Tecnologie innovative per il rilevamento e il contrasto degli attacchi informatici

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Tecnologie innovative per il rilevamento e il contrasto degli attacchi informatici"

Transcript

1 SICUREZZA Tecnologie innovative per il rilevamento e il contrasto degli attacchi informatici GERARDO LAMASTRA LUCA VIALE Il costante aumento della complessità delle reti, dei sistemi e dei servizi richiede l adozione di approcci innovativi al rilevamento e alla scoperta degli attacchi informatici. I sistemi di rilevamento, sia quelli mirati alla protezione del backbone, sia quelli mirati alla protezione della Intranet e degli utenti, sono una componente fondamentale di una moderna infrastruttura di sicurezza. L articolo descrive e analizza lo stato dell arte in questo settore, con particolare attenzione agli aspetti emersi nel campo della ricerca e illustra i risultati delle attività di studio e innovazione condotte in Telecom Italia Lab. 1. Introduzione I sistemi di rilevazione e prevenzione delle intrusioni (IDS - Intrusion Detection System) sono divenuti, negli ultimi venti anni, uno degli elementi fondamentali dell architettura di sicurezza di una rete informatica. Un sistema di Intrusion Detection è l analogo informatico del sistema di allarme che protegge un abitazione o una banca. Come un vero e proprio sistema di allarme, un IDS è caratterizzato dai seguenti elementi: sensori, per il rilevamento degli eventi indesiderati o delle condizioni anomale nell ambiente monitorato; sistema di raccolta e di correlazione delle informazioni fornite dai sensori, in grado di decidere se è effettivamente il caso di emettere una segnalazione; meccanismo di segnalazione, tipicamente multimodale (per esempio la sirena ed un avviso inviato direttamente alle forze dell ordine). Anche i sistemi di Intrusion Detection sono caratterizzati fondamentalmente dalle stesse componenti; inoltre, proprio come i sistemi di allarme tradizionali, i sistemi IDS, essendo dei sistemi automatici, possono essere aggirati, specie se si ha una conoscenza molto approfondita di come sono dislocati e configurati. L obiettivo di questo articolo è quello di presentare la tematica attraverso un analisi dettagliata dello stato dell arte, illustrando quindi i risultati ottenuti nell ambito dell attività di ricerca svolta presso il laboratorio Be-Secure di Telecom Italia Lab. 2. L evoluzione dei sistemi di Intrusion Detection Il 1987 si può considerare, a tutti gli effetti, come l anno in cui si inizia pubblicamente a parlare delle tecnologie di rilevazione delle intrusioni; in particolare, Il lavoro di D. Denning [1] si può consi- NOTIZIARIO TECNICO TELECOM ITALIA Anno 14 n. 1 - Giugno

2 derare l articolo scientifico di riferimento su questo importantissimo tema. Oggi, esistono numerosi sistemi commerciali di Intrusion Detection e vari progetti portati avanti dalla comunità Open Source, tuttavia i problemi da risolvere sono ancora molti e le opportunità di ricerca sono ancora significative. Dal momento che gli IDS nascono come sistemi di protezione per una infrastruttura limitata, è naturale che il loro ambito tradizionale sia quello del data center o della Intranet aziendale. Lo sviluppo recente delle reti informatiche, caratterizzato da un aumento pressoché esponenziale della banda disponibile, dall aumento della connettività di tipo always on (disponibile anche per l utenza casalinga e SOHO) e dall aumento della mobilità, grazie all uso delle tecnologie cellulari di nuova generazione e wireless, comporta un sempre maggiore allargamento dei confini da proteggere. L IDS diviene dunque un componente strategico, che deve operare su diversi livelli, partendo da quello dell utente inesperto, passando per l utenza largebusiness di tipo tradizionale, fino ad arrivare a coinvolgere direttamente il gestore dell infrastruttura, e dunque i grossi operatori nazionali di telecomunicazioni. I sistemi di rilevazione delle Intrusioni nascono in un ambito prevalentemente militare, sebbene siano strettamente correlati all attività di alcuni ricercatori universitari operanti nell ambito della sicurezza delle informazioni. Nel 1980, l articolo di J. Anderson [2] introduce il problema del monitoraggio dei sistemi informativi, in particolare di quelli utilizzati per operazioni di tipo militare; poco dopo, D. Denning inizia a lavorare sui sistemi di rilevazione delle intrusioni, anche grazie alla sponsorizzazione offerta da varie entità governative. Alla fine degli anni Ottanta, molte strutture universitarie hanno un progetto incentrato sul tema della rilevazione delle intrusioni; pensiamo al progetto Haystack dell Università di Davis in California [3], ad IDES del Computer Science Laboratory dell SRI [4], ed al progetto IDIOT [5] del CERIAS dell università di Purdue. All inizio degli anni Novanta, la rete Internet esce dal contesto puramente accademico/militare e si avvia a diventare la più grande infrastruttura informatica del pianeta; all inizio, come spesso accade, le problematiche di sicurezza passano in secondo piano rispetto a quelle dell usabilità. Inoltre, la maggior parte degli attacchi sono appannaggio di una elite esclusiva e non ancora alla portata di tutti. Si ritiene che il livello di sicurezza offerto da un firewall sia tutto ciò che serve per proteggere la propria infrastruttura. Nel frattempo, seguendo un trend abbastanza tipico (almeno negli USA), alcuni gruppi di ricerca che hanno prodotto i prototipi più interessanti di sistemi per la rilevazione delle intrusioni, iniziano ad evolversi in società start up. È il caso di Haystack Labs, che commercializza l omonimo prodotto, di NFR (Network Flight Recorder, tuttora presente sul mercato), o di Network ICE, fondata da R. Graham (oggi leader dell area R&D di Internet Security Services, ISS). Allo stesso tempo, gli attacchi divengono più difficili da rilevare, più facili da orchestrare e sempre più alla portata di tutti. Diventa sempre più evidente che non si può ottenere la sicurezza usando un solo dispositivo e, quindi, gli IDS iniziano ad diventare elementi sempre più essenziali di una infrastruttura di protezione che ha il suo paradigma nella cosiddetta Defense in Depth [6]. Contestualmente, anche la tecnologia IDS inizia a svilupparsi seguendo altre strade: appaiono i primi sistemi che integrano il firewall e l IDS; la linea di demarcazione che separa i sistemi di rilevazione da quelli di contromisura diventa più sottile, così da una parte i firewall iniziano ad integrare meccanismi di ispezione del traffico sempre più sofisticati mentre gli IDS imparano a rispondere direttamente agli attacchi rilevati, trasformandosi appunto in sistemi di prevenzione. L apparizione dei primi attacchi di tipo distribuito ed i drammatici effetti del numero crescente di worm che si propagano sulla rete, fanno presagire le possibilità di un enorme black out informatico. Appaiono così i primi sistemi pensati esplicitamente per la protezione dell infrastruttura, come i router ed altri sistemi di interconnessione. Le aziende più importanti nel contesto informatico, quali Cisco, Symantec, Internet Security Systems investono cifre considerevoli per acquisire la tecnologia di varie start up, allo scopo di offrire nella propria offerta di sicurezza anche un sistema di rilevazione delle intrusioni. Gli anni successivi al 2000 sono caratterizzati da una relativa stasi, almeno nel settore della ricerca e sviluppo; la tecnologia dominante è rappresentata dai sistemi di Network-IDS, che operano analizzando in maniera estremamente ottimizzata i flussi di pacchetti che attraversano i perimetri aziendali. L attenzione dei produttori si sposta sulle problematiche di gestione, incentrate sulla necessità di ridurre l enorme mole di dati generata da questi sistemi. Iniziano anche a diffondersi dei dubbi sulla validità effettiva di questo tipo di tecnologie [7]; molte aziende comprano le sonde e le installano, ma l investimento necessario per mantenere un proprio gruppo interno che si occupi del monitoraggio risulta proibitivo; spesso i costi per un servizio di sicurezza gestito sono insostenibili, a meno di non possedere una propria tecnologia di IDS ed un proprio team per la messa a punto degli aggiornamenti necessari al sistema per riconoscere nuovi attacchi. Oggi, la tendenza prevalente dei produttori è quella di proporre soluzioni di tipo All in One, che integrino su una singola appliance, firewall, IDS ed antivirus; questo tipo di meccanismi sposta il baricentro della tecnologia dai sistemi puramente passivi verso tecnologie di prevenzione IPS (Intrusion Prevention System). Gli IPS, a differenza dei sensori che operano in modo passivo, divengono elementi attivi dell infrastruttura, agendo direttamente ai livelli 2 e 3 della pila protocollare, ed intervenendo direttamente sul transito dei pacchetti, con un livello di analisi notevolmente più complesso rispetto a quello dei firewall tradizionali. La loro 98 NOTIZIARIO TECNICO TELECOM ITALIA Anno 14 n. 1 - Giugno 2005

3 adozione è comunque contrastata dagli effetti collaterali connessi alla loro elevata complessità (dovuta in moltissimi casi alla necessità di mantenere lo stato della sessione e di utilizzare algoritmi più complicati rispetto a quelli tradizionalmente impiegati in firewall ed antivirus) che potrebbe ritorcersi contro l infrastruttura stessa. Se infatti un dispositivo di questo tipo dovesse per qualche motivo diventare non operativo, l intera sottorete protetta rischierebbe di essere tagliata fuori. Anche le tecnologie non strettamente basate sull approccio di tipo network based vivono una fase difficile; strette infatti tra la morsa dei sistemi antivirus e dei sempre più diffusi personal firewall, i sistemi IDS di tipo host based stentano a diffondersi seriamente; la tendenza prevalente è quella dell approccio integrato firewall e IDS, specie nell ambito workstation, dove è possibile sfruttare efficacemente il feedback diretto dell utente. Molti amministratori di sistema continuano a non vedere di buon occhio l installazione di un sistema IDS host based, a causa del potenziale overhead computazionale che graverebbe sul sistema. D altra parte, i grossi gestori di infrastrutture, hanno una necessità sempre maggiore di dotarsi di sistemi specifici per proteggere le loro risorse tecnologiche; gli strumenti standard per la rilevazione delle intrusioni male si adattano a questo compito, in particolare in previsione della trasformazione della rete telefonica tradizionale in una rete basata sul protocollo IP. Uno degli aspetti più critici dal punto di vista del gestore di rete è rappresentato dalle problematiche correlate ai protocolli di routing. Sebbene alcuni protocolli integrino alcune caratteristiche di sicurezza (come la possibilità di autenticare in modo forte le transazioni fra i router) o esistano delle soluzioni specifiche a livello dei singoli apparati (come la possibilità di eseguire un filtraggio sofisticato dei pacchetti), la maggior parte degli amministratori di rete tende a non utilizzare questi meccanismi. I motivi sono molteplici: spesso l overhead computazionale è elevato (e dunque si riduce la banda gestita dall apparato), oppure possono crearsi dei problemi di interoperabilità tra le soluzioni di differenti produttori o ancora perché, come accade nei peer BGP, l abilitazione e la configurazione delle funzionalità di sicurezza richiede spesso la collaborazione di differenti operatori. L attività svolta a partire dal 2003 nel gruppo di sicurezza informatica di Telecom Italia Lab (Be- Secure) si concentra in particolare su due aspetti: L evidenza che i sistemi tradizionali di IDS non risultano sempre adeguati rispetto alle esigenze dell operatore di telecomunicazioni; infatti, questi sistemi sono tipicamente pensati per ambiti di tipo Intranet/Corporate. L infrastruttura di rete di un grosso gestore di telecomunicazioni richiede invece una grande flessibilità dovendo gestire una molteplicità di tipologie di rete, a partire dall utenza domestica sotto forma di ADSL, fino alle offerte per aziende con particolari requisiti di sicurezza, quali banche o sanità. Oltre alla rete in senso classico, esiste poi la dorsale di trasporto (backbone), che ha ovviamente delle caratteristiche e delle peculiarità completamente differenti rispetto alle reti convenzionali; l utilizzo di una soluzione standard è quindi di difficile applicabilità. La constatazione che il controllo dei costi associati all IDS è abbastanza problematico; al di là dei costi iniziali delle sonde, gli IDS sono dei sistemi che richiedono un continuo aggiornamento. Se si guarda il recente trend sul numero medio di vulnerabilità nuove riscontrate per ogni anno [8], si nota chiaramente un andamento abbastanza il linea con la legge di Moore, la stessa legge che caratterizza in generale la diffusione di tutto ciò che è computing technology. In più, oltre ai costi dovuti all aggiornamento, è essenziale tener conto anche dei costi di funzionamento, tutt altro che affidabile, dei sistemi di rilevazione. È ben noto che il numero di falsi allarmi generati dai sensori può diventare elevatissimo, soprattutto in ambienti estremamente eterogenei o laddove sia difficile operare una configurazione molto fine del sensore. Ogni falso allarme genera un costo dovuto alla necessità di gestire, seppure in minima parte, l evento ma ha un effetto molto più negativo e meno misurabile, correlato alla tendenza da parte di chi esegue il monitoraggio, di considerare tutti gli eventi come falsi allarmi; e così, paradossalmente, un sensore IDS finisce per essere utilizzato spesso come uno strumento per l analisi a posteriori di un evento pericoloso verificatosi sulla rete piuttosto che come il primo campanello di allarme per rendersi conto che sta accadendo qualcosa di negativo. L obiettivo dell attività di ricerca svolta presso Telecom Italia Lab nell ultimo biennio è stato pertanto quello di ideare, ove possibile, una serie di soluzioni tecnologiche focalizzate sulla rilevazione delle intrusioni nei diversi domini concettuali: a livello del singolo sistema (host), a livello delle reti (wired e wireless), per arrivare fino al livello dei sistemi di infrastruttura. L attività di ricerca è stata distribuita su tre progetti (EAGLE - Innovative Intrusion Detection; RDS - Routing Detection Security; WIDS - Wireless Intrusion Detection System); sono stati ottenuti numerosi risultati interessanti, sia per ciò che riguarda gli aspetti innovativi (che ha dato luogo a numerose domande di brevetto), sia per ciò che riguarda la prototipazione dei sistemi (che ha visto la realizzazione di sistemi realmente funzionanti, sia in laboratorio, sia durante specifici test in campo). 3. Stato dell arte e ricerca scientifica I sistemi di Intrusion Detection non sono più una tecnologia innovativa; anzi, da un certo punto di vista, si possono considerare relativamente maturi dal momento che da diversi anni numerosi produttori offrono delle soluzioni commerciali. Tuttavia, gli IDS richiedono una competenza sensibilmente superiore da parte del personale di NOTIZIARIO TECNICO TELECOM ITALIA Anno 14 n. 1 - Giugno

4 gestione rispetto ad altri apparati di sicurezza e una messa a punto non ottimale può generare facilmente un numero elevato di eventi inutili. Una valutazione scorretta delle performance effettivamente necessarie potrebbe rendere il sistema incapace di rispondere in maniera adeguata. Inoltre, molto spesso è difficile capire cosa esattamente è accaduto su un sistema attaccato, partendo dalle indicazioni fornite dall IDS. Tutte queste problematiche d uso hanno un notevole impatto pratico, oltre che economico, che è fortemente amplificato nel contesto di grandi installazioni. È importante capire come valutare in maniera appropriata almeno gli aspetti essenziali che caratterizzano un IDS, sia per eseguire una scelta corretta sulla tecnologia da impiegare, sia per valutare fino in fondo quali sono i vantaggi che un certo meccanismo può effettivamente fornire. Le metriche più importanti per valutare un IDS sono tre: 1) Numero di Falsi Positivi (#FP): un falso positivo è un evento che l IDS ritiene significativo e che invece non ha alcun effetto reale sul sistema. Potrebbe ad esempio derivare dall identificazione di un tentativo di attacco verso una macchina che non è vulnerabile, dal fatto che il pacchetto pericoloso potrebbe, per qualche altro motivo, non raggiungere mai il sistema bersaglio, o più semplicemente da un vero e proprio errore di rilevazione; 2) Numero di Falsi Negativi (#FN): un falso negativo è un evento dannoso che il sistema non riesce ad identificare. Ciò solitamente accade perché viene utilizzato un attacco che il sistema non conosce, oppure perché l attacco viene offuscato o mascherato in qualche modo; come vedremo, la frammentazione è uno dei meccanismi classici per aggirare un IDS. 3) Capacità di carico: a differenza dei due fattori indicati in precedenza, correlati prevalentemente all efficacia di funzionamento del sistema, la capacità di carico è una misura dell efficienza; in pratica, è una valutazione del massimo carico che il sistema può sostenere mantenendo la capacità di eseguire l analisi. Nel contesto dei sistemi network, si può misurare sia in termini di byte/s, sia in termini di pacchetti/s; di solito, è importante poter disporre di entrambi i valori per avere una valutazione completa del sistema. Nel contesto dei sistemi host-based, si misurano tipicamente le risorse sottratte al sistema ospite; è evidente che un IDS host-based che sottrae più del 50% delle risorse di calcolo e/o memoria disponibili al sistema ospite ha delle pessime performance. Ovviamente, in un ambito strategico/commerciale, la metrica correlata ai costi è importante quanto quella di tipo più squisitamente tecnologico; sebbene questo articolo non entri nel merito Interprete di eventi della questione, è bene osservare che il costo associato ad un IDS può essere considerato come la somma di quattro contributi sostanziali: costo dell hardware necessario, costo delle licenze software, costo degli aggiornamenti e costo associato alla gestione del sistema (in altre parole, il costo dovuto al fatto che il sistema va comunque monitorato da personale specializzato). Dal punto di vista scientifico, trattandosi di una tecnologia non recentissima, è opportuno basarsi su un approccio tassonomico per descrivere meglio tutti gli aspetti significativi relativi ad un sistema di IDS. Come vedremo, la classificazione adottata risente notevolmente del fatto che, storicamente, i primi IDS sono stati sistemi di tipo network based; tuttavia, la classificazione è sufficientemente generale da adattarsi anche ai sistemi di tipo host ed a quelli pensati specificatamente per la protezione delle infrastrutture. La classificazione a cui facciamo riferimento è quella del CIDF (Common Intrusion Detection Framework) [9]; questo risultato è uno dei frutti dell attività iniziata da T. Lunt all Information Technology Office della DARPA e sviluppatasi poi come sforzo mirante a definire una sorta di architettura standard per l interoperabilità degli IDS. In accordo a questa classificazione, un IDS è composto da 4 elementi essenziali, come illustrato in figura 1: E-Box: si occupa di raccogliere gli eventi rilevanti dal sistema sotto analisi; questo elemento è il sensore vero e proprio e si interfaccia con il sistema in maniera solitamente passiva per catturare tutte le informazioni significative per l analisi; A-Box: è il cuore del sistema, che effettua l analisi e stabilisce se effettivamente l evento è un attacco o meno; D-Box: è il sistema di memorizzazione, che ha l obiettivo di mantener traccia di ciò che è accaduto; Analisi (A-box) Flusso dati Generatore di contromisure Reazione (R-box) Eventi (E-box) FIGURA 1 Architettura generica di un sistema di IDS. Memorizzazione eventi Memorizzazione (D-box) Fonte: GDF 100 NOTIZIARIO TECNICO TELECOM ITALIA Anno 14 n. 1 - Giugno 2005

5 R-Box: è il sistema di reazione, che può limitarsi ad emettere un allarme per il personale di monitoraggio, oppure eseguire automaticamente una contromisura appropriata per l attacco identificato. In base a questo schema, è possibile classificare un IDS in base ai quattro meccanismi essenziali, correlati appunto alle Box che compongono lo schema. Ad esempio, il meccanismo di raccolta degli eventi (la E-Box) può essere tipicamente la rete, il singolo host, un sistema ibrido (host/network) o una componente rappresentata da un dispositivo specifico. Ovviamente, per ciò che riguarda le metodologie di analisi, esiste la più ampia diversificazione, sebbene si possano individuare due grandi paradigmi: Misuse Detection e Anomaly Detection, che sono descritti in dettaglio nel riquadro di approfondimento Misure Detection & Anomaly Detection. Nelle fasi iniziali della ricerca, sono sorti svariati progetti universitari che hanno approfondito l utilizzo di una particolare tecnica algoritmica; abbiamo così IDS che lavorano con il classico meccanismo del pattern matching, oppure sistemi che lavorano utilizzando algoritmi di tipo rete neurale, sistema esperto, genetico e statistico. I meccanismi di reazione possono essere essenzialmente di due tipi: passivi, che si limitano ad inoltrare un avviso al personale che si occupa della gestione, o attivi che invece eseguono autonomamente una qualche contromisura. Sebbene l adozione dei meccanismi di reazione attivi abbia portato allo sviluppo dei cosiddetti sistemi di prevenzione delle intrusioni (IPS), non bisogna dimenticare che un sistema di questo genere rischia di trasformarsi in un arma a doppio taglio, nel caso in cui le contromisure scattino a fronte di un falso positivo che è invece associato ad un pacchetto perfettamente lecito che somiglia apparentemente ad un pacchetto pericoloso. Per ciò che riguarda il supporto di memorizzazione, in generale si possono avere sia sistemi che utilizzano un infrastruttura classica basata su un data base relazionale, sia sistemi più sofisticati, spesso poi evolutisi come prodotti indipendenti, che sono utilizzati come veri e propri sistemi di raccolta e correlazione. Questo genere di sistemi aggregano eventi provenienti da un numero estremamente elevato di sorgenti, spesso molto diverse l una dall altra. Gli eventi sono prima trasformati in una rappresentazione normalizzata e, quindi, sono confrontati con una serie di regole, spesso scritte in qualche linguaggio di specifica più o meno formale, per evidenziare macro-anomalie, comportamenti irregolari o, in generale, qualsiasi evento di interesse che possa essere descritto sfruttando il linguaggio fornito. L approccio senza dubbio più diffuso nell ambito dei sistemi IDS è rappresentato dall uso di sistemi di tipo network con una logica basata sul pattern matching. Questo approccio caratterizza quasi tutte le soluzioni commerciali più diffuse (ISS Network Sensor, SourceFire, Enterasys Dragon) e molti sistemi open source sia nuovi (Snort [11]) che vecchi (Shadow [12], NID [13], IDIOT [5]). Nel caso specifico, parlando di pattern matching (si veda il riquadro Modelli formali per il problema del Pattern Matching ), si intende una tecnica di individuazione di una o più sequenze MISUSE DETECTION & ANOMALY DETECTION Con la definizione di Misuse Detection si intende la tecnica di rilevamento delle intrusioni volta a modellare il comportamento improprio o illecito del sistema [10] attraverso la definizione di uno o più schemi o pattern. Un pattern rappresenta, quindi, una classificazione dell attacco in termini di informazioni a priori che permettono di individuare e classificare ciò che è malevolo. La tecnica specifica più comune nell ambito dei sistemi di tipo network è il pattern matching, che è in un certo senso il sistema di Misuse Detection per eccellenza. Altri approcci basati sul paradigma Misuse Detection includono l uso dei sistemi esperti e dei sistemi basati su modelli formali e semi-formali che cercano di riconoscere l insieme di transizioni eseguito da un sistema per arrivare alla condizione di bersaglio. Il paradigma Anomaly Detection si basa, invece, su di un principio duale rispetto a quello descritto in precedenza: l'ids non cerca di individuare gli schemi di attacchi ben noti, ma eventuali anomalie nel comportamento dell'oggetto monitorato (rete, host, applicativo,.). Di conseguenza, la costruzione di un rilevatore di questo tipo inizia con un'accurata definizione del modello normale di comportamento del sistema da monitorare. In seguito vengono definite le regole che governano il rilevamento vero e proprio: fondamentalmente, per ciascuna variabile del modello viene indicato l intervallo di variazione (spesso definito deviazione) che rappresenta la soglia tra una situazione normale ed una che non lo è. I sistemi di tipo Anomaly Detection non hanno bisogno della descrizione di ogni singolo attacco ed in più possono individuare potenzialmente molti più attacchi al sistema monitorato, siano essi noti o meno. Ovviamente tale capacità rappresenta un vantaggio rispetto ai sistemi di Misuse Detection, che necessitano di aggiornamenti continui del database contenente la descrizione degli attacchi. Lo svantaggio principale del sistema è rappresentato dalla notevole difficoltà della sua messa a punto. Infatti, questi tipi di sistemi reagiscono tipicamente a qualsiasi cosa che non sia stata marcata come ammissibile e dunque producono molti più falsi positivi rispetto ai sistemi di tipo Misuse. Inoltre, un ulteriore problema può essere anche rappresentato dalla minore possibilità di fornire informazioni precise sul tipo di attacco corrispondente ad un'anomalia rilevata. NOTIZIARIO TECNICO TELECOM ITALIA Anno 14 n. 1 - Giugno

6 Modelli formali per il problema del PATTERN MATCHING Il problema del pattern matching [14]. è uno dei grandi problemi classici dell informatica teorica. La letteratura disponibile è davvero moltissima, così come gli ambiti applicativi; in particolare nel contesto della sicurezza dei sistemi informativi, pensiamo agli IDS ed agli antivirus; fra gli altri campi applicativi, citiamo invece quello dell analisi delle sequenze di geni, che di recente ha creato un rinnovato interesse in questo particolare ambito di ricerca. Di seguito descriviamo brevemente i quattro approcci che consideriamo rappresentativi per ciò che riguarda il problema del pattern matching: Regular Expression (RE): questa classe di algoritmi ricerca sul flusso di byte in input le cosiddette espressioni regolari. È una ricerca di pattern di tipo lineare con una semantica ben nota (le RE sono ampiamente utilizzate in moltissimi contesti applicativi dell informatica); il vantaggio principale sta nella relativa semplicità con cui è possibile scrivere le regole. Deterministic Context Free Grammars (CFG): gli algoritmi che appartengono a questa categoria sono caratterizzati da una grammatica costituita da simboli semplici (cioè che possono assumere un unico valore deterministico) a cui vengono applicate regole semantiche. L output è un albero simile ad un parse-tree costruito dal parser di un compilatore che rappresenta una signature. Attribute Grammars: gli algoritmi che appartengono a questa categoria offrono un potente meccanismo di rappresentazione delle signature con lo svantaggio che non forniscono un modello grafico facilmente interpretabile. Una Attribute Grammar può essere vista come una CFG in cui i simboli possono assumere più valori, chiamati per l appunto attributi. L individuazione di un attributo per un simbolo è legato all azione che determina l elezione di quel simbolo. Quindi, ad ogni passo dell algoritmo di pattern matching, un simbolo è caratterizzato dalla coppia (azione, attributo). Colored Petri Nets: le Reti di Petri sono uno dei modelli formali più noti nel contesto dell informatica teorica. Tipicamente, vengono usate per modellare problemi di concorrenza e per il riconoscimento di specifiche sequenze di eventi. Gli algoritmi che rientrano in questa categoria permettono una rappresentazione delle signature in termini di grafi con la possibilità di inserimento di informazioni legate alla semantica di un attacco; la loro potenza espressiva è molto simile a quella delle Attribute Grammar. ben specificate e contigue di simboli, dette signature, all interno di un flusso continuo di simboli. Tipicamente, nella stragrande maggioranza dei casi, i simboli sono essenzialmente byte, ma possono anche essere caratteri unicode, word a 32 bit o altro. Esistono diversi modelli formali per inquadrare il problema del pattern matching; in pratica, nella stragrande maggioranza dei casi vengono utilizzate le espressioni regolari per la loro immediatezza d uso ed anche perché esistono ottimi algoritmi applicabili al caso in cui si voglia eseguire una ricerca simultanea di numerose signature su un singolo flusso di dati. Oltre tutto, non bisogna dimenticarsi che, oltre a disporre di un buon sistema per l analisi delle regole, è altresì necessario riuscire a codificare i tratti caratteristici di un attacco in una signature specifica. Pertanto, l uso di un approccio più semplice (anche se meno potente) è probabilmente preferibile, vista la rapidità con cui è necessario scrivere una signature dopo che l attacco viene reso noto. Negli ultimi anni lo sforzo di sviluppo degli IDS tradizionali in ambito open source si è concentrato attorno al progetto Snort [11] di M. Roesch, che è rapidamente diventato uno degli strumenti di riferimento di tutta la comunità della ICT security. Come molti progetti open source di successo, Snort ha generato una community molto attiva che continua lo sviluppo del sistema. Inoltre, la possibilità di disporre di un sistema aperto, consente di provare in maniera molto rapida l efficacia di un nuovo algoritmo o di un meccanismo di analisi differente da quello usuale, permettendo di confrontare in maniera immediata e trasparente l effetto in termini di efficacia ed efficienza. Uno dei risultati più interessanti emersi durante l evoluzione del progetto è l ottimizzazione dell algoritmo di pattern matching nel contesto specifico degli IDS. Le prime implementazioni del motore di pattern matching sono basate sull algoritmo di Boyer-Moore [15]; questo algoritmo è sostanzialmente un algoritmo euristico che nella maggioranza dei casi è computazionalmente più efficiente dell algoritmo ottimo. Il numero crescente di signature ha di recente condotto all adozione dell algoritmo di Aho-Corasic [16] che è pensato per l analisi simultanea di numerose signature in un colpo solo. L approccio basato sull utilizzo di modelli formali (descritti sia per mezzo di regole, sia per mezzo di modelli basati sulle transizioni di stato) è stato caratterizzato da un discreto successo in ambito accademico, ma si è poi scontrato con la difficoltà pratica di codificare gli attacchi per mezzo degli strumenti forniti. In particolare, STAT [17,18] dell Università della California di S. Barbara è uno degli esempi più interessanti: si sfrutta una descrizione astratta del sistema in termini di modello ridotto dello stato e si cercano di modellare gli attacchi al sistema come insiemi di transizioni su tale modello. 102 NOTIZIARIO TECNICO TELECOM ITALIA Anno 14 n. 1 - Giugno 2005

7 Sebbene l approccio basato sul paradigma del Misuse Detection risulti prevalente, esistono comunque dei sistemi implementati con la logica dell Anomaly Detection che vale la pena di citare. Andare alla ricerca di anomalie sul sistema monitorato richiede di misurare una variazione di qualche proprietà dell oggetto in esame. Bisogna cioè avere una indicazione misurabile di ciò che si intende per comportamento ammissibile ed una soglia al di là della quale è lecito segnalare un comportamento sospetto. Gli approcci si possono sostanzialmente ricondurre a due filoni principali: Characteristic Deviation e Statistical Deviation. Una deviazione caratteristica offre una misura qualitativa (ad esempio, normalmente l'utente root non utilizza il servizio ftp ), mentre una deviazioni statistica è una misura quantitativa osservabile (ad esempio, il traffico icmp della rete monitorata non supera normalmente il 15% del traffico totale ). Per quanto riguarda la natura delle informazioni necessarie per effettuare le misure, i sistemi di tipo Anomaly Detection si possono così classificare: Behavioral Based: si tratta di sistemi che misurano deviazioni di tipo caratteristico (eventualmente integrandole con alcune misure statistiche); tali sistemi si basano sulla creazione di un profilo che caratterizza il comportamento normale dell'oggetto monitorato. Normalmente, questi sistemi lavorano in due distinte modalità; all inizio, durante la fase di addestramento (training), il sistema campiona l oggetto monitorato per definire il comportamento ammissibile; è essenziale che il sistema in questa fase venga protetto da qualsiasi attacco; in una seconda fase, il sistema sfrutta ciò che ha appreso (ed eventualmente rimaneggiato in modo opportuno) per identificare gli scostamenti dalla norma. La tecnologia soggiacente a tali sistemi è tipicamente basata su reti neurali, sistemi fuzzy o emulazione del sistema immunitario. Traffic Pattern: si tratta di sistemi molto tipici nell ambito network/infrastruttura; lavorano prevalentemente sfruttando modelli di tipo statistico, valutando la distribuzione temporale e spaziale del traffico, estrapolandone le caratteristiche significative (es. numero di connessioni per unità di tempo, numero di pacchetti scambiati,....); questo tipo di sistemi trova un suo ambito applicativo naturale nel rilevare gli attacchi di tipo DDoS (Distributed Denial of Services), che mirano ad esaurire le risorse disponibili convogliando in modo ben coordinato un enorme numero di richieste verso il sistema da attaccare. Solitamente, i profili di traffico durante queste condizioni particolari differiscono sensibilmente dalla situazione standard; pertanto è possibile identificare il comportamento anomalo fin dai primissimi istanti. Il paradigma della cosiddetta Immunologia Computazionale è uno degli approcci che ha riscosso il maggiore successo nell ambito della ricerca sugli IDS di tipo Anomaly Detection. L ispirazione è chiaramente di matrice biologica; è infatti ben noto che i sistemi biologici sono in grado di riconoscere una miriade di attacchi, anche strutturalmente molto differenti, e di mettere in piedi una adeguata risposta proprio per mezzo del sistema immunitario. Ovviamente, il reale funzionamento del sistema immunitario di un organismo superiore è estremamente complesso, essendo in grado di riconoscere un attacco già noto (nei confronti del quale la reazione è mirata e solitamente efficace), oppure di identificare attacchi sconosciuti, proprio in base ad un meccanismo che è effettivamente simile, a livello di paradigma, all Anomaly Detection. L'idea di applicare i principi che governano il funzionamento dei sistemi immunitari naturali alla protezione dei sistemi di calcolo, è stata esposta nel 1994 dal gruppo di ricerca di S. Forrest dell'università di New Mexico [19,20]. L'obiettivo del progetto è quello di costruire un sistema immunitario artificiale per i computer [21]. Gli IDS realizzati nell'ambito del progetto coprono praticamente tutti i contesti applicativi tradizionali: Application based, User based, Host based e Network based. Il principio comune implementato da tali sistemi è definito Negative Selection, un algoritmo che realizza appunto la distinzione tra ciò che è legittimo (siano essi utenti, azioni sul sistema operativo, connessioni di rete) e ciò che non lo è. L approccio basato sull Anomaly Detection di tipo Traffic Pattern è dominante nel contesto della sicurezza backbone. In questo settore la ricerca è molto meno matura rispetto al contesto più tipico dell Intrusion Detection ed i problemi che sono stati approfonditi sono fondamentalmente due: da una parte il tentativo di individuare e bloccare i DDoS che viene affrontato prevalentemente con tecniche di tipo statistico; dall altra abbiamo l analisi focalizzata sui protocolli di routing. I protocolli di routing, avendo la funzione di distribuire le informazioni relative alla topologia della rete, permettono ai pacchetti di essere inoltrati correttamente verso la destinazione finale. In assenza di informazioni di routing accurate, o in presenza di informazioni false, la trasmissione dei pacchetti attraverso la rete risulta inefficiente o addirittura impossibile. Questo fatto è di per se problematico, in quanto un eventuale attacco all infrastruttura di routing che regola il normale funzionamento del backbone, potrebbe avere delle conseguenze molto gravi poiché l attacco avrebbe pesanti effetti anche sulle altre reti, interconnesse al backbone, che si troverebbero ad essere completamente o in parte isolate dal resto della rete. Lo stato dell arte in questo specifico campo non vede, per il momento, emergere una soluzione di riferimento, anche se da qualche tempo i fornitori di soluzioni di sicurezza hanno reso disponibili alcune soluzioni che si propongono di rispondere al problema della sicurezza del backbone. Queste soluzioni, in teoria, si propongono di lavorare non solo sui livelli protocollari tipici degli end-point (dal trasporto in su), ma anche a livello di internetworking (dunque, essenzialmente sul livello 3). In pratica però, molte delle soluzioni disponibili non intervengono attivamente, interfacciandosi con i sistemi di routing utilizzati nel contesto da control- NOTIZIARIO TECNICO TELECOM ITALIA Anno 14 n. 1 - Giugno

8 lare, ma utilizzano informazioni derivate dagli apparati tramite tecniche standard (prelievo di variabili SNMP dalle MIB dedicate agli aspetti di routing) oppure utilizzando altre sorgenti di informazioni (NetFlow). L approccio classico della Network Intrusion Detection è difficilmente applicabile in questo contesto, dal momento che l utilizzo del pattern matching non permette di identificare immediatamente una condizione di funzionamento anomala. Attualmente, alcuni produttori specifici (in particolare Arbor Network e Riverhead) offrono soluzioni puntuali per alcuni problemi, quali ad esempio il contrasto degli attacchi Distributed- DoS, mentre i maggiori produttori (in particolare Cisco e Juniper) stanno portando avanti delle interessanti iniziative di ricerca e sviluppo. Con il discorso sul backbone, concludiamo la panoramica sullo stato dell arte. In questo articolo, non abbiamo la pretesa di essere completamente esaurienti. Abbiamo, infatti, ritenuto opportuno limitare la descrizione alle soluzioni che, a nostro avviso, risultano maggiormente interessanti. Il quadro fornito dovrebbe essere più che sufficiente per inquadrare gli aspetti rilevanti delle tecnologie più diffuse relative al contesto dell Intrusion Detection. 4. Dalla tecnologia ai prodotti: Intranet e Backbone IDS A partire dalla fine degli anni Novanta, molte delle soluzioni elaborate sia in ambito militare, sia nel contesto accademico iniziano ad essere implementate direttamente in contesti commerciali, seguendo la più classica logica dei prodotti di sicurezza. Chiaramente, la necessità di offrire un prodotto completo richiede di prendere in considerazione altri aspetti che non sono necessariamente legati alle problematiche della rilevazione in senso stretto. In ogni caso, il passaggio dal laboratorio all ambiente di esercizio porta ad evidenziare molti problemi ed anche alcuni limiti strutturali delle soluzioni identificate in ambito di ricerca. La soluzione largamente più diffusa nell ambito IDS è rappresentata da un sensore di tipo networkbased che lavora essenzialmente con un paradigma di tipo misure detection, in particolare con una logica di tipo pattern matching. Tutti i più importanti prodotti commerciali (ISS Proventia TM, Sourcefire TM, Dragon Enterasys TM, o Symantec Manhunt TM ) implementano una logica di questo genere, affiancandola poi con varie altre tecnologie specifiche che mirano a ridurre l incidenza dei falsi positivi e dei falsi negativi (si veda il riquadro ISS ProventiaTM e Sourcefire RNATM). Il problema dei falsi negativi è sicuramente quello più drammatico nel contesto degli IDS. Un falso negativo è spesso associato alla possibilità di modificare in modo più o meno arbitrario la forma dell attacco senza variarne la sostanza. Un intera classe di attacchi basati su questa problematica è rappresentata dall utilizzo della tecnica di frammentazione. In pratica, spezzettando in pacchetti molto piccoli il payload applicativo che contiene l attacco, si impedisce al sistema di pattern matching di funzionare in modo efficace. Un approccio più sottile consiste nell invio di frammenti che si sovrappongono in modo parziale; dal momento che il criterio con cui vengono trattati frammenti parzialmente sovrapposti non è univoco, è possi- ISS Proventia TM e Sourcefire RNA TM ISS (Internet Security System) propone con Proventia la tecnologia Fusion per la riduzione dei falsi positivi. Fusion correla i risultati dell analisi del Vulnerability Assessment con le segnalazioni del sensore di Intrusion Detection per determinare l impatto effettivo dell attacco sul sistema bersaglio. Il sistema esegue periodicamente una scansione delle rete che permette di identificare in modo puntuale le eventuali vulnerabilità presenti. Quando il sensore identifica un attacco, l informazione viene incrociata con i risultati della scansione più recente e se la macchina risulta vulnerabile, viene emesso un allarme di alta priorità; altrimenti, l evento viene conservato nel log, ma l operatore non viene coinvolto direttamente. Il vantaggio principale della tecnologia è quello di ridurre l incidenza dei falsi positivi; tuttavia, i problemi principali di questo approccio sono: la necessità di eseguire delle continue scansioni sulla rete monitorata e il potenziale disallineamento che può crearsi tra la configurazione reale della rete e quella vista da Fusion (perché, per esempio, è stata aggiunta una patch e non è ancora stata rieseguita la scansone). Sourcefire, l azienda di M. Roesch che commercializza Snort, propone un approccio alternativo, denominato RNA (Real-time Network Awareness). Il vantaggio prevalente rispetto alla soluzione di ISS è quello di essere appunto real time nella rilevazione. Infatti, non appena un sistema viene modificato o aggiunto alla rete da monitorare, sfruttando una serie di tecniche di analisi passiva dei pacchetti, RNA è in grado di identificare numerose caratteristiche del sistema, e dunque di associare agli eventi generati dal sensore una indicazione relativa al potenziale impatto dell evento. Ad esempio, se si identifica un attacco per un server Linux diretto ad una macchina Windows (o viceversa), RNA è in grado di disattivare l allarme, che è sicuramente un falso positivo. La limitazione principale di questo approccio è legata al fatto che non è possibile rilevare tutti i falsi positivi sfruttando un meccanismo che sia solamente passivo. In effetti, RNA prevede comunque la possibilità di inserire nella base di conoscenze del sistema anche informazioni ricavate per mezzo di altri strumenti (come ad esempio, quelli di Vulnerability Assessment). 104 NOTIZIARIO TECNICO TELECOM ITALIA Anno 14 n. 1 - Giugno 2005

9 bile che il sensore ed il sistema bersaglio vedano due distinti contenuti e dunque l effetto netto è quello di un errata interpretazione di ciò che sta accadendo; la figura 2 mostra graficamente un esempio di ciò che può accadere in questo caso. S H E L L F A K C O D Frammenti duplicati e sovrapposti; il risultato del riassemblaggio dipende dal sistema operativo. FIGURA 2 Il problema della ricostruzione del payload a partire da frammenti sovrapposti. Un altra classe di attacchi sempre basati su questo stesso paradigma è rappresentata dalla cosiddetta denormalizzazione ; in pratica, alcuni protocolli supportano diverse forme di codifica per il contenuto applicativo. Sfruttando codifiche alternative, è possibile aggirare le specifiche signature per un attacco; inoltre, è impossibile pensare di inserire tutte le forme differenti con cui può essere codificato un attacco; chiaramente, l approccio ideale consiste nel riportare il contenuto del pacchetto in una forma standard prima di eseguire il pattern matching. Per evitare di prolungare troppo la descrizione, si rimanda al lavoro di Ptacek et al. [22] per un approfondimento sugli attacchi che è possibile effettuare verso un IDS. Oggi, la maggior parte dei E sistemi commerciali utilizza le tecniche di analisi del protocollo per gestire i problemi correlati a frammentazione, denormalizzazione ed offuscamento. Queste tecniche non sono di per sé innovative, tuttavia lo sforzo richiesto per realizzare un sistema robusto ed efficiente è notevole e può essere affrontato solo in sistemi che vengono gestiti con la logica del prodotto. L altro problema tradizionale degli IDS è l enorme numero di allarmi che questi dispositivi tendono a generare soprattutto quando non sono ben configurati. Anche in questo caso, le tecniche di analisi del protocollo possono ridurre notevolmente i falsi positivi, eliminando tutti quegli allarmi che corrispondono a situazioni che non sono effettivamente ammissibili. Ad esempio, un pacchetto sospetto su una connessione TCP che però non ha ancora completato il 3-way handshake è chiaramente un falso allarme. Il pacchetto non sarà mai processato dal livello applicativo, e dunque l attacco è destinato all insuccesso. Il problema della gestione dei falsi positivi è stato affrontato in vari modi dai diversi produttori. In molti casi, la tendenza è quella di andare verso sistemi multilivello che correlino le informazioni generate dall IDS con quelle ottenute da altre fonti, tipicamente i sistemi di scansione delle vulnerabilità o, in generale, altri sistemi che permettono di eseguire un assessment dei sistemi che si intende proteggere. Rimandiamo ai riquadri La soluzione Arbor Networks e La soluzione Riverhead per un approfondimento sugli approcci utilizzati in due delle soluzioni più diffuse in ambito IDS. Nel contesto backbone, gli approcci più tipici sono quelli di tipo Anomaly Detection; le tecnologie più importanti sono quelle correlate all analisi statistica del traffico. Il problema essenziale nella rilevazione degli attacchi di tipo Distributed Denial of La soluzione Arbor Networks PeakFlow Platform TM è la soluzione di Arbor Networks per l analisi degli attacchi al backbone. Si tratta di un architettura di raccolta ed analisi dei dati di traffico secondo un paradigma di tipo Anomaly Detection. I dati sono raccolti sia a partire dalle informazioni generate dagli apparati di rete, esportate per mezzo del protocollo NetFlow, sia analizzando direttamente il traffico rilevato. La piattaforma è basata su due sistemi: Peakflow X è la soluzione orientata alle reti di grandi aziende ed ha l obiettivo di aiutare gli amministratori di rete a risolvere i problemi derivanti dalle minacce alla sicurezza nei confronti delle risorse interne. La soluzione si appoggia sul modello comportamentale della rete che viene costruito ed aggiornato in real time; questo modello permette agli amministratori di tracciare il comportamento fino al livello del singolo host, analizzando come e con chi sono state instaurate le connessioni. Le informazioni sono un utile strumento per identificare sia le fonti di attacco, sia le misure per rinforzare il perimetro della rete; Peakflow SP è la soluzione dedicata ai Service Provider il cui principio di funzionamento è molto simile a quello della soluzione precedente, anche se focalizzato essenzialmente sul monitoraggio statistico del traffico. La soluzione in realtà è formata da tre elementi: - Infrastructure Security, che si occupa di individuare anomalie a livello di rete; - Traffic and Routing, che costruisce il modello di traffico della rete controllata abilitando gli amministratori ad intervenire in funzione di variazioni significative del modello; - Managed services, che permette all operatore di erogare un servizio di Dos/DDos prevention ed altri servizi di sicurezza ai propri clienti. NOTIZIARIO TECNICO TELECOM ITALIA Anno 14 n. 1 - Giugno

10 La soluzione Riverhead La società israeliana RiverHead Networks, acquisita nel 2004 da Cisco, è stata la prima a rilasciare sul mercato una tecnologia in grado di identificare e rimuovere in real-time gli attacchi DoS/DDoS senza andare ad impattare sul traffico legittimo. La soluzione prevede la presenza di due differenti sistemi: Detector: funziona, in sostanza, come un classificatore del traffico ed è in grado di identificare la presenza di schemi di attacco; Guard: è l oggetto che si occupa di ripulire il traffico, lavorando sui vari flussi in base alle indicazioni che gli provengono dal Detector. Il funzionamento del sistema ideato da Riverhead prevede che quando il Detector identifica un potenziale attacco, venga inviato un allarme alla Guard, affinché questa inizi un processo di ridirezione del solo flusso sospetto, mentre il resto del traffico rimane inalterato. Il Detector è comunque un componente opzionale dell architettura, dal momento che la Guard può ricevere notifiche anche da altre sorgenti. La ridirezione del traffico avviene sfruttando alcune particolari meccanismi di routing; il traffico viene quindi elaborato dalla Guard per mezzo di una serie di controlli basati sull architettura brevettata MVP (Multi Verification Process). Questa prevede differenti livelli di intervento, che includono operazioni di limitazione della banda, di terminazione completa di una connessione, ed altre ancora; l azione appropriata viene selezionata in base al livello di pericolosità associato dal processo di identificazione. Il traffico che supera questo processo di ripulitura, e che dunque viene ritenuto legittimo, viene reintrodotto in rete affinché possa raggiungere la corretta destinazione. La soluzione di Riverhead, ora Cisco, è sicuramente indicata per la protezione di un backbone da attacchi massivi che potrebbero minare il funzionamento dell intera rete, ma risulta appropriata anche per grandi reti enterprise o data center. Service è rappresentato proprio dalla difficoltà nel distinguere situazioni di carico elevato dovute ad una particolare condizione di servizio (ad esempio, si pensi a ciò che accade quando si cerca di acquistare un biglietto per un grande concerto e l intervallo temporale per eseguire la richiesta è molto ridotto: il numero enorme di richieste in un ridotto intervallo di tempo somiglia drasticamente ad un SYN-flood distribuito). Uno dei problemi essenziali in quest ambito è rappresentato dalla necessità di raccogliere un numero elevatissimo di informazioni rilevanti ai flussi. È evidente che se ogni apparato di rete esporta queste informazioni in modo proprietario, diventa molto più complesso riuscire a far funzionare un qualsiasi sistema di monitoraggio, che è uno dei componenti essenziali di qualsiasi architettura mirante a risolvere questo tipo di problemi. L IETF (Internet Engineering Task Force) si è pertanto mossa in questa direzione ed ha fatto sua [22] una specifica di Cisco, denominata NetFlow, che consente ai vari amministratori di rete di ottenere, in un formato standard, una serie di informazioni sui flussi dati che attraversano la rete. NetFlow nasce in primis per supportare le attività di raccolta dei dati di traffico per la tariffazione, ma le informazioni che esso genera possono essere usate in modo naturale per l analisi dei problemi di sicurezza. Oggi, la maggior parte degli apparati (Enterasys, Foundry Networks, Extreme Networks, Juniper, Riverstone, InMon Networks) integrano questo protocollo; inoltre esistono vari applicativi in grado di interpretare ed analizzare queste informazioni; nello specifico, citiamo Peakflow TM (sviluppato da Arbor Networks) ed NTop, un prodotto open-source sviluppato presso il centro SERRA dell Università di Pisa. NetFlow è in grado di catturare un ricco insieme di dati statistici. Queste statistiche includono tra l altro il protocollo, le porte, il tipo di servizio che combinate insieme forniscono, come detto in precedenza, una base informativa utile per una vasta gamma di servizi. L entità misurata da NetFlow è il flusso, identificato come un insieme di pacchetti tra una sorgente ed una destinazione che vengono identificati dai seguenti campi: Source IP Address; Destination IP Address; Source Port Number; Destination Port Number; Protocol Type; Type of Service; Input Interface. Le informazioni generate da NetFlow sono trasmesse tramite pacchetti UDP; il protocollo ha subito varie evoluzioni (oggi la versione utilizzata è la 5). La modifica più importante rispetto alle vecchie versioni è rappresentata dall introduzione delle informazioni relative al protocollo di routing BGP ed ai sequence number. A livello più strettamente applicativo, le tecnologie più interessanti in questo ambito sono rappresentate da Riverhead e Arbor Networks, che descriviamo con maggiore dettaglio nei rispettivi riquadri di approfondimento. 5. L Attività di Ricerca & Sviluppo in TILAB A partire dal 2003, sono stati avviati in Telecom Italia Lab una serie di progetti focalizzati sul tema dell Intrusion Detection. La motivazione principale è legata al fatto che le soluzioni proposte dal mercato, oltre ad essere economicamente onerose, non sono sempre funzionalmente adatte ad un contesto eterogeneo come quello che caratterizza un grosso operatore di telecomunicazioni che richiede una enorme flessibilità in grado 106 NOTIZIARIO TECNICO TELECOM ITALIA Anno 14 n. 1 - Giugno 2005

11 di operare in per vari segmenti di rete (dalla connettività broadband per utenti domestici fino al backbone). L attività di ricerca si è articolata su tre progetti. Il progetto EAGLE è stato focalizzato sull ideazione e sulla prototipazione di nuove tecnologie che potessero essere utilizzate nell ambito più tradizionale, prestando particolare attenzione agli aspetti di flessibilità e scalabilità menzionati in precedenza. Il progetto RDS (Routing Detection Security) è stato invece focalizzato sulle problematiche legate alla rete di backbone, ponendo particolare attenzione agli attacchi che è possibile effettuare sull infrastruttura, in particolar modo ai protocolli di routing. Infine, nell ambito del progetto dedicato alla sicurezza delle reti wireless (con particolare enfasi al mondo IEEE e WiFi) si è provveduto a studiare e prototipare delle componenti specifiche per questo ambito che potessero essere comunque integrate in un sistema tradizionale di tipo network. I risultati dell attività di ricerca sono notevoli e possono essere riassunti dai seguenti risultati: Brevetti: l intera attività ha portato al deposito di sei domande di brevetto focalizzate sulla tecnologia di tipo network, due domande di brevetto focalizzate sulla tecnologia host, una domanda di brevetto focalizzata sul contesto WiFi ed una domanda di brevetto focalizzata sul contesto backbone. Prototipi: ogni singolo progetto ha prodotto uno o più prototipi; in particolare, è disponibile una soluzione completamente funzionante, per il sistema di network-ids. Inoltre, sono stati integrati nel sistema due componenti prototipali relative al contesto WiFi. Il sistema host-ids è invece disponibile solamente in stato di prototipazione avanzata e solamente per la piattaforma Linux. Per ciò che riguarda l ambito backbone, sono state messe a punto le sonde per il protocollo OSPF e per il protocollo BGP oltre ad un sistema specifico per la raccolta e l elaborazione delle informazioni raccolte dalle sonde. Linee di codice complessive: per quanto questa quantificazione possa ritenersi imprecisa nel descrivere la complessità effettiva dei sistemi che sono stati realizzati, risulta comunque utile nel fornire almeno un indicazione di massima sulla loro dimensione quantitativa. Esistono oggi circa linee di codice per il sensore di tipo rete (più altre 2000 per il supporto WiFi), linee per il sistema di tipo host-based e altre per i sistemi di tipo backbone. Passiamo ora a descrivere brevemente le più importanti caratteristiche delle singole soluzioni. 5.1 Il sensore Network-IDS: neagle neagle è la soluzione network-ids sviluppata nell ambito del progetto omonimo (figura 3). Il sistema è basato sulla tecnologia state of the art per ciò che riguarda il pattern matching; assieme a questa tecnologia tradizionale, implementa anche tre meccanismi innovativi (sottoposti a domanda di brevetto), descritti nel seguito: Il Bidirectional Rule Matching (BRM) è un meccanismo che analizza la risposta del server a seguito di un pacchetto identificato come potenzialmente pericoloso; la risposta spesso consente di identificare se l'attacco ha avuto successo o meno. In questo modo, il numero di falsi positivi viene ridotto drasticamente, lavorando direttamente a livello del sensore. Inoltre, mentre le regole che descrivono gli attacchi richiedono un continuo aggiornamento, le regole di risposta sono relativamente stabili, essendo correlate alle caratteristiche del protocollo applicativo. A titolo puramente esemplificativo, descriviamo un esempio d uso del BRM: il successo di un attacco diretto ad un server Web, che sfrutta le vulnerabilità di un particolare script installato per default, può essere desunto con un certo grado di precisione dalla risposta del server: se infatti il server risponde con un codice di errore 400 (ad esempio Access Forbidden o Object not Found) è estremamente probabile che l attacco sia andato a vuoto. Un risultato di tipo 200 (OK), seguito poi da pacchetti che contengono elementi tipici di una interazione basata su una command-line shell, è una chiara indicazione del fatto che l attacco ha avuto successo. Chiaramente, questo scenario non ha lo scopo di presentare in modo esaustivo ed approfondito il BRM, ma solo di dare un idea di come esso funzioni praticamente. External Open Source Rules Alert Coding & Emission System Enhanced Pattern Matching Engine Detection Rules DB Bidirectional Rules Matching Dynamic Auto Tuning TCP Flow Re-Assembly IP Defragmentation SMP Load Balancing System Custom Network Driver Protocol Analyser 10/100 Mbit/s 1000 Mbit/s WiFi IP = Internet Protocol SMP = Symmetric Multi Processor TCP = Transmission Control Protocol FIGURA 3 neagle TM : architettura schematica. NOTIZIARIO TECNICO TELECOM ITALIA Anno 14 n. 1 - Giugno

12 Il Dynamic Auto Tuning (DAT) consente al sensore di adattare il set di regole alla configurazione della rete; in questo modo il sistema è in grado di identificare autonomamente la presenza di un servizio/protocollo noto (ad esmpio HTTP, FTP, Telnet) su porte non standard. Questo consente di ridurre i falsi negativi, dovuti ad attacchi non rilevati perché diretti verso server attestati su porte non standard. Il DAT utilizza delle regole di tipo pattern matching o di protocol analysis per identificare in un flusso di pacchetti ben definito la presenza degli elementi distintivi di un particolare protocollo applicativo. A fronte di una tale situazione, il DAT riconfigura automaticamente il sensore, di modo che tutte le regole utilizzabili per quel particolare protocollo vengano altresì adottate anche su quella particolare connessione. Il supporto per Multi-Processori Simmetrici: un sistema di network IDS funziona analizzando i pacchetti; per poter trarre vantaggio dalla presenza di più CPU sono possibili due approcci: il pipeline, o la distribuzione del carico sulle singole CPU. neagle sfrutta l approccio del load balancing, e ripartisce fra le CPU disponibili sia l attività di ripartizione del carico, sia la vera e propria attività di rilevazione degli attacchi. L algoritmo di scheduling che seleziona la specifica attività da eseguire su ogni singola CPU è di tipo application based, a differenza della maggior parte degli approcci standard, che sono invece di tipo kernel based e dunque non possono in alcun modo sfruttare la conoscenza del dominio applicativo per pilotare le decisioni di scheduling. Questo approccio consente di ottenere delle prestazioni notevolmente superiori su sistemi SMP rispetto a quelle che si otterrebbero con sistemi tradizionali, senza dover ricorrere ad alcun load balancer separato. Oltre all adozione di specifiche tecnologie innovative, l intero sistema è stato sottoposto ad una completa ingegnerizzazione, focalizzata sulla riduzione notevole dell overhead computazionale associato alla cattura dei pacchetti. Utilizzando un sistema ad hoc, realizzato per mezzo di un devicedriver customizzato, si possono evitare alla radice i problemi del livelock [24], sfruttando due approcci classici della teoria dei sistemi operativi: implementazione di canali di comunicazione tra devicedriver ed user space che siano 0-copy e la gestione del dispositivo di rete a polling invece che con le interruzioni. neagle supporta inoltre un meccanismo per rilevazione degli attacchi specifico per reti WiFi; questo meccanismo è in grado di rilevare attacchi portati ai livelli fisico e datalink dello stack TCP/IP quali Authentication-Deauthentication, Frame- Flooding, Association-Disassociation- Reassociation, Request-flooding. Oltre a questi meccanismi, l attività di ricerca e sviluppo ha portato alla realizzazione di una specifica funzionalità (attualmente coperta da domanda di brevetto), orientata alla riduzione dei falsi positivi ed all'individuazione di attacchi o tentativi di violazione del meccanismo di autenticazione per reti WiFi IEEE 802.1x (ad esempio: THC-LeapCracker [25], ASLEAP [26], 4Way Handshake Start DoS [27]). Tale funzionalità è basata sulla correlazione delle informazioni scambiate sulla rete WiFi con le informazioni ricevute dagli elementi di rete quali Access-Point e server di autenticazione (ad esempio RADIUS) che realizzano la rete WiFi. neagle è stato verificato in laboratorio, dove sono state ottenute delle prestazioni davvero notevoli (fino ad un ordine di grandezza superiore), rispetto a quelle basate su tecnologie attualmente disponibili su sistemi hardware a basso costo. Per ciò che riguarda l efficacia (Falsi Positivi e Falsi Negativi), neagle si è dimostrato estremamente valido, sia durante i test di laboratorio, sia durante l attività di field trial. In particolare, neagle risulta in grado di gestire un numero di pacchetti superiore di un ordine di grandezza rispetto a soluzioni convenzionali (su hardware low cost in condizioni di sovraccarico), con un aumento della banda media gestita da 5 Mbit/s a circa 34 Mbit/s. Per ciò che riguarda il contesto high end, sfruttando un sistema SMP a due CPU, neagle riesce a gestire tranquillamente una banda dell ordine del Gbit/s. 5.2 Il sensore HIDS: SPID La sonda di sistema SPID (System Photo Intrusion Detection), figura 4, usa un approccio innovativo, basato sul paradigma dell'anomaly Detection, per identificare gli attacchi. Alert Coding Internal Alert... Knowledge Base System Sensor Current State System Call Alerting Correlation File System Network Application Detection Data Normalisation Kernel Info Interception 10 Mbit/s SPID Shell System Application Status Photo Intrusion Detection (SPID) Technology TILAB Be-Secure TM Patent Pending FIGURA 4 Architettura essenziale di una sonda SPID. 108 NOTIZIARIO TECNICO TELECOM ITALIA Anno 14 n. 1 - Giugno 2005

13 La metafora su cui è basato è ben descritta dal nome che lo contraddistingue; in pratica, SPID esegue una serie di fotografie istantanee del sistema, focalizzandosi sugli schemi di utilizzo delle varie risorse disponibili sul singolo host. Ad esempio, si monitorano le relazioni parent/child esistenti tra tutti i processi attivi, le relazioni tra utenti, applicazioni e file; quelle fra applicazioni e connessioni di rete, e così via. Ogni particolare aspetto del sistema è analizzato da un componente ad hoc della Knowledge Base. Come tutti i sistemi di tipo Anomaly Detection, SPID opera in due fasi. Nella prima fase (Addestramento), il sistema raccoglie tutte le informazioni che caratterizzano l uso normale dell host. Alla fine dell addestramento, la Knowledge Base così ottenuta viene normalizzata; in altre parole, si identificano tutti gli intervalli tipici di variabilità del sistema, quale ad esempio l utilizzo di file temporanei o eventuali periodicità con cui sono usate specifiche applicazioni. Queste informazioni, estrapolate dai dati osservabili, vengono incluse nei dati che verranno poi usati durante la seconda fase di funzionamento (Analisi). In analisi, SPID confronta lo stato del sistema con le informazioni della Knowledge Base; se viene rilevata un anomalia, si emette una segnalazione. Un opportuno sistema di raccolta ed aggregazione di queste segnalazioni si occupa poi di codificare in un allarme vero e proprio le anomalie rilevate dalle singole componenti che costituiscono il sistema. SPID è costituito da un insieme di componenti, organizzati in base ad una architettura a tre strati. Lo strato più basso si occupa dell acquisizione delle informazioni dal sistema operativo; la tecnica adottata in SPID è quella dell intercettazione delle system call. A differenza di altri sistemi, in cui vengono intercettate indistintamente tutte le system call per fornire un modello che caratterizzi l esecuzione di un dato processo, SPID si limita ad intercettare tutte e sole quelle system call che coinvolgono direttamente una risorsa del sistema operativo, nello specifico: file, socket, device-driver, processi, identificativi di utente. Di queste system call vengono registrati i parametri ed il processo che ha eseguito la richiesta. Utilizzando queste system call, il secondo strato è in grado di costruire un modello analogico ridotto del sistema; in pratica questo strato ha due compiti: tradurre la specifica system call in una richiesta astratta di utilizzo di risorsa del sistema operativo, ed offrire allo strato superiore una visione astratta di quello che è lo stato istantaneo del sistema monitorato. L ultimo strato è quello più complesso e si occupa di raccogliere e controllare gli schemi con cui sono usate le varie risorse. Dal momento che ogni risorsa ha le sue particolarità, sono stati implementati diversi moduli, ognuno con una logica: User Table: questo modulo mappa le relazioni di tipo utente/applicativo/file, fornendo una vista globale del comportamento del sistema ricavata direttamente a partire dal modello analogico ridotto presente nel secondo strato. Il modulo tiene traccia di tutte le risorse che vengono utilizzate nel corso del funzionamento del sistema; inoltre, per mezzo di appositi contatori, viene anche misurato il numero complessivo di istanze di un certo oggetto. Ogni volta che appare un oggetto nuovo, che non era mai stato visto dal sistema durante la fase di apprendimento, oppure ogni volta che uno dei counter eccede i limiti ricavati dalla fase di apprendimento, viene emessa una segnalazione. Process Tree: questo modulo traccia la relazione di utilizzo tra applicazioni; in altre parole, si cerca di capire quali applicazioni possono essere seguite da una applicazione data. La relazione ad albero è molto utile per catturare tutti quei casi in cui, per effetto di un overflow, si riesce a creare una shell abusiva nel contesto di un server di rete. Network: questo modulo tiene traccia di tutte le connessioni di rete, identificando gli applicativi che svolgono il ruolo di client e/o server; le porte su cui operano, e le caratteristiche statistiche della durata delle connessioni. File System: questo modulo tiene traccia di tutte le modifiche al file system; in particolare, può rilevare mount/unmount impropri, la creazione o la cancellazione di un elevato numero di file, la cancellazione di file che sono ancora aperti, o l eccessivo numero di link simbolici associati ad un file. Anche in questo caso, l uso dei contatori e l applicazione della procedura di normalizzazione consente di discriminare le azioni ammissibili da quelle che non lo sono. SPID è stato verificato in laboratorio su alcuni server specifici della rete interna; al momento è ancora considerato un sistema incompleto. I risultati ottenuti durante la sperimentazione sono positivi, in particolare, SPID sembra immune da alcuni attacchi che invece caratterizzano altri sistemi basati sulla syscall interception e sul paradigma di Anomaly Detection. 5.3 La tecnologia RDS Il progetto RDS (Routing Detection System) nasce con l obiettivo di realizzare un sistema di Intrusion Detection dedicato interamente all analisi degli attacchi rivolti ai protocolli di routing. Una delle sue caratteristiche essenziali è la capacità di adattarsi all ambiente d uso, raccogliendo in modo differente, a seconda del protocollo di routing monitorato, tutte le informazioni che determinano il comportamento della rete. Tale approccio permette di identificare, in modo preventivo, il verificarsi di particolari eventi che possono essere associati a malfunzionamenti o a veri e propri attacchi che direttamente o indirettamente provocano malfunzionamenti all infrastruttura. L architettura del sistema (figura 5) prevede che le sonde siano minimamente intrusive pur essendo in condizione di ricevere tutte le informazioni di routing. Il sistema, nel suo insieme, è caratterizzato da una struttura gerarchica nella quale le operazioni di rilevazione sono segmentate sui vari livelli, in funzione della complessità e della necessità di NOTIZIARIO TECNICO TELECOM ITALIA Anno 14 n. 1 - Giugno

14 Management System Sonda Data Base Ring FIGURA 5 Architettura essenziale del sistema RDS. Rete Controllata Sonda input provenienti da altri componenti; l affidabilità, che nel contesto del backbone è una caratteristica irrinunciabile, è garantita dalla presenza di più elementi ridondanti, non solo a livello delle sonde, ma anche degli altri componenti. Particolare attenzione viene data alla struttura dei vari moduli del sistema, che presentano una configurazione che facilita la realizzazione e l integrazione di nuove logiche di detection e nuove tipologie di sonde per protocolli non ancora considerati dal sistema. Il sistema consta di due livelli concettuali: le sonde, che sono oggetti specializzati in grado di interfacciarsi, secondo differenti modalità con i processi di routing, ed il cosiddetto Data Base Ring, che è un sistema di alta affidabilità che riceve le informazioni dalle sonde, le processa secondo logiche codificate e memorizza i dati ottenuti su un apposito database. Un attacco al sistema di routing può Sonda provocare la scomparsa, seppur momentanea, di alcune zone di rete da monitorare. La struttura ad anello, garantisce che, anche in condizioni critiche, il sistema può continuare a funzionare correttamente; la presenza di più elementi in grado di raccogliere le informazioni permette anche di suddividere il carico di lavoro garantendo in questo modo un buon livello di scalabilità. Ovviamente, l operatore può interrogare i database attraverso una classica interfaccia GUI. Oggi RDS è in grado di funzionare con due protocolli di routing: OSPF (Open Shortest Path First) e BGP (Border Gateway Protocol) di seguito descritti: Sonda OSPF: esegue l analisi dei pacchetti OSPF sia attraverso una logica classica di sniffing del traffico sia interfacciandosi direttamente con il processo di routing che collega la sonda alla rete da monitorare. La sonda è in grado di controllare varie anomalie, tra le quali: - Reti foglia su cui è attivo OSPF: questo controllo permette di identificare e segnalare la presenza, o la comparsa, di reti di accesso su cui è attivo il protocollo OSPF; tale situazione non è necessariamente indicativa di un attacco, ma segnala la presenza di un potenziale punto di attacco. - Creazione di nuove adiacenze: questo evento segnala la creazione di una nuova adiacenza su una rete su cui OSPF è attivo e può rappresentare l inizio di un attacco. - Detection dell attacco MAXSEQ-MAXAGE e dell attacco LOWCOST [28]. - Variazione del numero di rotte: questo controllo serve per segnalare modifiche in crescita o decrescita della tabella di routing; questo evento, specie nel caso di variazioni significative o di numerose variazioni nell unita di tempo, è spesso indicativo di un attacco. - Apparizione di rotte non appartenenti al proprio dominio IP: l iniezione di rotte non appartenenti al dominio è, nel migliore dei casi, un errore di configurazione. La rilevazione avviene mediante l analisi incrociata della tabella di routing OSPF con i file di configurazione redatti dall operatore. - Rilevazione di anomalie sulla sonda stessa: il sistema è in grado di rilevare la presenza di criticità nella connessione con le sonde; che possono indicare un malfunzionamento o l inizio di un attacco diretto all infrastruttura. Sonda BGP: l analisi dei pacchetti BGP è basata su un vero e proprio sistema di routing inserito direttamente dentro la sonda, unito ad un meccanismo di protocol analysis sviluppato appositamente per il protocollo BGP. Il dialogo tra la sonda e gli apparati di rete si realizza attraverso una sessione di peering BGP. La sonda è in grado di lavorare sia in configurazione ibgp che ebgp. Tipicamente si utilizza la modalità ibgp in quanto permette di trasportare informazioni di routing con un livello di dettaglio superiore; infatti in questo caso non vengono eseguite variazioni sul campo Next Hop dei messaggi BGP e inoltre viene utilizzato il campo Local Preference. Più in dettaglio, la sonda è in grado di eseguire molti controlli, tra i quali: - Rilevamento di un eccessivo scambio di messaggio tra peer. 110 NOTIZIARIO TECNICO TELECOM ITALIA Anno 14 n. 1 - Giugno 2005

15 - Rilevamento del flapping : si riferisce ad una modifica troppo frequente delle informazioni presenti nella tabella di routing, sia in update sia in withdrawn. - Distribuzione di prefissi/reti non autorizzati, non allocati e ad uso privato. - Rilevamento dei conflitti MOAS (Multiple Origin AS) [29]: questo controllo permette di verificare la corrispondenza degli AS di origine di un update con quanto risulta dagli archivi del RIPE, ed evidenziare discrepanze e/o conflitti. - Redistribuzione della default route. - Rilevamento anomalie sui Next-Hop: comparsa, sparizione, modifica dei Next-Hop associati alle rotte. - Rilevamento attacchi alla sonda: realizzazione di una honeypot BGP in grado di identificare eventuali tentativi di instaurazione di sessioni BGP non autorizzate. - Rilevazione anomalie sul campo AS-Path: analisi del campo AS-Path per valutarne le variazioni significative nel tempo. - Monitoraggio delle rotte degli AS cliente: monitoraggio della raggiungibilità delle reti degli AS cliente. Il sistema RDS è stato verificato nei laboratori di Telecom Italia Lab, utilizzando a tale scopo una rete emulata consistente di circa 18 router distinti. Le sperimentazioni hanno dato esito positivo e si è quindi partiti con un primo field trial, posizionando le sonde sulla rete di Telecom Italia Lab. In questo ambiente le sonde hanno evidenziato una buona capacità di rilevazione delle anomalie, sia in ambito OSPF che BGP. 6. Conclusioni Questo articolo ha cercato di fornire una panoramica, quanto più ampia possibile, sull ambito della rilevazione delle intrusioni informatiche. Chiaramente, il tema è estremamente vasto, e dunque ci si è limitati a fornire un punto di partenza per approfondire le caratteristiche delle varie tecnologie disponibili. Il problema della rilevazione è cruciale nel contesto di un architettura di sicurezza costruita sul paradigma della Defense in Depth, perché è evidente che solo attraverso un sistema di rilevazione davvero efficiente è possibile pensare di adottare delle tecnologie automatiche di risposta e protezione. La ricerca svolta in Telecom Italia Lab su questo tema nello scorso biennio, è stata incentrata sulla problematica dell efficacia e dell efficienza, ovvero sulla capacità di rendere il processo di rilevazione quanto più accurato possibile, riducendo i falsi positivi e negativi, sfruttando al meglio le performance dell hardware disponibile e focalizzando l intervento umano solo sui problemi davvero significativi. L esperienza maturata nel corso delle varie sperimentazioni, indica che questi aspetti sono fondamentali per consentire un utilizzo ottimale delle tecnologie IDS anche al contesto delle grosse reti di telecomunicazioni. BIBLIOGRAFIA [1] Denning D. E.: An Intrusion-Detection Model, IEEE Transactions on software engineering, Vol. SE-13, NO. 2, february 1987, [2] Anderson, J.: Computer Security Threat and Surveillance, Tech. Rep. James P. Anderson Co., Fort Washinton, Pa, [3] Smaha, S. E.: Haystack: An intrusion detection system, in Proc. of the IEEE 4th Aerospace Computer Security Applications Conference, Orlando, FL, Dec [4] D.E. Denning, Neumann P.G.: Requirements and Model for IDES - a real-time intrusion detection expert system, Tech. Rep., Computer Science Laboratory, SRI International, [5] Kumar S., Classification and Detection of Computer Intrusion,M.S. Thesis, Computer Science Dep., Purdue University, Agosto [6] Information Assurance through Defense-in-Depth Directorate for Command, Control, Communications, and Computer Systems, U.S. Department of Defense Joint Staff, February [7] Gartner Group: Gartner Information Security Hype Cycle Declares Intrusion Detection Systems a Market Failure ; 2003 Press Release. [8] Cormack, A.: Moore s Law of Computer Security ; Terena Networking Conference 2002; 3-6 June 2002; Ireland. [9] Staniford-Chen, S.: Common Intrusion Detection Framework ; [10] Verwoerd, T. and Hunt, R., Intrusion Detection Techniques and Approaches, Computer Communications, Elsevier, U.K., Vol 25, No 15, September 2002, pp [11] Roesch M.: The Snort Intrusion Detection System ; [12] Naval Surface Warfare Center - Dahlgren Lab: The Shadow Intrusion Detection System. [13] Department of Energy: The NID Network Intrusion Detection System ; Il sistema è stato ritirato dal 6/11/2004. L accesso alla documentazione è ristretto al personale del Dipartimento della Difesa (DoD - USA). [14] Kumar S., Spafford E. H., An Application of Pattern Matching In Intrusion Detection, Technical Report, Giugno [15] Boyer R. S, Moore J. S.: A Fast String Search Algorithm. Communications of ACM, 20(10); pp ; Ottobre NOTIZIARIO TECNICO TELECOM ITALIA Anno 14 n. 1 - Giugno

16 ABBREVIAZIONI [16] Aho A., Corasic M.: Fast Pattern Matching: an Aid to Bibliographic Search ; Communications of ACM, 18(6), pp ; Giugno [17] Ilgun K., Kemmerer R.A., and Porras P.A., State Transition Analysis: A Rule-Based Intrusion Detection Approach, IEEE Transaction on Software Engineering, 21, Marzo1995. [18] Vigna G., Eckmann S.T., and Kemmerer R.A., The STAT Tool Suite, in Proceedings of DISCEX 2000, Hilton Head, South Carolina, Gennaio 2000, IEEE Press. [19] Forrest S., Hofmeyr S. A., Somayaji A., Longstaff T. A., A sense of self for Unix processes, Proceedings of the 1996 IEEE Symposium on Security and Privacy, [20] Forrest S., Perelson A.S., Allen L., Cherukuri R., Self- Nonself Discrimination in a Computer, IEEE Symposium on Research in Computer Security and Privacy, [21] Forrest S., Perelson A.S., Allen L., Somayaji A., Computer Immunology, Communications of the ACM, 40 10), [22] Ptacek T., Newsham T.: Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection. Secure Network Inc. Whitepaper, [23] RFC 3954: Cisco Systems NetFlow Services Export Version 9 e RFC 3955 Evaluation of Candidate Protocols for IP Flow Information Export (IPFIX). [24] Mogul J. C., Ramakrishnan K. K.: Eliminating receive livelock in an interrupt-driven kernel ; in ACM Transactions on Computer Systems; 15(3), Agosto 1997, pp [25] V. Hauser: THC-LeapCracker (v. 0.1): released by The Hackers Choice on 2/ [26] Wright J.: The AS-LEAP ; [27] He C., Mitchell J. C.: Analysis of the i 4-Way Handshake ; In Proceedings of the 3rd ACM International Workshop on Wireless Security (WiSe'04). Philadelphia, PA, Oct [28] Jones E., Le Moigne O.: OSPF Security Vulnerabilities Analysis ; Internet Draft, 1 Dicembre [29] Zhao X., Pei D., Wang L., Massey D., Mankin A., Wu F. S., Zhang L.: An Analysis of BGP Multiple Origin AS (MOAS) Conflicts ; Proc. ACM SIGCOMM Internet Measurement Workshop; ADSL AG BGP BRM CFG CIDF DAT DDoS DoS FP FN FSM GUI LAN IDS IETF IPS MOAS PoP OSPF RDS RE RNA SMP SNMP SOHO SPID STIDE WIDS Asymmetric Digital Subscriber Line Attribute Grammar Border Gateway Protocol Bidirectional Rule Matching (Deterministric) Context Free Grammar Common Intrusion Detection Framework Dynamic Auto Tuning Distributed Denial of Service Denial of Service False Positives rate False Negatives rate Finite State Machine Graphic User Interface Local Area Network Intrusion Detection System Internet Engineering Task Force Intrusion Prevention System Multiple Origin Autonomous System Point of Presence Open Shortest Path First Routing Detection Security Regular Expressions Real-time Network Awareness Symmetric Multi Processor Simple Network Management Protocol Small Office Home Office System Photo Intrusion Detection Sequenze Time Delay Embeddeing Wireless Intrusion Detection System Gerardo Lamastra si è laureato in Ingegneria Informatica presso l Università degli Studi di Pisa nel 1996 ed ha conseguito il Perfezionamento in Ingegneria dei Sistemi Informatici (equipollente al Dottorato di Ricerca) nel Nel 1999 è stato Research Scholar presso l University del North Carolina, Chapel Hill, dove ha lavorato sull analisi degli algoritmi di scheduling per sistemi soft real-time. Dal 2000 fa parte del Centro di Sicurezza Be-Secure di TILAB, dove si è occupato di Penetration Testing, Forensic Analysis ed Intrusion Detection. Luca Viale si è laureato in Scienze dell informazione presso l Università degli Studi di Torino nel 1996 ed ha conseguito il master COREP in Telecomunicazioni nel Dal 1997 opera in CSELT (oggi TILAB) dove inizialmente si è occupato di attività di conformance testing in ambito LAN/WAN. Dal 1998 fa parte del Centro di Sicurezza Be- Secure di TILAB dove si è dedicato alle problematiche di sicurezza approfondendo le conoscenze nel campo della sicurezza delle infrastrutture di rete. Oggi è impegnato su tematiche di innovazione nel settore delle tecnologie di rilevamento e contrasto delle intrusioni. 112 NOTIZIARIO TECNICO TELECOM ITALIA Anno 14 n. 1 - Giugno 2005

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Intrusion Detection System

Intrusion Detection System Capitolo 12 Intrusion Detection System I meccanismi per la gestione degli attacchi si dividono fra: meccanismi di prevenzione; meccanismi di rilevazione; meccanismi di tolleranza (recovery). In questo

Dettagli

CARATTERISTICHE DELLE CRYPTO BOX

CARATTERISTICHE DELLE CRYPTO BOX Secure Stream PANORAMICA Il sistema Secure Stream è costituito da due appliance (Crypto BOX) in grado di stabilire tra loro un collegamento sicuro. Le Crypto BOX sono dei veri e propri router in grado

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Procedure per la scansione di sicurezza Versione 1.1 Release: settembre 2006 Indice generale Finalità... 1 Introduzione... 1 Ambito di applicazione dei

Dettagli

Routing (instradamento) in Internet. Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi:

Routing (instradamento) in Internet. Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi: Routing (instradamento) in Internet Internet globalmente consiste di Sistemi Autonomi (AS) interconnessi: Stub AS: istituzione piccola Multihomed AS: grande istituzione (nessun ( transito Transit AS: provider

Dettagli

Elementi di Informatica e Programmazione

Elementi di Informatica e Programmazione Elementi di Informatica e Programmazione Le Reti di Calcolatori (parte 2) Corsi di Laurea in: Ingegneria Civile Ingegneria per l Ambiente e il Territorio Università degli Studi di Brescia Docente: Daniela

Dettagli

Symbolic. Ambiti Operativi. Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp.

Symbolic. Ambiti Operativi. Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp. Symbolic Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp. La nostra mission è di rendere disponibili soluzioni avanzate per la sicurezza

Dettagli

12.5 UDP (User Datagram Protocol)

12.5 UDP (User Datagram Protocol) CAPITOLO 12. SUITE DI PROTOCOLLI TCP/IP 88 12.5 UDP (User Datagram Protocol) L UDP (User Datagram Protocol) é uno dei due protocolli del livello di trasporto. Come l IP, é un protocollo inaffidabile, che

Dettagli

Modello OSI e architettura TCP/IP

Modello OSI e architettura TCP/IP Modello OSI e architettura TCP/IP Differenza tra modello e architettura - Modello: è puramente teorico, definisce relazioni e caratteristiche dei livelli ma non i protocolli effettivi - Architettura: è

Dettagli

progettiamo e realizziamo architetture informatiche Company Profile

progettiamo e realizziamo architetture informatiche Company Profile Company Profile Chi siamo Kammatech Consulting S.r.l. nasce nel 2000 con l'obiettivo di operare nel settore I.C.T., fornendo servizi di progettazione, realizzazione e manutenzione di reti aziendali. Nel

Dettagli

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone Paragrafo 1 Prerequisiti Definizione di applicazione server Essa è un servizio che è in esecuzione su un server 1 al fine di essere disponibile per tutti gli host che lo richiedono. Esempi sono: il servizio

Dettagli

MIB PER IL CONTROLLO DELLO STATO DI UN SERVER FTP

MIB PER IL CONTROLLO DELLO STATO DI UN SERVER FTP Università degli Studi di Pisa Facoltà di Scienze Matematiche,Fisiche e Naturali Corso di Laurea in Informatica Michela Chiucini MIB PER IL CONTROLLO DELLO STATO DI UN SERVER

Dettagli

END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE DEL CLIENTE

END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE DEL CLIENTE END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE In un mercato delle Telecomunicazioni sempre più orientato alla riduzione delle tariffe e dei costi di

Dettagli

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE Prof. PIER LUCA MONTESSORO Facoltà di Ingegneria Università degli Studi di Udine 1999 Pier Luca Montessoro (si veda la nota a pagina 2) 1 Nota di Copyright

Dettagli

Introduzione alle applicazioni di rete

Introduzione alle applicazioni di rete Introduzione alle applicazioni di rete Definizioni base Modelli client-server e peer-to-peer Socket API Scelta del tipo di servizio Indirizzamento dei processi Identificazione di un servizio Concorrenza

Dettagli

DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI

DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI 2 Introduzione Questa email è una truffa o è legittima? È ciò che si chiedono con sempre maggiore frequenza

Dettagli

FileMaker Server 12. Guida introduttiva

FileMaker Server 12. Guida introduttiva FileMaker Server 12 Guida introduttiva 2007 2012 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker e Bento sono marchi di FileMaker,

Dettagli

VIRTUALIZE IT. www.digibyte.it - digibyte@digibyte.it

VIRTUALIZE IT. www.digibyte.it - digibyte@digibyte.it il server? virtualizzalo!! Se ti stai domandando: ma cosa stanno dicendo? ancora non sai che la virtualizzazione è una tecnologia software, oggi ormai consolidata, che sta progressivamente modificando

Dettagli

Analisi dei requisiti e casi d uso

Analisi dei requisiti e casi d uso Analisi dei requisiti e casi d uso Indice 1 Introduzione 2 1.1 Terminologia........................... 2 2 Modello della Web Application 5 3 Struttura della web Application 6 4 Casi di utilizzo della Web

Dettagli

La gestione integrata della sicurezza in Agenzia ANSA: dal firewalling all'utm Michelangelo Uberti, Sales Engineer Babel S.r.l.

La gestione integrata della sicurezza in Agenzia ANSA: dal firewalling all'utm Michelangelo Uberti, Sales Engineer Babel S.r.l. La gestione integrata della sicurezza in Agenzia ANSA: dal firewalling all'utm Michelangelo Uberti, Sales Engineer Babel S.r.l. Babel S.r.l. - P.zza S. Benedetto da Norcia 33, 00040 Pomezia (RM) www.babel.it

Dettagli

Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler

Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler 2 Le aziende attuali stanno adottando rapidamente la virtualizzazione desktop quale mezzo per ridurre i costi operativi,

Dettagli

Cos è un protocollo? Ciao. Ciao 2:00. tempo. Un protocollo umano e un protocollo di reti di computer:

Cos è un protocollo? Ciao. Ciao 2:00. <file> tempo. Un protocollo umano e un protocollo di reti di computer: Cos è un protocollo? Un protocollo umano e un protocollo di reti di computer: Ciao Ciao Hai l ora? 2:00 tempo TCP connection request TCP connection reply. Get http://www.di.unito.it/index.htm Domanda:

Dettagli

Sistemi di supporto alle decisioni Ing. Valerio Lacagnina

Sistemi di supporto alle decisioni Ing. Valerio Lacagnina Cosa è il DSS L elevato sviluppo dei personal computer, delle reti di calcolatori, dei sistemi database di grandi dimensioni, e la forte espansione di modelli basati sui calcolatori rappresentano gli sviluppi

Dettagli

WAN 80.80.80.80 / 24. L obiettivo è quello di mappare due server web interni (porta 80) associandoli agli indirizzi IP Pubblici forniti dall ISP.

WAN 80.80.80.80 / 24. L obiettivo è quello di mappare due server web interni (porta 80) associandoli agli indirizzi IP Pubblici forniti dall ISP. Configurazione di indirizzi IP statici multipli Per mappare gli indirizzi IP pubblici, associandoli a Server interni, è possibile sfruttare due differenti metodi: 1. uso della funzione di Address Translation

Dettagli

Text mining ed analisi di dati codificati in linguaggio naturale. Analisi esplorative di dati testualilezione

Text mining ed analisi di dati codificati in linguaggio naturale. Analisi esplorative di dati testualilezione Text mining ed analisi di dati codificati in linguaggio naturale Analisi esplorative di dati testualilezione 2 Le principali tecniche di analisi testuale Facendo riferimento alle tecniche di data mining,

Dettagli

LA PRIMA E UNICA SOLUZIONE UNIFICATA PER LA SICUREZZA DEI CONTENUTI

LA PRIMA E UNICA SOLUZIONE UNIFICATA PER LA SICUREZZA DEI CONTENUTI LA PRIMA E UNICA SOLUZIONE UNIFICATA PER LA SICUREZZA DEI CONTENUTI È ora di pensare ad una nuova soluzione. I contenuti sono la linfa vitale di ogni azienda. Il modo in cui li creiamo, li utiliziamo e

Dettagli

IT-BOOK. Domini Hosting Web marketing E-mail e PEC

IT-BOOK. Domini Hosting Web marketing E-mail e PEC 5 giugno 09 IT-BOOK Configurazioni e cartatteristiche tecniche possono essere soggette a variazioni senza preavviso. Tutti i marchi citati sono registrati dai rispettivi proprietari. Non gettare per terra:

Dettagli

Sempre attenti ad ogni dettaglio Bosch Intelligent Video Analysis

Sempre attenti ad ogni dettaglio Bosch Intelligent Video Analysis Sempre attenti ad ogni dettaglio Bosch Intelligent Video Analysis 2 Intervento immediato con Bosch Intelligent Video Analysis Indipendentemente da quante telecamere il sistema utilizza, la sorveglianza

Dettagli

Guida ai Servizi Internet per il Referente Aziendale

Guida ai Servizi Internet per il Referente Aziendale Guida ai Servizi Internet per il Referente Aziendale Indice Indice Introduzione...3 Guida al primo accesso...3 Accessi successivi...5 Amministrazione dei servizi avanzati (VAS)...6 Attivazione dei VAS...7

Dettagli

Architettura SPC e porta di dominio per le PA

Architettura SPC e porta di dominio per le PA Libro bianco sulla SOA v.1.0 Allegato 2_1 Architettura SPC e porta di dominio per le PA vs 02 marzo 2008 Gruppo di Lavoro SOA del ClubTI di Milano Premessa L architettura SPC e la relativa porta di dominio

Dettagli

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu FRAUD MANAGEMENT. COME IDENTIFICARE E COMB BATTERE FRODI PRIMA CHE ACCADANO LE Con una visione sia sui processi di business, sia sui sistemi, Reply è pronta ad offrire soluzioni innovative di Fraud Management,

Dettagli

Business Process Management

Business Process Management Corso di Certificazione in Business Process Management Progetto Didattico 2015 con la supervisione scientifica del Dipartimento di Informatica Università degli Studi di Torino Responsabile scientifico

Dettagli

Il World Wide Web: nozioni introduttive

Il World Wide Web: nozioni introduttive Il World Wide Web: nozioni introduttive Dott. Nicole NOVIELLI novielli@di.uniba.it http://www.di.uniba.it/intint/people/nicole.html Cos è Internet! Acronimo di "interconnected networks" ("reti interconnesse")!

Dettagli

Informatica per la comunicazione" - lezione 9 -

Informatica per la comunicazione - lezione 9 - Informatica per la comunicazione" - lezione 9 - Protocolli di livello intermedio:" TCP/IP" IP: Internet Protocol" E il protocollo che viene seguito per trasmettere un pacchetto da un host a un altro, in

Dettagli

Business Intelligence RENDE STRATEGICHE LE INFORMAZIONI

Business Intelligence RENDE STRATEGICHE LE INFORMAZIONI Business Intelligence RENDE STRATEGICHE LE INFORMAZIONI Business Intelligence RENDE STRATEGICHE LE INFORMAZIONI CSC ritiene che la Business Intelligence sia un elemento strategico e fondamentale che, seguendo

Dettagli

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Oggi più che mai, le aziende italiane sentono la necessità di raccogliere,

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

DynDevice ECM. La Suite di applicazioni web per velocizzare, standardizzare e ottimizzare il flusso delle informazioni aziendali

DynDevice ECM. La Suite di applicazioni web per velocizzare, standardizzare e ottimizzare il flusso delle informazioni aziendali DynDevice ECM La Suite di applicazioni web per velocizzare, standardizzare e ottimizzare il flusso delle informazioni aziendali Presentazione DynDevice ECM Cos è DynDevice ICMS Le soluzioni di DynDevice

Dettagli

2.0 DAL WEB. social. tecnologico, 2006. Reply www.reply.eu

2.0 DAL WEB. social. tecnologico, 2006. Reply www.reply.eu ALL INTERNO DEL FIREWALL: ENI 2.0 Il modo di lavorare è soggetto a rapidi cambiamenti; pertanto le aziende che adottano nuovi tool che consentono uno scambio di informazioni contestuale, rapido e semplificato

Dettagli

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Prova completa Mercoledì 2 Marzo 2005, ore 14.30

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Prova completa Mercoledì 2 Marzo 2005, ore 14.30 Prova di Esame - Rete Internet (ing. Giovanni Neglia) Prova completa Mercoledì 2 Marzo 2005, ore 14.30 NB: alcune domande hanno risposta multipla: si richiede di identificare TUTTE le risposte corrette.

Dettagli

Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci a settimana

Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci a settimana Storie di successo Microsoft per le Imprese Scenario: Software e Development Settore: Servizi In collaborazione con Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Il modello metodologico del Sistema di Misurazione e Valutazione della sicurezza aziendale (MVS)

Il modello metodologico del Sistema di Misurazione e Valutazione della sicurezza aziendale (MVS) Il modello metodologico del Sistema di Misurazione e Valutazione della sicurezza aziendale (MVS) >> Il Sistema MVS permette di misurare e valutare la sicurezza aziendale (nell accezione di Security) nei

Dettagli

Milano, Settembre 2009 BIOSS Consulting

Milano, Settembre 2009 BIOSS Consulting Milano, Settembre 2009 BIOSS Consulting Presentazione della società Agenda Chi siamo 3 Cosa facciamo 4-13 San Donato Milanese, 26 maggio 2008 Come lo facciamo 14-20 Case Studies 21-28 Prodotti utilizzati

Dettagli

White Paper. Operational DashBoard. per una Business Intelligence. in real-time

White Paper. Operational DashBoard. per una Business Intelligence. in real-time White Paper Operational DashBoard per una Business Intelligence in real-time Settembre 2011 www.axiante.com A Paper Published by Axiante CAMBIARE LE TRADIZIONI C'è stato un tempo in cui la Business Intelligence

Dettagli

Sistemi Web-Based - Terminologia. Progetto di Sistemi Web-Based Prof. Luigi Laura, Univ. Tor Vergata, a.a. 2010/2011

Sistemi Web-Based - Terminologia. Progetto di Sistemi Web-Based Prof. Luigi Laura, Univ. Tor Vergata, a.a. 2010/2011 Sistemi Web-Based - Terminologia Progetto di Sistemi Web-Based Prof. Luigi Laura, Univ. Tor Vergata, a.a. 2010/2011 CLIENT: il client è il programma che richiede un servizio a un computer collegato in

Dettagli

Analisi dei requisiti e casi d uso

Analisi dei requisiti e casi d uso Analisi dei requisiti e casi d uso Indice 1 Introduzione 2 1.1 Terminologia........................... 2 2 Modello del sistema 4 2.1 Requisiti hardware........................ 4 2.2 Requisiti software.........................

Dettagli

IT FINANCIAL MANAGEMENT

IT FINANCIAL MANAGEMENT IT FINANCIAL MANAGEMENT L IT Financial Management è una disciplina per la pianificazione e il controllo economico-finanziario, di carattere sia strategico sia operativo, basata su un ampio insieme di metodologie

Dettagli

EuroColori YOUR BEST PARTNER IN COLOR STRATEGY

EuroColori YOUR BEST PARTNER IN COLOR STRATEGY EuroColori YOUR BEST PARTNER IN COLOR STRATEGY EuroColori YOUR BEST PARTNER IN COLOR STRATEGY THE FUTURE IS CLOSER Il primo motore di tutte le nostre attività è la piena consapevolezza che il colore è

Dettagli

SICUREZZA SENZA COMPROMESSI PER TUTTI GLI AMBIENTI VIRTUALI. Security for Virtual and Cloud Environments

SICUREZZA SENZA COMPROMESSI PER TUTTI GLI AMBIENTI VIRTUALI. Security for Virtual and Cloud Environments SICUREZZA SENZA COMPROMESSI PER TUTTI GLI AMBIENTI VIRTUALI Security for Virtual and Cloud Environments PROTEZIONE O PRESTAZIONI? Già nel 2009, il numero di macchine virtuali aveva superato quello dei

Dettagli

Come difendersi dai VIRUS

Come difendersi dai VIRUS Come difendersi dai VIRUS DEFINIZIONE Un virus è un programma, cioè una serie di istruzioni, scritte in un linguaggio di programmazione, in passato era di solito di basso livello*, mentre con l'avvento

Dettagli

Sistemi avanzati di gestione dei Sistemi Informativi

Sistemi avanzati di gestione dei Sistemi Informativi Esperti nella gestione dei sistemi informativi e tecnologie informatiche Sistemi avanzati di gestione dei Sistemi Informativi Docente: Email: Sito: Eduard Roccatello eduard@roccatello.it http://www.roccatello.it/teaching/gsi/

Dettagli

Applicazione: DoQui/Index - Motore di gestione dei contenuti digitali

Applicazione: DoQui/Index - Motore di gestione dei contenuti digitali Riusabilità del software - Catalogo delle applicazioni: Applicativo verticale Applicazione: DoQui/Index - Motore di gestione dei contenuti digitali Amministrazione: Regione Piemonte - Direzione Innovazione,

Dettagli

Processi di business sovra-regionali relativi ai sistemi regionali di FSE. Versione 1.0 24 Giugno 2014

Processi di business sovra-regionali relativi ai sistemi regionali di FSE. Versione 1.0 24 Giugno 2014 Processi di business sovra-regionali relativi ai sistemi regionali di FSE Versione 1.0 24 Giugno 2014 1 Indice Indice... 2 Indice delle figure... 3 Indice delle tabelle... 4 Obiettivi del documento...

Dettagli

B.P.S. Business Process Server ALLEGATO C10

B.P.S. Business Process Server ALLEGATO C10 B.P.S. Business Process Server ALLEGATO C10 REGIONE BASILICATA DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA Via V. Verrastro, n. 4 85100 Potenza tel

Dettagli

Intalio. Leader nei Sistemi Open Source per il Business Process Management. Andrea Calcagno Amministratore Delegato

Intalio. Leader nei Sistemi Open Source per il Business Process Management. Andrea Calcagno Amministratore Delegato Intalio Convegno Open Source per la Pubblica Amministrazione Leader nei Sistemi Open Source per il Business Process Management Navacchio 4 Dicembre 2008 Andrea Calcagno Amministratore Delegato 20081129-1

Dettagli

Estensione di un servizo di messaggistica per telefonia mobile (per una società di agenti TuCSoN)

Estensione di un servizo di messaggistica per telefonia mobile (per una società di agenti TuCSoN) Estensione di un servizo di messaggistica per telefonia mobile (per una società di agenti TuCSoN) System Overview di Mattia Bargellini 1 CAPITOLO 1 1.1 Introduzione Il seguente progetto intende estendere

Dettagli

Dalla Mappatura dei Processi al Business Process Management

Dalla Mappatura dei Processi al Business Process Management Dalla Mappatura dei Processi al Business Process Management Romano Stasi Responsabile Segreteria Tecnica ABI Lab Roma, 4 dicembre 2007 Agenda Il percorso metodologico Analizzare per conoscere: la mappatura

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Web conferencing e collaborazione in tempo reale su Internet: la piattaforma Meetecho

Web conferencing e collaborazione in tempo reale su Internet: la piattaforma Meetecho Web conferencing e collaborazione in tempo reale su Internet: la piattaforma Meetecho Tobia Castaldi Alessandro Amirante Lorenzo Miniero Simon Pietro Romano Giorgio Ventre 02/10/2009 GARR 2009 "Network

Dettagli

UML Component and Deployment diagram

UML Component and Deployment diagram UML Component and Deployment diagram Ing. Orazio Tomarchio Orazio.Tomarchio@diit.unict.it Dipartimento di Ingegneria Informatica e delle Telecomunicazioni Università di Catania I diagrammi UML Classificazione

Dettagli

Problem Management. Obiettivi. Definizioni. Responsabilità. Attività. Input

Problem Management. Obiettivi. Definizioni. Responsabilità. Attività. Input Problem Management Obiettivi Obiettivo del Problem Management e di minimizzare l effetto negativo sull organizzazione degli Incidenti e dei Problemi causati da errori nell infrastruttura e prevenire gli

Dettagli

Talento LAB 4.1 - UTILIZZARE FTP (FILE TRANSFER PROTOCOL) L'UTILIZZO DI ALTRI SERVIZI INTERNET. In questa lezione imparerete a:

Talento LAB 4.1 - UTILIZZARE FTP (FILE TRANSFER PROTOCOL) L'UTILIZZO DI ALTRI SERVIZI INTERNET. In questa lezione imparerete a: Lab 4.1 Utilizzare FTP (File Tranfer Protocol) LAB 4.1 - UTILIZZARE FTP (FILE TRANSFER PROTOCOL) In questa lezione imparerete a: Utilizzare altri servizi Internet, Collegarsi al servizio Telnet, Accedere

Dettagli

Gestire le informazioni con un sorriso sulle labbra

Gestire le informazioni con un sorriso sulle labbra Gestire le informazioni con un sorriso sulle labbra Enterprise Content Management vi semplifica la vita Enterprise-Content-Management Gestione dei documenti Archiviazione Workflow www.elo.com Karl Heinz

Dettagli

Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali. Payment Card Industry Data Security Standard

Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali. Payment Card Industry Data Security Standard Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali Payment Card Industry Data Security Standard STANDARD DI SICUREZZA SUI DATI PREVISTI DAI CIRCUITI INTERNAZIONALI (Payment Card Industry

Dettagli

Sicurezza delle reti wireless. Alberto Gianoli alberto.gianoli@fe.infn.it

Sicurezza delle reti wireless. Alberto Gianoli alberto.gianoli@fe.infn.it Sicurezza delle reti wireless Alberto Gianoli alberto.gianoli@fe.infn.it Concetti di base IEEE 802.11: famiglia di standard tra cui: 802.11a, b, g: physical e max data rate spec. 802.11e: QoS (traffic

Dettagli

MPLS è una tecnologia ad alte prestazioni per l instradamento di pacchetti IP attraverso una rete condivisa

MPLS è una tecnologia ad alte prestazioni per l instradamento di pacchetti IP attraverso una rete condivisa Cosa è MPLS MPLS è una tecnologia ad alte prestazioni per l instradamento di pacchetti IP attraverso una rete condivisa L idea di base consiste nell associare a ciascun pacchetto un breve identificativo

Dettagli

EUROPEAN COMPUTER DRIVING LICENCE. IT Security. Syllabus

EUROPEAN COMPUTER DRIVING LICENCE. IT Security. Syllabus EUROPEAN COMPUTER DRIVING LICENCE IT Security Syllabus Scopo Questo documento presenta il syllabus di ECDL Standard IT Security. Il syllabus descrive, attraverso i risultati del processo di apprendimento,

Dettagli

IT Service Management

IT Service Management IT Service Management ITIL: I concetti chiave ed il livello di adozione nelle aziende italiane Matteo De Angelis, itsmf Italia (I) 1 Chi è itsmf italia 12 th May 2011 - Bolzano itsmf (IT Service Management

Dettagli

Università degli Studi di Parma. Facoltà di Scienze MM. FF. NN. Corso di Laurea in Informatica

Università degli Studi di Parma. Facoltà di Scienze MM. FF. NN. Corso di Laurea in Informatica Università degli Studi di Parma Facoltà di Scienze MM. FF. NN. Corso di Laurea in Informatica A.A. 2007-08 CORSO DI INGEGNERIA DEL SOFTWARE Prof. Giulio Destri http://www.areasp.com (C) 2007 AreaSP for

Dettagli

Guida Dell di base all'acquisto dei server

Guida Dell di base all'acquisto dei server Guida Dell di base all'acquisto dei server Per le piccole aziende che dispongono di più computer è opportuno investire in un server che aiuti a garantire la sicurezza e l'organizzazione dei dati, consentendo

Dettagli

Ottimizzazione della gestione del data center con Microsoft System Center

Ottimizzazione della gestione del data center con Microsoft System Center Ottimizzazione della gestione del data center con Microsoft System Center Declinazione di responsabilità e informazioni sul copyright Le informazioni contenute nel presente documento rappresentano le conoscenze

Dettagli

APPLICAZIONE WEB PER LA GESTIONE DELLE RICHIESTE DI ACQUISTO DEL MATERIALE INFORMATICO. Francesco Marchione e Dario Richichi

APPLICAZIONE WEB PER LA GESTIONE DELLE RICHIESTE DI ACQUISTO DEL MATERIALE INFORMATICO. Francesco Marchione e Dario Richichi APPLICAZIONE WEB PER LA GESTIONE DELLE RICHIESTE DI ACQUISTO DEL MATERIALE INFORMATICO Francesco Marchione e Dario Richichi Istituto Nazionale di Geofisica e Vulcanologia Sezione di Palermo Indice Introduzione...

Dettagli

DAT@GON. Gestione Gare e Offerte

DAT@GON. Gestione Gare e Offerte DAT@GON Gestione Gare e Offerte DAT@GON partecipare e vincere nel settore pubblico La soluzione sviluppata da Revorg per il settore farmaceutico, diagnostico e di strumentazione medicale, copre l intero

Dettagli

CLOUD SURVEY 2012: LO STATO DEL CLOUD COMPUTING IN ITALIA

CLOUD SURVEY 2012: LO STATO DEL CLOUD COMPUTING IN ITALIA CLOUD SURVEY 2012: LO STATO DEL CLOUD COMPUTING IN ITALIA 2ª PARTE NEL CAPITOLO PRECEDENTE NOTA METODOLOGICA LA PAROLA AI CIO I MIGLIORI HYPERVISOR AFFIDARSI AI VENDOR INVESTIRE PER IL CLOUD APPLICAZIONI

Dettagli

- Antivirus, Firewall e buone norme di comportamento

- Antivirus, Firewall e buone norme di comportamento Reti Di cosa parleremo? - Definizione di Rete e Concetti di Base - Tipologie di reti - Tecnologie Wireless - Internet e WWW - Connessioni casalinghe a Internet - Posta elettronica, FTP e Internet Browser

Dettagli

Guida alla scansione su FTP

Guida alla scansione su FTP Guida alla scansione su FTP Per ottenere informazioni di base sulla rete e sulle funzionalità di rete avanzate della macchina Brother, consultare la uu Guida dell'utente in rete. Per ottenere informazioni

Dettagli

più del mercato applicazioni dei processi modificato. Reply www.reply.eu

più del mercato applicazioni dei processi modificato. Reply www.reply.eu SOA IN AMBITO TELCO Al fine di ottimizzare i costi e di migliorare la gestione dell'it, le aziende guardano, sempre più con maggiore interesse, alle problematiche di gestionee ed ottimizzazione dei processi

Dettagli

Allegato 8 MISURE MINIME ED IDONEE

Allegato 8 MISURE MINIME ED IDONEE Allegato 8 MISURE MINIME ED IDONEE SOMMARIO 1 POLITICHE DELLA SICUREZZA INFORMATICA...3 2 ORGANIZZAZIONE PER LA SICUREZZA...3 3 SICUREZZA DEL PERSONALE...3 4 SICUREZZA MATERIALE E AMBIENTALE...4 5 GESTIONE

Dettagli

Inizializzazione degli Host. BOOTP e DHCP

Inizializzazione degli Host. BOOTP e DHCP BOOTP e DHCP a.a. 2002/03 Prof. Vincenzo Auletta auletta@dia.unisa.it http://www.dia.unisa.it/~auletta/ Università degli studi di Salerno Laurea e Diploma in Informatica 1 Inizializzazione degli Host Un

Dettagli

GUIDA ALLE BEST PRACTICE PER MOBILE DEVICE MANAGEMENT E MOBILE SECURITY

GUIDA ALLE BEST PRACTICE PER MOBILE DEVICE MANAGEMENT E MOBILE SECURITY GUIDA ALLE BEST PRACTICE PER MOBILE DEVICE MANAGEMENT E MOBILE SECURITY Con Kaspersky, adesso è possibile. www.kaspersky.it/business Be Ready for What's Next SOMMARIO Pagina 1. APERTI 24 ORE SU 24...2

Dettagli

Manuale di Remote Desktop Connection. Brad Hards Urs Wolfer Traduzione: Luciano Montanaro Traduzione: Daniele Micci

Manuale di Remote Desktop Connection. Brad Hards Urs Wolfer Traduzione: Luciano Montanaro Traduzione: Daniele Micci Manuale di Remote Desktop Connection Brad Hards Urs Wolfer Traduzione: Luciano Montanaro Traduzione: Daniele Micci 2 Indice 1 Introduzione 5 2 Il protocollo Remote Frame Buffer 6 3 Uso di Remote Desktop

Dettagli

UNIVERSITÀ DEGLI STUDI DI GENOVA

UNIVERSITÀ DEGLI STUDI DI GENOVA UNIVERSITÀ DEGLI STUDI DI GENOVA FACOLTÀ DI INGEGNERIA CORSO DI LAUREA SPECIALISTICA IN INGEGNERIA ELETTRONICA TESI DI LAUREA Sviluppo di tecniche di clustering e log correlation dedicate al trattamento

Dettagli

Il portafoglio VidyoConferencing. Tutto ciò di cui avete bisogno per realizzare videoconferenze HD di qualità, accessibili e a costi vantaggiosi

Il portafoglio VidyoConferencing. Tutto ciò di cui avete bisogno per realizzare videoconferenze HD di qualità, accessibili e a costi vantaggiosi Il portafoglio VidyoConferencing Tutto ciò di cui avete bisogno per realizzare videoconferenze HD di qualità, accessibili e a costi vantaggiosi La qualità HD di Vidyo mi permette di vedere e ascoltare

Dettagli

Informatica Applicata

Informatica Applicata Ing. Irina Trubitsyna Concetti Introduttivi Programma del corso Obiettivi: Il corso di illustra i principi fondamentali della programmazione con riferimento al linguaggio C. In particolare privilegia gli

Dettagli

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007 Security Governance Chief Security Advisor Microsoft Italia feliciano.intini@microsoft.com http://blogs.technet.com/feliciano_intini

Dettagli

INFORMATIVA SUI COOKIE

INFORMATIVA SUI COOKIE INFORMATIVA SUI COOKIE I Cookie sono costituiti da porzioni di codice installate all'interno del browser che assistono il Titolare nell erogazione del servizio in base alle finalità descritte. Alcune delle

Dettagli

La configurazione degli indirizzi IP. Configurazione statica, con DHCP, e stateless

La configurazione degli indirizzi IP. Configurazione statica, con DHCP, e stateless La configurazione degli indirizzi IP Configurazione statica, con DHCP, e stateless 1 Parametri essenziali per una stazione IP Parametri obbligatori Indirizzo IP Netmask Parametri formalmente non obbligatori,

Dettagli

AVVISO PER LA PRESENTAZIONE DEI PROGETTI DI INFOMOBILITÀ - ATTIVITÀ IV.4 DEL POR CREO 2007-2013. Giunta Regionale

AVVISO PER LA PRESENTAZIONE DEI PROGETTI DI INFOMOBILITÀ - ATTIVITÀ IV.4 DEL POR CREO 2007-2013. Giunta Regionale Giunta Regionale Direzione Generale delle Politiche Territoriali, Ambientali e per la Mobilità Area di Coordinamento Mobilità e Infrastrutture Settore Pianificazione del Sistema Integrato della Mobilità

Dettagli

***** Il software IBM e semplice *****

***** Il software IBM e semplice ***** Il IBM e semplice ***** ***** Tutto quello che hai sempre voluto sapere sui prodotti IBM per qualificare i potenziali clienti, sensibilizzarli sulle nostre offerte e riuscire a convincerli. WebSphere IL

Dettagli

Portfolio Prodotti MarketingDept. Gennaio 2015

Portfolio Prodotti MarketingDept. Gennaio 2015 Portfolio Prodotti Gennaio 2015 L azienda Symbolic Fondata nel 1994, Symbolic è presente da vent'anni sul mercato italiano come Distributore a Valore Aggiunto (VAD) di soluzioni di Data & Network Security.

Dettagli

Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option

Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option Il software descritto nel presente

Dettagli

Business Intelligence. Il data mining in

Business Intelligence. Il data mining in Business Intelligence Il data mining in L'analisi matematica per dedurre schemi e tendenze dai dati storici esistenti. Revenue Management. Previsioni di occupazione. Marketing. Mail diretto a clienti specifici.

Dettagli

Ambienti supportati. Configurazione della stampante di rete. Stampa. Gestione della carta. Manutenzione. Risoluzione dei problemi.

Ambienti supportati. Configurazione della stampante di rete. Stampa. Gestione della carta. Manutenzione. Risoluzione dei problemi. I server di stampa vengono utilizzati per collegare le stampanti alle reti. In tal modo, più utenti possono accedere alle stampanti dalle proprie workstation, condividendo sofisticate e costose risorse.

Dettagli

Reti di Telecomunicazione Lezione 7

Reti di Telecomunicazione Lezione 7 Reti di Telecomunicazione Lezione 7 Marco Benini Corso di Laurea in Informatica marco.benini@uninsubria.it Il protocollo Programma della lezione file transfer protocol descrizione architetturale descrizione

Dettagli

Energy risk management

Energy risk management Il sistema di supporto alle tue decisioni Energy risk management Un approccio orientato agli attori M.B.I. Srl, Via Francesco Squartini 7-56121 Pisa, Italia - tel. 050 3870888 - fax. 050 3870808 www.powerschedo.it

Dettagli

Guida del client per Symantec Endpoint Protection e Symantec Network Access Control

Guida del client per Symantec Endpoint Protection e Symantec Network Access Control Guida del client per Symantec Endpoint Protection e Symantec Network Access Control Guida del client per Symantec Endpoint Protection e Symantec Network Access Control Il software descritto nel presente

Dettagli

L evoluzione del software per l azienda moderna. Gestirsi / Capirsi / Migliorarsi

L evoluzione del software per l azienda moderna. Gestirsi / Capirsi / Migliorarsi IL GESTIONALE DEL FUTURO L evoluzione del software per l azienda moderna Gestirsi / Capirsi / Migliorarsi IL MERCATO ITALIANO L Italia è rappresentata da un numero elevato di piccole e medie aziende che

Dettagli