[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: Gennaio 2001 ml@sikurezza.org
Soggetto: IDS integrato in inetd (follie mattutine)
Mittente: Lorenzo Grespan
Data: 10 Jan 2001 17:25:22 -0000
salve a tutti.. idea che mi e` venuta in testa stamattina, che cerco di spiegare.. perdonate fin dall'inizio le incorrettezze e le approssimazioni, si fa quel che si puo` (e resto sempre un -=LAMERLORD=-)

L'idea e` quella di un IDS che reagisca ad un port scanning chiudendo porte (o aprendole tutte) o cambiando le TCP fingerprints a random. Chissa` se si puo` integrare direttamente nell'inetd, giusto per evitare altri demoni sparsi o inutili carichi sulla cpu.. un inetd cosi` modificato si prenderebbe cura di rispondere alle connessioni una volta sentito uno scanning di qualsiasi tipo come scelto dall'admin: reject, deny, open e cosi` via.

ovviamente non so quanto la questione tcp fingerprinting sia possibile (bisogna compilare del sorgente? si possono mascherare? alla fine non sono solo reazioni diverse dei vari kernel...), ma a questo potete rispondere voi :)


un paio di esempi: l'ids sente (diciamo) tre connessioni a tre porte diverse da parte di uno stesso ip (e gia` qui ci sono problemi teorici di spoofing, ma semplifichiamoci la vita), alla quarta decide se chiudere o aprire la porta (ACK) e cosi` via. Si dovrebbe poter impostare una policy, tipo
- chiudere tutte le porte dopo 'n' tentativi
- il timeout dopo il quale la connessione n+1 non viene sentita come scanning (e anche qui si puo` evitare gia` tra le opzioni di nmap, ad esempio) 
- aprire tutte le porte dopo 'n' tentativi
- cambiare le tcp (in cosa, quante volte, etc)

ci sarebbero alcuni problemi:
- eventuali connessioni alla 80, browser che sclerano, eccetera
- in generale, quante connessioni si permettono? (anche se questi sono piu` discorsi di paranoia e admin in generale..)
- apertura di piu` porte ad esempio in un ftp attivo
- nat
- e altro che ora non mi viene in mente


attendo insulti.

l.


ps: grazie a chi di dovere per aver sopportato questo post nella ml sbagliata :) 

--------------------------------------------------------------------------
informazioni sui comandi supportati da questa ml: http://www.sikurezza.org




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005