Statistics
| Branch: | Revision:

root / body.tex @ 266f4dee

History | View | Annotate | Download (20.1 KB)

1

    
2
%\pgfdeclareimage[width=9cm]{conntrackexample}{images-firewall/conntrack-example}
3
%
4
%\pgfdeclareimage[width=5cm]{netfilter}{images-firewall/netfilter}
5
%\pgfdeclareimage[width=9cm]{traversal}{images-firewall/nfk-traversal}
6
%\pgfdeclareimage[width=7cm]{conntracksm}{images-firewall/state-machine}
7
%\pgfdeclareimage[width=10cm]{pb}{images-firewall/pb}
8
%\pgfdeclareimage[width=10cm]{hmp}{images-firewall/hmp}
9
%\pgfdeclareimage[width=10cm]{sr}{images-firewall/sr}
10
%\pgfdeclareimage[width=10cm]{traffic-iran}{images-firewall/traffic-iran}
11
%\pgfdeclareimage[width=10cm]{video-iran}{images-firewall/video-iran}
12
%\pgfdeclareimage[width=10cm]{top-iran}{images-firewall/top-iran}
13

    
14
\section{firewall}
15
\subsection{Introduzione}
16
\frame
17
{
18
\frametitle{Firewall}
19
Un firewall è un apparato software o hardware configurato per ammetterre,
20
abbattere o veicolare (proxy firewall) connessioni tra due aree di rete
21
con differente livello di fiducia.
22
\bii
23
\ii Esempio: un firewall perimetrale viene normalmente posto su un gateway
24
per separare la rete locale (alto livello di fiducia) da Intenet (livello
25
di fiducia minimo) 
26
\ii Lo scopo finale del firewall è di offrire un'interfaccia configurabile
27
tra due segmenti di rete con diversi livelli di fiducia. L'interfaccia
28
deve essere configurabile attraverso security policy basate su due
29
principi:
30
\bii
31
\ii Least privilege: assegna i privilegi minimi per il corretto funzionamento
32
\ii Separation of duties: separa in ruoli con funzioni specifiche
33
\ei
34
\ii La configurazione di un firewall richiede profonda conoscenza dei
35
protocolli di rete e di network security, un errore nella configurazione
36
può rendere inutile il suo utilizzo.
37
\ei
38
}
39

    
40
\frame
41
{
42
\frametitle{Evoluzione dei firewall:}
43
\bii
44
\ii Packet filter: ogni pacchetto passa attraverso il firewall e per
45
ognuno di questi si prende una decisione separata. La decisione presa
46
all'istante \emph{t} non è condizionata dalle scelte fatte per i
47
pacchetti precedenti.  
48
\ii Stateful firewall: nel firewall vengono implementate delle macchine a
49
stati per prendere decisioni più complesse. Ad esempio, non accettare un
50
pacchetto di ACK TCP se non è stato prima ricevuto un pacchetto di SYN.
51
\ii Application layer firewall: i firewall operano normalmente a livello
52
di rete/trasporto, o in casi specifici a livello di collegamento, livelli in cui il
53
formato dei pacchetti è definito e non può cambiare. Gli application
54
firewall leggono le informazioni del payload del pacchetto per decidere
55
quale applicazioni possono passare. Richiedono una complessità maggiore e
56
quindi maggiori risorse computazionali.
57
\ei
58
}
59
\frame
60
{
61
\frametitle{Piazzamento del firewall:}
62
\bii
63
\ii Il firewall viene utilizzato per separare aree distinte della rete.
64
Una configurazione tipica è quella in cui il firewall separa due segmenti
65
di rete:
66
\bii
67
\ii una rete interna (corporate) in cui risiedono le postazioni degli
68
utenti, i server di dati e i database, quindi il segmento che contiene le
69
informazioni più importanti per l'attività e che deve essere più protetta.
70
\ii una rete accessibile dall'esterno, sui cui risiedono i server web, di
71
posta e DNS, che sono a diretto contatto con Internet quindi a maggiore
72
rischio. Questa zona contiene dati accessibili dall'esterno, quindi in
73
linea di principio di minore valore e con minori restrizioni per l'accesso
74
(nell'ottica di chi vede la rete da fuori). Si definisce DeMilitarized
75
Zone (DMZ).
76
\ei
77
\ei
78
}
79
\frame{
80
\scaledimg[0.8]{DMZ}
81
}
82

    
83

    
84
\frame
85
{
86
\frametitle{Piazzamento del firewall:}
87
\bi
88
\ii Una seconda configurazione prevede di aggiungere un ulteriore firewall
89
in modo da avere due elementi di difesa prima di arrivare alla rete
90
corporate. 
91

    
92
\ii La configurazione è più robusta perchè un attaccante dovrebbe bucare due firewall prima di arrivare alla rete corporate (i firewall utilizzeranno software o hardware diversi, offrendo
93
ridondanza)
94
\ii E' anche più costosa e più difficile da configurare, quindi più error-prone.
95
\ei
96
}
97

    
98
\frame{
99
\scaledimg[0.85]{DMZ-2}
100
}
101

    
102
\subsection{Netfilter/Iptables}
103
\frame{
104
\frametitle{Netfilter/Iptables}
105
\bii
106
\ii Netfilter è il framework inserito nel kernel di GNU/Linux che permette di
107
effettuare filtraggio dei pacchetti su un firewall software. 
108
\ii Netfilter lavora in \emph{kernel space} ovvero nel nucleo del sistema
109
operativo e mette a disposizione degli \emph{hook}, ovvero dei punti di
110
aggancio in cui i pacchetti possono essere filtrati durante il percorso
111
all'interno del firewall.
112
\ii Iptables è uno strumento che permette di inserire, cancellare ed
113
organizzare le regole di scarto, ovvero le regole secondo cui i pacchetti
114
vengono filtrati nel kernel. Un esempio di regola:
115
\bii
116
\ii iptables -t filter -A INPUT -p tcp --port 80 -j ACCEPT
117
\bii
118
\ii -t filter: tabella
119
\ii -A input: catena
120
\ii -p tcp --dport 80: criterio di match della regola
121
\ii -j ACCEPT: target
122
\ei 
123
\ii traduzione: accetta i pacchetti in arrivo sulla porta 80
124
\ei
125
\ei 
126
}
127
\frame{
128
\frametitle{Catene e Tabelle}
129
Le regole sono organizzate in catene e tabelle:
130
\bii
131
\ii Una catena identifica il punto all'interno del percorso nel kernel in
132
cui avviene il filtraggio.
133
\ii Una tabella associa una funzione alla regola.
134
\ei
135
\bii
136
\ii Che cosa vuol dire?
137
\ei
138
}
139

    
140
\frame{
141
\scaledimg[0.5]{firewall-example}
142
\bii
143
\ii Un firewall tipicamente è un host con due o più interfacce, con i loro indirizzi IP.
144
\ii I pacchetti possono arrivare su una delle schede, essere filtrati ed
145
essere reinviati sull'altra
146
\ii Se un pacchetto ricevuto dalla scheda 1 è diretto all'IP 1, il
147
pacchetto viene elaborato in locale, e non c'e' forwarding
148
\ii Il firewall può generare dei pacchetti, che vengono inviati
149
all'esterno verso altri IP su una delle due schede.
150
\ei
151
}
152

    
153
\frame{
154
\frametitle{Schema logico del firewall}
155
\scaledimg[0.6]{schema-logico}
156
\bii
157
\ii Dove si devono/possono filtrare i pacchetti?
158
\ei
159
}
160

    
161
\frame{
162
\frametitle{Netfilter: le catene}
163
\bcols
164
\col[0.3]
165
\scaledimg[0.8]{netfilter}
166
\col[0.7] 
167
\bii
168
\ii \alert{Prerouting}: tutti i pacchetti in ingresso al firewall
169
\ii \alert{Postrouting}: tutti i pacchetti in uscita dal firewall 
170
\ii \alert{Output}: pacchetti generati dal firewall verso l'esterno
171
\ii \alert{Input}: pacchetti diretti al firewall
172
\ii \alert{Forward}: pacchetti in uscita dal firewall e provenienti dall'esterno
173
\ei
174
\ecols
175
}
176
\frame{
177
\frametitle{Che vuol dire filtrare?}
178
\bii
179
\ii Scartare (Drop)
180
\ii Lasciare passare (Accept)
181
\ii Modificare (Mangle)
182
\ii Lasciare passare ma riportare un messaggio nei log (Log)
183
\ii \ldots
184
\ei
185
\bii
186
\ii Inoltre Netfilter/IPtables è stateful, quindi ci deve essere un modulo
187
che ricostruisce il flusso di pacchetti correlati, ad esempio frammenti
188
dello stesso pacchetto IP (Conntrack)
189
\ei
190
}
191

    
192

    
193
\frame{
194
\frametitle{Che vuol dire filtrare?}
195
\bii
196
\ii Per distinguere gruppi di azioni simili, le regole vengono divise in
197
tabelle: ovvero raggruppamenti di regole che svolgono la stessa funzione.
198
\bii
199
\ii Conntrack
200
\ii Mangle
201
\ii NAT
202
\ii Filter
203
\ei
204
\ii All'interno di ogni catena vengono richiamate regole appartenenti a
205
tabelle diverse.
206
\ei
207
}
208

    
209
\frame{
210
\frametitle{Lo schema completo}
211
\scaledimg[0.75]{nfk-traversal}
212
}
213

    
214

    
215
\frame{
216
\frametitle{La tabella di NAT}
217
NAT table: Network address translation, serve a modificare i cmpi di
218
indirizzo IP dentro agli header del pacchetto. I target possibili sono:
219
\bii
220
\ii DNAT: destination address translation, si cambia l'indirizzo IP
221
destinazione.  
222
\bi
223
\ii  iptables -t nat -I PREROUTING -d 150.217.5.123 -j DNAT --to-source 192.168.1.12
224
\ei
225
\ii SNAT: source address
226
translation. si cambia l'indirizzo IP sorgente. Viene utilizzato per
227
mascherare una rete privata, di indirizzi non routabili dietro ad un
228
indirizzo pubblico.
229
\bi
230
\ii iptables -t nat -I POSTROUTING -s 192.168.1.12 -j SNAT --to-source 150.217.5.123
231
\ei
232
\begin{equation}
233
\nonumber
234
\end{equation}
235
\ei
236
}
237

    
238

    
239
\frame{
240

    
241
\frametitle{La tabella di Filter}
242
Filter table: serve a operare il vero filtraggio dei pacchetti, decide
243
quali passano e quali vengono bloccati. I target possibili sono 
244
\bii
245
\ii Drop: Il pacchetto viene scartato senza dare risposta al mittente.
246
\ii Reject: il pacchetto viene scartato inviando a destinazione una risposta ICMP 
247
\ii Accept: il pacchetto continua il suo percorso all'interno del kernel
248
\ii Log: il pacchetto genera un log (su schermo, su file...) 
249
\ei
250
}
251

    
252
\frame{
253
\frametitle{Il connection tracking}
254
\bii
255
\ii Il modulo di Conntrack svolge alcune funzioni fondamentali nell'azione
256
di filtraggio, ma che vanno utilizzate con attenzione o si rischia di
257
saturare le risorse della macchina. Lo scopo è quello di mettere in
258
relazione pacchetti diversi, secondo il funzionamento di una macchina a
259
stati, per individuare:
260
\bii
261
\ii frammenti che costituiscono lo stesso pacchetto IP
262
\ii pacchetti che fanno parte della stessa connessione
263
\ii pacchetti che fanno parte di connessioni distinte ma relazionate tra
264
loro (ad esempio connessioni FTP)
265
\ei
266
\ei
267
}
268

    
269

    
270
\frame{
271
\frametitle{Il connection tracking}
272
\bii
273
\ii Esempio: in un firewall che protegge una rete privata, normalmente non
274
si vogliono permettere connessioni dall'esterno verso le porte alte:
275
\ei
276
\scaledimg[0.7]{conntrack-example}
277
\bii
278
\ii Abbiamo visto che osservando i flag TCP si possono distinguere i pacchetti 1 e 2
279
\ei
280
}
281

    
282

    
283
\frame{
284
\frametitle{Il connection tracking}
285
\bii
286
\ii Usare i flag però non è conveniente, il problema si riproporrebbe
287
con altri protocolli, ad es. UDP.  
288
\ii Esiste una differenza fondamentale:
289
\bii
290
\ii Il pacchetto 1 viene ricevuto dopo aver inviato un pacchetto in uscita
291
\ii Il pacchetto 2 invece inizia la connessione
292
\ei
293
\ii Il modulo conntrack tiene traccia di queste associazioni. Ogni
294
pacchetto (di qualsiasi tipo, UDP, TCP) viene inserito in una
295
\emph{connessione} che può trovarsi in 4 stati:
296
\bii
297
\ii NEW: il kernel ha visto passare pacchetti in una sola direziona
298
\ii ESTABLISHED: il kernel ha vistro traffico in entrambe le direzioni
299
\ii INVALID: nessuna delle precedenti, si è verificato un errore
300
\ii RELATED: per usi specifici, il pacchetto appartiene ad una connessione in qualche modo relazionata ad una già ESTABLISHED
301
\ei
302
\ei
303
}
304

    
305
\frame{
306
\frametitle{Il connection tracking: state machine}
307
\begin{center} \scaledimg[0.5]{state-machine}
308
\end{center}
309
Es, firewall configurato direttamente su un singolo server linux:
310
\bii
311
\ii iptables -A INPUT -j ACCEPT -p tcp -m state --state  ESTABLISHED
312
\ii iptables -A OUTPUT -j ACCEPT -p tcp -m state --state NEW,ESTABLISHED
313
\ii iptables -P INPUT DROP;
314
\ei
315
}
316

    
317
\subsection{Firewall ridondati}
318
\frame{
319
\frametitle{Fault Tolerance and Load Balancing}
320
\bii
321
\ii Il Firewall è normalmente un punto in ingresso e di uscita dalla rete e
322
può costituire un collo di bottiglia. 
323
\ii In reti che sono soggette ad alti volumi di traffico è importante 
324
condividere il carico tra più firewall per avere prestazioni migliori e ad
325
evere procedure di backup.
326
\bii
327
\ii Backup cold swap: ci sono due firewall, uno spento uguale al primo,
328
quando si rompe il primo si accende il secondo
329
\ii Backup hot swap: il secondo firewall è sempre acceso ed entra in
330
funzione quando il primo smette di funzionare.
331
\ei
332
\ii Si possono usare configurazioni diverse.
333
\ei
334
}
335

    
336
\frame{
337
\frametitle{Primary-Backup configuration}
338
\bii
339
\ii Il gateway smista il traffico ai due firewall, il primary possiede
340
un indirizzo virtuale (VIP) che è quello che vedono le applicazioni dall'esterno. 
341
\ii Il Backup è generalmente inattivo.
342
\ii Si usa un protocollo di \emph{heartbeat} (VRRP, HSRP ecc\ldots) per
343
controllare lo stato del server primario, quando questo subisce un
344
guasto il VIP viene assegnato al server di backup.
345
\ei
346
\scaledimg[0.6]{pb}
347
}
348

    
349

    
350
\frame{
351
\frametitle{Primary-Backup configuration}
352
\bii
353
\ii Non c'e' load balancing.
354
\ii Nel momento del guasto le connessioni cadono tutte.
355
\ii C'e' spreco di risorse, perchè una macchina non fa niente.
356
\ei
357
}
358
\frame{
359
\frametitle{Multi-primary multi-path firewall cluster}
360
\bii
361
\ii E' uguale al caso precedente ma prima della coppia di firewall c'e' un
362
load balancer che distribuisce i flussi di traffico su entrambi i
363
firewall.
364
\ii C'e' load balancing. 
365
\ii Se uno dei firewall si guasta cadono tutte le sue connessioni
366
\ii \alert{Il problema della ridondanza si sposta sul load balancer}
367
\ei
368
}
369
\frame{
370
\frametitle{Multi-primary hash-based stateful firewall-clusters}
371
\bii
372
\ii Non c'e' load balancer. Ogni firewall ha un ID numerico (0,1\ldots) e
373
valuta una connessione in ingresso attraverso una tupla T = ${IP_s, IP_d,
374
Port_s, Port_d, Protocol}$.
375
\ii Per ogni tupla: se hash(T) \% 2 == ID allora filtra, altrimenti, drop
376
\ii In questo modo i firewall si distribuiscono il traffico autonomamente.
377
\ii C'e' comunque bisogno di un heartbeat per reagire nelle situazioni di
378
guasto. 
379
\ei 
380
\begin{center}
381
\scaledimg[0.5]{hmp}
382
\end{center}
383
}
384
\frame{
385
\frametitle{State replication}
386
\bii
387
\ii In tutte queste situazioni, quando un firewall si guasta si perdono le
388
connessioni attive in quel momento.
389
\ii Per evitare questa conseguenza è necessario che nel momento in cui una
390
connessione cambia stato su un firewall, queso cambio venga replicato
391
nell'altro. Si può fare con due politiche:
392
\bii 
393
\ii Su base evento (ad ogni cambio si comunica al backup)
394
\ii Update periodici
395
\ei 
396
\ii Queste due strategie hanno performance diverse in termini di
397
affidabilità ma anche costi computazionali differenti
398
\ei 
399
}
400
%\frame{
401
%\frametitle{State replication}
402
%\begin{center}
403
%\scaledimg{sr}
404
%\end{center}
405
%}
406

    
407

    
408
\subsection{L7 filtering}
409
\frame{
410
\frametitle{L7 Filtering }
411
Un amministratore di rete può voler filtrare traffico di livello applicazione
412
per vari motivi: 
413
\bii
414
\ii Log e analisi del traffico. Volete sapere quale è il tipo di traffico che
415
passa nella vostra rete per dimensionare efficacemente i link e gli apparati
416
\ii Traffic shaping. Volete dare priorità ad alcuni flussi piuttosto che ad
417
altri.  
418
\ii \alert{Blocco di alcuni protocolli}. Volete evitare che alcuni tipi
419
di traffico passino sulla vostra rete.
420
\ei
421
Si filtra a livello 7 quando non è sufficiente utilizzare il numero di porta
422
sorgente e destinazione per capire che tipo di traffico si sta analizzando.  
423
}
424
\frame{
425
\frametitle{L7 Filtering}
426
Filtrare protocolli di livello 7 è molto difficile :
427
\bii
428
\ii Esistono meccanismi interni dei protocolli che rendono difficile collegare
429
connessioni diverse alla stessa sessione (FTP, SIP \ldots) 
430
\ii Esistono protocolli che intenzionalmente cercano di offuscare il loro tipo,
431
in modo da non essere distinguibili.
432
\ii Esistono protocolli cifrati.
433
\ei
434
Quindi ogni filtro deve essere modellato sull'applicazione specifica e può avere 
435
una macchina a stati molto complessa.
436
}
437

    
438
\frame{
439
\frametitle{L7 Filtering - difficoltà}
440
\bii
441
\ii Implementare macchine a stati complicate per filtrare gigabit di traffico 
442
è computazionalmente molto pesante. E' necessario avere macchine dedicate con
443
potenza sufficiente.
444
\ii I protocolli. E' possibile che da un giorno al successivo un filtro 
445
smetta di funzionare causando perdita di performance (falsi negativi) o blocco 
446
di connessioni legittime (falsi positivi).
447
\ii Un algoritmo di pattern matching implementato in software ha gli stessi 
448
problemi di sicurezza di altri applicativi di livello 7. Cosa che generalmente è
449
più difficile per firewall di livello più basso.
450
\ei
451
}
452

    
453

    
454
\frame{
455
\frametitle{L7 Filtering - security}
456
Vulnerabilità note:
457
\bii
458
\ii \textbf{Snort RPC Preprocessing Vulnerability:} Researchers at Internet
459
Security Systems (ISS) discovered a remotely exploitable buffer overflow in the
460
Snort stream4 preprocessor module [\ldots] Remote attackers may exploit the
461
buffer overflow condition to run arbitrary code on a Snort sensor. 
462
\ii \textbf{Trend Micro InterScan VirusWall Remote Overflow:} An implementation
463
flaw in the InterScan VirusWall SMTP gateway allows a remote attacker to
464
execute code with the privileges of the daemon.  
465
\ii \textbf{Microsoft ISA Server 2000 H.323 Filter:} Remote Buffer Overflow
466
Vulnerability. The H.323 filter used by Microsoft ISA Server 2000 is prone to
467
remote buffer overflow vulnerability.
468
\ii \textbf{Cisco SIP Fixup Denial of Service (DoS):} The Cisco PIX Firewall
469
may reset when receiving fragmented SIP INVITE messages.
470
\ei
471
}
472

    
473
%\frame{
474
%\frametitle{L7 Filtering - neutrality}
475
%\bii
476
%\ii 
477
%Quando la banda a disposizione non è sufficiente, o si aumenta la banda o si 
478
%fa traffic shaping. Nel secondo caso si decide di rendere prioritari alcuni
479
%traffici rispetto ad altri.
480
%\ii Chi offre servizi quindi diventa arbitro di quale tipo di traffico è 
481
%prioritario, ovvero la rete di trasporto non è più neutrale.
482
%\ii La perdita di neutralità viene spesso vista come un tentativo di censurare 
483
%alcuni contenuti dalla rete. 
484
%\ei
485
%}
486
%
487
%\frame{
488
%\frametitle{L7 Filtering - extreme example}
489
%13 Giugno 2009: elezioni in Iran. Le immagini della repressione cominciano a
490
%fare il giro del mondo\footnote{images from http://asert.arbornetworks.com/2009/06/a-deeper-look-at-the-iranian-firewall/}.  
491
%\scaledimg{traffic-iran}
492
%}
493
%
494
%\frame{
495
%\frametitle{L7 Filtering - extreme example}
496
%\scaledimg{video-iran}
497
%}
498
%\frame{
499
%\frametitle{L7 Filtering - extreme example}
500
%\scaledimg{top-iran}
501
%}
502
%
503
%\frame{
504
%\frametitle{L7 Filtering - overselling}
505
%\bii
506
%\ii Generalmente i provider vendono servizi che in teoria non possono garantire.
507
%\ii Se tutti gli utenti di un provider utilizzassero le risorse contemporaneamente 
508
%non ce ne sarebbero a sufficienza.
509
%\ii I provider contano sul fatto che l'utilizzo dia eterogeneo e diversificato nel 
510
%tempo. 
511
%\ii Questo approccio non va d'accordo con i protocolli P2P (file-sharing, skype\ldots) 
512
%riescono a sfruttare risorse anche nei momenti in cui l'utente non fa niente.
513
%\ii Questo, insieme ad una certa avversione nata negli ultimi anni contro il P2P, ha
514
%prodotto molta attenzione sui prodotti di Deep-Packet-Inspection (ovvero l7 filtering)
515
%\ei
516
%}
517

    
518
\frame{
519
\frametitle{Riferimenti}
520
\bi
521
\ii Netfilter internals e connection tracking: http://people.netfilter.org/pablo/docs/login.pdf
522
\ii fault-tolerant firewalls: \emph{Demystifying cluster-based fault-tolerant
523
Firewalls} P. Neira, R.M. Gasca L. Lefevre, IEEE internet computing nov
524
2009 (non ancora pubblicato, chiedi al tuo professore :-)) 
525
\ii The Perils of Deep Packet Inspection, Dr. Thomas Porter http://www.securityfocus.com/infocus/1817
526

    
527
\ei
528
}
529
\pgfdeclareimage[width=7cm]{placement}{ids-images/placement}
530
\frame
531
{
532
\frametitle{IDS} 
533
\bii
534
\ii Un IDS è un sistema che rileva accessi non consentiti
535
o potenziali attacchi a un sistema informatico per mezzo di sorgenti
536
d'informazioni disponibili sul sistema (log) o dalla rete (traffico di
537
rete). 
538

    
539
\ii Una intrusione è un tentativo di accesso deliberato e non consentito 
540
a un sistema informatico con il fine di violare informazioni riservate o
541
impedirne il funzionamento (DoS).
542

    
543
\bii
544
\ii Un IDS non si sostituisce ai normai controlli.
545
\ii Un IDS deve essere affiancato da altri meccanismi di sicurezza
546
\ei 
547
\ii Un IDS è uno strumento sostanzialmente \alert{passivo}.
548
\ei
549
}
550

    
551
\frame{
552
\frametitle{Tipi di IDS}
553
\bii
554
\ii Misuse Detection: si confrontano i pacchetti con un database di firme
555
di attacchi.
556
\bii
557
\ii + Facile da gestire, i database esistono.
558
\ii - Facile da aggirare, basta cambiare qualche bit dell'attacco.
559
\ii - 0-day attack.
560
\ei
561
\ii Anomaly detection: l'IDS si accorge di \emph{comportamenti anomali}
562
\bii
563
\ii + Si accorge anche degli 0-day.
564
\ii - Quali sono i comportamenti \emph{normali}?
565
\ei
566
\ei
567
}
568
\frame{
569
\frametitle{Online o offline?}
570
\bii
571
\ii On-line
572
\bii
573
\ii Generazione degli alert in base ad eventi correnti
574
\ii Alto peso computazionale, (migliaia di regole per migliaia di exploit?)
575
\ii Trigger di reazioni.
576
\ei
577
\ii Off-line (batch):
578
\bii
579
\ii Registrazione degli eventi su log
580
\ii Analisi degli stessi periodicamente
581
\ii Risultato non istantaneo
582
\ii Possibilità di history (data mining)
583
\ei
584
\ei
585
}
586
% deauth su bluetooth.
587
% problemi dei protocolli piu' alti.
588

    
589
\frame{
590
\frametitle{Problemi}
591
\bii
592
\ii Banda a disposizione: non sempre si riescono a raccogliere tutti i
593
pacchetti. 
594
\ii Carico computazionale: l'analisi pacchetto per pacchetto è onerosa.
595
\ii Falsi positivi: su una rete con molto traffico diventa impossibile
596
distinguerli dai veri attacchi
597
\ii Traffico crittografato.
598
\ei
599
}
600

    
601

    
602
%\frame{
603
%\frametitle{Piazzamento}
604
%\centering \scaledimg{placement}
605
%}
606

    
607
%d	
608
\frame{
609
\frametitle{Sugli IDS in generale}
610
\bii
611
\ii Gli IDS servono soprattutto per due cose:
612
\bii
613
\ii Disaster Recovery.
614
\ii Individuazione dei responsabili.
615
\ei
616
\ii In reti wireless:
617
\bii
618
\ii Il disaster recovery è importante per tenere sotto controllo gli utenti,
619
visto che il controllo sugli accessi è difficile e i DOS tanti.
620
\ii I responsabili possono non essere identificabili (niente indirizzo IP)
621
\ei
622
\ei
623
} 
624

    
625