Come gestire un efficientesistema di Intrusion Detection
Forum ICT SecurityRoma, 4 Aprile 2003
Luigi MoriNetwork Security [email protected]
La tecnologia Sourcefire
Agenda
• Introduzione ai NIDS– Soluzione Sourcefire
• Esempio di tuning– eliminare il rumore– gestire i falsi positivi
Che cos’è un NIDS ?
Un Network Intrusion DetectionSystem è uno strumento in grado dianalizzare in tempo reale il traffico diun segmento di rete alla ricerca dicontenuto sospetto.
Come funziona ?
Detection Engine
Alarm Report
Sniffing NIC
LAN
Perché usare un NIDS ?
• Per rilevare attacchi in corso• Per rilevare prologhi ad attacchi• Per controllare situazioni “a rischio”
in modo non invasivo• Per avere informazioni utili per
l’analisi di un incidente• Who watches the watchmen ?
Soluzioni Sourcefire
• [1998] Martin Roesch crea Snort– diventa il NIDS più installato al mondo– col tempo si rende necessario un supporto
commerciale
• [2001] Martin Roesch fonda Sourcefire– alla fine dell’anno viene rilasciato il primo modello
To combine our Open Source roots with proprietaryinnovation to deliver the most effective intrusion
management technologies on the planet.
The Mission
• Network Sensor– appliance– scalabile (arriva ad analizzare >1Gb/s)– grande flessibilità nell’analisi
• Management Console– consolidamento log da più sensori– correlazione eventi– amministrazione centralizzata sensori
Sourcefire
Sourcefire - scalabilità
NS
Firewall Firewall
Server
NS
Minicomputer
NS
Mgmt Console
Rete pubblica DMZ LAN Aziendale
Sourcefire - flessibilità
Reality Check
Deployment
Firewall Firewall
Server Web
Server SMTPNS
Rete pubblica DMZ LAN Aziendale
Dopo un giorno
# eventi 9448 !!
Report
Che cosa sono ?
• Attacchi.• Rumore. Attacchi portati alla rete
ma che non possono andare abuon fine. Esempi: attacchi diSlammer verso un server BSD.
• Falsi Positivi. Allarmi generati sutraffico non sospetto.
Sorgenti di rumore
Tipo I. Attacchi portati versoapplicazioni non presenti sulla rete.
Tipo II. Eventi di InformationGathering.
Tipo III. Traffico sospetto concessodalle policy della rete.
Eliminare il rumore
• Bisogna dire al NIDS come è fatta larete e quali sono le sue policy(tuning).
• Qui entra in gioco la flessibilità delNIDS. Nei Network Sensor diSourcefire è possibile vedere comesono fatte le regole e modificarle.
Eliminare rumore di tipo I
Disattivo
Eliminare rumore di tipo I
Eliminare rumore di tipo II
PING sulla rete
Eliminare rumore di tipo III
Zone XFERPrimario? Secondario
Eliminare rumore di tipo III
Eliminare rumore di tipo III
Creo nuova regola basata su IPper lasciar passare zone xfer
Eliminare rumore di tipo III
IDENT
Eliminare rumore di tipo III
Devo creare nuova regola.Check IP & contenuto.
Eliminare rumore di tipo III
Alcune parti del payload sonovariabili e le devo saltare.
Senza rumore
Falsi positivi
• Non sempre si possono eliminare.• Su questi si misura la capacità di
analisi del NIDS.
Falsi positivi & StatefulAnalysis*
* fonte: M.J. Ranum
Stateless Stateful
NIDS Detection Engine
# fa
lsi p
osit
ivi
Snort Packet Flow
Stream4
Frag2
p Detect
preprocessor
ricostruiscesessioni
ricostruisceframmenti
controllasignature
Nota
“But if you want to find out if you’re underattack, don’t bother -- you are under
attack, more or less continously”
Steven Bellovin
Un NIDS sulla rete pubblica genererà semprerumore
Fine
• I NIDS sono componenti importantidi un’infrastruttura di sicurezza
• Necessitano di una fase di tuning• Le soluzioni Sourcefire semplificano
questa operazione medianteun’intuitiva GUI