La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Sicurezza di rete Roberto Cecchini INFN, Firenze Ferrara, 28 Maggio 2003.

PubblicatoBeppe Marchesi Modificato 10 anni fa

Presentazioni simili

Presentazione sul tema: "Sicurezza di rete Roberto Cecchini INFN, Firenze Ferrara, 28 Maggio 2003."— Transcript della presentazione:

1 Sicurezza di rete Roberto Cecchini INFN, Firenze Ferrara, 28 Maggio 2003

2 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 20031 Sicurezza: necessità Riservatezza: –la comunicazione è stata intercettata? autenticazione: –lutente è veramente chi dice di essere? Integrità: –i dati ricevuti sono proprio quelli spediti? Non ripudio: –il mio interlocutore può ritrattare quello che ha detto? Disponibilità: –il mezzo di comunicazione è stato reso inutilizzabile? Autorizzazione: –ogni utente può accedere solo alle risorse cui ha diritto

3 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 20032 Sicurezza: principi e strategie 1/4 Minimi privilegi: –ogni oggetto (utente, programma, ecc.) deve avere solamente i privilegi minimi indispensabili per quello che deve fare. Difesa in profondità: –non fare affidamento su di un solo meccanismo di sicurezza, per forte che possa sembrare. Minimizzare i punti di accesso: –un numero ridotto di punti di accesso (uno solo?) rende più facile il controllo. Cercare lanello più debole: –essere coscienti dei propri punti deboli e rafforzarli fino a rendere il rischio accettabile.

4 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 20033 Sicurezza: principi e strategie 2/4 A prova di errore (Fail-Safe): –quando si verifica un errore (prima o poi succede...) il sistema non deve permettere laccesso agli intrusi, anche a costo di tener fuori gli utenti legittimi. Il non espressamente permesso è proibito (Default Deny): –Fail-Safe; –la visione dellutenza è esattamente lopposta; –i servizi vengono abilitati uno per uno sulla base delle effettive necessità, tutti gli altri sono disabilitati. Partecipazione universale –non è possibile (o almeno avrebbe costi elevatissimi) la sicurezza senza la partecipazione degli utenti.

5 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 20034 Sicurezza: principi e strategie 3/4 Diversità di difese: –non solo più di un meccanismo di sicurezza, ma possibilmente di tipi diversi. Semplicità: –sistemi semplici sono più facili da capire e mantenere; –programmi complessi sono sicuramente afflitti da bug, alcuni dei quali possono avere implicazioni di sicurezza.

6 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 20035 Sicurezza: principi e strategie 4/4 Sicurezza via mancanza di informazioni (Security Through Obscurity)? –Sbagliato una macchina collegata ad Internet con lunica protezione che nessuno ne è a conoscenza; un server in modo che ascolta su di una porta diversa da quella di default; –Corretto non divulgare i dettagli del proprio NID system; informazioni dettagliate sul proprio firewall (protocolli ammessi, modello, ecc. ecc.)

7 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 20036 Tipologia delle vulnerabilità Difetti di progettazione nel software o nei protocolli –NFS manca lautentificazione del cliente –TCP IP source routing Previsione numero di sequenza TCP Difetti nella realizzazione del software o dei protocolli –mancanza o errati controlli sul contenuto e la dimensione dei dati (buffer overflow); –mancanza o errati controlli sul risultato delle operazioni; –mancanza o errata gestione esaurimento risorse. Errori nella configurazione del sistema e della rete –FTP anonimo

8 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 20037 Attacchi dalla rete Ormai chiunque può diventare un hacker. Spesso i sistemi in rete sono mal gestiti o addirittura abbandonati. IPv4 non è stata progettata pensando alla sicurezza delle applicazioni –sniffing; intercettazione dei messaggi (password ecc...) analisi del traffico –IP spoofing: falsificazione indirizzo mittente; attacchi con un solo messaggio (es. Smurfing) impersonificazione di un altro host –DNS spoofing –session hijacking: inserimento in una sessione attiva; –man-in-the-middle; –denial of Service (DoS); SYN flood, mail/UDP/ICMP bombing, ping flood, smurf, ecc. ecc. Con IPv6 le cose dovrebbero andare meglio...

9 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 20038 Protezioni Host –strumenti di intrusion detection e controllo COPS, Tiger, tripwire, swatch –personal firewall ipf, ipchains –port / vulnerability scanner nmap, nessus Reti locali –firewall –network intrusion detection Protocolli di connessione –IPSec –SSH –SSL/TLS –PGP, S/MIME

10 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 20039 TCP/IP Application Layer (SMTP, Telnet, SSH, FTP,...) Transport Layer (TCP, UDP,...) Internet Layer (IP, ICMP) Data Link Layer (Ethernet, FDDI, ATM,...)

11 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200310 Internet Control Message Protocol Protocollo di servizio per IP –diagnostica Internet –usato da host e router per segnalare condizioni di errore Usa datagrammi IP –il payload contiene sempre lheader IP e i primi 8 byte del datagramma che ha provocato il messaggio. –vari tipi di messaggio (es. Echo Request/Reply, Host Unreachable, Need to Frag, Time Exceeded, etc..) H. IPH. ICMPDati ICMP

12 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200311 Protocolli di trasporto Concetti per protocolli al livello di trasporto: –Porta astrazione usata dai protocolli di trasporto per distinguere fra più processi sullo stesso host intero a 16 bit (0-65535) per servizi standard identificativo assegnato dalla IANA –Socket coppia (indirizzo IP, porta) generalizzazione del meccanismo di accesso a file

13 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200312 User Datagram Protocol Protocollo connectionless (come IP) –nessuna garanzia di consegna –assenza controllo di flusso –assenza di correzione di errore Destination Port 0481216202428 Source Port UDP ChecksumLength

14 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200313 UDP: problemi Assenza di correzione di errore –Tutti i controlli sul flusso sono a carico del livello applicativo Assenza controllo di flusso –Implicazione di sicurezza: IP spoofing –Semplice per attaccante sostituirsi ad host Host A effettua query a host B Cattivo (C) risponde ad A ed effettua DoS contro B Consigliabile filtrare servizi non essenziali

15 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200314 Trasmission Control Protocol Protocollo connection-oriented –controllo del flusso –affidabilità della consegna –spoofing più difficile (ma non impossibile!) Connessione virtuale tra due socket –connessione in chiaro Destination Port Source Number Acknowledgement Number Options 0481216202428 Source Port Header Length TCP Flags Window Size Urgent PointerTCP Checksum

16 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200315 TCP: inizio sessione Three-Way Handshake Invio SYN seq=x Invio SYN seq=y, ACK x+1 Invio ACK y+1

17 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200316 TCP sequence guessing Le connessioni TCP utilizzano un numero di sequenza per riordinare i pacchetti. Ad ogni nuova connessione viene utilizzato un numero di sequenza (semi-)casuale. Se lattaccante riesce a predire il numero di sequenza, può generare dei pacchetti con mittente falsificato formalmente corretti (anche se, ovviamente, non riesce a vedere le risposte). Perché lattacco vada a buon fine è necessario che il mittente (vero) non riceva i pacchetti di risposta (o non sia in grado di reagire). Come protezione, i router non devono far entrare traffico che risulti proveniente dalla rete interna (ingress filtering).

18 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200317 TCP Session Hijacking Session Hijacking è linserimento in una sessione TCP attiva. Spiando una connessione attiva è possibile sostituirsi ad uno dei due interlocutori. –C spia la connessione tra A e B e registra i numeri di sequenza dei pacchetti –C blocca B (ad es. via SYN Flood): lutente in B vede interrompersi la sua sessione interattiva –C invia pacchetti con il corretto numero di sequenza, con mittente B, in modo che A non si accorga di nulla. hunt o dsniff automatizzano il processo I router non devono far entrare traffico che risulti proveniente dalla rete interna (ingress filtering). Per attaccanti sulla rete interna lunica difesa è la cifratura dei pacchetti.

19 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200318 Portscan Lattaccante effettua da remoto un test dello stato delle porte TCP e/o UDP sulla macchina per determinare le porte attive (aperte), che ammettono connessioni in ingresso, e le porte non utilizzate (chiuse). Una porta aperta individua la presenza di un servizio di rete attivo offerto dallhost A partire dallelenco dei servizi offerti lattaccante può tentare di individuare eventuali vulnerabilità conosciute ed effettuare exploits sulle stesse. Vengono impiegate diverse tecniche per cercare di sfuggire allindividuazione –Decoy scan –SYN scan –FIN scan –...

20 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200319 Nmap # nmap -sS -O t Starting nmap V. 2.53 Interesting ports on t (192.168.1.1): Port State Service 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet 25/tcp open smtp 37/tcp open time 53/tcp open domain 111/tcp open sunrpc 113/tcp open auth 135/tcp open loc-srv 139/tcp open netbios-ssn 515/tcp open printer 849/tcp open unknown 853/tcp open unknown 7000/tcp open afs3-fileserver TCP Sequence Prediction: Class=64K rule Difficulty=1 (Trivial joke) Remote operating system guess: HP-UX B.10.20 A with tcp_random_seq = 0

21 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200320 ISP # 2 ISP # 1 Lo scopo è determinare tramite traceroute simultanei da più origini le macchine che isolano dallesterno la rete interna protetta. = Router IP Network mapping con traceroute

22 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200321 Denial of Service Attacchi di tipo Denial of Service (DoS): –scopo: rendere inutilizzabile un servizio o una risorsa (eventualmente per sostituirsi ad essa). –metodo: inibire la connessione al router o al server, provocarne il crash o comunque il blocco Distributed DoS (DDoS) –attacco di tipo DoS proveniente da più sorgenti contemporaneamente –sfruttano molti host compromessi su reti diverse per lanciare attacchi DoS su vittima Sempre usato IP spoofing –molto difficile rintracciare lorigine dellattacco

23 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200322 vittima DoS: ping of death Invio pacchetti ICMP ping di dimensione maggiore della dimensione massima consentita (65535 bytes) –Attaccante frammenta pacchetti –Frammenti riassemblati da vittima –Ultimo frammento causa overflow attaccante frammenti Internet

24 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200323 DoS: smurf / fraggle Broadcast storm –Invio di pacchetti ICMP echo all'indirizzo di broadcast di una rete (fraggle usa pacchetti UDP) Coinvolti solitamente almeno tre siti: –sito origine dell'attacco (attaccante) –2 siti vittime, uno intermedio (amplificatore) ed uno bersaglio attaccante (10.0.1.0) bersaglio (10.12.5.25) amplificatore (10.2.1.0) ECHO request IP s.: 10.12.5.25 IP d.: 10.2.1.255

25 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200324 DoS: SYN Flood Richiesta grande numero di connessioni da host diversi (spoofing), tramite invio pacchetti TCP SYN, senza mai inviare pacchetto di chiusura del three-way handshake –causa riempimento coda di connessione (può bloccare un router) –non è possibile rintracciare origine attacco (mittente falsificato) –non è possibile usare access-list (ip sorgente varia in modo casuale) –Contromisure: aumentare la dimensione della coda di connessione (SYN ACK queue) e diminuire il tempo di time-out per il "three-way handshake". –Filtri contro lIP spoofing diminuiscono probabilità che propria LAN sia utilizzata come base per questo tipo di attacchi

26 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200325 Distributed DoS (DDoS) Attacchi DoS provenienti contemporaneamente da più sorgenti (anche ~ 1000) Struttura multi-livello attaccante master demoni vittima attaccante master daemon vittima

27 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200326 Protocolli IP + IPsec TCP telnet FTPhttp IP TCP SSL/TLS IP TCP SSH SSLtelnetSSLFTPhttpssshsftpscp IP TCP FTPhttp telnet PGP, S/MIME

28 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200327 Protocolli Network level –trasparenti per le applicazioni, che non devono essere modificate –il network layer deve essere modificato Transport level –viene fornita una libreria di funzioni che può essere utilizzata dai progammi applicativi –necessaria la modifica dei programmi applicativi Application level –trasparenti per la rete –i servizi di sicurezza devono essere individualmente inclusi in ogni applicazione –necessaria la modifica dei programmi applicativi

29 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200328 IPsec Autenticazione e cifratura al livello Network –Authentication Header (AH) autentifica ogni pacchetto; –Encapsulating Security Payload (ESP) cifra i dati in ogni pacchetto; –Internet Key Exchange (IKE) protocollo di negoziazione –metodi di autentificazione –metodi di cifratura consente scambio sicuro di chiavi

30 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200329 IPsec: end-to-end IP Header AH Header TCP Header Dati Authentication Header (tranne per i campi variabili) IP Header ESP Header TCP Header Dati ESP Trailer ESP Auth autenticato cifrato autenticato Encapsulated Security Payload AH campi variabili: TOS, Frg offset, TTL, … ESP autentificazione facoltativa lIP header non è protetto

31 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200330 IPsec: tunnel Encapsulated Security Payload autenticato cifrato A B 12 CA Gli indirizzi A e B non sono visibili allesterno dei gateway 1 e 2 IP Header esterno ESP Header IP Header originale TCP Header Dati ESP Trailer ESP Auth

32 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200331 SSH Rimpiazza telnet e i comandi r (rlogin, rshell) –Versione 1 e Versione 2 (IETF SECSH Working Group); nella versione 1 richiede una distribuzione manuale delle chiavi di host e utenti; –connessione crittografata: protegge da: IP spoofing; IP source routing; DNS spoofing; sniffing; man-in-the-middle; –tunneling traffico tcp e X11; –compressione dei dati (facoltativa, utile per connessioni lente). Molto apprezzato anche dagli hacker, che spesso lo installano sulle macchine compromesse, perché impedisce agli amministratori di capire quali dati vengano trasferiti e per il meccanismo di port forwarding.

33 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200332 SSL/TLS Secure Sockets Layer (SSL) sviluppato da Netscape Communications –Lultima versione (V3.0) è del Marzo 1996; –Netscape Communicator, Internet Explorer. Transport Layer Security (TSL) Working Group (IETF) –versione 1.0 del Gennaio 1999 (RFC 2246). Utilizza certificati X.509 Può essere usato per ogni applicazione TCP (ad es. HHTP, Telnet, FTP, POP3, IMAP) –usato da praticamente tutti i server web sicuri: https://….. –le vecchie applicazioni insicure possono essere usate in modalità tunnel (ad es. stunnel: http://www.stunnel.org)\ Non interagisce bene con firewall/proxy (man-in-the-middle)

34 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200333 S/MIME 1/2 Permette di inviare e-mail MIME firmati e crittografati Supportato (tra gli altri) da Communicator e Outlook Utilizza certificati X.509

35 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200334 S/MIME 2/2

36 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200335 NIDS firewall router dialup LAN esterna server DMZ client Intranet Internet Internet e Intranet

37 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200336 Router di frontiera Responsabile dellinoltro del traffico tra LAN ed Internet. E il primo sbarramento della propria rete –difficile laggiramento da parte dellend-user. Permette di centralizzare un buon numero di controlli di sicurezza. Fondamentale la sua protezione –una compromissione può aprire laccesso alla LAN; –una inadeguata politica di filtraggio può esporre la LAN ad attacchi; –la corruzione delle tabelle di routing può provocare disservizi e accesso non autorizzato a dati. Un router correttamente configurato può minimizzare effetti derivanti da sito compromesso in attacchi DDoS.

38 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200337 Network Intrusion Detection System Forniscono informazioni utili su traffico ostile. Facilitano lidentificazione dellorigine de scansioni e/o attacchi. Permettono di lanciare allarmi in tempo reale. Non sono una panacea per tutti i problemi di sicurezza. In particolare non sostituiscono: –firewall ben configurati; –security audit regolari; –una politica di sicurezza seria. Producono falsi positivi. Possono essere accecati da attacchi DoS. Sono in difficoltà con reti veloci –rete di sensori (uno per macchina?).

39 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200338 Firewall Network device con almeno 2 interfacce di rete –Router o hardware dedicato Separa zone amministrativamente diverse –LAN esterna (insicura) –DMZ –Intranet Effettua routing fra le diverse zone Può effettuare mascheramento indirizzi (NAT) Filtra traffico fra le diverse zone tramite regole predefinite –Router con filtri è un firewall! Può mediare accessi a specifiche applicazioni –Proxy server

40 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200339 Architetture: Screening Router Rete interna Screening Router Firewall

41 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200340 Architetture: Screened Host Bastion Host Rete Interna Screening Router Firewall

42 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200341 Architetture: Screened Subnet Perimeter Network Rete Interna Router esterno Router interno Bastion Host Firewall

43 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200342 Firewall: pro e contro 1.Sono troppo complessi 2.I nuovi servizi sono incompatibili con i FW 3.Sono di difficile gestione, troppo costosi e rapidamente obsoleti 4.Bloccano servizi utili e riducono lutilità di Internet 5.Ad ogni nuovo servizio il FW deve essere riconfigurato 6.Il nuovo sw ha incluso il supporto per la sicurezza (ad es. SSL) 7.Riducono le prestazioni in modo eccessivo 8.I servizi che vengono fatti passare possono avere problemi di sicurezza 9.Non è in grado di bloccare i virus o applet ostili 10.IPV6 renderà i FW obsoleti 1.Sono troppo complessi 2.I nuovi servizi sono incompatibili con i FW 3.Sono di difficile gestione, troppo costosi e rapidamente obsoleti 4.Bloccano servizi utili e riducono lutilità di Internet 5.Ad ogni nuovo servizio il FW deve essere riconfigurato 6.Il nuovo sw ha incluso il supporto per la sicurezza (ad es. SSL) 7.Riducono le prestazioni in modo eccessivo 8.I servizi che vengono fatti passare possono avere problemi di sicurezza 9.Non è in grado di bloccare i virus o applet ostili 10.IPV6 renderà i FW obsoleti 1.Il sw disponibile non è ancora di qualità adeguata 2.In molti casi è lunica protezione possibile 3.Il costo di un incidente di sicurezza è ben maggiore 4.Se le applicazioni sono scritte bene i FW non sono di intralcio 5.In questo modo ogni novità rimane sotto controllo 6.Il nuovo sw spesso è meno sicuro di quello vecchio 7.È solo questione di comprare hw più veloce 8.Anche le macchine interne devono essere ben configurate 9.I FW non sono lo strumento adatto per bloccare virus e applet 10.IPV6 è ancora lontano. 1.Il sw disponibile non è ancora di qualità adeguata 2.In molti casi è lunica protezione possibile 3.Il costo di un incidente di sicurezza è ben maggiore 4.Se le applicazioni sono scritte bene i FW non sono di intralcio 5.In questo modo ogni novità rimane sotto controllo 6.Il nuovo sw spesso è meno sicuro di quello vecchio 7.È solo questione di comprare hw più veloce 8.Anche le macchine interne devono essere ben configurate 9.I FW non sono lo strumento adatto per bloccare virus e applet 10.IPV6 è ancora lontano.

44 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200343 Firewall: limitazioni Scarsa protezione dagli attacchi dallinterno (e dagli utenti...) È sempre possibile un accesso non autorizzato alla rete esterna (ad es. via modem) Scarsa o nessuna protezione da virus, applet Java, e controlli ActiveX Si possono utilizzare tunnel per evitare il blocco di alcuni protocolli

45 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200344 Packet filter Un device (ad es. un router) che controlla ogni pacchetto IP in arrivo per decidere se inoltrarlo o no. I filtri si basano sulle seguenti informazioni –semplici protocollo; porte; indirizzi sorgente e destinazione; flag e opzioni tcp; non prendono in considerazione la parte dati; prendono le decisioni pacchetto per pacchetto; –stateful (dinamici) tengono traccia delle connessioni in corso e possono avere conoscenza dei protocolli più comuni. la necessità di tenere traccia delle connessioni aperte, ovviamente, aumenta il lavoro del filtro

46 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200345 Bastion Host È il sistema a cui si devono connettere gli utenti esterni per accedere alle macchine e ai servizi locali. È particolarmente esposto agli attacchi e quindi deve essere molto curato dal punto di vista della sicurezza –va previsto il caso che il Bastion Host venga compromesso: in altri termini, le macchine interne non devono fidarsene più del minimo indispensabile. la rete su cui si trova non dovrebbe trasportare traffico confidenziale (potrebbero installare uno sniffer): dovrebbe essere isolata dalla rete interna da un packet filter. in alternativa potrebbe essere su di uno switch (ma attenzione, anche gli switch permettono snooping! e anche il traffico multicast potrebbe essere di interesse per un intruso)

47 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200346 Bastion Host: servizi Deve fornire solamente i servizi necessari per accedere ad Internet e quelli che devono essere offerti allesterno, e niente altro (inclusi account utenti). –Servizi sicuri possono essere forniti via packet filtering senza interessare il BH (ma questo dipende dal grado di sicurezza desiderato). –Servizi che possono essere resi sicuri offerti dal BH –SMTP, FTP, HHTP, NNTP,... (richiedono accesso al DNS) –Servizi intrinsecamente insicuri devono essere disabilitati o forniti da una macchina vittima –Servizi non utilizzati (almeno non in relazione ad Internet) devono essere disabilitati

48 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200347 Proxy Un proxy è un software (su di un dual-homed host, o un Bastion Host) che fa intermediario tra il client e il server, dando al client limpressione di parlare direttamente al server, mentre la connessione passa in realtà dal proxy che fa da intermediario. Lo scopo è di rendere il più trasparente possibile laccesso allesterno, mantenendo nello stesso tempo lisolamento dei nodi sulla rete interna protetta. Le modalità di funzionamento sono diverse da servizio a servizio: in generale è necessario un software specifico dalla parte del server, mentre dalla parte del client una di queste possibilità: –software applicativo proxy-aware –sistema operativo proxy-aware –procedure utente proxy-aware –router proxy-aware client proxy serve r

49 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200348 Proxy: client proxy-aware Ad es.: Netscape, Internet Explorer, Lynx –SOCKS e HTTP Le applicazioni possono essere disponibili solo per qualche piattaforma Le applicazioni disponibili possono non essere adeguate alle necessità Il meccanismo non è trasparente: le applicazioni devono essere configurate in modo opportuno

50 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200349 Network Address Translation (NAT) Mapping (dinamico o statico) di un insieme di indirizzi IP nascosti su pool indirizzi pubblici Indirizzi privati non direttamente raggiungibili da Internet Il NAT server mantiene tabella con abbinamenti per inoltro pacchetti 192.168.1.0/24 NAT PC Internet 131.154.6.0/25 192.168.1.3 131.154.6.1 192.168.1.3

51 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200350 IP masquerading Incluso nel kernel di Linux. Permette la traduzione degli indirizzi di rete (NAT) per TCP e UDP: proxying trasparente. Per la comunicazione con le macchine remote viene usato lindirizzo IP del firewall. È in grado di intervenire anche nel caso di protocolli complessi (ad es. ftp), in cui modificare il solo header IP non è sufficiente. 192.168.1.1 193.45.13.5 191.23.1.56 Da: 192.168.1.1:2378 A: 193.45.13.5:80 Da: 191.23.1.56:61001 A: 193.45.13.5:80 Da: 193.45.13.5:80 A: 191.23.1.56:61001 Da: 193.45.13.5:80 A: 192.168.1.1:2378

52 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200351 Firewall e servizi internet Server Perimeter Network Internal Network Proxy Server Bastion Host

53 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200352 Valutare i rischi di un servizio Non fare nessuna ipotesi su comportamenti al di fuori del proprio controllo: non supporre che i client e i server esterni si comporteranno come da specifiche. Che operazioni permette il protocollo? –meno cose permette di fare, più è probabile che sia sicuro –che informazioni rivela e cosa si può cambiare dallesterno? –i metodi di autenticazione e autorizzazione che usa sono appropriati? Che dati trasmette il protocollo? –eventuali dati riservati sono adeguatamente protetti? Quanto bene è realizzato? –tutti i dati in input sono controllati? (solo caratteri validi, lunghezza massima, ecc.) –ci sono comandi (non documentati) lasciati dagli sviluppatori? Può essere usato con un proxy server? Quanto è facile verificare se un pacchetto appartiene ad esso?

54 Elementi di crittografia

55 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200354 Crittografia La crittografia risponde alle esigenze di sicurezza. –Riservatezza: cifratura. –Autenticazione: firma digitale; certificati. –Integrità: one-way hash (message digest). –Non ripudio: Integrità e Autenticazione.

56 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200355 Riservatezza: cifratura Converte un testo in chiaro in uno inintelligibile. Richiede almeno una chiave (un numero). Può essere di due tipi: –simmetrica (a chiave privata) relativamente veloce; come recapitare la chiave ai corrispondenti in modo sicuro? –asimmetrica (a chiave pubblica) lenta: si usa di solito insieme a quella simmetrica; senza il problema della trasmissione della chiave privata.

57 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200356 Cifratura a chiave privata Richiede una chiave segreta nota solo ai corrispondenti La stessa chiave serve per cifrare e decifrare il messaggio Come trasferire la chiave in modo sicuro? Per n utenti il numero delle chiavi è O(n 2 ). AB ciao3$rciao AB 3$r ciao 3$r

58 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200357 Cifratura a chiave pubblica Ogni utente ha due chiavi generate contemporaneamente: una privata e una pubblica: –dalla chiave pubblica è praticamente impossibile scoprire quella privata; –quello che si cifra con una, si può decifrare solo con laltra. Non è necessario nessuno scambio di chiavi segrete: –il mittente cifra con la chiave pubblica del destinatario; –il destinatario decifra con la propria chiave privata. Per n utenti il numero di chiavi è O(n) Chiavi di B pubblica privata Chiavi di A pubblica privata AB ciao3$rciao AB cy7 ciao 3$r cy7

59 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200358 Integrità: one-way hash Funzioni che hanno in ingresso un messaggio di lunghezza variabile e producono una stringa di lunghezza fissa (hash). È praticamente impossibile trovare un messaggio che produca un hash specificato. Modificando anche un solo bit del messaggio si ottiene un hash completamente diverso.

60 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200359 Autenticazione: firma digitale A calcola lhash del messaggio e lo cifra con la sua chiave privata: lhash cifrato è la firma digitale A invia il messaggio e lhash a B. B ricalcola lhash sul messaggio e lo confronta con quello cifrato da A. Se i due hash sono uguali, il messaggio non è stato modificato e A non può ripudiarlo. Chiavi di A pubblica privata A ciao hash (A) B hash (B) hash (A) = ? ciao

61 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200360 Autenticazione: certificati La firma digitale rende sicuro un messaggio se: –la chiave privata di A non è stata compromessa; –B è in possesso della vera chiave pubblica di A. La convalida delle chiavi pubbliche viene fatta tramite i certificati: unautorità esterna (Certification Authority) garantisce dellautenticità delle chiavi pubbliche. Due modelli esistenti: –X.509: organizzazione gerarchica; –PGP: web of trust

62 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200361 Certificati X.509 Un certificato X.509 è composto fondamentalmente da: –informazioni sul propietario; –la data di scadenza; –la chiave pubblica del proprietario; –informazioni sullautorità garante (la Certification Authority o CA); Il certificato è firmato dalla CA: –cioè il certificato contiene anche un hash del suo contenuto, cifrato con la chiave privata della CA.

63 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200362 CA: catene gerarchiche e fiducia Per: INFN CA Firma: INFN CA Per: Verisign Firma: Verisign Per: AltraCA Firma: Verisign Per:Leo Firma:AltraCA Per:Silvia Firma:AltraCA Per:Carlo Firma:INFNCA Anche le CA hanno un proprio certificato. Una CA può garantire anche altre CA, di livello inferiore: –catene gerarchiche di certificati Allorigine della catena c è una Root CA, che ha un certificato auto-firmato (root certificate).

64 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200363 Root CA I browser contengono preinstallati alcuni root certificates, visibili sotto Signers nel menu Security. Si possono aggiungere, eliminare e modificare i certificati.

65 R. CecchiniSicurezza di rete Ferrara, 28 Maggio 200364 Public Key Infrastructure (PKI) Una o più Certification Authority organizzate gerarchicamente o via web of trust –Politica di emissione dei certificati: Certificate Practice Statement (CPS) –Emette certificati per server e utenti finali (eventualmente per altre CA) –Mantiene una Certificate Revocation List (CRL) –Gestisce servizi WWW e LDAP Gestione delle chiavi private –Generazione via browser via hardware: ad es. SmartCard –Custodia Hard disk (insicuro!) SmartCard

Scaricare ppt "Sicurezza di rete Roberto Cecchini INFN, Firenze Ferrara, 28 Maggio 2003."

Presentazioni simili

Prof. Carla Fanchin – L.S. Tron

Prof. Carla Fanchin – L.S. Tron
GARR-CERT Il servizio istituito nel Marzo 1999, pienamente operativo da Giugno 1999; 8 unità: 2 a tempo pieno e 6 a tempo parziale, sede centrale a Firenze.

GARR-CERT Il servizio istituito nel Marzo 1999, pienamente operativo da Giugno 1999; 8 unità: 2 a tempo pieno e 6 a tempo parziale, sede centrale a Firenze.
Elaborazione del Book Informatico

Elaborazione del Book Informatico
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.

ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
Configuring Network Access

Configuring Network Access
SSL/TLS.

SSL/TLS.
Italo Losero S tray B ytes strane cose succedono nelle reti....

Italo Losero S tray B ytes strane cose succedono nelle reti....
Corso di laurea in INFORMATICA RETI di CALCOLATORI A.A. 2003/2004 Messaggi di errore e di controllo Alberto Polzonetti

Corso di laurea in INFORMATICA RETI di CALCOLATORI A.A. 2003/2004 Messaggi di errore e di controllo Alberto Polzonetti
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.

Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
INTERNET FIREWALL Bastion host Laura Ricci.

INTERNET FIREWALL Bastion host Laura Ricci.
I modelli di riferimento OSI e TCP/IP

I modelli di riferimento OSI e TCP/IP
La rete in dettaglio: rete esterna (edge): applicazioni e host

La rete in dettaglio: rete esterna (edge): applicazioni e host
NESSUS.

NESSUS.
Per crittografia si intende la protezione

Per crittografia si intende la protezione
La rete del futuro nellautonomia scolastica Sezione propedeutica I fondamentali e concetti di TCP/IP.

La rete del futuro nellautonomia scolastica Sezione propedeutica I fondamentali e concetti di TCP/IP.
Secure Shell Giulia Carboni

Secure Shell Giulia Carboni
Programmazione su Reti

Programmazione su Reti
UNIVERSITÀ DEGLI STUDI DI BOLOGNA

UNIVERSITÀ DEGLI STUDI DI BOLOGNA
PPPoE significa Point-to-Point Protocol over Ethernet ovvero protocollo punto a punto operante su Ethernet, una nuova alternativa per le connessioni.

PPPoE significa "Point-to-Point Protocol over Ethernet" ovvero "protocollo punto a punto operante su Ethernet", una nuova alternativa per le connessioni.
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.

Presentazioni simili

Annunci Google