On Wed, Apr 30, 2003 at 03:17:55PM +0200, Maurizio Lemmo - Tannoiser wrote:
> > Snort e' un ids. Un software che si occupa quindi di segnalare tentativi
> > di intrusione. Come funziona? Greppa il traffico di rete e avvisa se
> > trova dei flussi sospetti.
>
> Non esattamente. snort si preoccupa di "ritrovare", "recuperare", dei
> "match" di quello che lui ritiene "comportamenti atti all'intrusione".
>
> De facto e` uno sniffer, in ascolto sull'interfaccia di rete, e di
> conseguenza effettua un controllo sul traffico in passaggio (in ambo i
> sensi) sul interfaccia.
o dite la stessa cosa o dopo 4.30 ore di stress totale sono alla frutta e
merito l'abbattimento.
Ps: In ambo i sensi e' (non relativamente al fatto che snort sniffi il
traffico in e out -su una o piu' interfacce- ma relativamente a come sono
scritte la gran parte delle regole) una parola grossa.
> Snort e` composto fondamentalmente, da una serie di regole e signature,
> di quello che sono gli attacchi, scansioni, e quant'altro venga ritenuto
> comportamento "sgradevole".
>
> La macchina di erlug, e` dotata di un'installazione di snort.
Come accennavo nella mail precedente, e' "comunemente"[*] considerato
'mortemale' installare un sensore NIDS (Network IDS) (per una banalissima
presentazione degli ids in italiano:
http://www.infosec.it/download/Infosecurity2002-IDS.pdf oppure il vostro
google preferito... 'hint': ottime le ids faq di graham) su una macchina non
dedicata (e non per ragioni di performance, ma, per esempio, perche'
potrebbe essere la prima via per sfondarla, vedi anche
http://www.securityfocus.com/bid).
[*] Anche se ora va molto di moda inserire ids/miniids/sailcazz in firewall
e quant'altro.
> > Ora un ids mal configurato crea una quantita' di falsi positivi che
> > hanno dell'incredibile e configurare bene un ids e' sempre
> > piu' difficile, faticoso e lungo di quanto si pensi.
Infatti un ids decente dovrebbe non segnalare solo (e soprattutto con una
rilevanza diversa) i tentativi di attacco ma soprattutto gli attacchi
riusciti (facile a dirsi, non certo a farsi).
> Beh, non parlerei di "configurazione". Ovviamente, la bonta` di un ids
> (senza entrare in ambiti "religion-war", che ovviamente e` tema presente
> anche in questo argomento) e` dato fondamentamentalmente da due cose:
>
> - bonta` del linguaggio interno (per scrivere le "regole")
> - bonta` delle regole
- bonta' dell'engine di sniffing, normalizzazione e ricostruzione dei
pacchetti.. esistono tonnellate di tecniche di "ids evasion" basate su
frammentazione di pacchetti, slice, encoding, etc. etc. et.
(vedi google)
- velocita' della baracca (capacita' di sniffare e soprattutto analizzare
traffico substained)
> Come (e piu`) di un antivirus, le regole da applicare all'ids
> determinano l'utilita` o l'inutilita` dello strumento stesso.
Cmq sono molto importanti posizionamento e progettazione della struttura
ids, configurazione, tuning e soprattutto adattazione (sythos, e' voluto,
non serve che mi mandi una mail in privato per questo errone <g>) alla
struttura da monitorare e 'proteggere'.
Imho (come tutto il resto di questo messaggio of scorz) quando parliamo di
sicurezza il fattore base e' sempre chi lo configura/amministra/gestisce/etc.
> Regole troppo "lasche" generano "falsi positivi", regole troppo "secche"
> rischiano di non segnalare nulla.
>
> Morale: un ids necessita` di un "tweaking" continuo.
of scorz.
> Parlerei invece di configurazione in termini di "cosa deve fare l'ids
> una volta _matchato_ una regola".
>
> Il nostro, _avvisa_. In questo senso, considero l'unico comportamento
> "utile" e "applicabile". Tecnicamente esistono (o si puo` configurare)
sono pienamente d'accordo.
> ids che "reagiscano", ovvero, a data regola incrociata, comporta una
> reazione.
BRRRRRRRR. Gia' fanno casini gli admin che lo fanno a mano senza comprendere
la situazione :)
> E` uno dei modi piu` facili per chiudersi fuori da internet e rendere
> inutilizzabile la macchina, una sorta di self-dos.
Si, ma e' anche da dire che gli ids e le configurazioni piu' sveglie (snort
incluso) si limitano a cercare di killare la singola connessione (con un rst
se applicabile, per esempio) piuttosto che blacklistare alla ignorante
qualcuno o qualcosa. nmap -S rulez altrimenti :)
Anche perche' questa cosa potrebbe essere molto utile, per esempio qualora
sia noto un certo attacco (ed e' possibile ipotizzare che sia gia' sfruttato
da qualcuno, vuoi perche' e' pubblico l'exploit, vuoi perche' abbiamo
evidenze, etc. etc. etc.) ma non sia ancora disponibile una patch e/o la
quantita di tempo/test/etc. necessari per implementarla su tutte le nostre
n-mila macchine ci metta a rischio.
> > In particolare la regola di snort che ha fatto scattare l'allarme
> > controlla semplicemente se in un qualunque flusso IP c'e' la stringa
> > "uid=0(root)".
>
> Corretto. Nella testa degli autori di snort, lo scopo di questa regola,
> era "intercettare" un traffico (in chiaro) che "scalasse" dei privilegi
> (se hai accesso root ufficialmente ad una macchina, e` difficile che tu
> debba verificarlo).
>
> Ovviamente, il contesto stesso esprime l'ambito: e` una regola
> specificatamente nata per "telnet". Visto che telnet non e` piu`
no, lo escluderei. E' piu' probabile che sia destinata a triggherare
(salute) eventuali shell 'aperte' tramite exploit, dove e piu' facile che
qualcuno verifichi tramite id i privilegi raggiunti, non per niente non e'
legata alla porta 23.
> utilizzato (vero, VERO?), la regola in questione e` da considerarsi
> "lasca" se non "inutile".
vedi sopra.
> > E visto che l'ho scritta anche io suonera' un'altra volta.
>
> permettimi di dubitarne. ;)
permettimi di dubitarne. ;)
secondo me suonera'.. non per la mailing list (sei contento, dopo che ti ho
roo'oootto il contest adesso ti permetto di aprirne un altro :P)
> ps:
> scopo di questo messaggio, era "fare un po` di informazione" non
> contestare quanto scritto da Marco. Spero sia chiaro.
ibidem :)
baci
Koba
--
Igor Falcomata'
IT Security Manager & Consultant
Infosec srl - http://www.infosec.it
Network Security and Data Defense
--
free advertising: www.sikurezza.org - Italian Security Mailing List
|