intrusion prevention system tecniche di evasione avanzatetest di una soluzione commerciale
DESCRIPTION
Tesi di Andrea Guido Relatore: Prof. Marco Cremonini Tesi sperimentale sulle tecniche di Advanced Evasion proposte da Stonesoft/McAfee. I test sono stati condotti su un sistema corporate usato in produzione.TRANSCRIPT
INTRUSION PREVENTION SYSTEM
TECNICHE DI EVASIONE AVANZATE
TEST DI UNA SOLUZIONE COMMERCIALE
Relatore Candidato
Prof. Marco CREMONINI Andrea GUIDO
Matr. 758616
Anno Accademico 2012/2013
SICUREZZA PERIMETRALE
• Dall’ ‘86 al 2008 10 milioni di malware anno dopo raddoppio• Questo è solo una parte del problema• Strumenti di sicurezza perimetrale• Limiti del firewall
• IDS• IDPS
EVASION TECNIQUES
• Evasioni• Ptacek & NewSham
• Insertion• Evasion• Denial of Service
INSERTION
EVASION
ADVANCED EVASION TECHNIQUES
LIVELLI OSI PROTOCOLLO ESEMPIO DI
POSSIBILE EVASIONE
7 APPLICATION SMB (SAMBA) Filename obfuscations
6 PRESENTATION
5 SESSION NetBIOS Inject chaff-traffic
4 TRANSPORT TCP Time-wait decoy
3 NETWORK IPV4 Fragmentation overlap
2 LINK
1 PHISICAL
TEST
Host VmWare
Z_andrea_vic_xp172.20.123.30Windows xpconficker
Z_andrea_vic_7172.20.123.50Windows 7rdp_dos
Z_vic_net_vmtools172.20.123.115Ubuntuhttp_phpbb_highlight80.22.152.232 (NAT)
Z_andrea_att_net_vmtools172.20.123.114UbuntuEvader - Mongbat
Z_andrea_Att_bt5k172.20.123.70BackTrack 5.3SniffJoke - Fragroute
SWITCHMcAfee IntruShield I-3000
RISULTATI 1
RISULTATI 2
MISURAZIONE DELL’EFFICACIA
• Rete con traffico reale• Costoso l’onere e su chi deve scegliere• Intrusivo potrebbe non essere semplice• Prove in seriale• Metrica non generale
• Rete senza traffico• Niente carico per valutazione delle performance• Poco più che una verifica delle sole capacità dichiarate• Falsi Positivi?
MISURAZIONE DELL’EFFICACIA
• DATASET - DARPA IDEVAL• 200 istanze di 58 attacchi• Valutazione offline – riproducibile• Traffico in ambito militare• Attacchi obsoleti nelle firme e nelle modalità• Mancanza di errori (checksum)• Facile tararsi sui contenuti
• Online LARIAT• Ambiente di test configurabile che copre tutto il ciclo
• Altri DATASET• Pubblici basati su traffico reale «sanitizzato»
MISURAZIONE DELL’EFFICACIA
• Intrusione Detection Capability• rapporto tra
• la mutua dipendenza (mutua informazione) dell’input e dell’output dell’IDPS al numeratore
• ed al denominatore l’entropia dell’input. • Tale rapporto rappresenta la riduzione dell’incertezza
dell’input dell’IDS dato l’output• [0,1] ed a valori più grandi corrisponde una maggiore
capacità ed accuratezza di classificare • Si propone come metrica unificante rispetto ad altre
utilizzate FP FN PPV NPV• Vantaggi …
CONSIDERAZIONI FINALI
Ptacek e Newsham
StoneSoft avverte 2
volte CERT-FI
Perché il problema rimane?
CONSIDERAZIONI FINALI
• Risolvere con le firme non serve la variabilità delle opzioni e la quantità delle permutazioni sono troppe vedi SniffJoke• Principio di robustezza (Postel rfc761)
Be conservative in what you do, be liberal in what you accept from others
• Impossibilità per problem di performance di implementare tutte le specificità dei protocolli• Limiti eleaborativi
• Link a Gb• Aumento generalizzato del traffico