Intrusion Detection Systems Introduzione alle tecnologie per l'Intrusion Detection Alessandro “jekil” Tanasi [email protected] LinuxDay 2005 - Trieste Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 1 Il problema ➲ ➲ ➲ ➲ Mantenere il sistema informativo in sicurezza (in termini di confidenzialita', integrita' e disponibilita') Verificare l'adeguatezza delle sicurezze Controllo di reti e di hosts Identificazione delle violazioni alle policy Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 2 Monitoraggio Utilizzo di strumenti di monitoraggio ➲ evidenziano macroscopici usi anomali della rete ➲ aiutano a capire come la rete evolvera' Strumenti: ➲ SNMP ● mrtg [ http://people.ee.ethz.ch/~oetiker/webtools/mrtg/ ] ● Cacti [http://www.cacti.net/] ➲ NetFlow® ● flowtools [ http://www.splintered.net/sw/flow-tools/] ● Stager [http://software.uninett.no/stager/] Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 3 Monitoraggio : Esempi Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 4 Intrusion Detection Systems “Intrusion detection systems analize information about the activity performed in a computer system or network, looking for evidence of malicious behaviours” -- Anderson ➲Sistemi per il monitoraggio di hosts e reti ➲Rilevano anomalie e intrusioni (avvenute o tentativi) ➲Segnalano condizioni particolari e comportamenti pericolosi ➲Servono per verificare dove le sicurezze falliscono, non per sostituirle! Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 5 IDS Demystified ➲ ➲ ➲ ➲ ➲ ➲ “Questo costa $cifrone, ma dopo sarai protetto da tutto e non dovrai fare niente, basta attaccarlo alla rete” -- un commerciale “Adesso che siamo protetti posso mettere share senza password” -- un utente “Quanto mi costa installare un IDS? Non mi serve la manutenzione, devo risparmiare” -- un dirigente Gli IDS non sono magia Non risolvono tutti i problemi di sicurezza Non possono essere abbandonati a loro stessi Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 6 IDS : Tassonomia Sorgenti di dati: Host, Network ➲ Metodologia di rilevamento: ● Misuse detection ● basata su confronti con un database di firme (IDES, Russel) ● Anomaly detection ● rileva le deviazioni rispetto a un modello di comportamentale dell'utente ● profili statistici (STAT), auto apprendimento, data mining ➲ Analisi: ● online, in tempo reale ● offline, con procedure batch ● mista con trigger (ISOA) ➲ Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 7 IDS : Funzionamento Architettura multi-tier livello di raccolta dati (sensori) logica di applicazione / base di dati console di analisi / presentazione report Raccolta dati Analisi Report Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 8 Host Intrusion Detection Systems Sistema per il controllo delle attivita' del singolo host ➲ controllo completo del OS e degli applicativi ➲ rilevazione di rootkit e modifiche non autorizzate ➲ violazioni locali (segnalazione, bloccaggio) Difetti ➲ ogni host deve avere un HIDS ➲ visione locale dell'attacco Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 9 HIDS : Funzionamento Utilizzano tecniche di OS auditing e monitoring ➲ controllo dei processi ● definizione di acl, controllo delle system calls e dello stack ➲ controllo integrita' files ● stato, date, permessi, hash, ecc. ➲ log monitoring ● attraverso pattern matching ● in tempo reale o in modalita' batch Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 10 HIDS : Prodotti Log monitoring ● Swatch [http://swatch.sourceforge.net/] ● Logwatch [ http://www2.logwatch.org:8080/] ➲ File systems monitoring ● Aide [ http://www.cs.tut.fi/~rammer/aide.html] ● Samhain [http://la-samhna.de/samhain/] ● Tripwire [http://www.tripwire.com/] ➲ OS monitoring ● GrSecurity [http://www.grsecurity.net/] ● SeLinux [http://www.nsa.gov/selinux/] ● Pax [http://pax.grsecurity.net/] ● Lids [http://www.lids.org/] ➲ Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 11 Network Intrusion Detection Systems Sistemi per l'ispezione di flussi su segmenti di rete ➲ possono vigilare su molti hosts ➲ non invasivi sugli host e non alterano il traffico di rete ➲ permettono una visione globale dell'attacco Difetti ➲ carico computazionale e posizionamento sonde ➲ non ispezionano traffico cifrato ➲ non tutti gli attacchi arrivano dalla rete ➲ non hanno visione del contesto Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 12 NIDS: Funzionamento Esempio: piccola rete locale connessa a internet NIDS Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 13 NIDS : Prodotti ➲ ➲ ➲ Snort [http://www.snort.org/] Bro [http://bro-ids.org/] Prelude-IDS (Hybrid IDS) [http://www.prelude-ids.org/] vari prodotti commerciali... ➲ Cisco [http://www.cisco.com] ➲ ISS [http://www.iss.net] ➲ Dragon [http://www.enterasys.com/products/ids/] Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 14 Distributed Intrusion Detection Systems ➲ ➲ ➲ Correlazione e aggregazione tra log, HIDS e NIDS Visione globale degli eventi Gestione centralizzata Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 15 Intrusion Prevention Systems ➲ ➲ Modalita' reattiva secondo regole a algoritmi, intervento automatico Cooperazione tra apparati (NIDS, firewall, router) Difetti ➲ problemi in caso di falso positivo ➲ carico computazionale e prestazioni ➲ mancanza di contesto Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 16 IPS : Funzionamento ➲ ➲ ➲ ➲ Inline Interazione con il firewall o router Session snooping Endpoint (IPC) Inline Interazione con router Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 17 IPS : Prodotti ➲ ➲ ➲ ➲ ➲ ➲ ➲ Snort-inline [http://snort-inline.sourceforge.net/] SnortSam [http://www.snortsam.net/] Snort Flexible Response [http://www.snort.org] HogWash [http://hogwash.sourceforge.net] mod_security [http://www.modsecurity.org/] PSAD [http://freshmeat.net/projects/psad/] ...tutti i prodotti commerciali si stanno muovendo verso tecnologie IPS Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 18 Real Time Network Awareness “RNA’s innovative technology constantly monitors all network assets(servers, routers, PC’s, firewalls, wireless access points, etc.) and provides a persistent view” -- http://www.sourcefire.com Console verifica degli alert (security scanner) Scanner scanning attivo scanning reattivo integrazione tra componenti di terze parti Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 19 RNA : Prodotti ➲ ➲ ➲ ➲ Sourcefire [http://www.sourcefire.com/] Tenable Lightning Console [ http://www.tenablesecurity.com] ISS Fusion [http://www.iss.net/] Cisco Threat Response [http://www.cisco.com] Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 20 Security Information Management Gestione di grandi reti con molti apparati anche diversi che generano alert ➲ correlazione, normalizzazione e aggregazione ➲ risk management ➲ report unificati Prodotti ➲ OSSIM [http://www.ossim.net/] ➲ CiscoWorks [http://www.cisco.com] Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 21 Cosa ci riserva il futuro? ➲ ➲ ➲ ➲ maggiore affidabilita' e sensitivita' integrazione di sistemi, correlazione tra eventi e verifica degli alert utilizzo di tecniche di behavior engineering e algoritmi a rete neurale strumenti di intrusion detection che si adattano alle infrastrutture informatiche Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 22 Ma.. ➲ ➲ ➲ ...posso eludere un HIDS facendo girare un rootkit in memoria ...posso evadere un NIDS utilizzando un'encoding particolare ...posso... L'Intrusion Detection e' una corsa alle armi: personale specializzato deve occuparsi della sicurezza ogni giorno. Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 23 Conlusioni Abbiamo guadagnato ➲ controllo delle attivita' e dei flussi di rete ➲ alert e possibilita' di intervento in tempo reale Paghiamo con ➲ armi a doppio taglio ➲ controllo costante ➲ costi di amministrazione Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 24 Una panoramica sul mercato ➲ ➲ ➲ ➲ ➲ ➲ Sourcefire [http://www.sourcefire.com] Lancope [http://www.lancope.com] Arbor Networks [http://www.arbornetworks.com] Internet Security Systems [http://www.iss.net] Nfr Security [http://www.nfr.net/] Cisco [http://www.cisco.com] Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 25 Letture... ➲ ➲ ➲ ➲ ➲ ➲ ➲ ➲ Survey of intrusion detection research [ http://www.ce.chalmers.se/~emilie/papers/Lundin_survey02.pdf] Intrusion detection systems [ http://www.s0ftpj.org/docs/IDS_hackit02.pdf] Network intrusion detection [ http://www.cert.garr.it/incontri/na/nids.pdf] Computer systems intrusion detection: a survey [ http://www.cs.virginia.edu/~jones/IDS-research/Documents/jones-sie ] Intrusion detection systems list [ http://www-rnks.informatik.tu-cottbus.de/en/security/ids.html] Beyond IDS: Essentials of Network Intrusion Prevention [ http://www.rioco.co.uk/products/switches/DataSheet_Attack_Mitagat ] Intrusion prevention and active response, Syngress Intrusion detection and prevention, Mc Graw Hill Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 26 Domande Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 27 Licenza d'uso di questo documento License to use this document Copyright © 2005 Alessandro Tanasi Questo documento viene rilasciato sotto licenza Alcoolware, la quale non è altro che una normale licenza Creative Commons AttributeNonCommercial ShareALike [http://creativecommons.org/licenses/byncsa/2.0/] ma con l'aggiunta che se mi incontrate dobbiamo andare a bere qualcosa. In sintesi è liberamente distribuibile per usi non commerciali, copiabile e modificabile purchè citiate l'autore e la fonte. Se volete distribuire questo documento sul vostro sito siete pregati per favore di comunicarmelo in modo che possa spedirvi le nuove versioni. Trieste, 26 novembre © 2005 – Alessandro “jekil” Tanasi [email protected] Slide: 28
Scarica
