Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 1 a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 1 APPROFONDIMENTI prof. G. Russo (grusso@unina.it) ing. A. Violetta (violetta@unina.it)©2008

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 2 PROGRAMMA CONTENUTI Approfondimenti Sicurezza nelle reti di calcolatori. IPv6.. a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 2

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 3 Introduzione La sfida principale per i responsabili dei sistemi informativi consiste nel fornire ad ogni utente il livello di accesso appropriato senza compromettere la sicurezza della rete. controllo remoto La sicurezza è stata una preoccupazione sin da quando il software di controllo remoto rappresentava il metodo principale per l’accesso remoto. Ma con l’introduzione di nuove tecnologie, in particolare l’accesso basato su Internet, tali problematiche hanno assunto un’importanza estremamente rilevante. Per essere certi che le modalità di accesso utilizzate siano sicure occorre valutare le possibilità che si hanno a disposizione: per i responsabili dei sistemi informativi, sia i vecchi che i nuovi protocolli e standard (come pure un cambiamento nel modo in cui vengono percepiti gli utenti remoti), possono fare la differenza nell’implementazione di un’affidabile politica di sicurezza Una delle maggiori preoccupazioni riguardanti la sicurezza è rappresentata dalla tendenza verso l’accesso remoto basato su Internet. Numerose aziende prevedono di sostituire i costosi collegamenti telefonici diretti con questa alternativa più economica e maggiormente flessibile

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 4 Introduzione: accesso remoto Naturalmente, il costo non rappresenta l’unico motivo per cui le aziende stanno prendendo in considerazione l’utilizzo di Internet per le proprie esigenze di accesso remoto, anche se rappresenta uno dei principali fattori. Al fattore costo si aggiungono il dispendio di tempo e la quantità di risorse necessarie per effettuare la manutenzione di un’infrastruttura utile a tale scopo. In funzione del numero di utenti che accedono alla rete in modalità remota, il gruppo dei sistemi informativi potrebbe facilmente essere sopraffatto dalle problematiche derivanti dalla gestione di decine di modem, linee telefoniche e server per l’accesso

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 5 Introduzione: i nodi cruciali per l’accesso ai servizi Data la crescente richiesta di servizi a valore aggiunto che vanno ben oltre il semplice accesso al Web, numerosi ISP hanno iniziato a offrire alle aziende servizi di accesso remoto in outsourcing. In questo caso, gli utenti di un’azienda possono collegarsi telefonicamente al POP locale di un ISP, ottenere l’autorizzazione per accedere alla rete e quindi poter accedere alle risorse in rete. In tal modo, lo staff interno addetto ai sistemi informativi non dovrebbe assumersi la responsabilità della gestione dei server e dei modem. Nonostante il termine "Internet" tenda a fare pensare ai problemi legati alla sicurezza più di quanto non faccia il termine "collegamento telefonico", entrambi i metodi di accesso presentano analoghe problematiche relativamente alla sicurezza. Quindi, sia che si utilizzi un accesso remoto tradizionale, uno basato su Internet o una combinazione dei due, occorre prestare attenzione a numerose aree legate alla sicurezza, compresi la convalida, il controllo dell’autorizzazione/accesso, la riservatezza dei dati e l’addebitamento/controllo.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 6 Le Architetture AAA Autentication, Authorization, Accounting: sono architetture che si basano sulla separazione delle fasi di autenticazione, di autorizzazione e di accounting. Authentication Identificare l’utente in modo certo. (CHI) Authorization Definire a quali risorse l’utente ha accesso. (DOVE) Accounting Tenere traccia delle operazioni effettuate. (QUANDO)

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 7 Autenticazione Occorre che l’utente dichiari la propria identità. Esempi: username e password Carta + PIN Scoraggiare gli scambi di identità Imporre il cambio periodico della password Imporre password difficili da indovinare Autorizzazione Dopo aver identificato l’utente, questi non deve necessariamente aver libertà di movimento in ogni campo; avrà accesso ad alcune risorse, ma non ad altre. Ad esempio un certo dipendente potrà accedere alla posta elettronica, navigare su Internet, ma non consultare le previsioni di bilancio o aprire il database delle paghe. Accounting Conoscere le operazioni fatte da un utente non ha necessariamente scopi punitivi. Si raccolgono dati sull’uso delle risorse da parte dei vari settori dell’azienda e può servire a pianificare o rimandare aggiornamenti dei sistemi e aiuta ad indirizzare gli investimenti.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 8 utenti finali Connessione ad Internet dell’ISP ISP server A.A.A. Internet

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 9 Protocolli di autenticazione: PAP & CHAP Alcune opzioni di protezione mediante password supportate dalla maggior parte dei server di accesso remoto e dai collegamenti via linea telefonica PPP (Point to Point Protocol), comprendono Password Authentication Protocol (PAP) e Challenge Handshake Authentication Protocol (CHAP). Password Autentication Protocol: è un metodo di convalida di base in cui il client invia un nome utente e una password al server di accesso remoto, che confronta tali informazioni con quelle contenute in un database per trovare una corrispondenza. Tuttavia, nonostante le password sul server possano essere cifrate, esse vengono trasmesse dall’utente al server in chiaro Challenge Handshake Autentication Protocol: è un metodo di convalida di base in cui il client invia un nome utente e una password al server di accesso remoto, che confronta tali informazioni con quelle contenute in un database per trovare una corrispondenza; le password inviate al server sono cifrate

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 10 RADIUS Spesso all’estremità di questo processo di convalida è presente un server che supporta Remote Authentication Dial-In User Service, o RADIUS che è un metodo di consolidamento e centralizzazione delle informazioni di convalida, autorizzazione e identificazione degli utenti remoti. In breve, RADIUS crea una posizione unica in cui tutti gli utenti remoti vengono analizzati e il server accetta o rifiuta un utente in base a criteri definiti dall’azienda. Numerosi prodotti server basati su RADIUS, come SteelBelted Radius di Funk Software, supportano numerose modalità di convalida. utenti finali Connessione ad Internet dell’ISP ISP server Accounting Internet ISP Radius server Autenticazione+Autorizzazion e DB Utenze

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 11 Meccanismi di sicurezza di RADIUS Il client ed il server RADIUS condividono un segreto (normalmente inserito come una stringa di caratteri, cioè una password). Ogni richiesta riceve un autenticatore (nonce). I messaggi sono criptati usando uno cifratore di flusso (stream cipher), generato applicando MD5 al segreto ed all’autenticatore

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 12 RADIUS & LDAP Il futuro di RADIUS è in realtà allineato con gli sviluppi sul fronte dei servizi di directory, che si stanno indirizzando verso Lightweight Directory Access Protocol (LDAP), uno standard per la creazione di directory di rete interoperabili. Schema di autenticazione LDAP

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 13 Il protocollo EAP: un altro “autenticatore” o meglio un Meta-autenticatore Con il protocollo EAP (Extensible Authentication Protocol), una connessione di accesso remoto viene convalidata da un meccanismo di autenticazione arbitrario. Lo schema di autenticazione preciso da utilizzare verrà negoziato dal client di accesso remoto e dall'autenticatore, ovvero il server di accesso remoto o il server del Servizio autenticazione Internet (IAS). È possibile utilizzare il protocollo EAP per supportare schemi di autenticazione come Generic Token Card, MD5-Challenge, TLS (Transport Level Security) per il supporto della smart card e S/Key così come qualsiasi futura tecnologia di autenticazione.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 14 TACACS + Un altro protocollo che offre funzioni di convalida e di contabilità è Terminal Access Controller Access Control System, più comunemente noto come TACACS (e la sua versione piu’ recente TACACS+) Questo protocollo in realtà esisteva ancora prima dell’introduzione di RADIUS, ma da quando RADIUS ha fatto la sua comparsa TACACS è rimasto in disparte, soprattutto perché è considerato una tecnologia proprietaria di Cisco Systems. Attualmente numerosi fornitori oltre a Cisco supportano TACACS (TACACS+ è stato potenziato con nuove funzionalità) e tale tecnologia è tuttora in grado di fornire un punto centrale per l’autorizzazione e la gestione dell’accesso remoto.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 15 Confronto tra TACACS+ e RADIUS UDP e TCP RADIUS utilizza il protocollo UDP per la comunicazione, mentre il TACACS+ si serve del TCP. Quest’ultimo offre più servizi dell’altro, per esempio: trasporto orientato alla connessione, non richiede variabili aggiuntive utili per tentativi di ritrasmissione e time_out per compensare il miglior trasporto di pacchetti (cose queste che succedono con RADIUS). Cifratura dei pacchetti Per quanto riguarda la cifratura, il Radius cifra solo le password nei pacchetti di richiesta di accesso dal client al server. Poiché la parte rimanente è spedita in chiaro, altre informazioni come username, servizi autorizzati e accounting, possono essere catturate da una terza parte. Invece il TACACS+ cifra l’intero corpo del pacchetto ad eccezione dell’header. Dentro all’header vi è un campo che indica se il corpo è cifrato o meno: per scopi di debbunging è utile averlo in chiaro, per scopi di sicurezza è necessario non averlo in chiaro.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 16 Confronto tra TACACS+ e RADIUS Autenticazione e Autorizzazione Per quanto riguarda l’autenticazione e l’autorizzazione, il Radius invia i pacchetti dal server al client con informazione relativa ad entrambi i processi, rendendo difficile una eventuale separazione. Il TACACS+ usa l’architettura AAA (Autenticazione, Autorizzazione, Accounting) separa i processi, permettendo tipi di autenticazione diversa. RADIUS non supporta i seguenti protocolli: AppleTalk Remote Access (ARA) Net BIOS Frame Protocol Control Novell Asynchronous Services Interface (NASI) X.25 PAD connection TACACS+ offre invece supporto a più protocolli (inclusi quelli elencati sopra).

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 17 TACACS e RADIUS considerazioni aggiuntive Nonostante i due metodi di convalida offerti da RADIUS e TACACS possano risultare più che sufficienti per gli utenti di reti locali, non sempre offrono una sicurezza adeguata per gli utenti remoti. Il problema consiste nel fatto che gli utenti remoti, a differenza di quelli locali, sono in qualche misura un’entità sconosciuta e, in quanto tali, devono essere gestiti in modo diverso. Per esempio in ambito aziendale è abbastanza normale ritenere che chiunque sia collegato direttamente alla rete (cioè che dispone di un nome utente e di una password adeguati) non desti alcuna preoccupazione.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 18 Convalida mediante Token Questo sistema utilizza lo stesso principio impiegato dalle macchine bancomat, utilizzare qualcosa che si possiede e qualcosa che si conosce Questo sistema utilizza lo stesso principio impiegato dalle macchine bancomat, utilizzare qualcosa che si possiede e qualcosa che si conosce. Con questo approccio, agli utenti vengono assegnati dei token che visualizzano un codice generato casualmente in specifici intervalli di tempo. Questi token sono sincronizzati con un server presente all'interno del sistema. Di conseguenza, quando un utente effettua una connessione, invece di dovere fornire una password statica (che può essere individuata dagli hacker mediante una ricerca di parole in un dizionario), deve immettere il proprio nome utente e il codice visualizzato sul token in uno specifico momento. A meno che il codice non coincida con quello presente al momento sul server, l’utente non ha la possibilità di accedere.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 19 Le architetture AAA e lo standard IEEE 802.1x per reti wireless impedisce alle periferiche non autorizzate di connettersi ad una LAN attraverso le porte disponibili a tutti Lo standard definisce un sistema di controllo ed autenticazione degli accessi Client-Server che impedisce alle periferiche non autorizzate di connettersi ad una LAN attraverso le porte disponibili a tutti Il sistema può essere utilizzato sia in reti cablate, sia in retiWireless (anche se nella realta e’ utilizzato solo per queste ultime!) Il controllo di accesso è basato sulla porta di rete

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 20 IEEE 802.1X per connessioni wireless: Autenticazione Lo standard IEEE 802.1X definisce il controllo dell'accesso ad una rete. In base all’autenticazione stabilisce se e come di possono usare una o piu’ porte in una rete Ethernet. Il controllo dell'accesso di rete in base alle porte si avvale, quindi, delle caratteristiche fisiche di un'infrastruttura LAN commutata per autenticare i dispositivi collegati a una qualsiasi porta di commutazione. Se il processo di autenticazione ha esito negativo, non sarà possibile inviare e ricevere frame mediante la porta di commutazione Ethernet. Nonostante sia stato ideato per reti Ethernet cablate, lo standard è stato adattato per l'utilizzo su reti LAN wireless IEEE 802.11. Windows XP include il supporto dell'autenticazione IEEE 802.1X per tutte le schede di rete basate su LAN, incluse reti Ethernet e wireless.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 21 IEEE 802.1X per connessioni wireless: Autenticazione (2) IEEE 802.1X e’ definito attraverso i seguenti elementi: PAE (Port Access Entity) Autenticatore Richiedente Server di autenticazione

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 22 IEEE 802.1X per connessioni wireless: Autenticazione (3) PAE (Port Access Entity) Nota anche come porta LAN, si tratta di un'entità logica che supporta il protocollo IEEE 802.1X associato a una porta. Autenticatore L'autenticatore è una porta LAN che attiva l'autenticazione prima di consentire l'accesso ai servizi attraverso la porta. In caso di connessioni wireless, l'autenticatore è una porta LAN logica disponibile su un access point (punto di accesso wireless attraverso il quale i client wireless, che hanno abilitato la modalità infrastruttura, accedono alla rete cablata).

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 23 IEEE 802.1X per connessioni wireless: Autenticazione (4) Server di autenticazione L'autenticatore esegue la verifica delle credenziali del richiedente attraverso un server di autenticazione. Il server controlla le credenziali del richiedente per conto dell'autenticatore e quindi indica a quest'ultimo se il richiedente dispone dell'autorizzazione necessaria per l'accesso ai servizi dell'autenticatore. Il server di autenticazione può essere: Un componente dell’access point. In questo caso è necessario configurare il punto di accesso con i set di credenziali utente corrispondenti ai client che tentano di stabilire la connessione. Questa soluzione non viene in genere adottata in caso di access point di tipo wireless. Un'entità distinta. Il punto di accesso inoltra le credenziali del tentativo di connessione a un server di autenticazione distinto. In genere, un access point wireless utilizza il protocollo RADIUS (Remote Authentication Dial-In User Service) per inviare i parametri del tentativo di connessione a un server RADIUS.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 24 Autenticazione IEEE 802.1X per connessioni wireless (5) Richiedente Si tratta di una porta LAN che richiede l'accesso ai servizi attraverso l'autenticatore. In caso di connessioni wireless, il richiedente è la porta LAN logica su una scheda di rete LAN wireless che richiede l'accesso alla rete cablata. Il richiedente esegue l'associazione e quindi l'autenticazione collegandosi ad un autenticatore. Sia che vengano utilizzati per connessioni wireless o che vengano usati per reti Ethernet cablate, il richiedente e l'autenticatore sono connessi mediante un segmento LAN point-to-point logico o fisico.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 25 Porte controllate e non controllate Il controllo dell'accesso in base alle porte eseguito dall'autenticatore definisce i seguenti tipi di porte logiche, che accedono alla rete LAN cablata attraverso un'unica porta LAN fisica: Porta non controllata Questa porta consente lo scambio non controllato di dati tra l'autenticatore (il punto di accesso wireless) e altri dispositivi sulla rete cablata, indipendentemente dallo stato di autorizzazione del client wireless. Un ottimo esempio di questo tipo di porta è quella che presiede allo scambio di messaggi RADIUS tra un access point wireless e un server RADIUS sulla rete cablata, che garantisce l'autenticazione e l'autorizzazione per le connessioni wireless. I frame inviati dal client wireless non vengono mai inoltrati dal punto di accesso wireless attraverso la porta non controllata. Porta controllata Questa porta consente l'invio dei dati tra un client wireless e la rete cablata, a condizione però che il client sia già stato autenticato. Prima dell'autenticazione, lo switch è aperto e non vengono inviati frame tra il client wireless e la rete cablata. Dopo l'autenticazione del client mediante il protocollo IEEE 802.1X, lo switch si chiude e i frame vengono inoltrati dal client wireless ai nodi della rete cablata.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 26 Lo standard IEEE 802.1x per reti wireless

27 Sicurezza del livello IP IPSec

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 28 IP (Livello Network) Application Presentation Session Transport Network (IP) Data Link Physical OSI 7 layers

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 29 Sicurezza IP, IPSec IPSec non è un singolo protocollo, può essere definito come un framework, ed un insieme di algoritmi che cercano di risolvere i problemi di sicurezza a livello IP Autenticazione Confidenzialità Gestione delle chiavi Disegnato per IPv6 ma implementato in molti IPv4. IPSec è realizzato a livello di pacchetto Tutti i pacchetti in uscita sono criptati Tutti i pacchetti in entrata sono autenticati e decriptati IPSec è al livello trasporto Trasparente per le applicazioni Fornisce sufficiente sicurezza ad applicazioni intrinsecamente insicure Router possono autenticare i router vicini e le richieste di routing

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 30 Scenario IPSec

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 31 Modalità Ipsec: Trasporto o Tunnel Modalità Trasporto Protegge i livelli superiori Il payload IP è cifrato Modalità Tunnel Protegge tutti i livelli In uscita, viene creato sul “network boundary” un nuovo pacchetto che contiene quello originale come proprio “payload”, e l’intero pacchetto “interno” viene criptato router internet router Roma Milano

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 32 VPN

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 33 Virtual Private Networks (VPN) Tipi di VPN Accesso Remoto, tipo Virtual Private Dialup Network (VPDN), in cui un utente si connette da una linea telefonica alla rete Site-to-Site – intranet e/o extranet VPDN è attualmente la forma più usata di VPN; Intranet è la seconda.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 34 Implementazione delle VPN Tunneling IPSec o cifratura a livello di protocollo di trasporto. Cifratura semplice per sistemi che non supportano IPSec Cifratura simmetrica usando una chiave condivisa gestita “a mano” Cifratura a chiave pubblica, e.g., usando RSA o PGP La maggior parte delle implementazioni includono Server per la gestione delle 3A (Autenticazione, Autorizzazione, e Accounting Firewalls/ Servers per la QoS client desktop per gli utenti remoti

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 35 VPN e tunneling Un fattore importante da tenere in considerazione nella valutazione di una VPN è il protocollo che permette il tunneling, cioè la creazione di canali punto-punto virtuali tra due computer connessi a Internet. Il protocollo emergente è IPsec, proposto da IETF. Ormai questo protocollo si è imposto come uno standard. Anche lo SKIP ha raccolto numerosi consensi. Altri tipi di protocolli progettati per le VPN sono il Point to Point Tunneling Protocol (PPTP), sponsorizzato da Microsoft, il Layer 2 Forwarding (L2F) di Cisco, e il Layer 2 Tunneling Protocol (L2TP), un merge dei due precedenti. Si parla comunque di protocolli dedicati a connessioni remote su linee telefoniche o ISDN, utilizzati da un utente che desidera connettersi alla rete interna di un'azienda collegandosi a Internet attraverso un qualsiasi provider.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 36 PPTP Point-to-Point Tunneling Protocol Point-to-Point Tunneling Protocol: è un'estensione di PPP che comprende funzioni per la cifratura dei dati; fa parte dei servizi di accesso remoto incorporati in Windows NT 4.0 ed è un componente di Dial- Up Networking di Windows 95.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 37 L2F Layer 2 Forwarding: è un protocollo di tunneling che Cisco Systems ed altri fornitori di accesso remoto supportano nei propri router e server.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 38 Ancora su IPsec IPsec presenta profonde analogie con PPTP e L2F, anche se il confronto non è del tutto corretto. Invece del tunneling, IPSec, usa una serie di protocolli che amplia IP, offre funzioni di convalida e cifratura dei dati. Tuttavia, poiché verifica l’integrità dei dati all’interno di un pacchetto mentre esegue l’operazione di cifratura, IPSec è ritenuto un metodo con un più altro grado di sicurezza rispetto ai protocolli di tunneling.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 39 SOCKS Un altro metodo che offre la cifratura e la convalida mediante VPN è Socks, uno standard IETF che utilizza un proxy a livello di circuito. Socks convoglia tutto il traffico su una singola porta e lo trasmette alla rete locale tramite un proxy. Il protocollo opera sul layer 5 del modello OSI e può funzionare sopra ai tunnel e a IPSec. Socks richiede che ogni client disponga di software che passi i dati al server Socks per la convalida e che i dati siano cifrati sia a livello di client che di server. Poiché supporta numerosi schemi di cifratura come Kerberos, Secure Sockets Layer (SSL), CHAP e RADIUS, Socks risulta più flessibile dei protocolli di tunneling.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 40 Protocolli di sicurezza per lo strato di trasporto: SSL SSL (Secure Socket Layer protocol) è un protocollo aperto e non proprietario; è stato sottoposto da Netscape Communications all'Engineering Task Force per la sua standardizzazione, anche se di fatto è stato accettato come uno standard da tutta la comunità di Internet ancor prima del verdetto dell'IETF. La versione 3.0 del protocollo rilasciata nel novembre 1996, è un'evoluzione della precedente versione del 1994 la SSL v2.0, e rappresenta al momento una delle soluzioni più utilizzate per lo scambio di informazioni cifrate. Tale evoluzione introduce un livello di sicurezza superiore rispetto alla precedente grazie ad una maggiore attenzione nella fase di autenticazione tra client e server. Il futuro di SSL è rappresentato dal protocollo TLS v1 (SSL v3.1) sottoposto a standardizzazione nel novembre 1998.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 41 Protocolli di sicurezza per lo strato di trasporto: SSL (2) Il protocollo SSL è nato al fine di garantire la privacy delle comunicazioni su Internet, infatti permette alle applicazioni client/server di comunicare in modo da prevenire le intrusioni, le manomissioni e le falsificazioni dei messaggi. Il protocollo SSL garantisce la sicurezza del collegamento mediante tre funzionalità fondamentali:

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 42 SSL (3) Privatezza del Collegamento: Per assicurare un collegamento sicuro tra due utenti coinvolti in una comunicazione, i dati vengono protetti utilizzando algoritmi di crittografia a chiave simmetrica (ad es. DES, RC4, ecc.); Autenticazione: L'autenticazione dell'identità nelle connessioni può essere eseguita usando la crittografia a chiave pubblica (per es. RSA, DSS ecc.). In questo modo i client sono sicuri di comunicare con il server corretto, prevenendo eventuali interposizioni. Inoltre è prevista la certificazione sia del server che del client; Affidabilità: Il livello di trasporto include un controllo sull'integrità del messaggio basato su un apposito MAC (Message Authentication Code) che utilizza funzioni hash sicure (per es. SHA, MD5 ecc.). In tal modo si verifica che i dati spediti tra client e server non siano stati alterati durante la trasmissione. Protocollo SSL Handshake, permette al server ed al client di autenticarsi a vicenda e di negoziare un algoritmo di crittografia e le relative chiavi prima che il livello di applicazione trasmetta o riceva il suo primo byte. Un vantaggio di SSL è la sua indipendenza dal protocollo di applicazione, in tal modo un protocollo di livello più alto può interfacciarsi sul protocollo SSL in modo trasparente; Protocollo SSL Record, è interfacciato su di un protocollo di trasporto affidabile come il TCP. Questo protocollo è usato per l'incapsulamento dei dati provenienti dai protocolli superiori.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 43 Il protocollo SSH Il funzionamento di SSH è molto simile a quello di SSL (infatti non è una coincidenza che le funzioni crittografiche usate da OpenSSH siano fornite da OpenSSL, una versione open source del Secure Socket Layer sviluppato da Netscape). Entrambi possono instaurare una comunicazione cifrata autenticandosi usando "host key" ed eventualmente certificati che possono essere verificati tramite una autorità fidata.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 44 Ecco come si instaura una connessione SSH: Primo, il client ed il server si scambiano le loro chiavi pubbliche. Se la macchina del client riceve per la prima volta una data chiave pubblica, SSH chiede all'utente se accettare o meno la chiave. Successivamente client e server negoziano una chiave di sessione che sarà usata per cifrare tutti i dati seguenti attraverso un cifrario a blocchi come il Triplo DES o Blowfish. Il Transport Layer Protocol si occupa di questa prima parte, cioè di fornire autenticazione host, confidenzialità, integrità e opzionalmente compressione. Tale protocollo gira tipicamente su una connessione TCP, ma potrebbe essere usato anche su un qualsiasi altro flusso di dati affidabile. L’User Authentication Protocol autentica l’utente del client sul server. Sono attualmente supportati tre tipi di autenticazione:

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 45 Il protocollo SSH: modalità di accesso Con chiave pubblica: il client invia un pacchetto firmato con la propria chiave privata. La firma è verificata dal server tramite la chiave pubblica del client, che il server può possedere da eventuali connessioni precedenti. Nel caso in cui il server non possieda la chiave pubblica del client, questo metodo fallisce. Con password: all'utente sul client viene presentato il solito prompt per l'inserimento della password. Generalmente questo metodo viene utilizzato solo alla prima connessione ad un server. Host based: verifica dell'identità dell'host tramite la "Host key". Il server guida l'autenticazione, inviando al client la lista contenente i metodi di autenticazione supportati. Il client sceglie quello che considera più conveniente. Infine, dopo una autenticazione con successo, tramite il Connection Protocol comincia la vera sessione: il client puo' richiedere una shell remota, l'esecuzione di un comando, un trasferimento di file sicuro, ecc. Il protocollo divide la connessione in canali logici; tutti questi canali sono multiplexati in una singola connessione. In questo modo è possibile accedere a più servizi con un singolo "tunnel cifrato ".

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 46 "...SSH può essere usata per loggarsi in modo sicuro su un altro computer in una rete, eseguire comandi sul sistema remoto, e copiare file da una macchina all'altra. SSH fornisce comunicazioni e autenticazioni sicure su canali che non lo sono..."

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 47 SSH e il tunneling Inoltre Secure Shell è in grado di effettuare il Tunneling di informazioni per qualsiasi applicazione basata su TCP con una porta di ascolto predefinita. Comunemente conosciuto come “port-forwarding”, il Tunneling di SSH permette con semplicità di rendere sicure applicazioni che altrimenti invierebbero informazioni non protette su reti pubbliche. Messaggi dell’applicazione trasmessi da una parte della connessione SSH all’altra vengono protetti da sistemi crittografici scelti per quella connessione. Poiché più applicazioni possono essere commutate su una singola connessione SSHl, i filtri effettuati da firewall e router possono essere ristretti a una sola porta: la porta SSH (22).

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 48 SSH: Host Key Ogni server dovrebbe avere una per ogni algoritmo a chiave pubblica supportato. La Host Key del server è utilizzata durante lo scambio di chiavi per verificare che il client stia realmente comunicando con il server corretto. Due differenti modelli di fiducia possono essere utilizzati: Il client ha un database locale che associa ciascun nome di host con la corrispondente chiave pubblica. Questo metodo non richiede infrastrutture centralizzate. Lo svantaggio è che la gestione del database di associazione nome-chiavi può diventare gravosa. L’ associazione nome-chiavi è certificata da una autorità fidata di certificazione. Il client deve conoscere solo la chiave dell’autorità centrale e può verificare la validità di tutte le chiavi in base alla certificazione dell’autorità centrale. Il protocollo prevede l’opzione che l’associazione nome-chiave non sia controllata alla prima connessione ad un dato host. Questo consente la comunicazione senza che ci sia stata prima comunicazione di chiavi o certificazioni.

49 Vulnerabilità delle reti IP

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 50 Obiettivi Reti corporative: funzionalità ed efficienza, ma non sicurezza Concentrazione degli attacchi Istituti finanziari e banche - frodi Service Provider - customer database e intercettazioni Pubbliche amministrazioni - sfida, frodi Agenzie governative e della difesa - sfida, spionaggio Aziende farmaceutiche - spionaggio Aziende multinazionali - spionaggio

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 51 Vulnerabilità Le caratteristiche intrinseche di Internet che rendono possibili la grande maggioranza degli attacchi all’esterno: il modello client-server e la tecnologia di trasmissione del tipo “commutazione di pacchetto”. (Cioe’ ogni pacchetto contiene la destinazione finale ed ogni nodo attraversato può esaminarla e in base ad essa ritrasmettere il blocco di dati sull’appropriata giunzione, fino all’utente finale. I blocchi così organizzati sono chiamati pacchetti e questo modo di smistare il traffico attraverso un’intera rete costituisce la Commutazione di Pacchetto.)

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 52 Vulnerabilità delle reti: il modello client-server Server : qualsiasi programma che offre un servizio utilizzabile tramite una rete. Un server accetta richieste che gli arrivano via rete, fornisce il servizio e restituisce il risultato al richiedente. Ogni server è associato ad una porta diversa. Client : e’ un programma che invia una richiesta ad un server, esplicitando l’indirizzo destinatario e la porta associata al servizio, ed attende da questi una risposta.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 53

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 54 Il modello client-server - 2 Un server deve essere in grado di processare più richieste concorrenti (es. più file transfer)... MASTER Clients Generalmente la struttura di un server e’ quella in figura. Il master e’ incaricato di accettare le richieste svolgendo anche compiti di controllo sugli accessi. Accettata una richiesta si “ sdoppia “ ( fork di Unix ) generando uno slave che si occuperà di processare la richiesta. Il master nel frattempo si e’ rimesso in attesa.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 55 Modello generale Server host SMTP/ 25 HTTP/ 80 FTP/ 21 POP3/ 110 Server daemon Client 1Client 2Client n...

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 56 Sicurezza dei server I server ricoprono un ruolo primario nella sicurezza delle reti. Una volta ottenuto un accesso non autorizzato a un server, il resto della rete è facilmente attaccabile

57 Metodologie classiche di attacco alle reti informatiche

58 Breve teoria degli attacchi alle reti

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 59 Tipologie Interruzione (DoS) Modifica highjacking Intercettazione (sniffing) Fabbricazione (spoofing)

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 60 Le armi Sniffers Password Crackers Scanners Worms Rootkit Hijacking tools DNS spoofing tools Exploit Sendmail Guess default pw-s Social engineering Spoofers Killer packets Backdoors Trojan Horse Back Orifice NFS config errors portmapper/RPC Net Bios Config error …………….

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 61 DoS (Denial of Service) Ovvero le azioni finalizzate ad impedire il normale svolgimento di un servizio nella macchina che viene attaccata, Saturando le capacità di comunicazione che una organizzazione ha a disposizione Quasi tutti i tipi di DoS sfruttano i bugs del software e/o le caratteristiche intrinseche del protocollo

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 62 IP spoofing Per ottenere l’accesso, l’intrusore crea dei pacchetti con il source address IP “spoofed” cioè alterato, mascherandosi per un altro. Questo fa sì che applicazioni che usano l’autenticazione basata sul controllo dell’indirizzo IP concedano l’accesso a persone e host non autorizzati. E’ possibile bypassare anche firewall i cui filtri non sono stati disegnati per fermare pacchetti entranti con un source address locale. E’ possibile compiere degli attacchi anche senza ricevere i pacchetti di risposta da parte del target host

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 63 Sniffing intercettazione ed ascolto del traffico, inserendo un apposito programma sulla rete locale intercettazione e modificazione del flusso, costringendolo a “transitare” su una macchine, in cui è installato uno sniffer

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 64 Ip source routing I pacchetti nel protocollo IP sono spediti sulla rete attraverso diversi router allo scopo di raggiungere la destinazione finale. La strada percorsa da ogni pacchetto è determinata dinamicamente da ciascun router lungo il cammino. Utilizzare il source routing su un pacchetto IP permette al pacchetto stesso di “prendere decisioni” sul cammino da intraprendere per raggiungere la destinazione, indipendentemente dalla tabella di routing che i router possiedono

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 65 HighJacking il controllo di una connessione viene preso da un attacker dopo che la fase di autenticazione è già stata superata. inserimento di stream di dati non presenti all’origine Uso dei backorifice

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 66 I principali servizi e le loro vulnerabilità DNS WEB MailServer

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 67 Tramite il DNS si possono fornire varie informazioni su una macchina, oltre al semplice nome. La qualità e la quantità delle informazioni esposte dipende di fatto da come si configurano le proprie zone (i domini per cui si è autoritari) e quante informazioni vengono date sui singoli host. In linea di massima è consigliabile dare alle macchine nomi di fantasia (es: giove.dominio.com) che non siano strettamente collegate alla loro funzione e associarli con un CNAME al nome di un servizio (es: www.dominio.com o upload.dominio.com). A prescindere dalla quantità di informazioni configurate per un dominio sul suo server DNS autoritativo, è anche opportuno limitare il zone transfer della zona solo ai server DNS secondari o a IP fidati. I DNS Riservatezza e sensibilità delle informazioni

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 68 Come per altri protocolli anche i software che vengono usualmente utilizzati per gestire il DNS possono avere buchi ed essere suscettibili di attacchi. In particolare BIND ha una security history relativamente tormentata per cui è importante averne sempre una versione aggiornata per i servizi pubblici. L'intrusione su un server DNS, oltre alle problematiche tipiche di ogni intrusione, è particolarmente critica, perchè sul server violato è possibile modificare facilmente le configurazione del DNS dando via libera ad una vasta varietà di problematiche per tutti i servizi dei domini per cui il server DNS è autoritario. Principali vulnerabilità dei DNS

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 69 Attacchi DOS a server DNS o guasti su linee o sistemi, compresi i ROOT-SERVERS, possono mettere a repentaglio la risoluzione dei nomi su diverse scale. E' prassi comune, anche perchè semplice da implementare, prevedere almeno un server DNS secondario per ogni server primario. I server secondari devono risiedere su reti diverse e possibilmente in zone geografiche differenti. Generalmente il DNS non è un servizio che impegna troppo un sistema per cui può essere tranquillamente implementato su macchine che forniscono altri servizi primari. Principali vulnerabilità dei DNS (2)

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 70 DNS poisoning e attacchi sul protocollo La comunicazione fra client-server e server-server DNS, a meno che non venga usato DNSSEC, non viene validata, autenticata o criptata e può essere soggetta ad una varietà di attacchi con diverse caratteristiche. Il loro punto in comune è quello di fornire risposte DNS arbitrariamente errate e quindi potenzialmente foriere di ogni tipo di attacco a legittime richieste di client ignari. Di fatto il modo migliore per proteggersi dalla intrinseca "buona fede" delle risposte del protocollo DNS sarebbe quella di usare DNSSEC, ma la sua diffusione è ancora troppo lenta e parziale per essere veramente utile.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 71 Le principali accortezze! SEPARARE DNS RESOLVER DA DNS DELEGATED: Se un server DNS ha la delega per un dominio, deve poter rispondere a query DNS di tutti i client su Internet per le zone di cui è autoritario. Se viene utilizzato come resolver da un dato numero di client (i PC di una rete locale, gli utenti di un provider, ecc) deve poter eseguire query ricorsive per conto di tutti i suoi client. Queste sono due funzionalità separate che in linea di massima sarebbe opportuno implementare su 2 macchine separate: - Un server delegato, che permette query da tutta Internet, non permette query ricorsive e permette zone transfer solo ai suoi slave. - Un server resolver, che permette l'accesso solo da un range di IP definito, permette query ricorsive e nega ogni zone transfer. Molti tipi di attacchi di DNS poisoning, infatti, si basano sulla funzionalità di recursive query, che quindi andrebbe limitata per quanto possibile. Se, come spesso accade, il proprio server DNS deve essere sia autoritativo per alcuni propri domini che fare da resolver per i propri client, è possibile configurarlo per cercare di espletare entrambe le funzioni limitando i rischi di sicurezza:

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 72 Le principali accortezze! NEGARE LO ZONE TRANSFER Il trasferimento di zona avviene esclusivamente fra due server DNS (può farlo anche un client, ma solo per raccogliere informazioni non necessarie) quando viene aggiornata una zona sul master e trasferita agli slave. LIMITARE LE POSSIBILITA' DI QUERY Quando si imposta un server DNS come resolver su un client, ogni richiesta fatta dal client al server viene completamente processata dal server stesso, se il server non ha la risposta nella sua cache o fra le zone di cui è autoritativo, il server DNS richiede per conto del client, le informazioni ai server DNS autoritativi. Questa operazione si definisce Query Ricorsiva e viene generalmente permessa sui server DNS che forniscono il loro servizio come resolver ad un dato range di client. Se il proprio server DNS funge solo da resolver e non è autoritativo per alcun dominio (quindi non deve ricevere query da altri server DNS) è può configurare Bind per limitare query solo da dati IP:

73 Sicurezza dei Web Server Secure Socket Layer (SSL) Transport Layer Security (TLS)

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 74 Sicurezza dell’accesso Web In teoria, l’accesso al Web è una semplice interazione client- server Protocolli tipo Kerberos potrebbero essere applicati Caratteristiche speciali dell’accesso al Web I Web server sono spesso “esposti”, accessibili a chiunque Spesso i Web server devono essere connessi a database “critici”, e possono essere pericolosi se compromessi Il software applicativo è sviluppato velocemente per i web server, senza tener conto, molto spesso del problema della sicurezza Gli utenti del Web spesso non sono soggetti alle regole “corporate” Gli utenti del Web sono spesso del tutto sconosciuti Non si può contare sul fatto che gli utenti del Web “svolgano con diligenza” il loro compito in un protocollo di sicurezza.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 75 Minaccie alla sicurezza del Web Integrità Corruzione dei dati sui server Corruzione dei messaggi Confidenzialità Furto dei dati da un server o da un client Intercettazion della comunicazione Info sulla configurazione di rete Info sul traffico di rete Interruzione Denial of Service e DDOS Autenticazione Impersonificazione di utenti legittimi Creazione di dati “fasulli” (server o client) System Security Communication Security System Security Communication Security System Security

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 76 Posta elettronica Worm e virus Unsolicited Commercial Email (UCE) Riempie il server di pubblicità non richiesta. Open Relay Viene lasciato libero accesso ad un mail server che viene così usato da terzi per inviare posta.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 77 Unsolicited Commercial Email (UCE): L’invio di email è pressoché gratuito. Il mittente a volte sfrutta un open relay per rilanciare la spedizione; da un messaggio possono nascerne centinaia. La ricezione costa al destinatario in quanto impegna la banda, occupa spazio disco e consuma risorse CPU.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 78 Open Relay Viene sfruttato il mail server della vittima per convenienza economica e/o per nascondere il reale mittente del messaggio. Ciò può servire ad esempio per inviare pubblicità di OGNI tipo a costo quasi nullo, inviare posta ad altri spacciandosi per un dipendente dell’azienda.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 79 Proteggere un mail server Contro i worm si può usare un antivirus che funzioni anche per i server. Il suo meccanismo di funzionamento è leggermente diverso rispetto agli antivirus desktop, perciò esistono prodotti appositi. L’aggiornamento del programma antivirus è sempre indispensabile.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 80 Proteggere un mail server Molti programmi permettono di rifiutare o eliminare molte UCE attraverso la consultazione di liste pubbliche di mail server che inviano UCE (sono aggiornate quasi in tempo reale), l’analisi del contenuto del messaggio in modo simile a quello di un antivirus. Anche le UCE possono contenere malicious code.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 81 Proteggere un mail server Il mail server deve essere configurato in modo da ricevere posta solo per destinatari noti e inviare posta solo se proveniente da mittenti conosciuti. Da un software all’altro cambia la sofisticazione dei controlli effettuati prima di accettare o rifiutare un messaggio.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 82 Prodotti lato client e lato server SpamAssassin (http://www.spamassassin.org/ SpamPal (http://www.spampal.org/)

IAC Sicurezza dei sistemi NT

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI prof. Guido Russo – ing. Angelo Violetta Introduzione La domanda tipica: > L’affermazione tipica: >

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 85 Introduzione La risposta da dare e’ >

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI prof. Guido Russo – ing. Angelo Violetta Le Strategie 1. Rafforzare ogni windows server che puo' essere esposto ad un potenziale attacco proveniente da Internet (fuori filtro!) 2. Realizzare extra protezioni (per sistemi interni al filtro) rete perimetrali (perimeter network) sicure in grado di separare la rete interna in varie sottosezioni sicure es: Es. i pc dell’amministrazione!

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI prof. Guido Russo – ing. Angelo Violetta Un po’ di teoria: gli “attacchi” Un server internet e' sottoposto ad una serie di attacchi che possiamo suddividere in tre macro categorie Intrusione Denial of Services (DOS) Furto d'informazioni

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 88 Microsoft la vittima “preferita” http://www.attrition.org/mirror/attrition/ mantiene una lista aggiornata di siti web che sono stati sottoposti ad attacco circa il 60% degli attacchi registrati ad oggi hanno visto come "vittima" un sistema NT/Windows 2000

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI prof. Guido Russo – ing. Angelo Violetta Le Istallazioni software Molto spesso “gli attacchi” sono resi possibili dalla istallazione di software “impropria” o “superficiale”: non molto tempo fa il sito della Apache (www.apache.org) e' stato sottoposto ad attacco:

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 90 L’attacco al sito Apache  un file php e' stato scaricato in una directory pubblica dell'FTP server.  La root del web server era la stessa dell ftp server  utilizzando il file php richiamato da remoto via web l’intruso ha attivato una porta "alta"

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 91 L’attacco al sito Apache  l'intruso ha aperto una shell interattiva ed analizzando i processi in esecuzione ha potuto individuare un processo di database con privilegi di root  forzando quest’ultimo ha ottenuto una shell di root

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 92 L’attacco al sito Apache Gli errori di configurazione di Apache che hanno reso possibile l'attacco sono seguenti: il web server e l'ftp server avevano la stessa root le porte "alte" non erano state disabilitate o messe sotto il controllo di un filtro il database era stato configurato in modo tale che alcuni processi di gestione avessero privilegi di root

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 93 L’attacco al sito Apache Ed era un sistema Unix! I sistemi Windows NT presentano situazioni di vulnerabilita' ancora piu' consistenti e lo stesso “gioco” si potrebbe fare utilizzando ASP e Vb-Script, ma molto spesso gli intrusi utilizzando i servizi per la condivisone di file e stampanti (Windows file sharing), inseriscono programmi per intercettare password e login

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 94 Perche’ colpire un sito CNR? sfruttare la velocità di rete di alcuni istituti privilegiati utilizzo delle risorse di sistema per elaborare con processori piu' potenti calcoli per “crackare” software creare sequenze per far perdere le proprie tracce, o peggio ancora per far accusare altri “puro” gioco altre....

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 95 Realizzare un Sito "sicuro" Realizzare e mantenere servizi sicuri con sistemi operativi Microsoft impone una serie di operazioni ed accorgimenti molto piu' complessi di quello che puo’ realizzare un’ istallazione “tipica”, in piu’ la sicurezza di un sito e' costituita da due "ingredienti fondamentali":  accurata pianificazione ed amministrazione "umana"  software sicuro

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 96 Perche’ molti usano OS Microsoft? E' semplice istallarlo e non necessita di conoscere "profondamente" il sistema operativo. Molte delle componenti che vengono istallate e inizializzate automaticamente in Windows NT, Windows 2000, WindowsXP sono simili se non uguali alle applicazioni che l'utente comune puo' trovare su W95/W98/WME/WXHE.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 97 Perche’ molti usano OS Microsoft? Queste caratteristiche sono molto comode, per es. per la gestione della condivisione dei file e per la condivisione di stampanti in reti interne Mentre per un server internet esterno rappresentano un limite grave proprio perche’ ci si può improvvisare system manager pensando che sia tutto molto “semplice”

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 98 Bastione Un server microsoft esterno che fornisce un insieme minimo di servizi ben configurati garentendo un buon livello di sicurezza è definito (in letteratura!):Bastione

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 99 Bastione NT Un bastione e' quindi una macchina (NT o W2000) che ha un ruolo critico nell'ambito della rete perche' esposto ad attacchi provenienti dall'esterno tipicamente via internet Parliamo quindi di server quali Web Server FTP server DNS Firewall e/o gateway

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 100 Fortificare un bastione Quando si vuole fortificare un bastione bisogna porsi due domande:  In che modo il bastione protegge se stesso dagli attacchi ?  In che modo il bastione protegge la parte di rete a lui accessibile dagli attacchi?

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 101 Istallazione “sicura” di NT server Ingredienti iniziali: “pulito” un disco completamente “pulito” una macchina disconnessa dalla rete durante l'istallazione (o almeno che l'istallazione avvenga in una zona della rete sicura!) non istallare altri sistemi operativi sulla macchina usare solo formattazione NTFS

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 102 Custom Install Custom Install Selezionare “Custom Install” e selezionare solo le seguenti componenti Microsoft Data Access Components 1.5 Data Sources MDAC: ADO, OBDC, and OLE DB Remote Data Service 1.5 RDS Core Files Microsoft Management Console NT Option Pack Common Files Transaction Server Transaction Server Core Components

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 103 Altri accorgimenti iniziali Non istallare IIS server !! Istallare comunque l'ultima service pack ossia la versione 6a per Windows NT(che contiene inoltre tutti gli "hotfixes" alla versione 6), la service pack2 per Windows2000 infine per XP autorizzare sempre il download degli aggiornamenti automatici Istallare solo il tcp/ip e nessun altro protocollo di rete addizionale

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 104 In ogni caso: Dare sempre un “occhiata” a: http://www.microsoft.com/technet/security/bulletin/ Tutte le notizie!! http://www.puntoinformatico.it/news Solo le piu’ gravi!!

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 105 Rimuovere i servizi di rete inutili Utilizzando il pannello di controllo rimuovere tutti i servizi non utilizzati tranne l’RPC che rappresenta la configurazione per il port mapper di NT (RpcSs). Per altro IIS non puo‘ partire senzal'abilitazione di questo servizio.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 106 Le due schermate!

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 107 Rimuovere i servizi di rete inutili Da notare che tra i servizi rimossi c'e' il servizio Workstation e questo comportera' ad ogni accensione del server un alert di sistema Un altra "scocciatura" e' che lo user manager dei domain in NT (usrmgr.exe) non lavora in assenza del servizio workstation; rimpiazzatelo con lo user manager (musrmgr.exe) di NT workstation.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 108 Eliminare il NetBios Disabilitare l'interfaccia Netbios: Netbios e’ il colpevole assoluto di quasi tutti gli attacchi a sistemi NT e’ infatti facile fare scan di “range” ip alla ricerca di pc con netbios (v. Legion http://rhino9.ml.org) e’ poi ancora piu’ facile individuare le risorse condivise ed appropiarsene

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 109 “Come fanno!!”  Uno scan con Legion in un range di ip per trovare pc con netbios attivo  si sceglie un ip_number  nbtstat -A ip_number  trovo il pc_name  edit c:\winnt\lmhosts “ip_number pc_name #PRE “  nbtstat -R (Se si utilizza questo file sull'unità locale, non sarà necessario trasmettere richieste di risoluzione dei nomi a un server WINS o DNS e attendere la risposta)  net view \\pc_name  ora conosco tutte le risorse condivise!!

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 110 Disabilitare i servizi superflui Disabilitare tutti i servizi inutili eccetto i seguenti : EventLog (Registro degli Eventi) NT LM Security Support Provider (provider supporto protezione NT LM) Plug and Play Protected Storage Remote Procedure Call (RPC) Service (Servizio Chiamata Procedura Remota)

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 111 Attivare il filtro TCP/IP configurare le porte abilitate "in entrata" per il TCP e l'UDP Nell'esempio proposto e' abilitata la porta 80 tcp ma disabilitata l'udp essendo individuato l'IP protocols 6 (TCP), ma non il 17 (UDP!)

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 112 Controllare i processi attivi I processi attivi a questo punto devono risultare: smss.exe (il manager delle sessioni) csrss.exe (il Client Server Subsystem) winlogon.exe (il processo di logon!) services.exe pstores.exe (il protected storage ) lsass.exe (la Local Security Authority) rpcss.exe (l’RPC mapper) explorer.exe, loadwc.exe, nddeagnt.exe (Explorer ed i suoi sottoprocessi!)

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 113 Criptare il database degli accounts Per effettuare questa operazione (irreversibile!) bisogna lanciare la syskey.exe, il programma si trova nella directory %SystemRoot%\system32 Tra le altre cose questa procedura garantisce protezione rispetto allo “L0pht Crack” o meglio: “LC3 - The Password Auditing and Recovery Application” (http://www.atstake.com/research/lc3/)

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 114 Microsoft Security Configuration Editor A questo punto vanno definite le politiche di sicurezza utilizzando il programma secedit.exe: Questo tool e' presente dalla service pack 4 e "permane" in Windows 2000 ed XP! Il file bastion.inf realizzato dalla HP e raccomandato da Microsoft (e’ nel CD) viene dato in "pasto" al tool

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 115 Il comando da utilizzare C:> secedit /configure /cfg bastion.inf /db %TEMP%\secedit.sdb /verbose /log %TEMP%\scelog.txt

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 116 Secedit Secedit permette di gestire con un unico file di configurazione: Criteri account: protezione per criteri password, di blocco di account e Kerberos Criteri locali: diritti utente e registrazione degli eventi di protezione

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 117 Secedit Gruppi di restrizione: amministrazione dell'appartenenza a gruppi locali Registro di sistema: protezione per le chiavi di registro locali File System: protezione per il file system locale Servizi di sistema: protezione e modalità di avvio per i servizi locali

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 118 Un esempio di parametri settati dal file bastion.inf Applica l'unicità della password memorizzando le ultime 6 password Consenti archiviazione password con crittografia reversibile per tutti gli utenti del dominio Disabilitato Le password devono essere conformi ai requisiti di complessitàAttivato Lunghezza minima password10 Caratteri Validità massima password42 Giorni Validità minima password2 Giorni

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 119 Un esempio di parametri settati dal file bastion.inf Limite di blocchi dell'account5 Tentativi di accesso non validi Reimposta blocco account dopo720 Minuti

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 120 Le regole rinominano anche l'account di administrator a root: cosa che andrebbe sempre e comunque fatta!! (XP lo fa in automatico!!) Una parte dgli script si occupa di disinstallare i sottosistemi del sistema operativo relativi a DOS, Win16, OS/2 e Posix In ogni caso le variazioni si possono visualizzare e variare in: criteri di protezione locali sul sito: “http://www.shebeen.com/iis4_nt4sec.htm#Table 3” il file bastion.inf e’ spiegato “riga per riga”! Cambiamenti importanti

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 121 Rimozione di file pericolosi in \system32 ntvdm.exe (NT Virtual Dos Machine) krnl386.exe (Win16 Enhanced-mode kernel routines) psxss.exe (Posix server) posix.exe (POSIX Console Session Manager) psxdll.dll (POSIX Server dll) os2.exe, os2ss.exe, os2srv.exe (OS2 servers) os2\ (directory)

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 122 Rimozione di file pericolosi in \system32 E’ utile consultare la lista di tutti gli exe del sistema NT e delle librerie associate per es. su http://www.labmice.net/articles/standardexe.ht m

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 123 L’architettura di WNT

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 124 File potenzialmente dannosi in \system32 nbtstat.exe (netstat via netbios) tracert.exe (trace route!) telnet.exe tftp.exe (Trivial File Transfer Protocol via UDP) rsh.exe rcp.exe (copy e read via rcp) rexec.exe (esegue comandi su un host remoto in cui e’ in esecuzione rexec) finger.exe ftp.exe lpq.exe lpr.exe

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 125 Altre Avvertenze! non e' possibile fermare il listening dell'RPC (RpcSs.exe, TCP e UDP, porta 135). Per altro RpcSs.exe tiene viva ed in ascolto una porta alta (tcp/1027) e questo listener non e' ben documentato Un' altra porta "strana" e' la udp/1028 che pero' non sembra accettare connessioni di alcun tipo!

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 126 “Netstat -a” a questo punto!

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 127 Controllo dei filtri ip utilizzando: Netcat Netcat permette di aprire un piccolo server telnet sulla macchina in cui e’ in esecuzione: da client ci si puo’ connettere su una porta desiderata via telnet o via netcat stesso Il programma per WNT si trova su http://www.atstake.com/research/tools/ind ex.html I comandi da utilizzare sul server sono: nc -l -p yy -t -e cmd.exe

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 128 Controllo dei filtri ip utilizzando Netcat l'opzione -l impone a nc.exe di "ascoltare" connessioni sulla porta impostata da -p, il comando -e fa eseguire un comando in locale e pone l'input e l'output sulla porta yy infine il -t impone al netcat di comportarsi come una sorta di server telnet! Si puo’ impostare qualunque porta!!

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 129 Controllo dei filtri ip utilizzando netcat! il test consiste nel fare un telnet sulla porta yy o un nc xxx.xxx.xxx.xxx yy, se non e’ filtrato guadagnerete una shell in locale con gli stessi "poteri" di chi ha inizializzato il processo senza alcun bisogno di autenticazione.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 130 Controllo per netbios Si puo’ usare netcat anche per verificare che netbios e’ disabilitato: nc -v -L -e cmd.exe -p 139 -s xxx.xxx.xxx.xxx se netbios e' attivo e non ci sono filtri tra le due macchine guadagnerete una shell di root!!

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 131 Conclusione: Se il nostro NT server viene configurato come detto fin qui’ avremo ottenuto un “bastione fortificato” ed avremo risposto alla prima domanda: In che modo il bastione protegge se stesso dagli attacchi ?

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 132 La II domanda In che modo il bastione protegge la parte di rete a lui accessibile dagli attacchi?  se il server deve far parte di una “perimeter” network bisognera’ fare i conti con la seconda domanda”: In che modo il bastione protegge la parte di rete a lui accessibile dagli attacchi? Ma in questo caso la risposta dipende dalla progettazione della sicurezza per l’intera rete, o meglio della “perimeter network”

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 133 Perimeter Network Zona perimetrale: ossia la parte di network che fa da cuscinetto tra la rete esterna e quella interna!

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 134 Perimeter Network Le zone perimetrali possono essere una o piu’: vanno individuate!

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 135 Gli elementi di una zona perimetrale Routers Firewall gateways Bastioni Switches e hubs

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 136 Perimeter Network Esempio con NT Web Server e DB server: zona perimetrale con un solo sbarramento di sicurezza

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 137 Un’ultima avvertenza sul Samba Server 1999_03_15: SAMBA e client Windows 95/98 Problemi di gestione di SAMBA in caso di configurazione troppo permissiva nei confronti di client Win9x. 1999_03_16: Riutilizzo di autenticazioni SMB da client Win9x L'autenticazione di client Win9x viene fatta tramite token di validità estesa a 15 minuti. V. http://taurus.polito.it/nt/

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 138 Le principali fonti di informazione Mailing List  NT BugTraq, i cui archivi sono disponibili al sito Web www.ntbugtraq.com;  le mailing list, più specifiche, accessibili per iscrizione al sito www.ntsecurity.net;  www.netspace.org, nel quale vengono anche segnalati problemi riguardanti altri sistemi operativi.

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 139 Le principali fonti di informazione  Siti Web con programmi di test/attacco e aggiornamenti software  www.microsoft.com, e in particolare le sezioni sulla sicurezza (www.microsoft.com/security) e su Windows NT Server (www.microsoft.com/ntserver);  FBI CyberNotes, un bollettino quindicinale sui principali problemi di sicurezza di sistemi operativi e applicazioni;

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 140 Le principali fonti di informazione  Cybermedia Software, sul quale vengono offerti tra l'altro i codici sorgenti per implementare programmi di test e debug;  www.bugnet.com, con notizie, test di applicazioni, ecc.  www.insecure.org, un sito di notizie e programmi sorgente per hackers;  www.L0pht.com, un sito di notizie e programmi sorgente, con patch e tool di analisi.

IAC Implementazione dei servizi in ambiente NT

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 142 Il software freeware e shareware Lista del software recensito da Microsoft: http://www.microsoft.com/NTServer/nts/exec/ vendors/freeshare/default.asp Lista dei server tucows italiani: http://www.tucows.com

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 143 I software freeware scelti Ftp server: War FTPD Web Server: Sambar Server

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 144 War FTPD Anche se completemente “free”, e' uno dei migliori FTP Server per Win95/98/Me/NT/2000/XP, adatto anche per utilizzi professionali Tantissime le opzioni di configurazione e di sicurezza! Puo' essre impostato come servizio iniziale di NT

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 145 War FTPD Consente di configurare directory, nomi degli utenti e permessi di accesso attraverso una finestra di dialogo assolutamente “amichevole” Si puo’ “scaricare” gratuitamente su http://support.jgaa.com

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 146 Il manager di War FTPD

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 147 Il manager di War FTPD Vediamo rispetto all’utente anonymous i tre principali menu’ Security File access IP access list

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 151 Condivisione degli NT user Come importare/esportare utenti tra NT e WarFtpd Aprire lo user manager Selezionare l’”Account/Subclassing dialog” Selezionare il nodo “Visitors” Cambiare il valore della “subclass” da “Default” a “NT” Click sul “Browse button” Selezionare il dominio NT o la macchina da cui si vuole importare utenti!

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 153 Import degli NT user (segue) click con il tasto destro su di un gruppo NT Premere OK. Premere “exchange users” Similmente si puo’ esportare un gruppo di utenti (o classe) creando un nuovo gruppo locale ed utilizzando la stessa procedura. Una volta importati gli utenti si possono definire le directory di accesso,i diritti, le password, ecc…..

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 155 Sambar Server Il sambar server e’ insieme: HTTP, FTP e Proxy server tutte le sue componenti sono facilmente configurabili e possiede molte “features” tra cui una “Search Engine” interna affidabile e potente, e’ assolutamente freeware ed ha una ampia e chiara documentazione Il sito di riferimento e’ http://www.sambar.com/

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 156 I file di configurazione L’interfaccia di configurazione in questo caso non e’ grafica I file di configurazione si trovano nella subdirectory \config della %Sambaroot%

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 157 I file da configurare I tre file in \config piu’ importanti sono: config.ini (configurazioni di default del/dei servizi) security.ini (controllo e gestione di accessi) mappings.ini (mappatura tra nomi “virtuali” e directory “reali”)

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 158 Es. di config.ini [server] Server Version = 4 Observe Log Size = 10000 FTP Log Size = 10000 Maximum FTP Users = 10 Maximum FTP Upload = 1000000 System Administrator = admin System Administrator IP = 127.0.0.1 HTTP Port = 80 Maximum Connections = 100 Trace FTP = true Trace Bridge = false Trace DNS = true Forward DNS = true

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 159 Es. di security.ini # security.ini #uri-to-redirect* = [redirect] /homepage = http://www.sambar.com # Only a single directive can be specified for a directory. # Multiple users or groups can be specified by adding them to the # directive line: # uri-to-restrict* = user-or-group-restricted-to [restrict] /secure = billy-bob anonymous # uri-to-restrict* = IP address(s) to restrict to [iprestrict]

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a. 2008-2009 prof. Guido Russo – ing. Angelo Violetta 160 # Mapping File. # # CGI, WinCGI, Modules and ISAPI Extension Assocaitions # [aliases] # url-path = directory-path /quaderni=c:\pippo\pluto\quaderni [cgi-aliases] # url-path = directory-path [wincgi-aliases] # url-path = directory-path Es. di mapping.ini

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a.

Presentazioni simili

Presentazione sul tema: "Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a."— Transcript della presentazione:

Presentazioni simili

Sul progetto

Feed-back

Entrare

Autorizzarsi attraverso i social network:

Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a.

Presentazioni simili

Presentazione sul tema: "Università degli Studi di Napoli “Federico II” Facoltà di Scienze MM. FF. NN. – Sez. Informatica Sistemi per l’Elaborazione dell’Informazione: RETI a.a."— Transcript della presentazione:

Presentazioni simili

Sul progetto

Feed-back