|
|
|
Massimo Gravino |
|
INFN – Sezione di Padova |
|
|
|
|
|
|
|
|
|
|
filtri sul router |
|
tcp-wrappers |
|
chiusura servizi inutili |
|
filtri anti-spam |
|
antivirus |
|
eliminazione trasmissione password in chiaro |
|
ma ....... |
|
|
|
|
|
|
si usano sistemi operativi intrinsecamente
insicuri e/o non sempre configurati dal Servizio Calcolo |
|
gli utenti richiedono di utilizzare servizi
insicuri |
|
i sistemi di autenticazione utilizzati
(password) sono deboli |
|
tutti i sistemi operativi risultano prima o poi
vulnerabili a chi riesce ad accedervi come utente locale |
|
|
|
|
|
|
|
|
|
|
a prevenire un’intrusione |
|
a prevenire un Denial of Service |
|
a rivelare intrusioni o attacchi provenienti
dall’interno della LAN |
|
|
|
|
SANS’s Heuristic Analisys system for Defensive Online
Warfare |
|
autori: Vicki Irwin, Stephen Northcutt, Bill
Ralph (del Naval Surface Warfare
Center) e SANS Institute |
|
http://www.nswc.navy.mil/ISSEC/CID/ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
raccoglie da un’interfaccia di rete i pacchetti
che soddisfano un criterio booleano e ne stampa l’header |
|
puo` salvare i pacchetti in un file |
|
puo` leggere l’input da un file invece che
dall’interfaccia di rete |
|
|
|
|
|
|
hardware |
|
Pentium II 450 MHz – RAM 128MB |
|
HD 18GB EIDE per i dati – NIC 3Com 3C905C |
|
software |
|
Linux RedHat 5.2 – kernel 2.0.36 |
|
libpcap |
|
tcpdump |
|
|
|
|
Basato su una serie di script (shell o perl) e
di filtri utilizzati da tcpdump. |
|
Compiti svolti: |
|
raccolta
dati |
|
analisi
e log |
|
riduzione dei dati |
|
controllo spazio disco |
|
|
|
|
|
|
ogni ora: |
|
chiude una sessione di tcpdump e lancia la
successiva |
|
copia il file di dati appena chiuso nella
directory dell’“analyzer” |
|
sposta il file acquisito 48 ore prima nella
directory di lavoro del “filter” |
|
|
|
|
|
|
tcpdump -i eth0 -F $FILTER |
|
-w – 2>>$err |
|
| gzip > $TCPLOG |
|
|
|
|
|
|
((dst net 193.205.1 or dst net 193.205.2) and
not (src net 193.205.1 or src net 193.205.2) |
|
or |
|
((src net 193.205.1 or src net 193.205.2) and
not (dst net 193.205.1 or dst net 193.205.2)) |
|
|
|
|
|
|
|
|
|
|
tcp |
|
and (tcp[13] & 2 != 0) |
|
and (dst port 21 or dst port 22 or dst port 23
or dst port 110 or dst port 143) |
|
and (dst net 193.205.1 or dst net 193.205.2) |
|
|
|
|
|
|
ip[6:2] & 0x2000 != 0 |
|
ip[6:2] & 0x1fff > 0 |
|
ip and ip[12:4] = ip[16:4] |
|
ip and ip[19] = 0xff |
|
icmp[0] != 8 and icmp[0] != 0 |
|
tcp and (tcp[13] & 3 != 0) |
|
tcp and (tcp[13] & 3 = 3) |
|
|
|
|
|
|
|
|
|
|
Condizioni di utilizzo: |
|
spazio disco per i dati : 18 GB |
|
traffico medio con l’esterno di 2/3 Mb/s |
|
filtri di riduzione aggiornati |
|
massima lunghezza acquisita per ogni pacchetto:
68 byte |
|
|
|
|
... Anzi, problemi futuri: |
|
Il traffico di rete e` destinato ad aumentare
esponenzialmente (GARR-G , Gigabit ethernet) |
|
Le LAN evolvono verso una sempre maggiore
complessita` (routing interno alla LAN) |
|
|
|
|
E` il caso di avvertire i nostri utenti che e`
attivo un sistema di monitoraggio del traffico? |
|
|
|
|
Intercettazione, impedimento o interruzione
illecita di comunicazioni informatiche o telematiche |
|
Chiunque fraudolentemente intercetta
comunicazioni relative a un sistema informatico o telematico o
intercorrenti tra piu` sistemi, ovvero le impedisce o le interrompe, e`
punito con la reclusione da sei mesi a 4 anni. |
|
Salvo che il fatto costituisca piu` grave reato,
la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di
informazione al pubblico, in tutto o in parte, il contenuto delle
comunicazioni di cui al primo comma. |
|
.... |
|
|
|
|
SHADOW |
|
http://www.nswc.navy.mil/ISSEC/CID/ |
|
http://www.nswc.navy.mil/ISSEC/CID/step.htm |
|
http://www.nswc.navy.mil/ISSEC/CID/step_tar.gz |
|
The SANS Institute |
|
http://www.sans.org |
|
Network Intrusion Detection FAQ |
|
http://www.robertgraham.com/pubs/network-intrusion-detection.html |
|
http://www-rnks.informatik.tu-cottbus.de/~sobirey/ids.html |
|
http://www.sans.org/newlook/resources/IDFAQ/ID_FAQ.htm |
|
Questa presentazione |
|
http://www.pd.infn.it/~gravino/computing/security/meeting/ |
|
Note