Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Intrusion Detection Systems Introduzione alle tecnologie per l'Intrusion Detection Alessandro “jekil” Tanasi [email_addres...
Il problema <ul><li>Mantenere il sistema informativo in sicurezza (in termini di confidenzialita', integrita' e disponibil...
Monitoraggio <ul><li>Utilizzo di strumenti di monitoraggio </li></ul><ul><li>evidenziano macroscopici usi anomali della re...
Monitoraggio : Esempi
Intrusion Detection Systems <ul><li>“ Intrusion detection systems analize information about the activity performed in a co...
IDS Demystified <ul><li>“ Questo costa $cifrone, ma dopo sarai protetto da tutto e non dovrai fare niente, basta attaccarl...
IDS : Tassonomia <ul><li>Sorgenti di dati: Host, Network </li></ul><ul><li>Metodologia di rilevamento:  </li></ul><ul><ul>...
IDS : Funzionamento <ul><li>Architettura multi-tier </li></ul><ul><li>livello di raccolta dati (sensori) </li></ul><ul><li...
Host Intrusion Detection Systems <ul><li>Sistema per il controllo delle attivita' del singolo host </li></ul><ul><li>contr...
HIDS : Funzionamento <ul><li>Utilizzano tecniche di OS auditing e monitoring </li></ul><ul><li>controllo dei processi </li...
HIDS : Prodotti <ul><li>Log monitoring </li></ul><ul><ul><li>Swatch [ http://swatch.sourceforge.net/ ] </li></ul></ul><ul>...
Network Intrusion Detection Systems <ul><li>Sistemi per l'ispezione di flussi su segmenti di rete </li></ul><ul><li>posson...
NIDS: Funzionamento NIDS Esempio: piccola rete locale connessa a internet
NIDS : Prodotti <ul><li>Snort [ http://www.snort.org/ ] </li></ul><ul><li>Bro [ http://bro-ids.org/ ] </li></ul><ul><li>Pr...
Distributed Intrusion Detection Systems <ul><li>Correlazione e aggregazione tra log, HIDS e NIDS </li></ul><ul><li>Visione...
Intrusion Prevention Systems <ul><li>Modalita' reattiva secondo regole a algoritmi, intervento automatico </li></ul><ul><l...
IPS : Funzionamento <ul><li>Inline </li></ul><ul><li>Interazione con il firewall o router </li></ul><ul><li>Session snoopi...
IPS : Prodotti <ul><li>Snort-inline [ http://snort-inline.sourceforge.net/ ] </li></ul><ul><li>SnortSam [ http://www.snort...
Real Time Network Awareness <ul><li>“ RNA’s innovative technology constantly monitors all network assets(servers, routers,...
RNA : Prodotti <ul><li>Sourcefire [ http://www.sourcefire.com/ ] </li></ul><ul><li>Tenable Lightning Console [ http://www....
Security Information Management <ul><li>Gestione di grandi reti con molti apparati anche diversi che generano alert </li><...
Cosa ci riserva il futuro? <ul><li>maggiore affidabilita' e  sensitivita' </li></ul><ul><li>integrazione di sistemi, corre...
Ma.. <ul><li>...posso eludere un HIDS facendo girare un rootkit in memoria </li></ul><ul><li>...posso evadere un NIDS util...
Conlusioni <ul><li>Abbiamo guadagnato </li></ul><ul><li>controllo delle attivita' e dei flussi di rete </li></ul><ul><li>a...
Una panoramica sul mercato <ul><li>Sourcefire [ http://www.sourcefire.com ] </li></ul><ul><li>Lancope [ http://www.lancope...
Letture... <ul><li>Survey of intrusion detection research [ http://www.ce.chalmers.se/~emilie/papers/Lundin_survey02.pdf ]...
Domande
Licenza d'uso di questo documento License to use this document <ul><li>Copyright  ©  2005 Alessandro Tanasi </li></ul><ul>...
Upcoming SlideShare
Loading in …5
×

Intrusion Detection Systems

1,839 views

Published on

Introduzione alle metodologie e tipologie di strumenti per il rilevamento di intrusioni informatiche.
Talk tenuto da Alessandro Tanasi (http://www.tanasi.it)

Published in: Technology
  • Be the first to comment

Intrusion Detection Systems

  1. 1. Intrusion Detection Systems Introduzione alle tecnologie per l'Intrusion Detection Alessandro “jekil” Tanasi [email_address] LinuxDay 2005 - Trieste
  2. 2. Il problema <ul><li>Mantenere il sistema informativo in sicurezza (in termini di confidenzialita', integrita' e disponibilita') </li></ul><ul><li>Verificare l'adeguatezza delle sicurezze </li></ul><ul><li>Controllo di reti e di hosts </li></ul><ul><li>Identificazione delle violazioni alle policy </li></ul>
  3. 3. Monitoraggio <ul><li>Utilizzo di strumenti di monitoraggio </li></ul><ul><li>evidenziano macroscopici usi anomali della rete </li></ul><ul><li>aiutano a capire come la rete evolvera' </li></ul><ul><li>Strumenti: </li></ul><ul><li>SNMP </li></ul><ul><ul><li>mrtg [ http://people.ee.ethz.ch/~oetiker/webtools/mrtg/ ] </li></ul></ul><ul><ul><li>Cacti [ http://www.cacti.net/ ] </li></ul></ul><ul><li>NetFlow ® </li></ul><ul><ul><li>flowtools [ http://www.splintered.net/sw/flow-tools/ ] </li></ul></ul><ul><ul><li>Stager [ http://software.uninett.no/stager/ ] </li></ul></ul>
  4. 4. Monitoraggio : Esempi
  5. 5. Intrusion Detection Systems <ul><li>“ Intrusion detection systems analize information about the activity performed in a computer system or network, looking for evidence of malicious behaviours” -- Anderson </li></ul><ul><li>Sistemi per il monitoraggio di hosts e reti </li></ul><ul><li>Rilevano anomalie e intrusioni (avvenute o tentativi) </li></ul><ul><li>Segnalano condizioni particolari e comportamenti pericolosi </li></ul><ul><li>Servono per verificare dove le sicurezze falliscono, non per sostituirle! </li></ul>
  6. 6. IDS Demystified <ul><li>“ Questo costa $cifrone, ma dopo sarai protetto da tutto e non dovrai fare niente, basta attaccarlo alla rete” -- un commerciale </li></ul><ul><li>“ Adesso che siamo protetti posso mettere share senza password” -- un utente </li></ul><ul><li>“ Quanto mi costa installare un IDS? Non mi serve la manutenzione, devo risparmiare” -- un dirigente </li></ul><ul><li>Gli IDS non sono magia </li></ul><ul><li>Non risolvono tutti i problemi di sicurezza </li></ul><ul><li>Non possono essere abbandonati a loro stessi </li></ul>
  7. 7. IDS : Tassonomia <ul><li>Sorgenti di dati: Host, Network </li></ul><ul><li>Metodologia di rilevamento: </li></ul><ul><ul><li>Misuse detection </li></ul></ul><ul><ul><ul><li>basata su confronti con un database di firme (IDES, Russel) </li></ul></ul></ul><ul><ul><li>Anomaly detection </li></ul></ul><ul><ul><ul><li>rileva le deviazioni rispetto a un modello di comportamentale dell'utente </li></ul></ul></ul><ul><ul><ul><li>profili statistici (STAT), auto apprendimento, data mining </li></ul></ul></ul><ul><li>Analisi: </li></ul><ul><ul><li>online, in tempo reale </li></ul></ul><ul><ul><li>offline, con procedure batch </li></ul></ul><ul><ul><li>mista con trigger (ISOA) </li></ul></ul>
  8. 8. IDS : Funzionamento <ul><li>Architettura multi-tier </li></ul><ul><li>livello di raccolta dati (sensori) </li></ul><ul><li>logica di applicazione / base di dati </li></ul><ul><li>console di analisi / presentazione report </li></ul>Raccolta dati Analisi Report
  9. 9. Host Intrusion Detection Systems <ul><li>Sistema per il controllo delle attivita' del singolo host </li></ul><ul><li>controllo completo del OS e degli applicativi </li></ul><ul><li>rilevazione di rootkit e modifiche non autorizzate </li></ul><ul><li>violazioni locali (segnalazione, bloccaggio) </li></ul><ul><li>Difetti </li></ul><ul><li>ogni host deve avere un HIDS </li></ul><ul><li>visione locale dell'attacco </li></ul>
  10. 10. HIDS : Funzionamento <ul><li>Utilizzano tecniche di OS auditing e monitoring </li></ul><ul><li>controllo dei processi </li></ul><ul><ul><li>definizione di acl, controllo delle system calls e dello stack </li></ul></ul><ul><li>controllo integrita' files </li></ul><ul><ul><li>stato, date, permessi, hash, ecc. </li></ul></ul><ul><li>log monitoring </li></ul><ul><ul><li>attraverso pattern matching </li></ul></ul><ul><ul><li>in tempo reale o in modalita' batch </li></ul></ul>
  11. 11. HIDS : Prodotti <ul><li>Log monitoring </li></ul><ul><ul><li>Swatch [ http://swatch.sourceforge.net/ ] </li></ul></ul><ul><ul><li>Logwatch [ http://www2.logwatch.org:8080/ ] </li></ul></ul><ul><li>File systems monitoring </li></ul><ul><ul><li>Aide [ http://www.cs.tut.fi/~rammer/aide.html ] </li></ul></ul><ul><ul><li>Samhain [ http://la-samhna.de/samhain/ ] </li></ul></ul><ul><ul><li>Tripwire [ http://www.tripwire.com/ ] </li></ul></ul><ul><li>OS monitoring </li></ul><ul><ul><li>GrSecurity [ http://www.grsecurity.net/ ] </li></ul></ul><ul><ul><li>SeLinux [ http://www.nsa.gov/selinux/ ] </li></ul></ul><ul><ul><li>Pax [ http://pax.grsecurity.net/ ] </li></ul></ul><ul><ul><li>Lids [ http://www.lids.org/ ] </li></ul></ul>
  12. 12. Network Intrusion Detection Systems <ul><li>Sistemi per l'ispezione di flussi su segmenti di rete </li></ul><ul><li>possono vigilare su molti hosts </li></ul><ul><li>non invasivi sugli host e non alterano il traffico di rete </li></ul><ul><li>permettono una visione globale dell'attacco </li></ul><ul><li>Difetti </li></ul><ul><li>carico computazionale e posizionamento sonde </li></ul><ul><li>non ispezionano traffico cifrato </li></ul><ul><li>non tutti gli attacchi arrivano dalla rete </li></ul><ul><li>non hanno visione del contesto </li></ul>
  13. 13. NIDS: Funzionamento NIDS Esempio: piccola rete locale connessa a internet
  14. 14. NIDS : Prodotti <ul><li>Snort [ http://www.snort.org/ ] </li></ul><ul><li>Bro [ http://bro-ids.org/ ] </li></ul><ul><li>Prelude-IDS (Hybrid IDS) [ http://www.prelude-ids.org/ ] </li></ul><ul><li>vari prodotti commerciali... </li></ul><ul><li>Cisco [ http://www.cisco.com ] </li></ul><ul><li>ISS [ http://www.iss.net ] </li></ul><ul><li>Dragon [ http://www.enterasys.com/products/ids/ ] </li></ul>
  15. 15. Distributed Intrusion Detection Systems <ul><li>Correlazione e aggregazione tra log, HIDS e NIDS </li></ul><ul><li>Visione globale degli eventi </li></ul><ul><li>Gestione centralizzata </li></ul>
  16. 16. Intrusion Prevention Systems <ul><li>Modalita' reattiva secondo regole a algoritmi, intervento automatico </li></ul><ul><li>Cooperazione tra apparati (NIDS, firewall, router) </li></ul><ul><li>Difetti </li></ul><ul><li>problemi in caso di falso positivo </li></ul><ul><li>carico computazionale e prestazioni </li></ul><ul><li>mancanza di contesto </li></ul>
  17. 17. IPS : Funzionamento <ul><li>Inline </li></ul><ul><li>Interazione con il firewall o router </li></ul><ul><li>Session snooping </li></ul><ul><li>Endpoint (IPC) </li></ul>Inline Interazione con router
  18. 18. IPS : Prodotti <ul><li>Snort-inline [ http://snort-inline.sourceforge.net/ ] </li></ul><ul><li>SnortSam [ http://www.snortsam.net/ ] </li></ul><ul><li>Snort Flexible Response [ http://www.snort.org ] </li></ul><ul><li>HogWash [ http://hogwash.sourceforge.net ] </li></ul><ul><li>mod_security [ http://www.modsecurity.org/ ] </li></ul><ul><li>PSAD [ http://freshmeat.net/projects/psad/ ] </li></ul><ul><li>...tutti i prodotti commerciali si stanno muovendo verso tecnologie IPS </li></ul>
  19. 19. Real Time Network Awareness <ul><li>“ RNA’s innovative technology constantly monitors all network assets(servers, routers, PC’s, firewalls, wireless access points, etc.) and provides a persistent view” -- http://www.sourcefire.com </li></ul><ul><li>verifica degli alert (security scanner) </li></ul><ul><li>scanning attivo </li></ul><ul><li>scanning reattivo </li></ul><ul><li>integrazione tra componenti di terze parti </li></ul>Console Scanner
  20. 20. RNA : Prodotti <ul><li>Sourcefire [ http://www.sourcefire.com/ ] </li></ul><ul><li>Tenable Lightning Console [ http://www.tenablesecurity.com ] </li></ul><ul><li>ISS Fusion [ http://www.iss.net/ ] </li></ul><ul><li>Cisco Threat Response [ http://www.cisco.com ] </li></ul>
  21. 21. Security Information Management <ul><li>Gestione di grandi reti con molti apparati anche diversi che generano alert </li></ul><ul><li>correlazione, normalizzazione e aggregazione </li></ul><ul><li>risk management </li></ul><ul><li>report unificati </li></ul><ul><li>Prodotti </li></ul><ul><li>OSSIM [ http://www.ossim.net/ ] </li></ul><ul><li>CiscoWorks [ http://www.cisco.com ] </li></ul>
  22. 22. Cosa ci riserva il futuro? <ul><li>maggiore affidabilita' e sensitivita' </li></ul><ul><li>integrazione di sistemi, correlazione tra eventi e verifica degli alert </li></ul><ul><li>utilizzo di tecniche di behavior engineering e algoritmi a rete neurale </li></ul><ul><li>strumenti di intrusion detection che si adattano alle infrastrutture informatiche </li></ul>
  23. 23. Ma.. <ul><li>...posso eludere un HIDS facendo girare un rootkit in memoria </li></ul><ul><li>...posso evadere un NIDS utilizzando un'encoding particolare </li></ul><ul><li>...posso... </li></ul><ul><ul><li>L'Intrusion Detection e' una corsa alle armi: personale specializzato deve occuparsi della sicurezza ogni giorno. </li></ul></ul>
  24. 24. Conlusioni <ul><li>Abbiamo guadagnato </li></ul><ul><li>controllo delle attivita' e dei flussi di rete </li></ul><ul><li>alert e possibilita' di intervento in tempo reale </li></ul><ul><li>Paghiamo con </li></ul><ul><li>armi a doppio taglio </li></ul><ul><li>controllo costante </li></ul><ul><li>costi di amministrazione </li></ul>
  25. 25. Una panoramica sul mercato <ul><li>Sourcefire [ http://www.sourcefire.com ] </li></ul><ul><li>Lancope [ http://www.lancope.com ] </li></ul><ul><li>Arbor Networks [ http://www.arbornetworks.com ] </li></ul><ul><li>Internet Security Systems [ http://www.iss.net ] </li></ul><ul><li>Nfr Security [ http://www.nfr.net/ ] </li></ul><ul><li>Cisco [ http://www.cisco.com ] </li></ul>
  26. 26. Letture... <ul><li>Survey of intrusion detection research [ http://www.ce.chalmers.se/~emilie/papers/Lundin_survey02.pdf ] </li></ul><ul><li>Intrusion detection systems [ http://www.s0ftpj.org/docs/IDS_hackit02.pdf ] </li></ul><ul><li>Network intrusion detection [ http://www.cert.garr.it/incontri/na/nids.pdf ] </li></ul><ul><li>Computer systems intrusion detection: a survey [ http://www.cs.virginia.edu/~jones/IDS-research/Documents/jones-sielken-survey-v11.pdf ] </li></ul><ul><li>Intrusion detection systems list [ http://www-rnks.informatik.tu-cottbus.de/en/security/ids.html ] </li></ul><ul><li>Beyond IDS: Essentials of Network Intrusion Prevention [ http://www.rioco.co.uk/products/switches/DataSheet_Attack_Mitagator_Wpaper.pdf ] </li></ul><ul><li>Intrusion prevention and active response, Syngress </li></ul><ul><li>Intrusion detection and prevention, Mc Graw Hill </li></ul>
  27. 27. Domande
  28. 28. Licenza d'uso di questo documento License to use this document <ul><li>Copyright © 2005 Alessandro Tanasi </li></ul><ul><li>Questo documento viene rilasciato sotto licenza Alcoolware, la quale non è altro che una normale licenza Creative Commons Attribute-NonCommercial-ShareALike [ http://creativecommons.org/licenses/by-nc-sa/2.0/ ] ma con l'aggiunta che se mi incontrate dobbiamo andare a bere qualcosa. </li></ul><ul><li>In sintesi è liberamente distribuibile per usi non commerciali, copiabile e modificabile purchè citiate l'autore e la fonte. </li></ul><ul><li>Se volete distribuire questo documento sul vostro sito siete pregati per favore di comunicarmelo in modo che possa spedirvi le nuove versioni. </li></ul>

×