----- Forwarded message from Iceman <iceman.linux(at)gmail.com> ----- From: Iceman <iceman.linux(at)gmail.com> To: ml(at)sikurezza.org Subject: Re: [ml] creare una policy dall'analisi del traffico
> >>Ho visto che di documentazione apparte quella sul sito non ne ho > >>trovata, esempi di utilizzo? Allora, argus lo facevo girare da riga di comando passando questi parametri: # argus -F /etc/argus.conf -d -m -w $ARGUSHOME/argus.out dove argus.conf contiene banalissime direttive, specifiche per ogni esigenza Quindi, dopo una settimana circa di raccolta, ho elaborato il file generato con l'utility "ra" (read Argus - sempre della suite): # ra -r argus.out -s saddr daddr dport proto status | fgrep -v 'arp' > ra_out e greppando opportunamente (sulla base della singola esigenza) le voci del campo "status" presente nel file ra_out. Per maggiori info, sezione status http://qosient.com/argus/ra.1.htm Quindi, ho normalizzato il file "ra_out" per avere una sorta di file in formato CSV da importare con comidit? su DB et simila per la successiva elaborazione e generazione di rulebase. Per la normalizzazione ho preferito farmi uno script in Ruby piuttosto che usare sed (su una mole di dati eccessiva ruby, per sua natura, impiega MOLTO meno tempo CPU e quindi evita di "sdraiarti" la macchina e....si sbriga prima!). Mi rendo conto che ? piuttosto macchinosa come procedura ma....alla fine ne ? valsa la pena, in ogni senso! Allego anche lo script.....non si sa mai! ;-) -- Santino Nocera IT Security Analyst & Co-Founder Losis Community http://www.losis.org ----- End forwarded message -----
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
