Discussion:
creare una policy dall'analisi del traffico
(too old to reply)
killmeno9
2007-09-25 09:16:59 UTC
Permalink
Non è una barzelletta,
un cliente mi chiama e mi dice, "ho una rete interna piatta senza
firewall ma i dati che gestisco su una lan di server sono importanti
quindi voglio metterci davanti un firewall
Ok, no problem quanti client abbiamo?
circa 500 forse 1000"

Eccoci al punto; creare una policy di firewalling per proteggere una lan
da un mucchio di client senza bloccare l'operatività.
Pensando a come poter fare questo lavoro, dico metto una porta dello
switch in mirror e vado di tcpdump; e poi chi li guarda giga e giga di
dati? allora ho pensato ad ntop, ma ce la farà a permettermi di tirare
fuori una policy di firewalling?

Se vi è capitato qualcosa di simile o avete consigli da dare, sono ben
accetti.

Grazie


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Ing. Stefano Centineo - AMAP S.p.A.
2007-09-25 12:10:28 UTC
Permalink
Ciao
Post by killmeno9
Non è una barzelletta,
un cliente mi chiama e mi dice, "ho una rete interna piatta senza firewall
ma i dati che gestisco su una lan di server sono importanti quindi voglio
metterci davanti un firewall
Ok, no problem quanti client abbiamo?
circa 500 forse 1000"
pero' due risate potevamo farcele lo stesso .. no ?
Post by killmeno9
Eccoci al punto; creare una policy di firewalling per proteggere una lan
da un mucchio di client senza bloccare l'operatività.
mmm...
Post by killmeno9
Pensando a come poter fare questo lavoro, dico metto una porta dello
switch in mirror e vado di tcpdump; e poi chi li guarda giga e giga di
dati? allora ho pensato ad ntop, ma ce la farà a permettermi di tirare
fuori una policy di firewalling?
Perche' scomodare sempre il difficile ?
un'analisi preliminare no ? prima di attaccarci una qualsiasi soluzione SW
o HW ecc.
Che i client siano 1 o 10.000 nulla cambia se devono accedere alla "lan di
server" per fruire dei servizi. occorre conoscere protocolli e porte da
aprire
quello che cambia sono le caratteristiche prestazionali del FW per 1 o
10.000 client e per il tipo di traffico (se tutti fanno ftp "sso ca......i
tua" e
i problemi saranno piu' a livello banda che a livello accessibilita')

A naso e considerando che non ti interessano tutti i dati ma, dall'uso di
Ntop, ti servono solo dati aggregati mi vengono in mente le RegEx
attraverso le quali puoi filtrare l'output dello sniffer free/commerciale e
i giga di dati si riducono a .... centinaia di mega ?
Strumenti come MNTRG e RRDtools (integrati anche in NTop) se li
configuri come vuoi potrebbero esserti ancora piu' congieniali e
personalizzabili alla bisogna
Post by killmeno9
Se vi è capitato qualcosa di simile o avete consigli da dare, sono ben
accetti.
l'esperienza personale si basa su uno strumento di misura commerciale
che fa quello che dici tu ma si basa su Win$ e costa anche un po
<Pubblicita'>
lo strumento utilizzato e (di cui si e' discusso anche in lista) si
chiama
Observer della Network Instrument. ma in questo caso hai uno
sniffer + monitoraggio + n altre cose integrate e veramente funzionali
<Pubblicità>

come ti dicevo se dai una scorsa alla lista trovi un bel poco di
argomentazioni in merito (tread: Analisi rete)
Post by killmeno9
Grazie
e de che
Stefano

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
killmeno9
2007-09-25 15:33:33 UTC
Permalink
Post by Ing. Stefano Centineo - AMAP S.p.A.
Ciao
Post by killmeno9
Non è una barzelletta,
un cliente mi chiama e mi dice, "ho una rete interna piatta senza
firewall ma i dati che gestisco su una lan di server sono importanti
quindi voglio metterci davanti un firewall
Ok, no problem quanti client abbiamo?
circa 500 forse 1000"
pero' due risate potevamo farcele lo stesso .. no ?
Post by killmeno9
Eccoci al punto; creare una policy di firewalling per proteggere una
lan da un mucchio di client senza bloccare l'operatività.
mmm...
se si blocca minimamente, mi sa che si fermano anche i suoi pagamenti a
me ;-)))
Post by Ing. Stefano Centineo - AMAP S.p.A.
Post by killmeno9
Pensando a come poter fare questo lavoro, dico metto una porta dello
switch in mirror e vado di tcpdump; e poi chi li guarda giga e giga
di dati? allora ho pensato ad ntop, ma ce la farà a permettermi di
tirare fuori una policy di firewalling?
Perche' scomodare sempre il difficile ?
un'analisi preliminare no ? prima di attaccarci una qualsiasi
soluzione SW
o HW ecc.
Eccoci al nodo della questione, il cliente dentro la rete server ha
messo un po' di tutto dal software proprietari a servizi vari su porte
non standard magari usati anche raramente..... e documentazione zero
Post by Ing. Stefano Centineo - AMAP S.p.A.
A naso e considerando che non ti interessano tutti i dati ma, dall'uso di
Ntop, ti servono solo dati aggregati mi vengono in mente le RegEx
Ottimo, non ci stavo pensando, la strada allora è giusta
Post by Ing. Stefano Centineo - AMAP S.p.A.
attraverso le quali puoi filtrare l'output dello sniffer
free/commerciale e
i giga di dati si riducono a .... centinaia di mega ?
Strumenti come MNTRG e RRDtools (integrati anche in NTop) se li
configuri come vuoi potrebbero esserti ancora piu' congieniali e
personalizzabili alla bisogna
Grazie!

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Ing. Stefano Centineo - AMAP S.p.A.
2007-09-26 07:13:15 UTC
Permalink
Allora..
se si blocca minimamente, mi sa che si fermano anche i suoi pagamenti a me
;-)))
e questo mi pare un elemento ... discriminante
pero' se per non bloccare i pagamenti metti un firewall colabrodo
se qualcuno se ne accorge non ti pagano lo stesso e vai avanti coi
legali per raggiro/truffa/scarsa capacita' tecnica/errata implementazione
(scegliere l'opzione piu' appropriata)
Eccoci al nodo della questione, il cliente dentro la rete server ha messo
un po' di tutto dal software proprietari a servizi vari su porte non
standard magari usati anche raramente..... e documentazione zero
RIBADISCO (e mi scuso del maiuscolo) anche quanto detto da altri
Analisi preliminare = definire con il cliente cosa deve
proteggere e come lo vuole proteggere

che tradotto per te => definire con il cliente (che ipotizziamo non
capisce un tubo altrimenti avrebbe fatto da se e non ne vuole
sapere nulla altrimenti non ti chiamava) - anche sotto tortura - cosa
gira sui server, eventualmente definire e ottimizzare l'architettura
di rete (DMZ/MZ anche se siamo solo su rete LAN) ottimizzazione
dei carichi prestazionali dei segmenti di rete, ecc.
Poi Sw proprietari fatti con linguaggi di programmazione o Sw che
si appoggiano a DB (mi vengono in mente applicazioni
Oracle/DB2...)
Post by Ing. Stefano Centineo - AMAP S.p.A.
A naso e considerando che non ti interessano tutti i dati ma, dall'uso di
Ntop, ti servono solo dati aggregati mi vengono in mente le RegEx
Ottimo, non ci stavo pensando, la strada allora è giusta
dipende RegEx si puo' tradurre anche come uso intensivo di Awk, Perl
e tutto quello che ti passa per la testa.
il problema e' su quali dati ??? su quali log ?? indi ritorniamo al punto
di prima, senza analisi non vai da nessuna parte ma collezioni solo dati
ad orecchio

Il suggerimento di un primo FW standard (e aperto) e poi un'analisi
sui log prodotti potrebbe essere un'approccio meno invasivo di un
analisi basata su sniffing di tutto quello che passa.

Ciao
Stefano

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Stefano Zanero
2007-09-25 11:19:39 UTC
Permalink
Post by killmeno9
Pensando a come poter fare questo lavoro, dico metto una porta dello
switch in mirror e vado di tcpdump; e poi chi li guarda giga e giga di
dati? allora ho pensato ad ntop, ma ce la farà a permettermi di tirare
fuori una policy di firewalling?
1) ma la policy la tiri fuori dai dati ? non dovresti tirarla fuori da
cio' che vuoi proteggere ?

<vendor>
2) uno strumento che potresti usare si chiama Arbor PeakFlow, ma costicchia
</vendor>
--
Cordiali saluti,

Ing. Stefano Zanero, PhD
CTO & Co-Founder

Secure Network S.r.l.
Via Matteotti 9 - 24047 Treviglio (BG) - Italia
Phone: +39 0363.560404
email: ***@securenetwork.it
web: www.securenetwork.it
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Gmail
2007-09-25 13:34:35 UTC
Permalink
Un mio professore di Ecomonia aziendale durante una lezione ci ha
raccontato l'esperienza di un consulente informatico alle prese con la
ristrutturazione della rete aziendale di un suo cliente.
Visto che il lavoro di analisi può essere lungo e tedioso, il consulente
ha deciso di eliminare la maggior parte dei servizi e permettere solo i
più noti. ( http, mail, ftp )
In questo modo, tutti quelli che usano il PC per farsi gli affari
propri non verrano mai a brontolare perchè non funziona messenger (?), o
cose simili (P2P) , ma solo chi ne ha veramente bisogno si prenderà la
briga di chiedere aiuto.
In questo modo, riesci veramente a capire chi fa cosa e quali servizi
abilitare.
Io ho fatto lo stesso qui da me. Nel primo mese tutti mi insultavano
perchè non utilizzavano più i P2P, ma dopo si sono abituati.. :-)

Ciao Paolo

PS: naturalmente se il committente di fornisce delle specifiche precise
su quali servizi configurare la procedura di cui sopra è inutile. Ma non
mi sembra il tuo caso.
Post by killmeno9
Non è una barzelletta,
un cliente mi chiama e mi dice, "ho una rete interna piatta senza
firewall ma i dati che gestisco su una lan di server sono importanti
quindi voglio metterci davanti un firewall
Ok, no problem quanti client abbiamo?
circa 500 forse 1000"
Eccoci al punto; creare una policy di firewalling per proteggere una
lan da un mucchio di client senza bloccare l'operatività.
Pensando a come poter fare questo lavoro, dico metto una porta dello
switch in mirror e vado di tcpdump; e poi chi li guarda giga e giga
di dati? allora ho pensato ad ntop, ma ce la farà a permettermi di
tirare fuori una policy di firewalling?
Se vi è capitato qualcosa di simile o avete consigli da dare, sono ben
accetti.
Grazie
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Mailing List Manager
2007-09-25 11:33:45 UTC
Permalink
----- Forwarded message from Audric Leperdi <aleperdi(at)gmail.com> -----
From: Audric Leperdi <aleperdi(at)gmail.com>
To: ml(at)sikurezza.org
Subject: Re: [ml] creare una policy dall'analisi del traffico
Non ? una barzelletta,
un cliente mi chiama e mi dice, "ho una rete interna piatta senza
firewall ma i dati che gestisco su una lan di server sono importanti
quindi voglio metterci davanti un firewall
Ok, no problem quanti client abbiamo?
circa 500 forse 1000"
Eccoci al punto; creare una policy di firewalling per proteggere una lan
da un mucchio di client senza bloccare l'operativit?.
Pensando a come poter fare questo lavoro, dico metto una porta dello
switch in mirror e vado di tcpdump; e poi chi li guarda giga e giga di
dati? allora ho pensato ad ntop, ma ce la far? a permettermi di tirare
fuori una policy di firewalling?
Se vi ? capitato qualcosa di simile o avete consigli da dare, sono ben
accetti.
Noi stiamo provando sia packeteer che allot.
Allot ? molto pi? "grafico" e ti permette di individuare "comportamenti" non
ancora classificati. da li' in poi.. li classifichi.. e poi decidi cosa
farne..

A.

----- End forwarded message -----
Gianluca Manariti
2007-09-25 15:26:28 UTC
Permalink
Immagino che tra le altre cose il cliente in questione non è in grado di
fornirti una lista esaustiva dei servizi che i suoi server erogano ...
Post by killmeno9
Non è una barzelletta,
un cliente mi chiama e mi dice, "ho una rete interna piatta senza
firewall ma i dati che gestisco su una lan di server sono importanti
quindi voglio metterci davanti un firewall
Ok, no problem quanti client abbiamo?
circa 500 forse 1000"
Eccoci al punto; creare una policy di firewalling per proteggere una
lan da un mucchio di client senza bloccare l'operatività.
Pensando a come poter fare questo lavoro, dico metto una porta dello
switch in mirror e vado di tcpdump; e poi chi li guarda giga e giga
di dati? allora ho pensato ad ntop, ma ce la farà a permettermi di
tirare fuori una policy di firewalling?
Se vi è capitato qualcosa di simile o avete consigli da dare, sono ben
accetti.
Grazie
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
aspinall
2007-09-25 14:09:22 UTC
Permalink
Post by killmeno9
Eccoci al punto; creare una policy di firewalling per proteggere una lan
da un mucchio di client senza bloccare l'operatività.
Pensando a come poter fare questo lavoro, dico metto una porta dello
switch in mirror e vado di tcpdump; e poi chi li guarda giga e giga di
dati? allora ho pensato ad ntop, ma ce la farà a permettermi di tirare
fuori una policy di firewalling?
Se vi è capitato qualcosa di simile o avete consigli da dare, sono ben
accetti.
Solitamente dovrebbe essere il cliente a chiarire quali collegamenti non
dovrebbero essere fatti, diversamente si concorda su quali sono quelli leciti
e si blocca il resto.
Ti dico questo perchè la domanda mi sembra strana, un servizio del genere deve
sempre rendere partecipe il cliente, anche per evitare poi tutte quelle
telefonate che dicono : "aprimi questo, aprimi quello" :)

Un' analisi in una situazione del genere, potrebbe solo far emergere una
situazione confusa, non penso ti serva ad un granchè, concorda con il cliente
il da farsi, ed intanto vedi con ntop come si divertono i client ad usare
p2p.


SAlut.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Claudio Telmon
2007-09-25 15:29:21 UTC
Permalink
Post by killmeno9
Eccoci al punto; creare una policy di firewalling per proteggere una lan
da un mucchio di client senza bloccare l'operatività.
Pensando a come poter fare questo lavoro, dico metto una porta dello
switch in mirror e vado di tcpdump; e poi chi li guarda giga e giga di
dati? allora ho pensato ad ntop, ma ce la farà a permettermi di tirare
fuori una policy di firewalling?
Se vi è capitato qualcosa di simile o avete consigli da dare, sono ben
accetti.
Così brutalmente no, ma qualcosa di molto simile certamente sì.
Discutere con i responsabili per sapere quali sono i principali
servizi da permettere/bloccare (ne conosceranno almeno qualcuno),
poi installare il firewall con un'ultima regola di default
permit+log anziché di default deny. Spulciare quello che viene
loggato, permettendo/bloccando man mano.
Chiaramente devi poter riconoscere i protocolli (es. non impazzisci
sulle molte porte contattate di un server ftp, autorizzi/blocchi
l'ftp e le porte della connessione dati vanno di conseguenza) e
altrettanto chiaramente devi poter aggregare per tipologie di
sistemi (autorizzi le connessioni dai pc al server di posta, non un
pc per volta).
Fino a che ti senti tranquillo nel mettere la regola di
default deny. Restando comunque vicino al telefono per quelli che
poi comunque protesteranno.
Dato che stai introducendo un firewall su una rete rimasta aperta
fino ad allora, il default permit iniziale non è un grosso problema.
Il problema sono i rootkit che sono già dentro ;)

ciao

- Claudio
--
Claudio Telmon
***@telmon.org
http://www.telmon.org


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Giuseppe Paterno' (Gippa)
2007-09-25 17:12:57 UTC
Permalink
Ciao,
Post by killmeno9
Se vi è capitato qualcosa di simile o avete consigli da dare, sono ben
accetti.
Si, purtroppo mi e' capitato simile in una banca (mannag a loro!).
Prima mi sono fatto un'idea di "come girano le cose" facendomi uno
schema dei flussi, interrogando ogni singola persona IT dell'azienda (e
qualche mandata al bagno me la sono guadagnata;). Poi sono andato di
tcpdump in specifici segmenti con uno snaplen che mi permettesse di
vedere solo il tcp/udp port: mi pare che il default su linux basti, ma
su solaris no o viceversa (guarda la man)..... poi con sed/awk/perl e
quant'altro ho fatto un sommario dei protocolli.
Ho incrociato i dati mettendo delle access-list permit in log sui
catalyst, ma non penso che si possa applicare in rete piatta.
Non e' perfetto, uno sbattimento atroce e poi va "tagliato fine fine
vicino l'osso" ;-), ma ha funzionato.
Forse ci sono metodi migliori, ma IMHO ogni qual volta bisogna inserire
un firewall nuovo, anche se sei preciso quanto vuoi, rimane sempre
qualcuno fuori.
Ciaps,
un Gippa che non ricorda neanche che stava facendo
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Federico Lombardo
2007-09-25 11:21:30 UTC
Permalink
Post by killmeno9
Non è una barzelletta,
un cliente mi chiama e mi dice, "ho una rete interna piatta senza
firewall ma i dati che gestisco su una lan di server sono importanti
quindi voglio metterci davanti un firewall
Ok, no problem quanti client abbiamo?
circa 500 forse 1000"
Non mi sembra una barzelletta, ho visto cose peggiori.
Direi che il tuo cliente ancor prima di mettere un FW, dovrebbe fare un
corso di progettazione di reti :-)
Post by killmeno9
Eccoci al punto; creare una policy di firewalling per proteggere una lan
da un mucchio di client senza bloccare l'operatività.
Pensando a come poter fare questo lavoro, dico metto una porta dello
switch in mirror e vado di tcpdump; e poi chi li guarda giga e giga di
dati? allora ho pensato ad ntop, ma ce la farà a permettermi di tirare
fuori una policy di firewalling?
Io non ho capito bene, vuoi fare creazione di regole on-the-fly o stai
parlando di normali policies ?
per che se sono policies normali, non le fai su base client, ma su base
server, ovvero la prima cosa che devi fare è analizzare i servizi che i
server erogano ed fare una prima scrematura con quelli.

Poi, fai una bella policy di "identity" per farti dire:

+ chi deve accedere ai servizi
+ dove sono i servizi
+ quando

ed in base a questi finisci le tue policies.

(inutile che ti dica che avrai dei casini con gli IP sorgenti se usi DHCP
come sicuramente sarà, quindi risolverai facendo delle regole any ->
destinazione)

se invece il tuo problema è creare regole on-the-fly con questo sistema,
ti consiglio di andare a farti una bella vacanza in qualche zona
tropicale, ne hai bisogno.

:-)

P.S. le policies non si creano con uno sniffer, ma prima a tavolino!

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Mailing List Manager
2007-09-27 13:26:35 UTC
Permalink
----- Forwarded message from Iceman <iceman.linux(at)gmail.com> -----
To: ml(at)sikurezza.org
Subject: Re: [ml] creare una policy dall'analisi del traffico

Beh, io di recente ho usato "Argus"
http://qosient.com/argus/
ottimo strumento, non incide pesantemente sul carico di sistema e ti
permette di lavorare seriamente a suon di query; la "suite" contiene anche
altri tool utili...
Da un mole di dati di circa 4.000.000 di record giornalieri (relativi al
traffico di due subnet), raccogliendo i soli dati a me utili, parzializzando
e normalizzando ho tirato fuori una sorta di rulebase, costruita ad hoc poi
con il supporto di un database.
Inizialmente mi ero buttato su Ntop ma si ? rivelato non adatto ai miei
obiettivi.
Ovviamente esistono soluzioni migliori, pi? professionali ma...il mio scopo
? stato raggiunto. ;-)

Ah, sulle due subnet ci stanno qualcosa come 2500 server...
--
Santino Nocera
IT Security Analyst &
Co-Founder Losis Community
http://www.losis.org
----- End forwarded message -----
Continue reading on narkive:
Loading...