Intrusion detection

Marius '95

troubleShooter
Vreau intrusion detection pentru reteaua si sistemele de acasa:
- sa detecteze device-uri noi care apar in retea, preferabil pasiv,
- sa salveze log-urile de la router, alte linux-uri, windows-uri, intr-un mod cumva centralizat si cu acces prin https la ele,
- filtrare pentru log-uri, sau impartire in categorii, ca sa fie usor de scos in evidenta lucrurile interesante,
- alerte pe mail,
- totul sa mearga pe un linux cu f. putina memorie.

Interesant:
- honeypot pentru smtp, ftp, http+apps gen phpmyadmin, etc.

Nu ma intereseaza:
- chestii "smart" care fac lucruri de capul lor
- blocat, filtrat, banat
- rules downloadate de pe internet

Absolut in nici un caz:
- cloud-based, cloud-dependent,
- actualizari automate,
- orice alt acces catre exteriorul retelei

De ce am nevoie pentru astea?
 
Last edited:
Un device nou nu poate să apară în rețea decât dacă primește o adresă IP prin DHCP, sau dacă are o adresă IP potrivită setată manual.

Pentru prima variantă, controlul se poate face din serverul DHCP, care să aloce anumite adrese IP pentru device-urile cunoscute (pre-înregistrate) și alte adrese IP pentru device-urile noi. De aici te poți juca mai departe cu subneturi diferite sau VLAN-uri, pentru ca să separi traficul echipamentelor cunoscute de cel al echipamentelor necunoscute - basically o rețea privată și o rețea „guest”. Dar îți trebuie mai multe echipamente cu management pentru asta.

Pentru a doua variantă cu IP definit manual, practic DHCP-ul primește un bypass și nu mai poate fi punct de control central. Rămâne să faci filtrarea din switch-ul cu management. Varianta „dumb” e pe bază de liste de adrese MAC, dar și alea pot fi spoofed. Varianta mai bună e cu Access Control List dinamic, unde orice device primește acces fie fiindcă DHCP-ul a zis „e ok, lasă-l”, fie fiindcă userul s-a autentificat cumva într-un portal pentru ca să poată face trafic în rețea. Fără autentificare nu ajungi niciunde. (Captive portal)

Pentru autentificare poți folosi protocolul de rețea 802.1X, sau pui un server RADIUS pe-acolo.

Log-urile se pot salva remotely prin minunatul concept de rsyslog, doar că trebuie ca orice device care produce log-uri să poată fi configurat să-și trimită log-urile la un server din rețea prin acest protocol. Ce faci cu log-urile dup-aia e treaba ta să găsești un log analyzer care-ți place.

În principiu, trebuie să vezi flow-ul de informații prin rețea: cine produce log-uri, cine stochează log-uri, cine analizează log-uri, și cine ia acțiuni pe baza log-urilor și a vreunor reguli (permis acces, trimis mailuri etc.).
 
Ce parte a textului meu ți se pare că nu e pentru detecție și control? Ah partea în care e necesară o modificare radicală a rețelei făcută fără nici o componentă cu capabilități pentru asta, și-ți imaginezi că poți compensa adăugând un softulache care rulează pasiv și face miracole? Succes :D
 
Partea care este doar despre control si filtrare fara nici un fel de detectie: adica prima varianta si a doua varianta.
 
La prima variantă, detecția o face serverul DHCP, care vede că n-are MAC-ul preînregistrat nicăieri și atunci îi dă un IP dintr-un segment „guest”, apoi scrie în log, și dup-aia faci cu log-ul ce vrei. Iar IP-ul din segmentul guest poate că implicit n-are permisiuni să facă nimic altceva decât să ajungă la portalul captiv pentru autentificare.

La a doua variantă, switch-ul sau AP-ul sunt cele care văd trafic de la un IP și un MAC nou, și trebuie să decidă dacă lasă traficul sau nu, și să producă ceva în log. Un switch chior nu face de-astea, nici un router cu switch cu access point ieftin de la Auchan.

802.1X activat obligă orice client conectat la rețea să facă autentificare cu user/pass înainte de a fi acceptat în rețea și a putea face orice fel de alt trafic. Pentru autentificare ai serverul RADIUS, al cărui log iar poate fi inspectat cum vrei, dar deja la faza asta ți se cam rupe fiindcă cine nu poate să se autentifice nu poate nici să folosească rețeaua, deci n-ai nevoie de alt fel de detecție pentru rogue devices care DEJA au ajuns în rețea, ci poate mai bine te concentrezi pe account management, password rotation etc. și să nu ai credentials leak.
 
Back
Top