Securing Cisco Networks with Open Source Snort (SSFSNORT)

Apresentação

Esta formação ensina a implementar, configurar e gerir um sistema de deteção de intrusões (IDS) baseado em Snort, a solução open-source mais amplamente utilizada para deteção e prevenção de intrusões em rede.

Através de instrução especializada e laboratórios práticos, os participantes aprendem a instalar e operar o Snort, configurar regras, utilizar o PulledPork para gestão de atualizações, aplicar o OpenAppID para deteção de aplicações e proteção contra malware, e otimizar o desempenho do sistema com técnicas avançadas de tuning.

Enquadramento

As ameaças modernas exigem soluções flexíveis e personalizáveis de deteção e prevenção. O Snort, sendo open-source e altamente configurável, permite adaptar a monitorização da rede a qualquer ambiente organizacional.

Esta formação cobre desde os fundamentos do Snort até às configurações mais avançadas, oferecendo uma base sólida para profissionais de segurança que precisem de desenvolver, gerir e otimizar sistemas IDS/IPS baseados nesta tecnologia.

Destinatários

O curso é dirigido a profissionais técnicos que necessitam de implementar sistemas IDS/IPS open-source e escrever regras Snort, nomeadamente:

• Administradores de segurança
• Consultores de segurança
• Administradores de rede
• Engenheiros de sistemas
• Equipas de suporte técnico
• Parceiros e revendedores Cisco

Pré-requisitos

Não existem pré-requisitos formais. Contudo, recomenda-se que os participantes tenham:

• Conhecimentos técnicos de TCP/IP e arquitetura de redes
• Experiência com ferramentas de edição de texto em Linux/UNIX (ex.: vi)Formação recomendada para preparação:

• Implementing and Administering Cisco Solutions (CCNA)

Objetivo Geral

Dotar os participantes das competências necessárias para instalar, configurar, operar e otimizar um sistema Snort, bem como desenvolver regras eficazes para deteção e prevenção de intrusões.

Objetivos Específicos

No final da formação, os participantes deverão ser capazes de:

• Descrever a tecnologia Snort e identificar recursos para manutenção contínua
• Instalar e configurar o Snort
• Executar o Snort como sniffer, logger e IDS, incluindo automatização do arranque
• Identificar e configurar os tipos de outputs disponíveis
• Compreender e gerir fontes de regras, atualizações e utilitários associados
• Analisar e configurar o ficheiro snort.lua
• Configurar o Snort em modo inline
• Escrever regras Snort utilizando sintaxe básica
• Compreender o fluxo de tráfego no Snort e otimizar regras para melhor desempenho
• Configurar opções avançadas de regras
• Configurar e utilizar o OpenAppID
• Afinar o desempenho do Snort e monitorizar a performance do sistema

Programa

1. Introdução ao Snort

• Conceitos fundamentais
• Arquitetura e componentes
• Recursos de suporte e manutenção

2. Instalação e Configuração

• Requisitos de sistema
• Instalação passo a passo
• Configuração inicial

3. Modos de Funcionamento do Snort

• Sniffer
• Logger
• IDS
• Automatização do arranque

4. Outputs e Registo de Eventos

• Tipos de outputs
• Configuração e boas práticas

5. Gestão de Regras

• Fontes de regras (community, Registered, Subscriber)
• Atualizações
• PulledPork e outros utilitários

6. Configuração Avançada

• Estrutura do ficheiro snort.lua
• Parâmetros essenciais
• Modo inline

7. Escrita de Regras Snort

• Sintaxe básica
• Atributos e operadores
• Otimização e tuning

8. Regras Avançadas

• Conteúdos, expressões regulares, fluxos e thresholds
• Performance tuning das regras

9. OpenAppID

• Identificação de aplicações
• Criação de regras com AppID

10. Tuning e Monitorização de Desempenho

• Técnicas de otimização
• Perfis de performance
• Troubleshooting