Appunti di Network Security

TIPOLOGIA DEFINIZIONE CARATTERISTICHE

• Osserva solo le attività di un singolo

host

• Setup complesso

• Il rilevamento si basa su quello che ogni

host può registrare

Sistemi che analizzano

HIDS le informazioni relative • Non osserva gli header dei pacchetti

all’attività locale di un •

singolo host Risponde dopo che un log sospetto sia

stato fatto

• Verifica il successo o il fallimento di un

attacco

Continua nella pagina successiva

15

Tabella 6.1: (continua)

TIPOLOGIA DEFINIZIONE CARATTERISTICHE

• Osserva tutte le attività della rete

• Setup facile

• Il rilevamento si basa su cosa può essere

registrato sull’intera rete

Sistemi che raccolgono • Esamina gli header dei pacchetti

NIDS le informazioni raccolte •

dal traffico di rete Risposta vicina al real-time

• Indipendente dai SO

• Non verifica il successo o il fallimento

dell’attacco

• Monitora gli eventi del sistema e delle

applicazioni

• Permette di verificare l’integrità di un

Rappresenta il

Ibrido file system

compromesso tra i

primi due • Serve solo ad analizzare il traffico di rete

destinato al dispositivo stesso

6.1.2 Rilevazione degli eventi

1. Misuse detection. Si tratta dell’approccio più utilizzato, in si caratterizza l’abuso. In altre

parole, si cerca di individuare tutte quelle situazioni che corrispondono a tentativi di attacchi,

andando a creare una lista di tutti i possibili attacchi. Purtroppo, rileva solo gli attacchi noti.

2. Anomaly detection. In questo caso, si caratterizza l’uso normale. Operando con questa configu-

razione, sarà più facile rilevare comportamenti sospetti, ma si tratta di una metodologia costosa

e di difficile implementazione.

6.1.3 Falsi allarmi

In un IDS bisogna saper gestire due tipi di indicatori: i falsi negativi (attacchi non rilevati) e i Falsi

positivi (attacchi rilevati ma corrispondenti a situazioni normali). Affinché funzioni correttamente, i

valori di FN e FP devono essere molto bassi. Per rilevare la probabilità che un allarme corrisponda

a un vero attacco, è possibile utilizzare il teorema di Bayes:

·

P r(all|att) P r(att)

P r(att|all) = P r(all)

6.1.4 Firewall vs NIDS

Nel FW il traffico deve passare attraverso esso, altrimenti è stata progettata male l’infrastruttura.

Invece, in un NIDS il traffico non passa, ma ne arriva uno mirrorato (una copia). Solitamente, gli

NIDS possono essere posizionati come sensori:

• Interni: rileva l’intero traffico diretto alla rete, per cui potrebbero aumentare i falsi allarmi

16

• Esterni: rileva solo il traffico che entra effettivamente nella rete e non fornisce informazioni sugli

attacchi bloccati dal firewall

6.2 Intrusion Prevention System - IPS

Un IPS è un IDS in linea basato su rete (NIDS) con la capacità di bloccare il traffico scartando i

pacchetti, ma anche di rilevare il traffico sospetto. Anche qui, possiamo trovare HIPS e NIPS, con le

seguenti differenze:

HIPS NIPS

• •

Identifica gli attacchi utilizzando sia tecniche NIDS in linea in grado di scartare pacchetti o

basate sulla firma che di rilevamento delle ano- terminare le connessioni TCP

malie • Utilizza il rilevamento delle firme e delle ano-

• Si adatta alla piattaforma specifica malie

• •

Può creare applet sandbox per monitorare il Può fornire la protezione dei dati del flusso

comportamento • Può identificare i pacchetti dannosi

• Può fornire protezione da file desktop, registri

e I/O Tabella 6.2: Confronto tra HIPS e NIPS

6.3 Unified Threat Management - UTM

L’approccio corretto per ridurre il carico amministrativo e delle prestazioni consiste nel sostituire tutti

i prodotti di rete inline (firewall, IPS, IDS, . . . ) con un unico dispositivo, ovvero l’UTM. Un problema

significativo di questo dispositivo sono le prestazioni; ad esempio, le perdite di throughput tipiche per

gli attuali dispositivi commerciali sono del 50%. Il suo funzionamento può essere riassunto in queste

fasi:

1. Il traffico in entrata viene de-crittografato, se necessario, prima dell’ispezione iniziale.

2. Un modulo firewall iniziale filtra il traffico, scartando i pacchetti che violano le regole.

3. Quindi, una serie di moduli analizza i singoli pacchetti e i flussi di pacchetti a vari livelli di

protocollo.

4. Il motore di analisi dei dati riassembla anche i payload multi-pacchetto per l’analisi dei contenuti

da parte del motore antivirus e dei moduli di filtraggio Web e antispam.

5. Potrebbe essere necessario crittografare nuovamente parte del traffico in entrata per mantenere

la sicurezza interna

Tutte le minacce rilevate vengono segnalate al modulo di registrazione e reportistica, che viene utilizza-

to per emettere avvisi e per l’analisi forense. Infine, il modulo di modellazione della larghezza di banda

può utilizzare vari algoritmi di priorità e qualità del servizio (QoS) per ottimizzare le prestazioni.

6.4 Tecniche di evasione

Le tecniche di evasione sono metodi utilizzati da attaccanti per aggirare o ingannare IDS e IPS. Queste

tecniche sfruttano debolezze nei meccanismi di rilevamento e puntano a nascondere attività malevole,

rendendo difficile rilevare o prevenire un attacco. Di seguito ne vediamo alcune:

17

Figura 6.1: Moduli che costituiscono un UTM

• Crittografia, in cui gli attaccanti nascondono il traffico di rete malevolo. Poiché molti IDS e

IPS non sono in grado di decriptare il traffico crittografato, diventa difficile per questi sistemi

analizzarne il contenuto.

• Frammentazione dei pacchetti, tecnica utilizzata per suddividere i dati in piccoli frammenti,

inviati separatamente. Questo può ingannare un IDS/IPS poiché tali sistemi possono avere

difficoltà nel riassemblare correttamente i frammenti prima di analizzarli.

• Zero-Day exploits. Trattandosi di vulnerabilità sconosciute, gli attaccanti possono aggirare i

database di rilevamento degli IDS/IPS, in quanto non esistono ancora firme specifiche

• Social engineering, tecnica che sfrutta la manipolazione psicologica delle persone per ottenere

accesso a informazioni o sistemi protetti.

• Gestione scorretta delle configurazioni, permette di aprire delle falle nella sicurezza che gli attac-

canti possono sfruttare. Queste potrebbero non essere rilevate dagli IDS/IPS perché si basano

su configurazioni errate o troppo permissive piuttosto che su vulnerabilità del software.

18

Capitolo 7

Next Generation Security

Con l’aumento della complessità delle reti aziendali e dell’uso di Internet, la sicurezza di rete è di-

ventata centrale. Per questo, le organizzazioni moderne richiedono soluzioni che proteggano il traffico

aziendale, consentano il controllo delle applicazioni e garantiscano visibilità in tempo reale degli eventi

di rete e di sicurezza. I Next Generation Firewall rappresentano una soluzione avanzata.

7.1 Next Generation Firewall - NGFW

Un NGFW è un dispositivo di sicurezza di alto livello che unisce firewalling, prevenzione delle intrusioni

e controllo delle applicazioni. A differenza dei firewall tradizionali, gli NGFW identificano il traffico in

base all’identità dell’applicazione, consentendo una visibilità più granulare e un controllo dettagliato

delle funzioni applicative. Per quanto riguarda le prevenzioni, adotta un duplice comportamento in

base al tipo di minacce:

• Conosciute. Le gestisce come gli IPS.

• Sconosciute. Nell’attesa del riscontro, il NGFW o blocca tutto ciò che è sconosciuto oppure

lascia passare e poi attua delle contromisure in caso di file malevolo.

7.2 Web Application Firewall - WAF

I WAF sono strumenti che proteggono servizi web critici e vengono usati con i NGFW. Questo perché

esistono degli attacchi molto sofisticati che manipolano il classico uso del protocollo http o https, e i

NGFW non sono in grado di contrastarli. Solitamente, vengono messi dietro il firewall e direttamente

connessi al web server. 19

Capitolo 8

Autenticazione dei messaggi

Una raccolta di dati si dice autentica quando il destinatario riceve esattamente ciò che il mittente

ha inviato, senza alcuna modifica. L’autenticazione dei messaggi è una procedura che consente alle

parti comunicanti di verificare l’autenticità dei messaggi ricevuti. I suoi obiettivi sono: proteggere

l’integrità di un messaggio, convalidare l’identità del creatore e garantire il non ripudio dell’origine.

8.1 Autenticazione tramite crittografia

8.1.1 Crittografia simmetrica

La crittografia dei messaggi di per sé fornisce una misura di autenticazione. Infatti, se viene utilizzata

la crittografia simmetrica, allora:

• Il destinatario sa che il mittente deve averlo creato poiché solo il mittente e il destinatario

conoscono la chiave utilizzata

• Il contenuto del messaggio non può essere modificato se il messaggio ha una struttura adeguata,

ridondanza o un checksum per rilevare eventuali modifiche

8.1.2 Crittografia asimmetrica

In questo caso, abbiamo due possibilità:

• Utilizzo della sola chiave privata del mittente, senza garantire la confidenzialità.

• Utilizzo della chiave privata del mittente e della pubblica del destinatario, per garantire confi-

denzialità e autenticazione del mittente. 20

8.2 Autenticazione senza crittografia

La crittografia può avere requisiti computazionali elevati. L’idea è quella di generare un digest più

piccolo, da aggiungere in coda al messaggio.

8.2.1 Message Authentication Code - MAC

Una chiave segreta viene utilizzata per generare un piccolo blocco di dimensioni fisse, che viene aggiunto

al messaggio. Questo blocco deve ricevere in input una chiave simmetrica e il messaggio:

M AC = F (K , M ). Anche noto come cryptographic checksum, fornisce la garanzia che il messaggio

M AB

non venga alterato e che provenga dal mittente. Il MAC può fornire riservatezza, ma non è una firma

digitale. Inoltre, assieme al MAC può essere utile utilizzare anche la crittografia. Purtroppo, è una

funzione molti-a-una, quindi alcuni messaggi potrebbero avere lo stesso MAC. Per questo motivo,

bisogna soddisfare queste tre condizioni: i MAC devono essere distribuiti uniformemente e devono

dipendere in egual misura da tutti i bit del messaggio. Inoltre, è molto complesso computazionalmente.

8.2.2 Funzione di Hash

Una funzione di Hash necessita solo del messaggio in input. In output restituisce un digest a dimen-

sione fissa che viene inviato assieme al messaggio, per garantire la sua autenticità. Purtroppo, per

avere un digest a dimensione fissa, la funzione deve essere sia pubblica che non codificata.

• Crittografia simmetrica con solo autenticazione dei dati

• Crittografia simmetrica con autenticazione e riservatezza dei dati

• Crittografia asimmetrica con sola autenticazione dei dati,