• Save
IENA
Upcoming SlideShare
Loading in...5
×
 

IENA

on

  • 795 views

Un modello alternativo per

Un modello alternativo per
la rivelazione delle
intrusioni in una rete locale.

Statistics

Views

Total Views
795
Views on SlideShare
795
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

IENA IENA Presentation Transcript

  • Security Day 2005 • Dott. Ing. Ramilli Marco aka eth0up – marco.ramilli@studio.unibo.it – eth0up@rrsecurity.info – marco.ramilli@mac.com • Dott. Ing. Calisesi Nicola – nicola.calisesi@studio.unibo.it Dott. Ing. Ramilli Marco 1
  • • http://cesena.ing2.unibo.it • CeSeNA (Cesena Security: Network & Application)è un gruppo di interesse sulla sicurezza informatica, sull apprendimento e sulla sperimentazione delle tematiche legate alla Security negli ambienti di rete e applicativi Dott. Ing. Ramilli Marco 2
  • • Obiettivi: – Apprendimento – Condivisione – Discussioni • Il tutto riguardante strettamente gli ambiti della sicurezza. Dott. Ing. Ramilli Marco 3
  • • Perché è nata CeSeNA ? – CeSeNA nasce per soddisfare il bisogno di conoscere più in dettaglio ciò che è la sicurezza, in ambito accademico. • Chi può registrarsi su CeSeNA ? – Chiunque abbia il badge universitario (non scaduto) :-) • Chi può partecipare attivamente al gruppo CeSeNA? – Tutti gli iscritti che abbiano offerto a CeSeNA un proprio contributo come articoli, recensioni, tesi inerenti alla sicurezza, ecc… – CeSeNA pubblicherà tutto il materiale dopo averne accertato l effettiva qualità. Dott. Ing. Ramilli Marco 4
  • • Fondatori e referenti: – Prof. Andrea Omicini – Prof. Walter Cerroni – Dott. Ing. Nazzareno Pompei – Dott. Ing. Marco Ramilli – Dott. Ing. Stefano Bianchini – Dott. Ing. Nicola Calisesi Dott. Ing. Ramilli Marco 5
  • • Quanti utenti (05-11-05) – 57 inscritti – 1528 visite ! – Siamo ancora giovani.. Ma promettenti!! Dott. Ing. Ramilli Marco 6
  • • Progetti – Portale HackMe (attualmente vanta di 10 missioni attive) • Lo scopo è quello di insegnare “giocando” cosa comporta un cattivo progetto di un portale web. – PerSeO ( Personal Security Operating System) • Sistema operativo Debian Base atto alla sicurezza informatica…. – Ecc…. Dott. Ing. Ramilli Marco 7
  • IENA Un modello alternativo per la rivelazione delle intrusioni in una rete locale. Dott. Ing. Ramilli Marco 8
  • OutLine. L odierna crescita di servizi distribuiti ha generato una vera e propria problematica nel settore informatico; se fino ad oggi le principali minacce alla sicurezza venivano dall infrastruttura di rete e dai S.O. la diffusione delle applicazioni Web, la condivisione di risorse, la possibilità di software auto aggiornanti, la nascita di pagine dinamiche, di WebServices e la realizzazione di script client-side hanno creato nuovi pericolosi obiettivi. Dott. Ing. Ramilli Marco 9
  • Tipologie di attacco. Information Gatering ( raccolta informazioni ) Know Vulnerability ( attacco alle applicazioni ) Cookie poisoning ( avvelenamento delle cookie ) SQL Injection ( attacco al data base ) Brute Force ( attacco di password ) Cross-Site scripting ( attacco all’ utente ) Session Fixation ( cambio di sessioni ) Denial of Service ( negazione di servizio ) Man In The Middle ( ridirezione di traffico ) Dott. Ing. Ramilli Marco 10
  • Tecniche di difesa. Progettare una rete solida e ben strutturata. Installazione di Firewall Installazione di Intrusion Detection System Installazione di Intrusion Prevention System Tecniche Forensi per il recovery di dati Monitoring di Arp Request. Utilizzo di validi modelli per l’ aggiornameto “della rete” Dott. Ing. Ramilli Marco 11
  • Modello ICT Attuale: Dott. Ing. Ramilli Marco 12
  • Visione. • Deve esistere un modello che elimina ( o che abbassa ) il livello di complessità del modello attuale. • Lo scopo del progetto IENA consiste nel rivedere la logica del paradigma attacco/difesa degli odierni sistemi di sicurezza, presentando un modello che trova il suo fondamento in un approccio opposto a quello fino ad ora adottato nelle politiche basate sul principio di “chiusura”. Dott. Ing. Ramilli Marco 13
  • Visione (2). • Astrarre il concetto di “aggiornamento” • Dimostrare che tanto più una rete è “aperta” tanto più è sicura • Aumentare il livello di sicurezza Sono obiettivi fondanti per IENA Dott. Ing. Ramilli Marco 14
  • Brevi sul Progetto (1). Introdurre IENA in un host, significa ingannare l attaccante. La IENA non vuole simulare un falso servizio ma si pone in ascolto verso la rete esterna avvisando l’amministratore di rete appena capta qualche segnale “fuori norma”. Dott. Ing. Ramilli Marco 15
  • Brevi sul Progetto (2). Behavioural Diagram. Dott. Ing. Ramilli Marco 16
  • Brevi sul Progetto (3). Activity Diagram Dott. Ing. Ramilli Marco 17
  • Brevi sul Progetto (4). Comportamento Client IENA Comportamento Server IENA Sistemi di Notifica Dott. Ing. Ramilli Marco 18
  • IENA V.S. HoneyPot. • Molti potrebbero confondere le due tecniche di difesa, in realtà sono differenti. IENA : HoneyPot : •Obiettivo: difesa •Obiettivo: Ricerca •Architettura: distribuita •Architettura: locale •Complessità tecnica: bassa •Complessità tecnica: alta •Processo: Leggero •Processo: pesante •Distribuzione su host: alta •Distribuzione su host: bassa Dott. Ing. Ramilli Marco 19
  • Modello con IENA. Dott. Ing. Ramilli Marco 20
  • Modello ICT Attuale: Dott. Ing. Ramilli Marco 21
  • GOALS. • Una rete che si auto-aggiorna Indipendentemente dal livello applicazione. – Astrazione del ramo con Loop infinito. • Proprio come un Agente, IENA preleva informazioni dall ambiente esterno (Internet) settando particolari permessi a run-time della rete. Dott. Ing. Ramilli Marco 22
  • Goals (2). • Tanto più una rete è “aperta” tanto più è sicura. – Di fatto ogni IENA è rappresentata da una particolare porta, agli occhi di un attaccante tante più IENE equivale a tante più porte, ergo a tanti più servizi. – Tanti più servizi attivi tanto è piu probabile che un attaccante “cada in trappola” Dott. Ing. Ramilli Marco 23
  • Implementazione. • Il server IENA è stato implementato utilizzando tecnologia C-UNIX ergo dipendente dalla piattaforma. • Il client IENA è stato implementato utilizzando una tecnologia platform indipendent, JAVA. Dott. Ing. Ramilli Marco 24
  • Sfruttando Nagios. • Il sistema di alerting che il server IENA scatena, viene avviato (nella versione attuale di IENA) da un noto tool come Nagios. • Nagios periodicamente confronta i log che IENA produce e ad ogni cambiamento forniscce un valido e immediato avviso allo amministratore di sistema. Dott. Ing. Ramilli Marco 25
  • Conclusioni. • IENA non ha la pretesa di essere la soluzione definitiva ad ogni problema riguardante la sicurezza informatica, ma assieme ad altri sistemi di sicurezza può contriburire ad innalzare notevolmente il livello di sicurezza di una rete. • Maggiori dettagli su IENA si possono trovare sul sito http://cesena.ing2.unibo.it • Per provare IENA si può scaricare il sistema operativo di CeSeNA Group PerSeO Dott. Ing. Ramilli Marco 26
  • Sviluppi Futuri. • Rendere più sicura la comunicazione tra IENA e Server-IENA • Utilizzo di apposite tecniche per il detect di stealth scan • Inserire un interfaccia grafica per rendere l ambiente più user-friendly • Implementazione di una rete IENA e Server- IENA basata su tecnologia Knock • Integrazione di IENA e Server-IENA con i moderni IDS e IPS Dott. Ing. Ramilli Marco 27
  • Un po di pratica Dott. Ing. Ramilli Marco 28
  • Un po di pratica • Dietro alla porta 21 resta in ascolto IENA • Una volta individuato il tentativo di connessione ( tentativo di connessione rappresentato con un semplice nmap, ma è solo un semplice esempio ) invia una notifica all amministratore. • La versione ienaStandAlone non prevede l interazione con firewall perimetrali per la modifica dei parametri di rete Dott. Ing. Ramilli Marco 29
  • Q.&A. Dott. Ing. Ramilli Marco 30