Marco Ramilli 1

Un modello alternativo perla rivelazione delleintrusioni in una rete locale.

IENA

Marco Ramilli 2

OutLine.

L odierna crescita di servizi distribuiti hagenerato una vera e propria problematica nelsettore informatico; se fino ad oggi leprincipali minacce alla sicurezza venivanodall infrastruttura di rete e dai S.O. ladiffusione delle applicazioni Web, lacondivisione di risorse, la possibilità disoftware auto aggiornanti, la nascita di paginedinamiche, di webServices e la realizzazionedi script client-side hanno creato nuovipericolosi obiettivi.

Marco Ramilli 3

Tipologie di attacco.Information Gatering ( raccolta informazioni )

Cross-Site scripting ( attacco all’ utente )

SQL Injection ( attacco al data base )

Brute Force ( attacco di password )

Know Vulnerability ( attacco alle applicazioni )

Session Fixation ( cambio di sessioni )

Man In The Middle ( ridirezione di traffico )

Cookie poisoning ( avvelenamento delle cookie )

Denial of Service ( negazione di servizio )

Marco Ramilli 4

Tecniche di difesa.

Installazione di Firewall

Installazione di Intrusion Detection System

Installazione di Intrusion Prevention System

Tecniche Forensi per il recovery di dati

Monitoring di Arp Request.

Utilizzo di validi modelli per l’ aggiornameto

“della rete”

Progettare una rete solida e ben strutturata.

Marco Ramilli 5

Modello ICT Attuale:

Marco Ramilli 6

Visione.

• Deve esistere un modello che elimina ( o cheabbassa ) il livello di complessità del modelloattuale.

• Lo scopo del progetto IENA consiste nelrivedere la logica del paradigmaattacco/difesa degli odierni sistemi disicurezza, presentando un modello che trovail suo fondamento in un approccio opposto aquello fino ad ora adottato nelle politichebasate sul principio di “chiusura”.

Marco Ramilli 7

Brevi sul Progetto (1).

• Introdurre IENA in un host, significaingannare l attaccante.

•La IENA non vuole simulare un falso

servizio ma si pone in ascolto verso la

rete esterna avvisando

l’amministratore di rete appena capta

qualche segnale “fuori norma”.

Marco Ramilli 8

Brevi sul Progetto (2).

Behavioural Diagram.

Marco Ramilli 9

Brevi sul Progetto (3).

Activity Diagram

Marco Ramilli 10

Brevi sul Progetto (4).

Sistemi di Notifica

Comportamento Client IENA

Comportamento Server IENA

Marco Ramilli 11

IENA V.S. HoneyPot.

• Molti potrebbero confondere le due tecnichedi difesa, in realtà sono differenti.

IENA :

•Obiettivo: difesa

•Architettura: distribuita

•Complessità tecnica: bassa

•Processo: Leggero

•Distribuzione su host: alta

HoneyPot :

•Obiettivo: Ricerca

•Architettura : locale

•Complessità tecnica: alta

•Processo: pesante

•Distribuzione su host: bassa

Marco Ramilli 12

Modello con IENA.

Marco Ramilli 13

Modello ICT Attuale:

Marco Ramilli 14

Implementazione.

• Il server IENA è stato implementatoutilizzando tecnologia C-UNIX ergodipendente dalla piattaforma.

• Il client IENA è stato implementatoutilizzando una tecnologia platformindipendent, JAVA.

Marco Ramilli 15

Sfruttando Nagios.

• Il sistema di alerting che il server IENAscatena, viene avviato (nella versione attualedi IENA) da un noto tool come Nagios.

• Nagios periodicamente confronta i log cheIENA produce e ad ogni cambiamentoforniscce un valido e immediato avviso alloamministratore di sistema.

Marco Ramilli 16

Conclusioni.

• IENA non ha la pretesa di essere lasoluzione definitiva ad ogni problemariguardante la sicurezza informatica, maassieme ad altri sistemi di sicurezza puòcontriburire ad innalzare notevolmente illivello di sicurezza di una rete.

Marco Ramilli 17

Sviluppi Futuri.

• Rendere piu sicura la comunicazione traIENA e Server-IENA

• Utilizzo di apposite tecniche per il detect distealth scan

• Inserire un interfaccia grafica per renderel ambiente pi user-friendly

• Implementazione di una rete IENA e Server-IENA basata su tecnologia Knock

• Integrazione di IENA e Server-IENA con imoderni IDS e IPS

Marco Ramilli 18

Q.&A.