Scarica TeamViewer

nnadalca Documenti Tecnici Teleassistenza

Ripristinare un server Windows, comprensivo di tutte le applicazioni installate, dei dati e delle impostazioni di sistema, può essere una procedura molto complessa, che richiede un notevole dispendio di ore di lavoro. Una corretta pianificazione e gestione dei processi di backup può rendere tutto molto più semplice, migliorare la business continuity e risparmiarci qualche mal di testa.

Lo scenario che ho ipotizzato per questo tutorial è quello di un server che presenta un problema critico al comparto storage, che ne rende impossibile l’avvio. Abbiamo però a disposizione un backup completo, realizzato mediante l’utility Windows Backup, che utilizzeremo, dopo avere sostituito il disco (o i dischi) causa del problema, per effettuare un veloce ripristino del sistema.

Premesse

Il server che andremo a ripristinare è dotato di sistema operativo Windows Server 2008. Per le versioni precedenti di Windows Server, come la 2003, purtroppo questa procedura non è applicabile, poiché l’utility di backup integrata nel sistema operativo (ntbackup) non è in grado di produrre immagini complete del sistema.
Il ripristino sarà effettuato su una macchina virtuale, per praticità, ma nessuno dei passaggi del tutorial sarebbe differente se il ripristino fosse avvenuto su un server fisico.

Il backup

Per un ripristino, non è possibile ovviamente prescindere da un backup. In questo caso, configureremo l’utility di backup di Windows Server 2008 per salvare il backup su un percorso di rete, ma la posizione del backup è ininfluente ai fini del nostro ripristino. Sempre che non lo abbiate salvato nello stesso disco del sistema operativo da ripristinare; in tal caso, dato che il disco è danneggiato, avreste perso anche il backup. Non è mai troppo ripeterlo: i backup devono essere salvati su un disco differente da quello che contiene i dati che ne sono oggetto, meglio se su un altro server, oppure su una periferica di archiviazione esterna, come un NAS o un hard disk esterno.

Avviamo quindi l’utility di backup: Windows Server Backup. Questa sarà la schermata che sarà visualizzata:

Windows Server 2008 Backup – Schermata principale

Clicchiamo sull’opzione Backup unico. Questa scelta è finalizzata al completamento del tutorial, dato che in uno scenario reale di produzione è auspicabile che sia attiva una specifica pianificazione. La prima finestra di dialogo comparirà sullo schermo:

Windows Server 2008 Backup – Opzioni backup

In questo caso scegliamo l’opzione Opzioni diverse, poiché non è disponibile una pianificazione cui fare riferimento (che ribadisco essere necessaria in un ambiente di produzione) e premiamo Avanti.

Windows Server 2008 Backup – Selezione configurazione backup

A questo punto, nella finestra di selezione della configurazione del backup, scegliamo l’opzione Personalizzato.

Sarà visualizzata la finestra mediante la quale aggiungere gli elementi che si intende sottoporre a backup. Premiamo il pulsante Aggiungi elementi.

Windows Server 2008 Backup – Selezione degli elementi da sottoporre a backup

Qui selezioniamo l’opzione Ripristino bare metal: automaticamente verranno selezionate tutte le caselle disponibili. Premiamo OK e saremo condotti nuovamente alla finestra precedente, dopdiché premiamo il pulsante Avanti.

Windows Server 2008 Backup – Scegliere dove memorizzare il backup

Si tratta ora di selezionare il supporto ove memorizzare il backup. Nel nostro caso, come accennato all’inizio, opteremo per una cartella condivisa in rete. Sceglieremo quindi l’opzione Cartella condivisa remota.

Windows Server 2008 Backup – Impostazione cartella remota di salvataggio

Digitiamo il percorso di rete nella casella e selezioniamo l’opzione desiderata per il controllo di accesso. Se sono state impostate già delle policy di condivisione sufficientemente sicure sulla cartella condivisa dove memorizzeremo il backup, possiamo scegliere l’opzione Eredita. Se invece vogliamo scegliere di rendere accessibile il backup solo a uno specifico utente, scegliamo l’opzione Non eredita. In quest’ultimo caso ci verranno chieste le credenziali necessarie per l’accesso al backup.

Nel nostro caso, la cartella di rete dispone già di una corretta configurazione della condivisione, pertanto scegliamo l’opzione Eredita.

Premiamo Avanti.

Windows Server Backup ci propone un riepilogo delle impostazioni che abbiamo scelto. Se è tutto corretto, premiamo Backup per cominciare il processo di creazione del backup.

Alla fine della procedura, come ulteriore misura di sicurezza, possiamo verificare se i file del backup sono presenti nella cartella di rete che avevamo scelto come destinazione.

Il ripristino

Ora che il nostro backup è pronto, simuliamo la situazione di ripristino del nostro sistema. Io ho utilizzato un software di virtualizzazione, Vmware Workstation per la precisione, creando una nuova macchina virtuale nella quale effettuare il ripristino del server. Nel caso in cui si abbia a che fare con un server fisico, la procedura non cambia.

Avviando l’installazione del sistema operativo per il server, dopo qualche istante ci troviamo di fronte alla prima schermata, per la selezione della lingua.

Ripristino di Windows Server 2008 – Avvio dell’installazione

Dopo la selezione della lingua, premendo Avanti, ci troviamo di fronte alla schermata dalla quale avviare il processo di ripristino. Premiamo il pulsante Ripristina il computer che vedete evidenziato nella figura seguente.

Ripristino di Windows Server 2008 – Opzione Ripristina il computer

Nella successiva finestra di dialogo Opzioni ripristino di sistema scegliamo l’opzione Ripristinare il computer utilizzando un’immagine del sistema creata in precedenza.

Ripristino di Windows Server 2008 – Opzione di ripristino mediante un’immagine del sistema

La procedura di installazione, dopo una breve ricerca, ci indicherà di non avere trovato un’immagine del sistema da utilizzare, dato che il nostro backup è stato effettuato su una risorsa di rete. Se fosse stato memorizzato in un disco locale, anche esterno, la finestra di dialogo mostrata nella figura seguente non sarebbe stata visualizzata. Dobbiamo pertanto indicare manualmente la posizione. Nella finestra di dialogo Effettua re-imaging computer, scegliamo Annulla.

Ripristino di Windows Server 2008 – La procedura di installazione non trova un’immagine locale del sistema

Selezioniamo quindi l’opzione Seleziona un’immagine del sistema e premiamo il pulsante Avanti.

Se la scheda di rete non riceve correttamente l’ip

1. C:\Users\Administrator>wpeinit   (This command load network driver for our E1000)

2. C:\Users\Administrator> netsh interface ipv4 show interfaces (This command show interfaces)

Example:

Idx  Met   MTU   State        Name
—  —  —–  ———–  ——————-
1   50 4294967295  connected    Loopback Pseudo-Interface 1
10   20   1500  connected    Local Area Connection

3. C:\Users\Administrator>netsh interface ipv4 set address name=”Local Area Connection” source=static address=192.168.1.11 mask=255.255.255.0 gateway=192.168.1.1 (This command add IP address to interface Local Area Connecion)

Ripristino di Windows Server – Selezionare l’immagine del sistema da ripristinare

Nella successiva finestra, premiamo il pulsante Avanzate. La finestra pop-up che viene visualizzata ci permette di individuare l’immagine del nostro sistema in rete, scegliendo l’opzione Cerca immagine del sistema in rete.

Ripristino di Windows Server 2008 – Cercare un’immagine del sistema in rete

La procedura di ripristino ci avvertirà di potenziali rischi per la sicurezza. Supposto che la nostra rete sia sicura, clicchiamo su Sì e andiamo avanti. Dopo la connessione alla rete, la finestra di dialogo successiva ci richiede il percorso di rete dove è memorizzata l’immagine del sistema.

Ripristino di Windows Server 2008 – Inserire il percorso di rete dove è memorizzata l’immagine del sistema che vogliamo utilizzare per il ripristino

Dopo avere inserito le credenziali per l’accesso alla risorsa di rete condivisa, premiamo OK.

Ripristino di Windows Server 2008 – L’immagine del sistema è stata correttamente individuata

Ora possiamo cliccare sull’immagine del sistema appena individuata per selezionarla e premere il pulsante Avanti. Nella successiva schermata selezioniamo la data e l’ora del backup che ci interessa (nel nostro caso ovviamente ce n’è una sola, ma in uno scenario convenzionale è probabile che siano disponibili backup relativi a più date differenti) e premiamo il pulsante Avanti.

Ripristino di Windows Server 2008 – Scegliere la data del backup desiderata

Ora possiamo selezionare le ultime opzioni sul ripristino. L’opzione Formatta e partiziona i dischi risulta già attiva, e nel nostro caso è corretto. Possiamo premere il pulsante Avanzate, per verificare le altre opzioni disponibili, anche se nella maggioranza dei casi possiamo lasciare entrambe le opzioni attive. Premiamo OK per procedere e poi Avanti.

Ripristino di Windows Server 2008 – Le opzioni avanzate

Nella successiva finestra che ci viene mostrata vediamo un riepilogo con le informazioni principali relative all’immagine di sistema che ci stiamo apprestando a ripristinare. Se è tutto ok, possiamo premere il pulsante Fine. Un ulteriore messaggio di avviso ci notifica che tutti i dischi saranno formattati e impostati come previsto nell’immagine di sistema: per noi non è un problema, quindi possiamo premere Sì e avviare definitivamente il processo di ripristino.

Mettiamoci comodi, e dopo un po’, salvo imprevisti (nel mio caso per fortuna nessuno) ci troveremo davanti la schermata di login del nostro server.

nnadalca Documenti Tecnici Windows 2008

Tramite lo snap-in del servizio backup di Windows Server 2008 non si può pianificare un backup su una cartella di rete.
Si possono fare backup “on time” su dischi di rete, ma non si possono pianificare.
L’unico sistema senza rincorrere a software di terze parti è mettere nelle operazioni pianificate il seguente comando (tutto su una riga):
WBADMIN START BACKUP -backupTarget:\\indirizzocartella\nomecartella -include:c: -vssFull -quiet

Nella voce -include ho inserito il disco C. Si possono specificare altri dischi o cartelle usando il separatore , (virgola)

nnadalca Documenti Tecnici Windows 2008

COME IMPOSTARE VLAN E COLLEGAMENTO TRUNK TRA DUE SWITCH HP PROCURVE 1800-24 e 1800-8

In questo laboratorio si illustra la configurazione di vlan per isolare ad esempio il traffico di una sottorete 192.168.6.x e un’altra sottorete 192.168.1.x.

Le VLAN sono una delle più importanti implementazioni degli switches (principali protagonisti, ma non solo, visto che si estendono a routers e hosts dotati di tale capacità di gestione.

Permettono di raggruppare gli hosts in modo logico, eliminando così il problema del luogo fisico in cui un dispositivo si trova rispetto agli altri nella LAN; sono quindi vere e proprie sottoreti di dispositivi che si estendono su più switches all’interno della LAN.

Definibili anche come domini di Broadcasts, in quanto tutti gli hosts di una VLAN, che dovrebbero appartenere a una stessa sottorete, potranno comunicare solo all’interno della stessa. La comunicazione tra VLAN viene delegata ai routers o a multilayer switch in grado di eseguire routing a layer 3.

Benefici

• Facilità di gestione delle infrastrutture di rete: invece di spostare cavi, riposizionare uplink, aggiungere dispositivi e ricablare intere zone, si gestiscono le VLAN tramite strumenti software.
• Ottimizzazione dell’uso delle infrastrutture: se desidero isolare una subnet non devo aggiungere uno switch e/o un router, ma mi sarà sufficiente riassegnare alcune porte.
• Forte scalabilità: in pochi minuti si riassegna una porta e si sposta una patch, e le VLAN si possono estendere su diversi switch, rendendo semplice e relativamente economica l’espansione della rete.
• Possibilità di estensione oltre i limiti fisici di un singolo switch: oltre alla scalabilità, c’è il vantaggio di poter estendere una LAN su (ad esempio) piani diversi, utilizzando una unica dorsale di collegamento.
• Economicità: con uno switch livello 3, si può fare routing tra le VLAN.
• Diminuzione del traffico di rete: tramite VLAN si confina facilmente il broadcast.

Iniziamo con il definire le due Vlan , vlan1 e vlan2 per lo switch 1800-8 porte , la vlan1 per le porte 1,2,3,4 e la vlan2 per le porte 5,6. Le porte 7,8 verranno utilizzate per il trunk.

Il trunk viene fatto per poter  far comunicare 2 vlan tra 2 switch e negli switch hp e’ sempre costituito da due porte e un cavo unico che si collega tra i due switch su porte dedicate.

In questo caso le porte 7,8 dello switch 1 (1800-8porte) costituiscono il trunk per collegare lo switch (1800-24) porte 23,24.

Trunking; esso è un metodo per instradare il traffico di più VLAN su un unico link fisico. Sarebbe, infatti, pazzesco dedicare una porta per switch a ogni VLAN per farla comunicare con se stessa attraverso la rete. Già solo 5 VLAN richiederebbero 5 link fisici, la scalabilità andrebbe a farsi benedire, i costi di implementazione e cablaggio salirebbero a dismisura.

Il trunking viene implementato tra due o più switches che gestiscono più Virtual LAN, e tra switches e dispositivi di routing, che si occupano della comunicazione tra VLAN. Esistono diversi protocolli, che usano tecniche, dall’encapsulation al tagging, che permettono di identificare in modo univoco a quale VLAN appartengono i frames.

1) Definiamo quali porte costituiscono la vlan 1, in questo caso 1,2,3,4.

2) Definiamo quelle che costituiscono la vlan2,  ovvero la 5,6

3) Definiamo il trunk per lo switch 1800  8 porte, andando a definire le porte 7,8 per la comunicazione con lo switch 1800-24 porte nel quale come vedrete sotto andremo a definire le porte 23,24.

Riepilogo della configurazione

Stesse configurazioni per lo switch 1800-24, andiamo a definire le vlan1 e la vlan2.

E a questo punto andiamo a definire il trunk che collega lo switch 1800-8 porte.

Riepilogo della configurazione

Ora che il trunk e’ definito, spostando i cavi  di rete tra switch mantenendo la divisione tra le vlan definite, vlan 1 e vlan2 , la comunicazione non cambia. Ad esempio se sposto il server che e’ sulla vlan1 (1,2,3,4,5,6,7,8,9,10,11,12)  dello switch 1800-24 nella vlan1 (1,2,3,4) dello switch 1800-8 la comunicazione viene instaurata e posso garantire la comunicazione nella sottorete 192.168.6.x dei client con il  server spostato appunto da uno switch ad un altro.

Pensate ad esempio di dover far comunicare due reparti distanti tra loro appartenenti alla stessa sottorete  in un’azienda e comunicanti tramite switch con il modulo per la  fibra ottica.

Utilizzando  un firewall (io ho utilizzato un Clavister Sg61 a tre interfacce) o un router con piu’ interfacce e’ possibile far uscire verso internet le due sottoreti 192.168.6.x  e 192.168.1.x .

E’ buona norma non utilizzare le VLAN per isolare le diverse zone della rete, ad esempio per ospitare una DMZ, perché il traffico tra le VLAN è intercettabile. E’ sempre meglio affidarsi ad un firewall per isolare le zone tra le quali la sicurezza del traffico è un fattore critico.

ALTRO METODO PER STABILIRE UN TRUNK TRA DUE SWITCH

Un altro metodo consiste nel definire tramite protocollo LACP setup una porta di comunicazione trunk , una o piu’ porte in uno switch e una o piu’ porte nell’altro switch con cui comunicare.

The Link Aggregation Control Protocol (LACP)

LACP allows a network device to negotiate an automatic bundling of links by sending LACP packets to the peer (directly connected device that also implements LACP).

Nella prima schermata di definisce la porta di comunicazione , nel mio caso la n° 8 , il vaolore di destra lo si mantiene a 0 in modo che autogereni una chiave automaticamente.

Nello switch a 24 porte di definisce la porta di comunicazione che poi deve collegare lo switch a 8 porte.

La comunicazione viene instaurata automaticamente come si vede nella LACP status.

nnadalca Documenti Tecnici vlan

Vi e’ mai capitato questo messaggio?

“L’indirizzo IP XXX.XXX.XXX.XXX inserito per questa scheda di rete è stato già assegnato per la scheda Nome scheda. Nome scheda è nascosta dalla cartella Rete e connessioni remote perché non è fisicamente presente nel computer o è una scheda preesistente non funzionante. Se lo stesso indirizzo è stato assegnato a due schede e vengono attivate entrambe, solo una utilizzerà questo indirizzo. Potrebbe verificarsi una configurazione di sistema non corretta. Si desidera inserire un indirizzo IP differente nell’elenco degli indirizzi IP nella finestra di dialogo avanzata per questa scheda? ”

Se si desidera visualizzare tutte le periferiche installate sul computer, creare un file batch come segue:

set devmgr_show_nonpresent_devices=1
start devmgmt.msc

Lanciarlo, andare su “Visualizza”, -> “Mostra Periferiche Nascoste”.
Compariranno tutte le periferiche che sono state installate e tolte e/o rimesse sulla macchina che ora e’ possibile rimuovere.

Il metodo alternativo consiste nell’utilizzare le chiavi di regsitro:

1) copiare interamente l’intero registro del sistema
2) andare su questo registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
3) aggiungere la chiave di registro come “Valore Stringa” DEVMGR_SHOW_NONPRESENT_DEVICES ed impostarla a 1 per attivarla
4) Riavviare il server lanciare l’utility devmgmt.msc andare su “Visualizza”, -> “Mostra Periferiche Nascoste” ed eliminare la periferica nascosta non desiderata.

nnadalca Documenti Tecnici

Spesso un server virtuale necessita di un espansione del disco a lui associato.

Vediamo come effttuare tale operazione su una macchina virtuale Windows.

Prima dell’update 3 era necessario farlo a macchina spenta dall’update 3 è possibile farlo a macchina accesa e fare il resize di tutte le partizioni della macchina compreso il disco c di sistema grazie all’utility ExtPart della Dell.

1. Scaricate extpart e salvatela sul disco della VM che contiene di dischi da modificare.
2. Aprite VMware Virtual Infrastructure Client collegatevi all’host esx/esxi che contiene la VM
3. Selezionatela e cliccate su “edit settings”.
4. Nel tab “Hardware” selezionate il  disco fisso da modificare
5. A destra andate alla voce “Disk Provision” cambiate la dimensione  hard disk virtuale

L’elenco degli step proposti funziona nahce per il client VSphere.

Colleghiamoci ora alla VM   e controlliamo i volumi da “gestione disco”:

Avremo lo spazio incrementato e disponibile ma  non allocato da nessuna partizione di file system.

Apriamo ora l’utility Extpart  prima salvata avviandola da prompt dei comandi.
Digitiamo quindi la lettera del volume che  desideriamo espandere, ad esempio c: (partizione di sistema), e definiamo l’incremento voluto, come nel seguente esempio.

Torniamo ora in “gestione disco” e verifichiamo che tutto sia andato a buon fine,

nnadalca Vmware - Virtualizzazione extpart

Per risolvere il problema dello scarico della posta con mdemon pop3 connector seguite questa guida:

MultiPOP and Gmail

MDaemon has a feature called MultiPOP which, when enabled, will cause MDaemon to download all messages from one or more POP3 accounts and deliver them directly to a MDaemon user’s mailbox.

The dialog has simple hostname, username, password fields, plus options to leave mail on server or not. What isn’t obvious is how to support hosts like Gmail, which require SSL. As it turns out, MDaemon actually does support Gmail, and other SSL enabled POP3 hosts.

There are a number of ways to access the MultiPOP configuration for an account, through MDaemon’s account editor, through WorldClient or WebAdmin (both web options only being available if the user is allowed to use MultiPOP).

To set up MultiPOP to pull mail from a POP3 account which requires SSL, open the MultiPOP dialog, enter the hostname or POP3 server name followed by :995

:995 tells MDaemon to use port 995, and MDaemon automatically switches to SSL mode since SSL is required for port 995.

For Gmail, enter the hostname “mail.gmail.com:995″, the username which must include the @domain portion. For example, for dave.warren@gmail.com, you need to enter the full dave.warren@gmail.com address, not just “dave.warren”

For Gmail you should set MDaemon to delete mail from the server as Gmail doesn’t account honour this, instead Gmail allows you to control what happens to mail after it’s downloaded (Leave it in the Inbox, Archive it, Delete it)

Note that the instructions are the same for googlemail.com, and for other mailboxes hosted by Google, just use the appropriate email address in the username field.

One other thing to be aware of with Gmail in particular, Gmail doesn’t automatically enable POP3 access, you need to enable it by logging in to Gmail, going to Settings, then to the POP section and setting the appropriate option. If you choose to download all mail, Gmail only offers a few hundred messages at once, so if you are intending to download a massive Gmail mailbox into MDaemon, MDaemon will take some time as messages are downloaded in blocks of about 500 messages at a time.

UPDATE (2008/10/02): One other thing I forgot to mention, MDaemon must have SSL enabled. To enable SSL in MDaemon 10, go to the Security menu, choose Security, then go to “SSL & TLS” and enable the “Enable SSL…” option.

nnadalca Mdaemon Mdaemon

ProduKey is a small utility that displays the ProductID and the CD-Key of Microsoft Office (Microsoft Office 2003, Microsoft Office 2007), Windows (Including Windows 7 and Windows Vista), Exchange Server, and SQL Server installed on your computer. You can view this information for your current running operating system, or for another operating system/computer – by using command-line options. This utility can be useful if you lost the product key of your Windows/Office, and you want to reinstall it on your computer.

nnadalca Documenti Tecnici, Tips Linux e Microsoft keyfinder

Questi appunti mostrano come sia facile intercettare le password che passano attraverso la propria rete locale. Per farlo utilizziamo uno dei programmi distribuiti con Backtrack versione 3 o 4, Ettercap.

Per funzionare è necessario che l’utente che lancia ettercap sia connesso alla rete tramite cavo LAN , collegato sia trmite switch o hub.

La prova è stata fatta sulla mia rete locale, tra due computer che utilizzo esclusivamente io e le password intercettate sono quelle che uso per connettermi ad un servizio di posta elettronica ed ad un sito web di telefonia. L’utilizzo di ettercap per intercettare password o più in generale dati di altri utenti è illegale. Ogni abuso è responsabilità vostra ed è punibile dalla legge. Questi appunti personali sono stati ricavati da guide più complete che si possono trovare su internet. Continuando a leggere vi assumete ogni responsabilità per l’utilizzo che potete fare di queste informazioni.

Questi sono i passi che ho seguito per intercettare le mie  password digitate su un altro computer connesso alla mia rete locale:

nnadalca Documenti Tecnici, Tips Linux e Microsoft, Tutorial backtrack, sniffing

SNORT, il re degli IDS liberi

SNORT è un Network based IDS real-time, leggero, con risposta passiva alle intrusioni e con un’elevata accuratezza nel rilevamento delle intrusioni. Questo IDS ha caratteristiche real-time, in quanto è in continuo ascolto sul segmento di rete a cui è stato assegnato ed è in grado di contattare l’amministratore di sistema attraverso molteplici meccanismi come Syslog. La leggerezza di SNORT dipende da due fattori:

1. L’efficienza nella scansione dei pacchetti, dal momento che usa poche risorse di sistema;
2. Le dimensioni dei sorgenti del NIDS.

La semplicità del tool e la sua struttura modulare hanno fatto in modo che non dovesse mai essere reimplementato o modificato per poter identificare nuove tipologie di attacco. Inoltre, la linearità di scrittura delle regole ed il basso livello di rete in cui opera lo rendono uno strumento particolarmente duttile, anche come tool di analisi per attacchi sconosciuti.

SNORT può esaminare i protocolli più diffusi, può individuare una varietà di attacchi e di probes, così come buffer overflow, port scanning, attacchi CGI e probes SMB. Guardando i file di log si riesce a determinare a quale tipo di attacco si è stati soggetti. Ricordate, un uso efficace di meccanismi di logging è fondamentale per la sicurezza del vostro sistema, con o senza IDS.

Altra caratteristica importante di questo NIDS è la portabilità; i sistemi operativi su cui si può installare SNORT sono: Linux, OpenBSD, FreeBSD, NetBSD, Solaris, SunOS 4.1.X, HP-UX, AIX, IRIX, Tru64 (tutti sistemi Unix like), MacOS (su sistemi Macintosh), Win32 (Win9x/NT/XP e 2000). Una volta installato SNORT, si possono scaricare ed installare gratuitamente i file di regole aggiornati regolarmente.

Questi file comprendono tutte le regole per riconoscere una serie di attacchi già noti, ma nessuno vieta di crearvi un proprio file di regole se avete esigenze specifiche. Ultima particolarità, non marginale, di questo IDS è il suo rilascio sotto licenza GNU/GPL, che ha permesso, e permette, ad un nutrito gruppo di sviluppatori di contribuire al suo perfezionamento.

Le regole di SNORT

Una regola è una precisa sequenza di istruzioni che permette di istruire l’IDS, consentendogli così di riconoscere attacchi ed anomalie nella rete. Ogni regola è scritta in un’unica riga, infatti, il parser (cioè il componente che interpreta le regole) di SNORT non è in grado di riconoscere le regole scritte su più righe. Ogni regola è composta da due sezioni distinte:

1. Header (intestazione);
2. Options (opzioni).

La prima sezione comprende le azioni delle regole: protocollo, indirizzo IP (di origine e di destinazione) e le informazioni relative alle porte. La seconda sezione, options, contiene invece i messaggi di alert e le informazioni su quali parti dei pacchetti devono essere analizzate per determinare se le regole di azione devono essere eseguite. Esempio di una tipica regola per SNORT è il seguente:

alert tcp any any -> 192.168.61.190/23 (content: "Last login"; msg: "Attenzione: tentativo di connessione via telnet alla macchina!";)

questa regola indica a SNORT di mostrare un messaggio di avvertimento se viene individuato del traffico TCP, proveniente da qualsiasi porta e da qualsiasi IP, che tenti di stabilire una connessione sulla porta 23 all’indirizzo 192.168.61.190. Non è scopo di questo articolo analizzare dettagliatamente la sintassi delle regole di SNORT, ma da questo piccolo esempio si può comprendere la facilità e la flessibilità usata nella creazione delle regole. La genialità di SNORT, quindi, sta proprio nella semplicità della sintassi delle regole; in pochi secondi potete creare regole ad hoc e renderle operative, senza spendere un solo euro.

Modalità operative di SNORT

SNORT è un programma dalla mille risorse, non funziona solo ed esclusivamente come NIDS, può operare in tre diverse modalità:

1. SNORT come IDS: SNORT può essere posizionato tra il firewall, che controlla una rete, e la linea Internet non sicura, analizzando in questo modo sia il traffico diretto al firewall, sia il traffico nella rete controllata. Il piccolo sistema di firme, di cui è dotato, offre un tool di alerting per gli amministratori quando vengono individuate delle attività sospette;
2. SNORT come packet sniffer: il programma è capace di ispezionare il carico dei pacchetti sulla rete, decodificando il livello di applicazione di un pacchetto e catalogando il traffico basato su un determinato contenuto di dati;
3. SNORT come packet logger: SNORT può anche effettuare il log dei pacchetti, da linea di comando, indirizzati ad una specifica macchina inviando direttamente alert a video. Uno dei più grandi vantaggi è che SNORT effettua il logging in formato leggibile.

Installazione di SNORT

Passiamo adesso all’installazione di SNORT. Scaricate l’archivio compresso, dell’ultima versione di SNORT, dal sito del progetto; al momento della stesura dell’articolo è la 2.6.1.5. Assumete l’identità di root e decomprime il pacchetto usando i comandi gzip e tar da linea di comando:

# gzip -d -c snort-2.6.1.5.tar.gz | tar xf -

successivamente, spostatevi nella directory appena creata dalla decompressione del pacchetto:

# cd snort-2.6

ed avviate il comando configure con:

# ./configure

L’operazione eseguita dall’utility configure sarà quella di determinare tutte le caratteristiche e gli attributi del vostro sistema per generare un appropriato Makefile. Una volta terminata la configurazione bisogna compilare i file partendo dalle informazioni raccolte precedentemente con il comando configure; per far questo digitiamo il comando:

# make

infine, per installare i file binari e le guide del programma eseguiamo:

# make install

Tutto qui, come avete visto non c’è nulla di difficile nell’installazione di SNORT. Un ultimo consiglio, anche se lo spazio occupato dall’eseguibile è di pochi bytes, è preferibile installare SNORT su una macchina ad esso dedicata, con nessun altro servizio attivo.

Uso di SNORT

SNORT non è difficile da usare, tuttavia l’uso non è sempre tanto immediato. Il tutto sta nello scegliere, in maniera appropriata, quali parametri dare in input a SNORT per renderlo efficiente.

Leggendo la guida del NIDS potrete conoscere le tantissime opzioni offerte dal programma (figura 1), ma per comodità riporto un breve elenco delle opzioni più importanti ed usate:

• -A alert-mode effettua un alert usando uno specifico alert-mode (fast, full, none, unsock). Fast scrive gli alert sul file di alert di default in una singola linea; full scrive gli alert sul file di alert decodificando completamente l’header; none disabilita gli alert; unsock è una modalità che manda gli alert su socket UNIX;
• -a mostra i pacchetti arp quando vengono decodificati;
• -b effettua il log dei pacchetti in formato tcpdump;
• -c “rules-file” usa il file di regole nel percorso indicato in rules-file;
• -C stampa solamente i caratteri del payload del pacchetto;
• -d visualizza il livello applicazione dei dati quando mostra i pacchetti;
• -D esegue SNORT in daemon mode (cioè come demone);
• -e visualizza l’header dei pacchetti ethernet;
• -h “home-net” setta la “home network” al valore home-net. Il formato di questo indirizzo è un prefisso di rete più un blocco cidr, come ad es: 192.168.2.0/24;
• -i “interface” mette in ascolto SNORT sull’interfaccia specificata;
• -l “log-dir” indirizza i log di SNORT in una directory specifica. Per default è impostato il valore /var/log/snort;
• -n “packet-count” processa solo un numero di pacchetti pari al valore packet-count ed esce;
• -N smette di loggare i pacchetti. Il programma continua normalmente a generare gli alert;
• -o cambia l’ordine in cui le regole sono applicate ai pacchetti. Invece dell’ordine d’inizio applicato nello standard Alert-> Pass-> Log, le regole verranno applicate nell’ordine Pass-> Alert -> Log;
• -p termina la modalità promiscua di sniffing;
• -q non visualizza i messaggi e le informazioni di inizializzazione;
• -r “tcpdump-file” mostra il file tcpdump-file formattato;
• -s manda messaggi di alert al Syslog;
• -S “n=v” setta la variabile “n” al valore “v”. Utile per settare il valore di una variabile definita nel file di regole di SNORT con un valore specificato nella linea di comando;
• -v stampa i pacchetti;
• -V mostra la versione dell’applicazione ed esce.

SNORT come IDS

Abbiamo parlato di SNORT e visto come installarlo in una Linux box. Ora mettiamoci all’opera.

Per prima cosa (figura 2) avviamo SNORT con le opzioni:

# snort -i -lo -v -d -l log -c /etc/snort.conf

Ora SNORT è attivo e pronto. Dopo aver creato la nostra regola testiamone l’efficienza. Proviamo ad accedere alla macchina, indicata nella nostra regola, usando telnet. Dalla console aperta potrete visualizzare sia il rilevamento dei pacchetti, sia i risultati. In questa occasione abbiamo usato SNORT come IDS passandogli (con l’opzione -c), da linea di comando, il file contenente le regole.

Considerazioni su SNORT

I vantaggi di SNORT sono tanti. Ha una struttura modulare, richiede poco tempo per l’installazione, se ci sono nuovi attacchi l’amministratore può facilmente sviluppare nuove regole per rilevarli ed è estendibile usando i plug-in. Gli svantaggi di SNORT, ovviamente, sono quelli comuni agli IDS basati sul pattern matching. Se volete usare una GUI, per lavorare più agevolmente con SNORT, potete installare http://sguil.sourceforge.net/. Sebbene ancora giovane come progetto questo frontend è davvero molto promettente.

nnadalca Documenti Tecnici, Tips Linux e Microsoft, Tutorial snort