Pochi giorni fa abbiamo presentato un tool online per navigare con un account di posta anche sui siti non raggiungibili dal network aziendale, adesso è il momento di approfondire come analizzare tutte le attività svolte sul network locale, indipendentemente se si tratti di rete aziendale o di una rete ad uso domestico.
In questo compito che può sembrare arduo, giunge ad offrire il proprio valido aiuto l’applicativo Sax2 Intrusion Detection System, prodotto da Ax3soft.
Ax3soft Sax2 è un software professionale per il rilevamento delle intrusioni sui network: è in grado di analizzare i pacchetti dati che viaggiano sulla rete in tempo reale, di monitorare continuamente la rete, basandosi su un avanzato protocollo di analisi e rilevamento automatico.
Il modo con cui è concepito Sax2 IDS ne permette l’uso sia agli amministratori di rete ed agli esperti, ma anche agli utenti alle prime armi, in quanto il software è capace di isolare i problemi di rete e di proporre soluzioni sensate in modo comprensibile. Sax2 è capace di identificare i colli di bottiglia della rete, di analizzare l’uso della larghezza di banda, di rilevare le vulnerabilità ed eventuali violazioni alla sicurezza, intercettando e fermando eventuali attacchi perpetrati a danno della sicurezza delle proprie infrastrutture.
Agli amministratori di rete è concessa la possibilità di controllare direttamente le richieste HTTP, i messaggi email, i trasferimenti FTP, nonché le attività ed i messaggi scambiati sulla propria rete tramite gli instant messenger MSN e QQ.
I consulenti possono invece trarre vantaggio dall’uso di Sax2 IDS per risolvere rapidamente i problemi di rete lamentati dai clienti.
L’applicativo è disponibile in versione freeware per l’uso individuale o per le organizzazioni non profit o comunque con infrastrutture di piccola portata, mentre deve essere acquistato per un uso professionale. La versione gratuita, per quanto completa nelle funzionalità di base, non permette di personalizzare le policy di sicurezza, aggiornare automaticamente le policy della knowledge base e customizzare la risposta ad un evento. Inoltre, agli utenti non paganti non è fornita l’assistenza tecnica gratuita, non è data la possibilità di visionare tutti i dati di log e l’applicativo funziona ininterrottamente per sole 12 ore.
L’uso di Sax2 è davvero semplice e le funzionalità messe a disposizione dell’utente sono moltissime: fin dall’installazione si nota come sia il software ad occuparsi di tutto, senza problemi per l’utente. Per funzionare Sax2 richiede il pacchetto Microsoft Visual C++ 2008 Redistributable, che viene installato in caso di necessità direttamente dalla procedura di setup, senza che l’utente debba fare nulla, se non un semplice clic sui pulsanti di prosecuzione dell’installazione.
Nel caso si utilizzino sistemi operativi che sfruttano il controllo sugli account utenti e sui loro diritti, come ad esempio Windows 7 e Vista, l’applicativo dovrà essere eseguito con i privilegi dell’amministratore del sistema, altrimenti non funzionerà correttamente.
Per avviare il software è necessario registrarsi gratuitamente, cliccando sul link Register for a free code . Si verrà rimandati alla pagina di registrazione, dove inserire il nome e l’email. Al termine della procedura, un codice di attivazione gratuito verrà inviato all’indirizzo di posta indicato. Questo codice deve essere copiato nell’apposito spazio, per poi cliccare su Register ed avviare così il software.
Non appena si accede al programma, per lanciare il monitoraggio della rete è sufficiente cliccare sul pulsante Start e comparirà una finestra nella quale si chiede all’utente di scegliere su quale adapter di rete svolgere il controllo.
Nella sezione Node Explorer , fare clic destro e selezionare Show All Endpoint per visionare nel dettaglio tutti gli indirizzi IP della propria rete locale e tutti gli IP alla quale gli utenti volontariamente o meno stanno tentando di collegarsi. A questo punto, nella sezione centrale del programma saranno mostrate tutta una serie di statistiche relative all’analisi degli eventi ed al traffico svolto sulla rete. Le statistiche mostrate sono globali fino a quando nel quadro Nodes Explorer non si selezionare un determinato nodo delle rete: in questo caso, le statistiche mostrate varranno solo ed esclusivamente per la macchina selezionata.
Cliccando sulla scheda Events , Sax2 informa l’amministratore di rete su tutti gli eventi che sono occorsi su un determinato nodo, classificando ogni accadimento come Critical , Warning , Notice o Information , in base alla gravità dell’evento. Per ogni informazione fornita, Sax2 provvede ad indicare l’IP di partenza e quello di destinazione della comunicazione oppure il MAC address. Sax2 offre un dettaglio dell’evento e nel pannello Help spiega cosa possa essere accaduto e come sistemare la configurazione di rete, affinché quanto rilevato non accada più.
Nel pannello Conversations , invece, è possibile vedere in tempo reale per tutti i nodi della rete o per un nodo specifico tutte le sessioni di scambio dati, ottenendo informazioni sull’IP di partenza della richiesta e la porta utilizzata per indirizzare tale richiesta, sull’IP di destinazione e la porta ricevente, sul protocollo di rete usato per gestire la richiesta, sugli eventi associati e la loro classificazione, sullo stato della connessione fra i due nodi, sul numero dei pacchetti scambiati e i byte trasferiti. Questi dati possono essere esportati in un file txt, html o xls grazie alla funzione Export , associata al primo pulsante della barra che compare sotto la scritta Conversation . Sempre da qui è possibile visionare lo stream dei dati, cliccando sulla lente, oppure decidere di interrompere la comunicazione sospetta cliccando sull’ultimo pulsante Break .
Il pannello Logs fornisce invece all’utente informazioni più dettagliate sulle differenti connessioni originate dalla propria rete o dirette verso il network analizzato. Questi dati possono essere ulteriormente scremati e filtrati sulla base della tipologia di comunicazione alla quale si è interessati. Così è possibile scegliere se analizzare il traffico HTTP, quello email, i trasferimenti FTP o le transazioni MSN. Nel caso di analisi email o chat è possibile anche verificare il contenuto dei messaggi: per avvantaggiarsi di questa funzionalità è necessario attivare il salvataggio dei dati, cliccando su Analyzer/Email Analyzer e selezionando Yes sulla voce Save Email , indicando poi dove salvare le email in transito dalla voce Save Path . Allo stesso modo, per salvare il contenuto delle chat, è necessario impostare su Yes la voce Enable Log File che si trova in Analyzer/MSN Analyzer . Nel primo caso le email saranno salvate in formato eml e direttamente consultabili, mentre nel caso di MSN i dati della chat saranno conservati in un file di log con la data, l’orario, l’IP di inizio attività, l’account IM interessato ed il messaggio nel dettaglio.
Infine, cliccando su Policy si potrà accedere alle policy di sicurezza attive, anche se, come già detto, nella versione freeware non potranno essere modificate.
Sax2 IDS offre dunque tutta una serie di funzionalità, non tutte esplorabili in questa sede, ma che davvero permettono di tenere sotto controllo l’intera infrastruttura di rete.