Baixe o app para aproveitar ainda mais
Prévia do material em texto
Trabalho PC (separe o texto abaixo em slides, deixe texto grande pois quanto mais slides melhor) Sguil (pronunciado sgweel) é mais bem descrito como um sistema agregado de ferramentas de monitoramento e segurança de rede. Ele entrelaça seus alertas IDS (Intrusion Detection System - sistema de detecção de intrusos) em um banco de dados de sessões TCP/IP. Quando você identifica um alerta que precisa de mais investigação, o cliente sguil te providencia com todo o acesso ao dado que você necessita para decidir como lidar com a situação. Em outras palavras, sguil simplesmente mistura os outputs de várias ferramentas de monitoramento de segurança em uma única interface, providenciando bastante informação em pouco tempo. Sguil usa o backend do banco de dados para a maior parte de seus dados, que permite você realizar consultas SQL contra vários tipos diferentes de eventos de segurança. imagem1 imagem2 imagem3 imagem4 Arquitetura geral do Sguil A arquitetura do Sguil tem alguns componentes principais: -Servidor: o servidor Sguil recebe conexões de sensores e clientes, como também conectar ao banco de dados. -Servidor do banco de dados: o banco de dados mantém dados de alertas e sessões que são coletadas pelos sensores. O banco de dados geralmente está no mesmo sistema que o servidor Sguil, mas isto não é uma necessidade. -Sensores: os sensores são os sistemas que fazem o monitoramento da rede e a coleta de dados. Sensores realizam capturas completas de pacotes como também executam Snort em modo alerta. -Clientes: o cliente é a interface para o analista para se conectar ao servidor Sguil. SNORT Snort é um sistema de detecção de intrusão na rede, open source, e funciona no Windows, Linux, vários Unix e a maior parte do sistemas operacionais BSD. Snort pode também ser usado como um farejador de rede sem capacidades de IDS, e pode executar como um sistema de prevenção de intrusão em alguns sistemas operacionais. Snort monitora um dispositivo de interface de rede no sistema operacional hospedeiro e procura por padrões predefinidos no tráfego. Os padrões são definidos como regras snort. Arquitetura geral do Sguil Em cada sensor, full content data é capturado por um processo Snort executando em modo packet-capture. Outro processo Snort executa como um modo alerta IDS e SANCP coleta dados da sessão. Assim que alertas são gerados, Barnyard os processam para então passar os dados dos alertas para o sensor agente Sguil no host local. O sensor agente Sguil no 0.6.1 ou vários agentes no 0.7.0 são responsáveis por comunicar com o servidor Sguil, incluindo enviar dados de alertas e sessões (sancp). O servidor Sguil recebe os dados dos alertas e sessões, e então adiciona eles ao banco de dados. Consultas no banco de dados de cada cliente são também passados pelo servidor Sguil, que vai então passar os resultados da consulta de volta para o cliente. Todas as conexões com o banco de dados são feitas com um usuário do banco de dados que é configurado durante a instalação do Sguil. Arquitetura do Sguil 0.6.1 Os componentes principais no Sguil 0.6.1 no servidor são: -sguild: componente do servidor Sguil -MySQL: banco de dados para os dados Sguil Os componentes principais nos sensores são: -sensor_agent: para comunicações entre um sensor e o sguild -Snort: duas instâncias, uma executando em modo packet-logging e outra em modo alerta IDS -Barnyard: retira output em binário do Snort e envia para o banco de dados -SANCP: coleta dados da sessão imagem5 imagem6 Arquitetura do Sguil 0.7.0 Os componentes principais no Sguil 0.7.0 no servidor são: -sguild: componente do servidor Sguil -MySQL: banco de dados para os dados Sguil Os componentes principais nos sensores são: -pads_agent: envia dados PADS para o servidor -pcap_agent: responde a pedidos para captura de dados de pacotes e envia os dados para o servidor -sancp_agent: envia dados sancp (sessão) para o servidor -snort_agent: envia dados de alerta Snort para o servidor depois que foi processado pelo Barnyard -Snort: processo de alerta e uma opção para captura completa de pacotes -Daemonlogger: opção para captura completa de pacotes -SANCP: coleta dados da sessão e é também uma opção para captura completa de pacotes indexados -PADS: Passive Asset Detection System usado para detectar serviços executando na rede -Barnyard: retira output em binário do Snort e envia para o banco de dados imagem7 imagem8 Referências http://sguil.sourceforge.net/index.html
Compartilhar