Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi [email protected] Slide: 1 Intrusion...

Trieste, 26 novembre

© 2005 – Alessandro “jekil” [email protected]

Slide: 1

Intrusion Detection Systems

Introduzione alle tecnologie per l'Intrusion Detection

Alessandro “jekil” [email protected]

LinuxDay 2005 - Trieste



Slide: 2

Il problema

➲ Mantenere il sistema informativo in sicurezza (in termini di confidenzialita', integrita' e disponibilita')

➲ Verificare l'adeguatezza delle sicurezze ➲ Controllo di reti e di hosts➲ Identificazione delle violazioni alle policy



Slide: 3

MonitoraggioUtilizzo di strumenti di monitoraggio➲ evidenziano macroscopici usi anomali

della rete➲ aiutano a capire come la rete evolvera'

Strumenti:➲ SNMP

mrtg [http://people.ee.ethz.ch/~oetiker/webtools/mrtg/]

Cacti [http://www.cacti.net/]➲ NetFlow®

flowtools [http://www.splintered.net/sw/flow-tools/]

Stager [http://software.uninett.no/stager/]



Slide: 4

Monitoraggio : Esempi



Slide: 5

Intrusion Detection Systems

“Intrusion detection systems analize information about the activity performed in a computer system or network, looking for evidence of malicious behaviours” -- Anderson

➲Sistemi per il monitoraggio di hosts e reti➲Rilevano anomalie e intrusioni (avvenute o tentativi)➲Segnalano condizioni particolari e comportamenti pericolosi➲Servono per verificare dove le sicurezze falliscono, non per sostituirle!



Slide: 6

IDS Demystified

➲ “Questo costa $cifrone, ma dopo sarai protetto da tutto e non dovrai fare niente, basta attaccarlo alla rete” -- un commerciale

➲ “Adesso che siamo protetti posso mettere share senza password” -- un utente

➲ “Quanto mi costa installare un IDS? Non mi serve la manutenzione, devo risparmiare” -- un dirigente

➲ Gli IDS non sono magia➲ Non risolvono tutti i problemi di sicurezza➲ Non possono essere abbandonati a loro

stessi



Slide: 7

IDS : Tassonomia➲ Sorgenti di dati: Host, Network➲ Metodologia di rilevamento:

Misuse detection basata su confronti con un database di firme (IDES,

Russel) Anomaly detection

rileva le deviazioni rispetto a un modello di comportamentale dell'utente

profili statistici (STAT), auto apprendimento, data mining

➲ Analisi: online, in tempo reale offline, con procedure batch mista con trigger (ISOA)



Slide: 8

IDS : Funzionamento

Raccolta dati

Analisi

Report

Architettura multi-tier livello di raccolta dati (sensori) logica di applicazione / base di dati console di analisi / presentazione report



Slide: 9

Host Intrusion Detection Systems

Sistema per il controllo delle attivita' del singolo host

➲ controllo completo del OS e degli applicativi➲ rilevazione di rootkit e modifiche non

autorizzate➲ violazioni locali (segnalazione, bloccaggio)

Difetti➲ ogni host deve avere un HIDS➲ visione locale dell'attacco



Slide: 10

HIDS : Funzionamento

Utilizzano tecniche di OS auditing e monitoring➲ controllo dei processi

definizione di acl, controllo delle system calls e dello stack

➲ controllo integrita' files stato, date, permessi, hash, ecc.

➲ log monitoring attraverso pattern matching in tempo reale o in modalita' batch



Slide: 11

HIDS : Prodotti➲ Log monitoring

Swatch [http://swatch.sourceforge.net/] Logwatch [

http://www2.logwatch.org:8080/]➲ File systems monitoring

Aide [http://www.cs.tut.fi/~rammer/aide.html]

Samhain [http://la-samhna.de/samhain/] Tripwire [http://www.tripwire.com/]

➲ OS monitoring GrSecurity [http://www.grsecurity.net/] SeLinux [http://www.nsa.gov/selinux/] Pax [http://pax.grsecurity.net/] Lids [http://www.lids.org/]



Slide: 12

Network Intrusion Detection Systems

Sistemi per l'ispezione di flussi su segmenti di rete➲possono vigilare su molti hosts➲non invasivi sugli host e non alterano il traffico di rete➲permettono una visione globale dell'attacco

Difetti➲carico computazionale e posizionamento sonde➲non ispezionano traffico cifrato➲non tutti gli attacchi arrivano dalla rete➲non hanno visione del contesto



Slide: 13

NIDS: Funzionamento

NIDS

Esempio: piccola rete locale connessa a internet



Slide: 14

NIDS : Prodotti

➲ Snort [http://www.snort.org/]➲ Bro [http://bro-ids.org/]➲ Prelude-IDS (Hybrid IDS) [

http://www.prelude-ids.org/]

vari prodotti commerciali...➲ Cisco [http://www.cisco.com]➲ ISS [http://www.iss.net]➲ Dragon [

http://www.enterasys.com/products/ids/]



Slide: 15

Distributed Intrusion Detection Systems

➲ Correlazione e aggregazione tra log, HIDS e NIDS

➲ Visione globale degli eventi➲ Gestione centralizzata



Slide: 16

Intrusion Prevention Systems

➲ Modalita' reattiva secondo regole a algoritmi, intervento automatico

➲ Cooperazione tra apparati (NIDS, firewall, router)

Difetti➲ problemi in caso di falso positivo➲ carico computazionale e prestazioni➲ mancanza di contesto



Slide: 17

IPS : Funzionamento

➲ Inline➲ Interazione con il firewall o router➲ Session snooping➲ Endpoint (IPC)

Inline Interazione con router



Slide: 18

IPS : Prodotti

➲ Snort-inline [http://snort-inline.sourceforge.net/]

➲ SnortSam [http://www.snortsam.net/]➲ Snort Flexible Response [

http://www.snort.org]➲ HogWash [http://hogwash.sourceforge.net]➲ mod_security [http://www.modsecurity.org/]➲ PSAD [http://freshmeat.net/projects/psad/]

➲ ...tutti i prodotti commerciali si stanno muovendo verso tecnologie IPS



Slide: 19

Real Time Network Awareness

“RNA’s innovative technology constantly monitors all network assets(servers, routers, PC’s, firewalls, wireless access points, etc.) and provides a persistent view” -- http://www.sourcefire.com

verifica degli alert (security scanner) scanning attivo scanning reattivo integrazione tra componenti di terze parti

ConsoleScanner



Slide: 20

RNA : Prodotti

➲ Sourcefire [http://www.sourcefire.com/]➲ Tenable Lightning Console [

http://www.tenablesecurity.com]➲ ISS Fusion [http://www.iss.net/]➲ Cisco Threat Response [

http://www.cisco.com]



Slide: 21

Security Information Management

Gestione di grandi reti con molti apparati anche diversi che generano alert➲correlazione, normalizzazione e aggregazione➲risk management➲report unificati

Prodotti➲OSSIM [http://www.ossim.net/]➲CiscoWorks [http://www.cisco.com]



Slide: 22

Cosa ci riserva il futuro?

➲ maggiore affidabilita' e sensitivita'➲ integrazione di sistemi, correlazione tra

eventi e verifica degli alert ➲ utilizzo di tecniche di behavior engineering e

algoritmi a rete neurale➲ strumenti di intrusion detection che si

adattano alle infrastrutture informatiche



Slide: 23

Ma..

➲ ...posso eludere un HIDS facendo girare un rootkit in memoria

➲ ...posso evadere un NIDS utilizzando un'encoding particolare

➲ ...posso...

L'Intrusion Detection e' una corsa alle armi: personale specializzato deve occuparsi della sicurezza ogni giorno.



Slide: 24

Conlusioni

Abbiamo guadagnato➲ controllo delle attivita' e dei flussi di rete➲ alert e possibilita' di intervento in tempo reale

Paghiamo con➲ armi a doppio taglio➲ controllo costante➲ costi di amministrazione



Slide: 25

Una panoramica sul mercato

➲ Sourcefire [http://www.sourcefire.com]➲ Lancope [http://www.lancope.com]➲ Arbor Networks [

http://www.arbornetworks.com]➲ Internet Security Systems [http://www.iss.net]➲ Nfr Security [http://www.nfr.net/]➲ Cisco [http://www.cisco.com]



Slide: 26

Letture...➲ Survey of intrusion detection research [

http://www.ce.chalmers.se/~emilie/papers/Lundin_survey02.pdf]➲ Intrusion detection systems [http://www.s0ftpj.org/docs/IDS_hackit02.pdf]➲ Network intrusion detection [http://www.cert.garr.it/incontri/na/nids.pdf]➲ Computer systems intrusion detection: a survey [

http://www.cs.virginia.edu/~jones/IDS-research/Documents/jones-sielken-survey-v11.pdf]

➲ Intrusion detection systems list [http://www-rnks.informatik.tu-cottbus.de/en/security/ids.html]

➲ Beyond IDS: Essentials of Network Intrusion Prevention [http://www.rioco.co.uk/products/switches/DataSheet_Attack_Mitagator_Wpaper.pdf]

➲ Intrusion prevention and active response, Syngress ➲ Intrusion detection and prevention, Mc Graw Hill



Slide: 27

Domande



Slide: 28

Licenza d'uso di questo documentoLicense to use this document

Copyright © 2005 Alessandro Tanasi

Questo documento viene rilasciato sotto licenza Alcoolware, la quale non è altro che una normale licenza Creative Commons Attribute-NonCommercial-ShareALike [http://creativecommons.org/licenses/by-nc-sa/2.0/] ma con l'aggiunta che se mi incontrate dobbiamo andare a bere qualcosa.

In sintesi è liberamente distribuibile per usi non commerciali, copiabile e modificabile purchè citiate l'autore e la fonte.

Se volete distribuire questo documento sul vostro sito siete pregati per favore di comunicarmelo in modo che possa spedirvi le nuove versioni.

Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi [email protected] Slide: 1 Intrusion...

Documents

Transcript of Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi [email protected] Slide: 1 Intrusion...