IDS, rilevamento ed analisi degli attacchi


Ho avuto il permesso di rendere pubblica la tesi di Alberto Fontanella, in cui viene configurato un sistema IDS (Intrusion Detection System), nello specifico SNORT, per rilevare gli attacchi portati contro di esso. In breve un sistema IDS, meglio noto come sensore, è un dispositivo software/hardware che ha come scopo quello di rilevare potenziali minacce provenienti dalla rete esterna, come attacchi automatici (virus/worm/cavalli di troia, che dal computer della vittima attaccano un altro sistema bersaglio in modo automatico) o attacchi da parte di cracker che vogliono penetrare all’interno del sistema protetto dal sensore IDS. Sotto è possibile vedere il posizionamento di un sensore all’interno di una rete, ed in grado di osservare tutto il traffico che dall’esterno (WWW), e passando attraverso il firewall, è diretto alla rete interna.

Esiste anche una variante di questi sensori, che sono quelli definiti IPS (Intrusion Prevention System). Per approfondimenti cercate sul web dove potete trovare decine e decine di siti e spiegazioni. Molte volte mi è capitato di sentire dibattiti sull’utilità/inutilità di sensori IDS/IPS, e ogni volta non ci sono mai vincitori: chi afferma che questi sensori sono veramente utili e in grado di proteggere in modo efficace una rete interna, e chi invece che sono totalmente inutili perché richiedono troppo tento per essere configurati al meglio e non portano grandi benefici. Con questa tesi viene dimostrato come un sensore adeguatamente configurato possa rilevare e dunque proteggere fortemente una rete. Dall’introduzione della tesi:

L’obbiettivo di tale pubblicazione è finalizzato allo studio degli attacchi portati a sistemi informatici ed al rilevamento ed all’analisi delle intrusioni. Per attacchi intendiamo sia attacchi automatizzati, eseguiti senza l’intervento dell’attaccante da codice malevolo come trojan, worm ecc. che attacchi lanciati da un attaccante contro un sistema target. Tale documento si propone di fornire una visione della quantità di attacchi a cui un sistema pubblico collegato alla rete Internet è soggetto e di mettere sotto la giusta ottica l’importanza della sicurezza informatica soprattuto in campo aziendale, governativo e militare.

La tesi inizia con la creazione di una macchina virtuale contenente Linux Ubuntu, che fungerà da sensore IDS, e alla sua messa in sicurezza (hardening del sistema per ridurne la superficie di attacco). Quindi vengono effettuati alcuni penetration test (scansione porte con Nmap e SQL Injection) per verificare la reazione del sensore. Nei capitoli successivi la tesi studia gli honeypot, ovvero quei sistemi che fungono da esca per gli attacchi, in modo che il sistema possa ottenere quante più informazioni possibili sull’attaccante. Un sistema esca simula certi servizi di rete, contenenti vulnerabilità note e utilizzabili per potenziali attacchi, e cerca così di attirare un attaccante. I vari capitoli sono tutti ben fatti, e ogni azione eseguita è spiegata dettagliatamente e spesso con illustrazioni. In definitiva quello che la tesi vuole dimostrare è la grande quantità di attacchi informatici che un sistema collegato alla rete Internet subisce ogni giorno, centinaia di volte al giorno. Ringrazio Alberto che mi ha dato la possibilità di mettere a disposizione la tesi per il download. Vi consiglio di leggerla perché è davvero “istruttiva” :-D! Eccola:

Tesi-IDS

roghan

“Non c’è intervento straordinario che possa sopperire alla mancanza di interventi ordinari. Nella società, nell’urbe, come nel corpo, la prevenzione è di primaria importanza.” (Michele Palermo)

Annunci

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...