La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 1 Intrusion Detection Systems Introduzione alle tecnologie per l'Intrusion.

Presentazioni simili


Presentazione sul tema: "Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 1 Intrusion Detection Systems Introduzione alle tecnologie per l'Intrusion."— Transcript della presentazione:

1 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 1 Intrusion Detection Systems Introduzione alle tecnologie per l'Intrusion Detection Alessandro jekil Tanasi LinuxDay Trieste

2 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 2 Il problema Mantenere il sistema informativo in sicurezza (in termini di confidenzialita', integrita' e disponibilita') Verificare l'adeguatezza delle sicurezze Controllo di reti e di hosts Identificazione delle violazioni alle policy

3 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 3 Monitoraggio Utilizzo di strumenti di monitoraggio evidenziano macroscopici usi anomali della rete aiutano a capire come la rete evolvera' Strumenti: SNMP mrtg [http://people.ee.ethz.ch/~oetiker/webtools/mrt g/]http://people.ee.ethz.ch/~oetiker/webtools/mrt g/ Cacti [http://www.cacti.net/]http://www.cacti.net/ NetFlow® flowtools [http://www.splintered.net/sw/flow- tools/]http://www.splintered.net/sw/flow- tools/ Stager [http://software.uninett.no/stager/]http://software.uninett.no/stager/

4 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 4 Monitoraggio : Esempi

5 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 5 Intrusion Detection Systems Intrusion detection systems analize information about the activity performed in a computer system or network, looking for evidence of malicious behaviours -- Anderson Sistemi per il monitoraggio di hosts e reti Rilevano anomalie e intrusioni (avvenute o tentativi) Segnalano condizioni particolari e comportamenti pericolosi Servono per verificare dove le sicurezze falliscono, non per sostituirle!

6 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 6 IDS Demystified Questo costa $cifrone, ma dopo sarai protetto da tutto e non dovrai fare niente, basta attaccarlo alla rete -- un commerciale Adesso che siamo protetti posso mettere share senza password -- un utente Quanto mi costa installare un IDS? Non mi serve la manutenzione, devo risparmiare -- un dirigente Gli IDS non sono magia Non risolvono tutti i problemi di sicurezza Non possono essere abbandonati a loro stessi

7 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 7 IDS : Tassonomia Sorgenti di dati: Host, Network Metodologia di rilevamento: Misuse detection basata su confronti con un database di firme (IDES, Russel) Anomaly detection rileva le deviazioni rispetto a un modello di comportamentale dell'utente profili statistici (STAT), auto apprendimento, data mining Analisi: online, in tempo reale offline, con procedure batch mista con trigger (ISOA)

8 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 8 IDS : Funzionamento Raccolta dati Analisi Report Architettura multi-tier livello di raccolta dati (sensori) logica di applicazione / base di dati console di analisi / presentazione report

9 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 9 Host Intrusion Detection Systems Sistema per il controllo delle attivita' del singolo host controllo completo del OS e degli applicativi rilevazione di rootkit e modifiche non autorizzate violazioni locali (segnalazione, bloccaggio) Difetti ogni host deve avere un HIDS visione locale dell'attacco

10 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 10 HIDS : Funzionamento Utilizzano tecniche di OS auditing e monitoring controllo dei processi definizione di acl, controllo delle system calls e dello stack controllo integrita' files stato, date, permessi, hash, ecc. log monitoring attraverso pattern matching in tempo reale o in modalita' batch

11 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 11 HIDS : Prodotti Log monitoring Swatch [http://swatch.sourceforge.net/]http://swatch.sourceforge.net/ Logwatch [http://www2.logwatch.org:8080/]http://www2.logwatch.org:8080/ File systems monitoring Aide [http://www.cs.tut.fi/~rammer/aide.html]http://www.cs.tut.fi/~rammer/aide.html Samhain [http://la-samhna.de/samhain/]http://la-samhna.de/samhain/ Tripwire [http://www.tripwire.com/]http://www.tripwire.com/ OS monitoring GrSecurity [http://www.grsecurity.net/]http://www.grsecurity.net/ SeLinux [http://www.nsa.gov/selinux/]http://www.nsa.gov/selinux/ Pax [http://pax.grsecurity.net/]http://pax.grsecurity.net/ Lids [http://www.lids.org/]http://www.lids.org/

12 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 12 Network Intrusion Detection Systems Sistemi per l'ispezione di flussi su segmenti di rete possono vigilare su molti hosts non invasivi sugli host e non alterano il traffico di rete permettono una visione globale dell'attacco Difetti carico computazionale e posizionamento sonde non ispezionano traffico cifrato non tutti gli attacchi arrivano dalla rete non hanno visione del contesto

13 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 13 NIDS: Funzionamento NIDS Esempio: piccola rete locale connessa a internet

14 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 14 NIDS : Prodotti Snort [http://www.snort.org/]http://www.snort.org/ Bro [http://bro-ids.org/]http://bro-ids.org/ Prelude-IDS (Hybrid IDS) [http://www.prelude-ids.org/]http://www.prelude-ids.org/ vari prodotti commerciali... Cisco [http://www.cisco.com]http://www.cisco.com ISS [http://www.iss.net]http://www.iss.net Dragon [http://www.enterasys.com/products/ids/]http://www.enterasys.com/products/ids/

15 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 15 Distributed Intrusion Detection Systems Correlazione e aggregazione tra log, HIDS e NIDS Visione globale degli eventi Gestione centralizzata

16 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 16 Intrusion Prevention Systems Modalita' reattiva secondo regole a algoritmi, intervento automatico Cooperazione tra apparati (NIDS, firewall, router) Difetti problemi in caso di falso positivo carico computazionale e prestazioni mancanza di contesto

17 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 17 IPS : Funzionamento Inline Interazione con il firewall o router Session snooping Endpoint (IPC) InlineInterazione con router

18 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 18 IPS : Prodotti Snort-inline [http://snort- inline.sourceforge.net/]http://snort- inline.sourceforge.net/ SnortSam [http://www.snortsam.net/]http://www.snortsam.net/ Snort Flexible Response [http://www.snort.org]http://www.snort.org HogWash [http://hogwash.sourceforge.net]http://hogwash.sourceforge.net mod_security [http://www.modsecurity.org/]http://www.modsecurity.org/ PSAD [http://freshmeat.net/projects/psad/]http://freshmeat.net/projects/psad/...tutti i prodotti commerciali si stanno muovendo verso tecnologie IPS

19 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 19 Real Time Network Awareness RNAs innovative technology constantly monitors all network assets(servers, routers, PCs, firewalls, wireless access points, etc.) and provides a persistent view -- verifica degli alert (security scanner) scanning attivo scanning reattivo integrazione tra componenti di terze parti Console Scanner

20 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 20 RNA : Prodotti Sourcefire [http://www.sourcefire.com/]http://www.sourcefire.com/ Tenable Lightning Console [http://www.tenablesecurity.com]http://www.tenablesecurity.com ISS Fusion [http://www.iss.net/]http://www.iss.net/ Cisco Threat Response [http://www.cisco.com]http://www.cisco.com

21 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 21 Security Information Management Gestione di grandi reti con molti apparati anche diversi che generano alert correlazione, normalizzazione e aggregazione risk management report unificati Prodotti OSSIM [http://www.ossim.net/]http://www.ossim.net/ CiscoWorks [http://www.cisco.com]http://www.cisco.com

22 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 22 Cosa ci riserva il futuro? maggiore affidabilita' e sensitivita' integrazione di sistemi, correlazione tra eventi e verifica degli alert utilizzo di tecniche di behavior engineering e algoritmi a rete neurale strumenti di intrusion detection che si adattano alle infrastrutture informatiche

23 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 23 Ma.....posso eludere un HIDS facendo girare un rootkit in memoria...posso evadere un NIDS utilizzando un'encoding particolare...posso... L'Intrusion Detection e' una corsa alle armi: personale specializzato deve occuparsi della sicurezza ogni giorno.

24 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 24 Conlusioni Abbiamo guadagnato controllo delle attivita' e dei flussi di rete alert e possibilita' di intervento in tempo reale Paghiamo con armi a doppio taglio controllo costante costi di amministrazione

25 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 25 Una panoramica sul mercato Sourcefire [http://www.sourcefire.com]http://www.sourcefire.com Lancope [http://www.lancope.com]http://www.lancope.com Arbor Networks [http://www.arbornetworks.com]http://www.arbornetworks.com Internet Security Systems [http://www.iss.net]http://www.iss.net Nfr Security [http://www.nfr.net/]http://www.nfr.net/ Cisco [http://www.cisco.com]http://www.cisco.com

26 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 26 Letture... Survey of intrusion detection research [http://www.ce.chalmers.se/~emilie/papers/Lundin_survey02.pdf]http://www.ce.chalmers.se/~emilie/papers/Lundin_survey02.pdf Intrusion detection systems [http://www.s0ftpj.org/docs/IDS_hackit02.pdf]http://www.s0ftpj.org/docs/IDS_hackit02.pdf Network intrusion detection [http://www.cert.garr.it/incontri/na/nids.pdf]http://www.cert.garr.it/incontri/na/nids.pdf Computer systems intrusion detection: a survey [http://www.cs.virginia.edu/~jones/IDS-research/Documents/jones- sielken-survey-v11.pdf]http://www.cs.virginia.edu/~jones/IDS-research/Documents/jones- sielken-survey-v11.pdf Intrusion detection systems list [http://www-rnks.informatik.tu- cottbus.de/en/security/ids.html]http://www-rnks.informatik.tu- cottbus.de/en/security/ids.html Beyond IDS: Essentials of Network Intrusion Prevention [http://www.rioco.co.uk/products/switches/DataSheet_Attack_Mitagator_ Wpaper.pdf]http://www.rioco.co.uk/products/switches/DataSheet_Attack_Mitagator_ Wpaper.pdf Intrusion prevention and active response, Syngress Intrusion detection and prevention, Mc Graw Hill

27 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 27 Domande

28 Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 28 Licenza d'uso di questo documento License to use this document Copyright © 2005 Alessandro Tanasi Questo documento viene rilasciato sotto licenza Alcoolware, la quale non è altro che una normale licenza Creative Commons Attribute-NonCommercial-ShareALike [http://creativecommons.org/licenses/by-nc-sa/2.0/] ma con l'aggiunta che se mi incontrate dobbiamo andare a bere qualcosa.http://creativecommons.org/licenses/by-nc-sa/2.0/ In sintesi è liberamente distribuibile per usi non commerciali, copiabile e modificabile purchè citiate l'autore e la fonte. Se volete distribuire questo documento sul vostro sito siete pregati per favore di comunicarmelo in modo che possa spedirvi le nuove versioni.


Scaricare ppt "Trieste, 26 novembre © 2005 – Alessandro jekil Tanasi Slide: 1 Intrusion Detection Systems Introduzione alle tecnologie per l'Intrusion."

Presentazioni simili


Annunci Google