Sicurezza delle reti Intrusione e Monitoraggio Giuseppe Stanghellini ITESRE - CNR - Bologna.

Slides:



Advertisements
Presentazioni simili
VIA GIULIO RATTI, CREMONA – Tel. 0372/27524
Advertisements

Sniffing.
Accesso ai dati su file LSA: Laboratorio di Sistemi Informativi Economico Aziendali Salvatore Ruggieri Dipartimento di Informatica, Università di Pisa.
RETI INFORMATICHE Una panoramica su Internet WS_FTP
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
Webb.it 2002 Fabio Busatto Linux Startup: configurazione sicura post installazione
INTERNET : ARPA sviluppa ARPANET (rete di computer per scopi militari)
1 I KEYLOGGERS COSA SONO CONTROMISURE UN ESEMPIO.
Organizzazione di una rete Windows 2003
2-1 Trasferimento di file: ftp Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights.
Giuseppe Fabio Fortugno.
NESSUS.
Cosè Internet E una rete che consente la comunicazione tra computer di diverso tipo dislocati in qualsiasi località del mondo.
La rete del futuro nellautonomia scolastica Sezione propedeutica I fondamentali e concetti di TCP/IP.
NetSaint: una soluzione OpenSource per il network monitoring
Secure Shell Giulia Carboni
UNIVERSITÀ DEGLI STUDI DI BOLOGNA
Modello del sistema di posta Elettronica
Architettura del World Wide Web
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
Struttura dei sistemi operativi (panoramica)
Corso di Sicurezza su Reti II
Progetto Sicurezza 2 Fase di setup Prof. A. De Santis
Il protocollo ftp.
GARR-CERT Il servizio istituito nel Marzo 1999, pienamente operativo da Giugno 1999; 7 unità: 1 a tempo pieno e 6 a tempo parziale, sede centrale a Firenze.
La Rete Configurazione di base della rete Configurazione di base della rete File system distribuiti File system distribuiti La sicurezza della rete La.
AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.
TCP_Wrapper Le richieste per un determinato servizio (ad. es. telnet, ftp, rsh, etc.) vengono soddisfatte soltanto se lindirizzo IP del richiedente rientra.
Concetti introduttivi
Corso di Laurea in Ingegneria Informatica Laboratorio di Sistemi Operativi II anno, III periodo 2 crediti 13 ore di lezione 16 ore di esercitazione.
RISORSE WEB Internet Per un uso consapevole delle risorse della Rete
4 Cosa è una rete? ã Punto di vista logico: sistema di dati ed utenti distribuito ã Punto di vista fisico: insieme di hardware, collegamenti, e protocolli.
Sistemi Operativi - Introduzione 1 Il sistema operativo UNIX Dettagli e comandi avanzati Niccolò Battezzati Politecnico di Torino Dip. Automatica e Informatica.
Sistemi Operativi - Introduzione 1 Informazioni utili Per avere una distribuzione linux sul proprio pc: 1.
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
INTERNET FIREWALL BASTION HOST.
FIREWALL: Proxy Systems Computer Security: 29/5/2001R. Ferraris.
Corso di Informatica per Giurisprudenza Lezione 7
Il sistema integrato per la sicurezza dei tuoi dati da attacchi interni alla rete Quanti software proteggono i tuoi dati dagli attacchi esterni alla rete?
La sicurezza può essere fornita in ciascuno degli strati: applicazione, trasporto, rete. Quando la sicurezza è fornita per uno specifico protocollo dello.
Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.
1 Installazione da rete Introduzione Configurazione del server NFS Cosa serve sul client Configurazione kickstart.
Guida IIS 6 A cura di Nicola Del Re.
L’applicazione integrata per la gestione proattiva delle reti IT
Amministrazione della rete
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
AICA Corso IT Administrator: modulo 4 AICA © EUCIP IT Administrator Modulo 4 - Uso Esperto della Rete Risoluzione dei Problemi e Analisi del Traffico.
Il Server web Laboratorio di Progettazione Web AA 2007/2008
Configurazione di una rete Windows
Amministrazione della rete: web server Apache
Lezione 1 Approccio al sistema operativo : la distribuzione Knoppix Live Cd Knoppix 3.6 Interfacce a caratteri e grafica: console e windows manager File.
Le reti di calcolatori ©Apogeo 2004.
Internet.
A cura di: Huber Roberto, Zaharulko Nicola, Debernardi Daniele.
File di log: importanza e analisi Seconda parte Yvette ‘vodka’ Agostini Valerio ‘Hypo’ Verde
FTP File Transfer Protocol
Indice Tematico Cos’è Internet Chi esegue gli attacchi e perché? Attacchi Tecniche di difesa Sicurezza nei pagamenti.
Introduzione alla ICT Security Appunti per la cl. V sez. H A cura del prof. Ing. Mario Catalano.
BSAFE/400 Gateway Gestione della Sicurezza IBM iSeries (AS/400) BSAFE/400 Gateway Valentino Nanni I/T Spec.iSeries.
Sicurezza nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna Riunione Referenti – Bologna 17 Novembre 2003 –
STAGE INVERNALE 2005 GESTIONE DI SISTEMI DI SICUREZZA INFORMATICA. A CURA DI: MARIO MASCIARELLI STUDENTI: DAMIANO PITOLLI FABIO NARDELLA.
Francesco M. Taurino 1 NESSUS IL Security Scanner.
OSSEC HIDS, Host Based Intrusion Detection System
Sistemi di elaborazione dell’informazione Modulo 3 - Protocolli applicativi Unità didattica 2 - Telnet, FTP e altri Ernesto Damiani Lezione 2 – Da FTP.
Luca Tampieri - INFN Firenze1 Intrusion Detection Systems Cosa sono gli Intrusion Detection Systems (IDS) e a cosa servono Snort Demarc, Acid e SnortSnarf.
LNL CMS M.Biasotto, Bologna, 28 maggio Upgrade farm a RH-7.3  Due anni fa la farm era stata installata usando una versione customizzata di ANIS.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Transcript della presentazione:

Sicurezza delle reti Intrusione e Monitoraggio Giuseppe Stanghellini ITESRE - CNR - Bologna

Introduzione I servizi di rete: La modalita' di abilitazione dei servizi in Unix. L'attacco: Tipi di attacco piu' comuni. La difesa: cosa possiamo fare. Il monitoraggio: Strumenti open source di monitoraggio reti e filesystem.

I Servizi (ftpd, telnetd, etc.) I Servizi: File di configurazione dei principali servizi, /etc/inetd.conf /etc/services /etc/exports /etc/ftp* /etc/rc.d Tramite questi file si abilitano/disabilitano praticamente tutti i servizi unix: una loro scorretta configurazione porta ad un sistema insicuro.

I servizi avviati al "boot" >cd /etc >ls -d rc* rc0.d/ rc2.d/ rc4.d/ rc6.d/ rc.d/ rc1.d/ rc3.d/ rc5.d/ > >ls rc3.d > >ls -l rc3.d/S60lpd lrwxrwxrwx 1 root root 13 Nov 10 08:27 rc3.d/S60lpd ->../init.d/lpd*

I Servizi attivati su richiesta # # inetd.confThis file describes the services that will be available #through the INETD TCP/IP super server. To re-configure #the running INETD process, edit this file, then send the #INETD process a SIGHUP signal. # # These are standard services. # ftpstreamtcpnowaitroot/usr/sbin/tcpdin.ftpd -l -a telnetstream tcp nowait root /usr/sbin/tcpdin.telnetd # # Shell, login, exec, comsat and talk are BSD protocols. # #shellstreamtcpnowaitroot/usr/sbin/tcpdin.rshd #loginstreamtcpnowaitroot/usr/sbin/tcpdin.rlogind #execstreamtcpnowaitroot/usr/sbin/tcpdin.rexecd #comsatdgramudpwaitroot/usr/sbin/tcpdin.comsat #talkdgramudpwaitroot/usr/sbin/tcpdin.talkd #ntalkdgramudpwaitroot/usr/sbin/tcpdin.ntalkd #dtalkstreamtcpwautnobody/usr/sbin/tcpdin.dtalkd # # Pop and imap mail services et al # #pop-2 stream tcp nowait root /usr/sbin/tcpdipop2d #pop-3 stream tcp nowait root /usr/sbin/tcpdipop3d

L'Attacco Due tipi di attacco, uno con utilizzo dei servizi dall'esterno, l'altro con intrusione vera e propria. Esempi di attacco di primo tipo: a) Accesso ad aree pubbliche ftp. b) Spamming di posta elettronica. c) "DOS denial of service."

L'Attacco Esempio di attacco di secondo tipo: Prima entrata tramite utente qualsiasi, anche con bassi privilegi, o tramite baco di sistema. Successivo sfruttamento di un baco di sistema per acquisire privilegi di root. Si trovano riferimenti che aiutano ad entrare in tutti i sistemi. Modifica di alcuni binari peculiari di Unix (/bin/login, /bin/ps, /bin/top, etc..) + (installazione di software dedicato: chat, ftp per scambio file, etc.)

Cosa vuole l'intruso Sostanzialmente vuole avere accesso a quante piu' reti possibile, a quanta piu' banda possibile, a quante piu' macchine possibili. Usa sempre le reti nel quale si e' introdotto per guadagnare l'accesso ad altre reti ("sniffaggio" dei pacchetti di telnet,ftp... da e verso altre reti.) Scansione di altre reti tramite portscan. Utilizzo di macchine molto potenti per il "cracking" delle password. Utilizzo delle macchine di cui si impadronisce per spamming di posta elettronica.

Il monitoraggio Due tipi di monitoraggio: a) Monitoraggio della rete a basso livello, per intercettare l'hacker all'atto della intromissione. b) Monitoraggio del sistema e della rete per intercettare l'hacker dopo che e' gia' entrato nel sistema. Il monitoraggio della rete si realizza con strumenti del tipo di tcpdump, ntop, arpwatch, ethereal o snort. Ntop: intercetta e registra tutto il traffico di rete, su tutti i protocolli e su tutte le porte. Dispone di un accesso tipo http ed e' molto facile da consultare. Arpwatch: Notifica tramite l'invio di un mail, la comparsa nella rete locale di ogni nuovo numero ip. (E' utile solo nel caso gli utilizzatori siano costanti).

Ethereal E' uno sniffer molto evoluto. Ha la stessa sintassi del tcpdump, e quindi e' in grado di filtrare il traffico sulla base di indirizzo ip, porta, protocollo, reti e sottoreti. Ha la capacita' di riassemblare i pacchetti di uno stream tcp e di visualizzarli in modalita' ASCII (utile per sniffare sessioni di telnet o ftp) Per contro ha bisogno di un hardware molto potente.

Che tipo di filtraggio e' possibile con ethereal Supponiamo di dover controllare tutto il traffico di una macchina verso l'esterno: host and not src and dst net Oppure di dover controllare delle determinate porte (telnet, ftp, e sendmail) port (25 or 23 or 21) Oppure una porta in uscita: dst port 8888

SNORT Snort: E' un vero e proprio IDS (Intrusion Detection System). E' programmabile tramite regole. E' molto veloce e raramente perde pacchetti. E' estremamente facile da compilare e da installare Esistono regole di monitoraggio gia' pronte per l'uso, tali regole vengono periodicamente aggiornate rendendo il programma abbastanza efficace nel diagnosticare gli attacchi (portscan, buffer overflow, etc).

Esempio di utilizzo di SNORT ================= Sintassi regole ===================== alert TCP any any <> any 8888 (msg:"Napster 8888 Data"; flags: PA; content: ".mp3"; nocase; ) alert TCP any any -> any 21 (msg:"IDS287 - FTP - Wuftp260 linux"; flags: PA; content: "|31C0 31DB 31C9 B046 CD80 31C0 31DB|"; ) ================= OUTPUT ===================== 11/21-16:08: [**] Napster 8888 Data [**] :1146 -> : /21-16:08: [**] MISC-WinGate-8080-Attempt [**] :1206 -> : /21-16:08: [**] Napster 8888 Data [**] :1146 -> : /21-16:08: [**] Napster 8888 Data [**] :8888 -> : /21-16:08: [**] Napster 8888 Data [**] :1277 -> : /21-16:08: [**] Napster 8888 Data [**] :8888 -> : /21-16:08: [**] Napster 8888 Data [**] :8888 -> : /21-16:08: [**] Napster 8888 Data [**] :1092 -> : /21-16:08: [**] Napster 8888 Data [**] :8888 -> : /21-16:46: [**] CVE WEB-count.cgi [**] :4092 -> :80 11/21-16:59: [**] IDS8 - TELNET - daemon-active [**] :23 -> : /21-17:00: [**] FrontPage-shtml.exe [**] :1078 -> :80 11/21-17:32: [**] IDS322 - FTP-nopassword [**] :3332 -> :21

Monitoraggio del sistema L'intruso una volta entrato e' causa di cambiamenti a livello di filesystem, molte sue operazione verranno registrate nei file di log (/var/log). Spesso la sua attivita' perturba anche il sistema a livello di filesystem, installa nuovi servizi, riconfigura i file di sistema (/etc), o addirittura cambia i binari critici (login, ps, top) con versioni proprie. Quindi: Monitorare il file system, soprattutto i binari e i file di configurazione e' un ottimo metodo per capire se un sistema e' stato compromesso. Per ottenere cio' esistono prodotti in commercio; come tripwire. Non e' pero' difficile scrivere in proprio delle routine dedicate che tengono una copia dei binari peculiari o un crc checksum, e li controllano periodicamente.

EXT2: Come difendersi in linux Il filesystem di Linux ci mette a disposizione uno strumento per impedire la modifica dei binari. Ci sono degli attributi estesi dei file che li possono rendere "immutable" o "append only". I comandi per modificare o visualizzare tali attributi sono "chattr" e "lsattr". Questa caratteristica combinata coi comandi: lcap CAP_LINUX_IMMUTABLE lcap CAP_SYS_RAWIO possono rendere determinati files e/o directory immutabili anche per l'utente root; una volta che lcap ha rimosso una capacita' dal kernel, non c'e' modo di riattivarla, a meno di un reboot della macchina. Quindi in sistemi opportunamente configurati si puo' ottenere che determinate strutture di directory non siano modificabili senza avere accesso fisico alla macchina e poterla controllare in modalita' single- user.

Su cosa possiamo utilizzare gli "extended attributes" chattr -R +i /bin /boot /lib /sbin chattr -R +i /usr/bin /usr/lib /usr/sbin chattr +a /var/log/messages /var/log/secure... Cose da non fare assolutamente: Cambiare gli attributi estesi sui file in /dev, /tmp.

Aumentiamo la sicurezza " Disattivazione di tutti i servizi non necessari. " Filtraggio (a livello di router o di firewall) di tutte le porte inutili (cosi' si diminuisce di molto l'appetibilita' della rete). " Verificare la presenza di patch e installare tutte quelle relative alla sicurezza (security patches). " Utilizzo (per Linux) delle caratteristiche LCAP + attributi estesi di EXT2. " Monitoraggio di rete e dei filesystem.

Considerazioni L'hackeraggio e' un fenomeno in aumento, oggi e' facile improvvisarsi hacker. E' relativamente facile reperire in internet le informazioni relative ai bachi di sistema. Questo consente a chi si occupa di sicurezza di avere una fonte di informazione sicura ed efficace. Il fenomeno si puo' combattere in piu' modi: patches, controllo, monitoraggio e filtraggio.

Riferimenti di partenza

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.