Re: ISD su reti switchate.

Il Wed, May 16, 2001 at 06:14:22PM +0200, Federico scriveva queste parole:
> 
> Lasciando da parte architetture con sensori distribuiti quali: NFR e SnortNet, com'è possibile fare un IDS basato analisi d'attività in reti switchate?
> 
> So per certo che ipfilter implementa la funzione per la quale è possibile inviare ad un predefinito host tutto il traffico, come so che è possibile (su alcuni vendor) fare in modo che una porta di uno switch sia destinazione di tutto il traffico.

In base alla mia esperienza personale trovandomi in una situazione simile posso dirti di avere agito nel seguente modo:

1) La rete da 'controllare' era interamente switchata tramite un gruppo di switch cisco (1900,2900 e 3500)
2) Sugli stessi avevo controllo completo (nonchè accesso fisico :D)
3) Ho settato sulla radice dell'albero degli switch (il 1900, non chiedetemi perchè ... la rete non l'avevo progettata io e non mi era possibile modificarla in alcun modo) una delle porte come mirror di tutte le altre. Sul 1900 i settaggi vengono fatti tramite un menù e non tramite i classici comandi dell'IOS, comunque il risultato finale e quello di ottenere una porta 'mirror'
4) Ho preso una pc (per l'esattezza un P-III 500 con 128Mb di ram + 3com905c(?) + ne2000 compatibile) ho messo su una debian, disattivando TUTTI i servizi in ascolto sulla prima interfaccia di rete (3com connessa alla porta 'mirror') e installando openssh bindato esclusivamente sulla seconda interfaccia (la ne2000 che è DIRETTAMENTE collegata ad un secondo pc di controllo completamente al di fuori della rete ed accessibile 'fisicamente' così come il primo con modalità molto restrittive - sebbene credo che siano stati anche un po' esagerati da questo punto di vista :) )
5) Sulla macchina debian è stato attivato lo snort in ascolto ovviamente sulla prima interfaccia. Le regole sono state modificate in base alle necessità specifiche del caso che non starò qui ad illustrare ...
6) E' stato creato uno script che backupasse giornalmente i risultati dello snort, mentre un altro, con una cadenza di mezz'ora lancia lo snort2html ed invia tramite scp i risultati ad un web server per comodità degli 'interessati'

Ovviamente tutto questo giro agli effetti pratici non porta molti vantaggi, in particolar modo non blocca eventuali attacchi (e se lo facesse ... se ne è già discusso moltissimo in lista, quindi ti consiglio di dare una occhiata all'archivio) non avvisa 'istantaneamente' di eventuali attacchi, soffre di molti 'false positive' anche dopo aver passato molto tempo a raffinare le regole.

Personalmente trovo gli IDS uno strumento quasi da voyeur ;P.

Ops ... ovviamente il tutto è stato possibile grazie ai cisco ... sono all'oscuro delle possibilità offerte dagli altri tipi di switch ...
La mia idea di tarda notte (2.13) è quella di mettere un pc con 3 schede di rete tra l'arrivo della connessione e il primo switch, le schede di rete dovrebbero essere configurate così (speriamo di rendere bene con il disegno ^_^):

INTERNET -- SK. ESTERNA --|
                          |
CONTROLLO --------------  |  ---------- PC CONTROLLO
                          |
INTRANET -- SK. INTERNA --|

oltretutto con una configurazione di questo tipo si possono fare un mucchio di cose interessanti che vanno bene al di là del semplice IDS. Ti rimando ad una buona ricerca in rete.

Nella speranza di esserti stato d'aiuto, ciao

Saverio Salatino
-- 
qualcuno ha una bici da passeggio da vendere (max 50k,zona Milano), grazie ^_^
prima o poi koba mi ammazzerà ... ;)

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List