8 Gener 2002 - Primera versió del projecte RC1 Ara vaig a dormir no és una gran hora per escriure masses cosetes... només dir que el projecte s'ha kedat amb unes 100pg...nanit! --- --- 26 Novembre 2001 - Llista de distribució de l'snort Finalment buscant per la llista de distribució de l'snort he trobat un missatge de Silicon Defense on hi havia una referència cap al snort 1.8.2 build 86 per win32 i suport per win32. Ja el tinc funcionant. Tb he posat les últimes 'rules' tan al w2k com al servidor s0. --- --- 25 Novembre 2001 - Instal·lació del Snort win32 Per primer cop he decidit intentar instal·lar el Snort per windows, en principi podia semblar una tasca fàcil, però com que jo volia enviar totes les sorties a la base de dades MySQL que tinc al servidor no ho ha estat tan. Ja que els executables que hi ha a la pàgina de l'snort no ho soportaben. Finalment a silicondefense.com he trobat un instal·lador de l'snort que portava la versió 1.8 build 74 amb suport per mysql. Però jo volia la versió 1.8.2 q de moment no he pogut posar en funcionament en win32. Això si les 'rules' i la classificació de les mateixes les he tret del projecte: IDS Policy Manager (www.activeworx.com/IDSPM). Aquest projecte és molt guapo, ja que és un centre de control que permet enviar/configurar els fitxers de configuració i regles als diferents hosts amb snort de la nostre xarxa. Llàstima que no és una versió definitiva i falla "una miqueta" (per no dir molt). Però la idea és molt bona. També he estat estudiant les estructures de les bases de dades de l'snort per poder elavorar un plug-in amb gràfics de resums d'alarmes que col·locaré al portal. El snort per win32 porta un GUI, que per cert és un porqueria. Ja que a part de penjar-se no s'enten res de res i és molt poc configurable. Tan poc, que ni tan sols suporta bases de dades. --- --- 24 Novembre 2001 - Nova versió de la presentació La presentació que fa uns dies vaig començar esta tocant a la seva fi a nivell de contingut. Ara només falta el tema d'imatge i retocar alguna definició i corregir alguna falta també. Però la final no diferirà molt d'aquesta. --- --- 18 Novembre 2001 - Presentació IDS Aquest cap de setmana he fet una presentació genèrica sobre els IDS de 25 transparències. Ara la penjaré del directori IDS, per si algú la vol mirar: http://oriol.homeip.net/IDS/presentacio Tb segueixo barallant-me i aprenent moltíssim FreeBSD, realment és un sistema guapíssim tot i q encara no acabo d'entendre com és q el kernel té tan poques opcions quan el recompiles però la ordre sysctl és realment guapíssima. --- --- 11 Novembre 2001 - Per fi va el PHP Després de desisitir en la instal·lació automàtica he seguit el mètode widnows. He reiniciat el Freed!!! si si... he entrat a /usr/ports/graphics/gd he posat make clean, despés make install i ala com un cristal. A la primera. Quasi 6h després entre una cosa i l'altre ja va el PHP-4.0.6, he hagut d'afegir el /usr/ports/lang/php4 i el mod_php4. Ara ja va. Ara vaig a varallar-me amb el perl pq suporti tots els moduls necessaris i suporti el demarc. Gràcies als súper ports, q per fi sembla q van una mica millor després de fer durant quasi 6h un cvsup dels ports cap a la versió estable. Tb he instal·lat el Nessus 1.0.9. Treballant per la implementació d'un sistema d'estudi de logs centra- litzat contra una BBDD SQL. Estudiant diferents opcions. Alguns links interessants sobre el tema: http://ezine.daemonnews.org/200111/syslog.html http://www.stunnel.org/ http://sourceforge.net/projects/msyslog/ --- --- 9 Novembre 2001 - Instal·lació de software al FreeBSD Fa més de 72h que el servidor FreeBSD esta connectat a internet baixant software i dependencies del mateix, després d'actualitzar els ports del sistema. Els ports estan actualitzats des del dia 20011108 encara no se com fer que es baixin sols cada dia. De moment s'ha instal·lat: - CVSup, Snort, Postgres, Apache. NOTA: pq em compili el Snort amb suport postgres he hagut de modificar el Makefile del snort i treure-li els atributs del parametre with-pgqsql. A part de compilar-lo amb make --DWITH_POSTGRES Casum les dependències, al final tan instal·lar tan instal·lar fa quasi 10h que intento instal·lar el php 4.0.6 amb moltes dependències. Però no hi ha hagut manera amb el gd. Un desastre, ja seguiré... --- --- 7 Novembre 2001 - IDS comercials Llegint la típica prensa tècnica de cada dia, he trobat una referència al portal del snort. On hi havia un link q feia una comparativa dels productes comercials IDS q hi havia al mercat i on es feien uns tests amb aquests: http://www.nwfusion.com/reviews/2001/1008bgtoc.html --- --- 6 Novembre 2001 - Estudi d com funcionen els port del FreeBSD Com funcionen i deixen de funcionar els ports del FreeBSD: http://www.freebsd.org/ports/ --- --- 5 Novembre 2001 - Estudi d'un NIDS de la Nasa He estat llegint quines filosofies de seguretat segueixent els de la NASA per montar els seus IDS. M'he estat fixant en el seu projecte: http://www.openchannelsoftware.com/projects/Spitfire/ --- --- 1 Novembre 2001 - Informació a fons de l'Snort He estat estat llegint informació de com esta programat i com funciona l'Snort: - Totes les excepcions del seu funcionament - Com es programen les seves wildcards de funcionament - Tots els detalls del format del tcpdump i com s'analitzen els atacs que passen pel tràfic. Crec q actualment el meu coneixement sobre l'Snort es d'un 90% a partir d'ara ja puc començar a posar en pràctica i coneixement de causa tot el q durant tots aquests anys havia estat aplicant. Després d'aquesta pràctica, podré començar a programar, personalitzar i re-configurar els analitzadors de logs d l'snort. També he llegit 10 presentacions de seguretat i de deteccions d'intrusos de prestigioses empreses de seguretat com l'ISS, la NAI, etc. També estic elvorant algunes presentacions sobre el tema per motius de feina aquestes presentacions espero tenir-les ben aviat fetes. Un cop fetes les presentacions en podré extreure moltíssima informa- ció que podré incloure a l'informe del projecte. També continuo escribint un docuemnt d'apunts personals sobre tot el q vaig llegint. De moment només tinc 5 pàgines però és informació molt molt i molt tècnica i concreta sobre temes q ja coneixia d'abans. --- --- 21 Octubre 2001 - Començo a fer un dietari, del que faig del projecte. Fins ara he estat recollint informació sobre tot el món dels IDS i els NIDS. He estat informant-me sobre porjectes com el 'shadow', l'snort, tcpdump i d'altres projectes GNU relacionats amb el tema. També he fet una recolecció de documents molt important. Com sempre he recollit més del que es pot llegir. Ara bé la part difícil, separar el gra de la palla. Tot fent aquesta tasca porto diversos dies seguint una investigació que vaig començar fa temps. Bàsicament la idea consisteix en amagar una 'box' d'una xarxa. No només aconseguint la típica tonteria d'amagar-la quan li fas un ping. Sinó afegint d'altres conceptes més avançats com: -Restringir els paquets TCP RST (Connecton Refused) -Restringir els ICMP_UNREACH sobre UDP, per evitar els escaners de ports per UDP. -Restringir també totes les peticions ICMP i IGMP. Hi ha un "patch" pel kernel del linux que aplica tot això, però és per la versió 2.2.18. Tot i que jo opino que si em miro bé el ProcFS també es podrien denegar aquestes funciones a un kernel 2.4.X sense haver de "parxejar" el kernel. O bé, aprofitant la potència del NETFILTER (iptables) podem denegar tot/part del tràfic que surt de la nostre targeta de xarxa i només deixar-lo entrar. Un parell de referencies sobre el tema les podem trobar a: http://www.energymech.net/madcamel/fm/ http://oriol.homeip.net/?id=102 Una altre idea és seguir els consells del FAQ de l'Snort on es diu que la millor solució és directament tallar el cable de TX del nostre cable de xarxa. Bé exactament el que proposa és l'esquema que hi ha a: http://www.snort.org/docs/faq.html#3.1 Fa dies que m'he instal·lat el FreeBSD per familiaritzar-me en l'entorn ja que volia desenvolupar el IDS sobre aquest SO. Obviament estic molt més fami- liaritzat en el entorn linux i fa dies que dono voltes en si canviar-me a Linux per implementar el projecte. Però com que encara no he arribat a la fase d'imple- mentació del mateix, he decidit posposar la decisió fins més endevant. Un altre tema que em preocupa molt també és l'etern problema dels IDS amb l'"stream reasembly". Aquest problema disparar múltiples salts positius i per molt que el refinis costa aconseguir que el SGBD (Sistema Gestor de Bases de Dades) encarregat de guardar totes les alertes del IDS no es saturi. Per més informació del pre-processador que usa l'snort sobre aquest tema: http://www.snort.org/docs/faq.html#3.14