Introduzione alla sicurezza informatica. Graziano Cino Bocchi

Transcript

1 Introduzione alla sicurezza informatica Graziano Cino Bocchi

2 Principi di Crittografia Problemi di sicurezza su internet Crittazione e Decrittazione Firma Digitale Certificati e Autenticazione Gestione dei certificati

3 Sicurezza su Internet Intromissione di terze parti Intercettazione (Eavesdropping) L informazione non viene toccata ma la privacy è compromessa. Cattura di password, numeri di carta di credito, informazioni riservate Manomissione (Tamper) L informazione in transito viene modificata o rimpiazzata prima di raggiungere il destinatario. Modifica di un ordine, di un movimento bancario

4 Sicurezza su Internet Intromissione di terze parti Impersonation. Il mittente si finge un altro oppure si pone nel mezzo delle comunicazione e si finge rispettivamente mittente e destinazione per destinatario e mittente (man-in-the-middle attack) Spoofing. Un nodo della rete finge di essere un altro. Es: cambio di IP sorgente per non lasciare tracce di un attacco. Travisamento. Una persona o una organizzazione dicono di essere quello che non sono. Es: un sito che dice di vendere prodotti e in realtà cattura solo numeri di carta di credito.

5 Intervento della crittografia sull intromissione di terze parti Crittazione e decrittazione: permette alle parti di comunicare mantenendo la privacy. Rilevazione della manomissione: permette di verificare che il messaggio non sia stato cambiato durante il tragitto. Autenticazione: permette di verificare l identità delle due parti. Nonrepudiation: non permette al mittente di negare l avvenuta spedizione da parte sua dei dati.

6 Schema logico 1) Problemi di sicurezza su internet Crittografia Eavesdropping Tampering Impersonation 2) Crittazione e decrittazione

7 Crittazione e decrittazione Crittazione processo con cui si rende incomprensibile un testo a tutti salvo il destinatario designato. Decrittazione processo che prende un testo crittato e lo ritrasforma in un testo in chiaro. Algoritmo Crittografico (cipher): Funzione matematica usata per la crittazione e la decrittazione. Tipicamente sono due funzioni, una inversa dell altra. Crittografia moderna : l informazione deve restare segreta anche se il procedimento di crittazione è pubblico. La sicurezza deve essere garantita da una chiave e non dalla conoscenza dell algoritmo.

8 Crittazione e decrittazione Crittazione a chiave simmetrica Crittazione a chiave pubblica (o asimmetrica) Lunghezza della chiave e forza della crittazione.

9 Crittazine a chiave simmetrica La stessa chiave viene utilizzata sia per la crittazione che per la decrittazione Inserisce problemi relativi allo scambio sicuro della chiave!

10 Crittazoine a chiave simmetrica Molto veloce, non inserisce praticamente ritardo nella comunicazione Fornisce un certo grado di autenticazione, infatti le informazioni crittate con una chiave non possono essere decrittate con nessun altra chiave. Valido solo se la chiave viene mantenuta segreta!! La fase dello scambio è molto delicata! Utilizzata nel protocollo SSL utilizzato nelle implementazioni TCP/IP per autenticazione, tamper detection e privacy. (SSL usa anche tecniche a chiave pubblica)

11 Crittazione a chiave pubblica Brevettata da RSA Definita crittazione asimmetrica. Basata su una coppia di chiavi, chiave pubblica e chiave privata. Dati crittati con la mia chiave pubblica possono essere decrittati solo dalla mia chiave privata e viceversa. Dalla chiave pubblica non è possibile derivare la privata La chiave pubblica viene liberamente distribuita La chiave privata deve essere mantenuta segreta (e spesso viene crittata tramite un algoritmo a chiave simmetrica)

12 Crittazione a chiave pubblica Per inviare dati ad una persona è necessario avere prima la sua chiave pubblica. Con questa chiave possiamo crittare i dati in modo che solo il possessore della corrispondente chiave privata possa leggerli. Problemi? La crittografia a chiave pubblica è computazionalmente molto più onerosa e quindi non è appropriata per il trasporto di grandi quantità di dati.

13 Crittazione a chiave pubblica La crittografia a chiave asimmetrica viene utilizzata come primo passo in una sessione sicura. In questo primo passo avviene lo scambio di una chiave privata mediante la quale continuare in modo più rapido la sessione di comunicazione. (SSL) E possibile crittare i dati anche con la chiave privata anche se chiunque sia in possesso della chiave pubblica può decrittare il messaggio. Quindi crittare con la chiave privata non serve per la sicurezza ma ha un altra funzione.

14 Lunghezza della chiave e forza della crittazione La forza della crittazione è legata alla difficoltà di determinare la chiave. La determinazione della chiave dipende sia dalla sua lunghezza che dal cipher utilizzato. La forza della crittazione viene spesso definita in base alla lunghezza della chiave (es: Sicurezza a 128 bit) A parità di cipher maggior lunghezza della chiave implica maggior forza della crittazione. La lunghezza della chiave viene misurata in bit Es: la chiave di 128 usata dall algoritmo RC4 usato in SSL fornisce maggiore protezione della chiave a 40 bit. La chiave a 128 bit è 3 x volte più forte di quella a 40.

15 Lunghezza della chiave e forza della crittazione Algoritmi differenti possono richiedere chiavi di lunghezza diversa per offrire lo stesso livello di sicurezza. Es: una chiave a 128 bit in crittografia simmetrica è molto più forte di una chiave a 128 bit in crittografia asimmetrica. Un algoritmo oggi molto forte può risultare debole in pochi anni (cresce la capacità elaborativa e la possibilità di attacchi brute force). Spesso la crittografia è soggetta a norme che ne vietano l esportazione (caso PGP).

16 Crittografia La crittazione permette di superare solo il problema delle intercettazioni. Non protegge da: Tampering Impersonation

17 Schema logico 1) Problemi di sicurezza su internet Crittografia Eavesdropping 2) Crittazione e decrittazione Tampering Impersonation 3) Firma digitale Crittografia simmetrica Crittografia asimmetrica Lunghezza della chiave

18 Rilevamento delle modifiche (tamper detection) Basata su una funzione matematica monodirezionale (one-way hash) che genera un message digest. Una funzione hash restituisce un numero di una lunghezza fissa che ha le seguenti caratteristiche: Il valore è unico per i dati elaborati. Qualsiasi cambiamento all interno dei dati (modifica, aggiunta, cancellazione) fa si che il valore restituito sia differente. I dati originali non possono in nessun modo essere determinati dal valore restituito dalla funzione di hash (monodirezionale).

19 Firma digitale E possibile quindi utilizzare la chiave privata per firmare i dati. Invece che crittare i dati stessi, che potrebbero venir modificati, viene creato un hash del messaggio che viene firmato con la chiave privata. L hash crittato con la privata è quindi detto Firma Digitale.

20 Firma digitale Se i due hash coincidono è sicuro che il messaggio sia stato firmato dall emittente che possiede la chiave privata di cui io possiedo la pubblica. E però necessario che qualcuno certifichi che la coppia di chiavi (di cui io possiedo la pubblica) appartengano effettivamente al presunto mittente.

21 Certificati Digitali Un certificato digitale è un documento elettronico usato per identificare con certezza una persona, un server, un azienda e associare con questa la sua chiave pubblica. Elimina (riduce?) il rischio della Impersonation. Le Certification Authorities (CA) sono le entità che verificano le identità e emettono i certificati.

22 Schema logico 1) Problemi di sicurezza su internet Crittografia Eavesdropping 2) Crittazione e decrittazione Tampering Impersonation 3) Firma digitale Crittografia simmetric Crittografia asimmetrica Lunghezza della chiave 4) Certificati e autenticità

23 Certification Authority Associa una chiave pubblica ad informazioni relative all entità che sta certificando. Nel certificato sono incluse: Il nome dell entità certificata, la data di scadenza, il nome della CA che ha emesso il certificato, un numero di serie Tutto digitalmente firmato dalla CA

24 Autenticazione Autenticazione del client si ha quando si vuole verificare l identità della persona che usa i servizi (home banking, trading on-line). Autenticazione del server si ha quando il client necessita di verificare l identità del server prima di passare informazioni riservate (commercio elettronico)

25 Autenticazione I certificati digitali vengono usati anche per autenticare: La posta elettronica: Firma di una e invio del certificato Moduli on-line: Firma del modulo compilato e invio del certificato La firma digitale fornisce anche nonrepudiation perché, in teoria, solo la persona certificata può possedere la chiave privata.

26 Autenticazione Basata su password Basata su certificati

27 Autenticazione basata su password L utente ha già deciso di dare fiducia al server, o tramite una normale sessione o tramite una sessione SSL L utente richiede una risorsa al server Il server richiede l autenticazione prima di permettere l accesso alla risorsa.

28 Autenticazione basata su password. Il client risponde alla richiesta di autenticazione. L utente inserisce username e password diversi per ogni server che deve usare.. Il client invia la password o in chiaro o crittata. Il server controlla nel database degli utenti e se username e password sono corrette autentica l utente.. Il server determina i permessi (autorizzazioni) che l utente ha e in caso passa la risorsa richiesta.

29 Autenticazione con certificato Il software del client mantiene un database di chiavi private. Il client chiede una password all utente per poter sbloccare le chiavi private.

30 Autenticazione con certificato Il client sblocca la chiave privata e la usa per firmare dei dati random che il server gli ha inviato.

31 Autenticazione con certificato Il client invia sia il suo certificato che la firma al server.

32 Autenticazione con certificato Il server usa il certificato per autenticare l identità dell utente.

33 Autenticazione con certificato Una volta autenticato il server valuta quali sono le autorizzazioni associate a quell utente/certificato

34 Password vs Certificato L autenticazione con certificato si basa sia su quello che il client ha (la chiave privata) sia su quello che sa (la password per sbloccare la chiave)

35 Tipi di certificati Certificato Client SSL Certificato Server SSL Certificati S/MIME Certificati per firma di oggetti Certificati delle CA

36 Secure Socket Layer Transpor Layer Security

37 SSL Sviluppato da Netscape nel 1994 Successivamente modificato da IETF nel 97 per ottener TLS Estremamente diffuso

38 Funzionalità di SSL Crittazione ed autenticazione Autenticazione del client Autenticazione del server Connessione crittata Cifratura a 40, 56, 128, 168 bit Crittografia ibrida -> simmetrica e asimmetrica insieme

39 SSL Handshake Client Client_Hello[Client_Random, SessionID, CipherSuites, CompressionMethods] Server Server_Hello[Server_Random, SessionID, CipherSuites, CompressionMethod] Certificate[Server_Cert] Server_Hello_Done[] Client_Key_Exchange[PKserver{PreMasterSecret}] Change_Cipher_Spec[] Finished[] Change_Cipher_Spec[] Finished[] Application_Data[*]

40 Autenticazione del Server Checklist: Il certificato è valido alla data attuale? La CA è fidata? La firma della CA valida il certificato? Il dominio contenuto nel certificato è lo stesso del sito?

41 Pregi e difetti Pregi Cifratura forte Economico Largamente accettato e diffuso Difetti Richiede che le implementazioni del server e del client siano sicure E solo un sistema di crittazione!

42 Prodotti SSL SSL viene principalmente utilizzato per il web Proprietari Microsoft Netscape (iplanet) Open source OpenSSL (SSLeay) ApacheSSL e mod_ssl

43 Come ottenere un certificato Passi da compiere 1) Raccogliere la documentazione richiesta (identità e diritto di usare il dominio) 2) Generare una copia di chiavi ed un Certificate Signing Request (CSR) 3) Sottoporre il CSR alla CA 4) Sottoscrivere l Agreement 5) Inviare la documentazione 6) Installazione del certificato

44 Attacchi in rete

45 Punti critici ISP Sniffing e attacchi via rete Utenti Sniffing e attacchi via rete Internet Sniffing e attacchi via rete Siti Web Cavalli di troia Applicazioni (database, Web server) Userid, Password, PIN, numero carta di credito Sistemi Operativi

46 Tipi di attacchi in rete Interruzione Attacco DoS o DDOS, flooding, TCP syn attack Intercettazione Sniffing di pacchetti contenenti dati sensibili(password, carta di credito..) Intrusione e uso non autorizzato Cavalli di troia, uso di exploit Creazione di dati contraffatti Spoofing e identità contraffatte

47 Interruzione di servizio Attacchi Denial of Service (DoS) Flooding per esaurire la banda Falle nel software e nei protocolli per bloccare le macchine Basati su spoofing del mittente Protezione Molto difficile proteggersi dato lo state of art del TCP-IP Filtraggio dei pacchetti in uscita dalla rete (per evitare attacchi lanciati dalla nostra rete)

48 Distributed DoS Distributed Denial of Service L attacco proviene da diversi punti L attaccante prende possesso di diverse macchine master Dalle macchine master propaga gli strumenti alle macchine zombie L attacco proviene dagli zombie E molto difficile risalire all attacker Attacker Master Master Master D D D D D D D D Target Controllo Attacco

49 TCP Handshaking Client Server Inizializzazione SYN SYN, ACK ACK Connessione stabilita Trasferimento dati Chiusura connessione FIN ACK FIN ACK Connessione Terminata

50 Altri attacchi SYN Flood SYN/ACK? A SYN B LAND Attack SYN/ACK B SYN B Teardrop Original Packet Normal Fragmentation Teardrop Dati Bonk

51 Intercettazione Intercettazione Gran parte del traffico di rete gira in chiaro Ascoltando il traffico di rete è possibile catturare informazioni sensibili Sniffer, tcpdump, ngrep, dsniff, e trojans (BO, Netbus, Subseven) vengono utilizzati per catturare il traffico Protezione segmentazione con switch? Crittografia e protocolli sicuri

52 Firewall

53 Firewall Per proteggere la rete interna dagli accessi esterni non autorizzati è possibile usare un firewall Un firewall è inserito nel punto di passaggio fra le due reti, quella interna e quella esterna Gateway Rete interna Rete esterna Il firewall controlla i pacchetti che arrivano dall esterno verso l interno e viceversa. Decide in base a regole impostate dall amministratore quali pacchetti accettare e quali far cadere

54 I firewall possono Essere programmati per limitare l accesso a certe macchine e a certe porte. Questo riduce il rischio di attacchi dall esterno. Ridurre lo spam eliminando determinati indirizzi sorgente. Limitare il tipo di servizi che un utente della rete interna può richiedere alla rete esterna.

55 I firewall non possono I firewall non possono proteggere da Attacchi che non passano dal firewall (supporti magnetici ma anche pool di modem per l accesso remoto) Attacchi software interni (tramite una falla si installa del software su macchine interne alla rete (rootkit) Attacchi Denial of Service (sovraccarico della linea di connessione fra la rete interna e quella esterna.

56 Firewall schema logico

57 Firewall in packet filtering Controlla i pacchetti in uscita Controlla i pacchetti in ingresso Le due reti separate fanno si che un pacchetto debba necessariamente passare dall application gateway

58 Firewall in packet filtering (interfaccia esterna) Decisioni basate su tabelle configurate dall amministratore di rete: Indirizzi sorgente e destinazione Porte sorgente e destinazione Accettare o vietare Esempio Porta 23 Telnet Porta 79 Finger Porta 119 USENET news Blocca i pacchetti provenienti da qualsiasi indirizzo che richiedano queste porte

59 Firewall in packet filtering (interfaccia interna) La gestione dei pacchetti in uscita è più complessa: Alcuni servizi possono usare porte particolari e non seguire gli standard. Numeri di porta assegnati dinamicamente

60 Firewall basato su application gateway Lavora al livello applicativo Es: il mail gateway controlla gli header del messaggio, Se contiene virus Possono esserci uno o più application gateway

61 Architetture e approcci Approcci: packet filtering: controlla le intestazioni dei datagrammi e alcune intestazioni di livello superiore. proxy: gateway di livello applicativo che inoltrano le richieste ricevute verso i server di destinazione. Architetture: dual-homed host: un host con due schede di rete una per la rete interna e una per la rete esterna. screened host: un router in packet filtering combinato un un bastion host che offre servizi di gateway/proxy. screened subnet: suddivisione in reti fidate e non fidate.

62 Packet filtering (screening router)

63 Proxy Server

64 Proxy Server

65 Dual-Homed

66 Dual-Homed

67 Screened Host

68 Screened Host

69 Screened Subnet

70 Screened Subnet

71 Linee guida sul filtraggio pacchetti Prima vietare per evitare che un pacchetto vietato passi attraverso regole che permettono (richiesta web con IP in Spoofing) Abilitare i servizi che vogliamo offrire Vietare tutto

72 Router con filtraggio pacchetti Dati per l accesso: Rete interna : /24 DNS : e Posta : Filtraggio su traffico entrante e uscente

73 ACL Access Control List. Sintassi ACL Standard access-list {1-99} {permit deny} indirizzosorgente [mask-sorgente] ACL Estese access-list { } {permit deny} protocollo indirizzo-sorgente [mask-sorgente] [operatore operando] indirizzo-destinazione [maskdestinazione] [operatore operando] [established] La mask è la wildcard mask 0 per i bit che devono essere considerati 1 per quelli da ignorare (detta improriamente inverse subnet mask )

74 Router con filtraggio pacchetti interfaccia ethernet Lista applicata in uscita sulla porta ethernet Eliminare il traffico con indirizzi interni Abilitazione di ICMP verso l esterno Query al DNS Navigazione Web Posta elettronica FTP

75 Router con filtraggio pacchetti interfaccia ethernet Eliminazione ip interni Access-list 111 deny ip any Access-list 111 deny ip any Access-list 111 deny ip any Access-list 111 deny ip any Abilitazione Ping/Trace Access-list 111 permit icmp any echo

76 Router con filtraggio pacchetti interfaccia ethernet Abilitazione DNS Access-list 111 permit udp host eq 53 Access-list 111 permit udp host eq 53 Abilitazione WEB Access-list 111 permit tcp any eq 80 Access-list 111 permit tcp any eq 443

77 Router con filtraggio pacchetti interfaccia ethernet Abilitazione Posta Access-list 111 permit tcp host eq 25 Access-list 111 permit tcp host eq 110 Access-list 111 permit tcp host eq 143 Abilitazione FTP Access-list 111 permit tcp any eq 20 Access-list 111 permit tcp any eq 21

78 Router con filtraggio pacchetti interfaccia ethernet Chiudi tutto il resto Access-list 111 deny any any (default non necessita di essere inserito, ma è meglio farlo) Applico la lista all interfaccia Sull interfaccia e0 dove è attaccata la rete locale (config-if)# access-group 111 out

79 Filtraggio pacchetti + DMZ + firewall - router Router + Firewall DMZ suddivisa in subnet /26 per avere due DMZ una sprotetta e una protetta

80 Filtraggio pacchetti + DMZ + firewall - router Router Su interfaccia interna in uscita antispoofing Su interfaccia Wan antispoofing ICMP per zona interna ICMP per DMZ Lascia passare tutto il traffico IP

81 Filtraggio pacchetti + DMZ + firewall configurazione firewall Abilitazione del forward fra diverse interfacce echo 1 >/proc/sys/net/ipv4/ip_forward Eliminazione di tutte le regole ipchains F Vieto tutto ipchains I input 1 DENY ipchains I output 1 DENY ipchains I forward 1 DENY

82 Filtraggio pacchetti + DMZ + firewall - configurazione firewall Creazione catene di traffico fra le varie interfacce: ipchains N WAN-Int ipchains N WAN-DMZ ipchains N DMZ-WAN ipchains N DMZ-Int ipchains N Int-WAN ipchains N Int-DMZ Interfacce eth0 WAN eth1 DMZ eth2 Int

83 Filtraggio pacchetti + DMZ + firewall -configurazione firewall Gestione dell inoltro ipchains A forward s /24 i eth0 j Int-WAN ipchains A forward s /24 i eth1 j Int-DMZ ipchains A forward s /26 i eth0 j DMZ-WAN ipchains A forward s /26 i eth2 j DMZ-Int ipchains A forward i eth1 j WAN-DMZ ipchains A forward i eth2 j WAN-Int ipchains A forward j DENY -l La porta indicata è quella di destinazione

84 Filtraggio pacchetti + DMZ + firewall - configurazione firewall Abilitazione ICMP ipchains N ICMP-ERR ipchains A ICMP-ERR p ICMP icmp-type destinationunreachable j ACCEPT ipchains A ICMP-ERR p ICMP icmp-type time-exceeded j ACCEPT Abilitazione ICMP ipchains A Int-WAN j ACCEPT

85 Filtraggio pacchetti + DMZ + firewall - configurazione firewall Non permettere traffico destinato al firewall ipchains N WAN-if ipchains N DMZ-if ipchains N Int-if ipchains A input d j WAN-if ipchains A input d j DMZ-if ipchains A input d j Int-if

86 Filtraggio pacchetti + DMZ + firewall - configurazione firewall Non permettere traffico destinato al firewall ipchains A WAN-if i!eth0 j DENY L ipchains A WAN-if p ICMP icmp-type echo-reply J ACCEPT ipchains A WAN-if j DENY ipchains A DMZ-if i!eth1 j DENY ipchains A DMZ-if p UDP s J ACCEPT ipchains A DMZ-if j DENY ipchains A Int-if i!eth2 j DENY ipchains A Int-if p ICMP icmp-type echo-reply J ACCEPT ipchains A Int-if p ICMP icmp-type echo-request J ACCEPT ipchains A Int-if j DENY -l

87 Filtraggio pacchetti + DMZ + firewall - configurazione firewall Permettere solo SSH verso il FW ipchains I Int-if 2 p TCP dport 22 J ACCEPT Scartare traffico che non si vuole loggare ipchains I Int-if 3 d j REJECT ipchains I Int-if 3 d /4 j REJECT

88 Filtraggio pacchetti + DMZ + firewall - configurazione firewall Servizi offerti a Internet da DMZ ipchains A WAN-DMZ p UDP d j ACCEPT ipchains A WAN-DMZ p TCP d j ACCEPT ipchains A WAN-DMZ p TCP d j ACCEPT ipchains A WAN-DMZ p TCP d j ACCEPT Servizi offerti a LAN da DMZ ipchains A Int-DMZ p UDP d j ACCEPT ipchains A Int-DMZ p TCP s d j ACCEPT ipchains A Int-DMZ p TCP s d j ACCEPT ipchains A Int-DMZ p UDP d j ACCEPT ipchains A Int-DMZ p UDP d j ACCEPT

89 Filtraggio pacchetti + DMZ + firewall - configurazione firewall Traffico da DMZ -> Internet ipchains A DMZ-WAN p UDP s j ACCEPT ipchains A DMZ-WAN p TCP s j ACCEPT ipchains A DMZ-WAN p TCP!-y s j ACCEPT ipchains A DMZ-WAN p TCP!-y s j ACCEPT ipchains A DMZ-WAN p ICMP j ICMP-ERR ipchains A DMZ-WAN j DENY -l

90 Filtraggio pacchetti + DMZ + firewall - configurazione firewall Traffico da DMZ -> LAN ipchains A DMZ-Int p UDP s j ACCEPT ipchains A DMZ-Int p TCP s j ACCEPT ipchains A DMZ-Int p TCP!-y s j ACCEPT ipchains A DMZ-Int p TCP!-y s j ACCEPT ipchains A DMZ-Int p ICMP j ICMP-ERR ipchains A DMZ-Int j DENY -l

91 Intrusion Detection Systems Graziano Cino Bocchi

92 Tipico meccanismo di exploit Non è possibile accedere al sistema se non fornendo login e password. Ma è vero? I demoni offrono servizi di rete, a volte anche ad utenti non autenticati. I demoni usano per le restrizioni il SUID, che a volte è root. Quindi un demone può avere un accesso non ristretto al sistema. Se si riesce a imbrogliare un demone e a fargli eseguire comandi al posto nostro, possiamo sfruttare il suo SUID e violare le restrizioni d accesso. Esempi: crash sulle boundary condition, buffer overflow, fallimento nell handling di input eccezionali, Questo è un tipico meccanismo di EXPLOIT

93 Intrusion Detection System Un IDS non si sostituisce ai normali controlli, ma piuttosto cerca di scoprire i loro fallimenti (l attacco potrebbe essere composto da traffico regolare per un firewall) Chi entra in un sistema informatico abusivamente compie alcuni tipi di azione che un utente normale non farebbe mai; identificando queste azioni anomale possiamo scoprire un intruso Due metodi principali per farlo: Anomaly Detection: determinare statisticamente modelli di comportamento normale, e segnalare eventuali deviazioni significative ; conoscenza a posteriori Misuse Detection: confrontare gli eventi con schemi predefiniti di attacchi; conoscenza a priori

94 Anomaly Detection Model Determiniamo statisticamente dei modelli di comportamento normale dell utente, e segnaliamo deviazioni significative Generico: ha in generale il vantaggio di potersi adattare a nuovi schemi d attacco Varie tecniche e approcci: identificazione predittiva; uso di reti neurali; modelbased detection. Problemi principali: scelta delle metriche (cosa misurare) e dei threshold (soglia d allarme); scelta dei modelli di base

95 Misuse Detection Model Il sistema cerca di rappresentare i misuse case, ovvero gli eventi che costituiscono una intrusione Utilizzo di linguaggi basati su regole e sistemi esperti Molti sistemi IDS combinano feature di anomaly e di misuse detection

96 On-line vs. off-line operations On-line operations: il sistema lancia delle alert analizzando gli eventi correnti; normalmente usa una finestra di dati. Spesso per problemi di complessità computazionale questi alert sono limitati a regole attivate da trigger. Off-line (batch) operations: il sistema analizza i log (registrati) degli eventi. Può generalmente utilizzare maggiore potenza di calcolo. Può analizzare finestre illimitate nel passato, anche l intera sessione. Integrazione tra i due principi: trigger per l attivazione di alert on-line, l analisi off-line viene utilizzata per completare le ricerche su eventi giudicati interessanti dall operatore.

97 Network Based vs. Host Based HOST based: i primi IDS erano host-based; un IDS host-based si appoggia al sistema operativo e controlla le system call (esecuzione e controllo dei processi) e gli accessi (al sistema, ai device ) NETWORK based: controllano il traffico sulla rete cercando nel flusso di pacchetti le tracce di una intrusione Entrambi possono essere Anomaly o Misuse based.

98 Misuse detection I sistemi di misuse detection hanno molti problemi ma ne presentano uno in particolare: la necessità di gestire una knowledge base degli attacchi Problemi di aggiornamento (solo gli attacchi conosciuti vengono segnalati) e di ingegnerizzazione delle signature (in qualsiasi modo vengano gestite...) Problema del polimorfismo negli attacchi: (encoding UTF)

99 Esempio di regole - SNORT alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"web-iis idc-srch attempt";flags:a+; content:"#filename=*.idc"; nocase; reference:cve,cve ; classtype:web-application-attack; sid:1017; rev:5;) alert tcp $EXTERNAL_NET any -> $SMTP_SERVERS 25 (msg:"smtp HELO overflow attempt"; flags:a+; dsize:>500; content:"helo "; offset:0; depth:5; reference:cve,cve ; reference:nessus,10324; classtype:attempted-admin; sid:1549; rev:8;) alert tcp $EXTERNAL_NET any -> $TELNET_SERVERS 23 (msg:"backdoor MISC linux rootkit attempt";flags: A+; content:"wh00t!"; classtype:attempted-admin; sid:213; rev:2;) alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"icmp Large ICMP Packet"; dsize: >800; reference:arachnids,246; classtype:bad-unknown; sid:499; rev:3;)