Download - Intrusion prevention system tecniche di evasione avanzatetest di una soluzione commerciale
![Page 1: Intrusion prevention system tecniche di evasione avanzatetest di una soluzione commerciale](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558ec8ec1a28ab3e308b45a4/html5/thumbnails/1.jpg)
INTRUSION PREVENTION SYSTEM
TECNICHE DI EVASIONE AVANZATE
TEST DI UNA SOLUZIONE COMMERCIALE
Relatore Candidato
Prof. Marco CREMONINI Andrea GUIDO
Matr. 758616
Anno Accademico 2012/2013
![Page 2: Intrusion prevention system tecniche di evasione avanzatetest di una soluzione commerciale](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558ec8ec1a28ab3e308b45a4/html5/thumbnails/2.jpg)
SICUREZZA PERIMETRALE
• Dall’ ‘86 al 2008 10 milioni di malware anno dopo raddoppio• Questo è solo una parte del problema• Strumenti di sicurezza perimetrale• Limiti del firewall
• IDS• IDPS
![Page 3: Intrusion prevention system tecniche di evasione avanzatetest di una soluzione commerciale](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558ec8ec1a28ab3e308b45a4/html5/thumbnails/3.jpg)
EVASION TECNIQUES
• Evasioni• Ptacek & NewSham
• Insertion• Evasion• Denial of Service
![Page 4: Intrusion prevention system tecniche di evasione avanzatetest di una soluzione commerciale](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558ec8ec1a28ab3e308b45a4/html5/thumbnails/4.jpg)
INSERTION
![Page 5: Intrusion prevention system tecniche di evasione avanzatetest di una soluzione commerciale](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558ec8ec1a28ab3e308b45a4/html5/thumbnails/5.jpg)
EVASION
![Page 6: Intrusion prevention system tecniche di evasione avanzatetest di una soluzione commerciale](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558ec8ec1a28ab3e308b45a4/html5/thumbnails/6.jpg)
ADVANCED EVASION TECHNIQUES
LIVELLI OSI PROTOCOLLO ESEMPIO DI
POSSIBILE EVASIONE
7 APPLICATION SMB (SAMBA) Filename obfuscations
6 PRESENTATION
5 SESSION NetBIOS Inject chaff-traffic
4 TRANSPORT TCP Time-wait decoy
3 NETWORK IPV4 Fragmentation overlap
2 LINK
1 PHISICAL
![Page 7: Intrusion prevention system tecniche di evasione avanzatetest di una soluzione commerciale](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558ec8ec1a28ab3e308b45a4/html5/thumbnails/7.jpg)
TEST
Host VmWare
Z_andrea_vic_xp172.20.123.30Windows xpconficker
Z_andrea_vic_7172.20.123.50Windows 7rdp_dos
Z_vic_net_vmtools172.20.123.115Ubuntuhttp_phpbb_highlight80.22.152.232 (NAT)
Z_andrea_att_net_vmtools172.20.123.114UbuntuEvader - Mongbat
Z_andrea_Att_bt5k172.20.123.70BackTrack 5.3SniffJoke - Fragroute
SWITCHMcAfee IntruShield I-3000
![Page 8: Intrusion prevention system tecniche di evasione avanzatetest di una soluzione commerciale](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558ec8ec1a28ab3e308b45a4/html5/thumbnails/8.jpg)
RISULTATI 1
![Page 9: Intrusion prevention system tecniche di evasione avanzatetest di una soluzione commerciale](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558ec8ec1a28ab3e308b45a4/html5/thumbnails/9.jpg)
RISULTATI 2
![Page 10: Intrusion prevention system tecniche di evasione avanzatetest di una soluzione commerciale](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558ec8ec1a28ab3e308b45a4/html5/thumbnails/10.jpg)
MISURAZIONE DELL’EFFICACIA
• Rete con traffico reale• Costoso l’onere e su chi deve scegliere• Intrusivo potrebbe non essere semplice• Prove in seriale• Metrica non generale
• Rete senza traffico• Niente carico per valutazione delle performance• Poco più che una verifica delle sole capacità dichiarate• Falsi Positivi?
![Page 11: Intrusion prevention system tecniche di evasione avanzatetest di una soluzione commerciale](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558ec8ec1a28ab3e308b45a4/html5/thumbnails/11.jpg)
MISURAZIONE DELL’EFFICACIA
• DATASET - DARPA IDEVAL• 200 istanze di 58 attacchi• Valutazione offline – riproducibile• Traffico in ambito militare• Attacchi obsoleti nelle firme e nelle modalità• Mancanza di errori (checksum)• Facile tararsi sui contenuti
• Online LARIAT• Ambiente di test configurabile che copre tutto il ciclo
• Altri DATASET• Pubblici basati su traffico reale «sanitizzato»
![Page 12: Intrusion prevention system tecniche di evasione avanzatetest di una soluzione commerciale](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558ec8ec1a28ab3e308b45a4/html5/thumbnails/12.jpg)
MISURAZIONE DELL’EFFICACIA
• Intrusione Detection Capability• rapporto tra
• la mutua dipendenza (mutua informazione) dell’input e dell’output dell’IDPS al numeratore
• ed al denominatore l’entropia dell’input. • Tale rapporto rappresenta la riduzione dell’incertezza
dell’input dell’IDS dato l’output• [0,1] ed a valori più grandi corrisponde una maggiore
capacità ed accuratezza di classificare • Si propone come metrica unificante rispetto ad altre
utilizzate FP FN PPV NPV• Vantaggi …
![Page 13: Intrusion prevention system tecniche di evasione avanzatetest di una soluzione commerciale](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558ec8ec1a28ab3e308b45a4/html5/thumbnails/13.jpg)
CONSIDERAZIONI FINALI
Ptacek e Newsham
StoneSoft avverte 2
volte CERT-FI
Perché il problema rimane?
![Page 14: Intrusion prevention system tecniche di evasione avanzatetest di una soluzione commerciale](https://reader033.vdocuments.pub/reader033/viewer/2022060119/558ec8ec1a28ab3e308b45a4/html5/thumbnails/14.jpg)
CONSIDERAZIONI FINALI
• Risolvere con le firme non serve la variabilità delle opzioni e la quantità delle permutazioni sono troppe vedi SniffJoke• Principio di robustezza (Postel rfc761)
Be conservative in what you do, be liberal in what you accept from others
• Impossibilità per problem di performance di implementare tutte le specificità dei protocolli• Limiti eleaborativi
• Link a Gb• Aumento generalizzato del traffico