Figura 7: Schema a blocchi della funzione CallAlertPlugins

 Il modulo che si occupa di questa funzione si trova nel file plugbase.c e nei vari file sp* (i file degli Snort plugin). 

In generale ci sono 3 tipi di moduli add-on per Snort: i plugin, i preprocessori e i plugin output. Ognuno di questi 

viene gestito separatamente. La differenza maggiore tra essi consiste nel fatto che i plugin di solito vengono invocati 

con parole chiavi presenti nelle regole, i preprocessori vengono invocati prima che il pacchetto sia decodificato 

mentre i plugin output vengono invocati quando il programma deve generare un messaggio alert o un log. I plugin 

presenti attualmente in Snort possono essere suddivisi in due classi distinte: i preprocessori e i moduli output. I 

preprocessori sono stati introdotti nella versione 1.5 di Snort ed hanno permesso l’estensione delle funzionalità di 

Snort. Il codice del preprocessore viene eseguito prima che il pacchetto arrivi al detection engine ma dopo che 

esso è stato decodificato dal packet decoder che è un altro elemento fondamentale dell’architettura di Snort. 

Questo meccanismo fa sì che il pacchetto sia analizzato o modificato in modo cosiddetto “out of band”. La parola 

chiave per caricare e configurare il preprocessore è preprocessor e l’istruzione contenuta nel file delle regole di 

Snort ha il seguente formato: preprocessor <name> : <options>. I moduli preprocessori attualmente forniti con 

Snort sono:

§         Minfrag che esamina i pacchetti  che sono stati frammentati ed hanno una grandezza al di sotto di una soglia stabilita. Poiché nelle reti commerciali si è visto che difficilmente il pacchetto viene frammentato al di sotto dei 512k, di solito si usa questa grandezza come soglia.

§         HTTP Decode è usato per processare le stringhe HTTP URI e convertire i loro dati in stringhe ASCII. Questo è stato fatto per sconfiggere quegli attacchi che cercano di evitare l’analisi del contenuto delle strighe, usate per esaminare il traffico http per scopi sospetti. Questo preproccesore prende come argomenti la lista delle porte su cui girano i servizi http (generalmente 80 e 8080).

§         Portscan Detector è stato sviluppato da Patrick Mullen, è definito come un tentativo di connettersi a P porte TCP in T secondi o di mandare P pacchetti UDP in T secondi. Le porte possono anche essere sparse su diversi indirizzi IP. Crea il log sullo standard logging contenente l’inizio e la fine dei portscan da un singolo indirizzo IP sorgente; se viene specificato un file di log, esso indica gli indirizzi IP di destinazione e le porte su cui si è fatto lo scan nonché il tipo di scan.

§         Portscan Ignorehosts scritto anch’esso da Patrick Mullen serve ad indicare una lista di host su cui non si deve applicare il portscan detector. L’argomento di questo preprocessore è la lista degli indirizzi IP/CIDR degli host che si vuole scartare.

§         Defrag (sviluppato da Drados Ruiu) fornisce a Snort la capacità di affrontare completamente la deframmentazione IP, in modo da rendere molto difficile agli hackers la possibilità di raggirare il rilevamento del sistema. Defrag non prevede argomenti e può essere usato al posto del preprocessore Minfrag.

§         Stream è un modulo ancora in versione beta. Fornisce a Snort la funzionalità di riassemblare uno stream di dati TCP. Gli stream di dati TCP su una porta specificata vengono trasformati in un singolo stream che può essere analizzato da Snort per rilevare attività sospette.

§         Spade: Statistical Packet Anomaly Detection Engine fa parte di un progetto più ampio sviluppato dalla Silicon Defense chiamato Spice e sta per Stealthy Probing and Intrusion Correlation Engine. E’ composto da due parti: un sensore (Spade) e un portscan correlator (attualmente in fase di sviluppo). L’operazione base sarà la seguente: Spade monitorerà il traffico della rete e riporterà gli eventi anomali al correlator. Quest’ultimo raggrupperà questi eventi e produrrà dei report di portscan. Più in dettaglio, Spade rivedrà i pacchetti ricevuti da Snort, e riporterà quei pacchetti che ritiene anomali assegnandogli un punteggio (anomaly score). Questo punteggio è assegnato in base alla storia osservata della rete. Meno volte un pacchetto è apparso sulla rete maggiore sarà il suo anomaly score. Verrà creata una tabella delle probabilità che raccoglierà le occorrenze dei diversi tipi di pacchetti. L’anomaly score sarà calcolato direttamente dalla probabilità. Per il pacchetto X, A(X)=log₂(P(X)).

§         Le funzioni responsabili delle inizializzazioni dei vari moduli sono:InitPlugins(), InitPreprocessors(), InitOutputPlugins(). Ci sono anche un insieme di funzioni di registrazione (RegisterPlugin(), RegisterPreprocessor() e RegisterOutputPlugin()), che dovrebbero essere chiamate dai plugin prima della loro inizializzazione e delle funzioni che cancellano le diverse liste di moduli all’uscita del programma (AddFunctionToRestartList(), AddFunctionToClearExitList() AddFunctionToSignalList()).

INSTALLAZIONE

Anche se lo spazio occupato dall’eseguibile è di pochi bytes, è preferibile installare Snort su di una macchina ad esso dedicata con nessun servizio attivo, tranne che ssh, controllabile con una metodologia sia a singola che a doppia interfaccia. 

Nella prima, si ascolta il traffico sulla rete dallo stesso lato dell’amministratore.

Nella seconda, un’interfaccia ascolta il traffico sulla rete in modo promiscuo mentre l’altra può essere usata dall’amministratore per controllare il sistema da remoto

La corrente versione di Snort è reperibile all’indirizzo www.snort.org, quella da noi usata è la versione 1.7. Per utilizzare Snort per la cattura dei pacchetti bisogna installare anche la libreria libpcap, di solito non installata con il sistema operativo, reperibile all’indirizzo ftp://ftp.ee.lbl.gov/libpcap.tar.Z.

Per eseguire l’installazione si deve accedere al sistema con i permessi di super user (root). La versione di linux utilizzata è la Suse 7.1 kernel 2.2.18. E’ possibile installare i pacchetti in un punto qualsiasi del sistema operativo.

Passo 1: installazione della libpcap.

1. Decomprimere i pacchetti tramite i comandi gzip e tar da linea di comando:

# gzip -d -c libpcap.tar.Z | tar xvf –

I parametri indicati, sono delle azioni per i (de-compressori di files) gzip e tar:

-d decomprime il file;

-c scrive sullo standard output (mostra i risultati dell’operazione di decompressione a video);

-x estrai i files dall’archivio tar;

-v elenca i files durante l’estrazione dall’archivio;

-f permette di specificare il nome del file dell’archivio;

| dopo l’esecuzione di gzip passa al comando tar l’archivio processato per la seconda fase di decompressione

- indica a tar di processare il file indicato precedentemente

2. Spostarsi nella directory creata dopo la decompressione dei pacchetti:

# cd libpcap-0.4/

3. Creare le directory /usr/local/include e /usr/local/include/net dove saranno installati alcuni files nei passi precedenti. Se esistono passare al punto successivo.
4. Per creare il file di inizializzazione, per collegare e compilare i vari pacchetti, bisogna personalizzare i vari percorsi per i pacchetti indicati nel Makefile.in, quindi eseguire lo script shell "./configure" come mostrato. E’ possibile lasciare i percorsi invariari, in questo caso, saranno usati quelli di default per l’installazione delle librerie, dei manuali, ecc. L’operazione eseguita dal file configure sarà quella di determinate tutte le caratteristiche e attributi del sistema per generare un appropriato Makefile.

# ./configure

5. A questo punto l’esecuzione del comando "make" effettuerà la compilazione dei files tenendo conto delle informazioni raccolte finora. Se tutto va bene procedere con il passo successivo.

# make

6.      Siamo giunti agli ultimi passi dell’installazione ed effettuiamo le ultime operazioni di compilazione

# make install

7. Per l’installazione delle librerie si deve eseguire

# make install-incl

8. A questo punto si conclude con l’installazione dei manuali e guide in linea della libpcap

# make install-man

Passo 2: installazione di Snort

1. Decomprime i pacchetti tramite i gzip e tar da linea di comando:

 # gzip -d -c snort-1.7.tar.gz | tar xvf –

2. Spostarsi nella directory creata dalla decompressione dei pacchetti

# cd snort-1.7

3. Per creare il file di inizializzazione, per collegare e compilare i vari pacchetti, bisogna personalizzare i vari percorsi per i pacchetti indicati nel Makefile.in, quindi eseguire lo script shell "./configure" come mostrato. E’ possibile lasciare i percorsi invariari, in questo caso, saranno usati quelli di default per l’installazione delle librerie, dei manuali, ecc. L’operazione eseguita dal file configure sarà quella di determinate tutte le caratteristiche e attributi del sistema per generare un appropriato Makefile

# ./configure

4. Compilazione dei files tenendo conto  delle informazioni raccolte precedentemente

# make

5. Compilazione degli ultimi files e installazione dei manuali e guide in linea

# make install

RUNNING SNORT

Snort non è molto difficile da usare, ma ci sono molte opzioni sulla riga di comando e non è sempre ovvio quali di esse vanno bene insieme. I possibili parametri che si possono dare in input a Snort sono elencati di seguito:

Snort [-abCdDeNopqsvVx?] [-A alert-mode] [-c rules file] [-F bpf-file] [-h home-net] [-i interface] [-l log-dir] [-m smb-hosts-file] [-n packet-count] [-r tcpdump-file] [-S n=v] expression.

§         Le opzioni più importanti sono le seguenti:

§         -A alert-mode effettua un alert usando uno specifico alert-mode (fast, full, none, unsock). Fast scrive gli alert sul file di alert di default in una singola linea; full scrive gli alert sul file di alert decodificando completamente l’header; none disabilita gli alert; unsock è una modalità sperimentale che manda gli alert su socket UNIX.

§         -a mostra i pacchetti ARP quando vengono decodificati.

§         -b effettua il log dei pacchetti in formato tcpdump.

§         -c rules-file usa il file di regole nel percorso rules-file.

§         -C stampa solo i caratteri del payload del pacchetto.

§         -d visualizza il livello applicazione dei dati quando mostra i pacchetti.

§         -D esegue Snort in daemon mode.

§         -e visualizza l’header dei pacchetti ethernet.

§         -F bpf-file legge i filtri BPF dal file bpf-file.

§         -h home-net setta la “home network” a home-net. Il formato di questo indirizzo è un prefisso di rete più un blocco CIDR, come 192.168.1.0/24.

§         -i interface si mette in ascolto sull’interfaccia specificata.

§         -l log-dir indirizza i log in un file in una directory specifica. Per default è usata /var/log/snort.

§         -M smb-hosts-file manda messaggi WinPopup alla lista di workstation contenute nel file smb-hosts-file. Il file workstation è semplice:ogni linea del file contiene il nome SMB del sistema al quale trasmettere il messaggio.

§         -n packet-count processa solo un numero di pacchetti pari a packet-count ed esce.

§         -N smette di loggare i pacchetti. Il programma continua normalmente a generare alert.

§         -o cambia l’ordine in cui le regole sono applicate ai pacchetti. Invece dell’ordine d’inizio applicato nello standard Alert->Pass->Log, le regole verranno applicate nell’ordine Pass->Alert->Log.

§         -p termina la modalità promiscua di sniffing.

§         -q non visualizza i messaggi e le informazioni di inizializzazione.

§         -r tcpdump-file legge il file tcpdump-file formattato.

§         -s manda messaggi di alert al syslog.

§         -S n=v setta la variabile “n” al valore ”v”. Utile per settare il valore di una variabile definita nel file di regole di Snort con un valore specificato nella linea di comando.

§         -v stampa i pacchetti.

§         -V mostra la versione dell’applicativo ed esce.

§         -? mostra l’uso delle istruzioni del programma ed esce.

§         expression seleziona quali pacchetti devono essere visualizzati. Se l’opzione expression non è data, saranno visualizzati tutti i pacchetti. Altrimenti, solo i pacchetti per cui expression è vera saranno visualizzati. Essa consiste di una o più primitive che sono precedute da uno o più qualificatori. Ci sono tre differenti tipi di qualificatori: type, dir, proto.

CONCLUSIONI

I vantaggi di Snort sono:

1.      se ci sono nuovi attacchi l’amministratore può facilmente sviluppare nuove regole per rilevarli, molto più velocemente di un qualsiasi prodotto commerciale

2.      prende poco tempo per l’installazione e l’applicazione

3.      ha una struttura modulare

4.      codice open source

5.      utilizzato in reti eterogenee: può inviare allarmi a workstation Windows attraverso Samba

6.      è estendibile usando i plugin  (http://www.linux.ie/articles/portsentryandsnortcompared.php)

Gli svantaggi sono:

1.      non tratta bene la deframmentazione IP.

2.      mancanza di livelli per gli alert.

3.      tutti quelli comuni agli IDS basati sul pattern matching.

NOTIZIE SULL’AUTORE

Martin Roesch è Director of Forensic Systems alla Hiverwold, Inc. E' specializzato nella progettazione e implementazione di tecnologie per l'intrusion detection ed è anche autore di Snort, un sistema Open Source per il network intrusion detection. Prima di essere assunto dalla Hiverworld, Martin è stato un Network Security Engineer alla Stanford Telecom, tecniche legali della rete e tecnologie per l'intrusion detection per il Dipartimento della Difesa Americano. E' anche il capo progetto della GTE Internetworking's NetFacade, una societa' di rete. Possiede un B.S. in Electrical e Computer  Engineering dalla Clarkson University (USA). E’ anche membro del team di sviluppo e distribuzione dei Security Toolkit di Trinux Linux.

 

GLOSSARIO

ALERT: Una rappresentazione di un evento generato per il controllo della sicurezza e per il supporto dei dati. Gli Alerts sono memorizzati sia in database o codificati in formato XML.

ARP: Address Resolution Protocol. Protocollo che permette di conoscere l'indirizzo Ethernet di un server conoscendo il suo indirizzo IP, in una rete TCP/IP. Il server richiedente invia un pacchetto di dati ARP al server in questione e riceve il suo indirizzo Ethernet come risposta. L'interrogazione può essere rivolta anche ad un altro server, in quanto ciascun server mantiene un registro con gli indirizzi Ethernet ed IP dei server con cui è entrato in comunicazione.

ASCII: American Standard Code for Information Interchange. Standard di definizione dei caratteri per computer. Questo formato serve per inviare file di documentazione via modem fra computer di tipi diversi.

ATTACCHI CGI: Rappresentano attacchi per far bloccare un host o per ottenere servizi per i quali non si possiede l’autorizzazione. I CGI sono programmi che vengono eseguiti da un server WEB. Gli attacchi tramite CGI cercano di sfruttare le vulnerabilita' di questi programmi.

AUDIT LOG: Letteralmente significa "LOG di verifica". Generalmente ogni accesso ad una macchina viene loggato (cioe' l'accesso stesso viene registrato in un qualche file insieme ad alcune informazioni quali l’indirizzo IP della macchina che ha tentato l'accesso, data etc). In particolare SNORT logga gli attacchi che e' in grado di individuare (tipo i Probes SMB e i CGI Attacks etc). Un Audit LOG quindi e' un semplice log di quello che e' accaduto e quando.

BPF: Berkley Packet Filter. Può essere considerato un agente di sistema; posizionato nel kernel del sistema operativo, effettua la selezione di pacchetti scartando quelli indesiderati.

BUFFER OVERFLOW: E’ diventato oggi il più comune punto di vulnerabilità rilevato nei sistemi operativi basati sulla piattaforma UNIX. L'overflow che si può verificare nei buffer del sistema è il risultato della mancanza di buoni tipi di dati nelle strutture “string” e “buffer” del linguaggio C e nell' abuso delle funzioni di tipo  “string” dalle librerie standard del C, che è il linguaggio base su cui sono costruiti i sistemi UNIX. Grazie a questi errori, i cracker, studiano la costruzione del sistema operativo, possono individuare gli errori presenti nel sistema e, con appositi programmi, prendere possesso del sistema obiettivo. Negli attacchi più comuni, gli intrusi cercano di creare un overflow nei “buffer”, o nei “remote deamons”, o nel programma “setuid”. Il metodo che usano è quello di inserire il loro codice macchina nello spazio rappresentante l'indirizzo del programma e sovrascrivere l'indirizzo di ritorno di alcune funzioni. Quando una delle funzioni “modificate” viene utilizzata deve “ritornare un valore” invece di passare quello elaborato “salta” ed elabora il codice introdotto dal cracker che normalmente crea una “shell” e manda in overflow il sistema compromettendone il regolare funzionamento.

CIDR: Classless Inter-Domain Routing. E’ un nuovo schema per l’assegnamento degli indirizzi internet che permette una più efficiente allocazione degli indirizzi IP rispetto ai vecchi schemi di indirizzi di classe A, B e C.

CGI: Common Gateway Interface. Programmi scritti in Perl, C, Java o Visual Basic, che consentono ai siti Internet di elaborare i dati inseriti dall'utente. Sono utilizzati, ad  esempio, per effettuare ricerche, interrogazioni di database, invio di moduli. La programmazione di CGI è complessa, ma sono disponibili per essere scaricati da Internet molti programmi CGI già pronti.

CGI SCAN DETECTION: Rileva un attacco tramite CGI. L’attaccante effettua dei tentativi per individuare che tipi di programmi CGI il server WEB possiede (CGI SCAN) e sfrutta le eventuali vulnerabilità di tali programmi. Snort è in  grado di rilevare se qualcuno sta provando a fare questo genere di tentativi.

DATAGRAM: uno o più pacchetti che costituiscono un singolo messaggio di rete.

DOMAIN NAME: un modo semplice per riferirsi ad un gruppo, macchine, o gruppo di macchine su internet tramite un nome registrato.

ETHERNET: Una tecnologia di rete Local Area Network, sviluppata originariamente da Xerox, che connette computer e trasmette dati fra loro. I dati sono suddivisi in frame e inviati via cavo.

FDDI: Fiber-Optic Data Distribution Interface. Standard per le reti realizzate con cavi in fibra ottica, che consentono una velocità di 100 mbps.

FIREWALL: Qualunque strumento che previene utenti non autorizzati dal guadagnare accesso a un certo host. Più precisamente, uno strumento di controllo dell’ indirizzo d’origine di ogni pacchetto. Se quell’indirizzo è su una lista approvata, il pacchetto guadagna l’entrata. Altrimenti è rigettato.

GNU: il Progetto GNU è stato lanciato nel 1984 per sviluppare un sistema operativo Unix-compatibile completo che fosse software libero. GNU è un acronimo ricorsivo per “GNU's Not Unix” (GNU Non è Unix) e si pronuncia gh-nu (con la g dura). Varianti del sistema operativo GNU, che utilizzano il kernel Linux, sono ora ampiamente utilizzate; anche se a questi sistemi ci si riferisce spesso come "Linux", essi vengono chiamati con più precisione sistemi GNU/Linux.

GPL: General Public License. E’ il “permesso d'autore” (copyleft), che usa le leggi sul diritto d'autore (copyright) capovolgendole per ottenere lo scopo opposto: invece che un metodo per privatizzare il software, diventa infatti un mezzo per mantenerlo libero. Il succo dell'idea di permesso d'autore consiste nel dare a chiunque il permesso di eseguire il programma, copiare il programma, modificare il programma e distribuirne versioni modificate, ma senza dare il permesso di aggiungere restrizioni. In tal modo, le libertà essenziali che definiscono il “free software” (software libero) sono garantite a chiunque ne abbia una copia, e diventano diritti inalienabili.

HTTP: HyperText Transfer Protocol. Protocollo per il trasferimento di pagine World Wide Web. Contributo di Martino Pavan Perfetto: definisce la sintassi della richiesta di dati e della risposta che intercorre tra un browser (il client) e un server web.

ICMP: In Internet quando accade qualcosa di inaspettato durante il passaggio dei pacchetti da un router all'altro, ogni evento viene riportato tramite questo protocollo. I messaggi ICMP vengono incapsulati nei pacchetti IP e spediti normalmente ai processi di networking e non ai programmi utente. A volte però capita che qualche programma ci avverta di un disguido riportato tramite questo protocollo. Un messaggio ICMP nel bel mezzo del nostro schermo potrebbe essere questo "...Time to Live was exceeded etc...". Con questo un router ci ha gentilmente informato che uno dei tanti pacchetti che formavano il file da noi inviato ha incontrato una congestione, e' entrato in un circolo vizioso (loop) oppure aveva il campo TTL troppo basso. Ecco altri messaggi:

1.      Destination Unreachable - il router non ha trovato la destinazione del pacchetto.

2.      Parameter problem - campo dell'header non valido

3.      Redirect - il router informa l'host che ha spedito il pacchetto di un qualche errore

4.      Echo Request - messaggio utile per sapere se un host è presente oppure no (utilizzato in Ping)

5.      Echo Reply - come sopra

6.      Timestamp request - come sopra con time stamp

7.      Timestamp Reply - come sopra

INCIDENT: una collezione di dati sottoposti ad attacchi.

INDIRIZZO IP: Per rendere universale un sistema di comunicazione quale è Internet, è necessario stabilire un metodo globalmente accettato per identificare i computer ad esso collegati. A tale scopo viene associato ad ogni computer connesso un particolare indirizzo univoco detto indirizzo IP (daTCP/IP). Così come il classico indirizzo formato da: nazionalità, città, via e numero civico ci permette di rintracciare una persona nel mondo, analogamente un indirizzo IP, vista la struttura di Internet, serve ad identificare il dominio di appartenenza del computer sulla rete. Un esempio di indirizzo IP è il seguente: 195.120.131.81 come si può notare si tratta di una parola di 32 bit.

IP_GRAB: E’ un packet sniffing tool, basato sulla libreria BPF, che mostra le informazioni complete del livello DLC, di rete e di trasporto dei pacchetti che transitano sulla rete. E’ distribuito con Debian/GNU Linux e Trinux.

IPX: Internet Packet eXchange. Protocollo usato per l’instradamento di dati e per servizi da server a workstation e viceversa.

LIBPCAP: E’ una libreria che fornisce un’interfaccia indipendente dal sistema per catturare i pacchetti al livello utente. Fornisce un monitoraggio di rete a basso livello. Grazie alla sua ampia diffusione ed utilizzo, è diventata uno standard. Varie reti basate su intrusion detection systems, sniffers, e tools di data processing, possono cooperare e scambiare dati semplicemente poiché essi usano il formato standard dei file per memorizzare il traffico sulla rete.

NETMASK: Indica quali indirizzi sono raggiungibili direttamente (nella rete locale) e quali richiedono di far passare i pacchetti attraverso un router. Se la netmask è errata, le macchine faranno uno o due errori: uno è cercare di inoltrare pacchetti locali attraverso un router, che è uno spreco di tempo e, anche se è abbastanza veloce, potrebbe essere più lento o non funzionare completamente. Il secondo errore è di non riuscire ad inviare al router pacchetti destinati a macchine remote, nel qual caso i pacchetti non giungeranno mai a destinazione. La netmask è un indirizzo simile ad un IP, con bit impostati ad uno per la parte di rete ed a zero per la parte dell'host. La netmask viene usata, come dice il nome, per mascherare parti dell'indirizzo al codice TCP/IP. Se la netmask è 255.255.0.0, i primi 2 byte sono per la rete e gli altri 2 per l'host; la più comune è 255.255.255.0, nella quale i primi 3 byte sono la parte per la rete egli ultimi tre sono per l'host.

NETWORK FLIGHT RECORDER: Può essere definito come un network sniffer programmabile e molto evoluto che seleziona tra i dati raccolti dalla rete, quelli più interessanti, li salva in una base di dati e, attraverso un'interfaccia grafica scritta in Java, ne permette una loro successiva consultazione attraverso delle query. Definire questo pacchetto semplicemente come un network-sniffer è veramente molto riduttivo, se così fosse esso sarebbe semplicemente l'ennesimo prodotto che si ispira al tcpdump. NFR è una suite composta da 6 moduli, ciascuno con una sua ben determinata funzione: Netwoork sniffer, Nfrd, Back-end processor, Alertd deamon, Base di dati, GUI (Graphics User Interface o Interfaccia Grafica).

NMAP: Network Mapper è un utility Open Source, licenza GNU GPL, che gira su diversi tipi di sistemi per l’esplorazione di reti o per l’auditing della sicurezza. E’ stato realizzato per effettuare una rapida scansione su grandi reti anche se lavora bene su singoli host. E’usato per pacchetti ip su reti per determinare quali host sono disponibili sulla rete, che tipo di servizi offrono, quale tipo di sistema operativo usano, che tipo di firewall e filtri di pacchetto adottano.

NIDS: Network Intrusion Detection System. E’ un sistema che è responsabile nell’individuare anomalie inappropriate, o altri tipi di dati considerati non autorizzati che transitano sulla rete. Non lavora come un firewall, che è configurato per garantire o inibire l’accesso ad un particolare servizio, ma cattura ed ispeziona tutto il traffico.

PACCHETTO: Il pacchetto (o datagramma), viene definito al Livello Network e trasmesso in rete dai router. Contiene in genere informazioni quali indirizzo, dati e molti altri campi. Al Livello Data Link la parte dati (payload) e la parte di intestazione (header) viene denotata con il termine frame; mentre queste due parti al livello Trasporto si indicano con il termine TPDU (Transfer Protocollo Data Unit). Ecco una rappresentazione schematica dei livelli di impacchettamento (uno dentro l'altro) dei dati secondo le rispettive astrazioni del modello TCP/IP:

1.      Livello Application  (HTTP - TELNET ecc)

2.      Livello Transport (TCP): +++++ TPDU (contenuto nel payload del pacchetto)

3.      Livello Network (IP): ++++ +++++ Pacchetto o datagramma (contenuto nel payload del frame)

4.      Livello Data Link: (PPP) ++++ ++++ +++++  Frame (contiene il pacchetto)

5.      Livello Fisico: cable +++ ++++ ++++ +++++ +++ sequenza di frame repeater ecc.

Nell'accezione più generica di pacchetto si astrae dal modello, sia esso OSI/RM o TCP/IP. In questo caso il termine denota una parte di dati (unita di informazione) riconoscibile in rete dall'entità mittente e destinataria, si pensi alle schede di rete, alle entità IP oppure tra due entità TCP.

PAYLOAD: carico utile di un pacchetto, di un frame o di un'altra unita' per la trasmissione dei dati. Nei frame, per esempio, quando parliamo del payload intendiamo quella parte del frame priva dell'header (in testa) e del checksum (in coda), ossia parliamo del pacchetto. Per un idea piu' intuitiva si veda il modello TCP/IP.

PLUG-IN: E’ un funzione aggiuntiva che va ad incrementare i servizi offerti da un'applicazione. I plug-in per i Browser quali RealAudio, possono aggiungere funzionalità multimediali, mentre il plug-in per Acrobat Reader permette di visualizzare file in formato pdf. Esistono poi i plug-in per Photoshop (noto programma per il fotoritocco di Adobe) per realizzare effetti particolari (rilievo, plastificazione, mosaico, etc.) sulle immagini bitmap.

PING: acronimo di Packet InterNet Groper, il cercatore di pacchetto di Internet . E' il metodo più semplice per testare e per avere i tempi di risposta delle connessioni TCP/IP. Il Ping manda una richiesta ad un host ed aspetta una risposta (chiamata pong). Il ping ritorna il numero di secondi necessari per la connessione.

PORT NUMBER: il modo in cui servizi di rete individuali sono identificati tra macchine.

PORT SCANNING: Il Port scanning è una tecnica che viene utilizzata per determinare quale porta di comunicazione del sistema obbiettivo è configurata per essere in ascolto verso le connessioni provenienti dall'esterno. Gli attaccanti sono molto interessati alla determinazione delle porte aperte in quanto rappresentano un possibile canale di comunicazione che può essere eventualmente sfruttato. Avere uno schema delle porte di comunicazione permette di scambiare più facilmente informazioni con il sistema; così è vantaggioso per tutti desiderare di poter esplorare l'ambiente di rete del sistema e trarne informazioni significative, soprattutto per i cracker. L'idea su cui si basa il port scanning consiste nel fatto che è estremamente conveniente per il cracker riuscire a sondare quante più porte di comunicazione è possibile e stabilire quali di esse sono disponibili alla comunicazione in modo da utilizzare quelle che maggiormente si adeguano ai propri bisogni. Lo scanning di queste macchine viene fatto con tecniche che mandano un gran numero di pacchetti di vari protocolli in modo da dedurre quali servizi sono in ascolto verso l'esterno dalla risposta che questi danno ai pacchetti inviati.

PORTSENTRY: E’ un port scan detector che può essere configurato per collegarsi alla porta che si vuole monitorare, riportando tutti i tentativi di scansione su tale porta ed opzionalmente eseguire un comando in accordo con l’host che effettua la scansione. Precisamente si adatta alla tipologia di attacco per la difesa.

PROBES SMB: Indica un attacco all’SMB. Quest’ultimo è un protocollo di Windows per condividere files tra più PC in una rete.

SAMBA: Software di uso gratuito (www.samba.org) grazie al quale è possibile inserire un server con S.O. Linux in una rete TCP/IP con S.O. di rete Windows NT. Consente a Linux di utilizzare i servizi SMB di Windows NT, e lo rende identificabile nella rete come server con sistema "Windows NT".

SIGNATURE: una rappresentazione di un particolare evento di tipo sicuro.

SMB: Server Message Block. Protocollo per le comunicazioni di rete nel sistema operativo Windows NT.

SNIFFER: un qualsiasi strumento, sia esso un software o un apparato hardware, che raccoglie le informazioni che viaggiano lungo una rete. Questa rete può utilizzare un protocollo di comunicazione qualunque: Ethernet, TCP/IP, IPX o altri. Le funzioni tipiche degli sniffer possono essere riassunte sinteticamente in:

1.      conversione e filtraggio dei dati e dei pacchetti in una forma leggibile dall’utente;

2.      analisi dei difetti di rete;

3.      analisi di qualità e portata della rete (performance analisys);

4.      setacciamento automatizzato di password e nomi di utenti per successiva analisi;

5.      creazione dei log, lunghi elenchi contengono traccia, in questo caso, del traffico sulla rete;

6.      scoperta di intrusioni in rete attraverso l’analisi dei log del traffico.

SPICE: Stealthy Portscan ed Intrusion Correlation Engine, un progetto della Silicon Defence per individuare portscans ed altro. Monitorizza i pacchetti sulla rete.

SPADE: Statistical Packet Anomaly Detection Engine. E’ un preprocessor plugin per Snort, che manda alerts di pacchetti anomali attraverso i meccanismi standard di reporting di Snort.

SYN FLOODING: E’ un attacco di rete che cerca di esaurire le risorse della macchina obbiettivo. L'attacco consiste nel mandare un grande numero di spoofed TCP connection request, cioè di false richieste di connessione attraverso il protocollo TCP. Questa elevata quantità di richieste consuma la memoria della macchina e può comportare che una legittima connessione venga negata. Anche questo tipo di attacco, come l'IP spoofing, viene spesso portato da un host ritenuto sicuro dal sistema in modo che l'attacco diventi molto più difficile da rintracciare. Questo attacco è diventato molto popolare dopo che due gruppi di hacker hanno pubblicato degli articoli, allegando il codice sorgente del programma con cui avevano realizzato il SYN flooding, per dimostrare la gravità del problema. Diversi tipi di soluzioni sono state proposte per fermare questo tipo di attacco, e la maggior parte sono state implementate nei sistemi di sicurezza.

TCP: Transmission Control Protocol. Protocollo che opera al Livello Trasporto, garantendo la trasmissione tra mittente e destinatario. Con un protocollo connection-oriented si permette ad una macchina di recapitare senza errore un flusso di byte (Byte oriented) e non un flusso di messaggi perché il software che realizza il TCP non conosce il significato dei byte in arrivo   con i byte in arrivo si limita a riordinare i pacchetti provenienti dall'IP, il livello sottostante. TCP elimina i duplicati, calcola il checksum per intero e non solo del suo header (come fa l'IP), esegue il controllo di flusso per regolare differenti velocità tra macchina mittente e destinatario, per finire informa cliente server che il Livello Network non può operare se ci sono inconvenienti quali interruzioni inaspettate di connessione.  In trasmissione TCP accetta un flusso di byte da un'applicazione, frammenta il flusso di byte in segmenti. Se vuole creare segmenti grandi allora li bufferizza prima di spedirli. Con opportuni software è possibile definire la grandezza dei segmenti (MSS). 

TCP/IP: Transmission Control Protocol/Internet Protocol. Protocollo standard per le reti locali per computer di diverso tipo. È il protocollo utilizzato in Internet e da molte reti locali quando vogliono usufruire di Internet o installare una Intranet.

TCPDUMP: è un tool di monitoraggio di rete che, con l’ausilio della libpcap, è in grado di mostrare il traffico sulla rete in un formato comprensibile per eseguire analisi di intrusioni, traffico sospetto o anomalo.

TOKEN RING: Una rete connessa in una topologia ad anello, in cui un segno o testimone (token) passa da computer a computer. Un computer deve attendere fino a che non riceve un segno prima di inviare dati.

TRINUX: E’ una distribuzione ramdisk-based di Linux che, partendo da un singolo floppy disk, carica i pacchetti da un server HTTP/FTP, da un filesystem FAT/EXT2/NTFS, o floppies aggiuntivi e contiene versioni precompilate di tools di network security Open Source, per port scanning, packet sniffing, vulnerability scanning, sniffer detection, packet construction, active/passive OS fingerprinting, network monitoring, session hijacking, intrusion detection, ed altro. Trinux fornisce anche un supporto per Perl, PHP, e il linguaggio di script Python. Alcuni dei tools inclusi in Trinux sono: curl, dsniff, ethereal, firewalk, fragrouter, hping, hunt, isic, nasl (da Nessus), nemesis, nmap, ngrep, nstreams, openssh, openssl, p0f, rain, sendip, sing, sniffit, Snort, tcpdump, vomit, zodiac sulla rete.

TRIPWIRE: E’ un programma che verifica l'integrità di file e directory confrontando le loro caratteristiche, come data di accesso, di modifica, etc. con quelle contenute in un database di riferimento, segnalando ogni incongruità, come nuovi file, cancellazioni o alterazioni.

UDP: User Datagram Protocol.

URI: Uniform Resource Indicator. Sistema per indicare in modo univoco una risorsa. Gli URL sono un sottoinsieme degli URI, con gli URL infatti si identificano le risorse di rete per mezzo della loro localizzazione in rete (pagine web, immagini ecc., es: http://www.dizionarioinformatico.com), mettendo in evidenza il meccanismo di accesso (protocollo). Gli URI, invece, non solo identificano risorse della rete per mezzo dei protocolli di rete, ma anche per nome o qualche altro attributo (p.e. indirizzi di posta elettronica). Generalmente un tipico URI segue la sintassi definita da quattro componenti: <scheme>://<authority><pathname>?<query>.Nota: per authority si intende un nome di dominio o un server.

APPENDICE (Installazione)

Vediamo in dettaglio i risultati dell’installazione:

LIBPCAP

# gzip -d -c libpcap.tar.Z | tar xvf –

libpcap-0.4/CHANGES

libpcap-0.4/FILES

BIBLIOGRAFIA

Le informazioni presenti in questo documento sono state reperite dai seguenti siti web e libri, per la maggioranza di essi è stata eseguita un’opera di traduzione.

1.      www.snort.org Sito ufficiale di Snort.

2.      www.linuxsecurity.com/feature_stories/using-snort.html Questo documento mostra le basi dell’intrusion detection, i passi necessari per configurare un host per l’esecuzione di Snort, per testare le sue operazioni ed avvisare per possibili eventi intrusivi.

3.      www.clark.net/~roesch/snort_rules.html Come scrivere regole per mantenere sicuro un sistema. Realizzato da Martin Roesch.

4.      http://www.sans.org/infosecFAQ/intrusion/snort.htm Schierare Snort, un Lightweight network Intrusion Detection System. Di David G. Sullivan.

5.      http://www.dia.unisa.it/ads.dir/corso-security/www/CORSO-0001/snort.htm Presentazione in formato pdf, realizzata da due tesisti del Prof. Alfredo De Santis sugli argomenti di IDS e Snort.

6.      www.linux.ie/articles/portsentryandsnortcompared.php Articolo che confronta PortSentry e Snort.

7.      www.dpo.uab.edu/~andrewb/snort/manpage.html Man page di Snort.

8.      http://loa.hacklab.it/manhattan/sniffer.htm Descrizione sugli sniffer.

9.      www.securityfocus.com Offre un supporto alla sicurezza sulle reti con descrizioni di tools, news ed altro.

10.  www.ticm.com/cb/faq/idsfaq.html Questa FAQ risponde alle domande circa l’individuazione degli intrusi che attaccano i sistemi attraverso la rete, ed in maniera specifica come individuarle.

11.   http://www.whitehats.com Questo sito raccoglie una serie di informazioni sulla sicurezza, mantiene un Forum di discussione sull’argomento e offre la possibilità di scaricare una serie di tools tra i quali Snort.

12.  Linux Massima Sicurezza. Libro edito dall’Apogeo da cui sono state tratte alcune introduzioni sugli sniffer e gli usi di Snort.