Un sistema di
Network Intrusion Detection basato su tcpdump

Massimo Gravino

INFN – Sezione di Padova

Perche` utilizzare un sistema di Network Intrusion Detection?

Come prevenirli ?

filtri sul router

tcp-wrappers

chiusura servizi inutili

filtri anti-spam

antivirus

eliminazione trasmissione password in chiaro

ma .......

Un’intrusione nella LAN resta comunque un evento possibile e probabile

si usano sistemi operativi intrinsecamente insicuri e/o non sempre configurati dal Servizio Calcolo

gli utenti richiedono di utilizzare servizi insicuri

i sistemi di autenticazione utilizzati (password) sono deboli

tutti i sistemi operativi risultano prima o poi vulnerabili a chi riesce ad accedervi come utente locale

Un esempio: compromissione
dell’account di root

Cos’e` un sistema di
Network Intrusion Detection ?

A cosa serve

A cosa non serve

a prevenire un’intrusione

a prevenire un Denial of Service

a rivelare intrusioni o attacchi provenienti dall’interno della LAN

SHADOW

SANS’s Heuristic Analisys system for Defensive Online Warfare

autori: Vicki Irwin, Stephen Northcutt, Bill Ralph (del Naval Surface Warfare Center) e SANS Institute

http://www.nswc.navy.mil/ISSEC/CID/

SHADOW set up

Encapsulation

Formato del pacchetto Ethernet

Formato del pacchetto IP

Formato del pacchetto TCP

un pacchetto

tcpdump

raccoglie da un’interfaccia di rete i pacchetti che soddisfano un criterio booleano e ne stampa l’header

puo` salvare i pacchetti in un file

puo` leggere l’input da un file invece che dall’interfaccia di rete

un pacchetto

Caratteristiche tecniche del sensore utilizzato a PD

hardware

Pentium II 450 MHz – RAM 128MB

HD 18GB EIDE per i dati – NIC 3Com 3C905C

software

Linux RedHat 5.2 – kernel 2.0.36

libpcap

tcpdump

Funzionamento

Basato su una serie di script (shell o perl) e di filtri utilizzati da tcpdump.

Compiti svolti:

raccolta dati

analisi e log

riduzione dei dati

controllo spazio disco

daemons

analyzer

filter

cleaner

crontrab

ogni ora:

chiude una sessione di tcpdump e lancia la successiva

copia il file di dati appena chiuso nella directory dell’“analyzer”

sposta il file acquisito 48 ore prima nella directory di lavoro del “filter”

esempio di LAN

processo di acquisizione

tcpdump -i eth0 -F $FILTER

-w – 2>>$err

| gzip > $TCPLOG

filtro di acquisizione

((dst net 193.205.1 or dst net 193.205.2) and not (src net 193.205.1 or src net 193.205.2)

or

((src net 193.205.1 or src net 193.205.2) and not (dst net 193.205.1 or dst net 193.205.2))

raccolta dati

analyzer e
filter

analisi dati (analyzer)

un filtro di analisi

tcp

and (tcp[13] & 2 != 0)

and (dst port 21 or dst port 22 or dst port 23 or dst port 110 or dst port 143)

and (dst net 193.205.1 or dst net 193.205.2)

Formato del pacchetto TCP

altri filtri

ip[6:2] & 0x2000 != 0

ip[6:2] & 0x1fff > 0

ip and ip[12:4] = ip[16:4]

ip and ip[19] = 0xff

icmp[0] != 8 and icmp[0] != 0

tcp and (tcp[13] & 3 != 0)

tcp and (tcp[13] & 3 = 3)

Formato del pacchetto IP

riduzione dati (filter)

cleaner

Archivio

Condizioni di utilizzo:

spazio disco per i dati : 18 GB

traffico medio con l’esterno di 2/3 Mb/s

filtri di riduzione aggiornati

massima lunghezza acquisita per ogni pacchetto: 68 byte

Sviluppi futuri

... Anzi, problemi futuri:

Il traffico di rete e` destinato ad aumentare esponenzialmente (GARR-G , Gigabit ethernet)

Le LAN evolvono verso una sempre maggiore complessita` (routing interno alla LAN)

Implicazioni legali

E` il caso di avvertire i nostri utenti che e` attivo un sistema di monitoraggio del traffico?

codice penale: art 617quater
(aggiunto dall’art. 6 L. 23/12/93, n.547)

Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche

Chiunque fraudolentemente intercetta comunicazioni relative a un sistema informatico o telematico o intercorrenti tra piu` sistemi, ovvero le impedisce o le interrompe, e` punito con la reclusione da sei mesi a 4 anni.

Salvo che il fatto costituisca piu` grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma.

....

Riferimenti

SHADOW

http://www.nswc.navy.mil/ISSEC/CID/

http://www.nswc.navy.mil/ISSEC/CID/step.htm

http://www.nswc.navy.mil/ISSEC/CID/step_tar.gz

The SANS Institute

http://www.sans.org

Network Intrusion Detection FAQ

http://www.robertgraham.com/pubs/network-intrusion-detection.html

http://www-rnks.informatik.tu-cottbus.de/~sobirey/ids.html

http://www.sans.org/newlook/resources/IDFAQ/ID_FAQ.htm

Questa presentazione

http://www.pd.infn.it/~gravino/computing/security/meeting/


	filtri sul router
	tcp-wrappers
	chiusura servizi inutili
	filtri anti-spam
	antivirus
	eliminazione trasmissione password in chiaro
	ma .......


	si usano sistemi operativi intrinsecamente insicuri e/o non sempre configurati dal Servizio Calcolo
	gli utenti richiedono di utilizzare servizi insicuri
	i sistemi di autenticazione utilizzati (password) sono deboli
	tutti i sistemi operativi risultano prima o poi vulnerabili a chi riesce ad accedervi come utente locale


	a prevenire un’intrusione
	a prevenire un Denial of Service
	a rivelare intrusioni o attacchi provenienti dall’interno della LAN


	SANS’s Heuristic Analisys system for Defensive Online Warfare
	autori: Vicki Irwin, Stephen Northcutt, Bill Ralph (del Naval Surface Warfare Center) e SANS Institute
	http://www.nswc.navy.mil/ISSEC/CID/


	raccoglie da un’interfaccia di rete i pacchetti che soddisfano un criterio booleano e ne stampa l’header
	puo` salvare i pacchetti in un file
	puo` leggere l’input da un file invece che dall’interfaccia di rete


	hardware
	Pentium II 450 MHz – RAM 128MB
	HD 18GB EIDE per i dati – NIC 3Com 3C905C
	software
	Linux RedHat 5.2 – kernel 2.0.36
	libpcap
	tcpdump


	Basato su una serie di script (shell o perl) e di filtri utilizzati da tcpdump.
	Compiti svolti:
	raccolta dati
	analisi e log
	riduzione dei dati
	controllo spazio disco


	ogni ora:
	chiude una sessione di tcpdump e lancia la successiva
	copia il file di dati appena chiuso nella directory dell’“analyzer”
	sposta il file acquisito 48 ore prima nella directory di lavoro del “filter”


	((dst net 193.205.1 or dst net 193.205.2) and not (src net 193.205.1 or src net 193.205.2)
	or
	((src net 193.205.1 or src net 193.205.2) and not (dst net 193.205.1 or dst net 193.205.2))


	tcp
	and (tcp[13] & 2 != 0)
	and (dst port 21 or dst port 22 or dst port 23 or dst port 110 or dst port 143)
	and (dst net 193.205.1 or dst net 193.205.2)


	ip[6:2] & 0x2000 != 0
	ip[6:2] & 0x1fff > 0
	ip and ip[12:4] = ip[16:4]
	ip and ip[19] = 0xff
	icmp[0] != 8 and icmp[0] != 0
	tcp and (tcp[13] & 3 != 0)
	tcp and (tcp[13] & 3 = 3)


	Condizioni di utilizzo:
	spazio disco per i dati : 18 GB
	traffico medio con l’esterno di 2/3 Mb/s
	filtri di riduzione aggiornati
	massima lunghezza acquisita per ogni pacchetto: 68 byte


	... Anzi, problemi futuri:
	Il traffico di rete e` destinato ad aumentare esponenzialmente (GARR-G , Gigabit ethernet)
	Le LAN evolvono verso una sempre maggiore complessita` (routing interno alla LAN)


	E` il caso di avvertire i nostri utenti che e` attivo un sistema di monitoraggio del traffico?


	Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche
	Chiunque fraudolentemente intercetta comunicazioni relative a un sistema informatico o telematico o intercorrenti tra piu` sistemi, ovvero le impedisce o le interrompe, e` punito con la reclusione da sei mesi a 4 anni.
	Salvo che il fatto costituisca piu` grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma.
	....


	SHADOW
	http://www.nswc.navy.mil/ISSEC/CID/
	http://www.nswc.navy.mil/ISSEC/CID/step.htm
	http://www.nswc.navy.mil/ISSEC/CID/step_tar.gz
	The SANS Institute
	http://www.sans.org
	Network Intrusion Detection FAQ
	http://www.robertgraham.com/pubs/network-intrusion-detection.html
	http://www-rnks.informatik.tu-cottbus.de/~sobirey/ids.html
	http://www.sans.org/newlook/resources/IDFAQ/ID_FAQ.htm
	Questa presentazione
	http://www.pd.infn.it/~gravino/computing/security/meeting/