In questa guida approfondiremo l'uso di Snort, un software di rilevazione e prevenzione delle intrusioni. Tale software è totalmente gratuito e open-source e, in linea di principio, può essere utilizzato per proteggere sia reti di piccole che di grandi dimensioni.
I sistemi di rilevazione delle intrusioni (Intrusion Detection Systems, o IDS) effettuano un’azione passiva volta a irrobustire la sicurezza informatica della rete. Essi individuano pacchetti sospetti, li registrano e e ne segnalano la presenza all’amministratore di rete. La loro naturale evoluzione consiste nei sistemi di prevenzione delle intrusioni (Intrusion Prevention Systems, o IPS), che intraprendono azioni attive sui pacchetti sospetti eliminandoli, resettando connessioni e/o bloccando interamente il traffico proveniente da determinati indirizzi IP.
Diverse istanze di Snort potranno essere eseguite all’interno della stessa rete, ciascuna con un compito differente:
- monitoraggio del traffico transitante internamente alla rete locale, posizionando Snort in un punto compreso tra l’hub e la rete locale;
- monitoraggio del traffico diretto verso una macchina specifica, posizionando Snort all’interno della macchina da monitorare. Questa configurazione si utilizza per proteggere macchine come mainframe e/o server che svolgono compiti vitali per la rete;
- monitoraggio del traffico proveniente dalla rete internet, posizionando Snort a valle di un eventuale firewall (che effettua una prima scrematura dei pacchetti sospetti), ma sempre a monte della sottorete che si intende proteggere. Qualora risultasse necessaria anche la prevenzione delle intrusioni (per esempio in reti di grandi dimensioni), sarebbe opportuno posizionare Snort anche a monte del firewall, nella cosiddetta modalità inline. In tal caso la macchina dove sarà eseguito Snort agirà da bridge tra due segmenti di rete e dovrà essere equipaggiata di (almeno) due interfacce di rete.
Snort può essere eseguito secondo quattro livelli diversi di protezione (crescente):
- sniffer: legge i pacchetti di rete e li mostra sulla console per essere analizzati dal responsabile della rete;
- packet logger: come la precedente, ma consente di salvare i pacchetti sospetti sul disco;
- intrusion detection system (IDS): modalità che consiste nel monitoraggio, analisi, logging e alerting;
- intrusion prevention system (IPS): effettua una difesa attiva dagli attacchi di rete. È buona pratica di sicurezza abbinarne l’utilizzo a quello di un firewall.
Questa guida spiegherà passo dopo passo come configurare Snort (versione 2.9.9.x) su una macchina con sistema operativo Ubuntu Server. Snort può comunque essere installato anche su Windows e su altre distribuzioni Linux. La documentazione ufficiale e le guide all’installazione sono scaricabili dal sito ufficiale.
Prima di iniziare con l’installazione sarà necessario avere a disposizione una macchina dove installare Ubuntu Server, equipaggiata di almeno un’interfaccia di rete nel caso IDS e due interfacce se lo si vuole eseguire come IPS. Eventualmente, possiamo sempre ricorrere all’utilizzo di VirtualBox, all’interno del quale montare la ISO di Ubuntu e scegliere il necessario numero di interfacce (virtuali) di rete.
Prima di iniziare, di seguito elenchiamo i pacchetti da installare per il prosieguo della guida, unitamente ad una breve descrizione di ciascuno di essi:
| Pacchetto | Descrizione |
|---|---|
| Snort | Consente di rilevare/prevenire le intrusioni |
| Barnyard2 | Consente di ridirezionare la messaggistica testuale prodotta da Snort e convertirla in formato binario. I dati prodotti vengono memorizzati all’interno di un database SQL. Questo consentirà di ridurre il carico sul sistema e di munire Snort della capacità di archiviazione degli alert |
| PulledPork | Scarica automaticamente dal web le regole che Snort utilizzerà per filtrare/scartare i pacchetti |
| BASE | Un’interfaccia web che semplifica l’osservazione degli eventi generati da Snort |
| Openssh server | Consentirà l’amministrazione remota della macchina Snort mediante protocollo SSH |
| MySQL server/client | Necessari per l’archiviazione ed il recupero degli alert generati da Snort |
| Apache | Web server necessario per l'esecuzione di BASE e la conseguente visualizzazione degli alert archiviati nel Database |
All’interno della guida verranno utilizzate password molto semplici solo per scopo dimostrativo. Chiaramente, in un contesto reale, è bene utilizzare password resistenti e sostituirle a quelle indicate.
Snort verrà installato con i privilegi di un utente Linux che NON possiede i privilegi di root. Quando necessario, i comandi amministrativi dovranno essere eseguiti da sudo. Questo consentirà di identificare quali comandi richiedono credenziali amministrative e quali no.
Infine, a partire da Ubuntu 16, i nomi delle interfacce di rete non sono più identificati dalla sigla ethX. Questo significa che dovremo identificare il nome/nomi dell’interfaccia/e di rete che intendiamo monitorare tramite l’utilizzo del comando ifconfig.
