Re: [ml] Testare un NIDS

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Novembre 2006 ml@sikurezza.org
Soggetto: Re: [ml] Testare un NIDS
Mittente: pierpaolo palazzoli
Data: Thu, 16 Nov 2006 15:08:25 +0100 (CET)

> Vero e falso. In realta' quella macchina si comporta come un processore
> con una coda limitata di pacchetti, solo che non sai:
> a) quanto e' lunga la coda
> b) la distribuzione degli inter-tempi dei pacchetti (a meno che tu li
> generi con un generatore statistico)
> c) la distribuzione dei tempi di servizio della macchina
>
> Ma soltanto
> d) la rejection-rate dei pacchetti (cioe' quelli che vengono persi)
>
> Quindi ti mancano degli elementi base per poter ottenere un qualsiasi
> risultato intelleggibile.
>
> Peraltro, usare pacchetti che generano allarmi falsa intrinsecamente il
> test, perche' il loro tempo di servizio e' diverso da quello di un
> pacchetto "normale". Inoltre, siccome i meccanismi di clustering delle
> regole per le performance creano degli alberi di regole diversi da una
> lunga lista lineare, anche il mix di traffico in ingresso cambia di gran
> lunga i risultati.
>
> Morale della favola: non puoi ottenere in questo modo un "numero" che
> dica qualcosa di significativo, sorry.


Non mancano degli elementi base per poter ottenere un qualsiasi
risultato intelleggibile.

Parto dalla distinzione nella metologia di cattura di snort
rispetto snort_inline o snort in modalità inline, il primo usa le libpcap e
il secondo le ip_queue di iptables.

Le prime hanno un problema intrinseco di performance nel kernel che
droppa i pacchetti, in tentativo di risuluzione da Luca Deri di NTOP
con PF_RING: http://www.ntop.org/PF_RING.html

Un secondo approccio consigliato da snort è una versione delle
suddette librerie patchate che vedrete spiegato  tenta di risolvere la
questione della coda di cattura :
http://www.snort.org/docs/snort_htmanuals/htmanual_260/node28.html

Per quanto riguarda snort_inline la questione è relativamente più
semplice, essendo un modulo del kernel le coda è modificabile nel suo
valore massimo :

questo per modificarlo :

/proc/sys/net/ipv4/ip_queue_maxlen

questo per visualizzare le statistiche della coda :

/proc/net/ip_queue

Quindi mettete alla prova il vostro Snort IDS/IPS con strumenti di
carico di rete, possibilmente che implementino traffico variegato come
MGEN in modalità poisoning :
http://cs.itd.nrl.navy.mil/work/mgen/index.php
abbinato a nessus o nikto o i software di test menzionati da Danilo
che se non riuscite a reperire li ho messi a questo link :
www.snortattack.org/tool.tar.gz
concordando che sono obsoleti e poco affidabili.

Buon test.

Pierpaolo

Messaggi successivi:
- Re: [ml] Testare un NIDS, Stefano Zanero

In risposta a:
- [ml] firewall iptables, loris
- [ml] Testare un NIDS, Danilo Vizzarro
- Re: [ml] Testare un NIDS, Stefano Zanero
- Re: [ml] Testare un NIDS, Danilo Vizzarro
- Re: [ml] Testare un NIDS, Stefano Zanero
- Re: [ml] Testare un NIDS, Danilo Vizzarro
- Re: [ml] Testare un NIDS, Stefano Zanero

Data:
- precedente: Re: [ml] Distro solo firewall e ipsec, Oronzo Berlen
- successivo: RE: [ml] Distro solo firewall e ipsec, Domenico Viggiani
- indice

Argomento:
- precedente: Re: [ml] Testare un NIDS, Stefano Zanero
- successivo: Re: [ml] Testare un NIDS, Stefano Zanero
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005