NETWORK SECURITY Studente: Fiorella Colacillo matr. 3069170 Corso di Sicurezza e Privacy A.A. 2007/2008 Docente: Stefano Bistarelli Corso di Laurea Specialistica.

Slides:



Advertisements
Presentazioni simili
Cos’è la posta elettronica
Advertisements

Il livello di trasporto
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
INTERNET: RISCHI E PERICOLI
Corso di laurea in INFORMATICA RETI di CALCOLATORI A.A. 2003/2004 Messaggi di errore e di controllo Alberto Polzonetti
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
LA SICUREZZA INFORMATICA
INTERNET FIREWALL Bastion host Laura Ricci.
Laurea Triennale in Infermieristica
NESSUS.
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
Corso di Informatica Corso di Laurea in Conservazione e Restauro dei Beni Culturali Gianluca Torta Dipartimento di Informatica Tel: Mail:
Aggiornamento 10 dicembre 2006 Informatica 2004 prof. Giovanni Raho1 Informatica applicata Le intrusioni dalla rete Virus – file temporanei - cookie.
Il codice in materia di protezione dei dati personali è un decreto legislativo (atto avente forza di legge) della Repubblica Italiana emanato il 30 giugno.
AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.
Reti di Calcolatori IL LIVELLO RETE.
Reti di Calcolatori IL LIVELLO RETE.
Posta elettronica : per iniziare : per iniziare Primi passi con la posta elettronica Primi passi con la posta elettronica
4 Cosa è una rete? ã Punto di vista logico: sistema di dati ed utenti distribuito ã Punto di vista fisico: insieme di hardware, collegamenti, e protocolli.
Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 1 UNIVERSITA STUDI DI ROMA FORO ITALICO Corso di Laurea Triennale INFORMATICA Lez. 6.
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
INTERNET FIREWALL BASTION HOST.
Corso di Informatica per Giurisprudenza Lezione 7
La sicurezza può essere fornita in ciascuno degli strati: applicazione, trasporto, rete. Quando la sicurezza è fornita per uno specifico protocollo dello.
Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.
Usare la posta elettronica con il browser web
Guida IIS 6 A cura di Nicola Del Re.
©Apogeo 2004 Gestione di una piccola rete locale.
Sistemi di elaborazione dellinformazione Modulo 2 -Protocolli di rete TCP/IP Unità didattica 4 - Gestione degli indirizzi Ernesto Damiani Lezione 4 – NAT.
Modulo 1 – Diritto dautore e aspetti giuridici u.d. 8 (syllabus – 1.8.2)
U N INFRASTRUTTURA DI SUPPORTO PER SERVIZI DI FILE HOSTING Matteo Corvaro Matricola Corso di Reti di Calcolatori LS – Prof. A. Corradi A.A.
UNIVERSITA’ DEGLI STUDI DI PERUGIA
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
1 Ripassino Reti di Computer Carasco 19/02/ Che cosa è una rete informatica? Una rete informatica è un insieme di computer connessi tra di loro.
Modulo 2 - U.D. 3 - L.4 Ernesto Damiani - Sistemi di eleborazione dell'informazione.
EM 09 INTERNET … UN PO DI STORIA. EM 09 Nasce per garantire comunicazioni efficienti … Tra le sedi delle forze armate americane Tra le sedi delle forze.
L’architettura a strati
1 Il Servizio di Posta Elettronica Relatori Gianpiero Guerrieri Francesco Baldini S.C. Information and Communication Technology.
Greco Rodolfo 2002 Application Trasport Network Phisic HTTP IP UDPTCP DNS SNAP MAC ARP L’utente fa una richiesta di pagina.
Configurazione IP4a-1 Configurazione IP Reti II Stefano Leonardi.
InternetInternet Sede: Salvo D’acquisto 2010/2011 Docente: Vito Monno.
Dal click alla pagina web... Centro di Calcolo Corso Internet 22 Novembre 1996 Stefano Bistarelli Università di Chieti-Pescara “G. D’Annunzio” Dipartimento.
Il DHCP (Dinamic Host Configuration Protocol) fornisce un meccanismo per assegnare dinamicamente gli indirizzi IP ed i parametri di configurazione ad un.
Certificati e VPN.
Reti di computer Condivisione di risorse e
CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia.
Sicurezza informatica
Supporto per la replicazione attiva di servizi Progetto per il corso di Reti di Calcolatori LS Montanari Mirko Matr:
Reti di calcolatori Modulo 2 -Protocolli di rete TCP/IP Unità didattica 2 – Il protocollo TCP/IP Ernesto Damiani Università degli Studi di Milano - SSRI.
Tecnologie di Sicurezza in Internet APPLICAZIONI FYI 8: The Site Security Handbook AA Ingegneria Informatica e dell’Automazione.
Sicurezza delle comunicazioni1 Introduzione Consistente sviluppo delle applicazioni telematiche dovuto a: –Evoluzione tecnologica delle trasmissioni –potenze.
Reti di calcolatori LS1 Service Middleware Reti di calcolatori LS progetto di Andrea Belardi Infrastruttura dedicata alla gestione di servizi disponibili.
Servizi Internet Claudia Raibulet
Prof. ing. Paolo Bidello AA 2005/2006 Laboratorio Informatico Promemoria degli argomenti: Reti locali (LAN)
Reti II Stefano Leonardi
UNITA’ 04 Uso Sicuro del Web.
Lezione 17 Transizione IPV4 -> IPV6 Corso di Reti di calcolatori
Informatica Lezione 8 Psicologia dello sviluppo e dell'educazione (laurea magistrale) Anno accademico:
Il centro stella puo’ essere realizzato con : Lavora solo a livello fisico (layer 1) : ripete esattamente su tutte le proprie porte il segnale arrivato.
Silvia Pasqualotto e Giulia Nanino
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Applicazione Presentazione Sessione Trasporto Rete Data link Fisico OSI Processo / Applicazione Trasporto Rete- Internet Interfaccia di.
Firewalling. A che serve un firewall? Rende accessibili all’esterno solo i servizi che veramente vogliamo pubblicare Impedire agli utenti della rete.
1 Il livello transport. Concetti fondamentali - Canale logico e canale fisico 2 Quando un segnale deve essere trasmesso, viene inviato su un Canale, cioè.
Prof. G.Mastronardi1 IL PROBLEMA DEL “DENIAL of SERVICE” Politecnico di Bari – Sicurezza dei Sistemi Informatici -
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
II PROVA Svolgimento tramite protocollo ISO/OSI. I LIVELLO : LIVELLO FISICO Scelta del mezzo fisico; tenere conto degli standard IEEE Procedura di codifica.
Raccogliere informazioni ALCUNE DOMANDE FONDAMENTALI È stato modificato qualche componente HW o SW? Il sintomo si presenta regolarmente o ad intermittenza?
Transcript della presentazione:

NETWORK SECURITY Studente: Fiorella Colacillo matr Corso di Sicurezza e Privacy A.A. 2007/2008 Docente: Stefano Bistarelli Corso di Laurea Specialistica in Economia Informatica Università degli Studi G. dAnnunzio Chieti-Pescara

This fortress built by Nature for herself Against infection and the hand of war, This happy breed of men, this little world, This precious stone set in the silver sea, Which serves in the office of a wall, Or as a moat defensive to a house, Against the envy of less happier lands; The Tragedy of King Richard the Second

THE DRIBBLE CORPORATION Multinazionale che commercializza dispositivi elettronici Politica di sicurezza basata su: Dati sensibili relativi ai piani della compagnia sono segreti Dati riservati forniti dai consumatori (es. carta di credito) visibili solo da personale fidato Diffondersi dei dati richiede necessariamente il beneplacito di dirigenti e avvocati OBIETTIVO: infrastruttura network che appaghi questi requisiti

CLASSI DI DATI PD (Public data): Accessibili a tutti DDEP (Development Data For Existing Products): Accessibili solo internamente da dirigenti, avvocati e sviluppatori DDFP (Development Data For Future Products): Accessibili ai soli sviluppatori per sviluppo di nuovi prodotti CpD (Corporate Data): Include informazioni legali e sulle azioni della società CuD (Customer Data): Dati relativi ai consumatori THE DRIBBLE CORPORATION

3 ORGANIZZAZIONI INDIPENDENTI CSG (Customer Service Group): gruppo assistenza clienti DG (Development Group): gruppo di sviluppo CG (Corporate Group): gestiscono brevetti, obbligazioni e tutto ciò inerente alla società CG DG THE DRIBBLE CORPORATION Minimizzare le minacce, ossia che i dati vengano i possesso di entità non autorizzate Ma chi sono le entità non autorizzate?

CLASSI DI UTENTI OUTSIDERS (Pubblico): Accesso a dati come prodotto, prezzo SVILUPPATORI: Accesso a DDEP e DDFP DIRIGENTI: Accesso in lettura e in scrittura solo a CpD IMPIEGATI: Accesso a dati relativi ai consumatori Principio della separazione dei privilegi(L'assegnazione dei privilegi deve poter essere effettuata previa verifica di multiple condizioni in modo da poter effettuare una migliore gestione degli stessi.) Controllo di consistenza THE DRIBBLE CORPORATION

Outsiders Developers Corporation executive Employees PD read read read read DDEP read read DDFP read,write read CpD read,write CuD write read read,write

ORGANIZZAZIONE NETWORK Network partizionato e controlli tra le parti per evitare perdita di informazioni DEF. DMZ è una porzione di Network che separa un network puramente interno da quello esterno

ORGANIZZAZIONE NETWORK Inner firewall Outer firewall Web server Mail server DNS server Log server Corporate data subnetCustomer data subnet Development subnet Internal DNS server Internal mail server DMZ INTERNAL Internet

FIREWALLS E PROXIES DEF. Firewall è un host che interpone laccesso al network permettendo e impedendo certi tipi di accesso in base alla politica di sicurezza configurata; DEF. Filtering Firewall effettua il controllo di accesso sulla base degli attributi degli headers dei pacchetti come gli indirizzi sorgente, destinazione e varie opzioni DEF. Proxy è un agente o un server intermediario che agisce a favore di un punto darrivo impedendo una connessione diretta tra due punti di arrivo DEF. Proxy Firewall utilizza proxies per effettuare il controllo di accesso. Può basare il controllo sul contenuto dei pacchetti, oltre che sugli headers

ANALISI INFRASTRUTTURA DI RETE Limitare lafflusso di informazioni al DMZ Firewall e Dmz controllano accessi da e verso Internet e filtrano il traffico in entrambe le direzioni Celare gli indirizzi del network interno; in generale sono indirizzi IP e il firewall interno può usare un protocollo come Network Address Translation che mappa questi indirizzi host interni verso lindirizzo Internet del firewall Drib principio del privilegio minimo Ogni processo relativo ad un programma dovrà essere eseguito con solo con i privilegi che gli sono strettamente necessari.

CONFIGURAZIONE FIREWALL ESTERNO Obiettivo: restringere laccesso pubblico alla rete interna e bloccare il traffico verso lesterno (Meccanismo di controllo di accesso) 3 METODI DI ATTACCO PER PENETRARE IL FIREWALL: 1. Entrare attraverso le porte del web server 2. Entrare attraverso le porte SMTP 3. Sfruttare vulnerabilità del firewall

Meccanismo di controllo di accesso Siccome nella rete interna ci sono i dati più sensibili della Drib che gli esterni non possono vedere, il firewall interno dovrà bloccare il traffico ad eccezione delle entrate autorizzate. Le informazioni che entrano verranno dal DMZ e mai direttamente da Internet Precauzioni assunte dalla Drib per minimizzare le minacce: Disabilitazione della connessione quando non proviene da una prestabilita Accesso pieno agli amministratori (persone fidate) Utilizzo SSH solo per connettersi ai servers DMZ da parte degli amministratori CONFIGURAZIONE FIREWALL INTERNO

DMZ Nel DMZ risiedono 4 servers: MAIL SERVER WWW SERVER DNS SERVER LOG SERVER

DMZ MAIL SERVER Obiettivo: gestire le mail, controllo degli indirizzi e del contenuto 3 fasi quando arriva una mail: 1. Mail proxy riassembla messaggio in intestazione/corpo/allegati 2. Mail proxy scansiona testo e allegati eliminando eventuali worm, virus, bombing 3. Mail proxy controlla indirizzo destinatario che viene riscritto dal server mail e poi inoltrato al server interno La procedura di invio di una mail differisce solo nel passo 3: 3. Mail proxy fa la scansione linee intestazione, tutte le linee che menzionano host interni vengono riscritti per identificare il nome dellhost (es Drib.org); poi è inoltrata al firewall per la consegna. (vengono oscurati tutti i dettagli del network della Drib)

DMZ WWW SERVER Accetta e richiede servizi da internet Utilizzo protocollo SSH Dati integri ( assicurare che le informazioni non siano alterabili da persone non autorizzate) Nella Drib: 1. Viene accettato lordine dal web dopo la conferma del consumatore 2. Server web fa partire un programma che controlla il contenuto e lo cifra (con chiave pubblica del sistema interno della sottorete consumatori) 3. Memorizzato in unarea protetta

DMZ DNS SERVER Contiene ingressi per: DMZ mail, web e log host Host amministrativi interni Firewall esterno Firewall interno DNS non conosce gli indirizzi del server delle mail interne. E il firewall interno che inoltrerà le mail a questo server. Se mail server conosce lindirizzo del DNS server può ottenere gli indirizzi dei due firewalls e del server degli amministratori.

DMZ LOG SERVER Ha una funzione più che altro amministrativa. Questi log possono essere compromessi; chi attacca può cancellare i logs, infatti se i logs sono sulle macchine attaccate, essi li possono intaccare o cancellare Nella Drib: Quando gli altri server si loggano lasciano un messaggio che viene mandato al log server che li memorizza. Il log server li scrive anche su una piattaforma per una precauzione nel caso in cui lattaccante cerca di cancellare i logs

NELLA RETE INTERNA Può essere organizzata in diversi modi; ogni sottorete ha un firewall e un server proprio Nella Drib: Dati e utenti distribuiti lungo 3 sottoreti: Il firewall del network degli svilppatori Il firewall del network della società Il firewall della sottorete consumatori I servers DMZ non comunicheranno mai direttamente con i servers interni Il firewall instraderà i messaggi nel modo più appropriato

UN COMMENTO GENERALE SULLA SICUREZZA La politica informale della Drib guida il design dellarchitettura del network come la configurazione del software e degli hardware La configurazione del firewall e del server è basata sulla separazione dei meccanismi. Se un meccanismo fallisce ce ne sarà un altro che eviterà che lattaccante sfrutti la falla. I sw che girano nel firewall è minimizzato e quelli che ci sono fanno solo il necessario

ACCESSIBILITA E NETWORK FLOODING Drib deve garantire laccessibilità ai suoi utenti ATTACCHI DI FLOODING: chi attacca cerca di sovraccaricare le risorse di sistema SYN FLOOD E il più comune attacco di Flooding Consiste nel rifiuto di eseguire il terzo passo del TCP handshake

SYN FLOOD ACCESSIBILITA E NETWORK FLOODING Succede quando ad es. il pacchetto viene da sorgenti multiple ma hanno uno stesso destinatario (gli indirizzi sorgente di questi pacchetti è settato a qualche host irragiungibile) Legitimate handshake quando il client riceve il pacchetto del SYN/ACK dal server e risponde con lACK appropriato per completare handshake e iniziare la connessione Attack handshake il client non spedirà mai il pacchetto ACK per completare la connessione (è parte del SYN FLOOD)

GESTIONE DELLA CONNESSIONE TCP Quando un pacchetto SYN è ricevuto, il server crea un ingresso nella struttura dati delle connessioni in corso e poi invia il pacchetto SYN/ACK (ricevuta). Lingresso rimane aperto ad entrambi fin quando non riceve il pacchetto ACK o non incorre in un time-out. Nel caso precedente la connessione è completata, nel secondo è creato un nuovo ingresso per un nuovo pacchetto SYN. tempo Richiesta di connessione Connessione accordata ACK Host clientHost server SYN=1, seq=client_isn SYN=1, seq=server_isn, ack=client_isn+1 SYN=0, seq=client_isn+1, ack=server_isn+1

SYN FLOOD E un attacco che viene compiuto da un utente malevolo che invia diversi pacchetti ma non ritorna il segnale "ACK" al server. Le connessioni sono perciò stabilite solo in parte e utilizzano risorse del server. L'utente che vorrebbe legittimamente connettersi al server, non riesce dal momento che il server rifiuta di aprire una nuova connessione, realizzando così un attacco denial of service. DoS:letteralmente negazione del servizio. In questo tipo di attacco si cerca di portare il funzionamento di un sistema informatico che fornisce un servizio, ad esempio un sito web, al limite delle prestazioni, lavorando su uno dei parametri d'ingresso, fino a renderlo non più in grado di erogare il servizio.

Sotto un attacco di SYN FLOOD la struttura dati è tenuta piena di entrate, però non stabilirà mai una connessione. Nuovi SYN creano nuovi ingressi e quelli vecchi verranno eliminati dal time-out La struttura dati contiene la cronologia della connessione in corso. Quando il client risponde con un pacchetto ACK per completare handshake, il server usa questa informazione per verificare che il pacchetto ACK corrisponda al pacchetto iniziale SYN Il SYN FLOOD ha successo quando lo spazio allocato tiene questa informazione di cronologia perché lo riempe prima che ogni tree-way handshake siano completati. I legitimate handshake non possono ottenere spazio nella struttura dati. LO STATO TCP E ALLOCAZIONI DI MEMORIA

2 TECNICHE per rendere accessibile in una maniera più agevolata lo spazio. SYN COOKIE Approach nessuno stato necessita di essere tenuto nel sistema server poiché esso può ricavare le informazioni dal pacchetto ACK del client ADAPTIVE TIME-OUT Approach a ssume che ci sia un ammontare specifico di spazio per lo stato connessioni in corso. Dopo un ammontare costante di tempo il server cancella le informazioni associate agli attacchi di handshake. (il time-out dipende dallo spazio disponibile) LO STATO TCP E ALLOCAZIONI DI MEMORIA

HOSTS INTERMEDI Cerca di ridurre il consumo di risorse usando routers che deviano o eliminano il traffico illegittimo Osservazione: il SYN FLOOD viene gestito prima che raggiunga il firewall a livello di infrastruttura Obiettivo: legittimare gli handshake che raggiungono il firewall

ANTICIPARE GLI ATTACCHI Nonostante le misure adottate, la Drib ritiene che i sistemi potrebbero essere compromessi da mezzi inaspettati. Ci si può aspettare che gli attacchi arrivino da internet contro il firewall esterno. DMZ log server ha un meccanismo di rilevamento intrusioni che sonda i log cercando prove di attacco e comportamenti anomali. Attenzione agli attacchi dentro il DMZ (accesso ristretto)

La filosofia di ignorare gli attacchi che falliscono sembra essere pericolosa perché quando un attaccante ha successo nel compromettere il sistema, lattaccante avrà probabilmente provato e fallito numerose volte prima. ANTICIPARE GLI ATTACCHI

CONCLUSIONI Abbiamo visto come la Drib ha sviluppato uninfrastruttura di rete partendo da una politica di sicurezza. I server accessibili al pubblico sono sistemi dedicati che provvedono ad un unico servizio I firewalls sono di livello applicativo così che possono controllare i contenuti di ogni connessione; da un lato limitano il traffico verso il server pubblico e dallaltro blocca il traffico esterno in modo da non far raggiungere il server interno