Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi [email protected] Slide: 1 Intrusion...
-
Upload
prospero-colli -
Category
Documents
-
view
216 -
download
2
Transcript of Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi [email protected] Slide: 1 Intrusion...
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 1
Intrusion Detection Systems
Introduzione alle tecnologie per l'Intrusion Detection
Alessandro “jekil” [email protected]
LinuxDay 2005 - Trieste
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 2
Il problema
➲ Mantenere il sistema informativo in sicurezza (in termini di confidenzialita', integrita' e disponibilita')
➲ Verificare l'adeguatezza delle sicurezze ➲ Controllo di reti e di hosts➲ Identificazione delle violazioni alle policy
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 3
MonitoraggioUtilizzo di strumenti di monitoraggio➲ evidenziano macroscopici usi anomali
della rete➲ aiutano a capire come la rete evolvera'
Strumenti:➲ SNMP
mrtg [http://people.ee.ethz.ch/~oetiker/webtools/mrtg/]
Cacti [http://www.cacti.net/]➲ NetFlow®
flowtools [http://www.splintered.net/sw/flow-tools/]
Stager [http://software.uninett.no/stager/]
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 5
Intrusion Detection Systems
“Intrusion detection systems analize information about the activity performed in a computer system or network, looking for evidence of malicious behaviours” -- Anderson
➲Sistemi per il monitoraggio di hosts e reti➲Rilevano anomalie e intrusioni (avvenute o tentativi)➲Segnalano condizioni particolari e comportamenti pericolosi➲Servono per verificare dove le sicurezze falliscono, non per sostituirle!
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 6
IDS Demystified
➲ “Questo costa $cifrone, ma dopo sarai protetto da tutto e non dovrai fare niente, basta attaccarlo alla rete” -- un commerciale
➲ “Adesso che siamo protetti posso mettere share senza password” -- un utente
➲ “Quanto mi costa installare un IDS? Non mi serve la manutenzione, devo risparmiare” -- un dirigente
➲ Gli IDS non sono magia➲ Non risolvono tutti i problemi di sicurezza➲ Non possono essere abbandonati a loro
stessi
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 7
IDS : Tassonomia➲ Sorgenti di dati: Host, Network➲ Metodologia di rilevamento:
Misuse detection basata su confronti con un database di firme (IDES,
Russel) Anomaly detection
rileva le deviazioni rispetto a un modello di comportamentale dell'utente
profili statistici (STAT), auto apprendimento, data mining
➲ Analisi: online, in tempo reale offline, con procedure batch mista con trigger (ISOA)
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 8
IDS : Funzionamento
Raccolta dati
Analisi
Report
Architettura multi-tier livello di raccolta dati (sensori) logica di applicazione / base di dati console di analisi / presentazione report
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 9
Host Intrusion Detection Systems
Sistema per il controllo delle attivita' del singolo host
➲ controllo completo del OS e degli applicativi➲ rilevazione di rootkit e modifiche non
autorizzate➲ violazioni locali (segnalazione, bloccaggio)
Difetti➲ ogni host deve avere un HIDS➲ visione locale dell'attacco
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 10
HIDS : Funzionamento
Utilizzano tecniche di OS auditing e monitoring➲ controllo dei processi
definizione di acl, controllo delle system calls e dello stack
➲ controllo integrita' files stato, date, permessi, hash, ecc.
➲ log monitoring attraverso pattern matching in tempo reale o in modalita' batch
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 11
HIDS : Prodotti➲ Log monitoring
Swatch [http://swatch.sourceforge.net/] Logwatch [
http://www2.logwatch.org:8080/]➲ File systems monitoring
Aide [http://www.cs.tut.fi/~rammer/aide.html]
Samhain [http://la-samhna.de/samhain/] Tripwire [http://www.tripwire.com/]
➲ OS monitoring GrSecurity [http://www.grsecurity.net/] SeLinux [http://www.nsa.gov/selinux/] Pax [http://pax.grsecurity.net/] Lids [http://www.lids.org/]
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 12
Network Intrusion Detection Systems
Sistemi per l'ispezione di flussi su segmenti di rete➲possono vigilare su molti hosts➲non invasivi sugli host e non alterano il traffico di rete➲permettono una visione globale dell'attacco
Difetti➲carico computazionale e posizionamento sonde➲non ispezionano traffico cifrato➲non tutti gli attacchi arrivano dalla rete➲non hanno visione del contesto
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 13
NIDS: Funzionamento
NIDS
Esempio: piccola rete locale connessa a internet
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 14
NIDS : Prodotti
➲ Snort [http://www.snort.org/]➲ Bro [http://bro-ids.org/]➲ Prelude-IDS (Hybrid IDS) [
http://www.prelude-ids.org/]
vari prodotti commerciali...➲ Cisco [http://www.cisco.com]➲ ISS [http://www.iss.net]➲ Dragon [
http://www.enterasys.com/products/ids/]
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 15
Distributed Intrusion Detection Systems
➲ Correlazione e aggregazione tra log, HIDS e NIDS
➲ Visione globale degli eventi➲ Gestione centralizzata
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 16
Intrusion Prevention Systems
➲ Modalita' reattiva secondo regole a algoritmi, intervento automatico
➲ Cooperazione tra apparati (NIDS, firewall, router)
Difetti➲ problemi in caso di falso positivo➲ carico computazionale e prestazioni➲ mancanza di contesto
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 17
IPS : Funzionamento
➲ Inline➲ Interazione con il firewall o router➲ Session snooping➲ Endpoint (IPC)
Inline Interazione con router
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 18
IPS : Prodotti
➲ Snort-inline [http://snort-inline.sourceforge.net/]
➲ SnortSam [http://www.snortsam.net/]➲ Snort Flexible Response [
http://www.snort.org]➲ HogWash [http://hogwash.sourceforge.net]➲ mod_security [http://www.modsecurity.org/]➲ PSAD [http://freshmeat.net/projects/psad/]
➲ ...tutti i prodotti commerciali si stanno muovendo verso tecnologie IPS
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 19
Real Time Network Awareness
“RNA’s innovative technology constantly monitors all network assets(servers, routers, PC’s, firewalls, wireless access points, etc.) and provides a persistent view” -- http://www.sourcefire.com
verifica degli alert (security scanner) scanning attivo scanning reattivo integrazione tra componenti di terze parti
ConsoleScanner
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 20
RNA : Prodotti
➲ Sourcefire [http://www.sourcefire.com/]➲ Tenable Lightning Console [
http://www.tenablesecurity.com]➲ ISS Fusion [http://www.iss.net/]➲ Cisco Threat Response [
http://www.cisco.com]
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 21
Security Information Management
Gestione di grandi reti con molti apparati anche diversi che generano alert➲correlazione, normalizzazione e aggregazione➲risk management➲report unificati
Prodotti➲OSSIM [http://www.ossim.net/]➲CiscoWorks [http://www.cisco.com]
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 22
Cosa ci riserva il futuro?
➲ maggiore affidabilita' e sensitivita'➲ integrazione di sistemi, correlazione tra
eventi e verifica degli alert ➲ utilizzo di tecniche di behavior engineering e
algoritmi a rete neurale➲ strumenti di intrusion detection che si
adattano alle infrastrutture informatiche
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 23
Ma..
➲ ...posso eludere un HIDS facendo girare un rootkit in memoria
➲ ...posso evadere un NIDS utilizzando un'encoding particolare
➲ ...posso...
L'Intrusion Detection e' una corsa alle armi: personale specializzato deve occuparsi della sicurezza ogni giorno.
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 24
Conlusioni
Abbiamo guadagnato➲ controllo delle attivita' e dei flussi di rete➲ alert e possibilita' di intervento in tempo reale
Paghiamo con➲ armi a doppio taglio➲ controllo costante➲ costi di amministrazione
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 25
Una panoramica sul mercato
➲ Sourcefire [http://www.sourcefire.com]➲ Lancope [http://www.lancope.com]➲ Arbor Networks [
http://www.arbornetworks.com]➲ Internet Security Systems [http://www.iss.net]➲ Nfr Security [http://www.nfr.net/]➲ Cisco [http://www.cisco.com]
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 26
Letture...➲ Survey of intrusion detection research [
http://www.ce.chalmers.se/~emilie/papers/Lundin_survey02.pdf]➲ Intrusion detection systems [http://www.s0ftpj.org/docs/IDS_hackit02.pdf]➲ Network intrusion detection [http://www.cert.garr.it/incontri/na/nids.pdf]➲ Computer systems intrusion detection: a survey [
http://www.cs.virginia.edu/~jones/IDS-research/Documents/jones-sielken-survey-v11.pdf]
➲ Intrusion detection systems list [http://www-rnks.informatik.tu-cottbus.de/en/security/ids.html]
➲ Beyond IDS: Essentials of Network Intrusion Prevention [http://www.rioco.co.uk/products/switches/DataSheet_Attack_Mitagator_Wpaper.pdf]
➲ Intrusion prevention and active response, Syngress ➲ Intrusion detection and prevention, Mc Graw Hill
Trieste, 26 novembre
© 2005 – Alessandro “jekil” [email protected]
Slide: 28
Licenza d'uso di questo documentoLicense to use this document
Copyright © 2005 Alessandro Tanasi
Questo documento viene rilasciato sotto licenza Alcoolware, la quale non è altro che una normale licenza Creative Commons Attribute-NonCommercial-ShareALike [http://creativecommons.org/licenses/by-nc-sa/2.0/] ma con l'aggiunta che se mi incontrate dobbiamo andare a bere qualcosa.
In sintesi è liberamente distribuibile per usi non commerciali, copiabile e modificabile purchè citiate l'autore e la fonte.
Se volete distribuire questo documento sul vostro sito siete pregati per favore di comunicarmelo in modo che possa spedirvi le nuove versioni.