Sicurezza Informatica a.a. 2008/09

Transcript

1 CORSO IN SCIENZA DEI MEDIA E DELLA COMUNICAZIONE Sicurezza Informatica a.a. 2008/09 I sistemi di Intrusion Detection (IDS) Redazione a cura di Luca Imperatore

2 Contenuti 1. Premessa Cos è un IDS Classificazione degli IDS Requisisti fondamentali di un IDS Classificazione delle intrusioni Le tecniche di rilevamento Le azioni degli IDS I Penetration Test Perché usare gli IDS Una evoluzione degli IDS: gli IPS Conclusioni Fonti

3 1. Premessa Non basta configurare correttamente i dispositivi hardware e software nella propria rete per stare tranquilli, sono molti i tentativi di intrusione che le nostre reti, aziendali e non, subiscono in maniera gratuita. Ovviamente, anche il miglior sistema di prevenzione delle intrusioni può fallire. La seconda linea di difesa consiste nella rilevazione degli accessi non legittimi. Alla luce di questo appare indispensabile usare un IDS (Intrusion Detection System): uno strumento capace di individuare automaticamente le intrusioni. 2. Cos è un IDS Un IDS (Intrusion Detection System) è un dispositivo hardware e software utilizzato per identificare accessi non autorizzati ai computer o alle reti locali. Le intrusioni rilevate possono essere quelle prodotte da cracker esperti, da tool automatici o da utenti inesperti che utilizzano programmi semiautomatici. Gli IDS vengono utilizzati per rilevare tutti gli attacchi alle reti informatiche e ai computer. Gli IDS rappresentano ormai una parte importante di qualsiasi architettura di network security fornendo un livello di difesa che monitorizza il traffico dati per evidenziare attività sospette e segnalare prontamente all'amministratore di sistema quando viene individuato del traffico potenzialmente pericoloso oppure un comportamento sospetto. Un IDS consiste quindi in un insieme di tecniche e metodologie realizzate ad-hoc per rilevare pacchetti sospetti a livello di rete, di trasporto o di applicazione. Il firewall non è in grado di bloccare violazioni della sicurezza che avvengono dall'interno della rete locale. A questo scopo sono stati sviluppati gli Intrusion Prevention System. Questi componenti contengono delle liste programmate dall'ids che vengono utilizzate per decidere se un programma deve essere mandato in esecuzione o no. Questi componenti impediscono a worms o virus di diffondersi nei vari computer dato che il componente ne impedisce l'attivazione. Fig. 1 - Esempio di architettura con un IDS/IPS in ascolto sulla rete 3

4 3. Classificazione degli IDS Esistono diverse tipologie di IDS che si differenziano a seconda del loro compito specifico e delle metodologie utilizzate per individuare violazioni della sicurezza. Il più semplice IDS sarebbe un dispositivo che integra tutte le componenti in un solo apparato. Nonostante esistano una miriade di soluzioni, per il rilevamento delle intrusioni, fondamentalmente possiamo dividere questi strumenti in due categorie: Sistemi basati sulle firme (signature) Sistemi basati sulle anomalie (anomaly) Gli IDS della prima categoria sfruttano database, librerie e firme di attacco (o signature) per rilevare le intrusioni. In pratica, quando il traffico di rete oppure un'attività di rete, corrisponde ad una regola ben nota all'ids questi segnala il tentativo di intrusione. Il limite principale di questo tipo di IDS è che l'affidabilità di tale strumento dipende interamente dalla tempestività con cui il database degli attacchi viene aggiornato. Il database deve essere aggiornatissimo ed anche molto completo. In realtà non sempre le regole sono efficienti, questo vuol dire che se una regola viene preparata in maniera troppo specifica, gli attacchi che sono simili, ma non identici alla regola, passeranno inosservati. La tecnica basata sulle firme è molto simile a quella usata per il rilevamento dei virus, che permette di bloccare i file infetti e si tratta della tecnica oggi più diffusa. Il secondo tipo di IDS usa tecniche più avanzate, come il pattern recognition e l'intelligenza artificiale, non solo per riconoscere i diversi attacchi, ma anche per acquisirne di nuovi. Questi strumenti, molto potenti e affidabili, sono poco diffusi a causa dell'elevato costo, inoltre richiedono conoscenze matematiche e statistiche avanzate per il loro utilizzo, nonché computer molto performanti. È importante sapere che un IDS non può bloccare o filtrare i pacchetti in ingresso ed in uscita, né tanto meno può modificarli. Un IDS può essere paragonato ad un antifurto ed un firewall ad una porta blindata. L'IDS non cerca di bloccare le eventuali intrusioni, cosa che spetta al firewall, ma cerca di rilevarle laddove si verifichino. Gli IDS si possono suddividere anche a seconda di cosa controllano. Esistono IDS che: analizzano gli host (HIDS) analizzano le reti locali (NIDS) analizzano sia la rete, sia gli host (HYBRID) Un Host Based Intrusion Detection System (HIDS) consiste in un componente che analizza l'host alla ricerca di intrusioni. Le intrusioni vengono individuate analizzando la struttura dei file di log (più esattamente gli audit log) del sistema, le system call e le modifiche subite dal filesystem. Un esempio di questa tipologia di IDS è AIDE. Questo tipo di IDS ha una buona capacità di scoprire gli attacchi che sono portati dagli utenti locali e che mirano ad abusare delle risorse del sistema. Il maggior limite di questi IDS consiste nella loro incapacità d'interpretare i network event, cioè gli eventi di basso livello provenienti dalla rete. 4

5 Figura 2 - Esempio di architettura HIDS Un Network Intrusion Detection System (NIDS), invece, esamina la struttura del traffico di rete per identificare intrusioni, permettendo di monitorare non solo il singolo host, ma addirittura una rete intera. Si tratta di un IDS che cattura il traffico di rete analizzando il protocollo usato nella rete e cercando tracce di attacchi. Il suo funzionamento è regolato da due componenti: 1. Il signature matching, con cui l'ids legge il traffico e lo confronta con il database delle firme di attacchi; 2. Il network analisys, che entra in funzione quando il signature matching fallisce e che è in grado di rilevare anomalie nei flussi di traffico e quindi di rilevare anche quegli attacchi che non sono ancora stati identificati come tali. Questa tipologia di IDS configura la scheda di rete, o le schede sul dispositivo, per funzionare in modalità promiscua, il che significa che saranno fatti passare i pacchetti attraverso lo stack di rete indipendentemente dal fatto che siano o meno indirizzati ad una particolare macchina. Il più diffuso Network Intrusion Detection System è senza dubbio SNORT, il progetto NIDS più noto nella comunità open source. In genere un semplice port scan detector, cioè un software capace di individuare indirizzi IP che raccolgono di nascosto informazioni sui propri sistemi, ha funzioni molto limitate e può essere sostituito con migliore efficacia da SNORT in grado di riconoscere, oltre alle normali scansioni di porte, una grande varietà di attività di rete dubbie. L'Hybrid Intrusion Detection System è un sistema che combina i due approcci visti prima. Le informazioni recuperate dagli agenti in esecuzione negli host vengono integrate con le informazioni prelevate dalla rete locale. Un tipo di IDS ibrido è PRELUDE, che vanterebbe, secondo quanto affermato dagli addetti ai lavori, prestazioni superiori a SNORT ed una buona modularità. 5

6 Figura 3 - Esempio di architettura NIDS Gli IDS inoltre si suddividono in due ulteriori categorie: IDS passivi IDS attivi I primi quando rilevano una violazione della sicurezza informatica provvedono a notificarla all'operatore tramite la console ed eventualmente gli inviano una . Gli IDS attivi oltre a notificare all'operatore una violazione della sicurezza provvedono a prendere delle opportune contromisure per eliminare o comunque isolare la violazione informatica. Nei sistemi attivi l'eliminazione della violazione si ottiene usualmente riprogrammando la lista di controllo degli accessi del firewall in modo da impedire l'accesso agli indirizzi responsabili dell'attacco. Questa tipologia di IDS va accuratamente programmata dato che una falsa identificazione potrebbe bloccare un utente autorizzato. Figura 4 - Esempio di architettura con NIDS 6

7 4. Requisisti fondamentali di un IDS Quali caratteristiche deve possedere un software per essere definito un IDS? Ecco un elenco dei requisiti essenziali per un buon sistema di rilevamento delle intrusioni: 1. Il sistema deve essere in grado di auto-proteggersi 2. Il sistema deve riconoscere e gestire attacchi multipli 3. L'IDS deve essere in grado di adattarsi ai cambiamenti dei diversi metodi di attacco 4. Il sistema deve essere scalabile e facilmente aggiornabile per integrarsi al meglio nella rete 5. Deve essere in grado d'intercettare l'attacco al più basso livello di rete possibile 6. L'IDS deve essere capace di rilevare qualsiasi attività, oppure evento sospetto, che potrebbe potenzialmente rivelarsi un attacco 7. Deve essere capace di rilevare gli attacchi in tempi brevi 8. Il sistema deve interagire e cooperare con altri IDS 5. Classificazione delle intrusioni Secondo la classificazione fatta agli albori del problema della sicurezza, contro le intrusioni informatiche, si possono identificare quattro categorie di possibili attacchi, a seconda della loro provenienza: 1. External Penetrator, colui che accede fisicamente a computer a cui non dovrebbe avere accesso; 2. Masquerader, colui che riesce ad accedere ad un sistema autenticandosi come utente autorizzato; 3. Misfeasor, colui che, pur avendo diritto di accedere a risorse protette, abusa dei suoi privilegi attaccando la sicurezza del sistema; 4. Clandestine user, colui che riesce ad accedere al sistema autenticandosi come amministratore del sistema. 6. Le tecniche di rilevamento Il traffico di rete è generalmente costituito da datagrammi IP. Un NIDS è capace di catturare i pacchetti quando questi circolano su connessioni fisiche alle quali questo è connesso. Un NIDS consiste in una pila TCP/IP che raggruppa i datagrammi IP e le connessioni TCP. Questo può applicare le tecniche seguenti per riconoscere le intrusioni : Verifica della pila protocollare : Alcune intrusioni, come ad esempio "Ping-Of-Death" e "TCP Stealth Scanning" fanno ricorso a delle violazioni di protocolli IP, TCP, UDP, e ICMP allo scopo di attaccare un terminale. Una semplice verifica protocollare può mettere in evidenza i pacchetti invalidi e segnalare il problema. Verifica dei protocolli applicativi : alcune intrusioni hanno dei comportamenti protocollari invalidi, come ad esempio "WinNuke", che usa dei dati NetBIOS invalidi (aggiunta di dati 7

8 OOB data). Per rilevare efficacemente questo tipo di intrusioni, un NIDS deve reimplementare una grande varietà di protocolli applicabiti come NetBIOS, TCP/IP, ecc. Questa tecnica è rapida (non serve cercare delle sequenze di byte sull' esaustività della base di firme), elimina in parte i falsi positivi ed è quindi più efficiente. Ad esempio, grazie all'analisi protocollare il NIDS distinguerà un evento di tipo Back Orifice PING (pericolo basso) da un evento di tipo Back Orifice COMPROMISE (pericolo alto). Riconoscimento degli attacchi da "Pattern Matching" : Questa tecnica di riconoscimento delle intrusioni è il metodo d'analisi più vecchio dei NIDS ed è ancora molto usato. Si tratta di identificare un'intrusione attraverso il solo esame di un pacchetto il riconoscimento in una stringa di byte di pacchetto di una sequenza caratteristica di una firma precisa. Ad esempio, la ricerca della catena di caratteri /cgi-bin/phf, che indica un tentativo d'uso sullo script CGI detto phf. Questo metodo è anche usato a complemento ai filtri sugli indirizzi IP sorgente, destinazione usati per le connessioni, le porte sorgente e/o destinazione. Si può anche associare questo metodo di riconoscimento per affinarlo con la successione o la combinazione dei flags TCP. Il vantaggio principale di questa tecnica è nella facilità di aggiornamento e evidentemente nella quantità importante di firme contenute nella base del NIDS. Ma non vi è nessuna sicurezza che quantità significhi qualità. Ad esempio, quando gli 8 byte CE63D1D2 16E713CF sono disposti all'inizio dei dati del protocollo UDP indicano il traffico Back Orifice con una password di default. Anche se l'80% delle intrusioni usano la password configurata da default, il restante 20% usa delle password personalizzate che non saranno mai riconosciute dal NIDS. Ad esempio, se la password cambia in "evade" allora il seguito si trasforma in "8E42A52C 0666BC4A", il che si tradurrà automaticamente in un'assenza di segnale del NIDS. Questa tecnica comporta anche ineluttabilmente un numero importante di falsi positivi. Esistono altri metodi per rilevare e segnalare un'intrusione come il riconoscimento degli attacchi da Pattern Matching Stateful e/o il controllo del traffico di reti pericolose o anormali. In conclusione, un NIDS perfetto è un sistema che usa il meglio di ciascuna delle tecniche sopra citate. 7. Le azioni degli IDS I metodi principali usati per segnalare e bloccare le intrusioni sui NIDS sono i seguenti : Riconfigurazione delle apparecchiature terze (firewall, ACL su router) : Ordine inviato dal NIDS ad un'apparecchiatura terza (filtri di pacchetti, firewall) per una riconfigurazione immediata allo scopo di bloccare una sorgente d'intrusione. Questa riconfigurazione è possibile attraverso il passaggio di informazioni che dettagliano un' allerta (intestazione(i) di pacchetto(i)). Invio di una trappola SNMP ad un ipervisore terzo : Invio dell'allerta (e il dettaglio delle informazioni che la costituiscono) sotto forma di un datagramma SNMP a una console terza come HP OpenView, Tivoli, Cabletron Spectrum, ecc. Invio di un' a uno o più utenti : Invio di un' a una o più caselle postali per notificare un'intrusione seria. Log dell'attacco : Salvataggio dei dettagli dell'allerta in un database centrale come ad esempio le informazioni seguenti: timestamp, IP de l intruso, IP dell obiettivo, protocolli utilizzati). 8

9 Salvataggio dei pacchetti sospetti : Salvataggio dell'insieme dei pacchetti di rete (raw packets) catturati e/o solamente i pacchetti che hanno provocato un' allerta. Avvio di un applicazione : Lancio di un programma esterno per eseguire un'azione specifica (invio di un messaggio sms, emissione di un' allerta uditiva). Invio di un "ResetKill" : Costituzione di un pacchetto TCP FIN per forzare la fine di una connessione (unicamente valido su tecniche di intrusione che utilizzano il protocollo di trasporto TCP). Notifica visuale dell'allerta : Visualizzazione dell'allerta in una o più console di gestione. 8. I Penetration Test I Penetration Test sono metodologie di analisi che consentono di mettere alla prova la propria infrastruttura di rete contro gli attacchi informatici. Un Penetration Test è una procedura spesso richiesta dalle grandi, medie e piccole aziende per testare fino in fondo il grado di sicurezza della propria rete. Essi, in media, vengono effettuati su base annuale e sono pianificati da personale esterno all'azienda. Questo per avere un quadro generale della sicurezza informatica aziendale chiaro e obiettivo. Il Penetration Test fornisce una stima chiara sulle capacità di difesa e del livello di penetrazione raggiunto nei confronti: delle vulnerabilità interne al sistema; delle vulnerabilità esterna al sistema; della sicurezza fisica Proprio quando si è convinti di essere nel mirino di un attacker ed esposti ad un rischio molto alto ecco che i veri problemi vengono dall'interno dell'azienda interessata. Quasi la metà di tutti gli attacchi portati a termine da malintenzionati verso le reti di computer di una azienda sono causati dalla mancanza di personale interno, e specializzato. Configurazioni non perfette, carenza di procedure di sicurezza efficaci, macchine non aggiornate e quant'altro. Le valutazioni della penetrazione esterna e delle vulnerabilità sono effettuate sulla rete delle aziende che interagiscono con il mondo esterno attraverso connessioni a Internet, wireless, sistemi telefonici e qualsiasi altro tipo di dispositivo di accesso remoto. Lo scopo di questa valutazione è quello di analizzare i rischi connessi a su citati usi della rete. I rischi provengono inoltre da configurazioni non corrette di router e firewall, da applicazioni Web non protette o configurate in modo errato. Uno dei rischi più temuti dagli esperti di sicurezza informatica, e che dunque come problema in quanto tale non deve a nessun costo essere trascurato, è quello che deriva dalla "sicurezza fisica". Possiamo paragonare la sicurezza fisica ad ogni mancanza di prudenza e di attenzione. Una valutazione della sicurezza fisica di una infrastruttura di rete dovrebbe essere eseguita presso la sede dell'azienda dove risiede, fisicamente, quest'ultima. Uno dei software più diffusi al mondo per effettuare Penetration Test è NESSUS. E un software di scansione di tutti i tipi di vulnerabilità, è open source e tramite lo scan e l'abilitazione di plugin appositamente configurabili a seconda della tipologia di host e vulnerabilità che si andrà ad analizzare, rileva le vulnerabilità presenti suggerendo le possibili soluzioni creando report di facile analisi in vari formati (HTML, pdf, ecc). 9

10 9. Perché usare gli IDS Possiamo rapidamente riassumere le ragioni d'impiego di questi strumenti, nell'ambito della sicurezza, come segue: Un efficiente sistema di rilevazione delle intrusioni può servire come deterrente per quanti hanno il vezzo di disturbarci e danneggiare il nostro lavoro; Se un'intrusione viene rilevata prontamente, l'intruso può essere identificato ed espulso dalla rete prima che possa compromettere il sistema o danneggiare dei dati. Quanto più velocemente si riesce a scoprire l'intrusione, tanto minore sarà il danno arrecato e tanto più velocemente si potrà riportare il tutto alla normalità; La rilevazione delle intrusioni permette di raccogliere preziosissime informazioni relative alle tecniche di penetrazione, informazioni che possono essere riutilizzate per rafforzare e migliorare la difesa della propria rete; Un IDS, seppur non infallibile, è comunque uno strumento che segnala le attività sospette e le anomalie, senza di esso resteremmo totalmente all'oscuro di quanto accade alla nostra rete. 10. Una evoluzione degli IDS: gli IPS La stampa specializzata parla sempre più spesso di IPS (Intrusion Prevention System) a sostituzione degli IDS "tradizionali" o per differenziarli. L'IPS è un Sistema di Prevenzione/Protezione contro le intrusioni e non più solamente di riconoscimento e di segnalazione delle intrusioni come invece sono la maggior parte degli IDS. La principale differenza tra un IDS e un IPS sta principalmente in due caratteristiche : il posizionamento in tagli sulla rete dell'ips e non solamente in ascolto sulla rete per l'ids (tradizionalmente posizionato come uno sniffer sulla rete). la possibilità di bloccare immediatamente le intrusioni e questo indipendentemente dal tipo di protocollo usato e senza riconfigurazione di un'apparecchiatura terza, cosa che fa capire che l'ips abbia sin dalla creazione una tecnica di filtraggio dei pacchetti e dei mezzi di bloccaggio (drop connection, drop offending packets, block intruder). Figura 5 - Esempio di architettura inline con IPS in linea e invisibile alla rete 10

11 Figura 6 - Esempio di architettura Flexible Response con IPS connesso alla porta mirror dello switch 11. Conclusioni Da quanto detto è emerso che un sistema di sicurezza deve essere il risultato di un piano pensato su più livelli e il più possibile complessivo. Occorre perciò possedere uno staff preparato, usare più strumenti coordinati tra loro (IDS, Firewall, Antivirus, politiche aziendali), effettuare un costante aggiornamento e verifica del sistema e soprattutto non affidarsi completamente alla tecnologia! 12. Fonti Slides del Corso di Sistemi Operativi e Reti di Computer della Prof.ssa Renata Kwatera dell Università di Roma Tor Vergata Slides del Corso di Sicurezza di Francesco Strappaveccia dell Università di Bologna