Re: ISD su reti switchate.

On Wed, May 16, 2001 at 06:14:22PM +0200, Federico wrote:

> Mi correggo prima che mi date addosso, per IDS, in questo frangente, intendo Intrusion Detection in base all'analisi delle attivitā su rete.
> 
> Ora penso prima di tutto che i miei dubbi siano dovuti piuttosto alla mia ignoranza sullo sniffing e modalitā promisque.

ti rimando ad un mio post con un tot di riferimenti su teach-sicurezza...

> Lasciando da parte architetture con sensori distribuiti quali: NFR e SnortNet, com'č possibile fare un IDS basato analisi d'attivitā in reti switchate?

come suggeriva qualcuno, l'unica maniera reliable e' utilizzare uno switch
che abbia la possibilita' di fare il mirror del traffico di TUTTE le porte
su un'altra porta (ovviamente ha un senso se hai, chenneso', 10 porte a 10 e
spari su una porta a 100, o, aumentando gli zeri, spari su una porta a giga,
altrimenti perdi del traffico e/o ammazzi lo switch.

Attenzione che molti switch prevedono di fare il mirror SOLO di 1 porta su
un'altra porta. Il secondo problema e' trovare un IDS che stia dietro ad un
substained a 1G, e questo, stando a test vari, e' piuttosto improbabile
(anche a molto meno in realta'), anche se all'ultimo coso Cisco che ho
assistito assicuravano che avrebbero rilasciato un prodotto in grado di
farlo (tra il resto con i catalyst grossi - mi pare solo il 6000 - hai anche
la possibilita' di montare una scheda - un coso pIII o dual pIII se non
ricordo male, non ho datasheet cisco dietro - direttamente dentro l'affare e
risolvere il problema del mirror del traffico. Comunque difficilmente il
substained e' sul giga, e se si scelgono bene le regole di sniffing si puo'
anche riuscire a evitarsi un po' di traffico.

> So per certo che ipfilter implementa la funzione per la quale č possibile inviare ad un predefinito host tutto il traffico, come so che č possibile (su alcuni vendor) fare in modo che una porta di uno switch sia destinazione di tutto il traffico.

uh? non mi risulta questa cosa di ipfilter, o meglio, puoi INVIARE il
traffico (nat/routing/rdr/etc), ma non MIRRORARLO anche su (al massimo con
ipfw e il divert o netfilter e il coso simile, ma non credo ci sia qualcosa
di gia' pronto). Poi si puo' "inventare", tipo un coso snort che registra
tutto il traffico e lo rispara da qualche parte in qualche maniera, etc...

> Esistono altri modi per fare ISD (utilizzando ad esempio snort, ntop...) su rete senza avere questi "supporti" ?

no. o dissemini sensori nei vari segmenti (e cmq o sono non switched o il
traffico e' mirrorato, o e' lo switch che fa da ids) o mirrori tutto in un
unico posto

Il metodo che suggerisce Luca, imho non e' reliable per un IDS (va benissimo
per sniffare su switched invece), sempre per il famoso collo di bottiglia
sulla rete...

> Che ne pensate ?

imho l'importanza degli ids PER GLI ATTACCHI (per altre cose quali
statistica, verifica della roba che transita, motore di logging del
traffico, etc. sono una delle maniere migliori) e' sovrastimata. Perche'
dovrebbe interessarmi che qualcuno prova a bucarmi l'IIS, se non ho IIS o il
mio IIS non e' vulnerabile? Se e' un nuovo attacco a IIS probabilmente non
lo trova (un po' come gli antivirus, no?), per cui, dopo che mi han bucato,
se non ho lo storico del traffico magari non risalgo al come...
Chiaro, se mi interessa sapere anche se mi attaccano (che e' sempre
importante) e come verifica della funzionalita' del fw sono cmq validi (uh?
com'e' che ho dei pacchetti in transito x y z quando sul firewall sono in
deny??, etc.), ma non per le cifre a cui li piazzano (strano eh, che tra
quelli commerciali il migliore sia anche uno di quelli che costa meno :)

bye
Koba

-- 

Igor Falcomata'
IT Security Manager & Consultant
Infosec srl - http://www.infosec.it
Network Security and Data Defense
 --
free advertising: www.openbsd.org - Multiplatform Ultra-secure OS

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List