Network Intrusion Detection



Documenti analoghi
ICMP OSI. Internet Protocol Suite. Telnet FTP SMTP SNMP TCP e UDP NFS. Application XDR. Presentation. Session RPC. Transport.

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori a.a. 2009/10

Prof. Filippo Lanubile

Elementi sull uso dei firewall

ICMP. Internet Control Message Protocol. Silvano GAI. sgai[at]cisco.com. Mario BALDI. mario.baldi[at]polito.it

Progettare un Firewall

Il firewall Packet filtering statico in architetture avanzate

Protocollo ICMP, comandi ping e traceroute

IDS: Intrusion detection systems

Reti di Telecomunicazione Lezione 8

Prof. Mario Cannataro Ing. Giuseppe Pirrò

INDIRIZZI IP ARCHITETTURA GENERALE DEGLI INDIRIZZI IP FORME DI INDIRIZZI IP CINQUE FORME DI INDIRIZZI IP

Comunicazione tra Computer. Protocolli. Astrazione di Sottosistema di Comunicazione. Modello di un Sottosistema di Comunicazione

Gestione degli indirizzi

Internetworking TCP/IP: esercizi

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00

Come si può notare ogni richiesta ICMP Echo Request va in timeout in

Sicurezza applicata in rete

Gestione degli indirizzi

Access Control List (I parte)

Lo scenario: la definizione di Internet

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00

Dal protocollo IP ai livelli superiori

La sicurezza delle reti

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing

Reti di Telecomunicazioni Mobile IP Mobile IP Internet Internet Protocol header IPv4 router host indirizzi IP, DNS URL indirizzo di rete

3. Introduzione all'internetworking

ICMP. (Internet Control Message Protocol) Cosa è l ICMP? Messaggi di ICMP. Applicazioni di ICMP: ULP, Ping, Traceroute, Path MTU discovery

Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A Pietro Frasca. Parte II Lezione 5

Internet Control Message Protocol ICMP. Struttura di un Messaggio ICMP. Segnalazione degli Errori

Internet. Introduzione alle comunicazioni tra computer

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Venerdì 18 Febbraio 2005, ore 9.30

Firewall e Abilitazioni porte (Port Forwarding)

Linux User Group Cremona CORSO RETI

Sicurezza delle reti 1. Uso di variabili. Mattia Monga. a.a. 2010/11

Relazione su: A cura di:

Sicurezza delle reti 1

Modulo 1.3 Reti e servizi

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Sicurezza delle reti 1. Lezione IV: Port scanning. Stato di una porta. Port scanning. Mattia Monga. a.a. 2010/11

IP Internet Protocol

Il livello 3 della pila ISO/OSI. Il protocollo IP e il protocollo ICMP

Reti. Reti. IPv4: concetti fondamentali. arp (address resolution protocol) Architettura a livelli (modello OSI)

INTERNET e RETI di CALCOLATORI A.A. 2011/2012 Capitolo 4 DHCP Dynamic Host Configuration Protocol Fausto Marcantoni fausto.marcantoni@unicam.

Informatica per la comunicazione" - lezione 8 -

Reti e Sistemi per l Automazione MODBUS. Stefano Panzieri Modbus - 1

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

CORSO DI RETI SSIS. Lezione n.2. 2 Novembre 2005 Laura Ricci

Il protocollo TCP. Obiettivo. Procedura

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli)

ARP e instradamento IP

Lezione n.9 LPR- Informatica Applicata

Firewall applicativo per la protezione di portali intranet/extranet

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Sistemi di Antivirus CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano

ATTIVAZIONE SCHEDE ETHERNET PER STAMPANTI SATO SERIE ENHANCED

Sicurezza nelle reti

TECNOLOGIE E PROGETTAZIONE DI SISTEMI INFORMATICI E DI TELECOMUNICAZIONI

Transmission Control Protocol

SICUREZZA. Sistemi Operativi. Sicurezza

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Protocolli di Comunicazione

Configurazione WAN (accesso internet)

Reti di Telecomunicazione Lezione 6

Reti di Calcolatori. Il software

appunti delle lezioni Architetture client/server: applicazioni client

Contesto: Peer to Peer

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

Il protocollo IP (Internet Protocol)

P2-11: BOOTP e DHCP (Capitolo 23)

Fatti Raggiungere dal tuo Computer!!

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori I

EW1051 Lettore di schede USB

PROF. Filippo CAPUANI TCP/IP

Corso di recupero di sistemi Lezione 8

Corso di Sicurezza nelle reti a.a. 2009/2010. Soluzioni dei quesiti sulla seconda parte del corso

Cos è. Protocollo TCP/IP e indirizzi IP. Cos è. Cos è

Indirizzo IP. Come si distinguono? Indirizzo IP : Network address : Host address: : 134

Indirizzamento privato e NAT

Altre misure di sicurezza

Lezione 1 Introduzione

J+... J+3 J+2 J+1 K+1 K+2 K+3 K+...

1. RETI INFORMATICHE CORSO DI LAUREA IN INGEGNERIA INFORMATICA SPECIFICHE DI PROGETTO A.A. 2013/ Lato client

Internet e protocollo TCP/IP

Protocollo IP e collegati

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

ARP e RARP. Silvano GAI. sgai[at]cisco.com. Mario BALDI. mario.baldi[at]polito.it Fulvio RISSO

Reti di Calcolatori

2.1 Configurare il Firewall di Windows

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Prova completa Martedì 15 Novembre 2005

Sicurezza delle reti. Monga. Il livello di trasporto. Problemi di sicurezza intrinseci. Riassunto. Porte. Sicurezza delle reti.

Corso di Network Security a.a. 2012/2013. Raccolta di alcuni quesiti sulla SECONDA parte del corso

Laboratorio di Networking Operating Systems. Lezione 2 Principali strumenti di diagnostica

Besnate, 24 Ottobre Oltre il Firewall.

SISTEMI DI AUTOMAZIONE BARCODE & RFID

Sicurezza delle reti. Monga. Ricognizione. Scanning Breve ripasso socket Network mapping Port Scanning NMAP. Le tecniche di scanning

Transcript:

Network Intrusion Detection Maurizio Aiello Consiglio Nazionale delle Ricerche Istituto di Elettronica e di Ingegneria dell Informazione e delle Telecomunicazioni

Analisi del traffico E importante analizzare il traffico per diversi motivi: E stato completato il three-way handshake (presenza di server in Intranet, backdoor) In fase post-incidente e utile sapere se sono stati scambiati dati e quanti ne sono stati scambiati (anche se non conosciamo il contenuto dei dati) Chi ha iniziato la connessione? Nel caso udp si possono osservare tentativi di hacking, scansioni di rete e si possono rilevare backdoor. Analisi del metodo utilizzato dagli hackers e successiva chiusura del problema.

Intrusion detection systems (IDS) Gli Intrusion Detection Systems sono strumenti per la rilevazione delle intrusioni. Come cooperano con I firewall e qual e la differenza? I firewall possono essere paragonati ai sistemi di sbarramento (porte, cancelli, serrature etc.), mentre gli IDS ai sistemi di sicurezza attiva (guardie giurate, antifurto) Gli IDS si distinguono in sistemi che operano sulle singole macchine (host based) o sui pacchetti a livello di rete. Noi ci occuperemo dei concetti base della intrusion detection effettuata a livello di rete, senza esaminare nello specifico alcun prodotto software. Pregi e difetti degli IDS host based: Rapidi nell analisi e leggeri Rilevano modifiche ai files Hanno una visione ristretta del problema (solo se stessi, non la rete) Devo installarne uno per host, con relativi problemi di manutenzione (se un hacker entra nella macchina lo spegne)

Pregi e difetti degli IDS network based: Intrusion detection systems (IDS) Posti nel punto appropriato rilevano una grande quantita di attacchi Hanno una ampia visione del problema, trovano attacchi coordinati (DoS) Necessitano di hardware dedicato dato il gravoso compito che devono svolgere Sono necessari strumenti di analisi sofisticata per trovare gli attacchi sommersi in mezzo al traffico regolare. Noi vedremo come vengono effettuati alcuni tipi di attacco via rete e quindi anche in che modo I NIDS riescono a rilevare questi attacchi. Tra le varie metodologie di analisi utilizzate dai Nids c e la signature detection, ovvero si cerca un pattern noto nel traffico di rete. Questo pattern puo essere corrispondente a un DoS, a un buffer overflow, a un port scan etc. La tecnologia e simile a quella degli antivirus (pattern recognition). Altro tipo di analisi e quella che si basa su eventi statistici, cercando anomalie rispetto al funzionamento normale. Esempio: piu di cinque tentativi di connessione al secondo verso diverse macchine implicano un tentativo di intrusione.

Intrusion detection systems (IDS) In ogni caso per poter discriminare correttamente tra anomalia e comportamento normale di rete e necessario conoscere qual e il traffico normale di rete, ovvero conoscere il funzionamento dei protocolli. Questo ci da l occasione di approfondire ICMP e di vedere quali usi (e abusi) normalmente si fanno con questo protocollo. Un NIDS dovrebbe riconoscere e saper distinguere gli abusi dall uso corretto, indipendentemente dalla tecnologia utilizzata.

ICMP: Internet Control Message Protocol TCP e un protocollo in grado di correggere automaticamente alcuni tipi di errore, ad esempio: Porte non realmente attive (tramite invio di reset/ack) Congestionamento del buffer di ricezione (tramite meccanismo di windowing) ICMP viene utilizzato dai protocolli di rete che non sono sufficientemente robusti per correggersi gli errori da soli, ovvero IP e UDP. Analizzerremo in dettaglio alcuni casi singoli, per comprendere qual e il comportamento normale di ICMP, allo scopo di poter identificare gli utilizzi impropri di questo protocollo di rete.

ICMP: Internet Control Message Protocol A che livello ISO/OSI si pone ICMP? Il pacchetto ICMP viene incapsulato all interno di un pacchetto IP; cio ne garantisce la consegna. In ogni caso dal punto di vista logico ICMP viene posto allo stesso livello di IP. 20 bytes header IP header ICMP Parte dati ICMP: dipende dal tipo e dal codice

ICMP: Internet Control Message Protocol Quali sono le peculiarita di ICMP? Non esistono porte o servizi ICMP. Esistono invece type and message code (2 bytes nell header ICMP) che specificano la natura e la funzione del messaggio Non c e il concetto di client e server (un host riceve un icmp message e puo tranquillamente non rispondere). Non c e la garanzia della consegna del messaggio A un messaggio di errore non si risponde con un altro messaggio di errore I messaggi possono non essere univoci (client/server): ad esempio si puo mandare un messaggio in broadcast I messaggi ICMP possono riguardare terze parti (esempio un router informa l host A sul fatto che l host B non e raggiungibile). Per maggiori informazioni su ICMP, come del resto su tutti gli altri protocolli di cui parleremo nel corso vedasi il testo sacro Richard Stevens TCP/IP Illustrated, Volume 1: The Protocols, Addison-Wesley Professional Computing Series.

ICMP: Tecniche di mapping ICMP viene utilizzato normalmente per effettuare il mapping delle reti, in maniera piu o meno intelligente e/o rumorosa. Tireless Mapper: 00:05:58.560000 scanner.net > 192.168.117.233: icmp: echo request 00:06:01.880000 scanner.net > 192.168.117.139: icmp: echo request 00:12:45.830000 scanner.net > 192.168.117.63: icmp: echo request 00:15:36.210000 scanner.net > 192.168.117.242: icmp: echo request 00:15:58.600000 scanner.net > 192.168.117.129: icmp: echo request 00:18:51.650000 scanner.net > 192.168.117.98: icmp: echo request 00:20:42.750000 scanner.net > 192.168.117.177: icmp: echo request 00:26:36.680000 scanner.net > 192.168.117.218: icmp: echo request 00:27:30.620000 scanner.net > 192.168.117.168: icmp: echo request

ICMP: Tecniche di mapping Efficient Mapper: 13:51:16.210000 scanner.net > 192.168.65.255: icmp: echo request 13:51 :17.300000 scanner.net > 192.168.65.0: icmp: echo request 13:51 :18.200000 scanner.net > 192.168.66.255: icmp: echo request 13:51 :18.310000 scanner.net > 192.168.66.0: icmp: echo request 13:51 :19.210000 scanner.net > 192.168.67.255: icmp: echo request 13:53:09.110000 scanner.net > 192.168.67.0: icmp: echo request 13:53:09.940000 scanner.net > 192.168.68.255: icmp: echo request 13:53:10.110000 scanner.net > 192.168.68.0: icmp: echo request 13:53:10.960000 scanner.net > 192.168.69.255: icmp: echo request 13:53:10.980000 scanner.net > 192.168.69.0: icmp: echo request

ICMP: Tecniche di mapping Clever Mapper: 06:34:31.150000 scanner.net > 192.168.21.0: icmp: echo request 06:34:31.150000 scanner.net > 192.168.21.63: icmp: echo request 06:34:31.150000 scanner.net > 192.168.21.64: icmp: echo request 06:34:31.150000 scanner.net > 192.168.21.127: icmp: echo request 06:34:31.160000 scanner.net > 192.168.21.128: icmp: echo request 06:34:31.160000 scanner.net > 192.168.21.191: icmp: echo request 06:34:31.160000 scanner.net > 192.168.21.192: icmp: echo request 06:34:31.160000 scanner.net > 192.168.21.255: icmp: echo request

ICMP: Tecniche di mapping Network mask mapper: 20:39:38.120000 scanner.edu > router.com: icmp: address mask request (DF) 20:39:38:170000 router.com > scanner.edu: icmp: address mask is 0xffffff00 (DF) 20:39:39.090000 scanner.edu > router2.com: icmp: address mask request (DF) 20:39:39:230000 router2.com > scanner.edu: icmp: address mask is 0xffffff00 (DF) 20:39:40.090000 scanner.edu > routerx.com: icmp: address mask request (DF) 20:39:40:510000 routerx.com > scanner.edu: icmp: address mask is 0xffffff00 (DF) Analizziamo ora alcuni comportamenti normali di ICMP, per vedere infine gli abusi. Host o port unreachable: router> sending.host: icmp: host target.host unreachable target.host > sending.host: icmp: target.host udp port ntp unreachable (DF)

ICMP: Utilizzo normale Admin prohibited, nel caso in cui il router diffonda informazioni sulle proprie ACL: router> sending.host: icmp: host target.host unreachable. admin prohibited Redirect nel caso in cui esistano rotte piu efficienti: nonooptimal.router > sending.host :icmp: redirect target.host to net optimal.router Need to frag, se il pacchetto conteneva un DF e la MTU e stata superata: router > sending.host.net: icmp: target.host unreachable - need to frag (mtu 1500) Time exceeded in transit, se per qualche motivo il TTL (Time to live del pacchetto IP) e arrivato a zero: routerx> sending host: icmp: time exceeded in-transit

Smurf Attack!

Tribe Flood Network! Utilizza una serie di host compromessi per lanciare un attacco multiplo; su questi host e stato installato un TFN server, che riceve comandi mediante un pacchetto di tipo ICMP echo reply. Nella parte dati di questo pacchetto sono contenute le istruzioni da eseguire. Il TFN server puo lanciare attacchi DoS (Denial of Service) usando un TCP Syn flood, un UDP flood, un ICMP echo request, uno smurf.

Filtraggio di ICMP entrante? Perche a questo punto non filtrare tutto ICMP entrante in modo da essere sicuri di non subire attacchi? Se blocco in entrata icmp echo request nessuno puo piu fare ping sulle mie macchine. Bene. Se blocco echo reply neanch io posso piu fare ping verso l esterno. Siccome ping verso l esterno e comodo, lascio entrare echo reply. Ecco perche TFN e Loki usano echo reply. Se blocco ICMP time exceedeed in transit (TTL=0) non funziona piu traceroute. Male. Se blocco ICMP host unreachable genero traffico inutile. Se blocco ICMP need to frag non riesco a fare la discovery della MTU lungo il percorso Internet che utilizzo; siccome TCP fa un uso pesante di questa tecnica degrado le performance in maniera significativa.

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back