Securing Cisco Networks with Open Source Snort (SSFSNORT)

Apresentação

Esta formação ensina a implementar, configurar e gerir um sistema de deteção de intrusões (IDS) baseado em Snort, a solução open-source mais amplamente utilizada para deteção e prevenção de intrusões em rede.

Através de instrução especializada e laboratórios práticos, os participantes aprendem a instalar e operar o Snort, configurar regras, utilizar o PulledPork para gestão de atualizações, aplicar o OpenAppID para deteção de aplicações e proteção contra malware, e otimizar o desempenho do sistema com técnicas avançadas de tuning.

Enquadramento

As ameaças modernas exigem soluções flexíveis e personalizáveis de deteção e prevenção. O Snort, sendo open-source e altamente configurável, permite adaptar a monitorização da rede a qualquer ambiente organizacional.

Esta formação cobre desde os fundamentos do Snort até às configurações mais avançadas, oferecendo uma base sólida para profissionais de segurança que precisem de desenvolver, gerir e otimizar sistemas IDS/IPS baseados nesta tecnologia.

Destinatários

O curso é dirigido a profissionais técnicos que necessitam de implementar sistemas IDS/IPS open-source e escrever regras Snort, nomeadamente:

• Administradores de segurança

• Consultores de segurança

• Administradores de rede

• Engenheiros de sistemas

• Equipas de suporte técnico

• Parceiros e revendedores Cisco

Pré-requisitos

Não existem pré-requisitos formais. Contudo, recomenda-se que os participantes tenham:

• Conhecimentos técnicos de TCP/IP e arquitetura de redes

• Experiência com ferramentas de edição de texto em Linux/UNIX (ex.: vi)

Formação recomendada para preparação:

• Implementing and Administering Cisco Solutions (CCNA)

Objetivo Geral

Dotar os participantes das competências necessárias para instalar, configurar, operar e otimizar um sistema Snort, bem como desenvolver regras eficazes para deteção e prevenção de intrusões.

Objetivos Específicos

No final da formação, os participantes deverão ser capazes de:

• Descrever a tecnologia Snort e identificar recursos para manutenção contínua

• Instalar e configurar o Snort

• Executar o Snort como sniffer, logger e IDS, incluindo automatização do arranque

• Identificar e configurar os tipos de outputs disponíveis

• Compreender e gerir fontes de regras, atualizações e utilitários associados

• Analisar e configurar o ficheiro snort.lua

• Configurar o Snort em modo inline

• Escrever regras Snort utilizando sintaxe básica

• Compreender o fluxo de tráfego no Snort e otimizar regras para melhor desempenho

• Configurar opções avançadas de regras

• Configurar e utilizar o OpenAppID

• Afinar o desempenho do Snort e monitorizar a performance do sistema

Programa

1. Introdução ao Snort

• Conceitos fundamentais

• Arquitetura e componentes

• Recursos de suporte e manutenção

2. Instalação e Configuração

• Requisitos de sistema

• Instalação passo a passo

• Configuração inicial

3. Modos de Funcionamento do Snort

• Sniffer

• Logger

• IDS

• Automatização do arranque

4. Outputs e Registo de Eventos

• Tipos de outputs

• Configuração e boas práticas

5. Gestão de Regras

• Fontes de regras (community, Registered, Subscriber)

• Atualizações

• PulledPork e outros utilitários

6. Configuração Avançada

• Estrutura do ficheiro snort.lua

• Parâmetros essenciais

• Modo inline

7. Escrita de Regras Snort

• Sintaxe básica

• Atributos e operadores

• Otimização e tuning

8. Regras Avançadas

• Conteúdos, expressões regulares, fluxos e thresholds

• Performance tuning das regras

9. OpenAppID

• Identificação de aplicações

• Criação de regras com AppID

10. Tuning e Monitorização de Desempenho

• Técnicas de otimização

• Perfis de performance

• Troubleshooting