Arquivo da categoria ‘honeypots’

Clique aqui e veja nosso novo site

Fonte: drkmario.blogspot.com

Galera, estou com pouco tempo, Por isso tenho que ser bem rapido

Primeiramente

O Snort é uma das ferramentas mais utilizadas com o intuito de detectar no momento o acesso não autorizado, vale lembrar que no site  http://www.snort.org/ ] também tem uma versão desse IDS para plataforma Microsoft.

Faça o download do snort no link ditado.

# tar zxvf snort.x.x.tar.gz (x.x é a versão)

Será descompactado e criado um diretório snort.x.x, entre nesse diretório e continue…

# ./configure -prefix=/usr/local/snort

# make

# make install

O snort será instalado no diretório /usr/local/snort. Agora o snort está instalado.

OBS: Não está configurado, para isso vamos precisar fazer mais algumas alterações.

Passos:
01. Criar o diretório onde será guardado o arquivo de log do snort.

02. Criar o diretório no /ETC onde ficará o snort.conf e os arquivos rules.

03. Fazer as copias necessárias do arquivos mencionados.

04. E a configuração propriamente dita.

# mkdir /var/log/snort

# mkdir /etc/snort
Passo 3
# cp /usr/local/snort/*.* /etc/snort # cp /usr/local/snort/rules/*.* /etc/snort
Passo 4
# pico /etc/snort/snort.conf (esse é o arquivo de configuração)

Localize as seguintes linhas no arquivo citado acima:

# Path to your rules files (this can be a relative path)
var RULE_PATH ../rules

Essa linha configura o caminho onde ficarão os arquivos de regras, ela deve ficar conforme abaixo:

# Path to your rules files (this can be a relative path)
var RULE_PATH /etc/snort

No final do arquivo snort.conf, vocês encontrarão as linhas que ativam/desativam o uso das regras (rules) como no exemplo abaixo. Retire o símbolo(#) de cada uma das linhas… pois este símbolo especifica uma linha de comentários…. caso queira ativar a linha.

#include $RULE_PATH/local.rules
#include $RULE_PATH/bad-traffic.rules
#include $RULE_PATH/tftp.rules

Estas linhas são as regras que o Snort utilize para identificar e interpretar os ataques realizados em sua máquina por possíveis invasores, você encontrará regras para identificar ataques de Denial of Service, uso de P2P, uso de Port Scanners, cabe a você escolher quais regras serão mais úteis. Salve e feche o arquivo snort.conf.
Para executar o snort, execute a linha abaixo:

# /usr/local/snort/bin/snort -c /etc/snort/snort.conf -i eth0 &

A opção –i indica qual a interface que o snort estará “escutando”, você pode colocar essa linha no /etc/rc.local para garantir a inicialização sempre que o servidor for reiniciado. A opção & indica que o serviço será rodado em Background.
Por fim no diretório /var/log/snort será criado automaticamente o arquivo alert, monitore sempre esse arquivo para verificar possíveis invasões.

Voce pode configurar o snort de acordo com que voce deseje… Pesquise sobre outras configuraçoes no proprio site http://www.snort.org

Até+

importancia de saber invadir

Um hacker etico na minha opniao tem que saber invadir E precisa tambem está atualizado sobre os novos tipos de invasao, pois si ele nao saber invadir. como ele vai si defender contra as invasoes?

Por exemplo: se eu sei invadir um computador pelo metasploit, tipo de invasao: RPC DCOM. Eu sei que a invasao  RPC DCOM é pela porta 135, entao pela logica eu posso evitar essa invasao pela porta 135 fechando a porta 135.

Entenderam meu ponto de vista. Inclusive uma pessoa que é gerenciador de segurança, precisa ainda mais de saber invadir.

Por exemplo: Si um gerenciador de segurança, nao sabe nem o que é invasao e é um segurança de rede, Se algum dia um hacker do mal tentar invadir ele, pode ter certeza que ele nao vai evitar a invasao. E outra, si esse segurança de rede um dia chegar a brigar com um cracker sem saber que é um cracker, voce pode ter certeza que ele vai ser atormentado pelo resto de sua vida na empresa em que trabalha como segurança em rede, pois o cracker nao vai deixar ele quieto.

Um segurança em rede nao só precisa saber invadir, como tambem criar metodos para pegar possiveis invasores.

Vamo lá, Voces que tem alguma esperiencia na area de segurança em rede. Si um cracker está te atormentando e nao quer parar de te atormentar, todo dia ele usa um tipo de invasao nova. O que eu tenho que fazer para pegar esse invasor?

o que voces acham ?

Para pegar o invasor voce nao pode instalar um firewall, pois o firewall vai bloquiar o invasor, e nós nao queremos bloquiar, nós queremos pega-lo. Lembra como o Tsutomu shimomura pegou o hacker kevim mitinik?

Pra quem nao sabe eu vou falar… Ele criou um honeypot para pega-lo com a mao na massa. O Tsutomu criou um honeypot, para que o kevim invadisse-o, e quando ele invadisse o honeypot, simultaneamente ele seria pego pelo honeypot.

E voltando a nossa pergunta…

Como poderiamos pegar um invasor?

Uma das formas seria criando um honeypot.

Para quem nao sabe o que é honeypot  -> honeypot é uma ferramenta para detecçao de intrusos.

Iae galera, o que voces acham ?

Um segurança em rede, precisa ou nao saber invadir ?