Reducing network attacks with Snort

cleber brandaocleber.brandao[nospam]locaweb.com.br

sexta-feira, 18 de novembro de 11

Agenda• What is an IDS

• Types of attack

• Snort structure

• How snort works

• Preprocessors

• Output plugins

• Operation modes• Positioning• Q&A

sexta-feira, 18 de novembro de 11

What is an IDS?

• Intrusion Detection System

• Layer 7 analysis

• Just a sensor

• IPS can drop packets

• Pattern match or behavior

sexta-feira, 18 de novembro de 11

Types of attack

sexta-feira, 18 de novembro de 11

External attacks

sexta-feira, 18 de novembro de 11

Internal attacks

sexta-feira, 18 de novembro de 11

Unstructured attacks

sexta-feira, 18 de novembro de 11

Structured attacks

sexta-feira, 18 de novembro de 11

Understanding the Snort

• Created in 1998 just like sniff

• Becomes as IDS in 1999

• Last version 2.9.1.2

sexta-feira, 18 de novembro de 11

How snort works

sexta-feira, 18 de novembro de 11

Preproccessors

• sfPortScan

• Frag3

• httpInspect

sexta-feira, 18 de novembro de 11

sfPortscan

• Half connection scans

• Decoy scans

• Distributed scans

• Port sweep scans

sexta-feira, 18 de novembro de 11

Frag3

• Detect anomalies in fragmented packets

sexta-feira, 18 de novembro de 11

Frag3 evasion

sexta-feira, 18 de novembro de 11

Frag3 evasion (2)

sexta-feira, 18 de novembro de 11

httpInspect

• HTTP normalization

sexta-feira, 18 de novembro de 11

httpInspect (sample)

• / = %2f

• . = %2e• alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS

$HTTP_PORTS (msg:”WEB-ATTACKS /usr/bin/id command attempt”;flow:to_server,established; content:”/usr/bin/id”;nocase;classtype:web-application-attack;sid:1332;rev:7;)

• %2fusr%2fbin%2fid = bybass

sexta-feira, 18 de novembro de 11

Output plugins

• Databases (mysql, postgre, oracle)

• Syslog

• Pcap (tcpdump, wireshark)

• Unified2

sexta-feira, 18 de novembro de 11

Operation modes

• IDS

• IPS

• Sniffer

• pcaps analysis

sexta-feira, 18 de novembro de 11

Positioning

• Sensor (port-mirror, network tap)

• IPS (bridge, gateway)

• Internal

• External

sexta-feira, 18 de novembro de 11

Questions ?

sexta-feira, 18 de novembro de 11

Where to find me

• Freenode - #securityguys, #snort-br

• Security conferences

• Buy me a Beer ;)

sexta-feira, 18 de novembro de 11

Thank you

• www.locaweb.com.br

• www.snort.org.br

• www.snort.org

• clebeerpub.blogspot.com

sexta-feira, 18 de novembro de 11