B.3. Configurazione ed installazione di un sistema autonomo IDS
You can easily set up a dedicated Debian system as a stand-alone Intrusion Detection System using
snort and a web-based interface to analyse the intrusion detection alerts:
Installare un sistema di base Debian senza selezionare pacchetti aggiuntivi.
Installare una versione di Snort con supporto ai database e configurare l'IDS per registrare gli avvisi in un database.
Scaricare ed installare BASE (Basic Analysis and Security Engine), o ACID (Analysis Console for Intrusion Databases). Configurare il software scelto per utilizzare lo stesso database usato da Snort.
Scaricare ed installare i pacchetti necessari
.
BASE is currently packaged for Debian in
acidbase and ACID is packaged as
acidlab. Both provide a graphical WWW interface to Snort's output.
Besides the base installation you will also need a web server (such as apache), a PHP
interpreter and a relational database (such postgresql or mysql) where Snort will store its alerts.
Questo sistema dovrebbe essere configurato con almeno due interfacce: una connessa ad una LAN gestionale (per avere accesso ai risultati e gestire il sistema) e l'altra senza indirizzo IP collegata al segmento di rete che state analizzando. Dovreste configurare il server web per rimanere in ascolto solo sull'interfaccia connessa alla LAN gestionale.
Dovreste configurare entrambe le interfacce nel file di configurazione standard di Debian
/etc/network/interfaces
. Un indirizzo (quello di gestione della LAN) può essere configurato come fareste solitamente. L'altra interfaccia dovrebbe essere inizializzata all'avvio del sistema, ma senza indirizzo d'interfaccia. Potete usare la seguente definizione d'interfaccia:
auto eth0
iface eth0 inet manual
up ifconfig $IFACE 0.0.0.0 up
up ip link set $IFACE promisc on
down ip link set $IFACE promisc off
down ifconfig $IFACE down
The above configures an interface to read all the traffic on the network in a
stealth-type configuration. This prevents the NIDS system to be a direct target in a hostile network since the sensors have no IP address on the network. Notice, however, that there have been known bugs over time in sensors part of NIDS (for example see
http://www.debian.org/security/2003/dsa-297 related to Snort) and remote buffer overflows might even be triggered by network packet processing.