La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento.

Presentazioni simili


Presentazione sul tema: "Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento."— Transcript della presentazione:

1 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Sicurezza con sistemi GNU/Linux Autore: Massimiliano Ferrero Questo documento può essere scaricato dall'indirizzo

2 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Argomenti Introduzione Sicurezza locale dei sistemi (Host security) Backup e Disaster recovery Sicurezza dei sistemi in rete (Network security) Possibili attacchi (alcuni dei...) Avvisi e aggiornamenti di sicurezza

3 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Introduzione Conoscere ciò che si vuole proteggere Quanta sicurezza e perché? Livelli di rischio accettabili Analisi di rischio (Risk assesment) Rischio residuo Regole di sicurezza (Security policy)

4 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Sicurezza locale dei sistemi (Host security) Sicurezza fisica Sicurezza degli utenti locali Sicurezza dei file system – Permessi – Integrity checker Logging e analisi dei log Password, autenticazione e crittografia Sicurezza del kernel

5 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Sicurezza fisica Allarmi e antifurti Sistemi "anti-scippo" e "anti-scasso" per i pc Accesso ai locali – Badge – Smart card – Accessi biometrici Password del BIOS Protezione del boot loader – lilo – grub Password dello screen saver (xlock, vlock)

6 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Sicurezza degli utenti locali Sapere a chi si da gli account Sapere da dove si dovrebbero collegare gli utenti Rimuovere gli account inattivi root – Non lavorare collegati come root, usare sudo – Fare molta attenzione ai comandi dati come root – Attenzione al PATH: mai. nel PATH di root ! – No telnet, rlogin, rsh, rexec come root

7 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Sicurezza dei file system (1): permessi unix Struttura dei permessi – Lettura, scrittura, esecuzione (read, write, execute) – Proprietario, gruppo, mondo (owner, group, world) umask SUID bit SGID bit sticky bit Niente SUID bit nei file system scrivibili da qualcuno che non sia root (nosuid in /etc/fstab)

8 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Sicurezza dei file system (2): alcuni comandi Trovare tutti i file con SUID/SGID impostati find / -type f \( -perm o -perm \) Trovare tutti i file scrivibili da tutti (world writable files) find / -perm -2 ! -type l -ls Trovare tutti i file senza owner: find / \( -nouser -o -nogroup \) -print Eseguire questi controlli periodicamente (di notte) e confrontare i risultati con quelli precedenti

9 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Sicurezza dei file system (3): Integrity checker Integrity checker – Tripwirehttp://www.tripwire.org – Aide – Osirishttp://osiris.shmoo.com – Samhainhttp://samhain.sourceforge.net Creano un database con le signature dei file rilevanti del sistema Usandoli periodicamente e confrontando i risultati è possibile rilevare modifiche non autorizzate

10 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Logging e analisi dei log File di log/var/log syslogsyslogd, klogd /etc/syslog.conf Analisi dei file log (intrusioni, modifiche, " buchi " temporali,...) Logging remoto Logging sicuro/crittografato

11 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Password /etc/passwd Crittografia DES non reversibile (one-way) MD5 /etc/shadow (Shadow password) Attacchi a forza bruta – Crack – John the ripper

12 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Autenticazione Password Shadow password Kerberos PAM (Pluggable Authentication Module)

13 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Crittografia Simmetrica – DES – 3DES – IDEA – Blowfish Asimmetrica, sistemi a chiave pubblica e privata – PGP (Pretty Good Privacy), RSA – GPG (GNU Privacy Guard), Diffie-Hellman, DSA

14 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Sicurezza del kernel Opzioni / parametri del kernel per: – Routing – Spoofing – ICMP – Pacchetti frammentati Patch di sicurezza Openwall Patch IPTables, Patch-O-Matic

15 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Backup e Disaster recovery Salvataggi (backup) Politiche di rotazione dei supporti Immagazzinamento dei supporti Test di ripristino (restore) Password in busta chiusa Disaster recovery – Documentazione dei sistemi – Documentazione delle procedure

16 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Sicurezza dei sistemi in rete (Network security) Servizi di rete e TCP wrappers Firewall SSH Certificati / SSL Protocolli sicuri di posta: APOP, ASMTP, STARTTLS, RBL IPSEC / VPN Packet sniffer, Port Scanner, Vulnerability Scanner, Intrusion Detect Systems

17 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Servizi di rete Boot del kernel: l'ultima azione è il lancio del processo init, il " padre " di tutti gli altri processi init /etc/inittab /etc/init.d /etc/rc.d Demoni e superdemoni inetd, xinetd /etc/inetd.conf /etc/xinetd.conf Rimuovere i servizi inutili

18 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) TCP wrappers wrappers: sono dei processi che " avvolgono " (to wrap) altri processi, schermandoli in determinati modi tcpd: un TCP wrapper, permette di accettare connessioni solo da determinati indirizzi /etc/host.allow /etc/host.deny

19 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) NIS e NIS+ NIS (Network Information Service) o YP (Yellow Pages) – Permette di distribuire informazioni e file ai computer collegati su una rete – Non ha meccanismi di sicurezza (autenticazione/crittografia) NIS+ – Un'implementazione più recente – Ha meccanismi di autenticazione e crittografia –

20 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Identd – È un demone che tiene traccia delle connessioni iniziate dall'host sul quale è attivo – Quando viene interrogato da un host remoto restituisce il nome dell'utente proprietario del processo che ha iniziato la connessione – Di solito gli amministratori bloccano questo protocollo o disattivano il demone – Se un processo di una nostra macchina cerca di compromettere un host remoto l'amministratore di quell'host può usare identd per identificare l'owner del processo e quindi informarci, noi potremo poi usare questa informazione per capire chi è l'intruso

21 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Firewall ipfw (kernel 2.0) ipchains (kernel 2.2) Netfilter / iptables (kernel 2.4) iptables è un firewall statefull: ha " memoria " dello stato delle connessioni (nuove/già stabilite) Regole del tipo passa (ACCEPT) / non passa (DENY) in base a: – Indirizzo/porta sorgente – Indirizzo/porta destinazione – Stato della connessione, protocollo – Altre funzioni: logging, SNAT, DNAT, masquerading,...

22 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) SSH SSH: una suite di protocolli per comunicazioni crittografate – ssh v1.x – ssh v2.0 OpenSSH: Una serie di strumenti (free) che sostituiscono strumenti classici non sicuri (telnet, rlogin, rcp,...) Port forwarding: può essere usato per crittografare altri servizi

23 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) X X11 – xhost – xdm: MIT-MAGIC-COOKIE-1,.Xauthority – Le comunicazioni X avvengono in chiaro: X11 SSH port forwarding

24 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Certificati / SSL (1) SSL: Secure Socket Layer – Protocollo per comunicazioni sicure sviluppato da Netscape – TLS: Transport Layer Security – Una nuova versione del protocollo OpenSSL – Una implementazione open source di SSL e TLS – S/MIME: protocollo per posta sicura –

25 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Certificati / SSL (2) Certificati – Contengono dati personali e la chiave pubblica di una persona – Sono delle carte d'identità digitali – Vengono emessi da enti certificatori che ne garantiscono l'autenticità Certification authority – Emettono e firmano i certificati per gli utenti PKI (Public Key Infrastructure) –

26 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Protocolli sicuri di posta elettronica: ricezione, APOP (1) Normalmente lo scambio di username e password per la ricezione di mail avviene in chiaro – APOP: estensione del protocollo POP3, la password viene scambiata crittografata –

27 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Protocolli sicuri di posta elettronica: invio, ASMTP, STARTTLS, RBL (2) Normalmente l'invio di mail non richiede l'autenticazione dell'utente – Ci sono gli spammer – ASMTP: Authenticated SMTP – POP before SMTP – STARTTLS: TLS su SMTP – Problema dei server di posta open relay – Sistemi RBL:

28 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) IPSEC IPSEC: un insieme di protocolli per garantire comunicazioni protette – Confidenzialità (crittografia) – Integrità (crittografia) – Autenticità (firma) – Comunicazioni non ripetibili – AH: Autenticity Header – ESP: Encapsulation Security Protocol FreeS/WANhttp://www.freeswan.org CIPE: Crypto IP Encapsulation

29 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) VPN VPN (Virtual Private Network): Reti Private Virtuali – Servono a creare canali protetti attraverso reti insicure (es. Internet) vtun FreeS/WANhttp://www.freeswan.org VPN su SSH yavipin IPSEC, CIPE,...

30 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Packet sniffer Intercettano i pacchetti in transito sulla rete tcpdump epan, tcpshow: formattano l'output di tcpdump Ethereal Sniffit Snort

31 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Port / Vulnerability Scanner Eseguono dei test su host remoti per capire di che tipo di sistemi si tratta, quali servizi vengono offerti e possibili " buchi " nella sicurezza SATAN Nmaphttp://www.insecure.org/nmap/ Nessushttp://www.nessus.org/ Non free – SAINThttp://www.saintcorporation.com/ – ISShttp://www.iss.net/

32 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) IDS (Intrusion Detection System) Rilevano attacchi in corso sulla rete Si basano sul rilevamento di sequenze (pattern) note degli schemi di attacco Snorthttp://www.snort.org/ ISShttp://www.iss.net/ Possono generare un gran numero di falsi allarmi Altri strumenti

33 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Possibili attacchi (1) Cavalli di troia (Trojan Horses), backdoor – Back Orifice(Windows) – SubSeven(Windows) – Netbus(Windows e Unix) – The Trojan List Pacchetti compromessi – Per evitarli vengono usate signature PGP o GPG Spyware Virus, Worm

34 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Possibili attacchi (2) Buffer overflow, exploit – Es. Vulnerabilità dell'OpenSSL estate – Slapper: SSL/Apache worm Root Kit – Una volta dentro il sistema si installa un root kit che permette di manterne il controllo, accedere alle password e/o nascondere la presenza dell'intruso – es. si modificano login, netstat, ps

35 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Possibili attacchi (3) Attacchi DoS (Denial of Service) – L'attacco è basato sul fatto di interrompere i servizi erogati da uno o più host – SYN flooding – Ping flooding – Smurf attack – Ping'o'death – Teardrop / New Tear – Attacchi DoS distribuiti

36 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Possibili attacchi (4) Packet sniffing ARP spoofing IP spoofing / hijacking DNS spoofing Attacchi "man in the middle" Attacchi TEMPEST (intercettazione elettromagnetica)

37 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Avvisi e aggiornamenti di sicurezza Avvisi di sicurezza e vulnerabilità – CERThttp://www.cert.org – Bugtraqhttp:// Aggiornamenti di sicurezza – RHN: Red Hat Network – security.debian.org Studiare, studiare, studiare!!! Tenersi informati e aggiornati!!!

38 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) WIFI: dove nessun pacchetto è mai giunto prima WIFI: protocolli wireless per comunicazioni senza fili (802.11b, a) Un sistema wireless è composto (almeno) da: – Pc dotati di schede di rete wireless – Access point Se non protette adeguatamente le reti wireless possono diventare un paradiso per i cracker WEP: Wireless Encription Protocol

39 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) WIFI: dal wardialing al warchalking C'era una volta il wardialing: si chiamavano numeri telefonici in cerca di sistemi nei quali introdursi Oggi la nuova frontiera è il wireless – Warwalking – Wardriving – Warflying – Warchalkinghttp://www.warchalking.org

40 Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento può essere scaricato dall'indirizzo (Free Documentation License) Hacker vs Cracker Hacker – Per studio, solo per studio... – Vogliono capire come funzionano le cose, smontarle e rimontarle al contrario Cracker – Animati da meno nobili intenzioni – Sono quelli che la stampa comunemente definisce hacker (erroneamente!!!) Script kiddies – Usano script o programmi precotti per bucare sistemi, senza preoccuparsi di capire come funzionano e cosa fanno


Scaricare ppt "Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - Documento rilasciato sotto licenza GNU FDLQuesto documento."

Presentazioni simili


Annunci Google