Luca Tampieri - INFN Firenze1 Intrusion Detection Systems Cosa sono gli Intrusion Detection Systems (IDS) e a cosa servono Snort Demarc, Acid e SnortSnarf.

Slides:



Advertisements
Presentazioni simili
B.P.M. Business Process Manager
Advertisements

VIA GIULIO RATTI, CREMONA – Tel. 0372/27524
CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.
Gestione Input Output A. Ferrari.
La riduzione dei privilegi in Windows
PHP.
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Hard disk.
Connessione con MySQL.
NESSUS.
Il Software: Obiettivi Programmare direttamente la macchina hardware è molto difficile: lutente dovrebbe conoscere lorganizzazione fisica del computer.
UNIVERSITÀ DEGLI STUDI DI BOLOGNA
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
Corso di Sicurezza su Reti II
Progetto Sicurezza 2 Fase di setup Prof. A. De Santis
2) Sistemi operativi Lab. Calc. AA2004/05 - cap.2.
Concetti introduttivi
Semplice prototipo di Building Automation con una rete Ethernet
Wireless Authentication
UN SISTEMA DI SUPPORTO ALLA DETERMINAZIONE DI ANOMALIE NEL TRAFFICO DI RETE Tesi di Laurea di: Luca VESCOVI Correlatori: Ing. Aldo Franco DRAGONI Ing.
Corso di Informatica per Giurisprudenza Lezione 7
COME TRASFERIRE I FILE IN LAVORAZIONE DA UNA CONSOLLE ALLALTRA TRAMITE SERVER La funzione è utile sia per lavorare su più computer, uno a casa e uno in.
Norman Endpoint Protection Sicurezza all'avanguardia in tutta facilità!
Modulo 1 - Hardware u.d. 3 (syllabus – 1.3.5)
Study Case Esempio di wireless sensor network in un vigneto
UN SOFTWARE PER LACQUISIZIONE E LA FRUIZIONE DEI DATI La Carta della salute dellagricoltore.
Modulo 1 - Concetti di base della Tecnologia dell'Informazione
STRUTTURA GENERALE DI UN ELABORATORE
La rete di istituto Maninder Bansal 5Bz Vital Ivo 5Bz Anno scolastico 2005/06.
U N INFRASTRUTTURA DI SUPPORTO PER SERVIZI DI FILE HOSTING Matteo Corvaro Matricola Corso di Reti di Calcolatori LS – Prof. A. Corradi A.A.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
AICA Corso IT Administrator: modulo 4 AICA © EUCIP IT Administrator Modulo 4 - Uso Esperto della Rete Risoluzione dei Problemi e Analisi del Traffico.
Sistemi Informativi sul Web
Modulo 2 - U.D. 3 - L.4 Ernesto Damiani - Sistemi di eleborazione dell'informazione.
Configurazione di una rete Windows
Amministrazione della rete: web server Apache
Reti di calcolatori LS Manni Tiziano  IT e nuovi scenari applicativi …  … portabilità dei dati …  … condivisione dati …  … disponibilità.
L’architettura a strati
MODULO 01 Unità didattica 04
Sicurezza nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna Riunione Referenti – Bologna 17 Novembre 2003 –
Capitolo 8 La gestione di rete
Francesco M. Taurino – INFM Napoli 1 Netdisco Gestione e controllo degli apparati di rete Workshop sulle problematiche di Calcolo.
Francesco M. Taurino 1 NESSUS IL Security Scanner.
InternetInternet Sede: Salvo D’acquisto 2010/2011 Docente: Vito Monno.
CMS per la scuola con JOOMLA
Database Elaborato da: Claudio Ciavarella & Marco Salvati.
Reti di computer Condivisione di risorse e
OSSEC HIDS, Host Based Intrusion Detection System
CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia.
Relatore: Prof. Ing. Stefano SalsanoLaureando: Flaminio Antonucci.
Reti di calcolatori Modulo 2 -Protocolli di rete TCP/IP Unità didattica 2 – Il protocollo TCP/IP Ernesto Damiani Università degli Studi di Milano - SSRI.
Sistemi operativi di rete Ing. A. Stile – Ing. L. Marchesano – 1/18.
Progetto e Realizzazione di un servizio di Chat Progetto di: Nicoli Leonardo Corso di: Reti di Calcolatori L-S.
Joomlahost.it1 Presentato da Fustini Alessandro Myslq DBA e Developer certified Joomlahost.it.
Corso integrato di Matematica, Informatica e Statistica Informatica di base Linea 1 Daniela Besozzi Dipartimento di Informatica e Comunicazione Università.
Informatica Lezione 8 Psicologia dello sviluppo e dell'educazione (laurea magistrale) Anno accademico:
Eprogram SIA V anno.
Sicurezza e attacchi informatici
GESTIONE RETI TCP/IP l troubleshooting è necessario per risolvere molti problemi che si possono verificare all'interno di una rete, una delle aspirazioni.
Specialist Security Solutions & Services Soluzioni in “real-time” per la gestione della sicurezza Alberto Dossena Product Marketing Manager.
Progetti 2015/2016. Proj1: Traduzione di regole snort in regole iptables Snort: – analizza i pacchetti che transitano in rete, confrontandoli con un database.
I sistemi operativi Funzioni principali e caratteristiche.
Il mondo del web Includere Digital-mente – Corso livello 4 docente: prof.ssa MANUELA MARSILI.
Implementazioni di un analizzatore di protocollo Esistono quattro fondamentali tradeoff per la realizzazione di un analizzatore di protocollo:  Analisi.
La Famiglia di Prodotti Network Analyzer. L’analizzatore J6801A DNA è un probe di cattura dati ultra leggero che comprende un sistema di acquisizione.
Dal problema al programma – ciclo di sviluppo del software La scrittura del programma è solo una delle fasi del processo di sviluppo di un'applicazione.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Firewall Next Steps Stefano Zani (INFN CNAF) CCR Roma, 14 Settembre 2015 Credit: Stephen Sauer 1.
IV Corso di formazione INFN per amministratori di siti GRID Tutorial di amministrazione DGAS Giuseppe Patania.
Triggers and actions L’inizializzazione di un trigger permette di avviare delle azioni automatiche a partire da eventi significativi. Possibili azioni.
Transcript della presentazione:

Luca Tampieri - INFN Firenze1 Intrusion Detection Systems Cosa sono gli Intrusion Detection Systems (IDS) e a cosa servono Snort Demarc, Acid e SnortSnarf Argus

Luca Tampieri - INFN Firenze2 Cosa sono gli IDS Gli IDS sono sistemi software (oppure hardware), che cercano di identificare intrusioni o tentativi di compromissione della sicurezza di computer o di reti. Un IDS è formato da tre componenti principali: -uno o più sensori, -un database, -un’unità che processa gli allarmi.

Luca Tampieri - INFN Firenze3 Alarm-Processing Unit (analyser & executor) Management Unit Visualisation Unit Database Sensors

Luca Tampieri - INFN Firenze4 Perchè usare gli IDS per rilevare attacchi o altre violazioni alla sicurezza che non sono prevenuti da altri sistemi; per fornire utili informazioni su intrusioni avvenute, fare diagnosi e correzioni di eventuali debolezze; eventualmente, per avere risposte automatiche come la chiusura di una connessione, l’aumento della sensibilità di un IDS o lo spegnimento di un host sotto attacco.

Luca Tampieri - INFN Firenze5 Come valutare un IDS Per valutare l’efficienza di un IDS è necessario conoscere due parametri: -accuratezza: allarmi corretti / allarmi totali; -completezza: allarmi corretti / numero delle intrusioni. IntrusionNo Intrusion IDS Alarm Allarme corretto Falso allarme (o falso positivo) IDS Rejection Rifiuto falso Rifiuto corretto

Luca Tampieri - INFN Firenze6 Snort Sono disponibili in rete diversi programmi che possono essere utilizzati come IDS, tuttavia molti sono a pagamento o ancora in versione beta. Snort è gratuito, testato, diffuso e ben supportato. Può funzionare sia come normale sniffer, sia come IDS. Se utilizzato in questo secondo modo, viene gestito dai seguenti file: snort.conf, classification.conf e da tutte le regole racchiuse negli *.rules. Gli alert possono essere salvati in binario in formato tcpdump, il che permette una maggiore velocità di scrittura e un minore utilizzo di spazio. Snort è quindi in grado di leggere i file in formato tcpdump per un’analisi posticipata.

Luca Tampieri - INFN Firenze7 snort.conf snort.conf contiene: alcune variabili come HOME_NET, HTTP_SEVERS, DNS_SERVERS e altre, importanti per una buona configurazione e per diminuire i falsi positivi; la configurazione dei preprocessori che permettono un’analisi più estesa dei pacchetti. la configurazione dell’output: per esempio verso un database. l’elenco delle regole da usare.

Luca Tampieri - INFN Firenze8 *.rules e classification.conf le rules sono gli strumenti per identificare i pacchetti che fanno scattare gli allarmi. due esempi: alert tcp $EXTERNAL_NET any -> $HOME_NET 8080 (msg:"SCAN Proxy attempt";flags:S; classtype:attempted-recon; sid:620; rev:1;) alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB- IIS cmd.exe access";flow:to_server; flags: A+;content:"cmd.exe"; nocase;classtype:web-application-attack;sid:1002; rev:3;) classification.conf contiene le priorità degli allarmi.

Luca Tampieri - INFN Firenze9 conclusioni su Snort Snort viene utilizzato come sensore e come Alarm-Processing Unit. per controllare il traffico di una rete deve vedere tutto il traffico che passa per il router. nel caso di reti fisiche diverse bisogna utilizzare più sensori (Network IDS). come utilizzare in maniera efficace questa grossa quantità di dati?

Luca Tampieri - INFN Firenze10 SnortSnarf SnortSnarf è un programma in Perl che prende i file di alert di Snort e produce un output html. non si ha un aggiornamento continuo degli alert.

Luca Tampieri - INFN Firenze11 Demarc Demarc è una management unit che utilizza diverse applicazioni per fornire i dati in tempo reale e in modo grafico; utilizza snort per i sensori e come analizzatore, Apache con OpenSSL, MySQL.

Luca Tampieri - INFN Firenze12 Demarc L’installazione è piuttosto laboriosa (versione 1.05) specialmente se alcune delle applicazioni necessarie a Demarc sono già presenti sul server; gli alert dei vari sensori sono ben configurabili; l’utilizzo dei servizi è user-friendly; è possibile fare ricerche e grafici per host, signature, porte e protocolli in diversi intervalli temporali.

Luca Tampieri - INFN Firenze13 Acid Acid fornisce una interfaccia grafica, basata su PHP, per analizzare gli eventi raccolti in un database; per i sensori e come analizzatore usa Snort; database: MySQL oppure PostgreSQL; web-server: va bene uno qualsiasi supportato da PHP (es: Apache).

Luca Tampieri - INFN Firenze14 Acid I servizi forniti da Acid sono molto simili a quelli di Demarc, con qualche opzione in meno; non è possibile configurare i sensori dall’interfaccia grafica in maniera centralizzata ma è necessario collegarsi al pc su cui si trovano; è maggiormente versatile, non avendo il controllo di tutti i componenti ma accedendo solo al database.

Luca Tampieri - INFN Firenze15 Argus Argus non è un IDS, perchè non analizza i pacchetti che riceve; registra protocollo, host e porta, sorgente e destinazione di tutte le connessioni; non registra il payload; scrive i dati in formato binario molto compatto; i dati possono essere analizzati tramite il comando ra e possono essere fatte statistiche con i comandi ramon e racount.

Luca Tampieri - INFN Firenze16 Confronti Snort può avere dei problemi se ha molti allarmi da registrare, in questo caso ne perde alcuni; Argus non elaborando i dati che riceve, registra quantità maggiori di pacchetti; Demarc è più completo e ricco di funzioni di Acid, però meno versatile.

Luca Tampieri - INFN Firenze17 Conclusioni Gli IDS e Argus, allo stato attuale, possono essere molto utili, in una fase post-attacco per capire le debolezze del sistema e cercare collegamenti tra gli host coinvolti nell’attacco. Pre-AttaccoAttaccoPost-Attacco Prime informazioni sulla rete Analisi dei bersagli Prove di accesso Copertura Attivazione Intrusione nel sistema Danno

Luca Tampieri - INFN Firenze18 Riferimenti Snort, SnortSnarf, Demarc, Acid, Argus,