gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
IDS, ver o ataque, mas como evitar?
Contribuído por scorpio em 02-09-03 10:05
do departamento net-tech
Linux rewt escreve "Boas tardes, Tenho estado a brincar nos ultimos 15 dias com um brinquedo chamado Demarc PureSecure! Tem, na minha opinião, muito bom interface, rapido, com diversas opcções de utilização, actualização de regras a nível do Snort pelo software... Tudo isto, freeware!
Não sei se já alguém ja testou este software, embora sensivel a algumas coisas, a outras podemos ficar a saber que por dia pelo menos surgem-me pelo menos 10 ataques (uns mais velhos que a minha avó).

Este pacote desenvolvido por uma empresa chamada Demarc (www.demarc.com), necessita para seu funcionamento do famoso SNORT, Mysql e obviamente um serviço Apache com ssl!"
"Até aqui, tudo bem, MAS!? Isto tudo é muito engraçado, ver uns tipos a fazer portscan, a tentar "nukar-me" e tal... Mas agora a questão, estou a presenciar um ataque, este software só vai dizer quem é o culpado, aponta o dedo apenas, mas como evitar certos ataques que possam por uma rede ou um computador em Risco? Curioso, não é que me tenha acontecido, mas algum software que faça fase a um verdadeiro e derradeiro ataque? Falou-se à pouco tempo no EFC, mas contudo, ainda nao vi nada, o site que dizem está sempre em baixo! :(

Mais não digo amigos, usem o software e ponham aqui as vossas ideias!"

Motorola: To be or not to be Symbian | Koffice vai adoptar o mesmo formato de ficheiros do OOo  >

 

gildot Login
Login:

Password:

Referências
  • Mais acerca Linux
  • Também por scorpio
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Nem por acaso (Pontos:3, Interessante)
    por Gimp em 02-09-03 10:31 GMT (#1)
    (Utilizador Info)
    Estive a ler hoje cedo sobre o LAS, um mini-cd baseado no Knoppix, com toda a parafernália de segurança e mais algumas coisinhas, a fazer lembrar o Trinux. Quanto a lidares com este tipo de ataques, sugiro-te que dediques um tempito à leitura de honeypots :-).


    "No comments"

    Re:Nem por acaso (Pontos:3, Interessante)
    por Gimp em 02-09-03 10:49 GMT (#2)
    (Utilizador Info)
    Já agora, um comentário interessante num artigo, não relacionado, no OSNews.

    "Where I work, we setup a "black hole" router that injects specific IP networks into our OSPF routing domain. These routes are the latest published Bogon routes, see: http://www.cymru.com/Bogons/index.html. Part of the advertisements also advertise larger, less-specific RFC1918 address space. So, if a system attemps random scanning of unassigned public, or, private address space, it gets directed to this router. For example, if you try to scan 10.18.12.0/24 and it really doesn't exist, this router is advertising 10.0.0.0/8, the next best thing. So packets for 10.18.12.3/32 would go to this router. This works for our entire global network because all of our sites participate in the same OSPF routing domain. On the last leg to the sinkhole router, we have a Snort IDS system inspecting all traffic. Also, we log all traffic that the router receives. It turns out that this is a great early warning system for worms as well because most all traffic that this router receieves is automatically suspect."(sic).


    "No comments"

    IDS (Pontos:3, Esclarecedor)
    por moonrider em 02-09-03 11:38 GMT (#3)
    (Utilizador Info) http://127.0.0.1
    A função de um IDS ( Intrusion Detection System ) é, tal como o nome indica, detectar intrusos, não propriamente responder aos mesmos.
    Há software ( portsentry, por exemplo ) que responde aos ataques, bloqueando o acesso a portas, ou executando qualquer comando que queiras de acordo com o alarme gerado, mas isso não é propriamente um IDS.

    A utilidade do IDS é, entre outras, efectuares tunning da firewall ou simplesmente para satisfação da curiosidade sobre quem te ataca e o que pretende...
    PureSecure&Freesco (Pontos:2, Interessante)
    por EFRS em 02-09-03 12:03 GMT (#4)
    (Utilizador Info) http://emanuel.xsecurity.ws
    Utilizo o PureScure mais ou menos 1 ano e tem-se revelado extremamente util ao nível da detecção de ataques.
    É uma ferramenta bastante interessante que dá para ter uma ideia daquilo que um servidor passa todos os dias com os meninos que não tem mais nada que fazer na vida.
    O PureSecure apenas detecta eventos e ataques num server mas não os evita. Para tal aconselho vivamente o portsentry (http://packages.debian.org/unstable/net/portsentry.html) ou o Freesco (http://www.freesco.org/).


    "Acta simulato substantiam veritatis mutare non possunt"
    Freeware (Pontos:2)
    por humpback em 02-09-03 12:40 GMT (#5)
    (Utilizador Info) http://www.felisberto.net
    Alem de o artigo não ter um unico link (googlio saves) http://www.demarc.com/ , não percebi onde é que se viu que aquilo é freeware. Encontrei "PureSecure Professional Evaluation for Unix and Windows" é isto?

    Gustavo Felisberto
    72ef1d7183eb2ea89420b94c0cf3e1f1
    apt-get install anarchism
    Re:Freeware (Pontos:2)
    por Gimp em 02-09-03 13:36 GMT (#6)
    (Utilizador Info)
    Vê melhor nos downloads que faz referência à versão "free" (que só é para uso pessoal) e a profissional...


    "No comments"

    Snort Inline, Netscreen IDP (Pontos:2, Informativo)
    por Ariakus em 02-09-03 14:19 GMT (#7)
    (Utilizador Info)
    Existem algumas alternativas aos ids comuns, podes usar o Snort Inline .

    Ou entao um produto comercial, por exemplo, o IDP ( Intrusion Detection System) da Netscreen ( a funcionar no modo inline ).

    Isto sao apenas alternativas.Integraçao com o software que referes nao conheço.

    Cumprimentos
    Como Evitar ? (Pontos:2, Informativo)
    por apm em 02-09-03 16:48 GMT (#8)
    (Utilizador Info) http://www.pyramid-rp.org
    Bem acho que se esta a fugir um bocado a pergunta colocada, sinceramente não vejo como é que coisas como freesco, cds de live distros, honeypoots, etc, conseguem evitar ataques (quanto muito conseguem demora-los o tempo suficiente para que alguêm note algo fora do normal, fazendo assim o trabalho de um NIDS/IDS).
    Para evitares o ataque, basicamente o que tens que ter são sistemas seguros instalados nas maquinas, de nada te serve usar pacotes de segurança extra, se o "CORE" do sistema esta vulneravel em algum lado, até porque esses pacotes que por ai existem, em muitos casos eles propios tem BUGS bastante graves (remember snort remote exploit?), e correm com privilegios elevados.
    Portanto e partindo do principio que ja fazes o essencial para manteres 1 segurança razoavel nas tuas maquinas ( passwds complexas, updates a tempo e horas, configurações restrictivas, esquema de rede seguro com as devidas DMZ zones, uma boa firewall, etc), poderas em caso de achares necessario ir para coisas um pouco mais paranoicas.
    No caso de sistemas microsoft, so tenho conhecimentos de uma ferramenta extra que te poderá ajudar realmente a evitar ataques (remotos), é o SecureIIS, que basicamente faz o papel de um filtro entre o utilizador e os conhecidos serviços iis da microsoft que diga-se de passagem têm um historial de insegurança bastante largo.
    Quanto ao mundo linux, a historia é outra, com um bocado de know how e muita paciência podes tornar uma maquina a correr linux num verdadeiro sistema seguro segundo as normas de mais alto nivel (NSA yup).
    Tens varias hipoteses que normalmente vêm na forma de patches para o kernel, Grsecurity, Lids, Selinux, Rsbac, todas elas têm prós e contras, umas mais faceis de utilizar (grsecurity e lids), outras ja exigem um conhecimento acima da media por parte do administrador (selinux e rscbac).
    Agora é contigo escolher qual é aquela que se aplica melhor as tuas necessidades, eu pessoalmente considero a rsbac a melhor patch existente para evitar ataques tanto conhecidos como desconhecidos, é também a mais complexa de se configurar e ambituar, mas penso que vale o esforço, digamos que o nível de segurança que obtens é bastante equivalente a um sistema militar (sim daqueles que vês nos filmes e que têm "eeyes only information"), e que tás imune a hackers de fim de semana.
    Re:Como Evitar ? (Pontos:1)
    por liberdade em 03-09-03 2:46 GMT (#10)
    (Utilizador Info) http://www.gildot.org
    Olha se não é o security researcher de fim-de-semana :-))
    Active / Passive ?? (Pontos:2)
    por xeon em 02-09-03 19:56 GMT (#9)
    (Utilizador Info) http://pthelp.org
    Viva.

    Numa anterior versao do Demarc, era possivel por o IDS em modo "activo" (by default esta' em passivo).

    Nao era complicado mas, se bem me lembro, um pouco trabalhoso.

    O que ele fazia era, por exemplo, ao receber um "ataque" a um IIS, enviava um RST "para tras", tentando assim fechar a ligacao.

    Nao sei se esta versao tem a mesma hipotese...

    Nota: Um IDS a funcionar em activo, principalmente se estiver "interligado" com uma firewall (cenario classico nas integracoes de IDS/Firewall-1 da Checkpoint), e' preciso ter muito cuidado para evitar "self-DoS" ... e' facilimo por exemplo forjar os pacotes de ataque para "simular" alguns proxys bem conhecidos da nossa praça... pondo o nosso proprio webserver invisivel aos users :)

    --
    Whatever

     

     

    [ Topo | Sugerir artigo | Artigos anteriores | Sondagens passadas | FAQ | Editores | Preferências | Contacto ]