aica corso it administrator: modulo 5 aica © 2005 1 eucip it administrator modulo 5 - sicurezza...
TRANSCRIPT
AICA © 2005 1
AICACorso IT Administrator: modulo 5
EUCIP IT AdministratorModulo 5 - Sicurezza Informatica
7 - Sicurezza di rete
AICA © 2005 2
AICACorso IT Administrator: modulo 5
Concetti di base
• Architettura ISO/OSI, Ethernet, TCP/IP– Livelli
– Incapsulamento dei protocolli
– Comunicazioni a pacchetti
– Indirizzi IP e porte TCP/UDP
AICA © 2005 3
AICACorso IT Administrator: modulo 5
Wireless
• ricerca di reti wireless “aperte” strumenti– un’antenna
– un’automobile
– un ricevitore GPS
AICA © 2005 4
AICACorso IT Administrator: modulo 5
Wireless
• Prove a Milano (2003)– 18 reti
– 12 senza WEP
– da http://www.portel.it
AICA © 2005 5
AICACorso IT Administrator: modulo 5
Wireless
• Molti AP hanno una configurazione di default che facillita le operazioni di configurazione
• È importante conoscere le operazioni di setup per incrementare la sicurezza ed evitare problemi – unwanted "Guests“
• SSID : wireless network name– di solito è abilitato il broadcast SSID in modo che i clients possano
effettuare uno scan delle reti wireless disponibili
AICA © 2005 6
AICACorso IT Administrator: modulo 5
Wireless
• Chiunque (utenti non desidarti) possono effettuare lo scan e “vedere” la WLAN
• Per security-sensitive reti aziendali occorre disabilitare broadcast SSID
• Scegliere un’opzione con WEP encryption– confidentiality: uso di RC4 (stream cipher)
• reinizializzazione per ogni pacchetto• WEP key + Initialization Vector (IV) => per-packet
AICA © 2005 7
AICACorso IT Administrator: modulo 5
Gestione dei log
• Prima fonte di informazioni sugli eventi del sistema
– In Unix gestiti da syslogd: file di configurazione /etc/syslog.conf
– In windows esiste Event Viewer
AICA © 2005 8
AICACorso IT Administrator: modulo 5
Log applicativi
• Le applicazioni hanno due possibilità per effettuare il logging– Appoggiarsi al log del sistema
– Utilizzare un proprio file di log• apache
AICA © 2005 9
AICACorso IT Administrator: modulo 5
Logserver centralizzato
• Invio dei log singoli su un server– Log maggiormente protetti
– Riconoscere correlazioni tra eventi diversi
• Problemi– Formati differenti tra diversi sistemi operativi
AICA © 2005 10
AICACorso IT Administrator: modulo 5
Firewall o Difesa Perimetrale
1. Definire un perimetro
2. Dividere il mondo in interno ed esterno in modo che il firewall sia l’UNICO punto di accesso
3. Il pericolo è sia dentro che fuori!!! (il pericolo interno è il più insidioso ed il più probabile)
4. Il livello di sicurezza è uguale al punto più debole (di solito quindi è nullo...)
AICA © 2005 11
AICACorso IT Administrator: modulo 5
Tecnologie adottate
1. Filtraggio del traffico: chi può passare la frontiera
2. Analisi dei contenuti: cosa può passare la frontiera
3. Sorveglianza: essere pronti a rispondere e riprendersi dagli attacchi
4. Fattore umano: avere procedure e regole per tutto il personale (Piano di Sicurezza)
AICA © 2005 12
AICACorso IT Administrator: modulo 5
Tipi di Firewall
• Packet Filter: che si limita a valutare gli header di ciascun pacchetto
• Stateful Inspection: 1 + tiene traccia di alcune relazioni tra i pacchetti che lo attraversano, ad esempio ricostruisce lo stato delle connessioni TCP, e analizza i protocolli che aprono più connessioni .Questo permette ad esempio di riconoscere pacchetti TCP malevoli che non fanno parte di alcuna connessione, o di permettere il funzionamento di protocolli complessi
• Content Inspection: 2 + effettua controlli fino al livello 7 della pila ISO/OSI, ovvero valutano anche il contenuto applicativo dei pacchetti, ad esempio riconoscendo e bloccando i dati appartenenti a virus o worm noti in una sessione HTTP o SMTPSMTP
• Proxy o Application Level Gateway (ALG): la configurazione della rete privata non consente connessioni dirette verso l'esterno, ma il proxy è connesso sia alla rete privata che alla rete pubblica, e permette alcune connessioni in modo selettivo, e solo per i protocolli che supporta.
• una miscela delle varie possibilità
AICA © 2005 13
AICACorso IT Administrator: modulo 5
Politiche di autorizzazione
• “Tutto ciò che non è espressamente permesso, è vietato”– maggior sicurezza
– più difficile da gestire
• “Tutto ciò che non è espressamente vietato, è permesso”– minor sicurezza (porte aperte)
– più facile da gestire
AICA © 2005 14
AICACorso IT Administrator: modulo 5
Elementi di base
• screening router ( choke )– router che filtra il traffico a livello IP
• bastion host– sistema sicuro, con auditing
• application gateway ( proxy )– servizio che svolge il lavoro per conto di un applicativo, con
controllo di accesso
• dual-homed gateway– sistema con due connessioni
AICA © 2005 15
AICACorso IT Administrator: modulo 5
Livelli di controllo
AICA © 2005 16
AICACorso IT Administrator: modulo 5
Screening router
AICA © 2005 17
AICACorso IT Administrator: modulo 5
Screening router
• usa il router per filtrare il traffico sia a livello IP che superiore• non richiede hardware dedicato• non necessita di proxy e quindi di modifiche agli applicativi• facile, economico e ... insicuro!
AICA © 2005 18
AICACorso IT Administrator: modulo 5
Dual-homed gateway
AICA © 2005 19
AICACorso IT Administrator: modulo 5
Dual-homed gateway
• router:– blocca i pacchetti da LAN a Internet a meno che arrivino dal bastion
host
– blocca i pacchetti da internet a LAN a meno che siano destinati al bastion host
– eccezione: protocolli abilitati direttamente
• bastion host:– circuit/application level gateway per abilitare selettivamente dei
servizi
AICA © 2005 20
AICACorso IT Administrator: modulo 5
Dual-homed gateway
• più caro da realizzare• più flessibilità• complicato da gestire: due sistemi invece di uno• si può selettivamente allentare il controllo su certi servizi /
host• si possono mascherare solo gli host/protocolli che
passano dal bastion (a meno che il router abbia funzionalità NAT)
AICA © 2005 21
AICACorso IT Administrator: modulo 5
Screened subnet
AICA © 2005 22
AICACorso IT Administrator: modulo 5
Screened subnet
• DMZ (De-Militarized Zone)– sulla rete esterna - oltre al gateway - ci possono essere più
host (tipicamente i server pubblici):• web• accesso remoto• ...
• si può configurare il routing in modo che la rete interna sia sconosciuta
• soluzione costosa
AICA © 2005 23
AICACorso IT Administrator: modulo 5
Tecnologia dei firewall
• (static) packet filter• stateful (dynamic) packet filter• application-level gateway / proxy• stateful inspection• circuit-level gateway / proxy• cutoff proxy
AICA © 2005 24
AICACorso IT Administrator: modulo 5
Packet filter
• pacchetti esaminati a livello rete (indirizzi IP, porte, protocollo )
• Sui router
AICA © 2005 25
AICACorso IT Administrator: modulo 5
Packet filter: pro e contro
• indipendente dalle applicazioni– ottima scalabilità
– controlli poco precisi: più facile da “fregare” (es. IP spoofing)
• ottime prestazioni• basso costo (disponibile su router e molti SO)• arduo supportare servizi con porte allocate dinamicamente
es. FTP)• configurazione complessa
AICA © 2005 26
AICACorso IT Administrator: modulo 5
Application-level gateway
• composto da una serie di proxy che esaminano il contenuto dei pacchetti a livello applicativo
• spesso richiede modifica dell’applicativo client può opzionalmente effettuare il mascheramento / rinumerazione degli indirizzi IP interni
• nell’ambito dei firewall, normalmente ha anche funzioni di autenticazione
• massima sicurezza!! (es. contro buffer overflow dell’applicazione target)
AICA © 2005 27
AICACorso IT Administrator: modulo 5
Application-level gateway
• regole più granulari e semplici rispetto a packet• ogni applicazione richiede uno specifico proxy
– ritardo nel supporto per nuove applicazioni
– consumo risorse (molti processi)
– basse prestazioni (processi user-mode)
AICA © 2005 28
AICACorso IT Administrator: modulo 5
Stateful inspection
• combina le caratteristiche di dynamic packet filter, circuit-level ed application-level gateway– può esaminare info a tutti i livelli
– pacchetti analizzati
– Tiene traccia delle connessioni aperte• Seleziona i pacchetti che ne fanno parte
AICA © 2005 29
AICACorso IT Administrator: modulo 5
Stateful inspection
• in pratica spesso usato come Stateful Packet Filter per l’eccessivo overhead !!!
AICA © 2005 30
AICACorso IT Administrator: modulo 5
Packet filter & Content inspection
• Analisi del protocollo – Basata sui pacchetti
AICA © 2005 31
AICACorso IT Administrator: modulo 5
Personal Firewall
• Filtrano il traffico di pacchetti su di una singola macchina, permettendo che solo il traffico permesso raggiunga le applicazioni che sono attive sulla macchina e protegge lo stesso Sistema Operativo.
AICA © 2005 32
AICACorso IT Administrator: modulo 5
Firewall: prodotti commerciali
• tutti i maggiori produttori offrono un firewall tipicamente su UNIX, talvolta su Windows-NT (ma in questo caso gli cambiano lo stack di rete!)
• esiste il Firewall Toolkit (FWTK)– gratis da TIS (www.tis.com)
– mattoncini base di tipo application-gateway
– firewall-fai-da-te
• IPchains / IPfilter / IPtables sotto Linux– packet-filter
AICA © 2005 33
AICACorso IT Administrator: modulo 5
IPtable
• funziona su tutti i kernel Linux che supportano packet filtering (controllare se esiste il file /proc/net/ip_fwchains)
• opzioni di configurazione per abilitare il packet filtering sui kernel 2.1/2.2:– CONFIG_FIREWALL=y
– CONFIG_IP_FIREWALL=y
• il comando ipchains permette di gestire le regole di filtraggio del traffico IP nel kernel
AICA © 2005 34
AICACorso IT Administrator: modulo 5
IPtable
Selezione fatta:• in base all’header IP
– Indirizzo IP del destinatario
– Indirizzo IP del mittente
• in base alle caratteristiche del protocollo trasportato (TCP, UDP, ICMP)– Protocollo TCP, UDP : porta mittente e/o destinataria
– ICMP : tipo e codice
Un altro parametro è l’IFT di rete:• di provenienza (distinguo LAN e Internet)• di destinazione
AICA © 2005 35
AICACorso IT Administrator: modulo 5
Esempi
Iptables –A FORWARD –d x.x.x.x/24 –j DROP
• -A (add rule)• x.x.x.x : indirizzo della rete alla quale si impedisce l’accesso• FORWARD : pacchetto in transito • DROP : i pacchetti destinati alla macchina sono scartati senza
nessun avviso (con REJECT : invia segnalazioni al mittente)
SCARTA TUTTI I PACCHETTI DESTINATI ALLA RETE x.x.x.x IN TRANSITO PER IL FIREWALL
AICA © 2005 36
AICACorso IT Administrator: modulo 5
Esempi
Iptables –A FORWARD –p tcp –d x.x.x.x --dport 80 –j ACCEPT
• -A (add rule)• tcp: protocollo utilizzato• x.x.x.x : indirizzo della rete alla quale si permette l’accesso• FORWARD : pacchetto in transito • 80 porta che specifica il servizio• ACCEPT
PERMETTE DI ACCEDERE AL SERVIZIO WEB AZIENDALE DA INTERNET
AICA © 2005 37
AICACorso IT Administrator: modulo 5
Ordine di valutazione
• Le prima regola corrispondente al pacchetto viene presa in configurazione
1. Iptables –A FORWARD –d 192.168.1.0/24 –j DROP
2. Iptables –A FORWARD –p tcp –d 192.168.1.2 --dport 80 –j ACCEPT• Mai utilizzata
AICA © 2005 38
AICACorso IT Administrator: modulo 5
Ordine di valutazione
• Permettere esplicitamente il traffico legittimo• Bloccare tutto il resto
– Default deny
– Ultima regola :• Iptables –A FORWARD –j DROP
AICA © 2005 39
AICACorso IT Administrator: modulo 5
Esempio: permettere ai client della LAN aziendale di connetersi a un server web ma non viceversa
1. Iptables –A FORWARD –p tcp –s 192.168.1.0/24 –d 192.168.2.2 --dport 80 –j ACCEPT
Permette ai pacchetti in uscita dai client di raggiungere il server web
2. Iptables –A FORWARD –p tcp –s 192.168.2.2 –d 192.168.1.0/24 -tsport 80 --dport 1024:! –syn –j ACCEPT
Permette alle risposte del server web di raggiungere i client ma blocca tutti i pacchetti dal server con il flag SYN settato (connessioni diverse dalle risposte)
3. Iptables –A FORWARD –j DROP
AICA © 2005 40
AICACorso IT Administrator: modulo 5
Proxy
• Proxy per client: – Blocco del contenuto attivo del traffico HTTP– Blocco dei siti corrispondenti a blacklist (fornite da appositi servizi
commerciali)
– Blocco o quarantena di messaggi e file contenent virus
– Selezione mediante pattern matching delle URL accessibili
• Reverse Proxy: – proteggono i server da attacchi dei client (distribuiscono il traffico ai
server)
– Filtrano gli indirizzi ed il payload e controllano l'aderenza ai protocolli
– È un controllo “sintattico”: attenzione agli eccessi di fiducia
AICA © 2005 41
AICACorso IT Administrator: modulo 5
SQUID: nasce come cache proxy
• Un cache proxy svolge un servizio di memorizzazione locale delle risorse della rete richieste più frequentemente, dove la risorsa è un oggetto a cui si accede attraverso un URL.
• Viene usato come “seconda linea” per l’accesso a Internet dei browser:
INTERNET <= ROUTER PACKET FILTER <= SQUID <= LAN
• File di configurazione– /etc/squid/squid.conf
AICA © 2005 42
AICACorso IT Administrator: modulo 5
File di configurazione: SQUID accetta connessioni solo sull’IFT interna
Direttiva: http_port:x.y.z.t:3148Dove x.y.z.t è l’IP dell’interfaccia interna di Squid e
3184 è la porta su cui aspetta richieste di connessione
É bene disattivare ogni altro protocollo relativo alla gestione di gerarchie di cache:
#Default:
icp_port 0
htcp_port 0
AICA © 2005 43
AICACorso IT Administrator: modulo 5
File di configurazione: Definire le ACL acl aclname acltype string1 string2 ….
#Recommended minimum configuration:acl all src 0.0.0.0/0.0.0.0acl manager proto cache_objectacl localhost src 127.0.0.1/255.255.255.255acl to_localhost dst 127.0.0.0/8acl SSL_ports port 443 563acl Safe_ports port 80 # httpacl Safe_ports port 21 # ftpacl Safe_ports port 443 563 # https, snewsacl Safe_ports port 70 # gopheracl Safe_ports port 210 # waisacl Safe_ports port 1025-65535 # unregistered portsacl Safe_ports port 280 # http-mgmtacl Safe_ports port 488 # gss-httpacl Safe_ports port 591 # filemakeracl Safe_ports port 777 # multiling httpacl CONNECT method CONNECT
AICA © 2005 44
AICACorso IT Administrator: modulo 5
File di configurazione: applicazione delle ACL http_access deny|allow aclname
#Default:# http_access deny all##Recommended minimum configuration:## Only allow cachemgr access from localhosthttp_access allow manager localhosthttp_access deny manager# Deny requests to unknown portshttp_access deny !Safe_ports# Deny CONNECT to other than SSL portshttp_access deny CONNECT !SSL_ports
AICA © 2005 45
AICACorso IT Administrator: modulo 5
File di configurazione
#acl our_networks src 192.168.1.0/24 192.168.2.0/24
#http_access allow our_networks
http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all
AICA © 2005 46
AICACorso IT Administrator: modulo 5
NAT
• Network Address Translation: molti nomi NAT, PAT, SNAT, DNAT ...
• Cambia gli indirizzi IP mentre un pacchetto attraversa un router o firewall, ok se nel payload non ci sono riferimenti agli indirizzi, altrimenti ... !!!
• Si può mascherare (Masquerading) un'intera rete e farla apparire come se fosse solo una macchina
AICA © 2005 47
AICACorso IT Administrator: modulo 5
NAT
• NAT Statico: solo cambio di 1 IP con 1 altro IP, nessuna sicurezza (le porte TCP non cambiano)
• Masquerading e PortNAT: – molti IP in 1 IP, le porte TCP e
– UDP cambiano, è la combinazione numero IP + porta che permette di fare le traduzioni, possibile solo in 1 direzione, qualche sicurezza
AICA © 2005 48
AICACorso IT Administrator: modulo 5
NAT
• Molti protocolli (ftp ecc.) richiedono apertura porte dinamica, moduli apposta che ispezionano contenuto dei pacchetti per aprire porte dinamicamente
• Solo UDP e TCP permettono di fare PAT o Masquerading
AICA © 2005 49
AICACorso IT Administrator: modulo 5
Esempio
Iptables -A POSTROUTING –t nat –o eth0 –p tcp –s 192.168.128.0/24 –j SNAT –to-source x.x.x.x-x.x.x.y
• Questa regola prende il traffico in uscita sull’interfaccia eth0 e utilizza il NAT per rimappare l’indirizzo mittente privato su un range di indirizzi pubblici (x.x.x.x-x.x.x.y)
AICA © 2005 50
AICACorso IT Administrator: modulo 5
Altri elementi della difesa
• Network Intrusion Detection System (NIDS)• Router• Switch• Intrusion Prevention System (IPS)• Crittografia
AICA © 2005 51
AICACorso IT Administrator: modulo 5
Intrusion Detection System
• definizione:– sistema per identificare individui che usano un computer o una rete
senza autorizzazione
– esteso anche all’identificazione di utenti autorizzati, ma che violano i loro privilegi
• ipotesi:– il “pattern” di comportamento degli utenti non autorizzati si
differenzia da quello degli utenti autorizzati
AICA © 2005 52
AICACorso IT Administrator: modulo 5
IDS : Intrusion Detection System
• Tentano di rilevare:– attività di analisi della rete
– tentativi di intrusione
– Intrusioni avvenute
– comportamenti pericolosi degli utenti
– traffico anomalo
AICA © 2005 53
AICACorso IT Administrator: modulo 5
IDS
• IDS passivi:– uso di checksum crittografiche (confronto con “foto del sistema in
uno stato sicuro es. software Tripwire)
– riconoscimento di pattern anomali (“attack signature”)
• IDS attivi:– “learning” = analisi statistica del funzionamento del sistema
– “monitoring” = analisi attiva di traffico dati, sequenze, azioni
– “reaction” = confronto con parametri statistici (reazione scatta al superamento di una soglia)
AICA © 2005 54
AICACorso IT Administrator: modulo 5
Topologie
• HIDS (host-based IDS)– analisi dei log (del S.O. o delle applicazioni)
– attivazione di strumenti di monitoraggio interni al S.O.
• NID (network-based IDS)– attivazione di strumenti di monitoraggio del traffico di rete
AICA © 2005 55
AICACorso IT Administrator: modulo 5
Network Intrusion Detection System (NIDS)
• NIDS:• analizzano il traffico in rete (i sensori sono sniffer senza
indirizzo IP)• Tipo di analisi:
– In base a database di attacchi noti
– Euristiche
– Reti cognitive
• Quando analizzare i dati? In tempo reale o successivamente? • Reactive IDS (IPS): abbattono le connessioni
AICA © 2005 56
AICACorso IT Administrator: modulo 5
Componenti di un network-based IDS
• sensor– controlla traffico e log individuando pattern sospetti
– attiva i security event rilevanti
– interagisce con il sistema (ACLs, TCP reset, ... )
• director– coordina i sensor
– gestisce il security database
• IDS message system– consente la comunicazione sicura ed affidabile tra I componenti
dell’IDS
AICA © 2005 57
AICACorso IT Administrator: modulo 5
Architettura di un IDS
AICA © 2005 58
AICACorso IT Administrator: modulo 5
HostIDS
• Verificano tentativi di attacco al singolo sistema• Possono esaminare i log del sistema e delle applicazioni• Possono verificare lo stato dei file• Possono controllare le attività dei processi (es. chiamate di
sistema)
AICA © 2005 59
AICACorso IT Administrator: modulo 5
Problemi degli IDS
• Falsi positivi e falsi negativi• Prestazioni• Aggiornamento• Riconoscimento di nuovi attacchi• Attacchi di Input Validation
AICA © 2005 60
AICACorso IT Administrator: modulo 5
SNORT
SNORT HA UN’ARCHITETTURA MOLTO COMPLESSA COMPOSTA DA DIVERSI COMPONENTI:
• il packet decoder che intercetta e decodifica i pacchetti in arrivo; • i preprocessori che analizzano i pacchetti individuando quelli
potenzialmente dannosi; • il detection engine che controlla il pattern matching dei pacchetti
con le regole; • i componenti di alerting e logging che generano gli allarmi e
archiviano i log.
AICA © 2005 61
AICACorso IT Administrator: modulo 5
Snort
• Snort– NIDS mode
– www.snort.org
– Richiede libpcap
• File di configurazione– /etc/snort/snort.conf
• Scaricare dal sito le regole aggiornate– /etc/snort/rules
• Snort –i eth0 –A full –g snort –u snort –c snort.conf –l /var/log/snort
AICA © 2005 62
AICACorso IT Administrator: modulo 5
Servizi
• Programma (daemon) ascolta pacchetti in arrivo su – Indirizzo IP + Protocollo + Porta (o simili).
• Il SO (stack TCP/IP) passa all' applicativo in ascolto ogni pacchetto di questo tipo che riceve.
• I servizi sono caratterizzati da un protocollo (di solito TCP o UDP) ed una porta.
AICA © 2005 63
AICACorso IT Administrator: modulo 5
Attacchi dall'esterno
• Attacchi dall'Interno molti di più e molto peggio!• Spesso si aggirano le difese e/o si usa il fattore umano• Impossibile offrire servizi e proteggerli allo stesso tempo se i
servizi non sono stati progettati in modo sicuro.– Debolezza dei protocolli
– Software progettato senza sicurezza
– Errori di implementazione (bugs)
AICA © 2005 64
AICACorso IT Administrator: modulo 5
Attacchi dall'esterno
• Traffico in chiaro LAN/WAN -> SNIFFER– SWITCH ben configurati, Cifratura
• Accesso via WiFi dall' esterno a rete interna– Cifratura
• Inserzione AccessPoint WiFi in rete interna– Rete ben protetta e configurata
• ManinTheMiddle (MTM), session hijacking– Protocolli sicuri e crittografia
AICA © 2005 65
AICACorso IT Administrator: modulo 5
Attacchi dall'esterno
• Furto o scoperta Password– Sistema multilivello,
– certificati digitali, token ...
• Bugs applicativi– Costante aggiornamento (in tempo reale!), hardening dei SO,
attivazione solo servizi strettamente necessari,Personal Firewall, AV
• ARP Spoofing (impersonare un'altra macchina in LAN)– Bloccare le tavole ARP su server, router, switch
AICA © 2005 66
AICACorso IT Administrator: modulo 5
Attacchi dall'esterno
• IP Spoofing (dare ad un pacchetto IP come numero sorgente quello di un altro computer) usato per mascherarsi e per DoS, DDoS (se usato insieme a Sniffing diventa un attacco fatto da un altro!)– Imporre su tutta la periferia della propria rete rigidi filtri di ingresso e
uscita sugli indirizzi IP
AICA © 2005 67
AICACorso IT Administrator: modulo 5
Attacchi dall'esterno
• EMAIL Spoofing (dare ad un messaggio email come indirizzo mittente quello di un altro) usato da quasi tutti i Virus e per scherzi, truffe, SPAM– Crittografia, AntiVirus, AntiSPAM
• Denial of Service (DoS) di un Servizio (un applicativo può servire al più N clienti alla volta) – Limitare il numero di connessioni da un singolo IP, bloccare
dinamicamente gli IP che portano l' attacco, aumentare N
AICA © 2005 68
AICACorso IT Administrator: modulo 5
Attacchi dall'esterno
• DoS SYN Flood (richiedere l'apertura di connessioni TCP senza mai finire il 3way Handshake) di solito unita a IP Spoofing– Usare i SynCookies, ridurre i timeout di TCP, aumentare il numero
di connessioni semiaperte
• Denial of Service (DoS) di banda– Chiedere al proprio provider di filtrare del traffico prima che giunga
a voi
AICA © 2005 69
AICACorso IT Administrator: modulo 5
Attacchi dall'esterno
• Amplificatore di SMURF (caso particolare del precedente: ping a broadcast di terza rete con IP sorgente di chi è attaccato)– Come i precedenti
• Distributed DoS (attacchi di DoS portati da molte macchine diverse contemporaneamente usando IPSpoofing ecc.)– Come i precedenti
AICA © 2005 70
AICACorso IT Administrator: modulo 5
Attacchi dall'esterno
• DoS casella EMAIL (riempimento casella, tipico è SPAM)– AntiSPAM,
– filtri automatici
• PingofDeath (causa bug SO o stack TCP/IP, un solo pacchetto speciale può bloccare la macchina)– Filtri su firewall, patch del SO
AICA © 2005 71
AICACorso IT Administrator: modulo 5
Hardening
• Scegliere SO che lo permetta• Installare il minimo necessario, mai compilatori ecc.• Se possibile solo 1 servizio per macchina• Tenere copia dei LOG (abbondanti) su altre macchine in tempo
reale• Installare HIDS e Personal Firewall• Accessi solo cifrati
AICA © 2005 72
AICACorso IT Administrator: modulo 5
Sicurezza del servizio DNS
• Attacchi basati su errori di implementazione– Basato su UDP, più facile falsificare indirizzo IP del mittente
• Raccolta di informazioni sulla rete– Intera tabella di associazione nome –IP di un dominio
• Cache poisoning– Inserire dati nella cache di un server dns
– Redirigere il traffico verso un host ad un server controllato da un attaccante
AICA © 2005 73
AICACorso IT Administrator: modulo 5
Reti peer-to-peer
• Modalità di accesso ad internet• Condivisione delle informazioni locali• Problematiche legate alla licenza e al software
AICA © 2005 74
AICACorso IT Administrator: modulo 5
Attivazione di un server HTTPS
• Apache, OpenSSL, mod_ssl
AICA © 2005 75
AICACorso IT Administrator: modulo 5
Generazione e installazione del certificato per il server
• Openssl req –new –out server.csr
AICA © 2005 76
AICACorso IT Administrator: modulo 5
Generazione e installazione del certificato per il server
• Openssl rsa –in privkey.pem –out server.key• Openssl x509 –in server.csr –out server.crt –req –signkey
server.key –days 365
AICA © 2005 77
AICACorso IT Administrator: modulo 5
Generazione e installazione del certificato per il server
• Openssl x509 –in server.crt –out server.dert.crt –outform DER
• I file server.der.crt e server.key vanno copiati in una directory :– /etc/httpd/conf/ssl.csr
– /etc/httpd/conf/ssl.crt
– /etc/httpd/conf/ssl.key
AICA © 2005 78
AICACorso IT Administrator: modulo 5
File di configurazione
<IfDefine SSL>
## SSL Virtual Host Context
NameVirtualHost 10.0.0.32:443
<VirtualHost 10.0.0.32:443>
DocumentRoot "/opt/web/gio/10.0.0.32"
ServerAdmin [email protected]
ServerName nemo.it-admin.it
ServerPath /10.0.0.32
ScriptAlias /cgi-bin/ "/opt/web/gio/10.0.0.32/cgi-bin/"
ErrorLog /var/log/httpd/apache/10.0.0.32-error_log
CustomLog /var/log/httpd/apache/10.0.0.32-access_log common
TransferLog /var/log/httpd/apache/10.0.0.32-access_log
AICA © 2005 79
AICACorso IT Administrator: modulo 5
File di configurazione
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXP56:RC4+RSA:+HIGH:+MEDIUM:+LOW:!SSLv2:+EXP:+eNULL
# Server Certificate:
SSLCertificateFile /etc/httpd/ssl.crt/server.2002.crt
# Server Private Key:
SSLCertificateKeyFile /etc/httpd/ssl.key/server.2002.key
# Server Certificate Chain:
#SSLCertificateChainFile /etc/httpd/ssl.crt/ca.crt
# Certificate Authority (CA):
#SSLCACertificatePath /etc/httpd/ssl.crt
# Certificate Revocation Lists (CRL):
#SSLCARevocationPath /etc/httpd/ssl.crl
#SSLCARevocationFile /etc/httpd/ssl.crl/ca-bundle.crl
AICA © 2005 80
AICACorso IT Administrator: modulo 5
File di configurazione
# Client Authentication (Type):
SSLVerifyClient none
# With SSLRequire you can do per-directory access control based
# on arbitrary complex boolean expressions containing server
# variable checks and other lookup directives.
#<Location />
#SSLRequire ( %{SSL_CIPHER} !~ m/^(EXP|NULL)-/ \
# and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \
# and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"} \
# and %{TIME_WDAY} >= 1 and %{TIME_WDAY} <= 5 \
# and %{TIME_HOUR} >= 8 and %{TIME_HOUR} <= 20 ) \
# or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/
#</Location>
AICA © 2005 81
AICACorso IT Administrator: modulo 5
Protezione SSL
• POP2, IMAP, SMTP sono protocolli insicuri• Protezione con tunnel SSL
– 995/tcp per POP3 su SSL
– 993/tcp per IMAP su SSL
– 465/tcp per SMTP su SSL
AICA © 2005 82
AICACorso IT Administrator: modulo 5
Creazione di un tunnel SSL
• Utilizzo di stunnel– Disponibile sia sotto windows che linux
• File di configurazione – /etc/stunnel/stunnel.conf
• Creazione di un certificato per stunnel• Server mode: accetta connessioni cifrate su una specifica porta
e le invia in chiaro verso una porta non cifrata
• Client mode: accetta connessioni in chiaro su una specifica porta e le invia cifrate verso una porta remota
AICA © 2005 83
AICACorso IT Administrator: modulo 5
File di configurazione
# chroot + user (comment out to disable)
#
chroot = /var/lib/stunnel/
setuid = stunnel
setgid = nogroup
pid = /var/run/stunnel.pid
#CAfile = /etc/stunnel/certs.pem
cert = /etc/stunnel/stunnel.pem
AICA © 2005 84
AICACorso IT Administrator: modulo 5
File di configurazione
# [pop3s]# accept = 995 # connect = 110
# [imaps]# accept = 993# connect = 143
# [imaps]# accept = 993# exec = /usr/sbin/imapd# execargs = imapd# pty = no
# [ssmtp]# accept = 465# connect = 25
AICA © 2005 85
AICACorso IT Administrator: modulo 5
Virtual Private Networks
• VPN basate su IPSEC/IKE• Protocollo composto da due parti
– IPSEC : cifratura e autenticazione dei pacchetti• Ha bisogno di un accordo fra i sistemi sulle credenziali da utilizzare
(chiave)
– IKE (Internet Key Exchange) : permette di creare della Security Association (SA)
• Associano delle credenziali ad un insieme di pacchetti IP– IP non è orientato alla connessione
» SA gestisce traffico da un IP ad un altro (client -> server)» Il traffico server->client necessità di un’altra SA
• Utilizza UDP e la porta 500