-
Notifications
You must be signed in to change notification settings - Fork 3
Expand file tree
/
Copy pathtutorial_mnsec_suricata.html
More file actions
89 lines (77 loc) · 6.23 KB
/
tutorial_mnsec_suricata.html
File metadata and controls
89 lines (77 loc) · 6.23 KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
<!DOCTYPE html>
<html lang="pt">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Tutorial de Instalação do Kytos</title>
<link rel="stylesheet" href="/assets/css/mnsec_suricata.css">
<link rel="icon" href="/assets/img/favicon.ico">
<meta property="og:title" content="Infraestrutura programável de testbed para experimentação e capacitação em redes e segurança"/>
<meta property="og:description" content="HackInSDN é um framework escalável, flexível e programável para experimentação e capacitação em segurança e redes utilizando infraestruturas de testbed."/>
<meta property="og:url" content="https://hackinsdn.ufba.br"/>
<meta property="og:image"content="/assets/img/preview.png"/>
</head>
<body>
<header>
<div class="logo-group">
<div class="logo">
<img src="/assets/img/1.png" alt="Logotipo HackInSDN">
</div>
</div>
<nav>
<ul>
<li><a href="/">Início</a></li>
<li><a href="/sobre.html">Sobre Nós</a></li>
<li><a href="/tutoriais.html">Tutoriais</a></li>
<li><a href="/publicacoes.html">Publicações</a></li>
<li><a href="/dashboard">Dashboard</a></li>
</ul>
</nav>
<nav class="menu-idiomas">
<ul class="menu-idiomas">
<li>
</li>
<li>
<a href="en/tutorial_mnsec_suricata.html" class="en ativo">
<img src="/assets/img/us.png" alt="English" class="bandeira">
</a>
</li>
</ul>
</nav>
</header>
<div class="container">
<section class="tutorial-content">
<h1>Execução e Detecção de Ataques com MnSec e Suricata</h1>
<h2>Força Bruta</h2>
<p>Existem várias técnicas de autenticação que podem ser usadas em ataques de força bruta:</p>
<ul>
<li>SSH: LOGIN (padrão), PLAIN, CRAM-MD5, DIGEST-MD5, NTLM</li>
<li>Além disso, a criptografia TLS via STARTTLS pode ser aplicada com a opção TLS. Exemplo: <code>smtp://alvo/TLS:PLAIN</code>; Referência.</li>
<li>IMAP: CLEAR ou APOP (padrão), LOGIN, PLAIN, CRAM-MD5, CRAM-SHA1, CRAM-SHA256, DIGEST-MD5, NTLM. Também suporta TLS como: <code>imap://alvo/TLS:PLAIN</code>; Referência.</li>
<li>POP3: CLEAR (padrão), LOGIN, PLAIN, CRAM-MD5, CRAM-SHA1, CRAM-SHA256, DIGEST-MD5, NTLM. Também suporta TLS como: <code>pop3://alvo/TLS:PLAIN</code>; Referência.</li>
</ul>
<p>No uso documentado do Mininet-sec, a principal técnica de autenticação usada foi LOGIN. O pacote Python Honeypots, que está sendo usado no projeto Mininet-sec, suporta apenas a técnica de autenticação PLAIN e retorna uma mensagem de execução bem-sucedida, o que pode ser problemático, pois um dos objetivos de usar honeypots é enganar o invasor e mantê-lo executando comandos para melhor analisar o processo de ataque. Algumas soluções para esse problema, como modificar o pacote Honeypots, podem ser aplicadas em versões futuras do Mininet-sec.</p>
<h2>IMAP</h2>
<p>Comando executado no diretório contendo a lista de senhas e logins:</p>
<pre><code>sudo mnsecx o1 hydra -L top-usernames-shortlist.txt -P top-usernames-shortlist.txt imap://192.168.1.103/LOGIN -V -I -F</code></pre>
<p>Regras que geraram alertas:</p>
<pre><code>alert tcp $EXTERNAL_NET any -> $HOME_NET 143 (msg:”ET SCAN Rapid IMAP Connections - Possible Brute Force Attack”; flow:to_server; flags: S,12; threshold: type both, track by_src, count 30, seconds 60; classtype:misc-activity; sid:2002994; rev:7; metadata:created_at 2010_07_30, updated_at 2019_07_26;)</code></pre>
<pre><code>alert tcp $EXTERNAL_NET any -> $HOME_NET 143 (msg: “Possible IMAP Brute Force attack”; flags:S; flow: to_server; threshold: type limit, track by_src, count 20, seconds 40; tcp.mss:1460; dsize:0; window:42340; classtype: credential-theft; sid: 100000137; rev:1;) (self-authored)</code></pre>
<h2>SSH</h2>
<p>Comando executado no diretório contendo a lista de senhas e logins:</p>
<pre><code>sudo mnsecx o1 hydra -L top-usernames-shortlist.txt -P top-usernames-shortlist.txt ssh://192.168.1.103/LOGIN -V -I -F</code></pre>
<p>Regra que gerou alertas:</p>
<pre><code>alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:”ET SCAN Potential SSH Scan”; flow:to_server; flags:S,12; threshold: type both, track by_src, count 5, seconds 120; reference:url,en.wikipedia.org/wiki/Brute_force_attack; classtype:attempted-recon; sid:2001219; rev:20; metadata:created_at 2010_07_30, updated_at 2019_07_26;)</code></pre>
<h2>POP3</h2>
<p>Comando executado no diretório contendo a lista de senhas e logins:</p>
<pre><code>sudo mnsecx o1 hydra -L top-usernames-shortlist.txt -P top-usernames-shortlist.txt pop3://192.168.1.103/LOGIN -V -I -F</code></pre>
<p>Regra que gerou alertas:</p>
<pre><code>alert tcp $EXTERNAL_NET any -> $HOME_NET 110 (msg: “Possible POP3 Brute Force attack”; flags:S; flow: to_server; threshold: type threshold, track by_src, count 5, seconds 20; classtype: credential-theft; sid: 100000138; rev:1;) (self-authored)</code></pre>
<h2>TCP, UDP e ICMP Flood</h2>
<p><code>--rand-source</code> é um parâmetro de ataque do Hping3 que promove o uso de múltiplos endereços IP para executar floods. Nesse sentido, todos os ataques de flood ICMP, UDP e TCP acionaram regras ET DROP. Essas regras são baseadas na detecção de atividades relacionadas a endereços IP conhecidos por sua associação com ataques de flood.</p>
<h2>Conclusão</h2>
<p>No geral, o Suricata teve um bom desempenho na detecção dos ataques promovidos, e também foi possível criar novas regras para casos em que a detecção não estava acontecendo. Regras personalizadas também se mostraram eficazes.</p>
</section>
</div>
</body>
</html>