header_unimi
divtlc
 
spacerIl servizio di Intrusion Detection System della rete di Ateneospacer immagine di struttura
spacer
spacer
spacer
spacer
spacerIndice della paginaspacer
 
spacerCosa è un IDS e a cosa servespacer
spacerGli IDS in rete d'Ateneospacer
spacerFunzionalità del servizio di IDSspacer
spacerArchitettura del sistema di IDS in rete d'Ateneospacer
spacerGestione degli incidenti di sicurezzaspacer
spacer Cosa è un IDS e a cosa servespacer
 
spacer L'utilizzo della rete e delle informazioni in essa disponibili rappresentano oramai uno strumento irrinunciabile in tutti gli ambienti di lavoro. Poiché però ogni giorno vengono scoperte nuove vulnerabilità e nuove tecniche d'intrusione che mirano a colpire pc e server connessi in rete, è necessario da una parte garantire che ogni sistema abbia un adeguato antivirus e l'ultimo livello di patch disponibile del sistema operativo, dall'altro dotarsi di IDS (Intrusion detection System) ovvero di sistemi in grado di analizzare il traffico in transito sulla rete (o su un segmento di essa) al fine di individuare indizi di un uso illegittimo delle risorse elaborative (ad es. tentativi di compromissione, di DDOS, scanning, etc.).
L'IDS, dunque, è un analizzatore di pacchetti real time sulla base di firme (signatures) precostituite che individuano un certo tipo di worm, virus, attacco, etc. Tale analisi è condotta attraverso pattern matching (riconoscimento di una particolare sequenza di caratteri all'interno dei pacchetti dati) e attraverso la protocol analysis (rilevazione di eventuali anomalie nell'utilizzo dei protocolli di trasmissione dati).
Un IDS funziona intercettando tutto il traffico, analizzando pacchetto per pacchetto, di un particolare segmento di rete e scatenando un allarme per l'amministratore di rete in caso di matching positivo di una signature a seguito dell'individuazione di un pacchetto malevolo.
IDS
spacer Esistono due tipologie di IDS: H-IDS (Host Intrusion Detection System) e N-IDS (Network Intrusion Detection System). I primi si installano sull'host e quindi analizzano solo il traffico diretto alla macchina su cui risiedono. Hanno lo scopo di monitorare il traffico di risorse e servizi ritenuti particolarmente critici (ad es. utilizzo di CPU, disco, rete, server Web, di posta, etc) al fine di rilevare la presenza di eventuali segnali allarmanti come ad es. tentativi di logging con password errate, di modificare i privilegi dei file, etc.
I N-IDS hanno lo scopo di monitorare real-time il traffico di uno o più segmenti di rete, cercando in esso pattern predefiniti indicanti attività sospette allo scopo di registrarle e inoltrare i relativi allarmi al gestore della rete/sicurezza. E' possibile configurare alcuni N-IDS affinché reagiscano ad alcuni eventi di sicurezza in modo tale da interrompere il flusso dati anomalo.
 
spacer [Torna all'inizio]
spacer Gli IDS in rete d'Ateneospacer
 
spacer Anche la rete d'Ateneo presenta problemi legati alla diffusione di virus e worm che talvolta sovraccaricano le risorse elaborative degli apparati di rete a tal punto da rendere di fatto poco fruibile l'uso della rete nei periodi di esplosione di nuovi virus/worm.
In questa situazione, le risorse elaborative degli apparati della rete d'Ateneo sono stressate dal numero enorme di flussi di dati, quindi quando l'apparato di rete raggiunge il numero massimo di flussi gestibili, non alloca nuove risorse per quelli successivi. Questo causa una percezione di malfunzionamenti in rete da parte degli utenti.
Oltre ai problemi legati al funzionamento, la rete stessa contribuisce alla diffusione esplosiva dei nuovi virus, essendo uno strumento di inoltro del traffico.
La rete diventa anche, in situazioni particolari, il veicolo utilizzato da hacker per effettuare tentativi di intrusione o tentativi di blocco dei servizi erogati sui sistemi dell'Università.
La compromissione di sistemi all'interno della rete d'Ateneo fa sì che questi ultimi vengano usati come base per perpetrare attacchi contro altri sistemi, anche esterni, con possibili conseguenze legali per l'Università.
Si è dunque reso necessario dotarsi di un sistema di IDS che fosse in grado di analizzare l'enorme mole di pacchetti dati che circolano in rete d'Ateneo. In una rete estesa, complessa e veloce come quella d'Ateneo l'attività di controllo svolta dall'IDS non può che essere effettuata in più punti della rete e deve essere necessariamente automatica e coordinata.
 
spacer [Torna all'inizio]
spacer Funzionalità del servizio di IDSspacer
 
spacer Il servizio di IDS svolge, quindi, un compito di monitoraggio del livello di sicurezza nella rete di ateneo mediante il controllo, pacchetto per pacchetto, dei flussi di traffico.
Inoltre allerta gli amministratori di rete a seguito della rivelazione di possibili diffusioni di virus, worm, trojan, DOS (Denial Of Service), DDOS (Distributed DOS), tentativi di accesso illegittimi, exploit, BOF (Buffer OverFlow), compromissioni di sistemi, uso illegittimo o scorretto di risorse condivise, etc.
Tale analisi non modifica in alcun modo l'inoltro dei flussi.
 
spacer [Torna all'inizio]
spacer Architettura del sistema di IDS in rete d'Ateneospacer
 
spacer Per far fronte alle problematiche menzionate, l'Università Statale di Milano si è dotata di un sistema distribuito di N-IDS che analizza le attività su vari segmenti della rete d'Ateneo.
Uno schema esemplificativo dell'architettura distribuita di IDS in rete d'Ateneo:
spacer
spacer
spacer Le peculiarità del sistema adottato per l'Ateneo consente di virtualizzare ciascun IDS in più sensori in modo tale da poter differenziare le categorie di signature analizzate dal sensore virtuale sulla base delle sottoreti monitorate ed in modo da individuare facilmente all'interno dell'Ateneo l'origine e la destinazione dei flussi dannosi.

Il sensore denominato Mercury posto presso la sede della Divisione Telecomunicazioni si compone di 3 sensori virtuali che analizzano il traffico:
  • relativo ai server della Divisione Telecomunicazioni,
  • relativo ai server di posta elettronica d'Ateneo,
  • interno alla rete d'Ateneo e che transita sul nodo di Via Colombo (Campus Città Studi, Osp. S. Paolo, Osp. Sacco, Comelico, Crema, Osp. Veterinario Lodi, Noto, Karakorum, Trentacoste, Sesto S. Giovanni, Balzaretti, Vanvitelli, le reti collegate in tecnologia HDSL-FR e tutte le sottoreti di livello 2 della rete d'Ateneo).
Il sensore denominato Mars, anch'esso posto presso la sede della Divisione Telecomunicazioni si compone di 2 sensori virtuali che analizzano il traffico:
  • in entrata e in uscita dalla rete d'Ateneo,
  • di tutta la rete Hotspot Wireless
Il sensore posto sul nodo di Festa del Perdono composto da due sensori virtuali analizza il traffico potenzialmente dannoso originato da:
  • campus di Via Festa del Perdono,
  • sedi collegate al nodo di Festa del Perdono (Mercalli, Osp. S. Paolo, Osp. Sacco, Comelico, Crema, Noto, Karakorum, S.Antonio, S. Alessandro e tutte le sottoreti di livello 2 della rete d'Ateneo).
Il sensore posto sul nodo di Via Passione composto da due sensori virtuali analizzano rispettivamente il traffico originato da:
  • campus di Via Passione/Conservatorio,
  • sedi collegate al router di Via Passione (Sesto San Giovanni, S. Alessandro, S. Antonio, Mercalli).
Le categorie di signature attivate sui sensori sono esclusivamente quelle necessarie all'individuazione di tentativi di attacco, di compromissione, di accesso illegittimo alle risorse, di diffusione di worm, virus e trojan. E' importante segnalare che la privacy degli utenti non viene in alcun modo violata in quanto i contenuti del traffico in transito non sono analizzati e/o memorizzati non essendo attive signature utili ad individuare l'eventuale abuso della rete come strumento di lavoro. Inoltre il sistema non prevede l'intervento umano e quindi, a fronte dell'analisi dei flussi, automaticamente viene inviata una segnalazione all'amministratore di rete in merito alla tipologia del problema riscontrato e agli indirizzi IP coinvolti.
 
spacer [Torna all'inizio]
spacer Gestione degli incidenti di sicurezzaspacer
 
spacer La gestione degli IDS è un'attività che avviene di concerto con il NOC (Network Operation Center) della rete, in quanto una volta individuati quegli allarmi che sono indice di un reale problema di sicurezza è necessario individuare, nel caso la fonte dell'incidente sia un host della rete d'Ateneo, la localizzazione fisica della macchina che origina il problema fino ad individuare la porta fisica dello specifico apparato della particolare sede su cui è collegato l'host incriminato. Tale ricerca è effettuata grazie agli strumenti propri del gestore della rete.
Le azioni che possono essere intraprese a seguito di un allarme proveniente dal sistema IDS variano a seconda che il problema di sicurezza sia originato da un pc interno o esterno alla rete d'Ateneo. Nel primo caso (host interno), verrà allertato l'amministratore di rete locale (qualora esista) e/o bloccato l'accesso all'host "incriminato". Nel secondo (fonte dell'incidente esterna), è possibile bloccare il traffico proveniente dall'host incriminato sul collegamento esterno (GARR, Gestione Ampliamento Rete Ricerca: Rete dell'Università e della Ricerca Scientifica Italiana).
 
spacer [Torna all'inizio]