Snort

Disponível somente no TrabalhosFeitos
  • Páginas : 10 (2407 palavras )
  • Download(s) : 0
  • Publicado : 2 de março de 2015
Ler documento completo
Amostra do texto
CRIANDO REGRAS PARA O SNORT
Versão 0.2
Maio de 2008

SNOC - SECURITY NETWORK OPERATION
CENTER

Glaudson Ocampos
glaudson@intruders.org.br

SUMÁRIO
1– INTRODUÇÃO ............................................................................................................................03
2 – CAPTURANDO TRÁFEGONOCIVO.......................................................................................04
3 -MODELO DE CRIAÇÃO DE REGRAS......................................................................................08
3.1 – Criação de Regras Básicas no Snort ......................................................................................08
4 – CRIANDO REGRAS PARA O SKYPE......................................................................................13
4.1 –Inserindo Regra no SNOC .....................................................................................................14
5 – CONCLUSÃO..............................................................................................................................14
6 – REFERÊNCIAS..........................................................................................................................14

Gerente do Projeto - Security
Sr. Glaudson Ocampos – Analista de Segurança
Telefone: (61) 3033-7728
glaudson@security.org.br

1 – Introdução
A Equipe do Intruders Tiger Team Security desenvolveu esse documento com o objetivo de
fornecer informações sobre como criar regras específicas para o Snort, usado na versão pública do
SNOC. Temos grande experiência em criar regras dedetecção avançadas para clientes que
executam aplicativos específicos.
Nesse documento vamos descrever como criar uma regra para detectar o uso do Skype em
uma rede Interna. O Skype tem sido usado por algumas pessoas em sistemas onde há dificuldade
em barrar o protocolo. Muitas pessoas sabendo disso, utilizam o Skype como ferramenta de batepapo semelhante a outras em horário e local detrabalho.

2 – Capturando Tráfego Nocivo
Para captura e análise de tráfego, nós utilizamos uma ferramenta de sniffing que possa nos
fornecer informações em tempo real e de modo mais transparente sobre os pacotes capturamos.
Optamos por usar o Wireshark[4] em ambiente Windows para captura dos dados enviados e
recebidos pelo Skype, pois se trata de uma ferramenta poderosa de monitoramento depacotes.
Uma análise detalhada do protocolo usado pelo Skype pode ser vista no documento “An
Analysis of the Skype Peer-to-Peer Internet Telephony Protocol” - de Salman A. Baset e Henning
G. Schulzrinne.

No entanto, o seguinte diagrama retirado do documento citado nos fornece informações úteis
na captura do tráfego:

(Figura 1 – Handshake do Skype)
A figura ilustra bem uma espécie de“handshake” do Skype entre o cliente e os SN(Super
Nodes em modelos P2P).
Para que essa conexão seja efetivada, o Skype tenta inicialmente enviar pacotes UDP na
porta 33033 para 7 bootstrap SN. Capturando múltiplas conexões a essa porta de um único IP local
para múltiplos(no caso 7) Ips remotos pode servir como regra de detecção de conexão ao Skype.

A figura abaixo demonstra a captura de dadosenviados para uma porta 33033(TCP) usada
por um bootstrap SN do Skype:

(Figura 2 – Wireshark demonstrando conexão na 33033/tcp pelo Skype)
A porta de origem é aleatória, logo não se deve usá-la em parâmetro adicional para evitar
falso-positivos. No entanto há pelo menos mais um ponto de captura em que podemos setar
corretamente o conteúdo do pacote e detectar com mais exatidão uma conexão aoSkype.
Após a conexão na porta 33033/tcp o cliente do Skype então conecta na porta
TCP/443(DNS) para envio das credencias e processo de login. Então, poderíamos analisar o envio
desses pacotes para o IP previamente capturado e nos certificar que um processo de login do Skype
está em andamento, no entanto isso também não é confiável, mas pode ser usado em conjunto na
correlação dos logs....
tracking img