Re: [ml] Testare un NIDS

On 16/11/06, Stefano Zanero <zanero@xxxxxxxxxxxxxx> wrote:
> pierpaolo palazzoli wrote:
>
> > Parto dalla distinzione nella metologia di cattura di snort
> > rispetto snort_inline o snort in modalità inline, il primo usa le libpcap e
> > il secondo le ip_queue di iptables.
>
> Osservazione interessante (questa e le seguenti sulla coda), tuttavia:
>
> > Quindi mettete alla prova il vostro Snort IDS/IPS con strumenti di
> > carico di rete, possibilmente che implementino traffico variegato come
> > MGEN in modalità poisoning :
> > http://cs.itd.nrl.navy.mil/work/mgen/index.php
>
> MGEN crea traffico UDP, quindi a) stateless e b) intrinsecamente
> minoritario su una rete reale.

Non controbatti in maniera costruttiva in quanto esisto generatori di
traffico tcp randomici, oppure è possibile sciversene uno in maniera
semplice.
L'esempio del generatore dimostrava che le simulazioni non sono
necessariamente lineari.

> Pertanto, MGEN non e' uno strumento adatto per testare un IDS, IPS o
> firewall (o qualsiasi dispositivo stateful)

Le capacià di carico di un IDS/IPS l'hai proprio detto tu che è
dimostrabile dalla capacità di accodamnto dei pacchetti, dato che lo
sniffing di rete (alla base di un ids)  può essere effettuato senza
stack tcp/ip secondo te ha senso che sia UDP o TCP ?
Non sottovalutando il fatto che il tallone d'achille degli IDS/IPS è
proprio la gestione di protocolli su base UDP quali
streaming,voip......

> > abbinato a nessus o nikto
>
> Che non sono generatori di attacchi buoni

Vorrei sapere se chi usa nikto fa attacchi buoni....
Nessus ha un opzione chiamata safe check che se disabilitata
implementa attacchi simulati. Ma stiamo attaccando i nostri sistemi o
testando un ids?

> > o i software di test menzionati da Danilo
>
> Che sono obsoleti e inutilizzabili.

Inutilizzabili per chi li in-utilizzza.....

> Non scherzavo quando dicevo che e' difficile :)

Difficile non è impossibile se si ha cognizione di causa.

Pierpaolo