Sei sulla pagina 1di 12

Reti e dintorni

Marzo/Aprile 2003 N 18

EDITORIALE
GUERRA PREVENTIVA Gli Stati Uniti difensori della democrazia nel mondo, sono sempre stati conviventi, o hanno favorito, dittature di ogni tipo, a cominciare da Pinochet. Gli Stati Uniti preoccupati della qualit della vita sul pianeta hanno perso ogni credibilit con il rifiuto di ratificare gli accordi di Kyoto. Gli Stati Uniti difensori della giustizia internazionale non ci sembrano pi credibili da quando si rifiutano, di aderire al trattato sul tribunale penale internazionale. Gli Stati Uniti patria dei diritti civili non sono pi credibili da quando hanno messo in soffitta il rispetto per la privacy a favore di un sistema di spionaggio interno ed esterno da Grande Fratello. Persino il volto della loro democrazia ha cominciato a risultarci incrinato, dopo la risicata elezione di Bush (solo 5000 voti di scarto, con il dubbio da parte dei Democratici di frode elettorale!). Abbiamo cominciato a guardare con occhi meno frettolosi al peso dei soldi nelle loro campagne elettorali. Soldi dati da, compagnie petrolifere, fabbricanti di tabacco, costruttori di arei e di armi. Non si tratta di essere filoamericani o antiamericani. No non questo. Le masse di persone che hanno dimostrato contro la guerra in tutto il mondo, mettono in discussione proprio la democraticit dei governi che stanno facendo questa guerra. Bush si autoinvestito del potere di agire fuori e al di sopra della comunit internazionale. Il conflitto attuale non fra due (gli schieramenti che si fronteggiano), ma fra tre (infatti c anche il fantasma del terrorismo). La guerra (e le guerre future) che gli Stati Uniti hanno iniziato sono state definite come preventive (in realt sono pure guerre di aggressione). Comunque preventiva deve essere intesa come prevenzione da attacchi terroristici. Domanda: la guerra contro lIraq rientra in questa categoria? ovvio che il terrorismo un fenomeno trasversale. Pu darsi benissimo che Saddam possegga armi di distruzione di massa e abbia intenzione di usarle a sostegno del terrorismo. Perch mai il rovesciamento del regime iracheno dovrebbe fermare il terrorismo? E non invece dare ad esso la spinta verso nuove azioni sempre pi devastanti? Lo sanno anche le pietre che il terrorismo trova il suo alimento nella disperazione e nellumiliazione dei vinti. La guerra preventiva dovrebbe impedire ci che di fatto promuove in modo esponenziale. Ma cerchiamo di vedere le cose da un altro punto di vista. Un certo M.K. Hubbert, studioso dei flussi petroliferi estratti, trov nel 1956 lequazione matematica che permette di prevedere il momento di picco di produzione petrolifera di una regione. Hubbert previse che nel 1969 gli Stati Uniti avrebbero raggiunto il loro massimo di produzione. E cos stato. Lequazione di Hubbert stata confermata da quel momento innumerevoli volte. Il problema che tutte le regioni di produzione hanno raggiunto prima del 2000 il loro massimo di produzione petrolifera. Attualmente, tutte le regioni petrolifere sono nella fase calante di produzione. Unica eccezione la regione del golfo persico, per la quale, lequazione di Hubbert prevede il picco di produzione intorno al 2010. LEnergy Information Administration prevede che la domanda globale di petrolio aumenter del 60% entro il 2020. La quota di mercato dei paesi OPEC nel Medio Oriente crescer rapidamente. Entro il 2010 la quota toccher probabilmente il 50%. Il vero motivo delle guerre preventive molto probabilmente tutto e solo nel petrolio. LAfghanistan permetter di trasferire, tramite oleodotti, il petrolio delle zone centrali asiatiche verso i porti delloceano indiano, mentre lIraq uno dei pi grandi produttori mondiali di petrolio. Cosa dire di pi. Buona globalizzazione a tutti!

RETI E DINTORNI N 18

Pag. 3

Link Proof
RADWARE Lapparato Link Proof Radware un bilanciatore di traffico che permette di avere pi di una connessione a Internet, controllando e bilanciando il traffico sia in uscita che in entrata mediante meccanismi di controllo del link, dellapplicazione che viene usata, dagli indirizzi IP che transitano. La tipica installazione che si pu avere quella con un apparato connesso a due router Internet connesso appena dopo i firewall di protezione della rete interna. Opzionalmente per motivi di ridondanza si possono avere due apparati di cui uno rimane in standby. La figura seguente mostra una tipica installazione.
Access Router

Il metodo pi facile per la configurazione dellapparato tramite Configware che si pu scaricare gratuitamente dal sito www.radware.com. Requisiti del Configware: - PC 200MHz - 30Mb Disk Space - 32Mb ram - Java Plugin Il Link Proof appena acceso presenta la seguente schermata di Setup.

Lan

Link Proof

ISP1

ISP2

Caratteristiche dellapparato Application switch I : - Link Proof con 8 porte 10/100 e 2 porte Gigabit - CPU Motorola Power PC 750 - 8MB Flash 64MB SDRAM espandibile a 128MB - 32Kb Nvram - Backplane 9,6 Gb - Porta seriale 19200 Application switch II : - Link Proof con 16 10/100 e 5 porte Gigabit - CPU Motorola Power PC 7410 - 8MB Flash 64MB SDRAM espandibile a 256MB - 32Kb Nvram - Backplane 19,6 Gb - Porta seriale 19200

I parametri importanti da inserire sono : 1. Indirizzo IP di management 2. Subnet mask 3. Port ( porta di assegnazione dellindirizzo IP) Esempio : 1 per la porta FastEthernet 1 o 10002 per la Vlan 10002. 4. Accesso Web e Telnet Le altre opzioni possono essere lasciate di default. Il software image risiede nella flash e non e visibile con comandi di show , visibile soltanto la versione. Per fare un upgrade del software image si pu farlo con un menu di configurazione nel configware. (Laggiornamento mediante il ConfigWare si pu fare solo tra Major Release es. 3.51 3.53 e non 3.533.61). Per aggiornare il firmware ad una major release occorre fare laggiornamento da seriale. Per cancellare totalmente il contenuto della flash e riscrivere il file image occorre: - Premere qualsiasi tasto prima di tre secondi quando iniziata la procedura di avvio del software. - Non compare nessun prompt nel terminale , digitare ? per il menu di boot e dovrebbe comparire la seguente schermata:

Accesso alla Configurazione Console (19200,N,8,1) Telnet Web Configware (Applicazione proprietaria)

RETI E DINTORNI N 18

Pag. 4

Il comando per cancellare la flash j e non compare perch nascosto. Una volta cancellata la flash scaricare il nuovo software con modem, comando w, mediante Hyperterminal. Allavvio della macchina il software richiede una password che deve essere presa precedentemente dal sito Radware. Per generare la password nel sito radware occorre inserire il mac-address dellapparato su cui si intende fare laggiornamento. Una volta inserita la password e riavviato, lapparato non presenta alcun prompt dal terminale per le versioni precedenti alla 3.61. Dalla versione 3.61 compare il prompt Linkproof> simile ai comandi Ios. Per accedere digitate login: La password di default radware in alternativa provate lp. Per inserire lindirizzo IP digitare inf create ip-address netmask n porta ( dove n il numero dellinterfaccia su cui vi dovete connettere). A questo punto potete collegarvi allapparato via Lan (con Configware, Telnet, Web) attraverso la porta che avete configurato. La schermata di collegamento al Link Proof rappresentata in figura.

algoritmo proprietario di Windows NT (elabora alcuni parametri che i server NT passano su Mib Snmp es. numero di sessioni attive sul server in ingresso e in uscita, numero di utenti collegati al server, tempo di risposta del server. Normalmente si lascia limpostazione di default ciclica ,e poi, dopo linstallazioni si inizia a fare dei tuning per lottimizzazione del traffico. Il traffico in ingresso verso un Web server interno viene bilanciato sui link configurando la funzionalit di DNS sul Link Proof. Supponiamo di avere un server Web (www.tecnonetspa.it) sulla nostra Lan e di renderlo accessibile su tutte e due i link Internet; il server deve essere nattato con due indirizzi pubblici dei due differenti provider, il Link Proof deve essere configurato a risolvere il nome www.tecnonetspa.it nella configurazione del DNS. Nel DNS autoritativo della zona tecnonetspa.it si dovr configurare un nameserver che corrisponde a lindirizzo IP pubblico del LinkProof. In questo modo un client su Internet che apre una connessione a www.tecnonetspa.it fa la sua richiesta al suo DNS , la quale cerca su altri DNS la zona tecnonespa.it. Il DNS che contiene quellinformazione redirige la richiesta al nameserver configurato (LinkProof) la quale intercetta la richiesta e restituisce al mittente in modalit ciclica prima uno e poi laltro indirizzo IP nattato eseguento di fatto il bilanciamento. (Per delucidazione in merito al funzionamento del DNS si veda Reti e dintorni n.10).

Non esiste la vlan 1 di default come negli switch, esistono due vlan che non sono associate a nessuna porta. Le Vlan sono: - other Vlan include tutti i protocolli trasportati su quella Vlan - Ip Vlan include il protocollo Ip Possono essere create due tipi di Vlan : Vlan Type - Regular : significa che i pacchetti che transitano su questa Vlan vengono trattati fino a livello 7 per lapplicazione dei criteri di load balancing e monitorino - Switch: significa che i pacchetti che transitano su questa Vlan sono trattati solo a livello Mac (come negli switch). Protocol: - IP : Vlan per Protocollo IP - Switch: Vlan per altri protocolli Criterio di funzionamento. Per default il traffico viene bilanciato per sessione in modalit ciclica (prima su un router poi su laltro) mantenendo per 60 secondi le informazioni nella cache. Questa modalit pu essere variata e scelta in funzione del carico del Link. Ci sono altri algoritmi di bilanciamento che possono essere settati : - numero sessioni presenti su un link - quantit di traffico presente su un link (Kbyte)

Per il traffico in uscita si possono configurare diversi parametri per lutilizzo dei Link. - Source grouping Address : gli indirizzi IP sorgenti useranno il Link prescelto - Destination grouping address: gli indirizzi IP destinatari useranno il Link prescelto - Application grouping: le applicazioni scelte useranno il link prescelto Esiste poi un algoritmo chiamato Proximity che determina tre parametri e su cui si determinare quale provider scegliere per una certa connessione. Questo algoritmo assegna un valore assoluto ( da 1 a 100) al link in base al numero di hop , al ritardo sulla trasmissione, e al numero di sessioni attive. Il link con il risultato assoluto migliore viene scelto per quella connessione. Questo algoritmo valido anche per il bilanciamento del traffico in ingresso. Il proximity prende il sopravvento sulla modalit di bilanciamento ciclica.

RETI E DINTORNI N 18

Pag. 5

Per la verifica della connettivit di entrambe i Service Provider esiste la funzionalit Health Monitoring Questa funzionalit permette di monitorare costantemente i link su Internet e di stabilire se sono attivi o meno. La verifica pu essere fatta mediante richieste icmp ad unindirizzo specifico a o semplicemente sullinterfaccia del router. Pu anche essere configurato il monitoraggio di una specifica applicazione (es. FTP,www) con verifiche di connessione Tcp al server interessato. Se un applicativo server da un link non pi raggiungibile il link stesso viene posto fuori servizio. Sono presenti anche alcune funzionalit di sicurezza che possono essere usate sul Link Proof nel menu Application Security. I meccanismi di security sono di controllo sullapplicazione Web mediante configurazione base di filtri che controllano la stringa Url o un qualsiasi contenuto nellheader http. Laltro meccanismo di sicurezza il controllo e il blocco di eventuali attacchi di tipo DoS. In Entrambi i casi si pu decidere di monitorare o bloccare il traffico posto sotto controllo. Questa funzionalit disponibile soltanto con la licenza Synapps. Sono disponibili anche funzionalit di bandwidth management per la prioritizzazione del traffico. La priorit pu essere definit per Tos , DiffServ (DSCP). Lapparato crea delle policy e assegna una certa banda in base alla marcatura dei pacchetti. Questa funzionalit disponibile soltanto con la licenza Synapps. Configurazione dei principali parametri sullapparato. (Gli altri parametri possono rimanere di default) Menu Router IP Router : configurazione delle interfacce IP per lassegnazione degli indirizzamenti pubblici e privati Routing Table :configurazione delle default route verso i router Internet Menu LinkProof global configuration - Ablitazione del Nat , abilitazione generale del Link Proof, abilitazione del tipo di Healt Monitoring Next Hop router table Next Hop Router : uno dei router di uscita verso Internet o ISP NHR address : Ip address del router di uscita Admin Status: Enabled : router o ISP operativo Disabled: router o ISP non operativo Shutdown: non sono accettate nuove sessioni , quelle in corso rimagono attive fino alla loro chiusura. Priorit: priorit del router di uscita ( da 1 a 100) il valore pi

alto indica che il router riceve il doppio del traffico sul bilanciamento Kbps limit: limita il totale del traffico in kbps NHR proximity Check: abilitare per permettere il monitoraggio del router Internet SmartNat : configurazione del Nat statico o dinamico. From local IP/To Local IP : range indirizzi IP Lan Interna Router IP : indirizzo di uno dei due router Internet Dynamic NAT : indirizzo IP NAT DNS configuration : configurazione dei server web,mail nella Lan interna Dynamic Hos Name : URL defitito Local IP Address : Indirizzo Web Server

Menu Health Monitoring Check Table metod: selezionare il monitoraggio con ping o con lapplicazione destination IP : indirizzo da monitorare Binding Table NHR: assiociazione con il router Internet Menu Redundancy Sul router Active : global configuration : enabled Sul router Standby : globlal configuration : enabled Interface grouping : enabled IP Redundancy Table Inserire per ogni interfaccia lindirizzo IP del router active Interface IP : Indirizzo IP locale Main Router address: Indirizzo IP del router da monitorare

L. Natale

RETI E DINTORNI N 18

Pag. 6

Intrusion Detection System


Un Intrusion Detection System un insieme di strumenti che servono ad individuare e a segnalare attacchi, intrusioni e violazioni delle politiche. Gli IDS si basano su un concetto relativamente semplice: verificare ed analizzare le attivit in corso al fine di individuare segnali allarmanti, cio potenziali indizi di un tentativo non autorizzato di accesso o manipolazione delle informazioni oppure un tentativo di rendere un sistema non utilizzabile. Storicamente tali sistemi risalgono agli audit effettuati sui sistemi mainframe ove risiedevano i programmi contabili delle multinazionali, banche ed assicurazioni: gli utenti abilitati ad operare con le transazioni pi critiche venivano continuamente monitorati attraverso file di log al fine di impedire utilizzi non leciti od errati. Lelemento di novit degli Intrusion Detection Systems che tali attivit di monitoring e logging vengono svolte in maniera automatica, da una sorta di agente elettronico autonomo che lavora in background rispetto al sistema operativo.

LIDS capace di analizzare tutti i dati disponibili riuscendo cos a rilevare quando un sistema o una rete vengono usati in modo fraudolento. Al contrario dei firewall, lIDS pu essere paragonato ad una rete antifurto capace di avvertire quando qualcuno riuscito a penetrare, dove si trova e cosa sta facendo. I firewall infatti operano solo nel punto di ingresso della rete e trattano solo i pacchetti che passano attraverso la rete. Quando un attaccante riesce a superare il firewall, pu effettuare incursioni a suo piacere nella rete. Ed proprio in questo momento che entra in gioco la rilevazione delle intrusioni. Generalmente si opera una suddivisione degli Intrusion Detection Systems in due famiglie: la prima svolge principalmente opera di auditing, effettuando continue chiamate agli host collegati; la seconda, invece, opera in autonomia, osservando direttamente il traffico sulle reti e passivamente operando il filtraggio dei pacchetti. Lopera di molti IDS del tipo automatic network attack recognition and response system, in pratica gli IDS vengono installati e fatti lavorare sulla totalit della rete o su una parte di questa, ove sussista lesigenza di preservare le informazioni critiche. Il riconoscimento degli attacchi viene generalmente effettuato, un po come accade per gli antivirus, a mezzo di un controllo di firma. In pratica il sistema ha

un database degli attacchi che funge da termine di paragone con il traffico analizzato. I passi compiuti da un IDS sono tre: 1. analizzano in tempo reale una serie di eventi 2. analizzano gli eventi in base a specifici parametri attacco conosciuto evento non permesso evento anomalo 3. segnalano le anomalie in base alle configurazioni Quando viene riconosciuto un attacco, lIntrusion Detection System pu finalmente fermare il flusso di dati, impedendo che lattacco provochi dei danni alla rete. Un buon sistema di rilevazione delle intrusioni dovrebbe inoltre consentire la registrazione della data, della fonte e del bersaglio dellattacco, del tipo dellattacco stesso, nonch la registrazione dellattivit intrapresa. Relativamente alla fonte dellattacco, lIDS deve implementare funzioni anti spoofing e features collegate. Questo si rivela di grande importanza soprattutto per la prevenzione degli attacchi DoS (Denial of Service). Il principio essenziale di funzionamento degli IDS si basa sulla tempestivit di intervento. In pratica, una volta scoperto il tentativo di intrusione, il sistema deve avvertire il responsabile della sicurezza aziendale, il quale deve poter prendere, anche da remoto, le decisioni del caso. A tal fine molti IDS possono essere programmati per agire in maniera automatica in caso di intrusioni. possibile che lo stesso sistema possa avvisare circa un attacco in corso, per esempio con un messaggio SMS o un avviso sul cercapersone dellamministratore della sicurezza. In ordine alla potenza di calcolo richiesta, riscontrabile in termini di rallentamento delle prestazioni di tutta la rete, un Intrusion Detection System deve poter consentire la massima rapidit di scansione, quindi la minima domanda in termini di latenza. Gli IDS tuttavia non sono sempre affidabili al 100%, capita infatti che le tipologie di attacco riconosciute sono spesso limitate agli attacchi gi noti e che questi sistemi non siano in grado di rilevare nuovi tipi di attacco, questo implica un continuo aggiornamento del database degli attacchi noti. Capita spesso inoltre che questi sistemi creino falsi allarmi per rilevazione di attacchi mai avvenuti. Gli Intrusion Detection Systems possono essere suddivisi in tre grandi categorie: 1. Host Intrusion Detection Systems 2. Network Intrusion Detection Systems 3. Distributed Intrusion Detection Systems Host Intrusion Detection Systems Questi tipi di IDS sono basati sugli host e sono capaci di riconoscere una serie di attivit interne al sistema. Lagente viene installato su una configurazione host iniziale e registra gli attributi di alcuni importanti file di sistema. Periodicamente confronta lo stato attuale di

RETI E DINTORNI N 18

Pag. 7

tali file con quello originale evidenziando ogni mutamento sospetto. Un altro approccio basato su host controlla tutti i pacchetti che entrano e escono dallhost, ed quindi un approccio di tipo firewall personale, il passaggio di un pacchetto sospetto attiva un allarme.

sistema permettono una visione dinsieme delle attivit di reti e sistemi segnalando le anomalie secondo le configurazioni.

Classificazione dei sistemi di Intrusion Detection Da un punto di vista concettuale, una intrusione informatica un insieme di azioni che tentano di compromettere lintegrit, la confidenzialit e la disponibilit di una risorsa elaborativa. Gli IDS ricercano segnali di intrusioni di due tipi: 1. anomalie (anomaly intrusions), che si basano sullosservazione di deviazioni rispetto un normale modello di comportamento dellutente (system usage patterns) e sono intercettabili costruendo un profilo del sistema e individuandone tutte le deviazioni nel tempo. In pratica si assume che tutte le attivit intrusive sono necessariamente anomale, questo significa che dopo aver stabilito un profilo per ogni sistema definito normale tutti gli stati che differiscono dal profilo stabilito sono considerati dei possibili tentativi di intrusione. Comunque se consideriamo che linsieme di attivit intrusive interseca solo linsieme di attivit anomale invece di essere esattamente lo stesso, abbiamo due possibilit: le attivit anomale che non sono intrusive sono segnalate come intrusive le attivit intrusive che non sono anomale risultano nei falsi negativi

Gli IDS basati su host presentano alcuni svantaggi come la necessit di acquistare licenze multiple (una per ogni host). Inoltre questi tipi di IDS hanno una visione ristretta in quanto controllano solo quellhost e utilizza risorse come CPU e memoria.

Network Intrusion Detection System Sono basati sullanalisi del traffico in transito e sono capaci di riconoscere una serie di attivit sulla rete. In pratica i sistemi IDS in rete esaminano tutti i pacchetti in transito su un segmento di rete, marcando quelli che appaiono sospetti. Un IDS di rete va alla ricerca di indizi, cio di aspetti che potrebbero far sospettare di unintrusione. Le firme possono essere basate sui contenuti dei pacchetti e sono verificate confrontando ogni bit con certe sequenze note di attacco. Sono particolarmente utili contro attacchi di IP spoofing e di attacchi di smurf .

Altri attacchi in rete sono basati sul protocollo, questi attacchi possono essere riconosciuti tenendo sotto controllo i tentativi di collegarsi a porte di rete associate ai servizi pi vulnerabili. Lo svantaggio principale di questi tipi di IDS lincapacit di analizzare il traffico cifrato (SSL, IPSec ecc.). Inoltre gli IDS basati su rete non riescono a superare i limiti di analisi del traffico pi comuni: reti segmentate bandwitdh pacchetti frammentati limiti dello stack TCP/IP protocolli non riconosciuti Distributed Intrusion Detection System Sono utilizzati per integrare tutte le attivit di Intrusion Detection di una rete, questo tipo di IDS aggregano e analizzano i dati di vari sensori: NIDS, HIDS, log di

Le intrusioni anomale sono pi difficili da intercettare. 2. abusi ed errori (misuse intrusions), che sono rivelatori di attacchi precisi a punti di debolezza noti nel sistema e che possono essere intercettati mediante il monitoraggio di particolari azioni su certe componenti del sistema informativo. Il concetto che sta dietro a questo tipo di segnale di intrusione che ci sono modi per rappresentare gli attacchi sotto forma di signature cos che varianti del medesimo attacco possono essere individuate. La difficolt principale in questa tipologia quella di scrivere correttamente tutti i possibili comportamenti pericolosi senza andare ad impattare su attivit non intrusive.

RETI E DINTORNI N 18

Pag. 8

Un punto interessante da notare che mentre un sistema di anomaly detection prova a individuare il complemento di un comportamento, un sistema di misure detection prova a riconoscere dei comportamenti conosciuti. Anomaly Detection System Ci sono stati parecchi approcci ai sistemi Anomaly Detection 1. Approccio statistico: con questo metodo vengono inizialmente generati dei profili di comportamento, il sistema, sempre in ascolto, genera di continuo variazioni dal profilo iniziale. Ci sono parecchie misurazioni che possono comportare una variazione del profilo: tempo di CPU, numero di connessioni ecc. Il principale svantaggio di questo approccio che questi sistemi imparano in modo adattativo il comportamento degli utenti e quindi lhacker potrebbe perpetrare un attacco in maniera graduale in modo da far passare, come normale, levento intrusivo. Possono essere generati dei falsi negativi o falsi positivi a seconda se la soglia di variazione troppo bassa o troppo alta. Inoltre non esiste un insieme di tutte le possibili misurazioni che possono predire delle attivit intrusive, dovrebbe essere utilizzato una combinazione di misurazioni statiche e dinamiche. 2. Predizione tramite modelli: questo metodo di intrusion detection prova a predire i futuri eventi basandosi su quelli che gi sono successi. Una regola potrebbe essere:

3.

segnandoli come non-intrusioni, incrementando la probabilit dei falsi negativi. Ci sono parecchi vantaggi nellutilizzare questo metodo: i modelli basati sulle regole sequenziali possono determinare attivit anomale che sono difficili da individuare con i metodi tradizionali i sistemi basati su questi modelli sono altamente adattabili ai cambiamenti, i modelli poco qualitativi vengono eliminati mentre vengono mantenuti quelli di alta qualit le attivit anomale possono essere individuate e riportate molto velocemente. Reti neurali: lidea quella di insegnare al sistema a predire le azioni successive dellutente conoscendo una sequenza di n eventi precedenti. Dopo il periodo di apprendimento, il sistema prova a confrontare lattuale azione con quella presente nel profilo utente, qualunque azione che differisce dallazione prevista viene segnalata come unintrusione. Il vantaggio principale di questo sistema che molto flessibile, infatti risulta semplice fare modifiche per nuove comunit di utenti. Comunque ci sono dei problemi, utilizzando una sequenza di eventi troppo piccola c la possibilit che si verifichino dei falsi positivi mentre una sequenza troppo grande incrementa la possibilit di falsi negativi; inoltre un attaccante potrebbe attaccare durante la fase di apprendimento e far risultare lecite attivit che invece non lo sono. Misure Detection System

Questo significa che dopo che sono avvenuti gli eventi E1 e E2, con E2 successivo ad E1, la probabilit che levento seguente sia E3 80%, 15% la probabilit che avvenga levento E4 e 5% la probabilit che avvenga levento E5. Il problema di questo metodo che se qualche scenario di attacco non descritto dalle regole questo non verr segnalato come intrusivo. Se una sequenza di eventi non nel database delle regole verr segnato come sconosciuto, il problema pu essere risolto segnando come intrusioni tutti gli eventi sconosciuti, incrementando la probabilit dei falsi positivi, oppure non

Ci sono state parecchie ricerche per i sistemi Misuse Detection 1. Sistemi esperti: che si basano su Knowledge Base. 2. Monitoraggio di parole chiave: questa tecnica utilizza parole chiave per i modelli di attacco, sfortunatamente ha parecchi difetti, infatti fallisce in caso di comandi mascherati con altri nomi, inoltre non possono essere analizzati i programmi running. Nessun sistema operativo offre un supporto per la cattura di parole chiave cos lunico metodo quello di mettersi in ascolto su quello che viene inviato e ricevuto. Un problema fondamentale per lattuale tecnologia di IDS quella dei falsi allarmi o degli allarmi mancati. Tecnicamente si parla di falsi negativi per indicare un attacco reale che non stato intercettato e di falsi positivi per indicare un allarme ingiustificato. Entrambi sono punti di debolezza per un sistema di intrusion detection: i falsi negativi in quanto implicano un fallimento nella strategia di ricerca dei segnali di

RETI E DINTORNI N 18

Pag. 9

intrusione, i falsi positivi perch, oltre a far perdere tempo allamministratore di sistema, rafforzano la sindrome per cui quando poi si presenta un allarme reale questo viene sottovalutato. Gli Intrusion Detection Systems possono essere anche suddivisi in altre tre categorie 1. IDS basati sulla conoscenza 2. IDS basati sul comportamento 3. Honeypot La maggior parte degli IDS che si trovano in commercio sono quelli basati sulla conoscenza. Questi mettono a confronto le firme degli attacchi noti con i mutamenti intervenuti nei sistemi o nei flussi di pacchetti sulla rete. Si tratta di sistemi affidabili e che generano raramente dei falsi positivi, ma il loro limite risiede nel fatto che possono rilevare gli intrusi solamente se adottano sistemi di attacco gi noti. Sono quindi spesso impotenti di fronte ad attacchi mai verificatisi e devono essere aggiornati continuamente.

telecomunicazioni dal punto di vista delle politiche, procedure e prassi operative. La figura illustra la cosiddetta Security Hierachy: strumenti quali gli IDS ed in generale i tools di security assessment appartengono al layer 5 Auditing, Monitoring e Investigating che a sua volta presuppone una serie di livelli precedenti. Tale gerarchia va vista in un ottica di continuous risk management che prevede la presenza di controlli di tipo preventivo (autenticazione, firewall, cifratura dati) e controlli di Detection (assessment, intrusion detection).

Come avviene per il riconoscimento dei virus, la rilevazione delle intrusioni basata su host, che controlla ogni modifica al sistema e ai file, deve essere installata su sistemi vergini, altrimenti c sempre la possibilit che il sistema sia gi stato compromesso prima dellinstallazione dellIDS. Gli IDS basati sul comportamento invece osservano le azioni e cercano di identificare gli attacchi tenendo sotto controllo lattivit del sistema o della rete, marcando tutte le attivit che appaiono sospette. Tali attivit possono attivare un allarme, che spesso si rivela un falso allarme. Gli IDS basati sul comportamento possono quindi generare molti falsi allarmi, ma possono anche riuscire ad individuare attacchi di tipo mai rilevato in precedenza. Gli Honeypot (vasetto di miele) sono invece concepiti per attirare su di se gli attacchi. Questi possono essere utilizzati principalmente per due scopi: 1. per distogliere lattenzione degli hacker da una risorsa effettivamente a rischio 2. per intrappolare volontariamente lhacker Qualsiasi sia il tipo di IDS adottato, esistono sempre delle regole generali di cui bisogna tener conto. Per prima cosa un IDS non deve mai essere accessibile n dalla rete pubblica n da altre reti. Inoltre perch un IDS funzioni bene c la necessit di applicare un sensore per ogni segmento della rete per analizzare la maggior quantit di traffico possibile. IDS e Network Security Management Il Network Security Management consiste nella gestione integrata della sicurezza delle reti aziendali di

La componente Prevention comprende tutti i meccanismi di sicurezza utilizzati per mitigare i rischi dei sistemi informativi aziendali prima che essi si trasformino in minacce concrete e dunque le regole e le procedure di sicurezza, lautenticazione, la cifratura, i firewall. Le funzioni nella componente Detection sono fornite dagli IDS, dallaudit code, dagli antivirus etc. A sua volta tale componente si articola in pi fasi: monitoraggio dei segmenti di rete; analisi delle informazioni segnalate dai sistemi di intrusione; risposta alle anomalie segnalate o reporting del problema stesso. I risultati della fase di Detection guidano le altre due fasi del processo complessivo: 1. linvestigazione delle cause dei problemi rilevati; 2. la documentazione delle cause del problema. Si ritiene che in futuro, gli IDS gestiranno in automatico anche queste due fasi.

La combinazione delle fasi di investigazione e diagnosi/risoluzione spesso definita Incident Handling cio gestione degli incidenti o anomalie.

M. Scapellato

RETI E DINTORNI N 18

Pag. 10

INDICE VOLUME I
RETI E DINTORNI N1 (Marzo 2001) Interconnessione di reti locali pag. 3 aut. R. Gaeta Comandi di configurazione pag. 7 aut. R.Gaeta Il livello transport di Internet pag. 9 aut. R. Gaeta Generalit sui comandi per i router Cisco pag. 12 documento trovato da L. Cupini RETI E DINTORNI N2 (Aprile 2001) Firewall pag. 2 aut. R. Gaeta DHCP pag. 5 aut. R. Gaeta Voice Over IP pag. 32 aut. N. Memeo Architettura dei Routers pag. 7 aut. R. Gaeta RETI E DINTORNI N3 (Maggio/Giugno 2001) Ip Security pag. 2 aut. G. Grassi Ip Security su Nortel Network pag. 11 aut. G. Grassi Installazione e configurazione NOKIA IP pag. 16 aut. M. Scapellato Introduzione alla progettazione pag. 24 aut. R. Gaeta RETI E DINTORNI N4 (Luglio/Agosto 2001) Information security pag. Scapellato 2 aut. M. RETI E DINTORNI N7 (Novembre/Dicembre 2001) La sicurezza pag. 4 aut. R. Gaeta Configurazione iniziale dellinterfaccia E1, PRI e BRI su routers Cisco pag. 22 aut. R. Gaeta ATM pag. 25 aut. R. Gaeta RETI E DINTORNI N8 (Gennaio/Febbraio 2002) Fault-tolerance su topologie BMA (Broadcast Multi Access) pag. 4 aut. R. Gaeta Wireless lan pag. 12 aut. R. Gaeta RETI E DINTORNI N 5 (Settembre 2001) Lan virtuali pag. 2 aut. R. Gaeta Internet Addressing pag. 5 aut. R. Gaeta Principi di Routing pag. 10 aut. R.Gaeta Protocolli di Routing pag. 18 aut. R. Gaeta RETI E DINTORNI N6 (Ottobre 2001) ISDN pag. 2 aut. R. Gaeta PPP pag. 27 aut. R. Gaeta Analisi di protocollo di una chiamata ISDN pag. 30 aut. R. Gaeta

Efficienza, errori e pacchetti pag. 9 aut. R. Gaeta

RETI E DINTORNI N 18

Pag. 11

INDICE VOLUME II
RETI E DINTORNI N9 (Marzo/Aprile 2002) Routing Information Protocol pag. 3 aut. G. Grassi MultiLink Trunking over Passport 8000 pag. 5 aut. G. Grassi Affidabilit di rete pag. 7 aut. R. Gaeta Cisco AAA Security Technology pag. 13 aut. M. Scapellato La normativa italiana per la Wireless pag. 17 RETI E DINTORNI N10 (Maggio 2002) DNS (Domain Name System) pag. 4 aut. L. Natale Procedura per il recovery password su cisco 761 M pag. 9 aut. G. Grassi Caricamento IOS su piattaforme cisco pag. 10 aut. D. Trombetta Roam About Wireless Enterasys pag 14 aut. E. Lucidi Concetti di VPN pag. 16 (tratto da networkingitalia) QoS: una faccenda non ancora per tutti pag. 17 (tratto da networkingitalia) Unindirizzo per tutti pag. 20 (tratto da networkingitalia) RETI E DINTORNI N11 (Giugno/Luglio 2002) ODR (On-Demand Routing) pag. 4 aut. R. Gaeta Cenni sullarchitettura protocollare Netware pag. 5 aut. R. Gaeta Esempio di Troubleshotting su rete Netware pag. 12 aut. R. Gaeta Telefonia IP: la parola al laboratorio pag. 19 (tratto da networkworld) RETI E DINTORNI N12 (Agosto/Settembre 2002) Introduzione al NetBEUI/NetBIOS pag. 3 (tratto da networkingitalia) Mezzi trasmissivi, normative strumentazione pag. 7 aut. R. Gaeta e

RETI E DINTORNI N 13 (Ottobre 2002) Multi-Protocol Label Switching pag. 3 aut. R. Gaeta Caratteristiche degli apparati Enterasys pag. 7 aut. R. Gaeta Procedure per la configurazione upgrade e ottimizzazione degli switches 6500 e 3500 pag. 11 aut. L. Natale RETI E DINTORNI N14 (Novembre 2002) Configurazione iniziale del PIX tramite il PDM pag. 3 aut. R. Gaeta Procedure di creazione vlan e vlan di management su apparati Enterasys pag. 10 aut. R. Gaeta Configurazione dellaccess point aironet 350 pag. 17 aut. R. Gaeta cisco

Configurazione della scheda wireless airpcm352 e air-pci352 pag. 24 aut. R. Gaeta

RETI E DINTORNI N 18

Pag. 12

RETI E DINTORNI N15 (Dicembre 2002) Descrizione generale della costruzione di una web-farm a pi livelli protetti pag. 3 aut. M. Guillaume VoIP su routers cisco pag. 7 aut. L. Natale VPN pag. 10 aut. R. Gaeta RETI E DINTORNI N16 (Gennaio 2003) Standard TIA TSB-67 certificazione dei cablaggi pag. 4 aut. R. Gaeta Il lantek pro xl della wavetek pag. 6 aut. R. Gaeta

Time Domain Reflectometry (TDR) pag. 9 aut. R. Gaeta Optical Time Domain Reflectometry (OTDR) pag. 11 aut. R. Gaeta Autonegoziazione (non tutto oro ci che luccica) pag. 17 aut. R. Gaeta Wireless Bridging pag. 19 aut. R. Gaeta Server Farm pag. 26 aut. M. Scapellato RETI E DINTORNI N17 (Febbraio 2003) Failure Distributions pag. 4 aut. R. Gaeta Introduzione allarchitettura Differentiated Services pag. 13 aut. R. Gaeta

INDICE VOLUME III


RETI E DINTORNI N18 (Marzo/Aprile 2003) Link Proof pag. 3 aut. L. Natale Intrusion Detection System pag.6 aut. M. Scapellato