SÃ©curitÃ© on To Linux and beyond !

Building Suricata under OpenBSD

Sun, 17 Apr 2011 08:17:35 +0000

Suricata 1.1beta2 has brought OpenBSD to the list of supported operating system. I’m a total newbie to OpenBSD so excuse me for the lack of respect of OpenBSD standards and usages in this documentation.

Here’s the different step, I’ve used to finalize the port starting from a fresh install of OpenBSD.

If you want to use source taken from git, you will need to install building tools:

pkg_add git libtool

automake and autoconf need to be installed to. For a OpenBSD 4.8, one can run:

Some new features of IPS mode in Suricata 1.1beta2

Wed, 13 Apr 2011 22:37:12 +0000

The IDS/IPS suricata has a native support for Netfilter queue. This brings IPS functionnalities to users running Suricata on Linux.

Suricata 1.1beta2 introduces a lot of new features related to the NFQ mode.

New stream inline mode

One of the main improvement of Suricata IPS mode is related with the new stream engine dedicated to inline. Victor Julien has a great blog post about it.

Multiqueue support

Suricata can now be started on multiple queue by using a comma separated list of queue identifier on the command line. The following syntax:

More about Suricata multithread performance

Tue, 15 Feb 2011 23:30:49 +0000

Following my preceding post on suricata multithread performance I’ve decided to continue to work on the subject.

By using perf-tool, I found out that when the number of detect threads was increasing, more and more time was used in a spin lock. One of the possible explanation is that the default running mode for pcap file (RunModeFilePcapAuto) is not optimal. The only decode thread take some time to treat the packets and he is not fast enough to send data to the multiple detect threads. This is triggering a lot of wait and a CPU usage increase. Following a discussion with Victor Julien, I decide to give a try to an alternate run mode for working on pcap file, RunModeFilePcapAutoFp.

Using Suricata with CUDA

Sun, 23 May 2010 19:10:25 +0000

Suricata is a next generation IDS/IPS engineÂ developedÂ by the Open Information Security Foundation.

This article describes the installation, setup and usage of Suricata with CUDA support on a Ubuntu 10.04 64bit. For 32 bit users, simply remove 64 occurances where you find them.

Preparation

You need to download both Developper driver and Cuda driver from nvidia website. I really mean both because Ubuntu nvidia drivers are not working with CUDA.

I’ve first downloaded and installed CUDA toolkit for Ubuntu 9.04. It was straightforward:

Lutter contre la faille DNS avec Netfilter

Mon, 14 Jul 2008 16:53:02 +0000

La dÃ©couverte rÃ©cente d’une mÃ©thode permettant d’exploiter des failles dans la plupart des implÃ©mentations DNS Ã fait beaucoup de bruits. J’en tiens pour preuve des articles dans ZDNET (Colmatage d’une faille de grande envergure sur les serveurs DNS), Le Monde et les Ã©chos.

Si l’on Ã©tudie ce qu’Ã©crit le CERT dans l’article Multiple DNS implementations vulnerable to cache poisoning, une mÃ©thode de contournement de la faille consiste Ã rendre alÃ©atoire le port source utilisÃ© pour les requÃªtes DNS.

PrÃ©sentation de ulogd2 et nf3d au SSTIC 2008

Tue, 10 Jun 2008 16:35:27 +0000

J’ai prÃ©sentÃ© Ulogd2 et nf3d lors de la rump session du SSTIC 2008.
AprÃ¨s une brÃ¨ve introduction sur l’architecture de ulogd2, j’ai montrÃ© le rÃ©sultat de mon travail sur la visualisation des connexions et des paquets logguÃ©s, nf3d.
Les slides sont disponibles.

Je me rend compte que je n’ai pas encore parlÃ© de nf3d ici. Il s’agit d’un logiciel reprÃ©sentant sur une vue 3D les connexions Netfilter et les paquets logguÃ©s. Comme une image vaut mieux qu’un long discours :

Wolfotrack ou comment gÃ©rer les connexions de Netfilter

Wed, 30 Apr 2008 21:57:17 +0000

AprÃ¨s des annÃ©es de dÃ©veloppements acharnÃ©s, l’interface ultime de gestion du suivi de connexions de Netfilter est enfin disponible :

Wolfotrack, c’est son nom, est une interface de gestion du suivi de connexions basÃ© sur wolfeinstein 3D. Chaque soldat rÃ©prÃ©sente une connexion et pour tuer une connexion, il suffit de tuer le soldat correspondant.

Interview dans le cadre des RMLLs

Fri, 25 Apr 2008 13:50:58 +0000

Je vais donner une confÃ©rence sur NuFW et les interactions entre espace utilisateur et noyau dans Netfilter lors des rencontres mondiales du logiciel libre 2008 Ã Mont-de-Marsans.

Dans ce cadre, Christophe Brocas m’a gentillement interviewÃ© par mail. L’interview est en ligne sur le site des RMLLs : Interview Ã‰ric Leblond.

Ã€ noter qu’une interview de l’excellent Pablo Neira est elle aussi disponible sur le site.

Spam et astuce d’affichage

Fri, 25 Apr 2008 07:21:55 +0000

J’ai reÃ§u ce spam qui semblait Ã premiÃ¨re vue avoir complÃ¨tement passÃ© indemne mes logiciels anti-spams. Le sujet notamment n’Ã©tait pas tagguÃ© *SPAM*. Enfin, je ne voyais pas qu’il Ã©tait tagguÃ© :

Received: by d10.nt.com (Postfix, from userid 0)
id D73C21E4490; Thu, 24 Apr 2008 23:03:13 +0200 (CEST)
To: XXXXXXXX@XXX.fr
Subject: Invitation XXXXXXXX 2008
Date: Thu, 24 Apr 2008 23:03:13 +0200
From: SPAMMER noreply@mailing.spam.com
Message-ID: 67190e93d75ec77aea41896d6c6d6f89@localhost.localdomain
X-Priority: 3
X-Mailer: EmailingSoft Powered [version 1.73]
MIME-Version: 1.0
Content-Type: text/html; charset=”iso-8859-1″
Content-Transfer-Encoding: quoted-printable
X-Spam-Score: 7.7 (+++++++)
Subject: *SPAM* Invitation XXXXXXXXX 2008

Fatiguant de gÃ©rer son pare-feu

Fri, 25 Apr 2008 05:49:02 +0000

Jusqu’ici la gestion de pare-feu c’Ã©tait difficille, il fallait gratter gratter :

Ã€ partir de lundi, Ã§a sera facile et amusant :

Plus d’informations Ã venir trÃ¨s bientÃ´t ! Les abonnÃ©s de la liste Netfilter seront les premiers avertis 😉

NuFW.Live fourni avec Linux Magazin Allemagne

Fri, 25 Apr 2008 00:10:13 +0000

Presque tout est dans le titre : NuFW.live 1.0.2 est le CD fourni avec le magazine Sonderheft Linux-Magazin 02/08 dont le titre est “Security – Sicher im Netz” :

Ce magazine est un trimestriel sur Linux qui me fait regretter mon faible niveau en allemand. Ce numÃ©ro sur la sÃ©curitÃ© semble en effet contenir des articles trÃ¨s intÃ©ressants que je suis quasiment incapable de dÃ©chiffrer.

Fri, 18 Apr 2008 09:36:20 +0000

Bon, Cisco avait annoncÃ© qu’il ne sortirait des alertes de sÃ©curitÃ©s que deux fois par an. Sauf si une alerte Ã©tait suffisamment sÃ©vÃ¨re ou critique pour justifier une modification d’agenda.

Il n’aura pas fallu longtemps : Une prise de contrÃ´le est rÃ©alisable sur le composant NAC de Cisco. La faille est prodigieuse, la clÃ© partagÃ© Ã©tait rÃ©cupÃ©rable dans les flux d’erreurs. Mais rassurons nous

Cisco has released free software updates that address this vulnerability.

NuFW Ã CansecWest 2008

Tue, 01 Apr 2008 15:35:21 +0000

Une fois n’est pas coutume, deux mots de la confÃ©rence sÃ©curitÃ© Cansecwest oÃ¹ deux de mes acolytes d’INL se sont rendus pour faire une confÃ©rence. Ils en ont profitÃ© pour faire une lightning talk sur NuFW :

Cisco en avance sur le poisson d’Avril et Halloween

Thu, 20 Mar 2008 07:16:17 +0000

La companie Cisco, leader des Ã©quipements rÃ©seau, a le sens de l’humour mais a aussi un problÃ¨me de calendrier. Elle a en effet annoncÃ© qu’Ã partir du 26 mars, les correctifs de sÃ©curitÃ© sur IOS ne seront publiÃ©s que deux fois par an, les 4eme mercredi du mois de mars et de septembre. Ã€ mon avis, ils devaient vouloir sortir l’annonce le premier avril pour faire une blague Ã leurs utilisateurs. J’imagine en effet Renault annoncer :

NuFW.Live : tester NuFW, c’est facile !

Mon, 21 Jan 2008 16:41:32 +0000

AprÃ¨s des annÃ©es de travail (et de documentation) sur NuFW, il restait tout de mÃªme difficile de tester le projet. Il existe maintenant une faÃ§on simple de le faire grÃ¢ce au Live CD NuFW.Live. BasÃ© sur knoppix, ce CD dÃ©veloppÃ© par INL, contient NuFW et l’ensemble des briques associÃ©s.

Un tutoriel simple permet de tester et de valider le fonctionnement de NuFW. Au final cela donne un NuFW qui marche en quelques clics et qui plus est avec les derniÃ¨res interfaces web :

Wanadoo, l’authentification et la porte ouverte

Mon, 24 Apr 2006 17:04:14 +0000

Soucieuse du confort de ses abonnÃ©s, wanadoo est beaucoup moins prÃ©occupÃ© par leur sÃ©curitÃ©. J’en tiens pour preuve leur politique d’authentification sur wanadoo.fr.

Si une requÃªte provient de l’adresse IP de l’ADSL de monsieur Dupont c’est forcÃ©ment monsieur Dupont qui est Ã l’origine de la requÃªte. On ne passe pas Ã Madame Dupont qui pourrait trÃ¨s bien elle-aussi vouloir consulter ses mails sur le webmail de wanadoo.fr. HÃ© oui, j’en sens certains mÃ©dusÃ©s, l’authentification est totale et va au moins jusqu’au webmail.