Depois de algum tempo sumido estamos de volta com a Série Snortando. Caso não tenha visto os post anteriores e a Agenda basta acessa aqui: http://spookerlabs.blogspot.com.br/2012/01/agenda-da-serie-snortando.html
Como comentamos anteriormente o Snort possui um ciclo, no qual o quanto mais rápido o pacote for analisado ou retirado do ciclo melhor a performance. Basicamente temos:
Aquisição do tráfego (DAQ) -> Decoders -> Pré-Processadores -> Engine de Detecção (Assinaturas/Regras) -> Plugins de Saída
Os pré-processadores tem um papel MUITO importante nesse ciclo de detecção e é de suma importância entende-los. Alguma das funções que podemos salientar:
- Remontagem pacotes IP fragmentados (frag3)
- Reassemble protocolo TCP (stream5)
- Normalização de encodes HTTP (http_inspect)
- Javascript (http_inspect)
- Analise de performance (perfmonitor)
- Normalização de tráfego de e-mail (SMTP / POP e IMAP)
- Normalização tráfego SMB/Netbios (DCERPC2)
- Arp Spoofing (arpspoof)
- Lista de Reputação IP (ip_reputation)
- Detecção dados confidenciais (sensitive_data)
No total o snort possui por volta de 22 pre-processadores que tem o trabalho de repassar os dados o mais normalizado e "original" possivel para o sistema de deteção possa fazer seu trabalhando, mitigando os falsos-negativos, vulgo, bypass.
Como citei na agenda falaremos em especifico da maioria dos pre-processadores visto a grande importancia dos mesmo. O interessante que o pre-processador pode remover os dados do ciclo ganhando assim tempo visto que isso dara oportunidade para analisar outro pacote.
Algo que é de suma importancia para a configuração correta dos mesmo é entender como os protocolos funcionam, pois sem isso fica dificil configura-los de forma correta. Também temos as pre-proc rules que serão comentadas no próximo blogpost no qual cobrirei esse assunto.
Em resumo os pre-processadores são a parte mais importante do Snort, muito mais que as assinaturas pois se a normalização não acontecer de forma correta de nada adiantara as regras.
Lembrando que ministrarei treinamento completo EaD no próximo mes (Agosto/2012) - http://spookerlabs.blogspot.com.br/2012/06/treinamento-snort-completo-ensino.html
Happy Snorting!
Rodrigo "Sp0oKeR" Montoro
2 comentários:
boa Sp0oker, pensei que ia mostrar uns codes e tals... mas explicou os tópicos ficou shows...
boa sp0oker shows de bola :-)
Postar um comentário