Clark's Home page

Tecnicismi vari di un Sysadmin Linux ma anche qualcosa della sua vita

Archive for the ‘IDS’ Category

Tripwire —

Tripwire è un IDS o meglio un HIDS (host-based intrusion detection system) che sostanzialmente raccoglie in suo DataBase i dettagli su filesystem e configurazione  dell’host su cui è installato per fare riferimento e convalidare lo stato corrente del sistema. Se vengono trovate modifiche tra lo stato noto e lo stato corrente, potrebbe essere un segno […]

Suricata —

In questo periodo sto aggiornando i bastion host aziendali perché girano ancora su Debian 7.x e non vedo più aggiornamenti di sicurezza. L’occasione è buona per passare anche loro a Devuan, gli IDS/IPS sono una parte fondamentale della sicurezza del sistema, io ho sempre usato SNORT come IDS ma su Devuan Jessie non è presente, […]

suricata.yaml —

%YAML 1.1 — # Suricata configuration file. In addition to the comments describing all # options in this file, full documentation can be found at: # https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml ## ## Step 1: inform Suricata about your network ## vars: # more specifc is better for alert accuracy and performance address-groups: #HOME_NET: “[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]” HOME_NET: “[192.168.2.0/24]” #HOME_NET: “[10.0.0.0/8]” […]

samhainrc —

Questo e il file di configurazione di samhain nella nuova versione e fa riferimento a questo vecchio articolo ##################################################################### # # Configuration file template for samhain. # ##################################################################### # # — empty lines and lines starting with ‘#’, ‘;’ or ‘//’ are ignored # — boolean options can be Yes/No or True/False or 1/0 # […]

Samhain —

Nell’ottica di hardenizzare i bastion host (e di conseguenza rendere un po più sicura la LAN) una parte importante la giocano gli IDS. Samhain è un software che appartiene a questa categoria, per la precisione è un  software che si occupa di controllare l’integrità dei files e di loggare eventuali differenze. In buona sostanza samhain […]

Bastion host —

Un Bastion host è normalmente nelle realtà aziendali la macchina di collegamento tra la/le LAN e Internet. Nelle piccole/medie aziende normalmente il Bastion host è un Computer che offre diversi servizi, tipicamente servizi di proxy di firewalling di IDS, se è vero che raggruppando i servizi su un unica macchina macchina si riducono i costi […]

Portsentry un valido aiuto al firewall —

Rifacendomi a questo articolo e vedendo che la faccenda continua e si è spostata sulla porta superiore e quindi vogliono proprio sfondarmi ho deciso di passare al più presto possibile all’autenticazione ssh con certificati, una “breve” burocrazia e al più presto possibile lo farò. Per il momento però ho deciso di rendere ancora più difficile […]

fail2ban —

Durante un controllo di routine su una macchina che è su internet ho trovato un auth.log da 689 MB cosa che mi ha subito messo in allarme ovviamente, analizzando il log ho trovato una quantità esagerata di righe di questo tipo Jun 18 11:00:57 aliseo sshd[5657]: Failed password for root from 95.58.255.xxx port 38980 ssh2 […]

Aide —

aide (Advanced Intrusion Detection Environment)  è un software che controlla l’integrità di files e directory. Su una macchina di difesa perimetrale è importante avere la situazione il più monitorata possibile una possibile intrusione potrebbe lasciare tracce ad esempio la modifica di files e/o directory aide si crea un database ad un dato momento e quindi […]