nov
13

Nuova release per il kernel Linux la 2.6.31

 

Anche questa notizia non è delle più recenti ma mi preme mantenere una traccia sul mio blog per due aspetti importanti che riguardano il framework netfilter e il controllo di alterazioni su filesystem.
La parte di netfilter è l’introduzione del “passive OS fingerprinting” ovvero il riconoscimento passivo -parziale-  del Sistema Operativo col quale il pacchetto è stato originato. Questo permette come vantaggio il poter scatenare azioni o reazioni in dipendenza del sistema operativo.
L’articolo dal quale ho preso spunto della notizia riporta alcuni link utili all’argomento:

Come riportato nell’articolo di lwn questa feature è presente da tempo in OpenBSD.
Il termine passivo è inerente alla metodologia di detection che viene già utilizzata da p0f ovvero utilizzare i diversi dettagli con cui i pacchetti vengono originati per risalire al sistema operativo. Diversamente da nmap che usa una metodologia attiva ovvero compie delle vere e proprie richieste per avere queste info. Infatti tutti gli IDS sono capaci di individuare i tentativi di nmap sulla rete.

Sul sito web di Evgeniy Polyakov vi è l’esempio di un syslog con l’aggiunta di questa feature che è del seguente tipo:

Windows [2000:SP3:Windows XP Pro SP1, 2000 SP3]: 11.22.33.55:4024 -> 11.22.33.44:139 hops=3
Linux [2.5-2.6:] : 1.2.3.4:42624 -> 1.2.3.5:22 hops=4

Per la parte inerente il controllo di alterazioni sul filesystem la feature degna di nota è la Fsnotify che va a sostituire Dnotify e Inotify e può essere utilizzata per monitorare cambiamenti sul filesystem come creazione, modifica e cancellazione di file. Lo scopo è di permettere ad esempio la scansione di file su filesystem con strumenti rigorosamente del tipo userspace prima che questi provochino dei danni come ad esempio alla ricerca di virus o worm.

Per ulteriori dettagli per queste come di altre feature della nuova release rimando al link.

Fonte notizia: http://www.h-online.com/open/features/The-Next-Round-The-new-features-of-Linux-2-6-31-746619.html

Share/Bookmark

Popularity: 1% [?]



Puoi visualizzare il post originale qui.

apr
06

PSAD: protezione aggiuntiva, al fianco di iptables

 

Schema PSAD

I pregi di netfilter/iptables sono, fino a prova contraria, riconosciuti ed apprezzati anche da chi, dotato di un minimo di conoscenze a riguardo, non è molto vicino all’universo Linux. Nonostante tutto, può rivelarsi utile affiancare altri strumenti in grado di estenderne le potenzialità: non a caso, parliamo di Port Scan Attack Detector.

Si tratta di un set costituito da 3 demoni, il cui scopo è di analizzare i log di iptables e rilevare, laddove vi fossero, eventuali port scan e, in genere, ogni traccia di traffico sospetto.

Fra le feature in dotazione, si distinguono: l’inclusione di molte firme presenti nell’IDS di Snort, il riconoscimento di svariati tipi di scansioni (TCP SYN, FIN, NULL, XMAS e UDP scan), OS fingerprinting passivo (avvalendosi dello stesso algoritmo usato da p0f), log dettagliati (inviabili anche via e-mail), rapporti DShield ed il blocco automatico degli IP considerati come origine degli attacchi.

Pochi giorni fa, è stata rilasciata la versione 2.1.2, che vede corretti alcuni bug ed i cui pacchetti sono già disponibili (anche per Debian). Guide su installazione e configurazioni varie possono essere consultate direttamente sul sito di CipherDyne.

Popularity: 4% [?]



Puoi visualizzare il post originale qui.

nov
29

Le novità di Snort 3.0

 

SnortSnort è uno tra i software più usati per fare da cane da guardia ai propri server e alle LAN gestite ed è diventato uno standard de facto nel settore degli IDS.

Nonostante la versione 2.x abbia raggiunto ormai un grado di stabilità elevata e soddisfi i security expert il team di sviluppo sta già facendo grandi progetti per la prossima release 3.0.
Martin Roesch, lead architect del progetto, ha deciso di mettere nero su bianco in un lungo post le novità che dobbiamo attenderci dalla prossima incarnazione di Snort.
Vediamone alcune:

- Riscrittura del core framework per rendere più pulito e snello il codice

- Realizzazione di un motore che sia sensibile ai “network context”, in pratica con l’implementazione di questa feature Snort sarà in grado di capire che cosa sta difendendo in base a dei metadati che definiscano l’architettura di rete.

- Supporto migliorato al protocollo IPv6

- Miglioramenti nel motore del programma per un supporto avanzato dei processori multi-core

Per maggiori dettagli non posso che rimandare a una attenta lettura del post Snort 3.0 Architecture Series Part 1.

[Via | Taosecurity]

Popularity: 2% [?]



Puoi visualizzare il post originale qui.

top