Open in app

Sign in

Write

Sign in

Lab 7 — IPS/IDS

Vagner Bom Jesus
6 min readJan 12, 2025

--

No âmbito do Lab 7 — IPS/IDS, partilho a minha experiência na configuração e implementação de um Sistema de Detecção de Intrusão (IDS) e de um Sistema de Prevenção de Intrusão (IPS) utilizando o Snort, uma ferramenta open source amplamente reconhecida na monitorização e proteção de redes.

O que é IPS e IDS?

Detecção de intrusão é o processo de monitorar o tráfego da sua rede e analisá-lo em busca de sinais de possíveis intrusões, como tentativas de exploração e incidentes que podem ser ameaças iminentes à sua rede. Por sua vez, a prevenção de intrusão é o processo de executar a detecção de intrusão e, em seguida, interromper os incidentes detectados, normalmente feito por meio do descarte de pacotes ou do encerramento de sessões. Essas medidas de segurança estão disponíveis como sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS), que fazem parte das medidas de segurança de rede tomadas para detectar e interromper incidentes em potencial e são funcionalidades incluídas em firewalls de próxima geração (NGFW) .

Quais são os benefícios do IPS/IDS?

O IDS/IPS monitora todo o tráfego na rede para identificar qualquer comportamento malicioso conhecido. Uma das maneiras pelas quais um invasor tentará comprometer uma rede é explorando uma vulnerabilidade dentro de um dispositivo ou software. O IDS/IPS identifica essas tentativas de exploração e as bloqueia antes que comprometam com sucesso quaisquer endpoints dentro da rede. O IDS/IPS são tecnologias de segurança necessárias, tanto na borda da rede quanto no data center , precisamente porque podem parar os invasores enquanto eles coletam informações sobre sua rede.

Como funciona o IDS?

Três metodologias de detecção de IDS são normalmente usadas para detectar incidentes:

  • A detecção baseada em assinatura compara assinaturas com eventos observados para identificar possíveis incidentes. Este é o método de detecção mais simples porque ele compara apenas a unidade atual de atividade (como um pacote ou uma entrada de log com uma lista de assinaturas) usando operações de comparação de strings.
  • A detecção baseada em anomalias compara definições do que é considerado atividade normal com eventos observados para identificar desvios significativos. Este método de detecção pode ser muito eficaz para identificar ameaças previamente desconhecidas.
  • A análise de protocolo com estado compara perfis predeterminados de definições geralmente aceitas para atividade benigna do protocolo para cada estado do protocolo em relação a eventos observados, a fim de identificar desvios.

O que você pode fazer com IPS/IDS?

Os sistemas de detecção de intrusão (IDS) e os sistemas de prevenção de intrusão (IPS) monitoram constantemente sua rede, identificando possíveis incidentes e registrando informações sobre eles, interrompendo os incidentes e relatando-os aos administradores de segurança. Além disso, algumas redes usam IDS/IPS para identificar problemas com políticas de segurança e dissuadir indivíduos de violar políticas de segurança. IDS/IPS se tornaram uma adição necessária à infraestrutura de segurança da maioria das organizações, precisamente porque podem interromper invasores enquanto eles coletam informações sobre sua rede.

IPS e IDS da Juniper

Os firewalls Juniper Networks SRX Series, incluindo o vSRX e o cSRX , são totalmente equipados para serviços de detecção e prevenção de intrusão (IDP). Você pode aplicar seletivamente várias técnicas de detecção e prevenção de ataques no tráfego de rede que passa pelo seu dispositivo SRX Series escolhido ou serviço Secure Edge , que fornece firewall como serviço. Você pode definir regras de política para corresponder a uma seção de tráfego com base em uma zona, uma rede ou um aplicativo e, em seguida, tomar ações preventivas ativas ou passivas nesse tráfego. O SRX Series e o serviço Secure Edge contêm assinaturas IPS robustas e continuamente atualizadas para proteger as redes contra ataques. O SRX Series pode encaminhar logs IDP para qualquer sistema de gerenciamento de incidentes e eventos de segurança (SIEMs) , como o Juniper Secure Analytics (JSA).

Instalando e configurando o Snort IDS/IPS

1. Atualizar o Sistema

Antes de iniciar a instalação, é fundamental garantir que o sistema está atualizado. Abra o terminal e execute:

1. Atualizar o Sistema

Antes de iniciar a instalação, é fundamental garantir que o sistema está atualizado. Abra o terminal e execute:

sudo apt update && sudo apt upgrade -y
sudo apt install -y snort

Durante a instalação, será solicitado que defina a rede local no formato CIDR. Insira o intervalo de IPs correspondente à sua rede.

5. Verificar a Instalação

Para confirmar que o Snort foi instalado corretamente, verifique a versão:

snort -V

2. Adaptação do Ficheiro de Configuração do Snort

O ficheiro de configuração principal do Snort , geralmente em (snort.conf ou snort.lua). Edite-o para ajustar as variáveis de acordo com a sua rede:

sudo nano /etc/snort/snort.lua

HOME_NET: Defina esta variável com o intervalo de IPs da sua rede interna. Por exemplo:

HOME_NET = '192.168.4.152'

Validação do ficheiro de configuração

sudo snort -T -c /etc/snort/snort.lua -i eth0
  1. Criação de uma regra para deteção e alerta de pings à máquina (ICMP)

Criação de regras ( este comando serve também para os pontos 6,7,8,9):

sudo nano /etc/snort/rules/local.rules

regra de detecção de ping:

Adicione as seguintes regras conforme solicitado:

Detecção e alerta de pings à máquina (ICMP):

alert icmp any any -> $HOME_NET any (msg:"ICMP Ping detectado"; sid:1000001; rev:1;)

Detecção e alerta de acessos SSH à máquina:

alert tcp any any -> $HOME_NET 22 (msg:"Acesso SSH detectado"; sid:1000002; rev:1;)

Detecção e alerta de um acesso HTTP a um determinado domínio a partir da máquina:

alert tcp $HOME_NET any -> any 80 (msg:"Acesso HTTP ao domínio xpto.local detectado"; content:"Host: exemplo.com"; http_header; sid:1000003; rev:1;)

Detecção e alerta de execução de comandos remotos à máquina via HTTP:

ert tcp any any -> $HOME_NET 80 (msg:"Execução de comando remoto via HTTP detectada"; content:"cmd="; http_uri; sid:1000004; rev:1;)

Detecção e alerta de acessos da máquina para o 1.1.1.1:

alert ip $HOME_NET any -> 1.1.1.1 any (msg:"Acesso ao IP 1.1.1.1 detectado"; sid:1000005; rev:1;)

Detecção e alerta de acessos da máquina a uma máquina externa ao porto TCP 5555:

alert tcp $HOME_NET any -> any 5555 (msg:"Acesso à porta TCP 5555 detectado"; sid:1000006; rev:1;)
sudo snort -Q --daq afpacket -i eth0 -c /etc/snort/snort.lua

Aqui:

  • -Q: Ativa o modo inline.
  • --daq afpacket: Especifica o uso do módulo DAQ afpacket.
  • -i eth0: Define a interface de rede a ser monitorizada.
  • -c /etc/snort/snort.lua: Especifica o ficheiro de configuração.
Ips
Ids
Ids Ips
Intrusion Detection
Installation

--

--

Vagner Bom Jesus
Vagner Bom Jesus

Written by Vagner Bom Jesus

29 Followers
29 Following

Licenciatura em Engenharia Informática

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams