicação?

    Agradeço antecipadamente a ajuda.

    Abraços,

    Bruno Frizo

  8. #8
    antoniobrandao
    Visitante

    Padrão Re: 200.0.0.0/8 201.0.0.0/8

    Ola,

    Realmente existem varios scanners de ssh rodando por ai. Recentemente vivenciei um caso real de um cliente que instalou uma maquina fedora core 2, configurou o firewall e dexiou ssh aberto. A senha do root era "123456". Em 24 horas a maquina estava comprometida.

    Eu deixo ssh aberto, da seguinte forma:
    - bloqueio login do root
    - troco a porta do ssh (afinal vc saberá qual é a porta)
    - desabilitou autenticacao por senha, deixo apenas por chave publica/privada.

    Desta forma, vc está relativamente seguro.

    Voce pode fazer isso editando o /etc/ssh/sshd_config


    Antonio Brandao


    Citação Postado originalmente por Frizo
    Após receber tentativas diárias de ataques à porta 22 vindo principalmente de fora do Brasil, resolvi liberá-la apenas para os IPs citados acima

    Durante aproximadamente um mês recebi umas 3 ou 4 tentativas de ataque vindas de 200 ~ 201 na qual rastreei e envie e-mail para o ABUSE do respectivo domínio.

    Acontece que hoje houve uma tentativa vinda de 216.231.36.198.

    Alguém tem alguma explicação?

    Agradeço antecipadamente a ajuda.

    Abraços,

    Bruno Frizo



  9. #9
    gmlinux
    Visitante

    Padrão Duvidas c/ uso do Snort.

    Nem ligo, mantenho na mesma porta, autenticação por chave, somente dois usuários permitidos, um roda uma aplicação específica (garanto na chave a execução somente dela) o outro, para poder administrar, usuário com privilégio de tornar-se root.
    O tempo para se descobrir em qual porta esta rodando não é muito alto...
    Usar o snort/guardian para bloquear ip pode permitir um DOS...

  10. #10
    antoniobrandao
    Visitante

    Padrão Duvidas c/ uso do Snort.

    O lance é que os worms que fazem scan automático da rede não ficam testando várias portas a procua do ssh. Se for uma pessoa (humano) então é facil mesmo descobrir.

    Vc tem razao em relacao a fazer bloqueio automatico... é suicídio, pode gerar DOS.

    Como vc faz para permitir que usuário X somente executa a aplicação Y? Eu costumo deixar o cara logar e depois no sudo especificar quais aplicacoes ele executa como root.

    Citação Postado originalmente por gmlinux
    Nem ligo, mantenho na mesma porta, autenticação por chave, somente dois usuários permitidos, um roda uma aplicação específica (garanto na chave a execução somente dela) o outro, para poder administrar, usuário com privilégio de tornar-se root.
    O tempo para se descobrir em qual porta esta rodando não é muito alto...
    Usar o snort/guardian para bloquear ip pode permitir um DOS...



  11. #11
    gmlinux
    Visitante

    Padrão Duvidas c/ uso do Snort.

    Olha aqui:
    http://www.hmug.org/man/8/sshd.php
    na parte "AUTHORIZED_KEYS FILE FORMAT"

  12. #12

    Padrão Duvidas c/ uso do Snort.

    po... só fera :clap:



  13. #13
    aleerta
    Visitante

    Padrão Duvidas c/ uso do Snort.

    Citação Postado originalmente por gargwlas
    po... só fera :clap:
    não são tão feras assim não, o problema consiste na grande quantidade de leigos. a maioria e apenas curioso. tchau