C Consiglio Nazionale delle Ricerche IAT 124 November, 2000Damir Pobric Sicurezza in rete Damir Pobric IAT /Consorzio Pisa Ricerche

Slides:



Advertisements
Presentazioni simili
Laboratorio di Telematica
Advertisements

Tecnologie. Reti locati e reti globali Reti locali (LAN, Local Area Networks) –Nodi su aree limitate (ufficio, piano, dipartimento) Reti globali (reti.
Elaborazione del Book Informatico
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
ISA Server 2004 Configurazione di Accessi via VPN
Configuring Network Access
00 AN 1 Firewall Protezione tramite firewall.
INTERNET FIREWALL Bastion host Laura Ricci.
Reti Private Virtuali (VPN)
5-1 Interconnessione di LAN Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights.
I modelli di riferimento OSI e TCP/IP
5-1 ATM Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights Reserved)
La rete in dettaglio: rete esterna (edge): applicazioni e host
2-1 Trasferimento di file: ftp Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights.
Il firewall di Linux: IPTables 19 Settembre 2005.
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
IEEE 802.1x (Port Based Network Access Control)
Secure Shell Giulia Carboni
SEVER RAS.
PPPoE significa "Point-to-Point Protocol over Ethernet" ovvero "protocollo punto a punto operante su Ethernet", una nuova alternativa per le connessioni.
Remote file access sulla grid e metodi di interconnesione di rete M. Donatelli, A.Ghiselli e G.Mirabelli Infn-Grid network 24 maggio 2001.
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
Corso di Informatica Corso di Laurea in Conservazione e Restauro dei Beni Culturali Gianluca Torta Dipartimento di Informatica Tel: Mail:
SSL (Secure Socket Layer)
Elementi di sicurezza nelle reti
RETI E INTERNET.
AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.
Reti di Calcolatori IL LIVELLO RETE.
4 Cosa è una rete? ã Punto di vista logico: sistema di dati ed utenti distribuito ã Punto di vista fisico: insieme di hardware, collegamenti, e protocolli.
La Sicurezza nelle reti Wireless
Test sul Cisco VPN Concentrator
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
Corso di Informatica per Giurisprudenza Lezione 7
Guida IIS 6 A cura di Nicola Del Re.
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Smau Security 2002 Reti wireless e telefonia tradizionale Il punto di vista.
EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete AICA © 2005.
AICA Corso IT Administrator: modulo 4 AICA © EUCIP IT Administrator Modulo 4 - Uso Esperto della Rete Risoluzione dei Problemi e Analisi del Traffico.
Corso di Laurea in Conservazione e Restauro dei Beni Culturali
Reti di Calcolatori ed Internet Fabio Massimo Zanzotto.
Internet.
IPSec Fabrizio Grossi.
Tecnologia GETVPN Andrea Terren April,2010. Differenze da un tunnel E’ tunnel - less Ho la stessa sorgente e destinazione. –UDP 848 per GDOI ( Group Domain.
Claudio Telmon - Strumenti di difesa -1 © Claudio Telmon, 1999 Le tecnologie per la difesa Claudio Telmon Claudio Telmon.
A cura di: Huber Roberto, Zaharulko Nicola, Debernardi Daniele.
FTP File Transfer Protocol
STAGE INVERNALE 2005 GESTIONE DI SISTEMI DI SICUREZZA INFORMATICA. A CURA DI: MARIO MASCIARELLI STUDENTI: DAMIANO PITOLLI FABIO NARDELLA.
Modulo n – U.D. n – Lez. n Nome Cognome – titolo corso.
Certificati e VPN.
CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia.
Protocolli di Sicurezza
Procedure di Sicurezza nella Soluzione UPMT per la Mobilità Verticale in Reti IP 1.
Sistemi di elaborazione dell’informazione Modulo 3 - Protocolli applicativi Unità didattica 2 - Telnet, FTP e altri Ernesto Damiani Lezione 2 – Da FTP.
IPSEC Studente Professore Michele Di Renzo Stefano Bistarelli.
Reti II Stefano Leonardi
Strato di accesso alla rete (network access layer); comprende le funzioni che nel modello OSI sono comprese negli strati fisico, di collegamento e parte.
Sistemi e Tecnologie della Comunicazione
Internetworking V anno.
ACL Cisco
Software di Packet-Filtering e Port-Filtering su reti TCP/IP Come filtrare il traffico di rete in transito sulle interfacce presenti, frapponendosi tra.
Di Succi Marco Corso di Sicurezza dei Sistemi Informativi A.A. 2009/2010.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
23 dicembre SICUREZZA DEL NETWORKING Analisi del livello di sicurezza dell’infrastruttura di rete.
Realizzazione di hotspot wireless per l’Università degli Studi di Milano Marcello Meroni, Michele de Varda, DIVISIONE TELECOMUNICAZIONI UNIVERSITÀ DEGLI.
The Unified Threat Management Security Appliance Hystrix
INTERNET E INTRANET Classe VA SIA. La Storia di INTERNET ’ – ARPANET 1969 – anno di nascita università Michigan - Wayne 1970 – – INTERNET.
Firewalling. A che serve un firewall? Rende accessibili all’esterno solo i servizi che veramente vogliamo pubblicare Impedire agli utenti della rete.
Prof. G.Mastronardi1 IL PROBLEMA DEL “DENIAL of SERVICE” Politecnico di Bari – Sicurezza dei Sistemi Informatici -
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Virtual Private Networks
NAT, Firewall, Proxy Processi applicativi.
Transcript della presentazione:

C Consiglio Nazionale delle Ricerche IAT 124 November, 2000Damir Pobric Sicurezza in rete Damir Pobric IAT /Consorzio Pisa Ricerche

C Consiglio Nazionale delle Ricerche IAT 224 November, 2000Damir Pobric Sicurezza in rete Politica di sicurezza Sicurezza dei (1) sistemi e (2) router Firewall Intrusion Detection System Auditing Piano di risposta agli incidenti

C Consiglio Nazionale delle Ricerche IAT 324 November, 2000Damir Pobric Politica di sicurezza Limportanza dellinformazione e diritti di copyright e di proprietà Identificare punti deboli e potenziali nemici Conoscere lambiente Limitare punti di accesso Considerare il fattore umano La sicurezza fisica Determinare i costi Implementazione scalabile e pervasiva

C Consiglio Nazionale delle Ricerche IAT 424 November, 2000Damir Pobric Router elemento cruciale della rete –transita tutto il traffico –punto dingresso/uscita –meccanismi flessibili/facili –funzionalità di firewall di base - bloccare passaggio estese - analizzare pacchetti/protocolli

C Consiglio Nazionale delle Ricerche IAT 524 November, 2000Damir Pobric Router Internet Rete di istituto Punto di ingresso

C Consiglio Nazionale delle Ricerche IAT 624 November, 2000Damir Pobric Router Accesso al router: Interattivo: –console o aux –terminale virtuale (telnet) Servizi gestionali –SNMP –HTTP

C Consiglio Nazionale delle Ricerche IAT 724 November, 2000Damir Pobric Accesso interattivo (1) username/password –definiti localmente password non privilegiate (algoritmo debole, reverso) service password-encryption username jdoe password E590E1B1C041B1 username jdoe password 7 secret password (MD5) enable secret 5 $1$iUjJ$cDZ03KKGh7mHfX2RS

C Consiglio Nazionale delle Ricerche IAT 824 November, 2000Damir Pobric Accesso interattivo (2) –server di autenticazione TACACS e RADIUS aaa new-model aaa authentication login default radius router TACACS+/ Radius TACACS/Radius le transazioni criptate con la chiave

C Consiglio Nazionale delle Ricerche IAT 924 November, 2000Damir Pobric Accesso interattivo (3) Limitare laccesso –configurazione della linea vty ip access-class transport input telnet ssh Exec-timeout IPSec –definizione dellutente acl che nega connessioni telnet in uscita

C Consiglio Nazionale delle Ricerche IAT 1024 November, 2000Damir Pobric Accesso interattivo (4) access-list 10 permit line vty 0 4 access-class 10 in line vty 4 access-class 11 in username steve password

C Consiglio Nazionale delle Ricerche IAT 1124 November, 2000Damir Pobric SNMP (1) V1 –stringa in chiaro –datagram UDP facilmente spoofabili snmp-server community V2 snmp-server party

C Consiglio Nazionale delle Ricerche IAT 1224 November, 2000Damir Pobric SNMP (2) access-list 1 permit snmp-server community public RO 1 access-list 2 permit snmp-server community public RW 2

C Consiglio Nazionale delle Ricerche IAT 1324 November, 2000Damir Pobric HTTP autenticazione in chiaro ip http authentication Limitare accesso ai soli indirizzi IP autorizzati ip http access-class

C Consiglio Nazionale delle Ricerche IAT 1424 November, 2000Damir Pobric Vulnerabilità di accessi Sniffing password, configurazione, … –accesso ssh or IPSec –one time password Compromesso il host autorizzato Attacco DOS -> out-of-band

C Consiglio Nazionale delle Ricerche IAT 1524 November, 2000Damir Pobric Logging (1) AAA logging –Telnet, http, ppp …. System logging –logging console/monitor –Syslog (logging ip-address, logging trap) –local (logging buffered) SNMP logging

C Consiglio Nazionale delle Ricerche IAT 1624 November, 2000Damir Pobric Logging (2) Debugging puo essere pericoloso –via syslog –le liste di accesso strette/limitate Buffer circolare (DRAM)

C Consiglio Nazionale delle Ricerche IAT 1724 November, 2000Damir Pobric Logging access violation Vengono loggati pacchetti bloccati –Identificare un attacco –Identificare traffico sospetto rate limited –Non loggare tutto il traffico

C Consiglio Nazionale delle Ricerche IAT 1824 November, 2000Damir Pobric Funzioni di firewall su router Semplice blocco dei pacchetti non permessi Le liste di accesso standard e estese Efficiente per: –Fermare il traffico non desiderato –Proteggere (isolare) macchine e/o servizi –Tracciare un attacco Non funziona con: –Protocolli di trasporto e/o applicativi, porte dinamiche

C Consiglio Nazionale delle Ricerche IAT 1924 November, 2000Damir Pobric Funzioni di firewall su router - filtering access-list 101 permit tcp any host a.a.a.a eq 25 access-list 101 permit tcp any host b.b.b.b eq 25 Ftp –Connessioni di controllo –Connessione dati - dal server e sulla porta dinamica PASV (trasparente nei browser)

C Consiglio Nazionale delle Ricerche IAT 2024 November, 2000Damir Pobric Funzioni di firewall su router - CBAC Cisco Secure Integrated Software, ex Firewall si basa sullispezione dei pachetti, anche della parte dati (protocolli di trasporto e applicativi) CBAC - Context-based access control –Stato persistente delle connessioni - inoltrare o bloccare i pacchetti –accounting

C Consiglio Nazionale delle Ricerche IAT 2124 November, 2000Damir Pobric CBAC (1) Esamina e riconosce flussi o canali –Protocolli: apre dinamicamente la strada ai pacchetti TCP di ritorno Controlla le violazioni o sospette azioni – blocca il traffico e informa statistiche e logging di livello di sessione –Indirizzi, numeri di porta,

C Consiglio Nazionale delle Ricerche IAT 2224 November, 2000Damir Pobric CBAC (2) Si definiscono i protocolli o sessioni che devono passare e non i pacchetti –le liste di accesso dinamiche –estende (i nuovi entry precedono) le liste attuali Conversazioni –Una o più sessioni TCP o più flussi UDP Canali (channels) –Le aperture su firewall

C Consiglio Nazionale delle Ricerche IAT 2324 November, 2000Damir Pobric CBAC (3) Benefici –Meno buchi nelle liste –Riconosce i modi di abuso comune di protocolli –Resistente a vari tipi di attacchi –Combinato con NAT: Nasconde indirizzi Meglio protetti da attacchi con ICMP

C Consiglio Nazionale delle Ricerche IAT 2424 November, 2000Damir Pobric CBAC (4) Limiti –Conoscenza di protocolli fino a certo livello Prestazioni –Blocca solo il traffico riconosciuto come attacco/abuso –Richiede buona conoscenza di protocolli –Non esiste assoluta protezione per servizi/host –Routing asimmetrico

C Consiglio Nazionale delle Ricerche IAT 2524 November, 2000Damir Pobric CBAC (5) Interagisce con la configurazione –lista cancellata : entry dinamici vengono persi –Numero cambiato : conversazioni attuali perse –La stessa lista su più interface : per link ridondanti –Lista non definita : inverte logica delle acl Non funziona con ICMP Per UDP (generico) usa time-out

C Consiglio Nazionale delle Ricerche IAT 2624 November, 2000Damir Pobric CBAC (6) CuseemeCUSeeMe Protocol ftpFile Transfer Protocol H323H.323 Protocol (Microsoft NetMeeting) http HTTP Protocol rcmdR commands (r-exec, r-login, r-sh) RealaudioReal Audio Protocol rpcRemote Procedure Call Protocol smtpSimple Mail Transfer Protocol sqlnetSQL Net Protocol StreamworksStreamWorks Protocol TcpTransmission Control Protocol TftpTFTP Protocol UdpUser Datagram Protocol VdoliveVDOLive Protocol

C Consiglio Nazionale delle Ricerche IAT 2724 November, 2000Damir Pobric Funzioni di firewall su router - lock and key Apertura di canale a richiesta Via telnet, autenticazione via TACACS, RADIUS o locale Lautenticazione è legata a indirizzo IP La acl si basa su indirizzo IP del host

C Consiglio Nazionale delle Ricerche IAT 2824 November, 2000Damir Pobric Funzioni di firewall su router - Authentication proxy Apertura di canale a richiesta Via http, autenticazione via TACACS o RADIUS Lautenticazione è legata al nome La acl viene trasferita dal server di autenticazione acl può avere più righe Funziona anche con DHCP

C Consiglio Nazionale delle Ricerche IAT 2924 November, 2000Damir Pobric Funzioni di firewall su router - Authentication proxy Benefici –Sicurezza sulla base di un singolo utente Vari livelli di privilegi per vari utenti –Usa comune browser Difetti –Solo per http, porta 80 –Richiede java scripts

C Consiglio Nazionale delle Ricerche IAT 3024 November, 2000Damir Pobric Anti-spoofing accettare pacchetti da soli indirizzi IP della rete RFC2267 ip access-group list /

C Consiglio Nazionale delle Ricerche IAT 3124 November, 2000Damir Pobric Smurf (1) directed broadcast Satura la LAN, collegamento Internet, macchina vittima /24 ICMP ( ) broadcast

C Consiglio Nazionale delle Ricerche IAT 3224 November, 2000Damir Pobric Smurf (2) Non tradure in broadcast di linea no ip directed-broadcast (default >= 12.0) Limitare certo tipo di traffico rate-limit

C Consiglio Nazionale delle Ricerche IAT 3324 November, 2000Damir Pobric Integrità di percorso (1) Source routing –Traceroute (loose source route option) ICMP redirect –LAN e da Internet Routing –Autenticazione di router vicini –Filtraggio delle routes

C Consiglio Nazionale delle Ricerche IAT 3424 November, 2000Damir Pobric Integrità di percorso (2) ICMP redirect, usa R Destination A R /24; default

C Consiglio Nazionale delle Ricerche IAT 3524 November, 2000Damir Pobric Flooding e DOS (Denial Of Service) Alto volume di pacchetti/numero di connessioni Bloccare sorgente SYN flood TCP intercept rate-limit Proteggere il router scheduler interval/allocate

C Consiglio Nazionale delle Ricerche IAT 3624 November, 2000Damir Pobric Indirizzi IP privati (1) Rete Route Filtering WWWFTP, DNS Mail Internet PROXY NAT/PAT

C Consiglio Nazionale delle Ricerche IAT 3724 November, 2000Damir Pobric Indirizzi IP privati (2) Rete Interna Rete Esterna NAT Table Inside Local IP Address Inside Global IP Address SA = Source Address NAT Internet/Intranet SA SA

C Consiglio Nazionale delle Ricerche IAT 3824 November, 2000Damir Pobric Indirizzi IP privati (3) NAT Table Inside Local IP Address Inside Global IP Address : : SA = Source Address NAT Internet/Intranet SA SA Rete Interna Rete Esterna

C Consiglio Nazionale delle Ricerche IAT 3924 November, 2000Damir Pobric IPSec (1) Cifratura al livello IP authentication header (AH) - integrità di dati encapsulating security payload (ESP) - confidenzialità e integrità di dati Internet Key Exchange (IKE) Tunnel e transport mode

C Consiglio Nazionale delle Ricerche IAT 4024 November, 2000Damir Pobric IPSec (2) C D

C Consiglio Nazionale delle Ricerche IAT 4124 November, 2000Damir Pobric Intrusion Detection System Router o firewall Router - indipendentemente o come complemento a IDS Cisco IDS –piccoli siti (2600 e 3600) –Attacchi più comune (spam, –Azioni: allarme, buttare via i pacchetti, resettare la connessione TCP

C Consiglio Nazionale delle Ricerche IAT 4224 November, 2000Damir Pobric Scanning tools Security Profile Inspector (SPI) Internet Security Scanner (ISS) Security Analysis Tool for Auditing Networks (SATAN) COPS Tripwire Cisco Secure Scanner (Sonar)