Snort e regras do Snort explicadas

O que é Snort?

O Snort é um sistema de detecção e prevenção de intrusão de rede (IDS/IPS) de código aberto que monitora o tráfego de rede e identifica atividades potencialmente mal-intencionadas em redes de Protocolo de Internet (IP). A organização pode implementar o Snort usando uma linguagem baseada em regras que combina métodos de inspeção baseados em protocolo, assinatura e anomalia para detectar pacotes maliciosos no tráfego de rede e bloquear possíveis vetores de ataque.

Essa combinação é fundamental. Métodos baseados em assinaturas comumente usados são eficazes para identificar ameaças conhecidas, mas não são tão bons quando se trata de ameaças desconhecidas. O Snort também aproveita abordagens baseadas em comportamento para descobrir vulnerabilidades reais ao comparar a atividade da rede com um conjunto predefinido de regras do Snort. Assim, ele consegue detectar ameaças emergentes sofisticadas que podem não ter sido identificadas anteriormente apenas por métodos baseados em assinaturas.

Casos de uso do Snort

O Snort é usado principalmente por organizações que buscam um IDS/IPS independente de nome de plataforma para proteger suas redes contra ameaças emergentes. As empresas recorrem ao Snort para:

• Monitoramento de tráfego de rede em tempo real
• Análise de protocolo
• A correspondência de conteúdo reúne regras por protocolo, portas e, em seguida, por aquelas com conteúdo e sem conteúdo
• Fingerprinting do sistema operacional (SO)
• Compatibilidade com qualquer sistema operacional

Mas o Snort tem muito mais a oferece.

Detecção de pacotes e registro

O Snort pode servir como um farejador de pacotes que captura tráfego de rede em uma interface de rede local. Você também pode aproveitar o Snort como um registrador de pacotes que grava pacotes capturados no disco para depurar o tráfego de rede. Ou use suas capacidades de IDS/IPS de rede para monitorar o tráfego de rede em tempo real e examinar cada pacote em busca de atividades suspeitas ou carga possivelmente maliciosa.

Alertas e regras

O Snort pode gerar alertas para quaisquer pacotes incomuns descobertos no tráfego de rede, com base nas regras configuradas. Isso pode ajudar a identificar ameaças de rede ou outros riscos que podem levar à exploração de vulnerabilidades.

A linguagem de regras do Snort é muito flexível, permitindo que você crie suas próprias regras do Snort para diferenciar atividades regulares de rede de atividades anômalas. Isso permite que você adicione novos procedimentos que instruem o Snort a monitorar a rede em busca de comportamento específico e prevenir possíveis ataques na rede da organização.

Detecção de ataques

Devido à flexibilidade da linguagem de regras do Snort e à compatibilidade com todos os sistemas operacionais, o Snort é capaz de detectar qualquer ataque baseado em rede, desde que haja uma regra associada ao comportamento do ataque. Abaixo, listamos alguns tipos de ataque que o Snort pode ajudar uma organização a identificar.

Negação de serviço (DoS)/Negação de serviço distribuído (DDoS)

Ataques DoS/DDoS envolvem inundar uma rede com solicitações de serviço ilegítimas para interromper operações comerciais. Enquanto um ataque DoS é lançado de um sistema singular, um ataque DDoS é um ataque orquestrado originado de vários sistemas em vários locais.

Excesso de buffer

Um excesso de buffer ocorre quando o invasor direciona mais tráfego de entrada para um endereço de rede, de modo que o volume de dados da rede excede toda a largura de banda disponível no sistema.

Spoofing

Às vezes, um hacker se passa por um usuário ou sistema autorizado para acessar uma rede-alvo e roubar informações ou realizar atividades maliciosas. Isso é chamado de ataque spoofing.

Interface de gateway comum (CGI)

Embora a CGI forneça uma interface entre a Web e o usuário final para renderizar páginas da Web dinâmicas, ela também é conhecida por conter vulnerabilidades de segurança que podem ser exploradas por hackers. Scripts de CGI baseados na Web podem frequentemente ser vítimas de ataques de validação de entrada devido à ausência de filtragem de entradas maliciosas.

Varreduras de porta furtiva

Os hackers costumam usar varreduras de porta furtiva, também conhecida como varredura semiaberta, para atacar por meio de uma porta aberta na rede sem estabelecer uma conexão completa. Isso envolve o envio de um único pacote por meio do handshake de três vias do Protocolo de controle de transmissão (TCP) e o encerramento do processo assim que uma porta é detectada na rede de destino. Isso ignora firewalls e faz com que a varredura pareça tráfego de rede normal.

Como o Snort funciona?

O Snort é baseado na biblioteca de captura de pacotes (libpcap), uma interface independente de sistema para capturar tráfego amplamente utilizada em analisadores de rede. O Snort monitora o tráfego de rede e o compara com um conjunto de regras do Snort definido pelos usuários em um arquivo de configuração. Ele aplica essas regras aos pacotes no tráfego de rede e emite alertas quando detecta qualquer atividade anômala.

Vamos aprender um pouco mais sobre como o Snort opera e suas regras.

Modos do Snort

O Snort pode ser configurado para ter um dos três sinalizadores, que determinarão seu modo de operação:

• Modo sniffer (sinalizador -v): o Snort lê os pacotes TCP/IP e imprime as informações dos pacotes no console.
• Modo de registrador de pacotes (sinalizador -l): o Snort registra pacotes TCP/IP de entrada em um diretório de registro no disco para análise posterior.
• Modo de sistema de detecção e prevenção de intrusão de rede (NIDS) (sinalizador -c): o Snort determina se deve executar uma ação no tráfego de rede com base no tipo de regra especificado no arquivo de configuração.

Tipos de regras do Snort

O Snort não avalia as regras na ordem em que aparecem no arquivo de configuração. Em vez disso, ele as revisa com base no tipo de regra, que especifica a ação a ser tomada quando o Snort encontra um pacote que corresponde aos critérios da regra.

Os cinco tipos básicos de regras no Snort são:

• Regras de alerta: o Snort gera um alerta quando um pacote suspeito é detectado.
• Regras de bloqueio: o Snort bloqueia o pacote suspeito e todos os pacotes subsequentes no fluxo da rede.
• Regras de descarte: o Snort descarta o pacote assim que o alerta é gerado.
• Regras de registro: o Snort registra o pacote assim que o alerta é gerado.
• Regras de aprovação: o Snort ignora o pacote suspeito e o marca como aprovado.

Compreendendo as regras do Snort

É importante escrever corretamente as regras do Snort para que funcionem conforme o esperado; ou seja, para que identifiquem com sucesso ameaças emergentes dentro da sua rede. Para fazer isso, você precisa ter uma compreensão clara da sintaxe do Snort e de como as regras são formadas.

Embora as regras do Snort sejam geralmente escritas em uma única linha, versões recentes do Snort permitem regras de várias linhas. Isso é especialmente útil para regras mais sofisticadas que podem ser difíceis de restringir a apenas uma linha.

As regras do Snort consistem em duas partes lógicas: um cabeçalho de regra e uma opção de regra. Vamos explorar.

Cabeçalhos de regras

Elas definem a ação a ser tomada quando qualquer tráfego que corresponda à regra for identificado. Um cabeçalho de regra consiste em cinco componentes principais:

• Ação a ser tomada: o primeiro componente declarado em uma regra do Snort
• Endereços IP: a fonte e o destino
• Números de porta: a fonte e o destino
• Direção do tráfego: -> para direção única da fonte ao destino; <> para bidirecional
• Protocolo de inspeção: Protocolos “Camada 3” (IP e ICMP) e “Camada 4” (TCP e UDP)

Observação: embora o Snort atualmente ofereça suporte às camadas 3 e 4, no Snort 3 você também pode instruí-lo a corresponder apenas as regras ao tráfego do serviço de camada de aplicação fornecido (como SSL/TLS e HTTP).

Opções de regras

Elas definem os critérios de tráfego de rede que precisam ser atendidos para que uma regra seja correspondente, bem como a saída quando há uma correspondência. Aqui estão algumas das opções de regras disponíveis:

• Mensagem a ser exibida quando a regra corresponde: explica o propósito da regra
• Estado do fluxo: especifica as propriedades da sessão a serem verificadas para um determinado pacote
• Conteúdo ou padrão: especifica o conteúdo ou padrão a ser encontrado nos dados de payload ou sem payload de um pacote
• Protocolo de serviço ou aplicação: instrui o Snort a identificar o conteúdo ou padrão tanto no tráfego do serviço de camada de aplicação especificado quanto nas portas de origem e destino especificadas no cabeçalho da regra
• ID do Snort (sid) e número de revisão (rev): identifica exclusivamente uma regra do Snort (sid) ou identifica exclusivamente o número de revisão de uma regra do Snort (rev)

Exemplo de regras do Snort

Vamos ver como você escreveria regras do Snort para um ataque DoS usando honeypots Docker.

Para descobrir esse modo de ataque, precisamos escrever uma regra para detectar solicitações HTTP enviadas por um Docker de comprometimento de imagem por meio de uma conexão TCP/IP:

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS

Ataques DoS são iniciados com a sobrecarga do servidor com solicitações HTTP GET por meio de uma conexão estabelecida. Sendo assim, precisamos instruir o Snort a verificar esse padrão na seção de opções de regras:

# only detect established TCP connections from client requests
flow:to_server, established;
# match on HTTP GET requests
http_header; content:"Mozilla/5.0 (Windows NT 10.0|3B| Win64|3B| x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36";
http_method; content:"GET";

Como o modo de ataque é iniciado pelos honeypots, a regra é classificada como uma atividade de Trojan de rede:

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (
msg: "Detects DoS HTTP request sent by compromised Docker image";
flow:to_server, established;
http_header; content:"Mozilla/5.0 (Windows NT 10.0|3B| Win64|3B| x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36";
http_method; content:"GET";
classtype:trojan-activity;
sid:8001951;
rev:20220420;
)

Aproveite as regras do Snort escritas por especialistas

A implementação do Snort em sua stack de cibersegurança fornece uma abordagem flexível e independente de plataforma para proteger sua rede contra ameaças de segurança de rede conhecidas e emergentes. No entanto, as regras precisam ser configuradas para funcionar corretamente.

Embora você possa escrever suas próprias regras do Snort para casos de uso bastante simples, manter as regras atualizadas com ameaças emergentes é uma tarefa desafiadora. Em vez disso, considere usar regras do Snort e do YARA criadas por especialistas, como o conjunto de regras da Comunidade (disponível gratuitamente), ou o CrowdStrike Falcon Intelligence.