INTRUSION PREVENTION SYSTEM

TECNICHE DI EVASIONE AVANZATE

TEST DI UNA SOLUZIONE COMMERCIALE

Relatore Candidato

Prof. Marco CREMONINI Andrea GUIDO

Matr. 758616

Anno Accademico 2012/2013

SICUREZZA PERIMETRALE

• Dall’ ‘86 al 2008 10 milioni di malware anno dopo raddoppio• Questo è solo una parte del problema• Strumenti di sicurezza perimetrale• Limiti del firewall

• IDS• IDPS

EVASION TECNIQUES

• Evasioni• Ptacek & NewSham

• Insertion• Evasion• Denial of Service

INSERTION

EVASION

ADVANCED EVASION TECHNIQUES

LIVELLI OSI PROTOCOLLO ESEMPIO DI

POSSIBILE EVASIONE

7 APPLICATION SMB (SAMBA) Filename obfuscations

6 PRESENTATION

5 SESSION NetBIOS Inject chaff-traffic

4 TRANSPORT TCP Time-wait decoy

3 NETWORK IPV4 Fragmentation overlap

2 LINK

1 PHISICAL

TEST

Host VmWare

Z_andrea_vic_xp172.20.123.30Windows xpconficker

Z_andrea_vic_7172.20.123.50Windows 7rdp_dos

Z_vic_net_vmtools172.20.123.115Ubuntuhttp_phpbb_highlight80.22.152.232 (NAT)

Z_andrea_att_net_vmtools172.20.123.114UbuntuEvader - Mongbat

Z_andrea_Att_bt5k172.20.123.70BackTrack 5.3SniffJoke - Fragroute

SWITCHMcAfee IntruShield I-3000

RISULTATI 1

RISULTATI 2

MISURAZIONE DELL’EFFICACIA

• Rete con traffico reale• Costoso l’onere e su chi deve scegliere• Intrusivo potrebbe non essere semplice• Prove in seriale• Metrica non generale

• Rete senza traffico• Niente carico per valutazione delle performance• Poco più che una verifica delle sole capacità dichiarate• Falsi Positivi?

MISURAZIONE DELL’EFFICACIA

• DATASET - DARPA IDEVAL• 200 istanze di 58 attacchi• Valutazione offline – riproducibile• Traffico in ambito militare• Attacchi obsoleti nelle firme e nelle modalità• Mancanza di errori (checksum)• Facile tararsi sui contenuti

• Online LARIAT• Ambiente di test configurabile che copre tutto il ciclo

• Altri DATASET• Pubblici basati su traffico reale «sanitizzato»

MISURAZIONE DELL’EFFICACIA

• Intrusione Detection Capability• rapporto tra

• la mutua dipendenza (mutua informazione) dell’input e dell’output dell’IDPS al numeratore

• ed al denominatore l’entropia dell’input. • Tale rapporto rappresenta la riduzione dell’incertezza

dell’input dell’IDS dato l’output• [0,1] ed a valori più grandi corrisponde una maggiore

capacità ed accuratezza di classificare • Si propone come metrica unificante rispetto ad altre

utilizzate FP FN PPV NPV• Vantaggi …

CONSIDERAZIONI FINALI

Ptacek e Newsham

StoneSoft avverte 2

volte CERT-FI

Perché il problema rimane?

CONSIDERAZIONI FINALI

• Risolvere con le firme non serve la variabilità delle opzioni e la quantità delle permutazioni sono troppe vedi SniffJoke• Principio di robustezza (Postel rfc761)

Be conservative in what you do, be liberal in what you accept from others

• Impossibilità per problem di performance di implementare tutte le specificità dei protocolli• Limiti eleaborativi

• Link a Gb• Aumento generalizzato del traffico