domingo, 12 de fevereiro de 2012

Posicionamento Sensores / DAQ (Data AcQuisition Library) - Serie Snortando (Parte 2)

  Para quem não leu postamos na Parte 1 da Serie Snortando ( http://spookerlabs.blogspot.com/2012/01/introducao-ao-snort-serie-snortando.html ) a introdução ao Snort, como ele funciona . A primeira parte para o bom funcionamento do mesmo iniciasse com a aquisicão de dados e é aqui que entra o DAQ ( Data AcQuisition library ).

       O DAQ foi adicionado ao Snort a partir da versão 2.9, ou seja,  é algo relativamente novo. Um dos pontos importantes para melhor aquisição de dados é o posicionamento do seu Sensor e por isso antes de falar do DAQ comentarei o básico de posicionamento de um sensor.

Inicialmente temos que fazer algumas perguntas para visualizar melhor o tráfego:

       1-) O que quero monitorar ?
             Essa pergunta parece lógica mas muita gente não sabe o que realmente quer proteger ou monitorar. É de extrema importancia saber o que queremos, um sensor dificilmente conseguira monitar TUDO que voce quer, ou seja,  se não tem opção para multiplos sensores foque no que achar importante (se não sabe exatamente melhor entender mais da sua rede =)  ).

       2-) Qual a vazão da minha rede ?
             Outro questionamento importante é o tipo de tráfego que quer monitorar para saber escolher melhor um hardware. Não existe resposta pronta para a famosa pergunta "Uma maquina com X de memoria, N CPUs e Disco Rigido de Y Bytes é suficiente?" . Logicamente em um hardware convencional voce nunca conseguira a performance de appliance dedicados, um snort bem configurado em uma boa máquina e com tuning bem feito dificilmente conseguira monitrar 1 gbps .
             Na parte que falaremos do pre-processador de performance ensinaremos como analisar se esta dropando pacotes etc etc =).

       3-) Quais protocolos quero monitorar ?
              É muito importante saber os protocolos que passam e são importantes monitorar para não desperdiçar ciclos do snort com algo que não precisara monitorar ou carregar em memoria regras que não serão utilizadas. Lembre-se que nem sempre quanto mais regras melhor é, isso pode ser totalmente inverso =)

       4-) Quero uma proteção imediata ou somente monitoramento ?
             Aqui entra a parte do posicionamento . Existem os dois tipos ou sopinha de letras mais clássico que seriam:

            IDS -Intrusion Detection System  no qual é um sistema passivo recebendo copia do tráfego e fazendo analise. Na pratica se o cara precisa de somente 1 pacote para exploitar uma falha por exemplo esse sistema te alertara mas a maquina já tera sido exploitada. Logicamente voce pode ter uma reação ao ataque com sistemas que monitoram os logs do snort (OSSEC por exemplo) bem como o proprio snort enviar pacotes para encerramento da conexão (entraremos em detalhes em posts futuros na parte de escrita de regras).