Tecnologie di Sicurezza in Internet APPLICAZIONI Intrusion Detection & Prevention AA 2009-2010 Ingegneria Informatica e dell’Automazione.

Slides:



Advertisements
Presentazioni simili
DiFMon Distributed Flow Monitor Claudio Mazzariello, Francesco Oliviero, Dario Salvi.
Advertisements

1 Introduzione ai calcolatori Parte II Software di base.
Informatica e Telecomunicazioni
00 AN 1 Firewall Protezione tramite firewall.
Corso aggiornamento ASUR10
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Reti Informatiche.
I nuovi strumenti per la sicurezza degli ambienti ospedalieri
LE RETI INFORMATICHE.
Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
Introduzione all’analisi forense: metodologie e strumenti
Strategie per la sicurezza degli host e la sorveglianza delle reti Danilo Bruschi Mattia Monga Dipartimento di Informatica e Comunicazione Università degli.
Secure Shell Giulia Carboni
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
IDUL 2010 RETI E PROTOCOLLI. INTERNET.. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
IDUL 2012 RETI E PROTOCOLLI. INTERNET.. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
IDUL 2009 RETI E PROTOCOLLI. INTERNET. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto logico della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
Struttura dei sistemi operativi (panoramica)
Progetto Sicurezza 2 Fase di setup Prof. A. De Santis
Sistemi Operativi GESTIONE DEI PROCESSI.
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
Corso di Informatica per Giurisprudenza Lezione 7
Il sistema integrato per la sicurezza dei tuoi dati da attacchi interni alla rete Quanti software proteggono i tuoi dati dagli attacchi esterni alla rete?
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
INTRODUZIONE l sistema operativo è il primo software che lutente utilizza quando accende il computer; 1)Viene caricato nella memoria RAM con loperazione.
Norman Endpoint Protection Sicurezza all'avanguardia in tutta facilità!
L'ambiente informatico: Hardware e Software
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
La rete di istituto Maninder Bansal 5Bz Vital Ivo 5Bz Anno scolastico 2005/06.
VIRTUALIZZAZIONE Docente: Marco Sechi Modulo 1.
Agenti Mobili Intelligenti e Sicurezza Informatica
AICA Corso IT Administrator: modulo 4 AICA © EUCIP IT Administrator Modulo 4 - Uso Esperto della Rete Risoluzione dei Problemi e Analisi del Traffico.
ECDL per TUTTI con I Simpson Azzurra & Silvia.
Configurazione di una rete Windows
Claudio Telmon - Strumenti di difesa -1 © Claudio Telmon, 1999 Le tecnologie per la difesa Claudio Telmon Claudio Telmon.
A cura di: Huber Roberto, Zaharulko Nicola, Debernardi Daniele.
I processi.
Sicurezza nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna Riunione Referenti – Bologna 17 Novembre 2003 –
Capitolo 8 La gestione di rete
IDUL 2013 RETI E PROTOCOLLI. INTERNET.. IDEE PRINCIPALI IN QUESTA LEZIONE Reti: Aspetto ‘logico’ della rete e tipologie: peer-to-peer, a hub, a bus Trasmissione.
Reti di computer Condivisione di risorse e
OSSEC HIDS, Host Based Intrusion Detection System
1 Sommario degli argomenti  Sistemi operativi: DOS, Unix/Linux,Windows  Word processors: Word  Fogli elettronici: Excel  Reti: TCP/IP, Internet, ftp,
SMTP Sniffing for Intrusion Detection Purposes Gianluca Papaleo Consiglio Nazionale delle Ricerche Istituto di Elettronica.
Ingegneria del software Modulo 1 -Introduzione al processo software Unità didattica 6 - Gestione della configurazione software Ernesto Damiani Università.
INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.
Tecnologie di Sicurezza in Internet APPLICAZIONI FYI 8: The Site Security Handbook AA Ingegneria Informatica e dell’Automazione.
Sistemi di elaborazione dell’informazione Modulo 2 - Protocolli di rete TCP/IP Unità didattica 4 -Gestione degli indirizzi Ernesto Damiani Lezione 3 –
Tecnologie di Sicurezza in Internet APPLICAZIONI AA Ingegneria Informatica e dell’Automazione programma.
Sistemi di elaborazione dell’informazione Modulo 3 -Protocolli applicativi Unità didattica 5 -Amministrazione remota Ernesto Damiani Lezione 1 – Gestione.
Corso di Laurea in Biotecnologie corso di Informatica Paolo Mereghetti DISCo – Dipartimento di Informatica, Sistemistica e Comunicazione.
Sicurezza delle reti informatiche: come, dove e perchè
Concetti di base Computer, HW e SW
Luca Tampieri - INFN Firenze1 Intrusion Detection Systems Cosa sono gli Intrusion Detection Systems (IDS) e a cosa servono Snort Demarc, Acid e SnortSnarf.
Software di Packet-Filtering e Port-Filtering su reti TCP/IP Come filtrare il traffico di rete in transito sulle interfacce presenti, frapponendosi tra.
Sicurezza e attacchi informatici
Aditech Life Acquisizione Parametri Monitoraggio Live da remoto
GESTIONE RETI TCP/IP l troubleshooting è necessario per risolvere molti problemi che si possono verificare all'interno di una rete, una delle aspirazioni.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Le basi di dati.
Progetti 2015/2016. Proj1: Traduzione di regole snort in regole iptables Snort: – analizza i pacchetti che transitano in rete, confrontandoli con un database.
23 dicembre SICUREZZA DEL NETWORKING Analisi del livello di sicurezza dell’infrastruttura di rete.
Prof. Giuseppe Mastronardi 1 SAM Security Account Manager debolezze ed hardening di Windows XP POLITECNICO DI BARI Sicurezza dei Sistemi Informatici.
Implementazioni di un analizzatore di protocollo Esistono quattro fondamentali tradeoff per la realizzazione di un analizzatore di protocollo:  Analisi.
La Famiglia di Prodotti Network Analyzer. L’analizzatore J6801A DNA è un probe di cattura dati ultra leggero che comprende un sistema di acquisizione.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Tecnologie di Sicurezza in Internet APPLICAZIONI Nozioni preliminari AA Ingegneria Informatica e dell’Automazione.
Raccogliere informazioni ALCUNE DOMANDE FONDAMENTALI È stato modificato qualche componente HW o SW? Il sintomo si presenta regolarmente o ad intermittenza?
Triggers and actions L’inizializzazione di un trigger permette di avviare delle azioni automatiche a partire da eventi significativi. Possibili azioni.
Sono stati sperimentati software in grado di rilevare se sono stati compromessi determinati componenti di un sistema operativo.
Transcript della presentazione:

Tecnologie di Sicurezza in Internet APPLICAZIONI Intrusion Detection & Prevention AA Ingegneria Informatica e dell’Automazione

Tecnologie di Sicurezza in Internet: applicazioni – AA – B80/2 Definizione Con Intrusion Detection si identificano arti e tecniche per scoprire attività anomale, scorrette o non appropriate nei sistemi. Intrusion Detection Systems Host-based, Network-based, Stack-based. Statistical detection, pattern-matching detection.

Tecnologie di Sicurezza in Internet: applicazioni – AA – B80/3 NIDS Network-based Intrusion Detection Systems Catturano il traffico che passa sulla rete. Filtro di primo livello --> identifica il traffico da analizzare Secondo livello --> analizzatore di attacchi Terzo livello --> modulo di intervento

Tecnologie di Sicurezza in Internet: applicazioni – AA – B80/4 NIDS Punti di forza: Costi modesti Analizzatore di pacchetti Registrano gli attacchi Evidenziano gli attacchi Identificazione e risposta real-time Usi complementari e verifiche di policy Indipendenza da OS

Tecnologie di Sicurezza in Internet: applicazioni – AA – B80/5 HIDS Host-based Intrusion Detection Systems Fanno un auditing sistematico dei log di sistema. Real-time vs scheduled auditing Tracciano I/O, Process, Port e Network activity Modulo di analisi, modulo di intervento

Tecnologie di Sicurezza in Internet: applicazioni – AA – B80/6 Integrity checkers Un tipo di host-based IDS è l'integrity checker. tripwire Falsi positivi

Tecnologie di Sicurezza in Internet: applicazioni – AA – B80/7 SIDS Un ibrido dei precedenti due sistemi è costituito dagli Stack-based Intrusion Detection Systems Analizzano il traffico di rete pertinente a un singolo sistema Vi è un solo modulo di filtro+analisi realizzato come estensione dello stack TCP/IP (si aggancia agli hook dello stack) Inbound, outbound & local activity E' piuttosto leggero, ma occorre una console centralizzata per la gestione di sistemi multipli

Tecnologie di Sicurezza in Internet: applicazioni – AA – B80/8 {H,S}IDS Punti di forza: Verifica degli attacchi Verifica di attività specifiche del sistema Reti switched Crittografia Monitoraggio di componenti chiave Identificazione e risposta in near real-time o real-time Nessun hardware aggiuntivo

Tecnologie di Sicurezza in Internet: applicazioni – AA – B80/9 Configurazioni miste Una soluzione particolarmente efficace consiste nell’adottare una miscela delle tipologie di IDS descritte, che consentirebbe di identificare attacchi complessi correlando nel tempo eventi separati. Esempi: Telnet (N), su root (H), kill syslog (H) Port scan (N), cgi-bin attack (N), HTML defacement (H) port scan (N), sendmail attack (N), rootkiit install & exec (H)

Tecnologie di Sicurezza in Internet: applicazioni – AA – B80/10 Network media Per esempio si può inserire un HUB tra il sistema da analizzare e lo switch. All'hub si collega il NIDS. Pros: Semplice ed economico Cons: Interferisce troppo con il sistema analizzato: il management dell'IDS genera collisioni sull'HUB Gli HUB sono a basso costo  failures Poco o non applicabile per sistemi multipli, su GbE o dove il traffico complessivo è elevato Nelle reti switched occorrono soluzioni per installare i NIDS

Tecnologie di Sicurezza in Internet: applicazioni – AA – B80/11 Network media SWITCH: si usa un TAP a cui si collega il NIDS Pros: Fault tolerant Nessun impatto sul traffico Disaccoppia la rete dal NIDS Nessun degrado di prestazioni Cons: Costoso Non si può collegare dappertutto e l’applicabilità dipende sostanzialmente dalla topologia dei collegamenti

Tecnologie di Sicurezza in Internet: applicazioni – AA – B80/12 Network media SWITCH: si usa la SPAN, una porta a cui viene rediretto il traffico dello switch e a cui si collega il NIDS Pros: Nessuna modifica fisica alla rete Cons: Una sola SPAN per ogni switch, di solito Monitorando le (molte) altre porte la SPAN (e il NIDS) si sovraccarica Sovraccarico dello switch Configurazione stealth a due porte: il NIDS ha una porta di cattura senza protocolli bound e un’altra di gestione

Tecnologie di Sicurezza in Internet: applicazioni – AA – B80/13 SNORT E' un NIDS "leggero" capace di effettuare analisi e logging del traffico IP in tempo reale. Ha tre modi: sniffer, logger o NIDS. L'analisi si basa sulla tecnica del pattern matching. Quando analizza un pacchetto contenente certi pattern specificati nelle sue regole esegue l'azione ad essi associata (logging, alert…).

Tecnologie di Sicurezza in Internet: applicazioni – AA – B80/14 Intrusion Prevention Nel tempo gli IDS si sono rivelati poco utilizzabili. NIDS sono come guardiani all'ingresso di una Banca, cui è consegnato un pacco di fotografie di delinquenti: quando ne vedono uno suonano l'allarme HIDS sono come guardiani all'interno della cassaforte della Banca, che controllano che il contenuto sia ancora lì Il danno non si può evitare, finché non si dotano i guardiani di armi per impedire l'intrusione.

Tecnologie di Sicurezza in Internet: applicazioni – AA – B80/15 Intrusion Prevention Gli IDS sono poco efficaci anche per motivi legati alla complessità dei fenomeni controllati. Le regole di matching cambiano continuamente Per funzionare in modo utile, il riconoscitore ha bisogno di statefulness Servono tecniche di riconoscimento di anomalie a livello di protocolli continuamente aggiornate Servono tecniche di riconoscimento di anomalie su base statistica continuamente aggiornate Impegnano il team a essere "pronto all'azione"

Tecnologie di Sicurezza in Internet: applicazioni – AA – B80/16 Intrusion Prevention Gli IDS sono nati senza pensare alla prevenzione dell'intrusione, ma solamente all'identificazione, essenzialmente perché limitazioni hw e sw imponevano scelte di compromesso. Iniziano gli HIDS I NIDS nascono come IDS "estratti" dagli host Manca la potenza elaborativa necessaria La possibilità di prevenzione era negata dalla posizione nella rete.

Tecnologie di Sicurezza in Internet: applicazioni – AA – B80/17 Intrusion Prevention La tendenza dei NIPS è stata: sfruttare la crescente potenza elaborativa dei processori dedicati e degli ASIC ecc mettere la logica di detection negli switch di rete associare ad essa una (buona) logica di prevention (analisi + intervento) Quando un pacchetto entra nel sistema si prende una decisione "go/no-go“, nel caso più semplice, oppure si possono realizzare soluzioni più sofisticate implementando servizi di alto livello (content filtering, web o )

Tecnologie di Sicurezza in Internet: applicazioni – AA – B80/18 Intrusion Prevention La tendenza dei HIPS è stata: sfruttare la crescente potenza elaborativa dei processori dei computer agganciarsi a ogni hook che il sistema operativo (kernel, stack, ecc) fornisce associare logiche di prevention (analisi + intervento) appropriate, modulari, aggiornabili e monitorabili Per gestire una molteplicità di sistemi con queste caratteristiche occorre un sistema centrale di gestione Esempi tipici: antivirus e anti-malware in genere

Tecnologie di Sicurezza in Internet: applicazioni – AA – B80/19 LIDS E' un HIPS per Linux: Oltre alla identificazione delle intrusioni e alla loro notifica, protegge anche il sistema modificando le chiamate del kernel che sovrintendono le operazioni di I/O su directory, files e dispositivi fisici e che controllano i processi e applicandovi politiche di Mandatory Access Control. Include: un port scan detector protezione dei file protezione dei processi Access Control Lists

Tecnologie di Sicurezza in Internet: applicazioni – AA – B80/20 Riferimenti Intrusion Detection Systems ISS Howto Guide B. Laing, J. Alderson Intrusion Detection FAQ SANS Intrusion Detection is dead. Long live Intrusion Prevention! SANS GIAC Certification Practical T. D. Wickham