Your SlideShare is downloading. ×
Intrusion Detection Systems Introduzione alle tecnologie per l'Intrusion Detection Alessandro “jekil” Tanasi [email_addres...
Il problema <ul><li>Mantenere il sistema informativo in sicurezza (in termini di confidenzialita', integrita' e disponibil...
Monitoraggio <ul><li>Utilizzo di strumenti di monitoraggio </li></ul><ul><li>evidenziano macroscopici usi anomali della re...
Monitoraggio : Esempi
Intrusion Detection Systems <ul><li>“ Intrusion detection systems analize information about the activity performed in a co...
IDS Demystified <ul><li>“ Questo costa $cifrone, ma dopo sarai protetto da tutto e non dovrai fare niente, basta attaccarl...
IDS : Tassonomia <ul><li>Sorgenti di dati: Host, Network </li></ul><ul><li>Metodologia di rilevamento:  </li></ul><ul><ul>...
IDS : Funzionamento <ul><li>Architettura multi-tier </li></ul><ul><li>livello di raccolta dati (sensori) </li></ul><ul><li...
Host Intrusion Detection Systems <ul><li>Sistema per il controllo delle attivita' del singolo host </li></ul><ul><li>contr...
HIDS : Funzionamento <ul><li>Utilizzano tecniche di OS auditing e monitoring </li></ul><ul><li>controllo dei processi </li...
HIDS : Prodotti <ul><li>Log monitoring </li></ul><ul><ul><li>Swatch [ http://swatch.sourceforge.net/ ] </li></ul></ul><ul>...
Network Intrusion Detection Systems <ul><li>Sistemi per l'ispezione di flussi su segmenti di rete </li></ul><ul><li>posson...
NIDS: Funzionamento NIDS Esempio: piccola rete locale connessa a internet
NIDS : Prodotti <ul><li>Snort [ http://www.snort.org/ ] </li></ul><ul><li>Bro [ http://bro-ids.org/ ] </li></ul><ul><li>Pr...
Distributed Intrusion Detection Systems <ul><li>Correlazione e aggregazione tra log, HIDS e NIDS </li></ul><ul><li>Visione...
Intrusion Prevention Systems <ul><li>Modalita' reattiva secondo regole a algoritmi, intervento automatico </li></ul><ul><l...
IPS : Funzionamento <ul><li>Inline </li></ul><ul><li>Interazione con il firewall o router </li></ul><ul><li>Session snoopi...
IPS : Prodotti <ul><li>Snort-inline [ http://snort-inline.sourceforge.net/ ] </li></ul><ul><li>SnortSam [ http://www.snort...
Real Time Network Awareness <ul><li>“ RNA’s innovative technology constantly monitors all network assets(servers, routers,...
RNA : Prodotti <ul><li>Sourcefire [ http://www.sourcefire.com/ ] </li></ul><ul><li>Tenable Lightning Console [ http://www....
Security Information Management <ul><li>Gestione di grandi reti con molti apparati anche diversi che generano alert </li><...
Cosa ci riserva il futuro? <ul><li>maggiore affidabilita' e  sensitivita' </li></ul><ul><li>integrazione di sistemi, corre...
Ma.. <ul><li>...posso eludere un HIDS facendo girare un rootkit in memoria </li></ul><ul><li>...posso evadere un NIDS util...
Conlusioni <ul><li>Abbiamo guadagnato </li></ul><ul><li>controllo delle attivita' e dei flussi di rete </li></ul><ul><li>a...
Una panoramica sul mercato <ul><li>Sourcefire [ http://www.sourcefire.com ] </li></ul><ul><li>Lancope [ http://www.lancope...
Letture... <ul><li>Survey of intrusion detection research [ http://www.ce.chalmers.se/~emilie/papers/Lundin_survey02.pdf ]...
Domande
Licenza d'uso di questo documento License to use this document <ul><li>Copyright  ©  2005 Alessandro Tanasi </li></ul><ul>...
Upcoming SlideShare
Loading in...5
×

Intrusion Detection Systems

1,588

Published on

Introduzione alle metodologie e tipologie di strumenti per il rilevamento di intrusioni informatiche.
Talk tenuto da Alessandro Tanasi (http://www.tanasi.it)

Published in: Technology
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,588
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

Transcript of "Intrusion Detection Systems"

  1. 1. Intrusion Detection Systems Introduzione alle tecnologie per l'Intrusion Detection Alessandro “jekil” Tanasi [email_address] LinuxDay 2005 - Trieste
  2. 2. Il problema <ul><li>Mantenere il sistema informativo in sicurezza (in termini di confidenzialita', integrita' e disponibilita') </li></ul><ul><li>Verificare l'adeguatezza delle sicurezze </li></ul><ul><li>Controllo di reti e di hosts </li></ul><ul><li>Identificazione delle violazioni alle policy </li></ul>
  3. 3. Monitoraggio <ul><li>Utilizzo di strumenti di monitoraggio </li></ul><ul><li>evidenziano macroscopici usi anomali della rete </li></ul><ul><li>aiutano a capire come la rete evolvera' </li></ul><ul><li>Strumenti: </li></ul><ul><li>SNMP </li></ul><ul><ul><li>mrtg [ http://people.ee.ethz.ch/~oetiker/webtools/mrtg/ ] </li></ul></ul><ul><ul><li>Cacti [ http://www.cacti.net/ ] </li></ul></ul><ul><li>NetFlow ® </li></ul><ul><ul><li>flowtools [ http://www.splintered.net/sw/flow-tools/ ] </li></ul></ul><ul><ul><li>Stager [ http://software.uninett.no/stager/ ] </li></ul></ul>
  4. 4. Monitoraggio : Esempi
  5. 5. Intrusion Detection Systems <ul><li>“ Intrusion detection systems analize information about the activity performed in a computer system or network, looking for evidence of malicious behaviours” -- Anderson </li></ul><ul><li>Sistemi per il monitoraggio di hosts e reti </li></ul><ul><li>Rilevano anomalie e intrusioni (avvenute o tentativi) </li></ul><ul><li>Segnalano condizioni particolari e comportamenti pericolosi </li></ul><ul><li>Servono per verificare dove le sicurezze falliscono, non per sostituirle! </li></ul>
  6. 6. IDS Demystified <ul><li>“ Questo costa $cifrone, ma dopo sarai protetto da tutto e non dovrai fare niente, basta attaccarlo alla rete” -- un commerciale </li></ul><ul><li>“ Adesso che siamo protetti posso mettere share senza password” -- un utente </li></ul><ul><li>“ Quanto mi costa installare un IDS? Non mi serve la manutenzione, devo risparmiare” -- un dirigente </li></ul><ul><li>Gli IDS non sono magia </li></ul><ul><li>Non risolvono tutti i problemi di sicurezza </li></ul><ul><li>Non possono essere abbandonati a loro stessi </li></ul>
  7. 7. IDS : Tassonomia <ul><li>Sorgenti di dati: Host, Network </li></ul><ul><li>Metodologia di rilevamento: </li></ul><ul><ul><li>Misuse detection </li></ul></ul><ul><ul><ul><li>basata su confronti con un database di firme (IDES, Russel) </li></ul></ul></ul><ul><ul><li>Anomaly detection </li></ul></ul><ul><ul><ul><li>rileva le deviazioni rispetto a un modello di comportamentale dell'utente </li></ul></ul></ul><ul><ul><ul><li>profili statistici (STAT), auto apprendimento, data mining </li></ul></ul></ul><ul><li>Analisi: </li></ul><ul><ul><li>online, in tempo reale </li></ul></ul><ul><ul><li>offline, con procedure batch </li></ul></ul><ul><ul><li>mista con trigger (ISOA) </li></ul></ul>
  8. 8. IDS : Funzionamento <ul><li>Architettura multi-tier </li></ul><ul><li>livello di raccolta dati (sensori) </li></ul><ul><li>logica di applicazione / base di dati </li></ul><ul><li>console di analisi / presentazione report </li></ul>Raccolta dati Analisi Report
  9. 9. Host Intrusion Detection Systems <ul><li>Sistema per il controllo delle attivita' del singolo host </li></ul><ul><li>controllo completo del OS e degli applicativi </li></ul><ul><li>rilevazione di rootkit e modifiche non autorizzate </li></ul><ul><li>violazioni locali (segnalazione, bloccaggio) </li></ul><ul><li>Difetti </li></ul><ul><li>ogni host deve avere un HIDS </li></ul><ul><li>visione locale dell'attacco </li></ul>
  10. 10. HIDS : Funzionamento <ul><li>Utilizzano tecniche di OS auditing e monitoring </li></ul><ul><li>controllo dei processi </li></ul><ul><ul><li>definizione di acl, controllo delle system calls e dello stack </li></ul></ul><ul><li>controllo integrita' files </li></ul><ul><ul><li>stato, date, permessi, hash, ecc. </li></ul></ul><ul><li>log monitoring </li></ul><ul><ul><li>attraverso pattern matching </li></ul></ul><ul><ul><li>in tempo reale o in modalita' batch </li></ul></ul>
  11. 11. HIDS : Prodotti <ul><li>Log monitoring </li></ul><ul><ul><li>Swatch [ http://swatch.sourceforge.net/ ] </li></ul></ul><ul><ul><li>Logwatch [ http://www2.logwatch.org:8080/ ] </li></ul></ul><ul><li>File systems monitoring </li></ul><ul><ul><li>Aide [ http://www.cs.tut.fi/~rammer/aide.html ] </li></ul></ul><ul><ul><li>Samhain [ http://la-samhna.de/samhain/ ] </li></ul></ul><ul><ul><li>Tripwire [ http://www.tripwire.com/ ] </li></ul></ul><ul><li>OS monitoring </li></ul><ul><ul><li>GrSecurity [ http://www.grsecurity.net/ ] </li></ul></ul><ul><ul><li>SeLinux [ http://www.nsa.gov/selinux/ ] </li></ul></ul><ul><ul><li>Pax [ http://pax.grsecurity.net/ ] </li></ul></ul><ul><ul><li>Lids [ http://www.lids.org/ ] </li></ul></ul>
  12. 12. Network Intrusion Detection Systems <ul><li>Sistemi per l'ispezione di flussi su segmenti di rete </li></ul><ul><li>possono vigilare su molti hosts </li></ul><ul><li>non invasivi sugli host e non alterano il traffico di rete </li></ul><ul><li>permettono una visione globale dell'attacco </li></ul><ul><li>Difetti </li></ul><ul><li>carico computazionale e posizionamento sonde </li></ul><ul><li>non ispezionano traffico cifrato </li></ul><ul><li>non tutti gli attacchi arrivano dalla rete </li></ul><ul><li>non hanno visione del contesto </li></ul>
  13. 13. NIDS: Funzionamento NIDS Esempio: piccola rete locale connessa a internet
  14. 14. NIDS : Prodotti <ul><li>Snort [ http://www.snort.org/ ] </li></ul><ul><li>Bro [ http://bro-ids.org/ ] </li></ul><ul><li>Prelude-IDS (Hybrid IDS) [ http://www.prelude-ids.org/ ] </li></ul><ul><li>vari prodotti commerciali... </li></ul><ul><li>Cisco [ http://www.cisco.com ] </li></ul><ul><li>ISS [ http://www.iss.net ] </li></ul><ul><li>Dragon [ http://www.enterasys.com/products/ids/ ] </li></ul>
  15. 15. Distributed Intrusion Detection Systems <ul><li>Correlazione e aggregazione tra log, HIDS e NIDS </li></ul><ul><li>Visione globale degli eventi </li></ul><ul><li>Gestione centralizzata </li></ul>
  16. 16. Intrusion Prevention Systems <ul><li>Modalita' reattiva secondo regole a algoritmi, intervento automatico </li></ul><ul><li>Cooperazione tra apparati (NIDS, firewall, router) </li></ul><ul><li>Difetti </li></ul><ul><li>problemi in caso di falso positivo </li></ul><ul><li>carico computazionale e prestazioni </li></ul><ul><li>mancanza di contesto </li></ul>
  17. 17. IPS : Funzionamento <ul><li>Inline </li></ul><ul><li>Interazione con il firewall o router </li></ul><ul><li>Session snooping </li></ul><ul><li>Endpoint (IPC) </li></ul>Inline Interazione con router
  18. 18. IPS : Prodotti <ul><li>Snort-inline [ http://snort-inline.sourceforge.net/ ] </li></ul><ul><li>SnortSam [ http://www.snortsam.net/ ] </li></ul><ul><li>Snort Flexible Response [ http://www.snort.org ] </li></ul><ul><li>HogWash [ http://hogwash.sourceforge.net ] </li></ul><ul><li>mod_security [ http://www.modsecurity.org/ ] </li></ul><ul><li>PSAD [ http://freshmeat.net/projects/psad/ ] </li></ul><ul><li>...tutti i prodotti commerciali si stanno muovendo verso tecnologie IPS </li></ul>
  19. 19. Real Time Network Awareness <ul><li>“ RNA’s innovative technology constantly monitors all network assets(servers, routers, PC’s, firewalls, wireless access points, etc.) and provides a persistent view” -- http://www.sourcefire.com </li></ul><ul><li>verifica degli alert (security scanner) </li></ul><ul><li>scanning attivo </li></ul><ul><li>scanning reattivo </li></ul><ul><li>integrazione tra componenti di terze parti </li></ul>Console Scanner
  20. 20. RNA : Prodotti <ul><li>Sourcefire [ http://www.sourcefire.com/ ] </li></ul><ul><li>Tenable Lightning Console [ http://www.tenablesecurity.com ] </li></ul><ul><li>ISS Fusion [ http://www.iss.net/ ] </li></ul><ul><li>Cisco Threat Response [ http://www.cisco.com ] </li></ul>
  21. 21. Security Information Management <ul><li>Gestione di grandi reti con molti apparati anche diversi che generano alert </li></ul><ul><li>correlazione, normalizzazione e aggregazione </li></ul><ul><li>risk management </li></ul><ul><li>report unificati </li></ul><ul><li>Prodotti </li></ul><ul><li>OSSIM [ http://www.ossim.net/ ] </li></ul><ul><li>CiscoWorks [ http://www.cisco.com ] </li></ul>
  22. 22. Cosa ci riserva il futuro? <ul><li>maggiore affidabilita' e sensitivita' </li></ul><ul><li>integrazione di sistemi, correlazione tra eventi e verifica degli alert </li></ul><ul><li>utilizzo di tecniche di behavior engineering e algoritmi a rete neurale </li></ul><ul><li>strumenti di intrusion detection che si adattano alle infrastrutture informatiche </li></ul>
  23. 23. Ma.. <ul><li>...posso eludere un HIDS facendo girare un rootkit in memoria </li></ul><ul><li>...posso evadere un NIDS utilizzando un'encoding particolare </li></ul><ul><li>...posso... </li></ul><ul><ul><li>L'Intrusion Detection e' una corsa alle armi: personale specializzato deve occuparsi della sicurezza ogni giorno. </li></ul></ul>
  24. 24. Conlusioni <ul><li>Abbiamo guadagnato </li></ul><ul><li>controllo delle attivita' e dei flussi di rete </li></ul><ul><li>alert e possibilita' di intervento in tempo reale </li></ul><ul><li>Paghiamo con </li></ul><ul><li>armi a doppio taglio </li></ul><ul><li>controllo costante </li></ul><ul><li>costi di amministrazione </li></ul>
  25. 25. Una panoramica sul mercato <ul><li>Sourcefire [ http://www.sourcefire.com ] </li></ul><ul><li>Lancope [ http://www.lancope.com ] </li></ul><ul><li>Arbor Networks [ http://www.arbornetworks.com ] </li></ul><ul><li>Internet Security Systems [ http://www.iss.net ] </li></ul><ul><li>Nfr Security [ http://www.nfr.net/ ] </li></ul><ul><li>Cisco [ http://www.cisco.com ] </li></ul>
  26. 26. Letture... <ul><li>Survey of intrusion detection research [ http://www.ce.chalmers.se/~emilie/papers/Lundin_survey02.pdf ] </li></ul><ul><li>Intrusion detection systems [ http://www.s0ftpj.org/docs/IDS_hackit02.pdf ] </li></ul><ul><li>Network intrusion detection [ http://www.cert.garr.it/incontri/na/nids.pdf ] </li></ul><ul><li>Computer systems intrusion detection: a survey [ http://www.cs.virginia.edu/~jones/IDS-research/Documents/jones-sielken-survey-v11.pdf ] </li></ul><ul><li>Intrusion detection systems list [ http://www-rnks.informatik.tu-cottbus.de/en/security/ids.html ] </li></ul><ul><li>Beyond IDS: Essentials of Network Intrusion Prevention [ http://www.rioco.co.uk/products/switches/DataSheet_Attack_Mitagator_Wpaper.pdf ] </li></ul><ul><li>Intrusion prevention and active response, Syngress </li></ul><ul><li>Intrusion detection and prevention, Mc Graw Hill </li></ul>
  27. 27. Domande
  28. 28. Licenza d'uso di questo documento License to use this document <ul><li>Copyright © 2005 Alessandro Tanasi </li></ul><ul><li>Questo documento viene rilasciato sotto licenza Alcoolware, la quale non è altro che una normale licenza Creative Commons Attribute-NonCommercial-ShareALike [ http://creativecommons.org/licenses/by-nc-sa/2.0/ ] ma con l'aggiunta che se mi incontrate dobbiamo andare a bere qualcosa. </li></ul><ul><li>In sintesi è liberamente distribuibile per usi non commerciali, copiabile e modificabile purchè citiate l'autore e la fonte. </li></ul><ul><li>Se volete distribuire questo documento sul vostro sito siete pregati per favore di comunicarmelo in modo che possa spedirvi le nuove versioni. </li></ul>

×