[Linuxtrent] Corso sysadmin: slide e altro
- From: Marco Cova <marco.cova@xxxxxxxxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Sat, 17 Jan 2004 18:36:35 +0100
[La stupida gestione della sessione della mia webmail mi ha impedito
di inviare la prima versione di questa mail. Spero non sia un doppione...]
Ciao a tutti.
Ho messo le slide sul sito del LT. Le trovate all'indirizzo:
http://www.linuxtrent.it/Members/mercutio/slide-strumenti-sicurezza.tar.bz2/file_view
Finisco di rispondere in ordine sparso e in maniera concisa ad alcune
cose che mi sono state chieste al termine della serata di ieri.
*) Con qualcuno si parlava di TCP hijacking e altre amenita` del
genere. Alcuni riferimenti, vecchiotti ma utili per capire come
vanno le cose sono:
- R. Morris, "A Weakness in the 4.2BSD UNIX TCP/IP Software", 1985,
www.pdos.lcs.mit.edu/~rtm/papers/117.pdf
- S. Bellovin, "Security Problems in the TCP/IP Protocol Suite", 1989
csrc.nist.gov/publications/secpubs/ipext.ps
- L. Joncheray, "Simple Active Attack Against TCP", 1995,
http://www.usenix.org/publications/library/proceedings/security95/joncheray.html
*) Rilevare schede di rete in modalita` promiscua.
La query 'detecting promiscuous mode sniffer' su google da` piu`
risultati di quanti uno ne voglia leggere. Un articolo che raccoglie
parecchie informazioni si puo` trovare all'indirizzo:
http://mason.gmu.edu/~czourida/publications/sniffers.pdf
*) Normalizzatori di traffico in entrata e uscita.
- T. Ptacek e T. Newsham, "Insertion, Evasion, and Denial of Service:
Eluding Network Intrusion Detection", 1998,
http://citeseer.nj.nec.com/ptacek98insertion.html
[Il lavoro che ha reso chiaro il fatto che l'uso dei normalizzatori
e` utile e, in alcuni casi, vedi NIDS, necessario]
- R. Malan e altri, "Transport and Application Protocol Scrubbing",
2000, http://citeseer.nj.nec.com/malan00transport.html
[Descrizione di normalizzatore di traffico in entrata]
- M. Smart e altri, "Defeating TCP/IP Stack Fingerprinting", 2000,
http://www.usenix.org/publications/library/proceedings/sec2000/full_papers/smart/smart_html/
[Descrizione di normalizzatore in uscita con lo scopo di sfuggire a
tentativi di fingerprinting alla nmap]
*) Come utilizzare uno sniffer su un'interfaccia di rete cui non e`
assegnato un indirizzo IP.
Anche qui, moltissime risposte da google. Potrebbe essere
interessante il seguente thread sulla mailing list degli utenti di
snort: http://www.mcabee.org/lists/snort-users/Jun-01/msg00315.html
*) Simulatori di siti inesistenti. Su questo non ho trovato
molto. Potrebbe essere un passatempo interessante se uno vuole
dilettarsi con libnet e libpcap. In tal caso, non dimenticate di
rispondere ai messaggi ARP! Altra via, usare macchine virtuali.
*) Sniffing su reti switchate.
- Una buona query per google sembra essere 'sniffing switched lan'
- Il documento all'indirizzo
http://mason.gmu.edu/~czourida/publications/sniffers.pdf ha
alcuni paragrafi dedicati a questo argomento
- Non l'ho letto, ma sembra decisamente in tema:
R. Spangler, "Packet Sniffing on Layer 2 Switched Local Area
Networks",
http://www.securityfocus.com/archive/112/347201/2003-12-07/2003-12-13/2
Mi sembra sia tutto. Ovviamente se ci sono domande, dubbi, chiarimenti
da fare, critiche etc., relative a quanto detto ieri sera, ne parlo sempre
molto volentieri,
Marco
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts:
