La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

AICA Corso IT Administrator: modulo 5 AICA © 2005 1 EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete.

Presentazioni simili


Presentazione sul tema: "AICA Corso IT Administrator: modulo 5 AICA © 2005 1 EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete."— Transcript della presentazione:

1 AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete

2 AICA Corso IT Administrator: modulo 5 AICA © Concetti di base Architettura ISO/OSI, Ethernet, TCP/IP –Livelli –Incapsulamento dei protocolli –Comunicazioni a pacchetti –Indirizzi IP e porte TCP/UDP

3 AICA Corso IT Administrator: modulo 5 AICA © Wireless ricerca di reti wireless aperte strumenti –unantenna –unautomobile –un ricevitore GPS

4 AICA Corso IT Administrator: modulo 5 AICA © Wireless Prove a Milano (2003) –18 reti –12 senza WEP –da

5 AICA Corso IT Administrator: modulo 5 AICA © Wireless Molti AP hanno una configurazione di default che facillita le operazioni di configurazione È importante conoscere le operazioni di setup per incrementare la sicurezza ed evitare problemi –unwanted "Guests SSID : wireless network name –di solito è abilitato il broadcast SSID in modo che i clients possano effettuare uno scan delle reti wireless disponibili

6 AICA Corso IT Administrator: modulo 5 AICA © Wireless Chiunque (utenti non desidarti) possono effettuare lo scan e vedere la WLAN Per security-sensitive reti aziendali occorre disabilitare broadcast SSID Scegliere unopzione con WEP encryption –confidentiality: uso di RC4 (stream cipher) reinizializzazione per ogni pacchetto WEP key + Initialization Vector (IV) => per-packet

7 AICA Corso IT Administrator: modulo 5 AICA © Gestione dei log Prima fonte di informazioni sugli eventi del sistema –In Unix gestiti da syslogd: file di configurazione /etc/syslog.conf –In windows esiste Event Viewer

8 AICA Corso IT Administrator: modulo 5 AICA © Log applicativi Le applicazioni hanno due possibilità per effettuare il logging –Appoggiarsi al log del sistema –Utilizzare un proprio file di log apache

9 AICA Corso IT Administrator: modulo 5 AICA © Logserver centralizzato Invio dei log singoli su un server –Log maggiormente protetti –Riconoscere correlazioni tra eventi diversi Problemi –Formati differenti tra diversi sistemi operativi

10 AICA Corso IT Administrator: modulo 5 AICA © Firewall o Difesa Perimetrale 1.Definire un perimetro 2.Dividere il mondo in interno ed esterno in modo che il firewall sia lUNICO punto di accesso 3.Il pericolo è sia dentro che fuori!!! (il pericolo interno è il più insidioso ed il più probabile) 4.Il livello di sicurezza è uguale al punto più debole (di solito quindi è nullo...)

11 AICA Corso IT Administrator: modulo 5 AICA © Tecnologie adottate 1.Filtraggio del traffico: chi può passare la frontiera 2.Analisi dei contenuti: cosa può passare la frontiera 3.Sorveglianza: essere pronti a rispondere e riprendersi dagli attacchi 4.Fattore umano: avere procedure e regole per tutto il personale (Piano di Sicurezza)

12 AICA Corso IT Administrator: modulo 5 AICA © Tipi di Firewall Packet Filter: che si limita a valutare gli header di ciascun pacchetto Stateful Inspection: 1 + tiene traccia di alcune relazioni tra i pacchetti che lo attraversano, ad esempio ricostruisce lo stato delle connessioni TCP, e analizza i protocolli che aprono più connessioni.Questo permette ad esempio di riconoscere pacchetti TCP malevoli che non fanno parte di alcuna connessione, o di permettere il funzionamento di protocolli complessi Content Inspection: 2 + effettua controlli fino al livello 7 della pila ISO/OSI, ovvero valutano anche il contenuto applicativo dei pacchetti, ad esempio riconoscendo e bloccando i dati appartenenti a virus o worm noti in una sessione HTTP o SMTPSMTPSMTP Proxy o Application Level Gateway (ALG): la configurazione della rete privata non consente connessioni dirette verso l'esterno, ma il proxy è connesso sia alla rete privata che alla rete pubblica, e permette alcune connessioni in modo selettivo, e solo per i protocolli che supporta. una miscela delle varie possibilità

13 AICA Corso IT Administrator: modulo 5 AICA © Politiche di autorizzazione Tutto ciò che non è espressamente permesso, è vietato –maggior sicurezza –più difficile da gestire Tutto ciò che non è espressamente vietato, è permesso – minor sicurezza (porte aperte) – più facile da gestire

14 AICA Corso IT Administrator: modulo 5 AICA © Elementi di base screening router ( choke ) –router che filtra il traffico a livello IP bastion host –sistema sicuro, con auditing application gateway ( proxy ) –servizio che svolge il lavoro per conto di un applicativo, con controllo di accesso dual-homed gateway –sistema con due connessioni

15 AICA Corso IT Administrator: modulo 5 AICA © Livelli di controllo

16 AICA Corso IT Administrator: modulo 5 AICA © Screening router

17 AICA Corso IT Administrator: modulo 5 AICA © Screening router usa il router per filtrare il traffico sia a livello IP che superiore non richiede hardware dedicato non necessita di proxy e quindi di modifiche agli applicativi facile, economico e... insicuro!

18 AICA Corso IT Administrator: modulo 5 AICA © Dual-homed gateway

19 AICA Corso IT Administrator: modulo 5 AICA © Dual-homed gateway router: –blocca i pacchetti da LAN a Internet a meno che arrivino dal bastion host –blocca i pacchetti da internet a LAN a meno che siano destinati al bastion host –eccezione: protocolli abilitati direttamente bastion host: –circuit/application level gateway per abilitare selettivamente dei servizi

20 AICA Corso IT Administrator: modulo 5 AICA © Dual-homed gateway più caro da realizzare più flessibilità complicato da gestire: due sistemi invece di uno si può selettivamente allentare il controllo su certi servizi / host si possono mascherare solo gli host/protocolli che passano dal bastion (a meno che il router abbia funzionalità NAT)

21 AICA Corso IT Administrator: modulo 5 AICA © Screened subnet

22 AICA Corso IT Administrator: modulo 5 AICA © Screened subnet DMZ (De-Militarized Zone) –sulla rete esterna - oltre al gateway - ci possono essere più host (tipicamente i server pubblici): web accesso remoto... si può configurare il routing in modo che la rete interna sia sconosciuta soluzione costosa

23 AICA Corso IT Administrator: modulo 5 AICA © Tecnologia dei firewall (static) packet filter stateful (dynamic) packet filter application-level gateway / proxy stateful inspection circuit-level gateway / proxy cutoff proxy

24 AICA Corso IT Administrator: modulo 5 AICA © Packet filter pacchetti esaminati a livello rete (indirizzi IP, porte, protocollo ) Sui router

25 AICA Corso IT Administrator: modulo 5 AICA © Packet filter: pro e contro indipendente dalle applicazioni –ottima scalabilità –controlli poco precisi: più facile da fregare (es. IP spoofing) ottime prestazioni basso costo (disponibile su router e molti SO) arduo supportare servizi con porte allocate dinamicamente es. FTP) configurazione complessa

26 AICA Corso IT Administrator: modulo 5 AICA © Application-level gateway composto da una serie di proxy che esaminano il contenuto dei pacchetti a livello applicativo spesso richiede modifica dellapplicativo client può opzionalmente effettuare il mascheramento / rinumerazione degli indirizzi IP interni nellambito dei firewall, normalmente ha anche funzioni di autenticazione massima sicurezza!! (es. contro buffer overflow dellapplicazione target)

27 AICA Corso IT Administrator: modulo 5 AICA © Application-level gateway regole più granulari e semplici rispetto a packet ogni applicazione richiede uno specifico proxy –ritardo nel supporto per nuove applicazioni –consumo risorse (molti processi) –basse prestazioni (processi user-mode)

28 AICA Corso IT Administrator: modulo 5 AICA © Stateful inspection combina le caratteristiche di dynamic packet filter, circuit- level ed application-level gateway –può esaminare info a tutti i livelli –pacchetti analizzati –Tiene traccia delle connessioni aperte Seleziona i pacchetti che ne fanno parte

29 AICA Corso IT Administrator: modulo 5 AICA © Stateful inspection in pratica spesso usato come Stateful Packet Filter per leccessivo overhead !!!

30 AICA Corso IT Administrator: modulo 5 AICA © Packet filter & Content inspection Analisi del protocollo –Basata sui pacchetti

31 AICA Corso IT Administrator: modulo 5 AICA © Personal Firewall Filtrano il traffico di pacchetti su di una singola macchina, permettendo che solo il traffico permesso raggiunga le applicazioni che sono attive sulla macchina e protegge lo stesso Sistema Operativo.

32 AICA Corso IT Administrator: modulo 5 AICA © Firewall: prodotti commerciali tutti i maggiori produttori offrono un firewall tipicamente su UNIX, talvolta su Windows-NT (ma in questo caso gli cambiano lo stack di rete!) esiste il Firewall Toolkit (FWTK) –gratis da TIS (www.tis.com) –mattoncini base di tipo application-gateway –firewall-fai-da-te IPchains / IPfilter / IPtables sotto Linux –packet-filter

33 AICA Corso IT Administrator: modulo 5 AICA © IPtable funziona su tutti i kernel Linux che supportano packet filtering (controllare se esiste il file /proc/net/ip_fwchains) opzioni di configurazione per abilitare il packet filtering sui kernel 2.1/2.2: –CONFIG_FIREWALL=y –CONFIG_IP_FIREWALL=y il comando ipchains permette di gestire le regole di filtraggio del traffico IP nel kernel

34 AICA Corso IT Administrator: modulo 5 AICA © IPtable Selezione fatta: in base allheader IP –Indirizzo IP del destinatario –Indirizzo IP del mittente in base alle caratteristiche del protocollo trasportato (TCP, UDP, ICMP) –Protocollo TCP, UDP : porta mittente e/o destinataria –ICMP : tipo e codice Un altro parametro è lIFT di rete: di provenienza (distinguo LAN e Internet) di destinazione

35 AICA Corso IT Administrator: modulo 5 AICA © Esempi Iptables –A FORWARD –d x.x.x.x/24 –j DROP -A (add rule) x.x.x.x : indirizzo della rete alla quale si impedisce laccesso FORWARD : pacchetto in transito DROP : i pacchetti destinati alla macchina sono scartati senza nessun avviso (con REJECT : invia segnalazioni al mittente) SCARTA TUTTI I PACCHETTI DESTINATI ALLA RETE x.x.x.x IN TRANSITO PER IL FIREWALL

36 AICA Corso IT Administrator: modulo 5 AICA © Esempi Iptables –A FORWARD –p tcp –d x.x.x.x --dport 80 –j ACCEPT -A (add rule) tcp: protocollo utilizzato x.x.x.x : indirizzo della rete alla quale si permette laccesso FORWARD : pacchetto in transito 80 porta che specifica il servizio ACCEPT PERMETTE DI ACCEDERE AL SERVIZIO WEB AZIENDALE DA INTERNET

37 AICA Corso IT Administrator: modulo 5 AICA © Ordine di valutazione Le prima regola corrispondente al pacchetto viene presa in configurazione 1.Iptables –A FORWARD –d /24 –j DROP 2.Iptables –A FORWARD –p tcp –d dport 80 –j ACCEPT Mai utilizzata

38 AICA Corso IT Administrator: modulo 5 AICA © Ordine di valutazione Permettere esplicitamente il traffico legittimo Bloccare tutto il resto –Default deny –Ultima regola : Iptables –A FORWARD –j DROP

39 AICA Corso IT Administrator: modulo 5 AICA © Esempio: permettere ai client della LAN aziendale di connetersi a un server web ma non viceversa 1.Iptables –A FORWARD –p tcp –s /24 –d dport 80 –j ACCEPT Permette ai pacchetti in uscita dai client di raggiungere il server web 2.Iptables –A FORWARD –p tcp –s –d /24 -tsport 80 --dport 1024:! –syn –j ACCEPT Permette alle risposte del server web di raggiungere i client ma blocca tutti i pacchetti dal server con il flag SYN settato (connessioni diverse dalle risposte) 3.Iptables –A FORWARD –j DROP

40 AICA Corso IT Administrator: modulo 5 AICA © Proxy Proxy per client: –Blocco del contenuto attivo del traffico HTTP –Blocco dei siti corrispondenti a blacklist (fornite da appositi servizi commerciali) –Blocco o quarantena di messaggi e file contenent virus –Selezione mediante pattern matching delle URL accessibili Reverse Proxy: –proteggono i server da attacchi dei client (distribuiscono il traffico ai server) –Filtrano gli indirizzi ed il payload e controllano l'aderenza ai protocolli –È un controllo sintattico: attenzione agli eccessi di fiducia

41 AICA Corso IT Administrator: modulo 5 AICA © SQUID: nasce come cache proxy Un cache proxy svolge un servizio di memorizzazione locale delle risorse della rete richieste più frequentemente, dove la risorsa è un oggetto a cui si accede attraverso un URL. Viene usato come seconda linea per laccesso a Internet dei browser: INTERNET <= ROUTER PACKET FILTER <= SQUID <= LAN File di configurazione –/etc/squid/squid.conf

42 AICA Corso IT Administrator: modulo 5 AICA © File di configurazione: SQUID accetta connessioni solo sullIFT interna Direttiva: http_port:x.y.z.t:3148 Dove x.y.z.t è lIP dellinterfaccia interna di Squid e 3184 è la porta su cui aspetta richieste di connessione É bene disattivare ogni altro protocollo relativo alla gestione di gerarchie di cache: #Default: icp_port 0 htcp_port 0

43 AICA Corso IT Administrator: modulo 5 AICA © File di configurazione: Definire le ACL acl aclname acltype string1 string2 …. #Recommended minimum configuration: acl all src / acl manager proto cache_object acl localhost src / acl to_localhost dst /8 acl SSL_ports port acl Safe_ports port 80# http acl Safe_ports port 21# ftp acl Safe_ports port # https, snews acl Safe_ports port 70# gopher acl Safe_ports port 210# wais acl Safe_ports port # unregistered ports acl Safe_ports port 280# http-mgmt acl Safe_ports port 488# gss-http acl Safe_ports port 591# filemaker acl Safe_ports port 777# multiling http acl CONNECT method CONNECT

44 AICA Corso IT Administrator: modulo 5 AICA © File di configurazione: applicazione delle ACL http_access deny|allow aclname #Default: # http_access deny all # #Recommended minimum configuration: # # Only allow cachemgr access from localhost http_access allow manager localhost http_access deny manager # Deny requests to unknown ports http_access deny !Safe_ports # Deny CONNECT to other than SSL ports http_access deny CONNECT !SSL_ports

45 AICA Corso IT Administrator: modulo 5 AICA © File di configurazione #acl our_networks src / /24 #http_access allow our_networks http_access allow localhost # And finally deny all other access to this proxy http_access deny all

46 AICA Corso IT Administrator: modulo 5 AICA © NAT Network Address Translation: molti nomi NAT, PAT, SNAT, DNAT... Cambia gli indirizzi IP mentre un pacchetto attraversa un router o firewall, ok se nel payload non ci sono riferimenti agli indirizzi, altrimenti... !!! Si può mascherare (Masquerading) un'intera rete e farla apparire come se fosse solo una macchina

47 AICA Corso IT Administrator: modulo 5 AICA © NAT NAT Statico: solo cambio di 1 IP con 1 altro IP, nessuna sicurezza (le porte TCP non cambiano) Masquerading e PortNAT: –molti IP in 1 IP, le porte TCP e –UDP cambiano, è la combinazione numero IP + porta che permette di fare le traduzioni, possibile solo in 1 direzione, qualche sicurezza

48 AICA Corso IT Administrator: modulo 5 AICA © NAT Molti protocolli (ftp ecc.) richiedono apertura porte dinamica, moduli apposta che ispezionano contenuto dei pacchetti per aprire porte dinamicamente Solo UDP e TCP permettono di fare PAT o Masquerading

49 AICA Corso IT Administrator: modulo 5 AICA © Esempio Iptables -A POSTROUTING –t nat –o eth0 –p tcp –s /24 –j SNAT –to-source x.x.x.x-x.x.x.y Questa regola prende il traffico in uscita sullinterfaccia eth0 e utilizza il NAT per rimappare lindirizzo mittente privato su un range di indirizzi pubblici (x.x.x.x-x.x.x.y)

50 AICA Corso IT Administrator: modulo 5 AICA © Altri elementi della difesa Network Intrusion Detection System (NIDS) Router Switch Intrusion Prevention System (IPS) Crittografia

51 AICA Corso IT Administrator: modulo 5 AICA © Intrusion Detection System definizione: –sistema per identificare individui che usano un computer o una rete senza autorizzazione –esteso anche allidentificazione di utenti autorizzati, ma che violano i loro privilegi ipotesi: –il pattern di comportamento degli utenti non autorizzati si differenzia da quello degli utenti autorizzati

52 AICA Corso IT Administrator: modulo 5 AICA © IDS : Intrusion Detection System Tentano di rilevare: –attività di analisi della rete –tentativi di intrusione –Intrusioni avvenute –comportamenti pericolosi degli utenti –traffico anomalo

53 AICA Corso IT Administrator: modulo 5 AICA © IDS IDS passivi: –uso di checksum crittografiche (confronto con foto del sistema in uno stato sicuro es. software Tripwire) –riconoscimento di pattern anomali (attack signature) IDS attivi: –learning = analisi statistica del funzionamento del sistema –monitoring = analisi attiva di traffico dati, sequenze, azioni –reaction = confronto con parametri statistici (reazione scatta al superamento di una soglia)

54 AICA Corso IT Administrator: modulo 5 AICA © Topologie HIDS (host-based IDS) –analisi dei log (del S.O. o delle applicazioni) –attivazione di strumenti di monitoraggio interni al S.O. NID (network-based IDS) –attivazione di strumenti di monitoraggio del traffico di rete

55 AICA Corso IT Administrator: modulo 5 AICA © Network Intrusion Detection System (NIDS) NIDS: analizzano il traffico in rete (i sensori sono sniffer senza indirizzo IP) Tipo di analisi: –In base a database di attacchi noti –Euristiche –Reti cognitive Quando analizzare i dati? In tempo reale o successivamente? Reactive IDS (IPS): abbattono le connessioni

56 AICA Corso IT Administrator: modulo 5 AICA © Componenti di un network-based IDS sensor –controlla traffico e log individuando pattern sospetti –attiva i security event rilevanti –interagisce con il sistema (ACLs, TCP reset,... ) director –coordina i sensor –gestisce il security database IDS message system –consente la comunicazione sicura ed affidabile tra I componenti dellIDS

57 AICA Corso IT Administrator: modulo 5 AICA © Architettura di un IDS

58 AICA Corso IT Administrator: modulo 5 AICA © HostIDS Verificano tentativi di attacco al singolo sistema Possono esaminare i log del sistema e delle applicazioni Possono verificare lo stato dei file Possono controllare le attività dei processi (es. chiamate di sistema)

59 AICA Corso IT Administrator: modulo 5 AICA © Problemi degli IDS Falsi positivi e falsi negativi Prestazioni Aggiornamento Riconoscimento di nuovi attacchi Attacchi di Input Validation

60 AICA Corso IT Administrator: modulo 5 AICA © SNORT SNORT HA UNARCHITETTURA MOLTO COMPLESSA COMPOSTA DA DIVERSI COMPONENTI: il packet decoder che intercetta e decodifica i pacchetti in arrivo; i preprocessori che analizzano i pacchetti individuando quelli potenzialmente dannosi; il detection engine che controlla il pattern matching dei pacchetti con le regole; i componenti di alerting e logging che generano gli allarmi e archiviano i log.

61 AICA Corso IT Administrator: modulo 5 AICA © Snort –NIDS mode –www.snort.org –Richiede libpcap File di configurazione –/etc/snort/snort.conf Scaricare dal sito le regole aggiornate –/etc/snort/rules Snort –i eth0 –A full –g snort –u snort –c snort.conf –l /var/log/snort

62 AICA Corso IT Administrator: modulo 5 AICA © Servizi Programma (daemon) ascolta pacchetti in arrivo su –Indirizzo IP + Protocollo + Porta (o simili). Il SO (stack TCP/IP) passa all' applicativo in ascolto ogni pacchetto di questo tipo che riceve. I servizi sono caratterizzati da un protocollo (di solito TCP o UDP) ed una porta.

63 AICA Corso IT Administrator: modulo 5 AICA © Attacchi dall'esterno Attacchi dall'Interno molti di più e molto peggio! Spesso si aggirano le difese e/o si usa il fattore umano Impossibile offrire servizi e proteggerli allo stesso tempo se i servizi non sono stati progettati in modo sicuro. –Debolezza dei protocolli –Software progettato senza sicurezza –Errori di implementazione (bugs)

64 AICA Corso IT Administrator: modulo 5 AICA © Attacchi dall'esterno Traffico in chiaro LAN/WAN -> SNIFFER –SWITCH ben configurati, Cifratura Accesso via WiFi dall' esterno a rete interna –Cifratura Inserzione AccessPoint WiFi in rete interna –Rete ben protetta e configurata ManinTheMiddle (MTM), session hijacking –Protocolli sicuri e crittografia

65 AICA Corso IT Administrator: modulo 5 AICA © Attacchi dall'esterno Furto o scoperta Password –Sistema multilivello, –certificati digitali, token... Bugs applicativi –Costante aggiornamento (in tempo reale!), hardening dei SO, attivazione solo servizi strettamente necessari,Personal Firewall, AV ARP Spoofing (impersonare un'altra macchina in LAN) –Bloccare le tavole ARP su server, router, switch

66 AICA Corso IT Administrator: modulo 5 AICA © Attacchi dall'esterno IP Spoofing (dare ad un pacchetto IP come numero sorgente quello di un altro computer) usato per mascherarsi e per DoS, DDoS (se usato insieme a Sniffing diventa un attacco fatto da un altro!) –Imporre su tutta la periferia della propria rete rigidi filtri di ingresso e uscita sugli indirizzi IP

67 AICA Corso IT Administrator: modulo 5 AICA © Attacchi dall'esterno Spoofing (dare ad un messaggio come indirizzo mittente quello di un altro) usato da quasi tutti i Virus e per scherzi, truffe, SPAM –Crittografia, AntiVirus, AntiSPAM Denial of Service (DoS) di un Servizio (un applicativo può servire al più N clienti alla volta) –Limitare il numero di connessioni da un singolo IP, bloccare dinamicamente gli IP che portano l' attacco, aumentare N

68 AICA Corso IT Administrator: modulo 5 AICA © Attacchi dall'esterno DoS SYN Flood (richiedere l'apertura di connessioni TCP senza mai finire il 3way Handshake) di solito unita a IP Spoofing –Usare i SynCookies, ridurre i timeout di TCP, aumentare il numero di connessioni semiaperte Denial of Service (DoS) di banda –Chiedere al proprio provider di filtrare del traffico prima che giunga a voi

69 AICA Corso IT Administrator: modulo 5 AICA © Attacchi dall'esterno Amplificatore di SMURF (caso particolare del precedente: ping a broadcast di terza rete con IP sorgente di chi è attaccato) –Come i precedenti Distributed DoS (attacchi di DoS portati da molte macchine diverse contemporaneamente usando IPSpoofing ecc.) –Come i precedenti

70 AICA Corso IT Administrator: modulo 5 AICA © Attacchi dall'esterno DoS casella (riempimento casella, tipico è SPAM) –AntiSPAM, –filtri automatici PingofDeath (causa bug SO o stack TCP/IP, un solo pacchetto speciale può bloccare la macchina) –Filtri su firewall, patch del SO

71 AICA Corso IT Administrator: modulo 5 AICA © Hardening Scegliere SO che lo permetta Installare il minimo necessario, mai compilatori ecc. Se possibile solo 1 servizio per macchina Tenere copia dei LOG (abbondanti) su altre macchine in tempo reale Installare HIDS e Personal Firewall Accessi solo cifrati

72 AICA Corso IT Administrator: modulo 5 AICA © Sicurezza del servizio DNS Attacchi basati su errori di implementazione –Basato su UDP, più facile falsificare indirizzo IP del mittente Raccolta di informazioni sulla rete –Intera tabella di associazione nome –IP di un dominio Cache poisoning –Inserire dati nella cache di un server dns –Redirigere il traffico verso un host ad un server controllato da un attaccante

73 AICA Corso IT Administrator: modulo 5 AICA © Reti peer-to-peer Modalità di accesso ad internet Condivisione delle informazioni locali Problematiche legate alla licenza e al software

74 AICA Corso IT Administrator: modulo 5 AICA © Attivazione di un server HTTPS Apache, OpenSSL, mod_ssl

75 AICA Corso IT Administrator: modulo 5 AICA © Generazione e installazione del certificato per il server Openssl req –new –out server.csr

76 AICA Corso IT Administrator: modulo 5 AICA © Generazione e installazione del certificato per il server Openssl rsa –in privkey.pem –out server.key Openssl x509 –in server.csr –out server.crt –req –signkey server.key –days 365

77 AICA Corso IT Administrator: modulo 5 AICA © Generazione e installazione del certificato per il server Openssl x509 –in server.crt –out server.dert.crt –outform DER I file server.der.crt e server.key vanno copiati in una directory : –/etc/httpd/conf/ssl.csr –/etc/httpd/conf/ssl.crt –/etc/httpd/conf/ssl.key

78 AICA Corso IT Administrator: modulo 5 AICA © File di configurazione ## SSL Virtual Host Context NameVirtualHost :443 DocumentRoot "/opt/web/gio/ " ServerAdmin ServerName nemo.it-admin.it ServerPath / ScriptAlias /cgi-bin/ "/opt/web/gio/ /cgi-bin/" ErrorLog /var/log/httpd/apache/ error_log CustomLog /var/log/httpd/apache/ access_log common TransferLog /var/log/httpd/apache/ access_log

79 AICA Corso IT Administrator: modulo 5 AICA © File di configurazione SSLEngine on SSLCipherSuite ALL:!ADH:!EXP56:RC4+RSA:+HIGH:+MEDIUM:+LOW:!SSLv2:+EXP:+eNULL # Server Certificate: SSLCertificateFile /etc/httpd/ssl.crt/server.2002.crt # Server Private Key: SSLCertificateKeyFile /etc/httpd/ssl.key/server.2002.key # Server Certificate Chain: #SSLCertificateChainFile /etc/httpd/ssl.crt/ca.crt # Certificate Authority (CA): #SSLCACertificatePath /etc/httpd/ssl.crt # Certificate Revocation Lists (CRL): #SSLCARevocationPath /etc/httpd/ssl.crl #SSLCARevocationFile /etc/httpd/ssl.crl/ca-bundle.crl

80 AICA Corso IT Administrator: modulo 5 AICA © File di configurazione # Client Authentication (Type): SSLVerifyClient none # With SSLRequire you can do per-directory access control based # on arbitrary complex boolean expressions containing server # variable checks and other lookup directives. # #SSLRequire ( %{SSL_CIPHER} !~ m/^(EXP|NULL)-/ \ # and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \ # and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"} \ # and %{TIME_WDAY} >= 1 and %{TIME_WDAY} <= 5 \ # and %{TIME_HOUR} >= 8 and %{TIME_HOUR} <= 20 ) \ # or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/ #

81 AICA Corso IT Administrator: modulo 5 AICA © Protezione SSL POP2, IMAP, SMTP sono protocolli insicuri Protezione con tunnel SSL –995/tcp per POP3 su SSL –993/tcp per IMAP su SSL –465/tcp per SMTP su SSL

82 AICA Corso IT Administrator: modulo 5 AICA © Creazione di un tunnel SSL Utilizzo di stunnel –Disponibile sia sotto windows che linux File di configurazione –/etc/stunnel/stunnel.conf Creazione di un certificato per stunnel Server mode: accetta connessioni cifrate su una specifica porta e le invia in chiaro verso una porta non cifrata Client mode: accetta connessioni in chiaro su una specifica porta e le invia cifrate verso una porta remota

83 AICA Corso IT Administrator: modulo 5 AICA © File di configurazione # chroot + user (comment out to disable) # chroot = /var/lib/stunnel/ setuid = stunnel setgid = nogroup pid = /var/run/stunnel.pid #CAfile = /etc/stunnel/certs.pem cert = /etc/stunnel/stunnel.pem

84 AICA Corso IT Administrator: modulo 5 AICA © File di configurazione # [pop3s] # accept = 995 # connect = 110 # [imaps] # accept = 993 # connect = 143 # [imaps] # accept = 993 # exec = /usr/sbin/imapd # execargs = imapd # pty = no # [ssmtp] # accept = 465 # connect = 25

85 AICA Corso IT Administrator: modulo 5 AICA © Virtual Private Networks VPN basate su IPSEC/IKE Protocollo composto da due parti –IPSEC : cifratura e autenticazione dei pacchetti Ha bisogno di un accordo fra i sistemi sulle credenziali da utilizzare (chiave) –IKE (Internet Key Exchange) : permette di creare della Security Association (SA) Associano delle credenziali ad un insieme di pacchetti IP –IP non è orientato alla connessione »SA gestisce traffico da un IP ad un altro (client -> server) »Il traffico server->client necessità di unaltra SA Utilizza UDP e la porta 500


Scaricare ppt "AICA Corso IT Administrator: modulo 5 AICA © 2005 1 EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete."

Presentazioni simili


Annunci Google