Cenni sulla sicurezza delle Reti Autore :Demarchi Roberto Docente :P. M. Fermeglia Tutore :Ing. M.Viola Sistemi Informativi Ing.informatica - teledidattico sicurezza delle reti
Attacchi –tipologie 1/2 Interruzione Intercettazione sicurezza delle reti
Attacchi – tipologie 2/2 Modificazione Generazione sicurezza delle reti
Aspetti importanti nella sicurezza delle reti Autenticazione controllo di chi accede a determinate risorse Controllo dell’accesso Verifica privilegi Confidenzialità messaggi e dati Quali dati rendere visibili Integrità dei messaggi Evitare contraffazioni Non ripudio dei messaggi Certezza mittente – es:firma elettronica Disponibilita’ sicurezza delle reti
Attacchi passivi Rilasci del contenuto di un messaggio monitoraggio e ascolto trasmissioni, non comportano alterazioni dell’informazione A riguardo si identificano Rilasci del contenuto di un messaggio Si vuole impedire al destinatario diapprendere l’informazione riservata. Analisi del traffico Analisi tipologie messaggi e altre informazioni per determinarel’identità degli host, frequenza e lunghezza messaggi ect. sicurezza delle reti
Attacchi attivi Masquerade Replay Modifica di messaggi possibili alterazioni dati, fino alla falsificazione del flusso A riguardo si identificano : Masquerade Entità che finge di essere un’entità diversa Replay intercettazione passiva dati e successiva ritrasmssione per generazione effetto non autorizzato Modifica di messaggi Modifica parziali messagi o ritardati Negazione del servizio Impedimento normale servizio delle comunicazioni.Peggio : interruzione intera rete sicurezza delle reti
Attacchi di rete – Terminologia Spoofing Sniffing Shadow server Dos (Denial of Service) sicurezza delle reti
Spoofing Consiste nella falsificazione degli indirizzi di rete del mittente; ( Spoofing IP ) Tentativo di alterare dati e accedere a programmi ; (Spoofing dati) Spoofing cieco : Invio pacchetti TCP con indirizzi partenza falsificati:cieco perchè non si ha sempre speranza di vederli tornare Rimedi : Crittografia / Autenticazione sicurezza delle reti
Sniffing Rappresenta una lettura non autorizzata di pacchetti. Normalmente avviene in reti di tipo broadcast e nei nodi di smistamento dei pacchetti ( es. gateway) Possibile rimedio : crittografia sicurezza delle reti
Shadow Server Server ombra, macchina che si spaccia per altre e che appare essa fornitrice di un servizio. Il shadow server deve risultare più veloce del server del quale deve escluderne il servizio, per esempio con un attacco come la negazione del servizio. Rimedio : tecniche autenticazione server sicurezza delle reti
Dos (Denial of Service) Per impedire il normale funzionamento di un server, la cosa “ migliore “ è quella di tenerlo impegnato in maniera tale da comprometterne il servizio. Rimedi : monitoraggio rete. sicurezza delle reti
Rete Rete Privata Router Internet sicurezza delle reti
Router [1/2] dispositivi indispensabili per connettere la rete locale di una azienda a Internet ; smistano il traffico di rete, basandosi su una mappa di rete denominata “tabella di rou-ting” ; fanno in modo che i pacchetti raggiungano le loro destinazioni attraverso i percorsi più efficaci secondo diversi algoritimi di instradamento; sicurezza delle reti
Router [2/2] dispongono di funzioni di packet filtering per effettuare un primo filtraggio del traffico di rete ; offrono generalmente la funzionalità NAT (Network Address Translation) per permettere di connettere alla rete pubblica [ una linea di connessione a Internet ] una alla rete privata alla quale vengono assegnati un’insieme di indirizzi privati ; sicurezza delle reti
Filtraggio della rete Indirizzo IP da cui provengono i dati; Indirizzo IP di destinazione ; Porte sorgente e destinazione TCP/UDP; Datagram di inizilizzazione della connessione che usa bit TCP SYN o ACK sicurezza delle reti
Esempio filtraggio Rete locale Internet Router Tabella filtraggio sicurezza delle reti
Tabella filtraggio sicurezza delle reti Azione/Regole IP Sorgente Porta Sorgente Porta Destinazione Protocollo Direzione TRAFFICO Permesso 198.21.120.2 >1024 21 TCP esterno 20 interno Negato 198.21.120.2 >1024 qualsiasi qualsiasi qualsiasi qualsiasi qualsiasi entrambe sicurezza delle reti
Firewall Firewall = “muro tagliafuoco” Il router viene spesso sostituito da uno strumento , o meglio da un insieme di componenti hardware/software dedicato per assicurare la massima sicurezza che va sotto il nome di firewall; Firewall = “muro tagliafuoco” sicurezza delle reti
Firewall e TCP/IP Firewall Analisi Application Presentation Session Transport TCP Network- IP Data link pysical Application Gateway Circuit Gateway Packet Filtering Data Payload TCP/UDP Header IP Header Generalmente Non controllati sicurezza delle reti
Ancora Firewall 1/2 Distinguiamo con grande generalità due tipi di firewall : Packet filter ( screen ) : regole su pacchetti IP (visto in precedenza ) Proxy o application gateway o application firewall (lievello più alto packet filter ) : separano Internet/Intranet sicurezza delle reti
Ancora Firewall 2/2 Packet filter Stateful inspection Proxy Pregi :Veloci , flessibili, versatili Difetti : Non offrono molta sicurezza, agiscono a livello di rete e non di applicazione Stateful inspection Pregi: maggiore sicurezza (verifica rete/applicazione) Difetti : Non molto veloce; file di log migliorabili Proxy Pregi : Sicuri Difetti : Deve supportare direttamente ogni applicazione Proxy + dynamic filetring sicurezza delle reti
Impiego Firewall Rete esterna Rete interna Internet Barriera offerta dal Firewall Firewall Rete interna sicurezza delle reti
Application gateway Generano dei report sul traffico di rete,file log; L’ Application gateway o semplicemente proxy , è in grado, a differenza del firewall basato solo su packet filtering, di autenticare gli utenti connessi; Generano dei report sul traffico di rete,file log; Mascherano l’indirizzo del richiedente della rete interna sicurezza delle reti
NAT(Network Address Translation ) Il mascheramento dell’origine del collegamento è importante in quanto evita di trasmettere informazioni relative alla rete protetta dal firewall ; Quando una macchina della rete interna apre una connessione verso un server esterno il firewall sostituisce ad essa il suo indirizzo ; Inoltre l’indirizzo privato della rete interna è non-routable (non instradrabile dai router) sicurezza delle reti
Mascheramento IP L’operazione di mascheramento è molto importante perchè permette di non trasmettere all’esterno alcun tipo di informazione relativamente alla tipologia della rete protetta dal firewall. Nel momento in cui una macchina della rete interna richiede una connessione verso l’esterno, essa viene intercettata dal firewall che inserisce il proprio indirizzo IP, a sostituzione di questa, facendo credere all’esterno che esso sia il solo punto di cominicazione con l’esterno. Inoltre il firewall intercetterà e sarà in grado di riconoscere il traffico di ritorno destinatario dei nodi “ mascherati “ e di inoltarlo, nella maniera più corretta, ai richiedenti. sicurezza delle reti
Schema con Application Gateway Rete interna Regole autenticazione Internet Application Gateway (PROXY)* File.log Utilizzabili per la ricerca di eventuali attacchi in corso * Possono risiedere più server proxy i quali si occuperanno dell’effettivo trasferimento dei pacchetti dalla due reti, e per i vari servizi per gli utenti interni sicurezza delle reti
Proxy Cache proxy : offre un servizio che ha la capacità di memorizzare in locale i file richiesti più frequentemente ( protocolli : Http / Ftp ) sicurezza delle reti
Configurazioni firewall Dual-homed host Una macchina multi-homed è un macchina dotata di più schede di rete e ognuna di esse è rivolta a un segmento distinto della rete. Se le schede di rete sono due si ha la configurazione Dual – Homed Host Bastion host Macchina con grado di criticità altissimo perchè solitamente collocata in posizione ( anche al di fuori della rete aziendale pur appartenendovi ) critica. sicurezza delle reti
Zona DMZ Zona che separa una rete non sicura da una rete sicura DMZ Bastion Host Internet Rete privata Screening router sicurezza delle reti
Esempio DMZ Zona demilitarizzata, ovvero zona più sicura di Internet ma meno meno del dominio di sicurezza Dominio Sicurezza Firewall Interno Firewall Uscita Bastion host Server che fornisce Informazioni Pubblicità Host interno Internet Server interno Server E-Commerce Bastion host Perimetro sicurezza sicurezza delle reti
VPN [ 1/2 ] VPN ( Virtual Private Network ) è un meccanismo per fornire comunicazioni (crittografiche) sicure, in due configurazioni fondamentali : Utente-rete Rete-Rete Utente remoto Internet Rete protetta Rete protetta Firewall Firewall sicurezza delle reti
VPN [ 2/2 ] Una VPN dunque permette a due reti private di essere connesse in maniera sicura attraverso reti pubbliche quale Internet. Le aziende hanno la necessità, per il fatto di avere più sedi settorialmente diverse, di connettere tra loro più reti private attarverso la rete pubblica. Internet con i suoi protocolli standard non è in grado di fornire sicurezza. VPN fornisce Privatezza Autenticazione Integrità ( Tunneling ) Protocolli usati da VPN IPSec SSL .... sicurezza delle reti
KERBEROS Kerberos è un protocollo di autenticazione di rete, sviluppato negli anni 1980 , con le seguenti principali caratteristiche : Segreti condivisi Se A confida un segreto a B il segreto è conoscituo solo da loro due. Qualora B rivceva cominicazioni riguardo a quel segreto deve essere sucuro che si tartti di A, perciò deve essere protetta da una password. Se però per qualche motivo qualcheduno ne viene a conoscenza ( p.es. attraverso uno sniffer ) cade la segretezza. Kerberos rIoslve questo problema grazie alla crittografia. Autenticazione multipla Sono previste tre componenti: Applicazine/Client Risorse di rete KDC : controller di dominio ( DC Domain Controller ) sicurezza delle reti
KERBEROS 1/3 KDC AS TGS 1 2 3 4 5 6 Server sicurezza delle reti AS =Authentication Server TGS = Ticket Granting Servers KDC KDC=Key Distribution Center Una volta per sessione di connessione Server=Server a cui viene richiesto un servizio AS 1 TGS 2 3 4 Client 5 Una volta per tipologia di servizio 6 Server Una volta per tipologia di servizio sicurezza delle reti
KERBEROS 2/3 Kerberos prevede che a ogni accesso a un server da parte di un utente/client sia effettuata un’autenticazione per mezzo di una terza parte , ovvero da un server ritenuto sicuro [ KDC il distributore delle chiavi ]. KDC è formato da un server di autenticazione AS e da un validatore di Ticket (TGS). KDC contiene l’archivio degli identificativi delle entità presenti nel dominio. Fasi : richiesta ticket -granting Il server AS invia un ticket granting TGT ( certificato crittografato )+ chiave sessione Richiesta di servizio Invio ticket + chiave sessione Richiesta ticket di tipo service-granting Il server può fornire nuovo autenticatore sicurezza delle reti
KERBEROS 3/3 In sintesi l’utente si connette ad una postazione e richiede un servizio ad un host As verifica diritti di accesso secondo un asua base dati, emmette un ticket e una chiave di sessione (cifrati ) La workstation richiede all’utente – password e così decifra il messaggio in arrivo. Lo invia poi al TGS + autenticatore (username / indirizzo di rete client / ora sistema ) TGS decifra il ticket e l’autenticatore. Emette un ticket per il server richiesto Il server verifica ticket e autenticatore. sicurezza delle reti
KERBEROS E WINOWS 2000 Kerberos di windows 2000 supporta il meccanismo della delega della’autenticazione FIDUCIA TRANSITIVA – utlizzazione risorse altri domini Dominio A Dominio B Dominio C Fiducia Fiducia Fiducia non transitiva sicurezza delle reti
Kerberos e Windows 2000 Kerberos supporta le realzioni di fiducia transitiva I ticket dell’utente possono essere inoltrati da una macchina all’altra Supporta il logon con le smart card Windows XP riusa se pur con modifiche Kerberos sicurezza delle reti
Conclusioni Le aziende hanno più che mai la necessità di connettersi a Internet pena, la loro stassa soppravivenza. Se da un lato si aprono ad esse grandi prospettive e opportunità, dall’altro si espongono a notevoli tentativi di intrusione. I firewall, nelle loro molteplicità d’uso, offrono un valido supporto alla sicurezza ma non rapparesentano la soluzione ad ogni problema. L’ammnistratore di rete dovrà essere attento e sensibile a monitorare continuamante la rete e aggiornare continuamente il software in uso. Non per ultimo dovrà considerare le minacce più “ temibili “ ovvero quelle interne. sicurezza delle reti