Improvements in physical intrusion detection on
Transcript
Improvements in physical intrusion detection on
Gianluca Papaleo [email protected] Improvements in physical intrusion detection on LAN Consiglio Nazionale delle Ricerche Istituto di Elettronica e Ingegneria dell’Informazione e delle Telecomunicazioni (IEIIT) Sommario Debolezze protocollo Arp Metodi di difesa esistenti Arpmon • Network Discovery • Detection • Classificazione Scenario Conclusioni Protocollo ARP ARP cache poisoning Attacchi DOS Host Impersonation MITM attacks MITM su connessioni cifrate MITM Soluzioni esistenti Detection • Arpwatch • Arpalert • ARP-Guard Mitigation • Port Security • ebtables Prevention • Static entries • S-ARP Soluzione ideale Nessuna nuova installazione sugli host Deployment semplice Hardware poco costoso Retrocompatibile con ARP Rallentamento minimo traffico ARP Detection di tutti i tipi di attacchi ArpMon Utilizza le feature di ARPalert 3 Parti: • Network Discovery • Detection di attività sospette • Classificazione e alerting delle attività rilevate Network Discovery Attivo •Arp scan Passivo: •Uso di sensori posti in posizioni strategiche Network Discovery Passivo Detection Utilizzo delle feature di ArpAlert per la rilevazione di attività sospette Ip Change: utente cambia IP (policy firewall) New MAC: scheda di rete rotta (cambio), nuova macchina (fisica o virtuale) SEA vs SEA ARP request (ettercap) Classificazione Metodi di anomaly detection usati nel progetto Wormpoacher e adattati: • Baseline sul numero di pacchetti arp • Analisi temporale – storica sui cambiamenti IPMAC, DHCP lease, Arp request Attacchi simulati: • Attacchi DOS , DHCP lease, IP Change non autorizzati , ARP flood, host impersonation, MITM attacks Classificazione Attacchi simulati: • Attacchi DOS: ACP per bloccare la comunicazione con un server • DHCP lease: consulente esterno fisicamente attacca il cavo di rete e fa una richiesta DHCP • IP Change non autorizzati (es. Scopo di firewall bypassing) • ARP flood: scanning di rete o ACP multipli • host impersonation con eventuale MITM attack Test Preliminari Test su rete reale (10 LAN e circa 400 hosts) Definizione di un sistema proattivo in grado di comunicare con gli apparati di rete Raccolta di dati Sviluppi futuri Identificazione degli utenti attraverso tecniche di hijacking e di sniffing di informazioni sensibili Integrazione col sistema di Inventory OCS attualmente operante presso il CNR