Tesi di Andrea Guido Relatore: Prof. Marco Cremonini Tesi sperimentale sulle tecniche di Advanced Evasion proposte da Stonesoft/McAfee. I test sono stati condotti su un sistema corporate usato in produzione.

1. INTRUSION PREVENTION SYSTEM
TECNICHE DI EVASIONE AVANZATE
TEST DI UNA SOLUZIONE
COMMERCIALE
Relatore Candidato
Prof. Marco CREMONINI Andrea GUIDO
Matr. 758616
Anno Accademico 2012/2013

2. SICUREZZA PERIMETRALE
• Dall’ ‘86 al 2008 10 milioni di malware anno dopo
raddoppio
• Questo è solo una parte del problema
• Strumenti di sicurezza perimetrale
• Limiti del firewall
• IDS
• IDPS

3. EVASION TECNIQUES
• Evasioni
• Ptacek & NewSham
• Insertion
• Evasion
• Denial of Service

4. INSERTION

5. EVASION

6. ADVANCED EVASION TECHNIQUES
LIVELLI OSI PROTOCOLLO
ESEMPIO DI
POSSIBILE EVASIONE
7 APPLICATION  SMB (SAMBA)  Filename obfuscations
6 PRESENTATION
5 SESSION  NetBIOS  Inject chaff-traffic
4 TRANSPORT  TCP  Time-wait decoy
3 NETWORK  IPV4  Fragmentation overlap
2 LINK
1 PHISICAL

7. TEST
Host VmWare
Z_andrea_vic_xp
172.20.123.30
Windows xp
conficker
Z_andrea_vic_7
172.20.123.50
Windows 7
rdp_dos
Z_vic_net_vmtools
172.20.123.115
Ubuntu
http_phpbb_highlight
80.22.152.232 (NAT)
Z_andrea_att_net_vmtools
172.20.123.114
Ubuntu
Evader - Mongbat
Z_andrea_Att_bt5k
172.20.123.70
BackTrack 5.3
SniffJoke - Fragroute
SWITCH
McAfee IntruShield I-3000

8. RISULTATI 1

9. RISULTATI 2

10. MISURAZIONE DELL’EFFICACIA
• Rete con traffico reale
• Costoso l’onere e su chi deve scegliere
• Intrusivo potrebbe non essere semplice
• Prove in seriale
• Metrica non generale
• Rete senza traffico
• Niente carico per valutazione delle performance
• Poco più che una verifica delle sole capacità dichiarate
• Falsi Positivi?

11. MISURAZIONE DELL’EFFICACIA
• DATASET - DARPA IDEVAL
• 200 istanze di 58 attacchi
• Valutazione offline – riproducibile
• Traffico in ambito militare
• Attacchi obsoleti nelle firme e nelle modalità
• Mancanza di errori (checksum)
• Facile tararsi sui contenuti
• Online LARIAT
• Ambiente di test configurabile che copre tutto il ciclo
• Altri DATASET
• Pubblici basati su traffico reale «sanitizzato»

12. MISURAZIONE DELL’EFFICACIA
• Intrusione Detection Capability
• rapporto tra
• la mutua dipendenza (mutua informazione) dell’input e
dell’output dell’IDPS al numeratore
• ed al denominatore l’entropia dell’input.
• Tale rapporto rappresenta la riduzione dell’incertezza
dell’input dell’IDS dato l’output
• [0,1] ed a valori più grandi corrisponde una maggiore
capacità ed accuratezza di classificare
• Si propone come metrica unificante rispetto ad altre
utilizzate FP FN PPV NPV
• Vantaggi …

13. CONSIDERAZIONI FINALI
Ptacek e
Newsham
StoneSoft
avverte 2
volte CERT-FI
Perché il
problema
rimane?

14. CONSIDERAZIONI FINALI
• Risolvere con le firme non serve la variabilità delle
opzioni e la quantità delle permutazioni sono troppe 
vedi SniffJoke
• Principio di robustezza (Postel rfc761)
Be conservative in what you do, be liberal in what you
accept from others
• Impossibilità per problem di performance di
implementare tutte le specificità dei protocolli
• Limiti eleaborativi
• Link a Gb
• Aumento generalizzato del traffico