Laboratorio

Modulo 9 - Progetto di una rete

Esperienza sul rilevamento delle intrusioni

 left up right

Per la realizzazione di questo modulo useremo il Netkit4TIC con la connettività con la rete reale (leggere il file README).

Scarica il tarball contenente lo script. Inizialmente (nel 2003) questa esperienza si basava sul capitolo 8 del libro Attacchi non rilevati, Tim Crothers, Mc-Graw-Hill ma alla data di oggi SHADOW e ACID non sono stati più aggiornati. Abbiamo aggiornato l'esperienza sostituendo il defunto ACID con BASE il suo diretto successore. Abbiamo in programma l'utilizzo di sguil. Tra i pacchetti principali vanno sicuramente citati perl, bastille, mysql, snort, apache, php, acidbase.
Il documento da seguire per l'installazione è 11 step guide to build a Debian based IDS. Per SHADOW abbiamo usato la versione 1.8. La documentazione è risultata precisa e corretta mentre le indicazioni riportate dal libro sono risultate introduttive e non del tutto corrette. Consigliamo vivamente di leggersi SHADOW-1.8-Install.pdf!
Lo script genera una parte dell mappa della rete "generale" (pdf, xml) e in particolare quella etichettata "Virtual security space": a partire dall'alto il sensore 1 sarà posizionato sulla rete 217.57.5.216/29, il sensore 2 sulla rete 10.10.10.64/28, il sensore 3 sulla rete 10.10.10.0/26, il sensore 4 sulla rete (lab1/Area1) 192.168.1.0/24 e il sensore 5 sulla rete (lab2/Area2) 192.168.2.0/24 (screenshot). L'host che raccoglie tutte le informazioni (mngm.tic.fdns.net) è collegato ai sensori attraverso una rete dedicata. Per dare connettività all'host di management attraverso interfaccia web, tale host ha un "gateway" con il mondo reale in modo da poter usare un browser nel mondo reale per configurare e/o visionare lo stato della raccolta dei dati da parte dei sensori. Dalla macchina reale o da una macchina della rete della macchina reale (ma con definita una regola di routing aggiuntiva) è possibile accedere alla console di SHADOW immettendo nel browser l'URL seguente: 

realHost$ mozilla-firefox http://10.10.20.29/shadow.html

e alla console di BASE con: 

realHost$ mozilla-firefox http://10.10.20.29/base

Nel caso in cui Shadow visualizzi "Forbidden [..]" devi modificare le permissions definite nel file /home/SHADOW/html/.htaccess o nel file /etc/apache/httpd.conf aggiungendo tra gli indirizzi validi quelli della tua rete.

Per la creazione e manutenzione delle signature di Snort esiste un utile strumento per piattaforma Windows/XP gratuito di nome IDS Policy Manager.

up
Creative Commons License FREE THE MOUSE Valid HTML! Sandro Doro (email me)
Ultima modifica: $Date: 2007-06-27 19:41:33 $