R: Nessus
Luca Coianiz
luca.coianiz a lugbs.linux.it
Sab 17 Ago 2002 16:50:11 UTC
----- Original Message -----
From: Michele Bonera <michele a bonera.biz>
To: marco ghidinelli <marcogh a linux.it>; <lug a lugbs.linux.it>
Sent: Wednesday, July 31, 2002 8:50 PM
Subject: Re: Nessus
> Alle 19:26, mercoledì 31 luglio 2002, marco ghidinelli ha scritto:
>>> Qualcuno utilizza IDS particolarmente interessanti/efficienti (tipo,
>>> che ne so, portsentry) ?
>> portsentry non e' un ids.. :)
>> e non mi sembra ne particolarmente interessante ne efficiente [...]
> Portsentry potrebbe essere un parente degli IDS, un IDS di rete.
Anche se piuttosto rozzo Portsentry è un NIDS (Network Intrusion Detection
System).
Avevo installato Scanlogd che, a detta dello stesso autore, a causa del
fatto che era piuttosto incline a rivelare "falsi positivi" (ad es. nel caso
in cui si trasferiscano, via FTP, parecchi file molto piccoli: verificato di
persona), logga solo eventuali scan ma senza prendere contromisure.
> Tripwire è un IDS host base, in quanto "firma" il filesystem e monitorizza
> i cambiamenti
L'ho usato: carino, ma bisogna definire BENE dove deve andare a controllare
per i cambiamenti: in certe aree del sistema è normale che vi siano
modifiche (ad es. /var/ e /tmp/), mentre in altre non è così pericoloso che
avvengano (ad es. in /home/lcoianiz/docs/).
E' necessario specificare correttamente le aree da monitorare per evitare
di dover rifasare il DB delle firme troppo spesso (a causa, quasi sempre, di
"falsi positivi") e specificare con quale livello di sicurezza agire (tipo
di firma: CRC16, CRC32, MD5, ecc., ce ne sono 9 di algoritmi, uno più
potente (e pesante) dell'altro) per evitare di lasciar poco protette alcune
zone (ad es. verificare /bin/ o /sbin/ con CRC32) o di metterci ore per
effettuare i controlli e per fasare il DB delle firme (ad es. verificare
TUTTA la macchina con MD5 o Snefru).
Se a qualcuno interessa vedere all'opera un pò di programmazione fatta male
posso passare un piccolo "front-end" a Tripwire che mi era utile per la
gestione dei suoi log, della ricostruzione del DB e poco altro.
> LIDS (linux intrusion detection system) è un progetto interessante che
> funziona come patch del kernel.
Interessante: dovrò indagare anche su questo. Diciamo che il mio interesse
era rivolto ai NIDS ed a tutto quanto potesse "parare il colpo" in caso di
attacco condotto via rete (difese passive ed attive).
Non sono ancora arrivato alle contromisure attive (tipo buttar giù l'host
attaccante... anche se il Giuzzi mi diceva che è possibile: lo farò quando
sarò diventato un discreto hacker ;-)))))) ) ma almeno le difese passive
(log dell'attacco (con mail summary a root) e blocco dell'accesso da parte
dell'IP attaccante) non mi dispiacerebbe averle.
Probabilmente sono due cose già implementate in SuSEFirewall2... ecco
appunto il desiderio di provare a forzare la macchina con Nessus: IMHO non
basta aver costruito un muro (di fuoco o meno) ma vorrei anche provare a
controllare se regge (classico penetration test).
Con la mail l'ho già fatto (H+BEDV/Antivir + AMaViS) e pare che funzioni
(per ora gli ho mandato EICAR e l'ha bloccato, in seguito invierò un paio di
virus veri che ho qui, in una scatoletta ;) ), ora è il turno del TCP/IP.
(il tutto sempre nell'attesa di ADSL... che a Borgosatollo sembra non
arrivare mai)
BTW: su Nessus nel frattempo mi sono (un pò) documentato ed ho scoperto che
(1) per attuare un penetration test serio sarebbe il caso che l'attacco
venisse da "fuori LAN" (internet o, comunque, non la stessa macchina che fa
da server e/o firewall... bella scoperta eh ? ;) ) e (2) la "console" di
nessus è (purtroppo) un'applicazione con interfaccia Gtk (o Java) e
necessita, credo, quindi di una macchina (Linux) per lavorare (oltre al
daemon, che gira sempre in Linux): io speravo che, oltre al daemon, ci fosse
un client interfacciato tramite browser (PHP/Perl) da poter smanazzare anche
da macchine diverse da Linux (in fin dei conti il lavoro "sporco" lo fa
comunque il daemon Linux).
Vabbè... vorrà dire che installerò anche un client grafico (SuSE8.0) oltre
al server :-(
-o)
Bye /\\
Sky _\_v
Maggiori informazioni sulla lista
Lug
|
