10.3. Pianificare la ricerca di intrusi
In Debian GNU/Linux sono presenti molti programmi che servono ad individuare intrusi nel sistema, possono scovare delle attività malevole sul vostro sistema personale, oppure negli altri sistemi della vostra rete. Questo tipo di difesa è importante sia che nel sistema siano residenti informazioni riservate, sia che voi siate veramente paranoici in fatto di sicurezza. I più comuni metodi per individuare degli intrusi sono l'individuazione di anomalie e la ricerca mediante l'uso di espressioni regolari.
Dovete essere consapevoli che la sicurezza del sistema viene migliorata con l'introduzione di questi programmi, avrete bisogno di avere un meccanismo di allerta e risposta configurato correttamente. La ricerca di intrusi senza un valido sistema di allerta diviene completamente inutile.
Quando viene scoperto un particolare attacco, molti di questi programmi vengono configurati per inviare un log con syslogd
oppure per inviare una email all'amministratore (le intestazioni delle email sono solitamente configurabili). Un amministratore può accuratamente configurare questi strumenti evitando così di ricevere allarmi per falsi positivi. Inoltre è necessario fare attenzione ai sistemi di allarme dei tentativi di intrusione, potrebbero rivelarsi inutili se vengono generati il giorno dopo che l'attacco è avvenuto. Siamo sicuri che questa sia la politica di sicurezza migliore, è però importante che gli strumenti per migliorare questa politica siano implementati.
10.3.1. Individuazione delle intrusioni sulla rete
Gli strumenti che controllano le intrusioni lo fanno sul traffico di un segmento di rete e usano le informazioni come una sorgente di dati. Specificatamente, vengono esaminati i pacchetti in rete e viene controllato che abbiano un certificato valido.
snort is a flexible packet sniffer or logger that detects attacks using an attack signature dictionary. It detects a variety of attacks and probes, such as buffer overflows, stealth port scans, CGI attacks, SMB probes, and much more.
snort
also has real-time alerting capability. You can use
snort
for a range of hosts on your network as well as for your own host. This is a tool which should be installed on every router to keep an eye on your network. Just install it with
apt-get install snort
, follow the questions, and watch it log. For a little broader security framework, see
http://www.prelude-ids.org.
Debian's snort package has many security checks enabled by default. However, you should customize the setup to take into account the particular services you run on your system. You may also want to seek additional checks specific to these services.
There are other, simpler tools that can be used to detect network attacks. portsentry is an interesting package that can tip you off to port scans against your hosts. Other tools like ippl or iplogger will also detect some IP (TCP and ICMP) attacks, even if they do not provide the kind of advanced techniques snort
does.
You can test any of these tools with the Debian package idswakeup, a shell script which generates false alarms, and includes many common attack signatures.
10.3.2. Sistemi per individuare gli intrusi
I sistemi per individuare gli intrusi controllano chi usa i file di log e/o i sistemi di verifica come se fossero una sorgente dati. Controllano i processi sospetti, l'accesso al sistema e possono riportare dei cambiamenti ai file fondamentali per il sistema.
tiger is an older intrusion detection tool which has been ported to Debian since the Woody branch. tiger
provides checks of common issues related to security break-ins, like password strength, file system problems, communicating processes, and other ways root might be compromised. This package includes new Debian-specific security checks including: MD5sums checks of installed files, locations of files not belonging to packages, and analysis of local listening processes. The default installation sets up tiger
to run each day, generating a report that is sent to the superuser about possible compromises of the system.
Inoltre esistono programmi che controllano l'integrita dei filesystem (vedete in
Sezione 4.17.3, «Controllare l'integrità del file system») che sono abbastanza utili nella ricerca di anomalie in un ambiente sicuro. È molto probabile che un vero intruso modifichi alcuni file nel filesystem locale, allo scopo di aggirare la politica di sicurezza, installare dei cavalli di Troia, oppure creare utenti. Questi eventi vengono ricercati dai programmi atti a controllare l'integrità dei filesystem.