Metodologie e tecniche avanzate per il test di NIDS: realizzazione degli operatori di mutazione

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Metodologie e tecniche avanzate per il test di NIDS: realizzazione degli operatori di mutazione"

Transcript

1 UNIVERSITA' DEGLI STUDI DI MILANO Facoltà di Scienze Matematiche Fisiche e Naturali Dipartimento di Tecnologie dell'informazione Metodologie e tecniche avanzate per il test di NIDS: realizzazione degli operatori di mutazione RELATORE Marco Cremonini CORRELATORE Giovanni Vigna Tesi di Laurea di : Andrea BERETTA Matricola Anno Accademico 2005/2006

2

3 Ringraziamenti Vorrei ringraziare tutti quanti mi hanno aiutato e sostenuto nel corso dei miei studi e durante questo lavoro di tesi. In particolare: Il relatore, prof. Marco Cremonini Il correlatore, prof. Giovanni Vigna Davide Balzarotti Riccardo I miei genitori, mio fratello e Rossana Tutti i docenti del Dipartimento di Tecnologie dell'informazione

4

5 Indice Prefazione Introduzione agli Intrusion Detection System Classificazione degli IDS secondo la fonte di informazione utilizzata Classificazione degli IDS secondo le tecniche di funzionamento Capacita' e Limiti degli IDS Introduzione agli Intrusion Detection System Cosa valutare? Copertura Falsi positivi Resistenza agli attacchi Capacita' di gestire alte moli di traffico Capacita' di correlazione Capacita' di rilevare attacchi sconosciuti Identificazione degli attacchi Capacita' di determinare gli attacchi completati con successo 2.2 I test esistenti University of California at Davis (UCD) Massachusetts Institute of Technology / Lincoln Laboratory (MIT/LL) Neohapsis/Network-Computing NSS Group MITRE France telecom Network World Magazine Considerazioni Neohapsis OSEC Reperibilita' e tipologia degli attacchi simulati Differenze tra le tipologie di IDS Differenze tra una situazione reale e l'ambiente di test Traffico di background 2.4 Tool esistenti Stimolatori Tool di evasione Ambienti di esecuzione degli exploit

6 2.4.4 Tool per la mutazione degli attacchi 3 Snort La struttura interna La libreria libpcap Packet decoder Preprocessori Detection engine Output plugins 3.2 I preprocessori interessati dalle tecniche di evasione Stream Frag Arpspoof 3.3 Scrittura delle regole Rule header Rule options Tecniche di evasione 4.1 Debolezze dei meccanismi di pattern-matching e protocol analysis Shellcodes polimorfici 4.3 Denial Of Service 4.4 Evasioni a livello di rete Tool per la mutazione degli attacchi Thor Mace Agent Sploit Una nuova tecnica di testing Meccanismi di mutazione Mutazioni a livello di rete Mutazioni a livello applicativo Mutazioni a livello di Exploit 6.3 Architettura di sploit

7 6.3.1 Exploit Template Mutant Operators Mutant Factories Alert Collectors Stack TCP/IP userspace 7 Sploit, il nostro contributo 7.1 Il nuovo stack TCP/IP userspace Gestione della ritrasmissione Controllo del flusso di dati Persist Timer Ulteriori modifiche allo stack Invio dei dati all'interno del pacchetto SYN Invio dei dati senza Three Way Handshaking Esecuzione di un doppio Three Way Handshaking Operatori a livello TCP Operatori a livello IP Invio ritardato dei pacchetti 7.2 Gli operatori implementati Operatori a livello ethernet Implementazione degli operatori 8.1 Utils.py 8.2 Operatori a livello TCP TCP3whsRST TCPBadChecksum TCPBadFlags TCPBadHeaderLength TCPBadOption TCPBadSeqNumbers TCPClearAck TCPDuplicate TCPFakeRstBadSeq TCPFakeRstChecksum TCPInterleavedSyn TCPNo3whs TCPOutofOrder e TCPOutofOrder TCPOverlap

8 TCPRetarder TCPSynData Operatori a livello IP IPBadChecksum IPBadHeaderLength IPBadOptionLength IPBadTotalLength IPDuplicate IPFragOutOfOrder e IPFragOutOfOrder IPLastFirst IPOverlap IPRetarder IPRetarder IPShortTTL IPShortTTL_TCPFakeRst IPShortTTL_TCPPostSyn IPShortTTL_TCPPreSyn IPWrongProto IPWrongVersion IP_Big_mtu IP_TCPSynBroadcast Operatori a livello ethernet EthBadMac EthBadMac_TCPFakePost3whs EthBadMac_TCPPostSyn EthBadMac_TCPPreSyn Struttura della rete L'attacco baseline EthBadMac_TCPPre3whs EthBadMac_TCPFakeRST EthBadMac_TCPFakeShutdown EthBadMac_TCPFakeSynAck 9 Test degli operatori 9.3 Configurazione 9.4 Esecuzione dei test e risultati Test degli operatori di livello TCP Test degli operatori di livello IP Test degli operatori di livello ethernet

9 Conclusioni Appendice A: Struttura dei pacchetti di rete Bibliografia

10

11 Prefazione Prefazione Il miglior modo per prevenire intrusioni in un sistema informatico e' quello di spegnerlo e scollegarlo dalla rete. Tradizionalmente, gli sforzi nel campo della sicurezza informatica sono diretti a cercare di rendere i sistemi protetti invulnerabili agli attacchi. Come ben noto, in ambito informatico la sicurezza e' un concetto relativo, poiche' a causa della complessita' dei sistemi, problemi di configurazione, vulnerabilita' e abusi da parte degli utenti non e' mai possibile avere l'assoluta certezza relativamente all'inviolabilita' di un computer. A meno di seguire la regola riportata poche righe sopra. Chiaramente tale regola e' una provocazione e la soluzione proposta inammissibile, dato che il sistema in questione non sarebbe piu' utilizzabile allo scopo per il quale era stato preposto. Un obiettivo possibile e' invece quello di porre in essere tutta quella serie di policies e misure preventive tali da rendere un'eventuale intrusione il piu' complicata possibile, scoraggiando gli attacker meno dotati, e rallentando invece l'operato dei piu' preparati. Accanto a queste policies, non potendo avere la certezza di impedire una possibile intrusione, sarebbe pero' utile potere rilevare nel modo piu' semplice e celere possibile attacchi e tentativi di intrusione, in modo da prendere le opportune contromisure per arginarle e risolvere i problemi creatisi. E' proprio per questo motivo che sono nati e si sono diffusi gli Intrusion Detection Systems: monitorare l'operato dei sistemi per identificare attivita' non autorizzate, violazioni ed abusi delle policies di sicurezza vigenti. Negli ultimi anni e' notevolmente cresciuto l'interesse nei confronti degli Intrusion Detection System, tanto che sono diventati una componente molto diffusa nelle architetture di sicurezza, con la conseguenza di un'ampia varieta' di soluzioni disponibili, sia di natura commerciale che non. Tra tutte queste proposte, pero', come e' possibile orientarsi e valutare correttamente i diversi sistemi, senza prendere come verita' assoluta quanto affermato dai diversi produttori di queste tecnologie? Di pari passo con la crescita della diffusione degli Intrusion Detection System e' quindi aumentata anche la richiesta di tool e metodologie per valutarne l'efficacia. In molti casi, soprattutto per soluzioni commerciali, i modelli ed i dettagli relativi al funzionamento di questi sistemi non sono resi noti, rendendo di fatto impossibile valutare quali siano i punti deboli che potrebbero essere sfruttati da un eventuale attacker per impedire che il suo tentativo di intrusione venga rilevato. E' dunque evidente come sia forte la necessita' di potere condurre nel modo piu' accurato possibile dei test black-box dei sistemi in questione. Questa tesi vuole porre lo sguardo su quali siano le problematiche nella valutazione dei sistemi di rilevamento delle intrusioni, specificatamente dei Network Intrusion Detection Systems, concentrandosi principalmente sugli aspetti della resistenza alle tecniche di evasione a livello di rete. Lo strumento sul quale e' basato gran parte del lavoro e' sploit, un framework per il testing black-box dei Network Intrusion Detection System attraverso la generazione di varianti di attacchi, applicando delle mutazioni a dei template di base. Il framewark scritto in linguaggio Python, e' stato sviluppato da Davide 1

12 Prefazione Balzarotti post-doctoral researcher presso il dipartimento di Computer Science dell'university of California-Santa Barbara, con la supervisione del prof. Giovanni Vigna. Nell'ambito di questo lavoro di tesi sviluppato con Riccardo Bianchi ed in collaborazione con Davide Balzarotti sono stati implementati all'interno di sploit una serie di mutazioni corrispondenti a differenti tecniche di evasione a livello di rete, applicando anche piccole varianti in alcuni casi. Si e' resa inoltre necessaria la la realizzazione di uno stack TCP/IP userspace piu' completa rispetto alla rudimentale versione presente nel tool originale, in modo da supportare anche features mancanti quali gestione della ritrasmissione e delle finestre TCP ed ulteriori modifiche necessarie per l'implementazione di particolari tecniche di evasione. In sintesi la tesi e' organizzata come segue: Una breve introduzione agli Intrusion Detection System, classificandoli secondo le diverse tipologie e spiegando sinteticamente quali siano le loro capacita' ed i relativi limiti; Analisi della problematica del testing degli Intrusion Detection System. In seguito ad alcune considerazioni su quali siano gli aspetti che possono venire valutati in un test, vengono analizzate le metodologie e le prove finora condotte. Il capitolo tratta infine i principali tool utilizzati in questi test e gli ultimo strumenti attualmente disponibili. Descrizione ed analisi di snort. Trattandosi dell'intrusion Detection System utilizzato come riferimento per tutto il lavoro ed i test condotti in questa tesi, vengono inizialmente illustrate la sua struttura ed il funzionamento. In maggiore dettaglio vengono invece trattati i preprocessori legati agli aspetti trattati nei test, quali ad esempio frag3 per la gestione della frammentazione IP o stream4 per la ricostruzione dei flussi TCP. Descrizione generica del problema delle tecniche di evasione ed inserzione, ponendo l'attenzione anche sulle metodologie non direttamente oggetto di questo lavoro di tesi, quali ad esempio l'encoding o il polimorfismo a livello degli shellcode; Presentazione ed analisi dei tool di mutazione degli attacchi esistenti; Presentazione di sploit: architettura, features e componenti; Analisi ad alto livello del lavoro svolto relativamente allo stack TCP/IP userspace, descrizione delle tecniche di evasione implementate, problematiche riscontrate e soluzioni adottate; Descrizione ed implementazione degli operatori di mutazione ai livelli TCP, IP ed ethernet corrispondenti alle diverse tecniche di evasione discusse nel capitolo precedente; Test degli operatori implementati e relativi risultati. Conclusioni finali e discussione dei possibili sviluppi futuri. 2

13 Capitolo 1: introduzione agli Intrusion Detection System Capitolo 1: introduzione agli Intrusion Detection System L'importanza della sicurezza informatica e la protezione dei sistemi dalla violazione delle policy previste nel corso degli ultimi anni e' cresciuta considerevolmente, diventando uno dei problemi piu' sentiti all'interno del panorama dell'information technology. Le possibili minacce a cui i sistemi possono essere esposti sono innumerevoli da virus, worm, trojan, Denial of Service a veri e propri tentativi di intrusione sia da parte dei cosiddetti script kiddie che attacker piu' evoluti. Diverse sono anche le tecniche di difesa, tanto da potere creare confusione a riguardo su quali siano le soluzioni piu' opportune da adottare. Tra gli strumenti piu' noti in questo ambito vanno sicuramente citati i firewall, strumento indispensabile per il controllo del perimetro delle reti che si desidera proteggere, filtrando il traffico e lasciando passare i pacchetti secondo le policy stabilite dagli aventi diritto. Sebbene un firewall consenta di fermare buona parte degli intrusi all'esterno, dando forse anche un eccessivo senso di sicurezza, non devo essere l'unico strumento previsto per la protezione di una rete. Strumenti fondamentali da affiancare all'attivita' dei firewall, sono gli Intrusion Detection Systems (d'ora in poi IDS), che consentono un controllo molto piu' granulare del traffico, rilevando se esso sia lecito o meno. Prendendo come esempio un aeroporto, un firewall potrebbe essere paragonato al check-in, mentre gli IDS alle apparecchiature che consentono di passare ai raggi X i bagagli dei viaggiatori alla ricerca di oggetti ritenuti pericolosi od illegali. Come il nome lascia intendere, lo scopo di un IDS e' il rilevamento delle possibili intrusioni e dei tentativi di attacco. Ovviamente un IDS da solo non e' la soluzione a tutti i problemi di network security, ma puo' essere complementare a firewall e policies sufficientemente robuste riguardanti l'autenticazione degli utenti, controllo degli accessi e crittografia delle informazioni sensibili trasmesse in chiaro', incrementando notevolmente la sicurezza della propria rete quindi. Un IDS si basa su delle policies, per potere stabilire quali eventi, se rilevati, debbano generare un allarme. Semplicemente, se viene notata dell'attivita' considerata come non consentita rispetto alle regole vigenti, un alert verra' generato. Tali alert potranno essere in varie forme, ad esempio files di testo oppure record memorizzati in un dbms. Alcuni particolari IDS oltre a rilevare gli attacchi e generare i rispettivi alert, consentono anche di rispondervi automaticamente, ad esempio aggiornando in maniera dinamica dele regole di filtraggio del firewall od in generale eseguendo delle azioni prestabilite. In questo caso e 'pero' piu' corretto parlare di IPS anziche' IDS, ovvero Intrusion Prevention Systems. 1.1 Classificazione degli IDS secondo la fonte di informazione utilizzata Esistono diversi tipi di IDS, che possono essere classificati secondo vari criteri. Essi, pero', mantengono in generale un architettura comune, consistente essenzialmente nelle fasi di raccolta/salvataggio delle informazioni necessarie, analisi e confronto con i dati di riferimento e generazione degli alert. Come gia' detto, nel caso di un IPS, e' il sistema stesso a rispondere opportunamente agli alert. mentre con un classico IDS e' compito degli amministratori di sistema o specifici operatori analizzare gli avvisi 3

14 Capitolo 1: introduzione agli Intrusion Detection System prodotti, ed intraprendere le necessarie contromisure. Inoltre, tali alert potrebbero essere confrontati con altre fonti di informazione come ad esempio dump dei pacchetti responsabili dell'allarme, log di sistema eccetera, cercando di correlare opportunamente il tutto, allo scopo capire se gli allarmi generati corrispondono a effettive violazioni delle policies. Uno dei principali aspetti da valutare in un IDS, come verra' illustrato nella sezione 2.1, e' infatti la differenziazione tra i veri allarmi ed eventi che potrebbero sembrarlo, essendo in realta' attivita' perfettamente lecite Fondamentalmente si possono classificare gli IDS in tre classi principali, secondo la fonte di informazione utilizzata: Network Based IDS (NIDS): derivano il loro nome dalla caratteristica di monitorare un intero segmento di rete o sottorete, diversamente da altre soluzioni che controllano solo un singolo host. Questa famiglia di strumenti monitora in real-time le attivita' che avvengono sulla rete, analizzando i pacchetti in transito. I NIDS usano tecniche simili a quelle adottate dai packet-sniffer, cambiando la modalita' di funzionamento della scheda di rete. Normalmente un'interfaccia di rete opera in modalita' non promiscua, ovvero accettando solo i frame destinati al proprio MAC address o indirzzo hardware. Gli altri pacchetti in transito, invece, non vengono passati allo stack TCP/IP per la loro elaborazione. Al contrario, ponendo la scheda in modalita' promiscua si e' in grado di monitorare l'intero traffico della sottorete, e non esclusivamente quello diretto alla scheda del NIDS. Ovviamente il corretto funzionamento di un simile sistema dipende dall'hardware a disposizione: nel caso il NIDS fosse collegato ad un hub, in cui il traffico viene rediretto su tutte le porte non dovrebbero esserci problemi. Con uno switch, invece, e' fondamentale la presenza 4

15 Capitolo 1: introduzione agli Intrusion Detection System di una o piu' span port, che hanno appunto la caratteristica di potere vedere anche il traffico relativo alle altre porte. Un ipotetico esempio di architettura che utilizzi la soluzione network-based potrebbe essere la seguente: due NIDS a monitorare differenti segmenti di rete con alcuni server accessibili da internet, ed un terzo sistema per vigilare sugli host di un'altra sottorete allo scopo di verificare soprattutto eventuali compromissioni dall'interno: Il grande vantaggio di un NIDS e' il fatto che esso non abbia alcun impatto sui sistemi e la rete monitorata, non imponendo loro alcun carico dal punto di vista computazionale, e funzionando in maniera completamente trasparente. In generale questo tipo di sistemi si comportano decisamente bene nel rilevare i tentativi di intrusione dall'esterno o Denial of Service. I principali svantaggi di queste soluzioni sono l'impossibilita' di analizzare traffico cifrato, problematiche legate alla privacy degli utenti, limiti prestazionali relativamente alla cattura dei pacchetti e la suscettibilita' ad alcune tecniche di evasione, a causa della difficolta' di identificare con certezza le azioni corrispondenti ad una certa sequenza di pacchetti. Maggiori dettagli relativi a queste problematiche saranno illustrati nei successivi capitoli. Probabilmente il NIDS piu' conosciuto e' diffuso e' snort[9], che verra' utilizzato anche come riferimento per i test e le tecniche di evasione implementate in questo lavoro di tesi. Un altro prodotto della comunita' OpenSource e' invece bro[10], mentre tra le sluzioni commerciali piu' note si possono annoverare Realsecure[11], NFR[12] e Dragon[13]. 5

16 Capitolo 1: introduzione agli Intrusion Detection System Host Based IDS (HIDS): sistemi di questo genere differiscono dai NIDS essenzialmente per due motivi: un HIDS protegge esclusivamente il sistema sul quale e' installato, anziche' l'intera sottorete, e la scheda di rete di tali sistemi comunemente funziona in modalita' non promiscua. Essi sono stati il primo tipo di IDS a venire sviluppati ed implementati ed hanno appunto la caratteristica di raccogliere dati relativi al singolo host. Tali dati, successivamente possono essere analizzati localmente o trasmessi ad un'altra macchina dove potranno essere aggregati con i dati provenienti da altri host, per un'analisi piu' accurata. Un grande vantaggio degli HIDS e' la possibilita' di adattare in maniera estremamente dettagliata ai singoli sistemi i set di regole utilizzati. Ad esempio su un server windows non avrebbe molto senso monitorare i tentativi di exploit per il Network File System (NFS), che e' invece tipico negli ambienti UNIX. Essi hanno anch il vantaggio di non necessitare di hardware aggiuntivo, ed il pregio di un minor numero di falsi positivi. Potendo effettuare un'analisi dettagliata di cio' che ha effettivamente raggiunto l'host e' possibile commettere meno errori nel classificare un evento come attacco o meno. Tra gli svantaggi di queste soluzioni si possono annoverare, almeno nel caso degli strumenti piu' evoluti che lo consentano, i problemi relativi ad una raccolta ed aggregazione efficiente delle informazioni provenienti da diversi endpoint, tipicamente dipendenti in modo molto stretto dalle piattaforme utilizzate. Tali strumenti infatti, spesso sono fortemente legati al sistema operativo sul quale vengono eseguiti. Nel caso di una rete mista con macchine windows e UNIX potrebbe quindi essere necessario adottare HIDS differenti a seconda dei casi. Ultimo problema relativo a questa classe di strumenti e' infine l'impatto che essi possono avere dal punto di vista computazionale sulle prestazioni degli host. Nel caso di un desktop esso potrebbe essere trascurabile, ma con server sottoposti ad elevati carichi di lavoro tale problematica risulterebbe particolarmente grave. Un tipo estremamente minimale di HIDS potrebbe essere un programma che operi analizzando i log di sistema, alla ricerca di voci relative ad attivita' non consentite, come ad esempio logcheck[4]. Altro caso e' invece quello dei file integrity checker, quali AFICK [5], AIDE[6] o tripwrire [7], che si ritiene possano comunque rientrare all'interno della classe degli HIDS. Ipotizzando che esista la possibilita' per un eventuale attacker di cancellare le sue tracce dai log di sistema monitorati, gli amministratori di sistema potrebbero trovarsi nella spiacevole situazione di non essere a conoscenza dell'esistenza di eventuali binari modificati (ad es. grep, ps, ls, netstat ecc.), che consentirebbero di nascondere la presenza dell'intruso o di possibili backdoor. E' esattamente pensando a questo problema che ha preso piede l'utilizzo dei file integrity checker. Tali software consentono di creare un database che riporta gli attributi di tutti i files monitorati, oltre ad uno o piu' valori hash. In questo modo confrontando tali valori memorizzati con quelli dei files del sistema, essi sono in grado di riportare con ragionevole certezza le eventuali modifiche avvenute. 6

17 Capitolo 1: introduzione agli Intrusion Detection System Altra fonte di informazioni per un HIDS, oltre al monitoraggio del filesystem ed il parsing dei log potrebbero essere le system call effettuate. Per potere analizzare nel dettaglio le chiamate effettuate, l'hids deve pero' essere in grado di interagire direttamente col kernel, come ad esempio LIDS[8], acronimo per Linux Intrusion Detection System, distribuito appunto come patch per i sorgenti del kernel Linux. Un ipotetico esempio di architettura che utilizzi un approccio host-based potrebbe essere la seguente, con due HIDS a monitorare un mailserver, un webserver, ed un'altra serie di sistemi per vigilare sugli host della sottorete iterna: Rispettivamente, i differenti HIDS potrebbero venire configurati prestando particolare attenzione ai protocolli SMTP, POP3 e IMAP per il mailserver, al protocollo HTTP ed ai linguaggi di scripting per il webserver ed infine un set di regole piu' standard per gli host della sottorete interna. Stack Based IDS: questa tipologia di IDS pur lavorando similmente ai NIDS, ovvero leggendo i pacchetti dalla rete e confrontando i dati a disposizione con le entry di un database di signatures, analizzano esclusivamente i pacchetti diretti all'host sul quale il software e' installato. Per questo motivo vengono identificati anche con il nome Network Node IDS (NNIDS). Agendo in questo modo il sistema puo' essere piu' snello e veloce, richiedendo meno risorse, risultando quindi installabile anche direttamente sui server, con un overhead computazionale non eccessivo. Inoltre, essendo in esecuzione sugli host, questo genere di IDS potrebbero interagire direttamente con lo stack TCP/IP del sistema, consentendo anche la possibilita' di rimuovere i pacchetti ritenuti pericolosi prima che vengano processati dalle applicazioni. Principali svantaggi di un simile approccio sono il dovere installare un NNIDS per ogni host, e 7

18 Capitolo 1: introduzione agli Intrusion Detection System la necessita' di una console centrale per raccogliere i report provenienti dalle singole macchine. IDS ibridi: permettono di utilizzare e combinare tra loro le sorgenti di informazione tipiche dei NIDS ed HIDS, correlando opportunamente gli eventi raccolti al fine di rilevare e distinguere al meglio gli attacchi compiuti con successo, dai tentativi di intrusione e falsi positivi. I log relativi ai tentativi di intrusione possono essere generati localmente dai differenti sensori, e trasferiti via rete presso un punto di raccolta centralizzato, in tempo reale oppure in modalita' batch, dove verranno memorizzati. La figura seguente rappresenta un'ipotetica rete che utilizza un IDS ibrido costituito da quattro sensori ed una console di gestione centralizzata: Le comunicazioni effettuate tra i sensori e la console di gestione potrebbero avvenire su una apposita rete privata per la gestione del sistema di intrusione, oppure direttamente sulla rete monitorata, sfruttando qualche meccanismo di cifratura, come ad esempio una VPN. Inviare le informazioni in chiaro al centro di raccolta non sarebbe una buona idea, poiche' potrebbero essere catturate tramite tecniche di sniffing da eventuali attacker, che sarebbero cosi' in grado di sapere cosa il sistema di intrusione abbia rilevato, e nel peggiore dei casi intercettare e modificare i dati in transito. Sebbene una simile soluzione consenta una grande adattabilita' alle varie situazioni, grazie alla 8

19 Capitolo 1: introduzione agli Intrusion Detection System granularita' estremamente fine nella configurazione dei diversi sensori, essa risulta particolarmente complessa nel deployement e nella gestione. Inoltre eventuali problemi e malfunzionamenti nella rete potrebbero arrivare ad impedire la comunicazione tra i sensori e la centrale di gestione. Probabilmente il piu' noto sistema di questo genere sviluppato dalla comunita' OpenSource e' prelude[56]. Tralasciando i sistemi ibridi e stack based, poiche' ancora non hanno raggiunto una diffusione sufficientemente capillare, la seguente tabella mostra un confronto riassuntivo tra HIDS e NIDS: NIDS HIDS Analisi real time del traffico Analisi a posteriori Realtime response Near-realtime response L'attacker non ha la possibilita' di Pericolo che l'attaccante riesca ad eliminare le proprie tracce occultare le proprie tracce Analisi degli eventi relativi a un segmento Analisi degli eventi relativi a un singolo di rete host Maggiore sensibilita' ai falsi positivi Minore numero di falsi positivi Forte dipendenza dalla topologia e Indipendenza dalla topologia e architettura di rete architettura della rete Non influenza le performance degli host Penalizza le performance dei sistemi su della rete cui e' installato Impossibile verificare l'esito di un attacco Possibile verificare l'esito di un attacco Impossibile verificare attacchi che non Possibile verificare anche attacchi che coinvolgono la rete coinvolgono la rete Possibile rilevare attacchi non visibili al Impossibile rilevare attacchi non visibili singolo host al singolo host Possibile monitorare piu' host Necessita' di installare il sistema sui contemporaneamente singoli host Totalmente trasparente Pericolo di perdita di pacchetti Maggiore complessita' nel deployement e configurazione 1.2 Classificazione degli IDS secondo le tecniche di funzionamento Un altro punto di vista in base a cui classificare gli IDS, potrebbe essere quello del metodo utilizzato nel rilevare le intrusioni. Fondamentalmente esistono tre tecniche: 9

20 Capitolo 1: introduzione agli Intrusion Detection System Misuse detection: spesso definita anche signature detection, rileva i tentativi di intrusione confrontando gli eventi rilevati con un database di specifici pattern corrispondenti ai diversi attacchi o violazioni delle policies. Tali pattern sono appunto definite signatures. Un esempio di signature, nel caso di un HIDS, potrebbe essere il rilevamento di tre login falliti consecutivi. Nel caso di un NIDS sarebbe invece un pattern corrispondente ad una parte del payload o del'header del pacchetto che indichi azioni non autorizzate, ad come la richiesta di una particolare pagina php, come db_details_importdocsql.php nel caso del software per gestione dei database phpmyadmin: alert tcp $EXTERNAL_NET any > $HTTP_SERVERS $HTTP_PORTS (msg:"web PHP phpmyadmin db_details_importdocsql.php access"; flow:to_server,established; uricontent:"d b_details_importdocsql.php"; reference:bugtraq,7962; reference:bugtraq,7965; reference:nessus,11761; classtype:web application attack; sid:2228; rev:4;) Il metodo della signature detection e' sicuramente la tecnica piu' accurata nel rilevare attacchi gia' conosciuti. Essa permette inoltre di definire regole che consentono di rappresentare e rilevare la maggior parte del traffico malevolo, ad eccezione di alcune tecniche di evasione piu' evolute nei confronti delle quali potrebbero essere possibili dei falsi negativi.. Uno dei grossi limiti di questo approccio e' il fatto di non avere conoscenza dell'intenzione dell'attivita' che ha attivato la signature. Potrebbero infatti presentarsi situazioni in cui traffico perfettamente legittimo sia talmente simile a quello malevolo da causare la generazione del relativo alert. Tale tecnica e' quindi abbastanza sensibile al problema dei falsi positivi. In una condizione ideale, quindi, le signatures dovrebbero essere tali da corrispondere esattamente solo alle caratteristiche di una specifica intrusione e non ad attivita' legittime Altro limite consiste nella requisito di una conoscenza pregressa e approfondita degli attacchi per potere costruire le relative signatures. In caso di attacchi sconosciuti o di signatures non sufficientemente precise l'efficacia di questi sistemi deve essere drasticamente ridimensionata. Anomaly detection, mira a rilevare situazioni che rispecchino comportamenti anomali. Stabilito un modello corrispondente al comportamento previsto, qualsiasi cosa che ne differisca oltre un certo limite verra' segnalata come una possibile violazione. Ad esempio potrebbero venire generati degli alert se in un lasso di tempo ridotto dovesse venire verificato un numero eccessivo di logon e logoff da parte di un utente, oppure se egli accedere ad un servizio in un orario per lui insolito. Altro esempio di utilizzo potrebbe essere il rilevamento di tentativi di escalation dei privilegi. Si immagini il caso in cui un utente senza particolari privilegi cerchi di accedere al file SAM in un sistema windows. L'IDS rileverebbe subito questa anomalia nel comportamento dell'utente classificandola come un'attivita' potenzialmente pericolosa e generando l'alert ad essa relativo. Il principale vantaggio i questi sistemi consiste nel non basarsi su alcuna conoscenza pregressa degli attacchi. Essendo indipendenti dal set di signatures disponibile, sistemi di questo genere 10

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Chiara Braghin chiara.braghin@unimi.it Firewall Firewall Sistema di controllo degli accessi che verifica tutto il traffico in transito Consente

Dettagli

IDS: Intrusion detection systems

IDS: Intrusion detection systems IDS/IPS/Honeypot IDS: Intrusion detection systems Tentano di rilevare: attività di analisi della rete tentativi di intrusione intrusioni avvenute comportamenti pericolosi degli utenti traffico anomalo

Dettagli

I sistemi di Intrusion Detection:

I sistemi di Intrusion Detection: I sistemi di Intrusion Detection: problemi e soluzioni http://www.infosec.it info@infosec.it Relatore: Igor Falcomatà Infosecurity 2002 I sistemi di Intrusion Detection (IDS): problemi e soluzioni - Pagina

Dettagli

Direttamente dalla sorgente Network IDS Oggi & nel Futuro

Direttamente dalla sorgente Network IDS Oggi & nel Futuro Direttamente dalla sorgente Network IDS Oggi & nel Futuro Graham Welch Director EMEA, Sourcefire Inc. Agenda Background sull Intrusion Detection Un giorno nella vita di Intrusion Prevention vs. Intrusion

Dettagli

Intrusion Detection System

Intrusion Detection System Capitolo 12 Intrusion Detection System I meccanismi per la gestione degli attacchi si dividono fra: meccanismi di prevenzione; meccanismi di rilevazione; meccanismi di tolleranza (recovery). In questo

Dettagli

Premio Innovare la Sicurezza delle informazioni. Luca Marzegalli Comitato Direttivo CLUSIT

Premio Innovare la Sicurezza delle informazioni. Luca Marzegalli Comitato Direttivo CLUSIT Premio Innovare la Sicurezza delle informazioni Luca Marzegalli Comitato Direttivo CLUSIT Il premio Obiettivo Incentivare gli studenti a confrontarsi con i temi della Sicurezza delle informazioni Destinatari

Dettagli

Sicurezza dei calcolatori e delle reti

Sicurezza dei calcolatori e delle reti Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 11 A.A. 2010/20011 1 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa

Dettagli

Alessandro Bulgarelli. Riccardo Lancellotti. WEB Lab Modena

Alessandro Bulgarelli. Riccardo Lancellotti. WEB Lab Modena Sicurezza in rete: vulnerabilità, tecniche di attacco e contromisure Alessandro Bulgarelli bulgaro@weblab.ing.unimo.it Riccardo Lancellotti riccardo@weblab.ing.unimo.it WEB Lab Modena Pagina 1 Black hat

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Da IDS a IPS. Nel numero 23 del Maggio 2004, avevamo già accennato alle problematiche di filtraggio del traffico

Da IDS a IPS. Nel numero 23 del Maggio 2004, avevamo già accennato alle problematiche di filtraggio del traffico ICT Security n. 51, Dicembre 2006 p. 1 di 7 Da IDS a IPS Nel numero 23 del Maggio 2004, avevamo già accennato alle problematiche di filtraggio del traffico in tempo reale e della relazione tra Intrusion

Dettagli

Intrusion Detection Systems

Intrusion Detection Systems Intrusion Detection Systems Introduzione, Tecnologie, Implementazione Ing. Stefano Zanero Politecnico di Milano Richiamiamo il punto chiave Continuando a usare il paradigma classico Who are you? What can

Dettagli

Firewall Intrusion Detection System

Firewall Intrusion Detection System Firewall Intrusion Detection System Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Parte I: Firewall 2 Firewall! I Firewall di rete sono apparecchiature o sistemi che controllano

Dettagli

Definizione e sintesi di modelli del traffico di rete per la rilevazione in tempo reale delle intrusioni in reti di calcolatori

Definizione e sintesi di modelli del traffico di rete per la rilevazione in tempo reale delle intrusioni in reti di calcolatori Definizione e sintesi di modelli del traffico di rete per la rilevazione in tempo reale delle intrusioni in reti di calcolatori Francesco Oliviero folivier@unina.it Napoli, 22 Febbraio 2005 ipartimento

Dettagli

I sistemi di Intrusion Detection:

I sistemi di Intrusion Detection: I sistemi di Intrusion Detection: problemi e soluzioni http://www.infosec.it info@infosec.it Relatore: Igor Falcomatà Infosecurity 2002 I sistemi di Intrusion Detection (IDS): problemi e soluzioni - Pagina

Dettagli

Intrusion Detection System. Giampaolo Fresi Roglia gianz@security.dico.unimi.it

Intrusion Detection System. Giampaolo Fresi Roglia gianz@security.dico.unimi.it Intrusion Detection System Giampaolo Fresi Roglia gianz@security.dico.unimi.it Sommario Introduzione Richiami alla sicurezza Informatica Intrusion Detection Systems Strategie di monitoraggio Localizzazione

Dettagli

Network Hardening. Università degli Studi di Pisa. Facoltà di Scienze Matematiche, Fisiche e Naturali. Stage svolto presso BK s.r.

Network Hardening. Università degli Studi di Pisa. Facoltà di Scienze Matematiche, Fisiche e Naturali. Stage svolto presso BK s.r. Network Hardening Università degli Studi di Pisa Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica Applicata Stage svolto presso BK s.r.l Tutor Accademico Candidato Tutor

Dettagli

Architetture e strumenti per la sicurezza informatica

Architetture e strumenti per la sicurezza informatica Università Politecnica delle Marche Architetture e strumenti per la sicurezza informatica Ing. Gianluca Capuzzi Agenda Premessa Firewall IDS/IPS Auditing Strumenti per l analisi e la correlazione Strumenti

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Network Intrusion Detection

Network Intrusion Detection Network Intrusion Detection Maurizio Aiello Consiglio Nazionale delle Ricerche Istituto di Elettronica e di Ingegneria dell Informazione e delle Telecomunicazioni Analisi del traffico E importante analizzare

Dettagli

IS AUDITING PROCEDURE

IS AUDITING PROCEDURE IS AUDITING PROCEDURE INTRUSION DETECTION SYSTEM (IDS) REVIEW Romeo Costanzo IT Telecom (Gruppo Telecom Italia) CISA, CCNA, SCJP Agenda L aspetto tecnologico Le procedure di verifica Conclusioni Alcune

Dettagli

Sicurezza delle reti. Monga. Rilevamento delle intrusioni Classificazioni IDS. Misuse detection. Anomaly detection. Falsi allarmi

Sicurezza delle reti. Monga. Rilevamento delle intrusioni Classificazioni IDS. Misuse detection. Anomaly detection. Falsi allarmi Sicurezza dei sistemi e delle 1 Mattia Dip. di Informatica Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2014/15 Lezione XI: 1 cba 2011 15 M.. Creative Commons Attribuzione Condividi

Dettagli

Indice. Prefazione. Presentazione XIII. Autori

Indice. Prefazione. Presentazione XIII. Autori INDICE V Indice Prefazione Presentazione Autori XI XIII XV Capitolo 1 Introduzione alla sicurezza delle informazioni 1 1.1 Concetti base 2 1.2 Gestione del rischio 3 1.2.1 Classificazione di beni, minacce,

Dettagli

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof.

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof. Introduzione alla sicurezza di rete Proprietà Attacchi Contromisure Sicurezza: difesa dai malintenzionati Scenario tipico della sicurezza di rete: man in the middle Proprietà fondamentali della sicurezza

Dettagli

Prof. Filippo Lanubile

Prof. Filippo Lanubile Firewall e IDS Firewall Sistema che costituisce l unico punto di connessione tra una rete privata e il resto di Internet Solitamente implementato in un router Implementato anche su host (firewall personale)

Dettagli

Agenda. An Introduction to Intrusion Detection System

Agenda. An Introduction to Intrusion Detection System Agenda An Introduction to Intrusion Detection System Vulnerabilità dei Sistemi Intrusion Detection System Modello Requisiti Monitoring Tipi di Analisi Tipi di Attacchi Descrizione di alcuni IDS Definizioni

Dettagli

Attacchi e Contromisure

Attacchi e Contromisure Sicurezza in Internet Attacchi e Contromisure Ph.D. Carlo Nobile 1 Tipi di attacco Difese Sommario Firewall Proxy Intrusion Detection System Ph.D. Carlo Nobile 2 Attacchi e Contromisure Sniffing Connection

Dettagli

Cenni sulla Sicurezza in Ambienti Distribuiti

Cenni sulla Sicurezza in Ambienti Distribuiti Cenni sulla Sicurezza in Ambienti Distribuiti Cataldo Basile < cataldo.basile @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Motivazioni l architettura TCP/IPv4 è insicura il problema

Dettagli

Firewall e IDS/IPS. Che cos è un firewall? Ingress vs. Egress firewall. M.Aime, A.Lioy - Politecnico di Torino (1995-2011) 1

Firewall e IDS/IPS. Che cos è un firewall? Ingress vs. Egress firewall. M.Aime, A.Lioy - Politecnico di Torino (1995-2011) 1 Firewall e IDS/IPS Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Che cos è un firewall? firewall = muro tagliafuoco collegamento controllato tra reti a diverso livello

Dettagli

KLEIS A.I. SECURITY SUITE

KLEIS A.I. SECURITY SUITE KLEIS A.I. SECURITY SUITE Protezione delle applicazioni web Kleis A.I. SecureWeb www.kwaf.it Cos'è Kleis A.I. SecureWeb? Kleis A.I. SecureWeb è un modulo software della Kleis A.I. Security Suite che ha

Dettagli

TREND MICRO DEEP SECURITY

TREND MICRO DEEP SECURITY TREND MICRO DEEP SECURITY Protezione Server Integrata Semplice Agentless Compatibilità Totale Retroattiva Scopri tutti i nostri servizi su www.clouditalia.com Il nostro obiettivo è la vostra competitività.

Dettagli

ARP SPOOFING - Papaleo Gianluca

ARP SPOOFING - Papaleo Gianluca ARP SPOOFING - Papaleo Gianluca ARP spoofing è un attacco che può essere effettuato solo dall interno di una rete locale o LAN (Local Area Network). Questa tecnica si basa su alcune caratteristiche di

Dettagli

Realizzazione di una Infrastruttura di Sicurezza

Realizzazione di una Infrastruttura di Sicurezza Realizzazione di una Infrastruttura di Sicurezza Andrea Lanzi, Lorenzo Martignoni e Lorenzo Cavallaro Dipartimento di Informatica e Comunicazione Facoltà di Scienze MM.FF.NN. Università degli Studi di

Dettagli

Intrusion Detection System

Intrusion Detection System Intrusion Detection System Snort Giampaolo Fresi Roglia gianz@security.dico.unimi.it Sommario Collocazione in rete Scenari di installazione Snort Installazione e Configurazione su Debian Rete di esempio

Dettagli

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup La sicurezza informatica Il tema della sicurezza informatica riguarda tutte le componenti del sistema informatico: l hardware, il software, i dati,

Dettagli

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali 1 Caratteristiche generali Nati dall esperienza maturata nell ambito della sicurezza informatica, gli ECWALL di e-creation rispondono in modo brillante alle principali esigenze di connettività delle aziende:

Dettagli

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall I firewall Perché i firewall sono necessari Le reti odierne hanno topologie complesse LAN (local area networks) WAN (wide area networks) Accesso a Internet Le politiche di accesso cambiano a seconda della

Dettagli

Potete gestire centralmente tutti i dispositivi mobili aziendali?

Potete gestire centralmente tutti i dispositivi mobili aziendali? Potete gestire centralmente tutti i dispositivi mobili aziendali? Gestite tutti i vostri smartphone, tablet e computer portatili da una singola console con Panda Cloud Systems Management La sfida: l odierna

Dettagli

Reti di calcolatori. Lezione del 25 giugno 2004

Reti di calcolatori. Lezione del 25 giugno 2004 Reti di calcolatori Lezione del 25 giugno 2004 Tecniche di attacco Denial of Service : impedisce ad una organizzazione di usare i servizi della propria rete; sabotaggio elettronico Gli attacchi DoS possono

Dettagli

Sicurezza dei sistemi SIP: analisi sperimentale di possibili attacchi e contromisure

Sicurezza dei sistemi SIP: analisi sperimentale di possibili attacchi e contromisure UNIVERSITÀ DEGLI STUDI DI PISA FACOLTÀ DI INGEGNERIA Corso di Laurea in INGEGNERIA DELLE TELECOMUNICAZIONI Tesi di Laurea Sicurezza dei sistemi SIP: analisi sperimentale di possibili attacchi e contromisure

Dettagli

Modulo 8. Architetture per reti sicure Terminologia

Modulo 8. Architetture per reti sicure Terminologia Pagina 1 di 7 Architetture per reti sicure Terminologia Non esiste una terminologia completa e consistente per le architetture e componenti di firewall. Per quanto riguarda i firewall sicuramente si può

Dettagli

Navigazione controllata

Navigazione controllata Easyserver nasce come la più semplice soluzione dedicata alla sicurezza delle reti ed al controllo della navigazione sul web. Semplice e flessibile consente di controllare e monitorare il corretto uso

Dettagli

Connessioni sicure: ma quanto lo sono?

Connessioni sicure: ma quanto lo sono? Connessioni sicure: ma quanto lo sono? Vitaly Denisov Contenuti Cosa sono le connessioni sicure?...2 Diversi tipi di protezione contro i pericoli del network.....4 Il pericolo delle connessioni sicure

Dettagli

Il Provvedimento del Garante

Il Provvedimento del Garante Il Provvedimento del Garante Il provvedimento del Garante per la Protezione dei dati personali relativo agli Amministratori di Sistema (AdS) Misure e accorgimenti prescritti ai titolari dei trattamenti

Dettagli

Vulnerabilità di un Sistema Informativo

Vulnerabilità di un Sistema Informativo Vulnerabilità di un Sistema Informativo Un Sistema Informativo e le principali tipologie di minacce alla vulnerabilità e come le tecniche di backup possono essere utilizzate come contromisure a tali minacce.

Dettagli

Protocol Level: Sicurezza nelle reti Samba

Protocol Level: Sicurezza nelle reti Samba Vi spaventerò elencandovi alcuni dei problemi delle reti Microsoft Diego Fantoma fantoma@units.it Dissertazioni preliminari Questo lavoro non è a carattere tecnico ma è una ricerca bibliografica con alcuni

Dettagli

di prevenzione (ad es. controllo accesso, crittografia) di rilevazione di tolleranza

di prevenzione (ad es. controllo accesso, crittografia) di rilevazione di tolleranza Meccanismi per la Gestione degli Attacchi di prevenzione (ad es. controllo accesso, crittografia) di rilevazione di tolleranza Rollback recovery Rollforward recovery Intrusion Detection Intrusion Detection

Dettagli

Gestione degli accessi al sistema(autenticazione) e ai locali. Analisi del traffico di rete (Firewall, IDS/IPS)

Gestione degli accessi al sistema(autenticazione) e ai locali. Analisi del traffico di rete (Firewall, IDS/IPS) Contromisure Contromisure Gestione degli accessi al sistema(autenticazione) e ai locali Antivirus Analisi del traffico di rete (Firewall, IDS/IPS) Analisi utilizzo delle risorse di sistema, accessi (IDS/IPS)

Dettagli

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi Log forensics, data retention ed adeguamento ai principali standard in uso

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete

Dettagli

INTRODUZIONE ALLA SICUREZZA: IL FIREWALL

INTRODUZIONE ALLA SICUREZZA: IL FIREWALL INTRODUZIONE ALLA SICUREZZA: IL FIREWALL Fino a qualche anno fa la comunicazione attraverso le reti di computer era un privilegio ed una necessità di enti governativi e strutture universitarie. La sua

Dettagli

Un'Ordinaria Giornata di Attacchi Informatici - Rilevamento, Monitoraggio e Analisi con Sistemi di Honeypot e SURFids

Un'Ordinaria Giornata di Attacchi Informatici - Rilevamento, Monitoraggio e Analisi con Sistemi di Honeypot e SURFids Corso di Laurea in Sicurezza dei Sistemi e delle Reti Informatiche Un'Ordinaria Giornata di Attacchi Informatici - Rilevamento, Monitoraggio e Analisi con Sistemi di Honeypot e SURFids RELATORE Prof. Marco

Dettagli

Introduzione. Sicurezza. Il Problema della Sicurezza. Molte aziende possiedono informazioni preziose che mantengono confidenziali.

Introduzione. Sicurezza. Il Problema della Sicurezza. Molte aziende possiedono informazioni preziose che mantengono confidenziali. Sicurezza Il Problema della Sicurezza L Autenticazione I Pericoli Messa in Sicurezza dei Sistemi Scoperta delle Intrusioni Crittografia Windows NT Exploit famosi Introduzione Molte aziende possiedono informazioni

Dettagli

Sicurezza. Sistemi Operativi 17.1

Sicurezza. Sistemi Operativi 17.1 Sicurezza Il Problema della Sicurezza L Autenticazione I Pericoli Messa in Sicurezza dei Sistemi Scoperta delle Intrusioni Crittografia Windows NT Exploit famosi 17.1 Introduzione Molte aziende possiedono

Dettagli

Sicurezza Informatica a.a. 2008/09

Sicurezza Informatica a.a. 2008/09 CORSO IN SCIENZA DEI MEDIA E DELLA COMUNICAZIONE Sicurezza Informatica a.a. 2008/09 I sistemi di Intrusion Detection (IDS) Redazione a cura di Luca Imperatore Contenuti 1. Premessa... 3 2. Cos è un IDS...

Dettagli

Riccardo Paterna

Riccardo Paterna <paterna@ntop.org> Monitoring high-speed networks using ntop Riccardo Paterna Project History Iniziato nel 1997 come monitoring application per l'università di Pisa 1998: Prima release pubblica v 0.4 (GPL2)

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

Come si può notare ogni richiesta ICMP Echo Request va in timeout in

Come si può notare ogni richiesta ICMP Echo Request va in timeout in Comandi di rete Utility per la verifica del corretto funzionamento della rete: ICMP Nelle procedure viste nei paragrafi precedenti si fa riferimento ad alcuni comandi, come ping e telnet, per potere verificare

Dettagli

Sicurezza. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it

Sicurezza. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it Sicurezza IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it La sicurezza La Sicurezza informatica si occupa della salvaguardia dei sistemi informatici da potenziali rischi e/o violazioni dei dati

Dettagli

Prof. Mario Cannataro Ing. Giuseppe Pirrò

Prof. Mario Cannataro Ing. Giuseppe Pirrò Prof. Mario Cannataro Ing. Giuseppe Pirrò Footprinting Scansione Enumerazione Exploit Controllo del sistema Raccolta di informazioni sull obbiettivo da attaccare. Determinare il profilo di protezione della

Dettagli

SniffJoke eviscerated. http://www.delirandom.net/sniffjoke

SniffJoke eviscerated. http://www.delirandom.net/sniffjoke SniffJoke eviscerated http://www.delirandom.net/sniffjoke SniffJoke eviscerated Come funziona uno sniffer, Come ricostruisce i flussi TCP Quindi si basa su delle assunzioni E se noi le facciam crollare?

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

Elementi di Sicurezza e Privatezza. Proteggere la rete: tecnologie Lez. 13

Elementi di Sicurezza e Privatezza. Proteggere la rete: tecnologie Lez. 13 Elementi di Sicurezza e Privatezza Proteggere la rete: tecnologie Lez. 13 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa Un Internet firewall,

Dettagli

Laurea triennale in Informatica. Tesi di Laurea: Valutazione degli strumenti User Defined. Prof. Francesco Bergadano. Massimiliano Faudarole

Laurea triennale in Informatica. Tesi di Laurea: Valutazione degli strumenti User Defined. Prof. Francesco Bergadano. Massimiliano Faudarole Università degli studi di Torino Facoltà di scienze Matematiche Fisiche Naturali Laurea triennale in Informatica Tesi di Laurea: INTRUSION DETECTION SYSTEM Valutazione degli strumenti User Defined Relatore:

Dettagli

Approfondimenti tecnici su framework v6.3

Approfondimenti tecnici su framework v6.3 Sito http://www.icu.fitb.eu/ pagina 1 I.C.U. "I See You" Sito...1 Cosa è...3 Cosa fa...3 Alcune funzionalità Base:...3 Alcune funzionalità Avanzate:...3 Personalizzazioni...3 Elenco Moduli base...4 Elenco

Dettagli

Architetture dei WIS. Definizione di WIS. Benefici dei WIS. Prof.ssa E. Gentile a.a. 2011-2012

Architetture dei WIS. Definizione di WIS. Benefici dei WIS. Prof.ssa E. Gentile a.a. 2011-2012 Architetture dei WIS Prof.ssa E. Gentile a.a. 2011-2012 Definizione di WIS Un WIS può essere definito come un insieme di applicazioni in grado di reperire, cooperare e fornire informazioni utilizzando

Dettagli

Monitoring high-speed networks using ntop Riccardo Paterna

Monitoring high-speed networks using ntop Riccardo Paterna Monitoring high-speed networks using ntop Riccardo Paterna Project History Iniziato nel 1997 come monitoring application per l'università di Pisa 1998: Prima release

Dettagli

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio Sicurezza negli ambienti di testing Grancagnolo Simone Palumbo Claudio Obiettivo iniziale: analizzare e testare il Check Point VPN-1/FireWall-1 Condurre uno studio quanto più approfondito possibile sulle

Dettagli

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Obiettivo: realizzazione di reti sicure Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Per quanto riguarda le scelte tecnologiche vi sono due categorie di tecniche: a) modifica

Dettagli

WatchGuard: combattere le Next Generation Advanced Malware

WatchGuard: combattere le Next Generation Advanced Malware WatchGuard: combattere le Next Generation Advanced Malware Patches e Signatures Nel 2003, il worm "SQL Slammer" portò al fermo del traffico Internet in molte parti del mondo per diverse ore. Questo noto

Dettagli

Botnet e APT, una minaccia crescente per i Service Provider

Botnet e APT, una minaccia crescente per i Service Provider Botnet e APT, una minaccia crescente per i Service Provider Page 1 of 7 - Confidenziale Indice 1. Il Contesto Attuale: APT e Minacce Evolute... 3 2. Inefficacia degli attuali sistemi di sicurezza... 3

Dettagli

Status report del gruppo di lavoro GARR sec-sensori

Status report del gruppo di lavoro GARR sec-sensori Status report del gruppo di lavoro GARR sec-sensori Alessandro Agostini 1, Federico Bitelli 2, Cecilia Catalano 3, Roberto Cecchini 4, Giacomo Fazio 5, Luigi Gangitano 6, Eleonora Teti 7 Abstract Questo

Dettagli

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio Modulo 1 Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio La sicurezza dei sistemi informatici Tutti i dispositivi di un p.c.

Dettagli

Autenticazione ed integrità dei dati Firewall

Autenticazione ed integrità dei dati Firewall Pagina 1 di 9 Autenticazione ed integrità dei dati Firewall Per proteggere una rete dagli attacchi provenienti dall'esterno si utilizza normalmente un sistema denominato Firewall. Firewall è un termine

Dettagli

Symantec Network Access Control Starter Edition

Symantec Network Access Control Starter Edition Symantec Network Access Control Starter Edition Conformità degli endpoint semplificata Panoramica Con è facile iniziare a implementare una soluzione di controllo dell accesso alla rete. Questa edizione

Dettagli

Sistemi firewall. sicurezza reti. ICT Information & Communication Technology

Sistemi firewall. sicurezza reti. ICT Information & Communication Technology Sistemi firewall sicurezza reti Firewall sicurezza In informatica, nell ambito delle reti di computer, un firewall è un componente passivo di difesa perimetrale di una rete informatica, che può anche svolgere

Dettagli

UN APPROCCIO INTEGRATO ALLA SICUREZZA

UN APPROCCIO INTEGRATO ALLA SICUREZZA UN APPROCCIO INTEGRATO ALLA SICUREZZA Le diverse soluzioni per la sicurezza si sono evolute nel corso degli anni al fine di indirizzare problematiche specifiche, andandosi così a posizionare in punti precisi

Dettagli

Protezione della propria rete

Protezione della propria rete Protezione della propria rete Introduzione Questo documento vuole essere un promemoria per la protezione della propria rete informatica oltre che fornire una checklist di supporto nelle modalità di progettazione

Dettagli

Sicurezza architetturale, firewall 11/04/2006

Sicurezza architetturale, firewall 11/04/2006 Sicurezza architetturale, firewall 11/04/2006 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di lui Consente o nega il passaggio

Dettagli

Alessandro Tanasi. alessandro@tanasi.it. http://www.tanasi.it. Alessandro Tanasi alessandro@tanasi.it. La sicurezza informatica nelle aziende

Alessandro Tanasi. alessandro@tanasi.it. http://www.tanasi.it. Alessandro Tanasi alessandro@tanasi.it. La sicurezza informatica nelle aziende La sicurezza informatica nelle aziende Alessandro Tanasi alessandro@tanasi.it http://www.tanasi.it 1 Introduzione società dipendente dalla tecnologia definizione di sicurezza informatica gli obbiettivi

Dettagli

La virtualizzazione dell infrastruttura di rete

La virtualizzazione dell infrastruttura di rete La virtualizzazione dell infrastruttura di rete La rete: la visione tradizionale La rete è un componente passivo del processo che trasporta i dati meglio che può L attenzione è sulla disponibilità di banda

Dettagli

La sicurezza nel commercio elettronico

La sicurezza nel commercio elettronico La sicurezza nel commercio elettronico Dr. Stefano Burigat Dipartimento di Matematica e Informatica Università di Udine www.dimi.uniud.it/burigat stefano.burigat@uniud.it Sicurezza digitale Budget per

Dettagli

ANALISI DÌ MALWARE E SOLUZIONI DÌ DIFESA. Tesina di Matteo Neri A.S. 2008-2009

ANALISI DÌ MALWARE E SOLUZIONI DÌ DIFESA. Tesina di Matteo Neri A.S. 2008-2009 ANALISI DÌ MALWARE E SOLUZIONI DÌ DIFESA Tesina di Matteo Neri A.S. 2008-2009 Sommario - Introduzione - Analisi di malware - Soluzioni di difesa - Previsioni sul futuro del malware Prima Parte Introduzione

Dettagli

InfoCertLog. Allegato Tecnico

InfoCertLog. Allegato Tecnico InfoCertLog Allegato Tecnico Data Maggio 2012 Pagina 2 di 13 Data: Maggio 2012 Sommario 1. Introduzione... 3 2. Le componenti del servizio InfoCertLog... 4 2.1. Componente Client... 4 2.2. Componente Server...

Dettagli

La sicurezza in rete

La sicurezza in rete La sicurezza in rete Sommario Il problema della sicurezza in rete: principi di base Tipologie di attacchi in rete Intercettazioni Portscan Virus Troiani Spyware Worm Phishing Strumenti per la difesa in

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Versione 2 Milano 14 Luglio 2006 Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603

Dettagli

BOLLETTINO DI SICUREZZA INFORMATICA

BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 3/2008 Il bollettino può essere

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing Chiara Braghin chiara.braghin@unimi.it Sniffing (1) Attività di intercettazione passiva dei dati che transitano in una rete telematica, per:

Dettagli

La sicurezza al di là del firewall. INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.

La sicurezza al di là del firewall. INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit. La sicurezza al di là del firewall INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.it Una famiglia di prodotti Retina Network Security Scanner

Dettagli

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall Il firewall ipfw Introduzione ai firewall classificazione Firewall a filtraggio dei pacchetti informazioni associate alle regole interpretazione delle regole ipfw configurazione impostazione delle regole

Dettagli

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti L attività di un Ethical Hacker Esempi pratici, risultati e contromisure consigliate Massimo Biagiotti Information Technology > Chiunque operi nel settore sa che il panorama dell IT è in continua evoluzione

Dettagli

La soluzione Cisco Network Admission Control (NAC)

La soluzione Cisco Network Admission Control (NAC) La soluzione Cisco Network Admission Control (NAC) Oggi non è più sufficiente affrontare le problematiche relative alla sicurezza con i tradizionali prodotti per la sola difesa perimetrale. È necessario

Dettagli

SIDA Multisede online

SIDA Multisede online SIDA Multisede online Manuale tecnico per uso esclusivo dei tecnici installatori e della rete commerciale Sida By Autosoft Versione 2009.1.1 Revisione 1, 11 maggio 2009 Tutti i diritti sono riservati dagli

Dettagli

TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE

TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE I.C.T. Information and Communication Technology TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI

Dettagli