Nuova release per il kernel Linux la 2.6.31

novembre 13th, 2009 glycerin

Anche questa notizia non è delle più recenti ma mi preme mantenere una traccia sul mio blog per due aspetti importanti che riguardano il framework netfilter e il controllo di alterazioni su filesystem.
La parte di netfilter è l’introduzione del “passive OS fingerprinting” ovvero il riconoscimento passivo -parziale-  del Sistema Operativo col quale il pacchetto è stato originato. Questo permette come vantaggio il poter scatenare azioni o reazioni in dipendenza del sistema operativo.
L’articolo dal quale ho preso spunto della notizia riporta alcuni link utili all’argomento:

• http://www.ioremap.net/projects/osf
• http://lwn.net/Articles/336921/

Come riportato nell’articolo di lwn questa feature è presente da tempo in OpenBSD.
Il termine passivo è inerente alla metodologia di detection che viene già utilizzata da p0f ovvero utilizzare i diversi dettagli con cui i pacchetti vengono originati per risalire al sistema operativo. Diversamente da nmap che usa una metodologia attiva ovvero compie delle vere e proprie richieste per avere queste info. Infatti tutti gli IDS sono capaci di individuare i tentativi di nmap sulla rete.

Sul sito web di Evgeniy Polyakov vi è l’esempio di un syslog con l’aggiunta di questa feature che è del seguente tipo:

Windows [2000:SP3:Windows XP Pro SP1, 2000 SP3]: 11.22.33.55:4024 -> 11.22.33.44:139 hops=3
Linux [2.5-2.6:] : 1.2.3.4:42624 -> 1.2.3.5:22 hops=4

Per la parte inerente il controllo di alterazioni sul filesystem la feature degna di nota è la Fsnotify che va a sostituire Dnotify e Inotify e può essere utilizzata per monitorare cambiamenti sul filesystem come creazione, modifica e cancellazione di file. Lo scopo è di permettere ad esempio la scansione di file su filesystem con strumenti rigorosamente del tipo userspace prima che questi provochino dei danni come ad esempio alla ricerca di virus o worm.

Per ulteriori dettagli per queste come di altre feature della nuova release rimando al link.

Fonte notizia: http://www.h-online.com/open/features/The-Next-Round-The-new-features-of-Linux-2-6-31-746619.html

Posted in Linux, News, PF_RING, Security | No Comments »

Installazione delle librerie PF_RING

maggio 31st, 2007 admin

In Linux, oltre alla guida messa a disposizione sul sito PF_RING è utile anche avere come riferimento la guida scritta da Bjoern Weiland (bjou) reperibile al link Advanced Packet Capturing Howto: PF_RING, NAPI and extended libpcap on Debian Sarge.

Durante l’installazione delle libpcap aggiornate con le pfring è necessario prestare attenzione al contenuto del README posto all’interno della directory /PF_RING/userland/libpcap-0.9.4-ring e in più bisogna aggiungere un’opzione al linker nel Makefile delle libpcap alla direttiva per la libpcap.so e cioè aggiungere -lpfring nella riga

ld -shared -o $@.`cat VERSION` $(OBJ)

che diventerà

ld -shared -o $@.`cat VERSION` $(OBJ) -lpfring.

In questo modo una volta controllate le dipendenze della libpcap.so.VERSION mediante il comando ldd si avrà nell’output anche la presenza di libpfring.so.VERSION.

Posted in Linux, Open Source, PF_RING, Security | No Comments »