Tecnologie di Sicurezza in Internet APPLICAZIONI Domain Name System AA 2009-2010 Ingegneria Informatica e dell’Automazione.

Slides:



Advertisements
Presentazioni simili
Tecnologie Internet di comunicazione
Advertisements

1 Internet: PRIMI PASSI Fabio Navanteri lunedì 11 novembre 2013lunedì 11 novembre 2013lunedì 11 novembre 2013lunedì
Informatica e Telecomunicazioni
Elaborazione del Book Informatico
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
Introduzione ad Active Directory
INTERNET : ARPA sviluppa ARPANET (rete di computer per scopi militari)
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
By Le reti locali Luca Barberi Leonardo Benzoni Benedetta Bernardeschi Andrea Pellegrini.
IL NOSTRO LABORATORIO. Di INFORMATICA..
Installazione di Active Directory
DNS.
Organizzazione di una rete Windows 2003
Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.
Installazione di Active Directory
Active Directory.
DNS: Il Servizio Directory di Internet
Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
DNSSEC COME GARANTIRE LA PROTEZIONE DEL TRASFERIMENTO DEI DATI DEL DNS CON LAUSILIO DELLA CRITTOGRAFIA Seminario per il corso di Reti di calcolatori e.
IL PATRIMONIO DI DATI - LE BASI DI DATI. Il patrimonio dei dati Il valore del patrimonio di dati: –Capacità di rispondere alle esigenze informative di.
Architettura Three Tier
Architettura del World Wide Web
Posta elettronica ( ) chiocciola" comunemente letta at Identificativo dellutente Identificativo del computer centrale sul quale risiede.
Carotenuto Raffaele Distante Federico Picaro Luigi
RETI E INTERNET.
IL LIVELLO APPLICAZIONI:
1 THE INTERNET: una rete di reti La storia in breve Le regole della comunicazione.
Servizi Internet di base:
Posta elettronica : per iniziare : per iniziare Primi passi con la posta elettronica Primi passi con la posta elettronica
4 Cosa è una rete? ã Punto di vista logico: sistema di dati ed utenti distribuito ã Punto di vista fisico: insieme di hardware, collegamenti, e protocolli.
Corso di Informatica per Giurisprudenza Lezione 7
Modulo 7 – reti informatiche u.d. 1 (syllabus – )
Guida IIS 6 A cura di Nicola Del Re.
POSTA ELETTRONICA PER GLI STUDENTI DI ECONOMIA POSTA SU HOST b Host e terminali La base dati dei messaggi risiede sul mainframeLa base dati dei messaggi.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
Il modello di riferimento OSI
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
Servizi di sistema e porti Ing. A. Stile – Ing. L. Marchesano – 1/20.
Architettura di storage ad alta affidabilita e bilanciamento di carico per volumi centrali e di esperimento A.Brunengo, M.Corosu INFN Sezione di Genova.
1 Ripassino Reti di Computer Carasco 19/02/ Che cosa è una rete informatica? Una rete informatica è un insieme di computer connessi tra di loro.
Sistemi di elaborazione dellinformazione Modulo 3 -Protocolli applicativi Unità didattica 1 - Domain Name System Ernesto Damiani Lezione 4 – Risoluzione.
Configurazione di una rete Windows
EM 09 INTERNET … UN PO DI STORIA. EM 09 Nasce per garantire comunicazioni efficienti … Tra le sedi delle forze armate americane Tra le sedi delle forze.
Reti di Calcolatori ed Internet Fabio Massimo Zanzotto.
Windows Server 2003 Integrazione di DNS in Strutture Esistenti PierGiorgio Malusardi – Microsoft.
Creato da Riccardo Nuzzone
1 Informatica Generale Alessandra Di Pierro Ricevimento: Giovedì ore presso Dipartimento di Informatica, Via Buonarroti,
Sistemi di elaborazione dell’informazione Modulo 3 - Protocolli applicativi Unità didattica 1 - Domain Name System Ernesto Damiani Lezione 2 – Caratteristiche.
Sistemi di elaborazione dell’informazione Modulo 3 -Protocolli applicativi Unità didattica 1 -Domain Name System Ernesto Damiani Lezione 1 – Nomi e indirizzi.
Sistemi di elaborazione dell’informazione Modulo 3 -Protocolli applicativi Unità didattica 1 -Domain Name System Ernesto Damiani Lezione 3 – Complementi.
Servizi Internet Claudia Raibulet
SnippetSearch Database di snippet bilanciato e replicato di Gianluigi Salvi Reti di calcolatori LS – Prof. A.Corradi.
Tecnologie di Sicurezza in Internet APPLICAZIONI Public Key Infrastructures AA Ingegneria Informatica e dell’Automazione.
Corso WEB DESIGN Aprile – Maggio PUBBLICAZIONE DEL SITO Affinchè il nostro sito sia accessibile al pubblico, dobbiamo pubblicarlo in Internet. Per.
CORSO INTERNET la Posta elettronica
Come ti chiami? il Domain Name System RFC 1591 il Domain Name System RFC 1591.
Note: deve essere possibile utilizzare il protocollo BGP sui router per propagare le due reti visibili su internet tale soluzione deve essere concordata.
I NTERNET Rete interconnessa che permette il collegamento tra due host eterogenei, appartenenti a reti differenti separati anche da grande distanze. Internet.
Active Directory. Cos’è Active Directory (AD)  Un “directory service”  Un contenitore di oggetti  Un insieme di servizi di accesso  Un “namespace”
Il DNS e la gestione degli indirizzi IP Appunti di Sistemi per la IV D A cura del prof. ing. Mario Catalano.
INTERNET E INTRANET Classe VA SIA. La Storia di INTERNET ’ – ARPANET 1969 – anno di nascita università Michigan - Wayne 1970 – – INTERNET.
1 Il livello transport. Concetti fondamentali - Canale logico e canale fisico 2 Quando un segnale deve essere trasmesso, viene inviato su un Canale, cioè.
(possibili scenari) Gruppo Multimedia Stefano Zani (INFN CNAF) Commissione Calcolo e Reti Frascati, Dicembre 2007.
Livello 7: Applicazione. Protocolli più importanti HTTP = Hyper Text Transfer Protocol HTTPS = Hyper Text Transfer Protocol over Secure Socket Layer DNS.
DNSSEC Sicurezza & Windows Frascati Febbraio 2012 Fulvia Costa Infn Padova.
Ing. Vincenzo Botta 1 Modulo di Informatica Accesso alla Rete.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
DNS Domain Name Server.
Transcript della presentazione:

Tecnologie di Sicurezza in Internet APPLICAZIONI Domain Name System AA Ingegneria Informatica e dell’Automazione

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/2 DNS Il Domain Name System è: la sintassi per specificare in modo gerarchico le entità in Internet le regole per delegare l'autorità sui nomi i sistemi che mappano i nomi sugli indirizzi e viceversa

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/3 Concetti fondamentali Il Domain Name System è un database gerarchico e distribuito. Memorizza informazioni per mappare i nomi host di Internet in indirizzi IP e vice versa, informazioni per spostare correttamente la posta elettronica e altro. I computer (clients) cercano informazioni nel DNS tramite una libreria di sistema (resolver) che manda query a uno o più name server e interpreta le risposte.

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/4 Domain names Le informazioni contenute nel DNS sono identificate da domain names organizzati ad albero, secondo criteri organizzativi o amministrativi. Ogni nodo dell'albero ha un'etichetta (domain) che, concatenata a tutte le etichette fino al nodo root, forma il domain name del nodo. Es.: mail.example.com Il nodo root può essere indicato esplicitamente con un trailing ‘.’

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/5 Domain names L’ultima etichetta di un domain name si chiama top level domain (TLD); i TLD possono essere generici o regionali. I principali TDL generici sono: com, net, org, edu, mil, biz, info, name, ecc… I TDL regionali seguono invece lo standard ISO (alpha-2: codici di paese a due caratteri): it, de, se, es, ecc…

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/6 Domain names La struttura tipica di un domain name completo inizia con il nome di un host e termina con un TLD. Questo è solitamente denominato FQDN, cioè fully qualified domain name. mail.us.company.net tenge cr3.FRA3.content-core.net

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/7 Zones Lo spazio dei nomi nel DNS, gerarchico nella sua struttura logica, è fisicamente suddiviso in partizioni, dette zone; ciascuna zona è amministrata indipendentemente. Le informazioni che caratterizzano la zona sono contenute in un name server nella forma di resource records (RRs); il name server risponde a queries. queries e answers sono effettuate come descritto nel DNS protocol.

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/8 Zones Una zona è un point of delegation nell'albero dei nomi DNS e al contempo container per tutti i nomi gestibili da quel nodo dell’albero in giù, ma non contenuti in ulteriori zone di livello inferiore (la cui gestione è stata per definizione delegata) Il punto di delega è caratterizzato dalla dichiarazione di uno o più NS records che asseriscono l'esistenza di name server che servono i nomi di quella zona.

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/9 Resource Records AIPv4 Address record. An IPv4 address for a host. PTRIP address (IPv4 or IPv6) to host. Used in reverse maps. reverse maps CNAMECanonical Name. An alias name for a host. SOAStart of Authority. Defines the zone name, an contact and various time and refresh values applicable to the zone. NSName Server. Defines the authoritative name server(s) for the domain (defined by the SOA record) or the subdomain. MXMail Exchanger. A preference value and the host name for a mail server/exchanger that will service this zone. SPF, SRV, TXT, …

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/10 Servers Ciascuna zona è servita da almeno un authoritative name server. Possono essercene più di uno, per ridondanza. Le risposte provenienti da tale name server hanno il bit AA posto a 1 nel pacchetto di risposta a una query.

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/11 Servers Il name server dove una zona è gestita è detto primary. Un amministratore provvede all'editing di un file contenente le informazioni della zona (zone file). Gli altri server autoritativi per una zona (detti secondary servers) ne ricevono i dati (dal server primario o da un secondario) con un processo di replica denominato zone transfer.

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/12 Servers Caching Name Servers I name server possono anche rispondere con informazioni sulle quali non hanno autorità e che devono richiedere ad altri name server, seguendo ricorsivamente l'albero fino al name server autoritativo. Forwarders Il complesso processo ricorsivo di risoluzione del nome può essere inoltre delegato interamente ad altri server, detti forwarders.

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/13 Servers Recursive queries Per risolvere un FQDN, i server percorrono l’albero corrispondente nel seguente modo. Esempio: Receive Query for resolving “ “ Query NS(‘.’) for ‘com’  NS(‘com’) Query NS(‘com’) for ‘ibm’  NS(‘ibm’) Query NS(‘ibm’) for ‘www’  A(‘www’)...

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/14 Clients Il client DNS si chiama in realtà resolver. Si tratta di un componente del sistema operativo che richiede un minimo di configurazione: serve almeno un IP address del DNS server da contattare per risolvere i nomi Opzionalmente è possibile specificare il dominio di default, ovvero il domain name da aggiungere alla query nel caso il nome non sia un FQDN Nei sistemi Microsoft esiste anche il DNS Client, che oltre a fare cacheing locale dei nomi DNS (funzionalità spesso dannosa) fa anche altro “Risolve e salva nella cache nomi DNS per il computer. Se il servizio è stato arrestato, il computer non sarà in grado di risolvere i nomi DNS e di individuare i controller di dominio Active Directory…”

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/15 BIND Berkeley Internet Name Domain Software storico, la più diffusa realizzazione di name server, sviluppato da Internet Systems Consortium. BIND tools dig host nslookup

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/16 Ridondanze Single Point of Failures name server unico dietro a un singolo router a valle di un singolo collegamento in uno stesso AS afferenti a uno stesso BB

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/17 Ridondanze Primario e secondario è la ridondanza più comune, eventualmente con primario e secondario presso due Provider diversi o in punti diversi della rete sia per DNS interni che per DNS pubblici Load balancing con DNS Più RR relativi allo stesso nome vengono risolti ciclicamente (round-robin) --> server farm, server di posta… esempio wwwA wwwA wwwA wwwA

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/18 Protezioni Evitare il DNS cache poisoning Se possibile non usare la ricorsione ACL sui client che possono fare query di qualunque tipo ACL sui client che possono fare query ricorsive Usare le viste (BIND 9)

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/19 Protezioni Usare sistemi separati Advertising name server risponde solamente alle query per le quali ha informazioni autoritative (non esegue query ricorsive), che gli arrivano da tutti Resolving name server risponde alle query che gli arrivano solamente dall'interno della rete e può o meno contenere informazioni autoritative per zone interne Internal-only name server si può anche isolare completamente, a livello DNS, la rete interna da quella pubblica evitando di risolvere i nomi esterni

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/20 Protezioni Filtrare opportunamente il traffico Name server multiruolo dedicato se il sistema fa solo da name server, si può filtrare tutto il traffico non-DNS. Esempio di DNS installato sulla DMZ SRCADDRSRCPORTDSTADDRDSTPORT Inbound qry**NS53/udp Inbound AXFRSecondary-DNS*NS53/tcp Queries from internal networkInternal net*NS53/udp Outbound recursive qrysNS**53/udp

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/21 Protezioni Proteggere il zone transfer nel file di configurazione del server Anche nei secondari! Esempio options { allow-transfer { }; }; Usare TSIG key tsig-signing. { algorythm hmac-md5; secret "kas4ALDjalsjda=)da39WJD,W"; }; server { keys { tsig-signing.; };

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/22 Protezioni Eseguire con utente non-root Si crea un utente non privilegiato che ha accesso solo ai file contenenti i dati delle zone. Eseguire in chroot() jail Una compromissione di named risulterà in un accesso al sistema limitato a un ambiente e un filesystem ristretti

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/23 DNSSEC Il 2008 è stato un anno critico per il DNS: in febbraio Dan Kaminski si recò in ISC per mostrare una importante lacuna nel protocollo (non nelle implementazioni) DNS, il cui exploit poteva portare alla perdita dell’intero database a livello mondiale! Per la prima volta ISC, Microsoft, Cisco e altri vendor si attivarono e pubblicarono contemporaneamente alcune patch per i loro prodotti prima che venissero pubblicati dettagli sulla scoperta di Kaminski Le patch comunque non impedivano l’exploit ma ne rendevano solo più difficile l’esecuzione

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/24 DNSSEC In realtà il dettaglio alla base di questa lacuna era noto ad altri (D.J. Bernstein) dal 1999, ma nessuno in ISC si era reso conto del problema; comunque nel 2008 si mosse con urgenza perfino il management IT del governo americano! DNSSEC: consente ai server autoritativi di aggiungere firme digitali ai RR ai resolver di validare crittograficamente le risposte Alternative: djbdns

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/25 Esercizio: Enterprise DNS Configurazione dello spazio dei nomi di un DNS interno “enterprise”, ossia che serve la name resolution in tutti i siti dell’organizzazione Full mesh DC B A E DNS-A è primario per A e riceve le mappe B.. E come secondario DNS-B è primario per B e riceve le mappe A, C.. E come secondario DNS-E è primario per E e riceve le mappe A.. D come secondario... Ciascun DNS fa da primario per i nomi locali, ma sa risolvere tutti i nomi dell’organizzazione perché li riceve con zone transfer in qualità di secondario

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/26 Esercizio: Enterprise DNS Quando l’organizzazione è molto frammentata, i siti sono numerosi e piccoli e le risorse sono per lo più centralizzate, è più adatta una soluzione generalmente Hub’n’spokes DNS-HQ è primario per HQ e riceve le mappe A.. E come secondario; conosce quindi tutti i nomi dell’intera organizzazione DNS-A.. -E sono primari per A.. E e ricevono le mappe di HQ come secondari; conoscono quindi i nomi locali e i nomi della struttura centrale Ciascun DNS fa da primario per i nomi locali, che trasferisce al DNS-HQ e risolve anche i nomi dell’HQ HQ C D E A B

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/27 Esercizio: ISP change Cambio di ISP LAN INTERNET R2 ISP2 ISP1 EXT1 WWWDNSMAIL Firewall R1 EXT2 Si devono cambiare gli indirizzi IP delle macchine pubbliche, in particolare quello del DNS

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/28 Esercizio: public subnet change Cambio di subnet pubblica LAN INTERNET R DMZ OLD ISP EXT WWWDNSMAIL Firewall DMZ NEW

Tecnologie di Sicurezza in Internet: applicazioni – AA – C10/29 Riferimenti Domain Administrators Operations Guide RFC 1033 Domain Names - Concepts and Facilities RFC 1034 Domain Names - Implementation and Specification RFC 1035 BIND 9 Administrator Reference Manual Securing an Internet Name Server CERT Coordination Center A. Householder, B. King DNS Cache Poisoning - the next generation J. Stewart