La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Sicurezza con sistemi GNU/Linux Autore: Massimiliano Ferrero m

Presentazioni simili


Presentazione sul tema: "Sicurezza con sistemi GNU/Linux Autore: Massimiliano Ferrero m"— Transcript della presentazione:

1 Sicurezza con sistemi GNU/Linux Autore: Massimiliano Ferrero m
Sicurezza con sistemi GNU/Linux Autore: Massimiliano Ferrero Questo documento può essere scaricato dall'indirizzo

2 Argomenti Introduzione Sicurezza locale dei sistemi (Host security)
Backup e Disaster recovery Sicurezza dei sistemi in rete (Network security) Possibili attacchi (alcuni dei...) Avvisi e aggiornamenti di sicurezza

3 Introduzione Conoscere ciò che si vuole proteggere
Quanta sicurezza e perché? Livelli di rischio accettabili Analisi di rischio (Risk assesment) Rischio residuo Regole di sicurezza (Security policy)

4 Sicurezza locale dei sistemi (Host security)
Sicurezza fisica Sicurezza degli utenti locali Sicurezza dei file system Permessi Integrity checker Logging e analisi dei log Password, autenticazione e crittografia Sicurezza del kernel

5 Sicurezza fisica Allarmi e antifurti
Sistemi "anti-scippo" e "anti-scasso" per i pc Accesso ai locali Badge Smart card Accessi biometrici Password del BIOS Protezione del boot loader lilo grub Password dello screen saver (xlock, vlock)

6 Sicurezza degli utenti locali
Sapere a chi si da gli account Sapere da dove si dovrebbero collegare gli utenti Rimuovere gli account inattivi root Non lavorare collegati come root, usare sudo Fare molta attenzione ai comandi dati come root Attenzione al PATH: mai . nel PATH di root ! No telnet, rlogin, rsh, rexec come root

7 Sicurezza dei file system (1): permessi unix
Struttura dei permessi Lettura, scrittura, esecuzione (read, write, execute) Proprietario, gruppo, mondo (owner, group, world) umask SUID bit SGID bit sticky bit Niente SUID bit nei file system scrivibili da qualcuno che non sia root (nosuid in /etc/fstab)

8 Sicurezza dei file system (2): alcuni comandi
Trovare tutti i file con SUID/SGID impostati find / -type f \( -perm o -perm \) Trovare tutti i file scrivibili da tutti (world writable files) find / -perm -2 ! -type l -ls Trovare tutti i file senza owner: find / \( -nouser -o -nogroup \) -print Eseguire questi controlli periodicamente (di notte) e confrontare i risultati con quelli precedenti

9 Sicurezza dei file system (3): Integrity checker
Tripwire Aide Osiris Samhain Creano un database con le signature dei file rilevanti del sistema Usandoli periodicamente e confrontando i risultati è possibile rilevare modifiche non autorizzate

10 Logging e analisi dei log
File di log /var/log syslog syslogd, klogd /etc/syslog.conf Analisi dei file log (intrusioni, modifiche, "buchi" temporali, ...) Logging remoto Logging sicuro/crittografato

11 Password /etc/passwd Crittografia DES non reversibile (one-way) MD5
/etc/shadow (Shadow password) Attacchi a forza bruta Crack John the ripper

12 Autenticazione Password Shadow password
Kerberos PAM (Pluggable Authentication Module)

13 Crittografia Simmetrica
DES 3DES IDEA Blowfish Asimmetrica, sistemi a chiave pubblica e privata PGP (Pretty Good Privacy), RSA GPG (GNU Privacy Guard), Diffie-Hellman, DSA

14 Sicurezza del kernel Opzioni / parametri del kernel per:
Routing Spoofing ICMP Pacchetti frammentati Patch di sicurezza Openwall Patch IPTables, Patch-O-Matic

15 Backup e Disaster recovery
Salvataggi (backup) Politiche di rotazione dei supporti Immagazzinamento dei supporti Test di ripristino (restore) Password in busta chiusa Disaster recovery Documentazione dei sistemi Documentazione delle procedure

16 Sicurezza dei sistemi in rete (Network security)
Servizi di rete e TCP wrappers Firewall SSH Certificati / SSL Protocolli sicuri di posta: APOP, ASMTP, STARTTLS, RBL IPSEC / VPN Packet sniffer, Port Scanner, Vulnerability Scanner, Intrusion Detect Systems

17 Servizi di rete Boot del kernel: l'ultima azione è il lancio del processo init, il "padre" di tutti gli altri processi init /etc/inittab /etc/init.d /etc/rc.d Demoni e superdemoni inetd, xinetd /etc/inetd.conf /etc/xinetd.conf Rimuovere i servizi inutili

18 TCP wrappers wrappers: sono dei processi che "avvolgono" (to wrap) altri processi, schermandoli in determinati modi tcpd: un TCP wrapper, permette di accettare connessioni solo da determinati indirizzi /etc/host.allow /etc/host.deny

19 NIS e NIS+ NIS (Network Information Service) o YP (Yellow Pages) NIS+
Permette di distribuire informazioni e file ai computer collegati su una rete Non ha meccanismi di sicurezza (autenticazione/crittografia) NIS+ Un'implementazione più recente Ha meccanismi di autenticazione e crittografia

20 Identd Identd È un demone che tiene traccia delle connessioni iniziate dall'host sul quale è attivo Quando viene interrogato da un host remoto restituisce il nome dell'utente proprietario del processo che ha iniziato la connessione Di solito gli amministratori bloccano questo protocollo o disattivano il demone Se un processo di una nostra macchina cerca di compromettere un host remoto l'amministratore di quell'host può usare identd per identificare l'owner del processo e quindi informarci, noi potremo poi usare questa informazione per capire chi è l'intruso

21 Firewall ipfw (kernel 2.0) ipchains (kernel 2.2)
Netfilter / iptables (kernel 2.4) iptables è un firewall statefull: ha "memoria" dello stato delle connessioni (nuove/già stabilite) Regole del tipo passa (ACCEPT) / non passa (DENY) in base a: Indirizzo/porta sorgente Indirizzo/porta destinazione Stato della connessione, protocollo Altre funzioni: logging, SNAT, DNAT, masquerading, ...

22 SSH SSH: una suite di protocolli per comunicazioni crittografate
ssh v1.x ssh v2.0 OpenSSH: Una serie di strumenti (free) che sostituiscono strumenti classici non sicuri (telnet, rlogin, rcp, ...) Port forwarding: può essere usato per crittografare altri servizi

23 X X11 xhost xdm: MIT-MAGIC-COOKIE-1, .Xauthority
Le comunicazioni X avvengono in chiaro: X11 SSH port forwarding

24 Certificati / SSL (1) SSL: Secure Socket Layer
Protocollo per comunicazioni sicure sviluppato da Netscape TLS: Transport Layer Security Una nuova versione del protocollo OpenSSL Una implementazione open source di SSL e TLS S/MIME: protocollo per posta sicura

25 Certificati / SSL (2) Certificati Certification authority
Contengono dati personali e la chiave pubblica di una persona Sono delle carte d'identità digitali Vengono emessi da enti certificatori che ne garantiscono l'autenticità Certification authority Emettono e firmano i certificati per gli utenti PKI (Public Key Infrastructure)

26 Protocolli sicuri di posta elettronica: ricezione, APOP (1)
Normalmente lo scambio di username e password per la ricezione di mail avviene in chiaro APOP: estensione del protocollo POP3, la password viene scambiata crittografata

27 Protocolli sicuri di posta elettronica: invio, ASMTP, STARTTLS, RBL (2)
Normalmente l'invio di mail non richiede l'autenticazione dell'utente Ci sono gli spammer ASMTP: Authenticated SMTP POP before SMTP STARTTLS: TLS su SMTP Problema dei server di posta open relay Sistemi RBL:

28 IPSEC IPSEC: un insieme di protocolli per garantire comunicazioni protette Confidenzialità (crittografia) Integrità (crittografia) Autenticità (firma) Comunicazioni non ripetibili AH: Autenticity Header ESP: Encapsulation Security Protocol FreeS/WAN CIPE: Crypto IP Encapsulation

29 VPN VPN (Virtual Private Network): Reti Private Virtuali
Servono a creare canali protetti attraverso reti insicure (es. Internet) vtun FreeS/WAN VPN su SSH yavipin IPSEC, CIPE, ...

30 Packet sniffer Intercettano i pacchetti in transito sulla rete tcpdump
epan, tcpshow: formattano l'output di tcpdump Ethereal Sniffit Snort

31 Port / Vulnerability Scanner
Eseguono dei test su host remoti per capire di che tipo di sistemi si tratta, quali servizi vengono offerti e possibili "buchi" nella sicurezza SATAN Nmap Nessus Non free SAINT ISS

32 IDS (Intrusion Detection System)
Rilevano attacchi in corso sulla rete Si basano sul rilevamento di sequenze (pattern) note degli schemi di attacco Snort ISS Possono generare un gran numero di falsi allarmi Altri strumenti

33 Possibili attacchi (1) Cavalli di troia (Trojan Horses), backdoor
Back Orifice (Windows) SubSeven (Windows) Netbus (Windows e Unix) The Trojan List Pacchetti compromessi Per evitarli vengono usate signature PGP o GPG Spyware Virus, Worm

34 Possibili attacchi (2) Buffer overflow, exploit
Es. Vulnerabilità dell'OpenSSL estate 2002 Slapper: SSL/Apache worm Root Kit Una volta dentro il sistema si installa un root kit che permette di manterne il controllo, accedere alle password e/o nascondere la presenza dell'intruso es. si modificano login, netstat, ps

35 Possibili attacchi (3) Attacchi DoS (Denial of Service)
L'attacco è basato sul fatto di interrompere i servizi erogati da uno o più host SYN flooding Ping flooding Smurf attack Ping'o'death Teardrop / New Tear Attacchi DoS distribuiti

36 Possibili attacchi (4) Packet sniffing ARP spoofing
IP spoofing / hijacking DNS spoofing Attacchi "man in the middle" Attacchi TEMPEST (intercettazione elettromagnetica)

37 Avvisi e aggiornamenti di sicurezza
Avvisi di sicurezza e vulnerabilità CERT Bugtraq Aggiornamenti di sicurezza RHN: Red Hat Network security.debian.org Studiare, studiare, studiare!!! Tenersi informati e aggiornati!!!

38 WIFI: dove nessun pacchetto è mai giunto prima
WIFI: protocolli wireless per comunicazioni senza fili (802.11b, a) Un sistema wireless è composto (almeno) da: Pc dotati di schede di rete wireless Access point Se non protette adeguatamente le reti wireless possono diventare un paradiso per i cracker WEP: Wireless Encription Protocol

39 WIFI: dal wardialing al warchalking
C'era una volta il wardialing: si chiamavano numeri telefonici in cerca di sistemi nei quali introdursi Oggi la nuova frontiera è il wireless Warwalking Wardriving Warflying Warchalking

40 Hacker vs Cracker Hacker Cracker Script kiddies
Per studio, solo per studio... Vogliono capire come funzionano le cose, smontarle e rimontarle al contrario Cracker Animati da meno nobili intenzioni Sono quelli che la stampa comunemente definisce “hacker” (erroneamente!!!) Script kiddies Usano script o programmi precotti per “bucare” sistemi, senza preoccuparsi di capire come funzionano e cosa fanno


Scaricare ppt "Sicurezza con sistemi GNU/Linux Autore: Massimiliano Ferrero m"

Presentazioni simili


Annunci Google