La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

C Consiglio Nazionale delle Ricerche IAT 124 November, 2000Damir Pobric Sicurezza in rete Damir Pobric IAT /Consorzio Pisa Ricerche

Presentazioni simili


Presentazione sul tema: "C Consiglio Nazionale delle Ricerche IAT 124 November, 2000Damir Pobric Sicurezza in rete Damir Pobric IAT /Consorzio Pisa Ricerche"— Transcript della presentazione:

1 C Consiglio Nazionale delle Ricerche IAT 124 November, 2000Damir Pobric Sicurezza in rete Damir Pobric IAT /Consorzio Pisa Ricerche E-mail: Damir.Pobric@iat.cnr.it

2 C Consiglio Nazionale delle Ricerche IAT 224 November, 2000Damir Pobric Sicurezza in rete Politica di sicurezza Sicurezza dei (1) sistemi e (2) router Firewall Intrusion Detection System Auditing Piano di risposta agli incidenti

3 C Consiglio Nazionale delle Ricerche IAT 324 November, 2000Damir Pobric Politica di sicurezza Limportanza dellinformazione e diritti di copyright e di proprietà Identificare punti deboli e potenziali nemici Conoscere lambiente Limitare punti di accesso Considerare il fattore umano La sicurezza fisica Determinare i costi Implementazione scalabile e pervasiva

4 C Consiglio Nazionale delle Ricerche IAT 424 November, 2000Damir Pobric Router elemento cruciale della rete –transita tutto il traffico –punto dingresso/uscita –meccanismi flessibili/facili –funzionalità di firewall di base - bloccare passaggio estese - analizzare pacchetti/protocolli

5 C Consiglio Nazionale delle Ricerche IAT 524 November, 2000Damir Pobric Router Internet Rete di istituto Punto di ingresso

6 C Consiglio Nazionale delle Ricerche IAT 624 November, 2000Damir Pobric Router Accesso al router: Interattivo: –console o aux –terminale virtuale (telnet) Servizi gestionali –SNMP –HTTP

7 C Consiglio Nazionale delle Ricerche IAT 724 November, 2000Damir Pobric Accesso interattivo (1) username/password –definiti localmente password non privilegiate (algoritmo debole, reverso) service password-encryption username jdoe password 7 07362E590E1B1C041B1 username jdoe password 7 secret password (MD5) enable secret 5 $1$iUjJ$cDZ03KKGh7mHfX2RS

8 C Consiglio Nazionale delle Ricerche IAT 824 November, 2000Damir Pobric Accesso interattivo (2) –server di autenticazione TACACS e RADIUS aaa new-model aaa authentication login default radius router TACACS+/ Radius TACACS/Radius le transazioni criptate con la chiave

9 C Consiglio Nazionale delle Ricerche IAT 924 November, 2000Damir Pobric Accesso interattivo (3) Limitare laccesso –configurazione della linea vty ip access-class transport input telnet ssh Exec-timeout IPSec –definizione dellutente acl che nega connessioni telnet in uscita

10 C Consiglio Nazionale delle Ricerche IAT 1024 November, 2000Damir Pobric Accesso interattivo (4) access-list 10 permit 192.168.55.0 0.0.0.255 line vty 0 4 access-class 10 in line vty 4 access-class 11 in username steve password

11 C Consiglio Nazionale delle Ricerche IAT 1124 November, 2000Damir Pobric SNMP (1) V1 –stringa in chiaro –datagram UDP facilmente spoofabili snmp-server community V2 snmp-server party

12 C Consiglio Nazionale delle Ricerche IAT 1224 November, 2000Damir Pobric SNMP (2) access-list 1 permit 2.2.2.2 snmp-server community public RO 1 access-list 2 permit 3.3.3.3 snmp-server community public RW 2

13 C Consiglio Nazionale delle Ricerche IAT 1324 November, 2000Damir Pobric HTTP autenticazione in chiaro ip http authentication Limitare accesso ai soli indirizzi IP autorizzati ip http access-class

14 C Consiglio Nazionale delle Ricerche IAT 1424 November, 2000Damir Pobric Vulnerabilità di accessi Sniffing password, configurazione, … –accesso ssh or IPSec –one time password Compromesso il host autorizzato Attacco DOS -> out-of-band

15 C Consiglio Nazionale delle Ricerche IAT 1524 November, 2000Damir Pobric Logging (1) AAA logging –Telnet, http, ppp …. System logging –logging console/monitor –Syslog (logging ip-address, logging trap) –local (logging buffered) SNMP logging

16 C Consiglio Nazionale delle Ricerche IAT 1624 November, 2000Damir Pobric Logging (2) Debugging puo essere pericoloso –via syslog –le liste di accesso strette/limitate Buffer circolare (DRAM)

17 C Consiglio Nazionale delle Ricerche IAT 1724 November, 2000Damir Pobric Logging access violation Vengono loggati pacchetti bloccati –Identificare un attacco –Identificare traffico sospetto rate limited –Non loggare tutto il traffico

18 C Consiglio Nazionale delle Ricerche IAT 1824 November, 2000Damir Pobric Funzioni di firewall su router Semplice blocco dei pacchetti non permessi Le liste di accesso standard e estese Efficiente per: –Fermare il traffico non desiderato –Proteggere (isolare) macchine e/o servizi –Tracciare un attacco Non funziona con: –Protocolli di trasporto e/o applicativi, porte dinamiche

19 C Consiglio Nazionale delle Ricerche IAT 1924 November, 2000Damir Pobric Funzioni di firewall su router - filtering access-list 101 permit tcp any host a.a.a.a eq 25 access-list 101 permit tcp any host b.b.b.b eq 25 Ftp –Connessioni di controllo –Connessione dati - dal server e sulla porta dinamica PASV (trasparente nei browser)

20 C Consiglio Nazionale delle Ricerche IAT 2024 November, 2000Damir Pobric Funzioni di firewall su router - CBAC Cisco Secure Integrated Software, ex Firewall si basa sullispezione dei pachetti, anche della parte dati (protocolli di trasporto e applicativi) CBAC - Context-based access control –Stato persistente delle connessioni - inoltrare o bloccare i pacchetti –accounting

21 C Consiglio Nazionale delle Ricerche IAT 2124 November, 2000Damir Pobric CBAC (1) Esamina e riconosce flussi o canali –Protocolli: apre dinamicamente la strada ai pacchetti TCP di ritorno Controlla le violazioni o sospette azioni – blocca il traffico e informa statistiche e logging di livello di sessione –Indirizzi, numeri di porta,

22 C Consiglio Nazionale delle Ricerche IAT 2224 November, 2000Damir Pobric CBAC (2) Si definiscono i protocolli o sessioni che devono passare e non i pacchetti –le liste di accesso dinamiche –estende (i nuovi entry precedono) le liste attuali Conversazioni –Una o più sessioni TCP o più flussi UDP Canali (channels) –Le aperture su firewall

23 C Consiglio Nazionale delle Ricerche IAT 2324 November, 2000Damir Pobric CBAC (3) Benefici –Meno buchi nelle liste –Riconosce i modi di abuso comune di protocolli –Resistente a vari tipi di attacchi –Combinato con NAT: Nasconde indirizzi Meglio protetti da attacchi con ICMP

24 C Consiglio Nazionale delle Ricerche IAT 2424 November, 2000Damir Pobric CBAC (4) Limiti –Conoscenza di protocolli fino a certo livello Prestazioni –Blocca solo il traffico riconosciuto come attacco/abuso –Richiede buona conoscenza di protocolli –Non esiste assoluta protezione per servizi/host –Routing asimmetrico

25 C Consiglio Nazionale delle Ricerche IAT 2524 November, 2000Damir Pobric CBAC (5) Interagisce con la configurazione –lista cancellata : entry dinamici vengono persi –Numero cambiato : conversazioni attuali perse –La stessa lista su più interface : per link ridondanti –Lista non definita : inverte logica delle acl Non funziona con ICMP Per UDP (generico) usa time-out

26 C Consiglio Nazionale delle Ricerche IAT 2624 November, 2000Damir Pobric CBAC (6) CuseemeCUSeeMe Protocol ftpFile Transfer Protocol H323H.323 Protocol (Microsoft NetMeeting) http HTTP Protocol rcmdR commands (r-exec, r-login, r-sh) RealaudioReal Audio Protocol rpcRemote Procedure Call Protocol smtpSimple Mail Transfer Protocol sqlnetSQL Net Protocol StreamworksStreamWorks Protocol TcpTransmission Control Protocol TftpTFTP Protocol UdpUser Datagram Protocol VdoliveVDOLive Protocol

27 C Consiglio Nazionale delle Ricerche IAT 2724 November, 2000Damir Pobric Funzioni di firewall su router - lock and key Apertura di canale a richiesta Via telnet, autenticazione via TACACS, RADIUS o locale Lautenticazione è legata a indirizzo IP La acl si basa su indirizzo IP del host

28 C Consiglio Nazionale delle Ricerche IAT 2824 November, 2000Damir Pobric Funzioni di firewall su router - Authentication proxy Apertura di canale a richiesta Via http, autenticazione via TACACS o RADIUS Lautenticazione è legata al nome La acl viene trasferita dal server di autenticazione acl può avere più righe Funziona anche con DHCP

29 C Consiglio Nazionale delle Ricerche IAT 2924 November, 2000Damir Pobric Funzioni di firewall su router - Authentication proxy Benefici –Sicurezza sulla base di un singolo utente Vari livelli di privilegi per vari utenti –Usa comune browser Difetti –Solo per http, porta 80 –Richiede java scripts

30 C Consiglio Nazionale delle Ricerche IAT 3024 November, 2000Damir Pobric Anti-spoofing accettare pacchetti da soli indirizzi IP della rete RFC2267 ip access-group list 192.168.0.0/24 192.168.5.5

31 C Consiglio Nazionale delle Ricerche IAT 3124 November, 2000Damir Pobric Smurf (1) directed broadcast Satura la LAN, collegamento Internet, macchina vittima 192.168.0.0/24 ICMP (192.168.0.255) broadcast

32 C Consiglio Nazionale delle Ricerche IAT 3224 November, 2000Damir Pobric Smurf (2) Non tradure in broadcast di linea no ip directed-broadcast (default >= 12.0) Limitare certo tipo di traffico rate-limit

33 C Consiglio Nazionale delle Ricerche IAT 3324 November, 2000Damir Pobric Integrità di percorso (1) Source routing –Traceroute (loose source route option) ICMP redirect –LAN e da Internet Routing –Autenticazione di router vicini –Filtraggio delle routes

34 C Consiglio Nazionale delle Ricerche IAT 3424 November, 2000Damir Pobric Integrità di percorso (2) ICMP redirect, usa R Destination A R 192.168.0.0/24; default

35 C Consiglio Nazionale delle Ricerche IAT 3524 November, 2000Damir Pobric Flooding e DOS (Denial Of Service) Alto volume di pacchetti/numero di connessioni Bloccare sorgente SYN flood TCP intercept rate-limit Proteggere il router scheduler interval/allocate

36 C Consiglio Nazionale delle Ricerche IAT 3624 November, 2000Damir Pobric Indirizzi IP privati (1) Rete Route Filtering WWWFTP, DNS Mail Internet PROXY NAT/PAT

37 C Consiglio Nazionale delle Ricerche IAT 3724 November, 2000Damir Pobric Indirizzi IP privati (2) Rete Interna Rete Esterna 10.0.0.2 10.0.0.3 NAT Table Inside Local IP Address Inside Global IP Address 10.0.0.2 10.0.0.3 192.69.1.1 192.69.1.2 SA = Source Address NAT Internet/Intranet SA 10.0.0.2 SA 192.69.1.1

38 C Consiglio Nazionale delle Ricerche IAT 3824 November, 2000Damir Pobric Indirizzi IP privati (3) 10.0.0.1 10.2.0.5 NAT Table Inside Local IP Address Inside Global IP Address 192.69.1.1:5001 192.69.1.1:5002 10.0.0.2 10.0.0.3 SA = Source Address NAT Internet/Intranet SA 10.0.0.2 SA 192.69.1.1 Rete Interna Rete Esterna

39 C Consiglio Nazionale delle Ricerche IAT 3924 November, 2000Damir Pobric IPSec (1) Cifratura al livello IP authentication header (AH) - integrità di dati encapsulating security payload (ESP) - confidenzialità e integrità di dati Internet Key Exchange (IKE) Tunnel e transport mode

40 C Consiglio Nazionale delle Ricerche IAT 4024 November, 2000Damir Pobric IPSec (2) C D

41 C Consiglio Nazionale delle Ricerche IAT 4124 November, 2000Damir Pobric Intrusion Detection System Router o firewall Router - indipendentemente o come complemento a IDS Cisco IDS –piccoli siti (2600 e 3600) –Attacchi più comune (spam, –Azioni: allarme, buttare via i pacchetti, resettare la connessione TCP

42 C Consiglio Nazionale delle Ricerche IAT 4224 November, 2000Damir Pobric Scanning tools Security Profile Inspector (SPI) Internet Security Scanner (ISS) Security Analysis Tool for Auditing Networks (SATAN) COPS Tripwire Cisco Secure Scanner (Sonar)


Scaricare ppt "C Consiglio Nazionale delle Ricerche IAT 124 November, 2000Damir Pobric Sicurezza in rete Damir Pobric IAT /Consorzio Pisa Ricerche"

Presentazioni simili


Annunci Google