Alternativ inom UPN
Nätverksövervakning med Snort

• Portskanning
• Kan vara en indikator men kan också vara ett verktyg av seriösa användare
• Påloggningsförsök
• Ofta ett tecken på anfall, men kan också bero på trasig konf
• Promiskuösa if
• Virtuella maskiner har ofta det och då är det rätt ofarligt.
• HIDS
• Hostbased Intrusion Detection System
• Err?
• NIDS
• Networkbased Intrusion detection system
• Olika typer av säkerhetstänk
• I internets begynnelse hade alla datorer publika IPn
• Då sätter man bara en dator på nätverket om den faktiskt är säker
• Vidare säkerhet kan ju finnas ändå, NAT så går ju allt via brandvägg ändå även med publika IPn.
• Drive by
• Webbläsarattacker
• DOS
• Man använder för mycket resurser för att hindra andra från att använda samma tjänst.
• All ifrån skrivare till att blockera alla sockets till en port.
• DDOS är samma sak men från många källor
• SMURF
• Ping till broadcast så att alla maskiner svarar.
• Med intrångsdetektering kan man blockera ett nätverk
• Problemet är att paketen kommer ändå fram och tar kapacitet.
• Brute force
• Prova tills man lyckas
• Slides
  
• Kommersiellt vs FOSS
• Många komersiella helhetslösningar använder FOSS-verktyg som en del av sin helhet.
• Man kollar generellt inte allt utan bara det relevanta.
• Snort
• Samlar in nätverkstrafik
• uppdaterade regler är bra på att fånga aktuella virus
• De är också ganska billiga, gångbart för hemanvändare.
  
• Honeypots
• Sätta upp ett fake-system som är lätt att angripa
• Sätts antingen upp lokalt för när folk har brutit sig in och letar inne i nätverket eller externt för att hindra dem från att verkligen komma in.
• SMTarPIT
• Uppför sig som om den är en öppen smtp
• Skickar inte mail
• Den går långsamt om man använder klienter
• Den håller koll på hur snabbt man skriver, skriver man oregelbundet så går den inte långsamt.
• Till för att jävlas med spammare
• perl-baserat
• Ofta är det till för att man ska få en lista över onda hosts
• Snort
• Snort är bra för att övervaka på många ställen i ett nätverk.
• Brandväggen
• Populärt att man har en aktiv hantering av det Snort pratar om då, blockerar onda filurer.
• Servers
• Desktops
• Alla platser gör att reglerna ändras
  
• Bygger på att man sätter upp trevliga regler som agerar vettigt.
• Det är fritt, men reglerna kostar
• De gratis reglerna ligger några månader efter
• Debian skickar med egna regler
• Red Hat gör det inte
• Snort pratar väldigt mycket, ger mycket logar och är svårt att hantera därav
• Sätter man upp egna regler så är det lättare att få larm på det man faktiskt bryr sig om
• Snort är generellt ett verktyg som gör en lite paranoid, det är bra om man faktiskt har dedikerade tekniker för övervakning av intrång, tveksamt annars.
• Olika reglerna:
• alert
• kör/skriv/gör något
  
• log
• logga/spara
  
• pass
• gör inget
  
• activate
• kör annan regel
  
• drop
• blockara/logga paket
  
• recject
• drop+icmp unreachable
  
• sdrop
• ignorera paketet
• Snort är bra för portknackning med
• rent generellt kan man göra i princip allt med det