Ciao
pero' due risate potevamo farcele lo stesso .. no ?
mmm...
Perche' scomodare sempre il difficile ?
un'analisi preliminare no ? prima di attaccarci una qualsiasi soluzione SW
o HW ecc.
Che i client siano 1 o 10.000 nulla cambia se devono accedere alla "lan di
server" per fruire dei servizi. occorre conoscere protocolli e porte da
aprire
quello che cambia sono le caratteristiche prestazionali del FW per 1 o
10.000 client e per il tipo di traffico (se tutti fanno ftp "sso ca......i
tua" e
i problemi saranno piu' a livello banda che a livello accessibilita')

A naso e considerando che non ti interessano tutti i dati ma, dall'uso di
Ntop, ti servono solo dati aggregati mi vengono in mente le RegEx
attraverso le quali puoi filtrare l'output dello sniffer free/commerciale e
i giga di dati si riducono a .... centinaia di mega ?
Strumenti come MNTRG e RRDtools (integrati anche in NTop) se li
configuri come vuoi potrebbero esserti ancora piu' congieniali e
personalizzabili alla bisogna
l'esperienza personale si basa su uno strumento di misura commerciale
che fa quello che dici tu ma si basa su Win$ e costa anche un po
<Pubblicita'>
lo strumento utilizzato e (di cui si e' discusso anche in lista) si
chiama
Observer della Network Instrument. ma in questo caso hai uno
sniffer + monitoraggio + n altre cose integrate e veramente funzionali
<Pubblicità>

come ti dicevo se dai una scorsa alla lista trovi un bel poco di
argomentazioni in merito (tread: Analisi rete)
e de che
Stefano

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

1) ma la policy la tiri fuori dai dati ? non dovresti tirarla fuori da
cio' che vuoi proteggere ?

<vendor>
2) uno strumento che potresti usare si chiama Arbor PeakFlow, ma costicchia
</vendor>
--
Cordiali saluti,

Ing. Stefano Zanero, PhD
CTO & Co-Founder

Secure Network S.r.l.
Via Matteotti 9 - 24047 Treviglio (BG) - Italia
Phone: +39 0363.560404
email: ***@securenetwork.it
web: www.securenetwork.it
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Un mio professore di Ecomonia aziendale durante una lezione ci ha
raccontato l'esperienza di un consulente informatico alle prese con la
ristrutturazione della rete aziendale di un suo cliente.
Visto che il lavoro di analisi può essere lungo e tedioso, il consulente
ha deciso di eliminare la maggior parte dei servizi e permettere solo i
più noti. ( http, mail, ftp )
In questo modo, tutti quelli che usano il PC per farsi gli affari
propri non verrano mai a brontolare perchè non funziona messenger (?), o
cose simili (P2P) , ma solo chi ne ha veramente bisogno si prenderà la
briga di chiedere aiuto.
In questo modo, riesci veramente a capire chi fa cosa e quali servizi
abilitare.
Io ho fatto lo stesso qui da me. Nel primo mese tutti mi insultavano
perchè non utilizzavano più i P2P, ma dopo si sono abituati.. :-)

Ciao Paolo

PS: naturalmente se il committente di fornisce delle specifiche precise
su quali servizi configurare la procedura di cui sopra è inutile. Ma non
mi sembra il tuo caso.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

----- Forwarded message from Audric Leperdi <aleperdi(at)gmail.com> -----
From: Audric Leperdi <aleperdi(at)gmail.com>
To: ml(at)sikurezza.org
Subject: Re: [ml] creare una policy dall'analisi del traffico
Noi stiamo provando sia packeteer che allot.
Allot ? molto pi? "grafico" e ti permette di individuare "comportamenti" non
ancora classificati. da li' in poi.. li classifichi.. e poi decidi cosa
farne..

A.

----- End forwarded message -----

Immagino che tra le altre cose il cliente in questione non è in grado di
fornirti una lista esaustiva dei servizi che i suoi server erogano ...
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Solitamente dovrebbe essere il cliente a chiarire quali collegamenti non
dovrebbero essere fatti, diversamente si concorda su quali sono quelli leciti
e si blocca il resto.
Ti dico questo perchè la domanda mi sembra strana, un servizio del genere deve
sempre rendere partecipe il cliente, anche per evitare poi tutte quelle
telefonate che dicono : "aprimi questo, aprimi quello" :)

Un' analisi in una situazione del genere, potrebbe solo far emergere una
situazione confusa, non penso ti serva ad un granchè, concorda con il cliente
il da farsi, ed intanto vedi con ntop come si divertono i client ad usare
p2p.


SAlut.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Così brutalmente no, ma qualcosa di molto simile certamente sì.
Discutere con i responsabili per sapere quali sono i principali
servizi da permettere/bloccare (ne conosceranno almeno qualcuno),
poi installare il firewall con un'ultima regola di default
permit+log anziché di default deny. Spulciare quello che viene
loggato, permettendo/bloccando man mano.
Chiaramente devi poter riconoscere i protocolli (es. non impazzisci
sulle molte porte contattate di un server ftp, autorizzi/blocchi
l'ftp e le porte della connessione dati vanno di conseguenza) e
altrettanto chiaramente devi poter aggregare per tipologie di
sistemi (autorizzi le connessioni dai pc al server di posta, non un
pc per volta).
Fino a che ti senti tranquillo nel mettere la regola di
default deny. Restando comunque vicino al telefono per quelli che
poi comunque protesteranno.
Dato che stai introducendo un firewall su una rete rimasta aperta
fino ad allora, il default permit iniziale non è un grosso problema.
Il problema sono i rootkit che sono già dentro ;)

ciao

- Claudio

Ciao,
Si, purtroppo mi e' capitato simile in una banca (mannag a loro!).
Prima mi sono fatto un'idea di "come girano le cose" facendomi uno
schema dei flussi, interrogando ogni singola persona IT dell'azienda (e
qualche mandata al bagno me la sono guadagnata;). Poi sono andato di
tcpdump in specifici segmenti con uno snaplen che mi permettesse di
vedere solo il tcp/udp port: mi pare che il default su linux basti, ma
su solaris no o viceversa (guarda la man)..... poi con sed/awk/perl e
quant'altro ho fatto un sommario dei protocolli.
Ho incrociato i dati mettendo delle access-list permit in log sui
catalyst, ma non penso che si possa applicare in rete piatta.
Non e' perfetto, uno sbattimento atroce e poi va "tagliato fine fine
vicino l'osso" ;-), ma ha funzionato.
Forse ci sono metodi migliori, ma IMHO ogni qual volta bisogna inserire
un firewall nuovo, anche se sei preciso quanto vuoi, rimane sempre
qualcuno fuori.
Ciaps,
un Gippa che non ricorda neanche che stava facendo
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Non mi sembra una barzelletta, ho visto cose peggiori.
Direi che il tuo cliente ancor prima di mettere un FW, dovrebbe fare un
corso di progettazione di reti :-)
Io non ho capito bene, vuoi fare creazione di regole on-the-fly o stai
parlando di normali policies ?
per che se sono policies normali, non le fai su base client, ma su base
server, ovvero la prima cosa che devi fare è analizzare i servizi che i
server erogano ed fare una prima scrematura con quelli.

Poi, fai una bella policy di "identity" per farti dire:

+ chi deve accedere ai servizi
+ dove sono i servizi
+ quando

ed in base a questi finisci le tue policies.

(inutile che ti dica che avrai dei casini con gli IP sorgenti se usi DHCP
come sicuramente sarà, quindi risolverai facendo delle regole any ->
destinazione)

se invece il tuo problema è creare regole on-the-fly con questo sistema,
ti consiglio di andare a farti una bella vacanza in qualche zona
tropicale, ne hai bisogno.

:-)

P.S. le policies non si creano con uno sniffer, ma prima a tavolino!

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

----- Forwarded message from Iceman <iceman.linux(at)gmail.com> -----
To: ml(at)sikurezza.org
Subject: Re: [ml] creare una policy dall'analisi del traffico

Beh, io di recente ho usato "Argus"
http://qosient.com/argus/
ottimo strumento, non incide pesantemente sul carico di sistema e ti
permette di lavorare seriamente a suon di query; la "suite" contiene anche
altri tool utili...
Da un mole di dati di circa 4.000.000 di record giornalieri (relativi al
traffico di due subnet), raccogliendo i soli dati a me utili, parzializzando
e normalizzando ho tirato fuori una sorta di rulebase, costruita ad hoc poi
con il supporto di un database.
Inizialmente mi ero buttato su Ntop ma si ? rivelato non adatto ai miei
obiettivi.
Ovviamente esistono soluzioni migliori, pi? professionali ma...il mio scopo
? stato raggiunto. ;-)

Ah, sulle due subnet ci stanno qualcosa come 2500 server...