La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Un sistema di Network Intrusion Detection basato su tcpdump Massimo Gravino INFN – Sezione di Padova I INFN Security Workshop Firenze 19-20 Settembre 2000.

PubblicatoVincenzo Maggio Modificato 9 anni fa

Presentazioni simili

Presentazione sul tema: "Un sistema di Network Intrusion Detection basato su tcpdump Massimo Gravino INFN – Sezione di Padova I INFN Security Workshop Firenze 19-20 Settembre 2000."— Transcript della presentazione:

1 Un sistema di Network Intrusion Detection basato su tcpdump Massimo Gravino INFN – Sezione di Padova I INFN Security Workshop Firenze 19-20 Settembre 2000

2 Perche` utilizzare un sistema di Network Intrusion Detection?

3 Tipici abusi a cui siamo esposti accesso non autorizzato ad un host compromissione del sistema Denial of Service mail spam utilizzo abusivo di anonymous ftp server virus, troiani,...

4 Come prevenirli ? filtri sul router tcp-wrappers chiusura servizi inutili filtri anti-spam antivirus eliminazione trasmissione password in chiaro ma.......

5 Un’intrusione nella LAN resta comunque un evento possibile e probabile si usano sistemi operativi intrinsecamente insicuri e/o non sempre configurati dal Servizio Calcolo gli utenti richiedono di utilizzare servizi insicuri i sistemi di autenticazione utilizzati (password) sono deboli tutti i sistemi operativi risultano prima o poi vulnerabili a chi riesce ad accedervi come utente locale

6 Un esempio: compromissione dell’account di root remota: mediante un servizio vulnerabile visibile all’esterno – e` possibile difendersi locale: accesso come utente non privilegiato (es. uso di password rubate) e successiva compromissione di root tramite un bug del software – indifendibile?

7 Cos’e` un sistema di Network Intrusion Detection ? E` un sistema di monitoraggio del traffico di rete con lo scopo di evidenziare eventi critici per la security Si puo` considerare come una valida estensione dei log di sistema

8 A cosa serve Permette di rivelare: network scan traffico sospetto (IRC bot, abusi di ftp anonymous, troiani, etc.) traffico che coinvolge host sospetti Puo` rivelare anche attacchi che originano da un host compromesso della nostra LAN Permette di effettuare analisi specifiche anche a distanza di tempo, per esempio ricontrollando il traffico riguardante particolari host o servizi

9 A cosa non serve a prevenire un’intrusione a prevenire un Denial of Service a rivelare intrusioni o attacchi provenienti dall’interno della LAN Non e` un sistema di protezione dalle intrusioni, ma di rivelazione delle intrusioni provenienti dall’esterno o di attacchi diretti verso l’esterno

10 SHADOW SANS’s Heuristic Analisys system for Defensive Online Warfare autori: Vicki Irwin, Stephen Northcutt, Bill Ralph (del Naval Surface Warfare Center) e SANS Institute http://www.nswc.navy.mil/ISSEC/CID/

11 DMZ LAN Internet Internet router hub sensor log collector Firewall SHADOW set up

12 LAN Internet Internet router hub sensor syslog collector SHADOW set up

13 Encapsulation application7Host ApacketsHost B7 presentation6:6 session5:5 transport4headerdata4 network3headerdata3 data link2headerdata2 physical1data1 network

14 Formato del pacchetto Ethernet preamble (7)SFD (1) destination address (6) source address (6) length (2) data: type (3) + data + padding min 46 bytes – max 1500 bytes Frame Check Sequence (4)

15 Formato del pacchetto IP vers.IHLtype of serv.total length (2) identification (2)-DMfragment offset TTL (1)protocol (1)header checksum (2) source address (4) destination address (4) data (variable)

16 Source port (2)Destination port (2) Sequence number (4) Acknowledgment number (4) Data offset Flags (6 bit) Window (2) Checksum (2)Urgent pointer (2) Options + padding (4) Data (variable) Formato del pacchetto TCP Flags: (byte 14, tcp[13]) bitflag 1FIN 2SYN 3RST 4PSH 5ACK 6URG

17 un pacchetto f0603889041a000d003e0000003e0000e000 b73460a8000002f8a4e800081045300018c6 0040063cfde954c0988f9e8616b8800a1700 9459009e0000 02700080517300000402 b405009e0003

18 un pacchetto f0603889041a000d003e0000003e0000e000 b73460a8000002f8a4e800081045300018c6 0040063cfde954c0988f9e8616b8800a1700 9459009e0000 02700080517300000402 b405009e0003 timeMAC dest.MAC source fragIP sourceIP dest.s ptd pt flag

19 tcpdump raccoglie da un’interfaccia di rete i pacchetti che soddisfano un criterio booleano e ne stampa l’header puo` salvare i pacchetti in un file puo` leggere l’input da un file invece che dall’interfaccia di rete

20 un pacchetto f0603889041a000d003e0000003e0000e000 b73460a8000002f8a4e800081045300018c6 0040063cfde954c0988f9e8616b8800a1700 9459009e0000 02700080517300000402 b405009e0003 948564064.853018 0:0:f8:2:e8:a4 0:e0:34:b7:a8:60 ip 62: 192.84.143.152.2688 > 134.158.184.22.telnet: S 1502912000:1502912000(0) win 32768 (DF) [tos 0x10]

21 Caratteristiche tecniche del sensore utilizzato a PD hardware Pentium II 450 MHz – RAM 128MB HD 18GB EIDE per i dati – NIC 3Com 3C905C software Linux RedHat 5.2 – kernel 2.0.36 libpcap 0.4 tcpdump 3.4

22 Funzionamento Basato su una serie di script (shell o perl) e di filtri utilizzati da tcpdump. Compiti svolti: raccolta dati analisi e log riduzione dei dati controllo spazio disco

23 daemons analyzer filter cleaner c’e` lavoro da fare? sleep 300 lavora si no i daemons sono attivati con l’opzione respawn tramite inittab

24 crontrab ogni ora: chiude una sessione di tcpdump e lancia la successiva copia il file di dati appena chiuso nella directory dell’“analyzer” sposta il file acquisito 48 ore prima nella directory di lavoro del “filter”

25 LAN Internet router esempio di LAN 193.205.1.0 193.205.2.0 sensor

26 processo di acquisizione tcpdump -i eth0 -F $FILTER -w – 2>>$err | gzip > $TCPLOG

27 filtro di acquisizione ((dst net 193.205.1 or dst net 193.205.2) and not (src net 193.205.1 or src net 193.205.2) or ((src net 193.205.1 or src net 193.205.2) and not (dst net 193.205.1 or dst net 193.205.2))

28 raccolta dati tcpdump gzip rete dati recenti filtro acquisizione ogni ora il file di dati viene chiuso e ne viene aperto uno nuovo dati da analizzare

29 analyzer e filter ci sono files nella dir di lavoro? sleep 300 lavora si no

30 analisi dati (analyzer) tcpdump gunzip dati da analizzare filtri di analisi ricerca eventi critici syslog ricerca top talkers ogni ora il file appena acquisito viene processato top talkers tcpdump

31 un filtro di analisi tcp and (tcp[13] & 2 != 0) and (dst port 21 or dst port 22 or dst port 23 or dst port 110 or dst port 143) and (dst net 193.205.1 or dst net 193.205.2)

32 Source port (2)Destination port (2) Sequence number (4) Acknowledgment number (4) Data offset Flags (6 bit) Window (2) Checksum (2)Urgent pointer (2) Options + padding (4) Data (variable) Formato del pacchetto TCP Flags: (byte 14, tcp[13]) bitflag 1FIN 2SYN 3RST 4PSH 5ACK 6URG

33 altri filtri ip[6:2] & 0x2000 != 0 ip[6:2] & 0x1fff > 0 ip and ip[12:4] = ip[16:4] ip and ip[19] = 0xff icmp[0] != 8 and icmp[0] != 0 tcp and (tcp[13] & 3 != 0) tcp and (tcp[13] & 3 = 3)

34 Formato del pacchetto IP vers.IHLtype of serv.total length (2) identification (2)-DMfragment offset TTL (1)protocol (1)header checksum (2) source address (4) destination address (4) data (variable)

35 riduzione dati (filter) tcpdump gzip dati da ridurre ricerca trusted top talkers e costruzione filtro ogni ora il file acquisito 48 ore prima viene spostato tra i dati da ridurre filtro riduzione gunzip top talkers archivio

36 cleaner ci sono meno di 500 MB liberi? sleep 300 lavora si no

37 Archivio Condizioni di utilizzo: spazio disco per i dati : 18 GB traffico medio con l’esterno di 2/3 Mb/s filtri di riduzione aggiornati massima lunghezza acquisita per ogni pacchetto: 68 byte In queste condizioni si riesce a conservare online il traffico di un paio di mesi

38 Sviluppi futuri... Anzi, problemi futuri: Il traffico di rete e` destinato ad aumentare esponenzialmente (GARR-G, Gigabit ethernet) Le LAN evolvono verso una sempre maggiore complessita` (routing interno alla LAN)

39 Implicazioni legali E` il caso di avvertire i nostri utenti che e` attivo un sistema di monitoraggio del traffico?

40 codice penale: art 617quater (aggiunto dall’art. 6 L. 23/12/93, n.547) Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche Chiunque fraudolentemente intercetta comunicazioni relative a un sistema informatico o telematico o intercorrenti tra piu` sistemi, ovvero le impedisce o le interrompe, e` punito con la reclusione da sei mesi a 4 anni. Salvo che il fatto costituisca piu` grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma.....

41 SHADOW http://www.nswc.navy.mil/ISSEC/CID/ http://www.nswc.navy.mil/ISSEC/CID/step.htm http://www.nswc.navy.mil/ISSEC/CID/step_tar.gz The SANS Institute http://www.sans.org Network Intrusion Detection FAQ http://www.robertgraham.com/pubs/network-intrusion-detection.html http://www-rnks.informatik.tu-cottbus.de/~sobirey/ids.html http://www.sans.org/newlook/resources/IDFAQ/ID_FAQ.htm Questa presentazione http://www.pd.infn.it/~gravino/computing/security/meeting/ Riferimenti

Scaricare ppt "Un sistema di Network Intrusion Detection basato su tcpdump Massimo Gravino INFN – Sezione di Padova I INFN Security Workshop Firenze 19-20 Settembre 2000."

Presentazioni simili

DiFMon Distributed Flow Monitor Claudio Mazzariello, Francesco Oliviero, Dario Salvi.

DiFMon Distributed Flow Monitor Claudio Mazzariello, Francesco Oliviero, Dario Salvi.
Indirizzamento LAN e ARP

Indirizzamento LAN e ARP
Linux e la sicurezza Computer crimes e tutela della privacy

Linux e la sicurezza Computer crimes e tutela della privacy
Sniffing.

Sniffing.
Tecnologie. Reti locati e reti globali Reti locali (LAN, Local Area Networks) –Nodi su aree limitate (ufficio, piano, dipartimento) Reti globali (reti.

Tecnologie. Reti locati e reti globali Reti locali (LAN, Local Area Networks) –Nodi su aree limitate (ufficio, piano, dipartimento) Reti globali (reti.
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.

ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
La riduzione dei privilegi in Windows

La riduzione dei privilegi in Windows
Corso di laurea in INFORMATICA RETI di CALCOLATORI A.A. 2003/2004 Messaggi di errore e di controllo Alberto Polzonetti

Corso di laurea in INFORMATICA RETI di CALCOLATORI A.A. 2003/2004 Messaggi di errore e di controllo Alberto Polzonetti
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.

Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
INTERNET FIREWALL Bastion host Laura Ricci.

INTERNET FIREWALL Bastion host Laura Ricci.
1 I KEYLOGGERS COSA SONO CONTROMISURE UN ESEMPIO.

1 I KEYLOGGERS COSA SONO CONTROMISURE UN ESEMPIO.
Tecnologie di Sviluppo per il Web

Tecnologie di Sviluppo per il Web
IL NOSTRO LABORATORIO. Di INFORMATICA.. Presentazione: Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:

IL NOSTRO LABORATORIO. Di INFORMATICA.. Presentazione: Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
IL NOSTRO LABORATORIO Di INFORMATICA. Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche: Sistema.

IL NOSTRO LABORATORIO Di INFORMATICA. Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche: Sistema.
Di INFORMATICA IL NOSTRO LABORATORIO. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:

Di INFORMATICA IL NOSTRO LABORATORIO. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
IL NOSTRO LABORATORIO Di INFORMATICA. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:

IL NOSTRO LABORATORIO Di INFORMATICA. Presentazione Nel nostro laboratorio abbiamo 24 postazioni con dei computer di tipo Desktop con queste caratteristiche:
I modelli di riferimento OSI e TCP/IP

I modelli di riferimento OSI e TCP/IP
5-1 ATM Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© 1996-2003 All Rights Reserved)

5-1 ATM Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights Reserved)
La rete in dettaglio: rete esterna (edge): applicazioni e host

La rete in dettaglio: rete esterna (edge): applicazioni e host
Reti di Calcolatori Domande di riepilogo Quarta Esercitazione

Reti di Calcolatori Domande di riepilogo Quarta Esercitazione

Presentazioni simili

Annunci Google