1. Security Day 2005
• Dott. Ing. Ramilli Marco aka eth0up
– marco.ramilli@studio.unibo.it
– eth0up@rrsecurity.info
– marco.ramilli@mac.com
• Dott. Ing. Calisesi Nicola
– nicola.calisesi@studio.unibo.it
Dott. Ing. Ramilli Marco 1
2. • http://cesena.ing2.unibo.it
• CeSeNA (Cesena Security: Network &
Application)è un gruppo di interesse
sulla sicurezza informatica,
sull apprendimento e sulla
sperimentazione delle tematiche legate
alla Security negli ambienti di rete e
applicativi
Dott. Ing. Ramilli Marco 2
3. • Obiettivi:
– Apprendimento
– Condivisione
– Discussioni
• Il tutto riguardante strettamente gli
ambiti della sicurezza.
Dott. Ing. Ramilli Marco 3
4. • Perché è nata CeSeNA ?
– CeSeNA nasce per soddisfare il bisogno di conoscere più
in dettaglio ciò che è la sicurezza, in ambito accademico.
• Chi può registrarsi su CeSeNA ?
– Chiunque abbia il badge universitario (non scaduto) :-)
• Chi può partecipare attivamente al gruppo CeSeNA?
– Tutti gli iscritti che abbiano offerto a CeSeNA un proprio
contributo come articoli, recensioni, tesi inerenti alla
sicurezza, ecc…
– CeSeNA pubblicherà tutto il materiale dopo averne
accertato l effettiva qualità.
Dott. Ing. Ramilli Marco 4
5. • Fondatori e referenti:
– Prof. Andrea Omicini
– Prof. Walter Cerroni
– Dott. Ing. Nazzareno Pompei
– Dott. Ing. Marco Ramilli
– Dott. Ing. Stefano Bianchini
– Dott. Ing. Nicola Calisesi
Dott. Ing. Ramilli Marco 5
6. • Quanti utenti (05-11-05)
– 57 inscritti
– 1528 visite !
– Siamo ancora giovani.. Ma promettenti!!
Dott. Ing. Ramilli Marco 6
7. • Progetti
– Portale HackMe (attualmente vanta di 10
missioni attive)
• Lo scopo è quello di insegnare “giocando” cosa
comporta un cattivo progetto di un portale web.
– PerSeO ( Personal Security Operating System)
• Sistema operativo Debian Base atto alla sicurezza
informatica….
– Ecc….
Dott. Ing. Ramilli Marco 7
8. IENA
Un modello alternativo per
la rivelazione delle
intrusioni in una rete locale.
Dott. Ing. Ramilli Marco 8
9. OutLine.
L odierna crescita di servizi distribuiti ha
generato una vera e propria problematica nel
settore informatico; se fino ad oggi le
principali minacce alla sicurezza venivano
dall infrastruttura di rete e dai S.O. la
diffusione delle applicazioni Web, la
condivisione di risorse, la possibilità di
software auto aggiornanti, la nascita di
pagine dinamiche, di WebServices e la
realizzazione di script client-side hanno
creato nuovi pericolosi obiettivi.
Dott. Ing. Ramilli Marco 9
10. Tipologie di attacco.
Information Gatering ( raccolta informazioni )
Know Vulnerability ( attacco alle applicazioni )
Cookie poisoning ( avvelenamento delle cookie )
SQL Injection ( attacco al data base )
Brute Force ( attacco di password )
Cross-Site scripting ( attacco all’ utente )
Session Fixation ( cambio di sessioni )
Denial of Service ( negazione di servizio )
Man In The Middle ( ridirezione di traffico )
Dott. Ing. Ramilli Marco 10
11. Tecniche di difesa.
Progettare una rete solida e ben strutturata.
Installazione di Firewall
Installazione di Intrusion Detection System
Installazione di Intrusion Prevention System
Tecniche Forensi per il recovery di dati
Monitoring di Arp Request.
Utilizzo di validi modelli per l’ aggiornameto
“della rete”
Dott. Ing. Ramilli Marco 11
13. Visione.
• Deve esistere un modello che elimina ( o che
abbassa ) il livello di complessità del modello
attuale.
• Lo scopo del progetto IENA consiste nel
rivedere la logica del paradigma
attacco/difesa degli odierni sistemi di
sicurezza, presentando un modello che trova
il suo fondamento in un approccio opposto a
quello fino ad ora adottato nelle politiche
basate sul principio di “chiusura”.
Dott. Ing. Ramilli Marco 13
14. Visione (2).
• Astrarre il concetto di “aggiornamento”
• Dimostrare che tanto più una rete è
“aperta” tanto più è sicura
• Aumentare il livello di sicurezza
Sono obiettivi fondanti per IENA
Dott. Ing. Ramilli Marco 14
15. Brevi sul Progetto (1).
Introdurre IENA in un host, significa
ingannare l attaccante.
La IENA non vuole simulare un falso
servizio ma si pone in ascolto verso
la rete esterna avvisando
l’amministratore di rete appena
capta qualche segnale “fuori norma”.
Dott. Ing. Ramilli Marco 15
16. Brevi sul Progetto (2).
Behavioural Diagram.
Dott. Ing. Ramilli Marco 16
18. Brevi sul Progetto (4).
Comportamento Client IENA
Comportamento Server IENA
Sistemi di Notifica
Dott. Ing. Ramilli Marco 18
19. IENA V.S. HoneyPot.
• Molti potrebbero confondere le due tecniche
di difesa, in realtà sono differenti.
IENA : HoneyPot :
•Obiettivo: difesa •Obiettivo: Ricerca
•Architettura: distribuita •Architettura: locale
•Complessità tecnica: bassa •Complessità tecnica: alta
•Processo: Leggero •Processo: pesante
•Distribuzione su host: alta •Distribuzione su host: bassa
Dott. Ing. Ramilli Marco 19
22. GOALS.
• Una rete che si auto-aggiorna
Indipendentemente dal livello
applicazione.
– Astrazione del ramo con Loop infinito.
• Proprio come un Agente, IENA preleva
informazioni dall ambiente esterno
(Internet) settando particolari permessi
a run-time della rete.
Dott. Ing. Ramilli Marco 22
23. Goals (2).
• Tanto più una rete è “aperta” tanto più
è sicura.
– Di fatto ogni IENA è rappresentata da una
particolare porta, agli occhi di un
attaccante tante più IENE equivale a tante
più porte, ergo a tanti più servizi.
– Tanti più servizi attivi tanto è piu probabile
che un attaccante “cada in trappola”
Dott. Ing. Ramilli Marco 23
24. Implementazione.
• Il server IENA è stato implementato
utilizzando tecnologia C-UNIX ergo
dipendente dalla piattaforma.
• Il client IENA è stato implementato
utilizzando una tecnologia platform
indipendent, JAVA.
Dott. Ing. Ramilli Marco 24
25. Sfruttando Nagios.
• Il sistema di alerting che il server IENA
scatena, viene avviato (nella versione attuale
di IENA) da un noto tool come Nagios.
• Nagios periodicamente confronta i log che
IENA produce e ad ogni cambiamento
forniscce un valido e immediato avviso allo
amministratore di sistema.
Dott. Ing. Ramilli Marco 25
26. Conclusioni.
• IENA non ha la pretesa di essere la
soluzione definitiva ad ogni problema
riguardante la sicurezza informatica, ma
assieme ad altri sistemi di sicurezza può
contriburire ad innalzare notevolmente il
livello di sicurezza di una rete.
• Maggiori dettagli su IENA si possono
trovare sul sito http://cesena.ing2.unibo.it
• Per provare IENA si può scaricare il
sistema operativo di CeSeNA Group
PerSeO
Dott. Ing. Ramilli Marco 26
27. Sviluppi Futuri.
• Rendere più sicura la comunicazione tra
IENA e Server-IENA
• Utilizzo di apposite tecniche per il detect di
stealth scan
• Inserire un interfaccia grafica per rendere
l ambiente più user-friendly
• Implementazione di una rete IENA e Server-
IENA basata su tecnologia Knock
• Integrazione di IENA e Server-IENA con i
moderni IDS e IPS
Dott. Ing. Ramilli Marco 27
29. Un po di pratica
• Dietro alla porta 21 resta in ascolto IENA
• Una volta individuato il tentativo di
connessione ( tentativo di connessione
rappresentato con un semplice nmap, ma è
solo un semplice esempio ) invia una notifica
all amministratore.
• La versione ienaStandAlone non prevede
l interazione con firewall perimetrali per la
modifica dei parametri di rete
Dott. Ing. Ramilli Marco 29