2010/7/30 Francesco Fucito: [...] > Le sonde sono CISCO, utilizziamo anche Cisco Mars > >> Quello che ti serve è un IDS che analizzi anche gli header http e possa >> considerare il sito destinatario come destinatario finale, ignorando quello >> che è scritto nell'IP. > > Appunto, esiste una soluzione per leggere il raw del pacchetto o > appunto l'header http?
Ovviamente le sonde Cisco leggono tutto il pacchetto, non soltanto l'header. Quello che probabilmente non puoi fare è customizzare la signature in modo da utilizzare un campo diverso dall'IP destination nella tua signature. Questo perché certi controlli sono probabilmente hard-coded, se non eseguiti in firmware. In tutti i brand di IDS/IPS che ho visto, non ho mai notato la possibilità di cambiare questo controllo in favore di, per esempio, un header X-forward-for. E la cosa ha senso se ci pensi - significherebbe che tutto viene processato in software, la sonda sarebbe troppo lenta >> Oppure >> >> metti l'IDS dopo il proxy, dici al proxy di popolare l'header http >> X-Forwarded-for con l'ip del client (molti proxy lo fanno). In questo caso >> hai nell'IP il reale destinatario, ma ti perdi il sorgente. Il sorgente però >> lo ritrovi nell'header X-Forwarded-for. Ancora una volta però hai bisogno di >> un sistema che sia in grado di leggere e interpretare questo campo. > > Purtroppo non è possibile fare nulla di tutto ciò Beh, credo che il problema fondamentale sia nel fatto che avete sbagliato nell'implementare l'architettura degli IDS - li avete posizionati nel posto sbagliato. Non esiste magia che ti possa aiutare in questo caso. È importante avere chiari i requisiti di quello che volete monitorare e conoscere possibilità e limiti degli IDS che volete utilizzare, PRIMA di implementare la soluzione... Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
