viernes, marzo 30, 2012

Probando el IDS+IPS

Ya tengo algo funcional de la pruebas con un IDS1 (snort) + IPS2 (guardian) que fortifique la seguridad del equipo WoL casero. Todo lo he hecho en una máquina virtual, aunque ahora le dare caña para ver el resultado con pocos recursos (RAM de 128 y 256 MB, disco duro de 1 y 4 GB) intentado aproximarme lo más posible a lo que me encontraré en la placa Alix/Wrap. El sistema se compone de lo siguiente:
  • snort. Analiza el tráfico y crea las alarmas (es el IDS).
  • mysql. Guarda las alarmas.
  • base. Es la aplicación que permite ver las alarmas que detecta snort consultando la base de datos mysql. Es una aplicación que corre bajo apache con php.
  • oinkmaster. Es el actualizador de las reglas de detección de snort.
  • guardian. Es quien detecta los ataques (en funcion de las alertas de snort) y pone/quita las reglas del firewall (es el IPS).
Tengo que depurar algunos pasos antes de documentar el proceso -las actualización de reglas con oinkmaster, la configuración del fichero de log de snort para que lo lea guardian y la instalación de las daemonstools por si snort/guardian caen-. 

También surgen dos problemas adicionales. En las placas Alix/Wrap, el disco duro no existe como tal, es una tarjeta de memoría de tipo Compact Flash, en las cuales no se puede abusar de las escrituras.

He leído que tienen una vida media de 200K operaciones de escritura por bloque, a partir del cual empiezan a fallar, por ese motivo los sistemas operativos embebidos que se instalan sobre estas placas implementan los directorios /var/ y /tmp como sistemas de ficheros temporales en memoria. Con lo que se agraba el segundo problema, al disponer de poca memoria RAM, si encima hacemos que varios directorios estén en memoria, tendremos menos memoria final para las aplicaciones. Un gran dilema.

1 Intrusion Detection System
2 Intrusion Prevention System

No hay comentarios:

Publicar un comentario