| Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. |
|
| |
| | É impressão minha ou o tripwire não é directamente um programa de "detecção de intrusos" como dizes?
Pode é ser utilizado para esse fim, se a pessoa que o utiliza tiver cabecinha.
Cumprimentos,
Mário Gamito |
| |
| | Também tenho utilizado o programa Iplog. Trata-se de um logger de tráfego TCP/IP que permite detectar muitos tipos de portscans, pelo menos vários dos que se podem realizar com ferramentas do tipo nmap/saint.
Para compilação o Iplog precisas da biblioteca libpcap (a última versão pode ser descarregada do site www.tcpdump.org).
|
| |
| | | Eu estou a utilizar o tripwire em algumas maquinas, sobretudo para monitorar alguns ficheiros criticos de sistema e de logs. Algo interessante, pelo menos para para "apanhar" alguns scans a la' nmap e' o scanlogd (acho que aparece numa das edicoes da Phrack Mas o melhor e' trancar as portas...firewalls are networks best friends:-)
|
| |
| |
| | ó anjinho. explica lá como é que monitorizas logs com o tripwire?
o tripwire faz uma série de checks ao ficheiro (tipo tamanho, CRC, inode base, etc etc etc) e depois compila esta informação numa base de dados que se quer estática (removable/read-only media) para fins de comparação... rotina que o tripwire também possibilita
agora LOGS? hello?
|
| |
| | | boas...ao comparar por exemplo o tamanho de um ficheiro, o tripwire pode notificar consoante o grau de severidade e regras definidas. No meu caso especifico... quando registo uma alteração do size do ficheiro de regras do ipchains ... ou quando verifico alteração no tamanho do log de alertas de scans efectuados, sou notificado por mail.
Foi nessa perspectiva que surgiu a analise de logs.
|
| |
| | Aí necessitas de definir muito bem que ficheiros vais "monitorizar". Caso seja numa base de dados (um aparte, estou a falar muito em base de dados, mas não gosto nada delas ;) ) podes alterar um byte, não é remover/acrescentar, é alterar, que aí tens o mesmo tamanho do ficheiro e o resultado é desastroso, base de dados corrompida, e pode levar algum tempo a descobrires...
Claro que dessa forma consegues "evitar" (melhor, ser alertado da) a utilização dos "root kits".
|
| |
| | "Mas o melhor e' trancar as portas...firewalls are networks best friends:-)" Tststs.... Por essas e por outras é que há muitas "fugas de informação" os sistemas de detecção de intrusão não servem só para ver quem tenta aceder de fora mas também os intrusos internos. E aí de que servem as firewalls? De nada. Exemplo: um programador, que está de saida da empresa, ganha acesso indevido a uma base de dado crítica (salários, p.ex.), o programador é "gente da casa", logo não vai passar pela firewall, logo NUNCA (ok, pequeno exagero) vai ser detectado. Mas se tiveres um sistema de detecçõa de intrusão a monitorizar o que as pessoas estão a fazer (ok, Big Brother is Watching You, e esse não é o da TVI ;) ) vai ser emitido um alarme, pois essa acção (o acesso a base de dados de salários) sai fora do scope do programador. Claro que isso tem outro lado, os empregados têm que ser "avisados" que estão a ser monitorizados (e aqui já entramos na ética, e possivelmente na violação de privacidade) e existe uma sobrecarga da máquina, tudo tem que ser monitorizado. Além de que podem existir "falsos positivos". Remmember: Nem sempre os piores ataques vêm de fora.
|
| |
| | Boas... Concordo que grande parte dos ataques surge de dentro... mas firewalls podem estar colocados em varias partes de uma estrutura de rede... o que poderá dificultar a tarefa.
Contudo uma FW poderá não ser uma barreira intransponivel embora seja essa a sua funcao primordial.
|
| |
| | E aí chegamos ao cúmulo de ter uma firewall para cada máquina ;).
Uma boa arquitectura seria LAN->FW->DMZ->FW->Internet.(mas muito "complicada" de realizar, basta que uma máquina que esteja no DMZ necessite de comunicar com outra máquina na LAN, para ter que "abrir" mais uma porta, logo mais uma vulnerabilidade.
Não esquecer que as firewalls fazem filtragem de pacotes (protocolo, portas, users) e há sempre uma hipotese de dar a volta.
Posso sempre tentar aceder a base de dados via http, se a empresa tiver um site em asp, tiver as base de dados na mesma máquina (ok, BIG erro, mas há piores ;) ), posso tentar criar asp's para fazer o que quizer. (Já estamos na área da pura especulação...)
|
| |
| | | Mas o melhor e' trancar as portas...firewalls are networks best friends:-)
Depois de um comentário deste, só me consigo lembrar de uns certos tóxicos que aqui há uns tempos se gabavam, num qualquer jornal semanário da altura, de pular por cima das firewalls indonésias. As firewalls não te servem de nada se os serviços que estão por trás delas forem facilmente comprometidos. Firewalls, bom auditing de serviços, bom routing e mais do que tudo, administradores com mais de meio cérebro, esses todos juntos é que são os melhores amigos das redes e das pessoas que tem por lá algo de valioso.
|
| |
| | Good Point there. Nao batam mais:-)
|
| |
| | Primeiro, estás a falar de N(B)IDS ou de H(B)IDS ?
NIDS baseia-se na monitorização de redes enquanto o HIDS baseia-se na monitorização das máquinas em si.
Coisas como o tripwire, L5 ou shamhurst são sistemas de HIDS que servem para detectar mudanças de ficheiros na máquina (logo, são inúteis para verificar a integridade de logs, *hint*). Lembro-me que andava por aí uma outra ferramenta que "aprendia" o comportamento dos utilizadores durante algum tempo. Passado o tempo de "aprendizagem" se uma dessas contas fizesse algo de estranho (cat /etc/passwd; echo "+ +" > ~/.rhosts, etc...), o programa avisava o admin.
No lado do NIDS tens vários projectos, como o SNORT (adorrro-o), o Network Flight Recorder, o Abacus Portsentry ou o scanlogd (escrito pelo Solar Designer). O snort e o NFR monitorizam-te o tráfego que passa na tua rede (tipicamente através de um NIC em modo promíscuo) e comparam-no com listas de ataques típicos conhecidos. O scanlogd e o Abacus detectam-te portscans.
Existe toneladas (resmas!) de informação acerca da concepção de sistemas de IDS na web. Um bom sitio para leres coisas bem escritas são as colunas do Kurt Russel, no securityportal.com. Apesar de discordar com algumas das cenas que ele diz gosto de ler as colunas dele. Um outro site que eu devorei, e infelizmente perdi o URL, pertencia a um grupo de defesa informática da US Navy. Tinham lá source code para um sistem de NIDS deles, com muito bom aspecto, e toneladas de white papers sobre o assunto.
|
| |
| | queria agradecer a todos que fumentaram esta discussão com dicas & trocas de ideias pois IDS foi coisa que me fascinou ultimamente e então aproveitei a margem de perguntas no gildot pa expor a minha Obrigado a todos .. lucipher
"do not try to bend the spoon !" (matrix) |
| |
| |
| | | Vai ver isto http://www.psionic.com/abacus/portsentry/ Ja eh um bocado velhinho... mas aguenta-se muito bem, detecta quase todo o tipo de scans e eh extremamente facil de configurar, ate tem umas gayzices tipo banners pra pores nos ports se eh ke te interessa! aproveita tambem pra ver as outras tools do abacus project como o http://www.psionic.com/abacus/logcheck/ e o http://www.psionic.com/abacus/hostsentry/ Se interligares as 3 coisas podes ter uma maquina muito segura.. claro que depende sempre do que corres nela :)
|
| |
