IDS integrato in inetd (follie mattutine)

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Gennaio 2001 ml@sikurezza.org
Soggetto: IDS integrato in inetd (follie mattutine)
Mittente: Lorenzo Grespan
Data: 10 Jan 2001 17:25:22 -0000

salve a tutti.. idea che mi e` venuta in testa stamattina, che cerco di spiegare.. perdonate fin dall'inizio le incorrettezze e le approssimazioni, si fa quel che si puo` (e resto sempre un -=LAMERLORD=-)

L'idea e` quella di un IDS che reagisca ad un port scanning chiudendo porte (o aprendole tutte) o cambiando le TCP fingerprints a random. Chissa` se si puo` integrare direttamente nell'inetd, giusto per evitare altri demoni sparsi o inutili carichi sulla cpu.. un inetd cosi` modificato si prenderebbe cura di rispondere alle connessioni una volta sentito uno scanning di qualsiasi tipo come scelto dall'admin: reject, deny, open e cosi` via.

ovviamente non so quanto la questione tcp fingerprinting sia possibile (bisogna compilare del sorgente? si possono mascherare? alla fine non sono solo reazioni diverse dei vari kernel...), ma a questo potete rispondere voi :)

un paio di esempi: l'ids sente (diciamo) tre connessioni a tre porte diverse da parte di uno stesso ip (e gia` qui ci sono problemi teorici di spoofing, ma semplifichiamoci la vita), alla quarta decide se chiudere o aprire la porta (ACK) e cosi` via. Si dovrebbe poter impostare una policy, tipo
- chiudere tutte le porte dopo 'n' tentativi
- il timeout dopo il quale la connessione n+1 non viene sentita come scanning (e anche qui si puo` evitare gia` tra le opzioni di nmap, ad esempio)
- aprire tutte le porte dopo 'n' tentativi
- cambiare le tcp (in cosa, quante volte, etc)

ci sarebbero alcuni problemi:
- eventuali connessioni alla 80, browser che sclerano, eccetera
- in generale, quante connessioni si permettono? (anche se questi sono piu` discorsi di paranoia e admin in generale..)
- apertura di piu` porte ad esempio in un ftp attivo
- nat
- e altro che ora non mi viene in mente

attendo insulti.

ps: grazie a chi di dovere per aver sopportato questo post nella ml sbagliata :)

--------------------------------------------------------------------------
informazioni sui comandi supportati da questa ml: http://www.sikurezza.org

Data:
- precedente: Re: R: Problemino legale, Gian Luca Matteucci
- successivo: Re: Firewall trasparente + Proxy, Oreste Dimaggio
- indice

Argomento:
- precedente: cercasi doc di stampo serio, guybrush`
- successivo: Re: IDS integrato in inetd (follie mattutine), Igor Falcomata'
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005