Implementazione e validazione di un protocollo di rete per la reazione alle intrusioni in reti di calcolatori

Nell’ultimo decennio le tecnologie di internetworking hanno visto uno sviluppo repentino. In ogni caso, il mondo IP rappresenta, ancora oggi, lo standard de facto al quale tutte le tecnologie di rete devono adeguarsi. Internet può essere vista sotto molteplici aspetti: mezzo di comunicazione puro, luogo “virtuale” per svolgere operazioni di business o utilizzato per l’intrattenimento e lo svago, strumento ormai indispensabile ed insostituibile per soddisfare le più svariate esigenze personali di ampliamento dei propri orizzonti cognitivi, fonte inesauribile di servizi e di informazioni disponibili ad un bacino di utenza enorme. Tra le svariate centinaia di milioni di utenti che quotidianamente navigano in Internet, esistono alcuni soggetti che cercano di comprometterne intenzionalmente il buon funzionamento, ovviamente a discapito di coloro i quali desiderano farne un utilizzo legittimo. Ma se Internet è un territorio che tutti possono esplorare, ognuno a modo suo, sicuramente i suoi innumerevoli utenti sono collocabili in due distinte categorie, la cui linea di demarcazione è ben definita: i “buoni” utenti da una parte, ed i “cattivi” utenti dall’altra. Il problema della sicurezza in Internet è una questione tuttora aperta. Esistono già tanti strumenti disponibili per garantire il rispetto dei requisiti di riservatezza ed integrità delle informazioni che gli utenti legittimi ed autorizzati producono, condividono e ricevono in Internet. D’altro canto, il problema di garantire sempre e comunque la disponibilità dei servizi offerti dalla Rete è stato per fin troppo tempo trascurato. Purtroppo (o per fortuna) tanti utenti “malintenzionati” sono certamente riusciti a promuoverlo all’attenzione della comunità di Internet. Quindi, ricercatori da una parte, aziende leader nel settore della sicurezza informatica dall’altra, spesso in maniera separata, ma anche in alcuni casi importanti in maniera congiunta e con risultati soddisfacenti (vedi il connubio Snort - Sourcefire), hanno iniziato, da meno di un decennio, a cimentarsi nel progetto e nello sviluppo di sistemi di difesa contro gli attacchi alla disponibilità dei sistemi informatici e dei servizi che gli stessi possono offrire agli utenti di Internet. Gli attacchi da cui difendersi sono i cosiddetti denial of service attack, sia ad unica sorgente (DoS) che distribuiti (DDoS). In questo lavoro di tesi, in collaborazione con il Dipartimento di Informatica e Sistemistica (DIS) dell’Università degli studi di Napoli “Federico II”, è stato apportato un contributo alla realizzazione di un sistema di difesa (ASSYST – Active Security SYSTem) capace di fornire una risposta “pro-attiva” contro intrusioni mirate alla violazione della disponibilità delle reti di calcolatori. In particolare, tale contributo è consistito nello sviluppare ed implementare, interamente in kernel-space, il codice relativo al funzionamento del protocollo di segnalazione distribuito ASP – Active Security Protocol, operante come network layer protocol all’interno di un router Linux abilitato a supportare il sistema di difesa ASSYST, e sul quale è fondamentalmente basato il funzionamento dell’architettura di ASSYST. L’espletamento delle azioni di comunicazione previste da ASP da parte dei router ASSYST coinvolti in una sessione d’attacco permette di eseguire un processo di traceback lungo il percorso interessato dal traffico illecito, in modo da sospingere il più vicino possibile alla sorgente dell’aggressione l’attuazione degli adeguati meccanismi di reazione a questi flussi di dati perniciosi per la rete. Inoltre, per una necessità di consistenza del lavoro svolto e per consentire l’esecuzione di una fase di testing finale a completamento e verifica del buon funzionamento delle caratteristiche di ASP implementate, è stato d’obbligo rivolgere l’attenzione anche all’aspetto di ASSYST riguardante la classificazione dei pacchetti e la gestione del controllo del traffico dati illecito che sopraggiunge ad un’entità di rete la quale supporta ASSYST. Per questo, oltre ad affrontare un problema di implementazione del protocollo ASP, sono state gettate le basi ed è stata eseguita un’implementazione minimale dei moduli PC (Packet Classifier) e SATC (Security Aware Traffic Control) del sistema ASSYST.