Snort React per Webfiltering : "Soluzioni per le Leggi-Lista"

Snort React per Webfiltering : "Soluzioni per le Leggi-Lista" Nicola Mondinelli Si è quella di prima...

snortattack.org Portale dove le tipologie di argomentazione trattate coprono a 360 gradi tutte le tematiche relative alla sicurezza: attacco/difesa Uso di Snort come soluzione alle innumerevoli problematiche di intrusione Un portale e una mailinglist Snort User Group finalizzato alla collaborazione per l'uso di Snort e la trattazione di problematiche relative alla security

Dura LEX sed LEX La legislazione (ITALIANA e non solo) ultimamente sta scoprendo internet Recentemente sono stati fatti ddl, promulgate leggi o disposizioni giudiziarie che mirano al blocco, oscuramento, dirottamento di servizi in internet ( 99% web )

Cosa: Legge CASINO' online Dallo stato italiano non deve essere possibile raggiungere siti di giochi di azzardo non italiani o non in regola con lo stato italiano (questione di denaro ovviamente) Caso The Pirate Bay Dirottamento delle connessioni tramite falsi record DNS impostati presso gli ISP CNCPO Il Centro Nazionale Conto la Pedopornografia Online, che è gestito dalla PdS fornisce una BL agli ISP DdL Anti-Blogger...

Esempio Pratico: CNCPO - Il CNCPO fornisce un BlackList dettagliata in forma tabellare a) IP b) IP + URL c) nome DNS server d) DNS + URL Ovviamente per scaricare la lista bisogna registrarsi, farsi dare un certificato digitale ecc... Altrimenti i pedofili andrebbero tutti sul sito del CNCPO per sapere quali siti visitare... (magari lo fanno...)

Soluzione ISP BLOCCO da server DNS Inserisco RR falsi che risolvono i domini nella BL facendoli puntare ad un server web con una bella paginetta del tipo: IO ASPETTO i 18

SOLUZIONE ISP Facilmente aggirabile

Non immediata Sia nel blacklisting che nella rimozione Fault Tolerant Se il server DNS muore, gli utenti navigano lo stesso, confidando nel secondo dns Facile da implementare Batch che gira di notte

ALTRE SOLUZIONI: Ci sono molte altre soluzioni: Proxy

… Problema di Continuità di Servizio: Se il servizio di filtraggio muore blocco la connettività a tutti?

REACT: alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg: "SNORTATTACK AAMS ITALIAN LAW"; flow: to_server,established; content:"it.888.com"; reference:url,www.aams.it; classtype: policyviolation; sid:5002020; react: block, msg ; )

SNORT REACT Una modalità particolare di uso di snort in modalità FLEX RESPONSE è appunto il detection_plugin del react. C'e sempre stato ma non ha mai funzionato su win. >> Fixed in 2.8.4 by snortattack team.

SNORT REACT React permette di “reagire” ad un match mandando in risposta un pacchetto tcp preconfezionato pronto all'uso. La potenza del react e' che il pacchetto puo' essere forgiato in modo tale da intromettersi in una sessione TCP risultando valido.

SNORT REACT Solo Snort propone il funzionamento in modalità Flexible Response, tutti i dispositivi analoghi infatti operano unicamente Inline.

Snort offre due modi alternativi di operare in Flexible Response: FlexResp e FlexResp2. Il “react” è presente solo per FlexResp.

HOW IT WORKS SNORT FLEX RESPONSE usa le LibPCAP e non netfilter per leggere i pacchetti, quindi: Iptables non serve.

Potete ottimizzare il throughput usando la kernel patch PF_RING e le PCAP_RING

Breve carrellata di operazioni 1. Installazione dei pacchetti propedeutici: apt-get install vim gcc make build-essential libtool automake autoconf flex bison libpcre3-dev psmisc ethtool apache2 ntop ntpdate subversion apache2 kernel-package libncurses5-dev fakeroot wget bzip2 flex bison zlibc zlib1g-dev libnet0 libnet0-dev

Breve carrellata di operazioni Innanzitutto si scarica il PF_RING, in questo caso l’ultima versione: cd /usr/src svn co https://svn.ntop.org/svn/ntop/trunk/PF_RING/ Si verifica il kernel attualmente in uso: uname -a Si modifica lo script scaricato affinché generi la patch del kernel che si preferisce, in questo caso si è scelto di creare la patch per quello in uso: cd /usr/src/PF_RING/ vi mkpatch.sh edito kernel giusto VERSION=${VERSION:-2} PATCHLEVEL=${PATCHLEVEL:-6} SUBLEVEL=${SUBLEVEL:-26} Si lancia lo script che genera la patch: sh ./mkpatch.sh cd workspace/ cd linux-2.6.26-1-686-smp-PF_RING cp /boot/config-2.6.26-1-686-bigmem .config

Breve carrellata di operazioni Si abilita il pfring cosicché ne venga tenuto conto nella generazione del nuovo kernel : make menuconfig Si seleziona Networking -> Networking Options e ci si assicura che PF_RING socket sia abilitato. Si esce dal menù salvando le modifiche effettuate. Ora è possibile generare il pacchetto contenente il nuovo kernel e installarlo: make-kpkg clean fakeroot make-kpkg -initrd -revision=pfring.1.0 linux-image cd ../ dpkg -i linux-image-2.6.26_pfring.1.0_i386.deb L’utilizzo di questo nuovo kernel di default ad ogni boot va impostato nel seguente file: vi /boot/grub/menu.lst

Breve carrellata di operazioni Creiamo il file : vi /etc/modprobe.d/options inserendo la riga : options ring num_slots=65535 transparent_mode=0 Dove 65535 è la memoria occupata dal buffer ring. (scegliere a seconda della disponibilità, in caso sia maggiore bisogna cambiare nel grub la vmalloc=256M esempio di 256M)

Breve carrellata di operazioni Con il riavvio della macchina si verifica che il nuovo kernel venga effettivamente caricato: Reboot Copio il sorgente del ring nella directory linux: cp /usr/src/PF_RING/workspace/linux-2.6.26-1-686-smp- PF_RING/include/linux/ring.h /usr/include/linux/ cd /usr/src/PF_RING/userland Make

Breve carrellata di operazioni A questo punto si installano le librerie Libpfring : cd lib gcc -shared -Wl,-soname -Wl,libpfring.so.0.9.7 -o libpfring.so.0.9.7 *.o -lc cp libpfring.a libpfring.so.0.9.7 /usr/local/lib cp pfring.h /usr/local/include ln -s /usr/local/lib/libpfring.so.0.9.7 /usr/local/lib/libpfring.so ldconfig ldconfig -v |grep pfring Mediante quest’ultima istruzione si controlla che le librerie installate siano quelle corrette. La risposta deve quindi essere: libpfring.so.0.9.7 -> libpfring.so.0.9.7

Breve carrellata di operazioni Infine, si installano le librerie Libpcap-ring : cd /usr/src/PF_RING/userland wget http://www.tcpdump.org/release/libpcap-0.9.7.tar.gz tar -zxvf libpcap-0.9.7.tar.gz cd libpcap-0.9.7 mv pcap-int.h pcap-int.h.orig mv pcap-linux.c pcap-linux.c.orig cp ../libpcap-0.9.7-ring/pcap* . ./configure CPPFLAGS="-I/usr/local/include" LDFLAGS="-L/usr/local/lib" CFLAGS="-D_LARGEFILE_SOURCE -D_LARGEFILE64_SOURCE -D_FILE_OFFSET_BITS=64" make && gcc -shared -Wl,-soname -Wl,libpcap.so.`cat VERSION` -o libpcap.so.`cat VERSION` *.o -lc make install && cp libpcap.so.0.9.7 /usr/local/lib

SNORT REACT Scaricate l'ultima versione del sorgente di snort

Dalla 2.8.4 non c'e' da applicare nessuna patch Editare il file: ./src/detection-plugins/sp_react.c

SNORT SP_REACT.C 313: char tmp_head[] = "HTTP/1.1 302 FOUND\r\n Location: http://serverx:80 \r\n Server:Snort/2.8.3.2\r\n Connection:Close\r\n Content-Type:text/html\r\n\r\n";

Snort React per Webfiltering : "Soluzioni per le Leggi-Lista"

More Related Content

What's hot (20)

Similar to Snort React per Webfiltering : "Soluzioni per le Leggi-Lista" (20)

Snort React per Webfiltering : "Soluzioni per le Leggi-Lista"