Router IDS con SNMP

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Luglio 2003 ml@sikurezza.org
Soggetto: Router IDS con SNMP
Mittente: embyte
Data: 23 Jul 2003 01:38:17 -0000

Avrei la necessità di realizzare un tool per il monitoring e il rilevamento in 
tempo reale dei comportamenti anomali di un router (alto tasso di utilizzo 
della cpu-memoria, saturazione della banda, tentativi di login, reboot del 
sistema, etc..). 
Come attribuire al corrispondente oid nella catena mib un valore mediato e un 
range di corretta operatività? Raccogliendo una serie di dati e stabilendo 
degli algoritmi statistici per individuarne dei possibili valori basati sul 
periodo del giorno, della settimana, sulla media e varianza dei campioni 
ottenuti. 
Qualora si verifichi uno spostamento "alto" del valore sotto controllo 
(pensiamo per esempio all'utilizzo della banda) inneschiamo qualche tipo di 
reazione attiva prima dare luogo ad un alert.

L'idea più o meno è questa. Uno studio approfondito non è ancora stato fatto. 

Dando una occhiata in giro nella grande rete ho visto tanti software diversi, 
che hanno tutti una cosa in comune: sono generici programmi di monitoring che 
utilizzano sia snmp che ping, fping, nmap per leggere lo stato del servizio. 

La mia idea è di codare in C utilizzando la Net-SNMP library. Sembra anche 
interessante il modulo perl::SNMP oppure l'uso di script bash che si 
appoggiano ai programmi della suite Net-SNMP (snmpget, snmpset..)

C'è qualcuno che ha fatto tesoro di una esperienza simile alla mia e che mi 
possa indicare qualche link o documento interessante?

Grazie, Embyte

PS: koba vedi te se rigirare su devel@ forse li è più appropriato.
PPS: Spero di non generare un flame visto che l'argomento è vasto e 
sicuramente la un tool sicuro e perfetto, primo di falsi positivi, è solo 
un'utopia.

-- 
 /"\  ASCII RIBBON CAMPAIGN AGAINST HTML MAIL
 \ /  Member of:            ICQ_UIN #48790142
  X      S.P.I.N.E. : www.spine-group.org  
 / \          BgLug : www.bglug.it 
 \ /         Rawlab : rawlab.cjb.net        
Use GPG Key : www.madlab.it/pgpkey/embyte.asc



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: Router IDS con SNMP, Gelpi Andrea
- Re: Router IDS con SNMP, sikuz

Data:
- precedente: Apache e default.ida, Andrea Riela
- successivo: Re: snort su w2k, Whiterabbit
- indice

Argomento:
- precedente: Re: Apache e default.ida, Federico Lombardo
- successivo: Re: Router IDS con SNMP, sikuz
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005