Reti e dintorniMarzo/Aprile 2003 N 18
2
EDITORIALE GUERRA PREVENTIVA Gli Stati Uniti difensori della
democrazia nel mondo, sono sempre stati conviventi, o hanno
favorito, dittature di ogni tipo, a cominciare da Pinochet. Gli
Stati Uniti preoccupati della qualit della vita sul pianeta hanno
perso ogni credibilit con il rifiuto di ratificare gli accordi di
Kyoto. Gli Stati Uniti difensori della giustizia internazionale non
ci sembrano pi credibili da quando si rifiutano, di aderire al
trattato sul tribunale penale internazionale. Gli Stati Uniti
patria dei diritti civili non sono pi credibili da quando hanno
messo in soffitta il rispetto per la privacy a favore di un sistema
di spionaggio interno ed esterno da Grande Fratello. Persino il
volto della loro democrazia ha cominciato a risultarci incrinato,
dopo la risicata elezione di Bush (solo 5000 voti di scarto, con il
dubbio da parte dei Democratici di frode elettorale!). Abbiamo
cominciato a guardare con occhi meno frettolosi al peso dei soldi
nelle loro campagne elettorali. Soldi dati da, compagnie
petrolifere, fabbricanti di tabacco, costruttori di arei e di armi.
Non si tratta di essere filoamericani o antiamericani. No non
questo. Le masse di persone che hanno dimostrato contro la guerra
in tutto il mondo, mettono in discussione proprio la democraticit
dei governi che stanno facendo questa guerra. Bush si autoinvestito
del potere di agire fuori e al di sopra della comunit
internazionale. Il conflitto attuale non fra due (gli schieramenti
che si fronteggiano), ma fra tre (infatti c anche il fantasma del
terrorismo). La guerra (e le guerre future) che gli Stati Uniti
hanno iniziato sono state definite come preventive (in realt sono
pure guerre di aggressione). Comunque preventiva deve essere intesa
come prevenzione da attacchi terroristici. Domanda: la guerra
contro lIraq rientra in questa categoria? ovvio che il terrorismo
un fenomeno trasversale. Pu darsi benissimo che Saddam possegga
armi di distruzione di massa e abbia intenzione di usarle a
sostegno del terrorismo. Perch mai il rovesciamento del regime
iracheno dovrebbe fermare il terrorismo? E non invece dare ad esso
la spinta verso nuove azioni sempre pi devastanti? Lo sanno anche
le pietre che il terrorismo trova il suo alimento nella
disperazione e nellumiliazione dei vinti. La guerra preventiva
dovrebbe impedire ci che di fatto promuove in modo esponenziale. Ma
cerchiamo di vedere le cose da un altro punto di vista. Un certo
M.K. Hubbert, studioso dei flussi petroliferi estratti, trov nel
1956 lequazione matematica che permette di prevedere il momento di
picco di produzione petrolifera di una regione. Hubbert previse che
nel 1969 gli Stati Uniti avrebbero raggiunto il loro massimo di
produzione. E cos stato. Lequazione di Hubbert stata confermata da
quel momento innumerevoli volte. Il problema che tutte le regioni
di produzione hanno raggiunto prima del 2000 il loro massimo di
produzione petrolifera. Attualmente, tutte le regioni petrolifere
sono nella fase calante di produzione. Unica eccezione la regione
del golfo persico, per la quale, lequazione di Hubbert prevede il
picco di produzione intorno al 2010. LEnergy Information
Administration prevede che la domanda globale di petrolio aumenter
del 60% entro il 2020. La quota di mercato dei paesi OPEC nel Medio
Oriente crescer rapidamente. Entro il 2010 la quota toccher
probabilmente il 50%. Il vero motivo delle guerre preventive molto
probabilmente tutto e solo nel petrolio. LAfghanistan permetter di
trasferire, tramite oleodotti, il petrolio delle zone centrali
asiatiche verso i porti delloceano indiano, mentre lIraq uno dei pi
grandi produttori mondiali di petrolio. Cosa dire di pi. Buona
globalizzazione a tutti!
RETI E DINTORNI N 18
Pag. 3
Link ProofRADWARE Lapparato Link Proof Radware un bilanciatore
di traffico che permette di avere pi di una connessione a Internet,
controllando e bilanciando il traffico sia in uscita che in entrata
mediante meccanismi di controllo del link, dellapplicazione che
viene usata, dagli indirizzi IP che transitano. La tipica
installazione che si pu avere quella con un apparato connesso a due
router Internet connesso appena dopo i firewall di protezione della
rete interna. Opzionalmente per motivi di ridondanza si possono
avere due apparati di cui uno rimane in standby. La figura seguente
mostra una tipica installazione.Access Router
Il metodo pi facile per la configurazione dellapparato tramite
Configware che si pu scaricare gratuitamente dal sito
www.radware.com. Requisiti del Configware: - PC 200MHz - 30Mb Disk
Space - 32Mb ram - Java Plugin Il Link Proof appena acceso presenta
la seguente schermata di Setup.
Lan
Link Proof
ISP1
ISP2
Caratteristiche dellapparato Application switch I : - Link Proof
con 8 porte 10/100 e 2 porte Gigabit - CPU Motorola Power PC 750 -
8MB Flash 64MB SDRAM espandibile a 128MB - 32Kb Nvram - Backplane
9,6 Gb - Porta seriale 19200 Application switch II : - Link Proof
con 16 10/100 e 5 porte Gigabit - CPU Motorola Power PC 7410 - 8MB
Flash 64MB SDRAM espandibile a 256MB - 32Kb Nvram - Backplane 19,6
Gb - Porta seriale 19200
I parametri importanti da inserire sono : 1. Indirizzo IP di
management 2. Subnet mask 3. Port ( porta di assegnazione
dellindirizzo IP) Esempio : 1 per la porta FastEthernet 1 o 10002
per la Vlan 10002. 4. Accesso Web e Telnet Le altre opzioni possono
essere lasciate di default. Il software image risiede nella flash e
non e visibile con comandi di show , visibile soltanto la versione.
Per fare un upgrade del software image si pu farlo con un menu di
configurazione nel configware. (Laggiornamento mediante il
ConfigWare si pu fare solo tra Major Release es. 3.51 3.53 e non
3.533.61). Per aggiornare il firmware ad una major release occorre
fare laggiornamento da seriale. Per cancellare totalmente il
contenuto della flash e riscrivere il file image occorre: - Premere
qualsiasi tasto prima di tre secondi quando iniziata la procedura
di avvio del software. - Non compare nessun prompt nel terminale ,
digitare ? per il menu di boot e dovrebbe comparire la seguente
schermata:
-
Accesso alla Configurazione Console (19200,N,8,1) Telnet Web
Configware (Applicazione proprietaria)
RETI E DINTORNI N 18
Pag. 4
Il comando per cancellare la flash j e non compare perch
nascosto. Una volta cancellata la flash scaricare il nuovo software
con modem, comando w, mediante Hyperterminal. Allavvio della
macchina il software richiede una password che deve essere presa
precedentemente dal sito Radware. Per generare la password nel sito
radware occorre inserire il mac-address dellapparato su cui si
intende fare laggiornamento. Una volta inserita la password e
riavviato, lapparato non presenta alcun prompt dal terminale per le
versioni precedenti alla 3.61. Dalla versione 3.61 compare il
prompt Linkproof> simile ai comandi Ios. Per accedere digitate
login: La password di default radware in alternativa provate lp.
Per inserire lindirizzo IP digitare inf create ip-address netmask n
porta ( dove n il numero dellinterfaccia su cui vi dovete
connettere). A questo punto potete collegarvi allapparato via Lan
(con Configware, Telnet, Web) attraverso la porta che avete
configurato. La schermata di collegamento al Link Proof
rappresentata in figura.
algoritmo proprietario di Windows NT (elabora alcuni parametri
che i server NT passano su Mib Snmp es. numero di sessioni attive
sul server in ingresso e in uscita, numero di utenti collegati al
server, tempo di risposta del server. Normalmente si lascia
limpostazione di default ciclica ,e poi, dopo linstallazioni si
inizia a fare dei tuning per lottimizzazione del traffico. Il
traffico in ingresso verso un Web server interno viene bilanciato
sui link configurando la funzionalit di DNS sul Link Proof.
Supponiamo di avere un server Web (www.tecnonetspa.it) sulla nostra
Lan e di renderlo accessibile su tutte e due i link Internet; il
server deve essere nattato con due indirizzi pubblici dei due
differenti provider, il Link Proof deve essere configurato a
risolvere il nome www.tecnonetspa.it nella configurazione del DNS.
Nel DNS autoritativo della zona tecnonetspa.it si dovr configurare
un nameserver che corrisponde a lindirizzo IP pubblico del
LinkProof. In questo modo un client su Internet che apre una
connessione a www.tecnonetspa.it fa la sua richiesta al suo DNS ,
la quale cerca su altri DNS la zona tecnonespa.it. Il DNS che
contiene quellinformazione redirige la richiesta al nameserver
configurato (LinkProof) la quale intercetta la richiesta e
restituisce al mittente in modalit ciclica prima uno e poi laltro
indirizzo IP nattato eseguento di fatto il bilanciamento. (Per
delucidazione in merito al funzionamento del DNS si veda Reti e
dintorni n.10).
-
Non esiste la vlan 1 di default come negli switch, esistono due
vlan che non sono associate a nessuna porta. Le Vlan sono: - other
Vlan include tutti i protocolli trasportati su quella Vlan - Ip
Vlan include il protocollo Ip Possono essere create due tipi di
Vlan : Vlan Type - Regular : significa che i pacchetti che
transitano su questa Vlan vengono trattati fino a livello 7 per
lapplicazione dei criteri di load balancing e monitorino - Switch:
significa che i pacchetti che transitano su questa Vlan sono
trattati solo a livello Mac (come negli switch). Protocol: - IP :
Vlan per Protocollo IP - Switch: Vlan per altri protocolli Criterio
di funzionamento. Per default il traffico viene bilanciato per
sessione in modalit ciclica (prima su un router poi su laltro)
mantenendo per 60 secondi le informazioni nella cache. Questa
modalit pu essere variata e scelta in funzione del carico del Link.
Ci sono altri algoritmi di bilanciamento che possono essere settati
: - numero sessioni presenti su un link - quantit di traffico
presente su un link (Kbyte)
Per il traffico in uscita si possono configurare diversi
parametri per lutilizzo dei Link. - Source grouping Address : gli
indirizzi IP sorgenti useranno il Link prescelto - Destination
grouping address: gli indirizzi IP destinatari useranno il Link
prescelto - Application grouping: le applicazioni scelte useranno
il link prescelto Esiste poi un algoritmo chiamato Proximity che
determina tre parametri e su cui si determinare quale provider
scegliere per una certa connessione. Questo algoritmo assegna un
valore assoluto ( da 1 a 100) al link in base al numero di hop , al
ritardo sulla trasmissione, e al numero di sessioni attive. Il link
con il risultato assoluto migliore viene scelto per quella
connessione. Questo algoritmo valido anche per il bilanciamento del
traffico in ingresso. Il proximity prende il sopravvento sulla
modalit di bilanciamento ciclica.
RETI E DINTORNI N 18
Pag. 5
Per la verifica della connettivit di entrambe i Service Provider
esiste la funzionalit Health Monitoring Questa funzionalit permette
di monitorare costantemente i link su Internet e di stabilire se
sono attivi o meno. La verifica pu essere fatta mediante richieste
icmp ad unindirizzo specifico a o semplicemente sullinterfaccia del
router. Pu anche essere configurato il monitoraggio di una
specifica applicazione (es. FTP,www) con verifiche di connessione
Tcp al server interessato. Se un applicativo server da un link non
pi raggiungibile il link stesso viene posto fuori servizio. Sono
presenti anche alcune funzionalit di sicurezza che possono essere
usate sul Link Proof nel menu Application Security. I meccanismi di
security sono di controllo sullapplicazione Web mediante
configurazione base di filtri che controllano la stringa Url o un
qualsiasi contenuto nellheader http. Laltro meccanismo di sicurezza
il controllo e il blocco di eventuali attacchi di tipo DoS. In
Entrambi i casi si pu decidere di monitorare o bloccare il traffico
posto sotto controllo. Questa funzionalit disponibile soltanto con
la licenza Synapps. Sono disponibili anche funzionalit di bandwidth
management per la prioritizzazione del traffico. La priorit pu
essere definit per Tos , DiffServ (DSCP). Lapparato crea delle
policy e assegna una certa banda in base alla marcatura dei
pacchetti. Questa funzionalit disponibile soltanto con la licenza
Synapps. Configurazione dei principali parametri sullapparato. (Gli
altri parametri possono rimanere di default) Menu Router IP Router
: configurazione delle interfacce IP per lassegnazione degli
indirizzamenti pubblici e privati Routing Table :configurazione
delle default route verso i router Internet Menu LinkProof global
configuration - Ablitazione del Nat , abilitazione generale del
Link Proof, abilitazione del tipo di Healt Monitoring Next Hop
router table Next Hop Router : uno dei router di uscita verso
Internet o ISP NHR address : Ip address del router di uscita Admin
Status: Enabled : router o ISP operativo Disabled: router o ISP non
operativo Shutdown: non sono accettate nuove sessioni , quelle in
corso rimagono attive fino alla loro chiusura. Priorit: priorit del
router di uscita ( da 1 a 100) il valore pi
alto indica che il router riceve il doppio del traffico sul
bilanciamento Kbps limit: limita il totale del traffico in kbps NHR
proximity Check: abilitare per permettere il monitoraggio del
router Internet SmartNat : configurazione del Nat statico o
dinamico. From local IP/To Local IP : range indirizzi IP Lan
Interna Router IP : indirizzo di uno dei due router Internet
Dynamic NAT : indirizzo IP NAT DNS configuration : configurazione
dei server web,mail nella Lan interna Dynamic Hos Name : URL
defitito Local IP Address : Indirizzo Web Server
Menu Health Monitoring Check Table metod: selezionare il
monitoraggio con ping o con lapplicazione destination IP :
indirizzo da monitorare Binding Table NHR: assiociazione con il
router Internet Menu Redundancy Sul router Active : global
configuration : enabled Sul router Standby : globlal configuration
: enabled Interface grouping : enabled IP Redundancy Table Inserire
per ogni interfaccia lindirizzo IP del router active Interface IP :
Indirizzo IP locale Main Router address: Indirizzo IP del router da
monitorare
L. Natale
RETI E DINTORNI N 18
Pag. 6
Intrusion Detection SystemUn Intrusion Detection System un
insieme di strumenti che servono ad individuare e a segnalare
attacchi, intrusioni e violazioni delle politiche. Gli IDS si
basano su un concetto relativamente semplice: verificare ed
analizzare le attivit in corso al fine di individuare segnali
allarmanti, cio potenziali indizi di un tentativo non autorizzato
di accesso o manipolazione delle informazioni oppure un tentativo
di rendere un sistema non utilizzabile. Storicamente tali sistemi
risalgono agli audit effettuati sui sistemi mainframe ove
risiedevano i programmi contabili delle multinazionali, banche ed
assicurazioni: gli utenti abilitati ad operare con le transazioni
pi critiche venivano continuamente monitorati attraverso file di
log al fine di impedire utilizzi non leciti od errati. Lelemento di
novit degli Intrusion Detection Systems che tali attivit di
monitoring e logging vengono svolte in maniera automatica, da una
sorta di agente elettronico autonomo che lavora in background
rispetto al sistema operativo.
LIDS capace di analizzare tutti i dati disponibili riuscendo cos
a rilevare quando un sistema o una rete vengono usati in modo
fraudolento. Al contrario dei firewall, lIDS pu essere paragonato
ad una rete antifurto capace di avvertire quando qualcuno riuscito
a penetrare, dove si trova e cosa sta facendo. I firewall infatti
operano solo nel punto di ingresso della rete e trattano solo i
pacchetti che passano attraverso la rete. Quando un attaccante
riesce a superare il firewall, pu effettuare incursioni a suo
piacere nella rete. Ed proprio in questo momento che entra in gioco
la rilevazione delle intrusioni. Generalmente si opera una
suddivisione degli Intrusion Detection Systems in due famiglie: la
prima svolge principalmente opera di auditing, effettuando continue
chiamate agli host collegati; la seconda, invece, opera in
autonomia, osservando direttamente il traffico sulle reti e
passivamente operando il filtraggio dei pacchetti. Lopera di molti
IDS del tipo automatic network attack recognition and response
system, in pratica gli IDS vengono installati e fatti lavorare
sulla totalit della rete o su una parte di questa, ove sussista
lesigenza di preservare le informazioni critiche. Il riconoscimento
degli attacchi viene generalmente effettuato, un po come accade per
gli antivirus, a mezzo di un controllo di firma. In pratica il
sistema ha
un database degli attacchi che funge da termine di paragone con
il traffico analizzato. I passi compiuti da un IDS sono tre: 1.
analizzano in tempo reale una serie di eventi 2. analizzano gli
eventi in base a specifici parametri attacco conosciuto evento non
permesso evento anomalo 3. segnalano le anomalie in base alle
configurazioni Quando viene riconosciuto un attacco, lIntrusion
Detection System pu finalmente fermare il flusso di dati, impedendo
che lattacco provochi dei danni alla rete. Un buon sistema di
rilevazione delle intrusioni dovrebbe inoltre consentire la
registrazione della data, della fonte e del bersaglio dellattacco,
del tipo dellattacco stesso, nonch la registrazione dellattivit
intrapresa. Relativamente alla fonte dellattacco, lIDS deve
implementare funzioni anti spoofing e features collegate. Questo si
rivela di grande importanza soprattutto per la prevenzione degli
attacchi DoS (Denial of Service). Il principio essenziale di
funzionamento degli IDS si basa sulla tempestivit di intervento. In
pratica, una volta scoperto il tentativo di intrusione, il sistema
deve avvertire il responsabile della sicurezza aziendale, il quale
deve poter prendere, anche da remoto, le decisioni del caso. A tal
fine molti IDS possono essere programmati per agire in maniera
automatica in caso di intrusioni. possibile che lo stesso sistema
possa avvisare circa un attacco in corso, per esempio con un
messaggio SMS o un avviso sul cercapersone dellamministratore della
sicurezza. In ordine alla potenza di calcolo richiesta,
riscontrabile in termini di rallentamento delle prestazioni di
tutta la rete, un Intrusion Detection System deve poter consentire
la massima rapidit di scansione, quindi la minima domanda in
termini di latenza. Gli IDS tuttavia non sono sempre affidabili al
100%, capita infatti che le tipologie di attacco riconosciute sono
spesso limitate agli attacchi gi noti e che questi sistemi non
siano in grado di rilevare nuovi tipi di attacco, questo implica un
continuo aggiornamento del database degli attacchi noti. Capita
spesso inoltre che questi sistemi creino falsi allarmi per
rilevazione di attacchi mai avvenuti. Gli Intrusion Detection
Systems possono essere suddivisi in tre grandi categorie: 1. Host
Intrusion Detection Systems 2. Network Intrusion Detection Systems
3. Distributed Intrusion Detection Systems Host Intrusion Detection
Systems Questi tipi di IDS sono basati sugli host e sono capaci di
riconoscere una serie di attivit interne al sistema. Lagente viene
installato su una configurazione host iniziale e registra gli
attributi di alcuni importanti file di sistema. Periodicamente
confronta lo stato attuale di
RETI E DINTORNI N 18
Pag. 7
tali file con quello originale evidenziando ogni mutamento
sospetto. Un altro approccio basato su host controlla tutti i
pacchetti che entrano e escono dallhost, ed quindi un approccio di
tipo firewall personale, il passaggio di un pacchetto sospetto
attiva un allarme.
sistema permettono una visione dinsieme delle attivit di reti e
sistemi segnalando le anomalie secondo le configurazioni.
Classificazione dei sistemi di Intrusion Detection Da un punto
di vista concettuale, una intrusione informatica un insieme di
azioni che tentano di compromettere lintegrit, la confidenzialit e
la disponibilit di una risorsa elaborativa. Gli IDS ricercano
segnali di intrusioni di due tipi: 1. anomalie (anomaly
intrusions), che si basano sullosservazione di deviazioni rispetto
un normale modello di comportamento dellutente (system usage
patterns) e sono intercettabili costruendo un profilo del sistema e
individuandone tutte le deviazioni nel tempo. In pratica si assume
che tutte le attivit intrusive sono necessariamente anomale, questo
significa che dopo aver stabilito un profilo per ogni sistema
definito normale tutti gli stati che differiscono dal profilo
stabilito sono considerati dei possibili tentativi di intrusione.
Comunque se consideriamo che linsieme di attivit intrusive
interseca solo linsieme di attivit anomale invece di essere
esattamente lo stesso, abbiamo due possibilit: le attivit anomale
che non sono intrusive sono segnalate come intrusive le attivit
intrusive che non sono anomale risultano nei falsi negativi
Gli IDS basati su host presentano alcuni svantaggi come la
necessit di acquistare licenze multiple (una per ogni host).
Inoltre questi tipi di IDS hanno una visione ristretta in quanto
controllano solo quellhost e utilizza risorse come CPU e
memoria.
Network Intrusion Detection System Sono basati sullanalisi del
traffico in transito e sono capaci di riconoscere una serie di
attivit sulla rete. In pratica i sistemi IDS in rete esaminano
tutti i pacchetti in transito su un segmento di rete, marcando
quelli che appaiono sospetti. Un IDS di rete va alla ricerca di
indizi, cio di aspetti che potrebbero far sospettare di
unintrusione. Le firme possono essere basate sui contenuti dei
pacchetti e sono verificate confrontando ogni bit con certe
sequenze note di attacco. Sono particolarmente utili contro
attacchi di IP spoofing e di attacchi di smurf .
Altri attacchi in rete sono basati sul protocollo, questi
attacchi possono essere riconosciuti tenendo sotto controllo i
tentativi di collegarsi a porte di rete associate ai servizi pi
vulnerabili. Lo svantaggio principale di questi tipi di IDS
lincapacit di analizzare il traffico cifrato (SSL, IPSec ecc.).
Inoltre gli IDS basati su rete non riescono a superare i limiti di
analisi del traffico pi comuni: reti segmentate bandwitdh pacchetti
frammentati limiti dello stack TCP/IP protocolli non riconosciuti
Distributed Intrusion Detection System Sono utilizzati per
integrare tutte le attivit di Intrusion Detection di una rete,
questo tipo di IDS aggregano e analizzano i dati di vari sensori:
NIDS, HIDS, log di
Le intrusioni anomale sono pi difficili da intercettare. 2.
abusi ed errori (misuse intrusions), che sono rivelatori di
attacchi precisi a punti di debolezza noti nel sistema e che
possono essere intercettati mediante il monitoraggio di particolari
azioni su certe componenti del sistema informativo. Il concetto che
sta dietro a questo tipo di segnale di intrusione che ci sono modi
per rappresentare gli attacchi sotto forma di signature cos che
varianti del medesimo attacco possono essere individuate. La
difficolt principale in questa tipologia quella di scrivere
correttamente tutti i possibili comportamenti pericolosi senza
andare ad impattare su attivit non intrusive.
RETI E DINTORNI N 18
Pag. 8
Un punto interessante da notare che mentre un sistema di anomaly
detection prova a individuare il complemento di un comportamento,
un sistema di misure detection prova a riconoscere dei
comportamenti conosciuti. Anomaly Detection System Ci sono stati
parecchi approcci ai sistemi Anomaly Detection 1. Approccio
statistico: con questo metodo vengono inizialmente generati dei
profili di comportamento, il sistema, sempre in ascolto, genera di
continuo variazioni dal profilo iniziale. Ci sono parecchie
misurazioni che possono comportare una variazione del profilo:
tempo di CPU, numero di connessioni ecc. Il principale svantaggio
di questo approccio che questi sistemi imparano in modo adattativo
il comportamento degli utenti e quindi lhacker potrebbe perpetrare
un attacco in maniera graduale in modo da far passare, come
normale, levento intrusivo. Possono essere generati dei falsi
negativi o falsi positivi a seconda se la soglia di variazione
troppo bassa o troppo alta. Inoltre non esiste un insieme di tutte
le possibili misurazioni che possono predire delle attivit
intrusive, dovrebbe essere utilizzato una combinazione di
misurazioni statiche e dinamiche. 2. Predizione tramite modelli:
questo metodo di intrusion detection prova a predire i futuri
eventi basandosi su quelli che gi sono successi. Una regola
potrebbe essere:
3.
segnandoli come non-intrusioni, incrementando la probabilit dei
falsi negativi. Ci sono parecchi vantaggi nellutilizzare questo
metodo: i modelli basati sulle regole sequenziali possono
determinare attivit anomale che sono difficili da individuare con i
metodi tradizionali i sistemi basati su questi modelli sono
altamente adattabili ai cambiamenti, i modelli poco qualitativi
vengono eliminati mentre vengono mantenuti quelli di alta qualit le
attivit anomale possono essere individuate e riportate molto
velocemente. Reti neurali: lidea quella di insegnare al sistema a
predire le azioni successive dellutente conoscendo una sequenza di
n eventi precedenti. Dopo il periodo di apprendimento, il sistema
prova a confrontare lattuale azione con quella presente nel profilo
utente, qualunque azione che differisce dallazione prevista viene
segnalata come unintrusione. Il vantaggio principale di questo
sistema che molto flessibile, infatti risulta semplice fare
modifiche per nuove comunit di utenti. Comunque ci sono dei
problemi, utilizzando una sequenza di eventi troppo piccola c la
possibilit che si verifichino dei falsi positivi mentre una
sequenza troppo grande incrementa la possibilit di falsi negativi;
inoltre un attaccante potrebbe attaccare durante la fase di
apprendimento e far risultare lecite attivit che invece non lo
sono. Misure Detection System
Questo significa che dopo che sono avvenuti gli eventi E1 e E2,
con E2 successivo ad E1, la probabilit che levento seguente sia E3
80%, 15% la probabilit che avvenga levento E4 e 5% la probabilit
che avvenga levento E5. Il problema di questo metodo che se qualche
scenario di attacco non descritto dalle regole questo non verr
segnalato come intrusivo. Se una sequenza di eventi non nel
database delle regole verr segnato come sconosciuto, il problema pu
essere risolto segnando come intrusioni tutti gli eventi
sconosciuti, incrementando la probabilit dei falsi positivi, oppure
non
Ci sono state parecchie ricerche per i sistemi Misuse Detection
1. Sistemi esperti: che si basano su Knowledge Base. 2.
Monitoraggio di parole chiave: questa tecnica utilizza parole
chiave per i modelli di attacco, sfortunatamente ha parecchi
difetti, infatti fallisce in caso di comandi mascherati con altri
nomi, inoltre non possono essere analizzati i programmi running.
Nessun sistema operativo offre un supporto per la cattura di parole
chiave cos lunico metodo quello di mettersi in ascolto su quello
che viene inviato e ricevuto. Un problema fondamentale per lattuale
tecnologia di IDS quella dei falsi allarmi o degli allarmi mancati.
Tecnicamente si parla di falsi negativi per indicare un attacco
reale che non stato intercettato e di falsi positivi per indicare
un allarme ingiustificato. Entrambi sono punti di debolezza per un
sistema di intrusion detection: i falsi negativi in quanto
implicano un fallimento nella strategia di ricerca dei segnali
di
RETI E DINTORNI N 18
Pag. 9
intrusione, i falsi positivi perch, oltre a far perdere tempo
allamministratore di sistema, rafforzano la sindrome per cui quando
poi si presenta un allarme reale questo viene sottovalutato. Gli
Intrusion Detection Systems possono essere anche suddivisi in altre
tre categorie 1. IDS basati sulla conoscenza 2. IDS basati sul
comportamento 3. Honeypot La maggior parte degli IDS che si trovano
in commercio sono quelli basati sulla conoscenza. Questi mettono a
confronto le firme degli attacchi noti con i mutamenti intervenuti
nei sistemi o nei flussi di pacchetti sulla rete. Si tratta di
sistemi affidabili e che generano raramente dei falsi positivi, ma
il loro limite risiede nel fatto che possono rilevare gli intrusi
solamente se adottano sistemi di attacco gi noti. Sono quindi
spesso impotenti di fronte ad attacchi mai verificatisi e devono
essere aggiornati continuamente.
telecomunicazioni dal punto di vista delle politiche, procedure
e prassi operative. La figura illustra la cosiddetta Security
Hierachy: strumenti quali gli IDS ed in generale i tools di
security assessment appartengono al layer 5 Auditing, Monitoring e
Investigating che a sua volta presuppone una serie di livelli
precedenti. Tale gerarchia va vista in un ottica di continuous risk
management che prevede la presenza di controlli di tipo preventivo
(autenticazione, firewall, cifratura dati) e controlli di Detection
(assessment, intrusion detection).
Come avviene per il riconoscimento dei virus, la rilevazione
delle intrusioni basata su host, che controlla ogni modifica al
sistema e ai file, deve essere installata su sistemi vergini,
altrimenti c sempre la possibilit che il sistema sia gi stato
compromesso prima dellinstallazione dellIDS. Gli IDS basati sul
comportamento invece osservano le azioni e cercano di identificare
gli attacchi tenendo sotto controllo lattivit del sistema o della
rete, marcando tutte le attivit che appaiono sospette. Tali attivit
possono attivare un allarme, che spesso si rivela un falso allarme.
Gli IDS basati sul comportamento possono quindi generare molti
falsi allarmi, ma possono anche riuscire ad individuare attacchi di
tipo mai rilevato in precedenza. Gli Honeypot (vasetto di miele)
sono invece concepiti per attirare su di se gli attacchi. Questi
possono essere utilizzati principalmente per due scopi: 1. per
distogliere lattenzione degli hacker da una risorsa effettivamente
a rischio 2. per intrappolare volontariamente lhacker Qualsiasi sia
il tipo di IDS adottato, esistono sempre delle regole generali di
cui bisogna tener conto. Per prima cosa un IDS non deve mai essere
accessibile n dalla rete pubblica n da altre reti. Inoltre perch un
IDS funzioni bene c la necessit di applicare un sensore per ogni
segmento della rete per analizzare la maggior quantit di traffico
possibile. IDS e Network Security Management Il Network Security
Management consiste nella gestione integrata della sicurezza delle
reti aziendali di
La componente Prevention comprende tutti i meccanismi di
sicurezza utilizzati per mitigare i rischi dei sistemi informativi
aziendali prima che essi si trasformino in minacce concrete e
dunque le regole e le procedure di sicurezza, lautenticazione, la
cifratura, i firewall. Le funzioni nella componente Detection sono
fornite dagli IDS, dallaudit code, dagli antivirus etc. A sua volta
tale componente si articola in pi fasi: monitoraggio dei segmenti
di rete; analisi delle informazioni segnalate dai sistemi di
intrusione; risposta alle anomalie segnalate o reporting del
problema stesso. I risultati della fase di Detection guidano le
altre due fasi del processo complessivo: 1. linvestigazione delle
cause dei problemi rilevati; 2. la documentazione delle cause del
problema. Si ritiene che in futuro, gli IDS gestiranno in
automatico anche queste due fasi.
La combinazione delle fasi di investigazione e
diagnosi/risoluzione spesso definita Incident Handling cio gestione
degli incidenti o anomalie.
M. Scapellato
RETI E DINTORNI N 18
Pag. 10
INDICE VOLUME IRETI E DINTORNI N1 (Marzo 2001) Interconnessione
di reti locali pag. 3 aut. R. Gaeta Comandi di configurazione pag.
7 aut. R.Gaeta Il livello transport di Internet pag. 9 aut. R.
Gaeta Generalit sui comandi per i router Cisco pag. 12 documento
trovato da L. Cupini RETI E DINTORNI N2 (Aprile 2001) Firewall pag.
2 aut. R. Gaeta DHCP pag. 5 aut. R. Gaeta Voice Over IP pag. 32
aut. N. Memeo Architettura dei Routers pag. 7 aut. R. Gaeta RETI E
DINTORNI N3 (Maggio/Giugno 2001) Ip Security pag. 2 aut. G. Grassi
Ip Security su Nortel Network pag. 11 aut. G. Grassi Installazione
e configurazione NOKIA IP pag. 16 aut. M. Scapellato Introduzione
alla progettazione pag. 24 aut. R. Gaeta RETI E DINTORNI N4
(Luglio/Agosto 2001) Information security pag. Scapellato 2 aut. M.
RETI E DINTORNI N7 (Novembre/Dicembre 2001) La sicurezza pag. 4
aut. R. Gaeta Configurazione iniziale dellinterfaccia E1, PRI e BRI
su routers Cisco pag. 22 aut. R. Gaeta ATM pag. 25 aut. R. Gaeta
RETI E DINTORNI N8 (Gennaio/Febbraio 2002) Fault-tolerance su
topologie BMA (Broadcast Multi Access) pag. 4 aut. R. Gaeta
Wireless lan pag. 12 aut. R. Gaeta RETI E DINTORNI N 5 (Settembre
2001) Lan virtuali pag. 2 aut. R. Gaeta Internet Addressing pag. 5
aut. R. Gaeta Principi di Routing pag. 10 aut. R.Gaeta Protocolli
di Routing pag. 18 aut. R. Gaeta RETI E DINTORNI N6 (Ottobre 2001)
ISDN pag. 2 aut. R. Gaeta PPP pag. 27 aut. R. Gaeta Analisi di
protocollo di una chiamata ISDN pag. 30 aut. R. Gaeta
Efficienza, errori e pacchetti pag. 9 aut. R. Gaeta
RETI E DINTORNI N 18
Pag. 11
INDICE VOLUME IIRETI E DINTORNI N9 (Marzo/Aprile 2002) Routing
Information Protocol pag. 3 aut. G. Grassi MultiLink Trunking over
Passport 8000 pag. 5 aut. G. Grassi Affidabilit di rete pag. 7 aut.
R. Gaeta Cisco AAA Security Technology pag. 13 aut. M. Scapellato
La normativa italiana per la Wireless pag. 17 RETI E DINTORNI N10
(Maggio 2002) DNS (Domain Name System) pag. 4 aut. L. Natale
Procedura per il recovery password su cisco 761 M pag. 9 aut. G.
Grassi Caricamento IOS su piattaforme cisco pag. 10 aut. D.
Trombetta Roam About Wireless Enterasys pag 14 aut. E. Lucidi
Concetti di VPN pag. 16 (tratto da networkingitalia) QoS: una
faccenda non ancora per tutti pag. 17 (tratto da networkingitalia)
Unindirizzo per tutti pag. 20 (tratto da networkingitalia) RETI E
DINTORNI N11 (Giugno/Luglio 2002) ODR (On-Demand Routing) pag. 4
aut. R. Gaeta Cenni sullarchitettura protocollare Netware pag. 5
aut. R. Gaeta Esempio di Troubleshotting su rete Netware pag. 12
aut. R. Gaeta Telefonia IP: la parola al laboratorio pag. 19
(tratto da networkworld) RETI E DINTORNI N12 (Agosto/Settembre
2002) Introduzione al NetBEUI/NetBIOS pag. 3 (tratto da
networkingitalia) Mezzi trasmissivi, normative strumentazione pag.
7 aut. R. Gaeta e
RETI E DINTORNI N 13 (Ottobre 2002) Multi-Protocol Label
Switching pag. 3 aut. R. Gaeta Caratteristiche degli apparati
Enterasys pag. 7 aut. R. Gaeta Procedure per la configurazione
upgrade e ottimizzazione degli switches 6500 e 3500 pag. 11 aut. L.
Natale RETI E DINTORNI N14 (Novembre 2002) Configurazione iniziale
del PIX tramite il PDM pag. 3 aut. R. Gaeta Procedure di creazione
vlan e vlan di management su apparati Enterasys pag. 10 aut. R.
Gaeta Configurazione dellaccess point aironet 350 pag. 17 aut. R.
Gaeta cisco
Configurazione della scheda wireless airpcm352 e air-pci352 pag.
24 aut. R. Gaeta
RETI E DINTORNI N 18
Pag. 12
RETI E DINTORNI N15 (Dicembre 2002) Descrizione generale della
costruzione di una web-farm a pi livelli protetti pag. 3 aut. M.
Guillaume VoIP su routers cisco pag. 7 aut. L. Natale VPN pag. 10
aut. R. Gaeta RETI E DINTORNI N16 (Gennaio 2003) Standard TIA
TSB-67 certificazione dei cablaggi pag. 4 aut. R. Gaeta Il lantek
pro xl della wavetek pag. 6 aut. R. Gaeta
Time Domain Reflectometry (TDR) pag. 9 aut. R. Gaeta Optical
Time Domain Reflectometry (OTDR) pag. 11 aut. R. Gaeta
Autonegoziazione (non tutto oro ci che luccica) pag. 17 aut. R.
Gaeta Wireless Bridging pag. 19 aut. R. Gaeta Server Farm pag. 26
aut. M. Scapellato RETI E DINTORNI N17 (Febbraio 2003) Failure
Distributions pag. 4 aut. R. Gaeta Introduzione allarchitettura
Differentiated Services pag. 13 aut. R. Gaeta
INDICE VOLUME IIIRETI E DINTORNI N18 (Marzo/Aprile 2003) Link
Proof pag. 3 aut. L. Natale Intrusion Detection System pag.6 aut.
M. Scapellato
