EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete AICA © 2005.

Presentazione sul tema: "EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete AICA © 2005."— Transcript della presentazione:

1 EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete
AICA © 2005

2 Concetti di base Architettura ISO/OSI, Ethernet, TCP/IP Livelli
Incapsulamento dei protocolli Comunicazioni a pacchetti Indirizzi IP e porte TCP/UDP AICA © 2005

3 Wireless ricerca di reti wireless “aperte” strumenti un’antenna
un’automobile un ricevitore GPS AICA © 2005

4 Wireless Prove a Milano (2003) 18 reti 12 senza WEP
da AICA © 2005

5 Wireless Molti AP hanno una configurazione di default che facillita le operazioni di configurazione È importante conoscere le operazioni di setup per incrementare la sicurezza ed evitare problemi unwanted "Guests“ SSID : wireless network name di solito è abilitato il broadcast SSID in modo che i clients possano effettuare uno scan delle reti wireless disponibili AICA © 2005

6 Wireless Chiunque (utenti non desidarti) possono effettuare lo scan e “vedere” la WLAN Per security-sensitive reti aziendali occorre disabilitare broadcast SSID Scegliere un’opzione con WEP encryption confidentiality: uso di RC4 (stream cipher) reinizializzazione per ogni pacchetto WEP key + Initialization Vector (IV) => per-packet AICA © 2005

7 Gestione dei log Prima fonte di informazioni sugli eventi del sistema
In Unix gestiti da syslogd: file di configurazione /etc/syslog.conf In windows esiste Event Viewer AICA © 2005

8 Log applicativi Le applicazioni hanno due possibilità per effettuare il logging Appoggiarsi al log del sistema Utilizzare un proprio file di log apache AICA © 2005

9 Logserver centralizzato
Invio dei log singoli su un server Log maggiormente protetti Riconoscere correlazioni tra eventi diversi Problemi Formati differenti tra diversi sistemi operativi AICA © 2005

10 Firewall o Difesa Perimetrale
Definire un perimetro Dividere il mondo in interno ed esterno in modo che il firewall sia l’UNICO punto di accesso Il pericolo è sia dentro che fuori!!! (il pericolo interno è il più insidioso ed il più probabile) Il livello di sicurezza è uguale al punto più debole (di solito quindi è nullo...) AICA © 2005

11 Tecnologie adottate Filtraggio del traffico: chi può passare la frontiera Analisi dei contenuti: cosa può passare la frontiera Sorveglianza: essere pronti a rispondere e riprendersi dagli attacchi Fattore umano: avere procedure e regole per tutto il personale (Piano di Sicurezza) AICA © 2005

12 Tipi di Firewall Packet Filter: che si limita a valutare gli header di ciascun pacchetto Stateful Inspection: 1 + tiene traccia di alcune relazioni tra i pacchetti che lo attraversano, ad esempio ricostruisce lo stato delle connessioni TCP, e analizza i protocolli che aprono più connessioni .Questo permette ad esempio di riconoscere pacchetti TCP malevoli che non fanno parte di alcuna connessione, o di permettere il funzionamento di protocolli complessi Content Inspection: 2 + effettua controlli fino al livello 7 della pila ISO/OSI, ovvero valutano anche il contenuto applicativo dei pacchetti, ad esempio riconoscendo e bloccando i dati appartenenti a virus o worm noti in una sessione HTTP o SMTPSMTP Proxy o Application Level Gateway (ALG): la configurazione della rete privata non consente connessioni dirette verso l'esterno, ma il proxy è connesso sia alla rete privata che alla rete pubblica, e permette alcune connessioni in modo selettivo, e solo per i protocolli che supporta. una miscela delle varie possibilità AICA © 2005

13 Politiche di autorizzazione
“Tutto ciò che non è espressamente permesso, è vietato” maggior sicurezza più difficile da gestire “Tutto ciò che non è espressamente vietato, è permesso” minor sicurezza (porte aperte) più facile da gestire AICA © 2005

14 Elementi di base screening router ( choke ) bastion host
router che filtra il traffico a livello IP bastion host sistema sicuro, con auditing application gateway ( proxy ) servizio che svolge il lavoro per conto di un applicativo, con controllo di accesso dual-homed gateway sistema con due connessioni AICA © 2005

15 Livelli di controllo AICA © 2005

16 Screening router AICA © 2005

17 Screening router usa il router per filtrare il traffico sia a livello IP che superiore non richiede hardware dedicato non necessita di proxy e quindi di modifiche agli applicativi facile, economico e ... insicuro! AICA © 2005

18 Dual-homed gateway AICA © 2005

19 Dual-homed gateway router: bastion host:
blocca i pacchetti da LAN a Internet a meno che arrivino dal bastion host blocca i pacchetti da internet a LAN a meno che siano destinati al bastion host eccezione: protocolli abilitati direttamente bastion host: circuit/application level gateway per abilitare selettivamente dei servizi AICA © 2005

20 Dual-homed gateway più caro da realizzare più flessibilità
complicato da gestire: due sistemi invece di uno si può selettivamente allentare il controllo su certi servizi / host si possono mascherare solo gli host/protocolli che passano dal bastion (a meno che il router abbia funzionalità NAT) AICA © 2005

21 Screened subnet AICA © 2005

22 Screened subnet DMZ (De-Militarized Zone)
sulla rete esterna - oltre al gateway - ci possono essere più host (tipicamente i server pubblici): web accesso remoto ... si può configurare il routing in modo che la rete interna sia sconosciuta soluzione costosa AICA © 2005

23 Tecnologia dei firewall
(static) packet filter stateful (dynamic) packet filter application-level gateway / proxy stateful inspection circuit-level gateway / proxy cutoff proxy AICA © 2005

24 Packet filter pacchetti esaminati a livello rete (indirizzi IP, porte, protocollo ) Sui router AICA © 2005

25 Packet filter: pro e contro
indipendente dalle applicazioni ottima scalabilità controlli poco precisi: più facile da “fregare” (es. IP spoofing) ottime prestazioni basso costo (disponibile su router e molti SO) arduo supportare servizi con porte allocate dinamicamente es. FTP) configurazione complessa AICA © 2005

26 Application-level gateway
composto da una serie di proxy che esaminano il contenuto dei pacchetti a livello applicativo spesso richiede modifica dell’applicativo client può opzionalmente effettuare il mascheramento / rinumerazione degli indirizzi IP interni nell’ambito dei firewall, normalmente ha anche funzioni di autenticazione massima sicurezza!! (es. contro buffer overflow dell’applicazione target) AICA © 2005

27 Application-level gateway
regole più granulari e semplici rispetto a packet ogni applicazione richiede uno specifico proxy ritardo nel supporto per nuove applicazioni consumo risorse (molti processi) basse prestazioni (processi user-mode) AICA © 2005

28 Stateful inspection combina le caratteristiche di dynamic packet filter, circuit-level ed application-level gateway può esaminare info a tutti i livelli pacchetti analizzati Tiene traccia delle connessioni aperte Seleziona i pacchetti che ne fanno parte AICA © 2005

29 Stateful inspection in pratica spesso usato come Stateful Packet Filter per l’eccessivo overhead !!! AICA © 2005

30 Packet filter & Content inspection
Analisi del protocollo Basata sui pacchetti AICA © 2005

31 Personal Firewall Filtrano il traffico di pacchetti su di una singola macchina, permettendo che solo il traffico permesso raggiunga le applicazioni che sono attive sulla macchina e protegge lo stesso Sistema Operativo. AICA © 2005

32 Firewall: prodotti commerciali
tutti i maggiori produttori offrono un firewall tipicamente su UNIX, talvolta su Windows-NT (ma in questo caso gli cambiano lo stack di rete!) esiste il Firewall Toolkit (FWTK) gratis da TIS ( mattoncini base di tipo application-gateway firewall-fai-da-te IPchains / IPfilter / IPtables sotto Linux packet-filter AICA © 2005

33 IPtable funziona su tutti i kernel Linux che supportano packet filtering (controllare se esiste il file /proc/net/ip_fwchains) opzioni di configurazione per abilitare il packet filtering sui kernel 2.1/2.2: CONFIG_FIREWALL=y CONFIG_IP_FIREWALL=y il comando ipchains permette di gestire le regole di filtraggio del traffico IP nel kernel AICA © 2005

34 IPtable Selezione fatta: in base all’header IP
Indirizzo IP del destinatario Indirizzo IP del mittente in base alle caratteristiche del protocollo trasportato (TCP, UDP, ICMP) Protocollo TCP, UDP : porta mittente e/o destinataria ICMP : tipo e codice Un altro parametro è l’IFT di rete: di provenienza (distinguo LAN e Internet) di destinazione AICA © 2005

35 Iptables –A FORWARD –d x.x.x.x/24 –j DROP
Esempi Iptables –A FORWARD –d x.x.x.x/24 –j DROP -A (add rule) x.x.x.x : indirizzo della rete alla quale si impedisce l’accesso FORWARD : pacchetto in transito DROP : i pacchetti destinati alla macchina sono scartati senza nessun avviso (con REJECT : invia segnalazioni al mittente) SCARTA TUTTI I PACCHETTI DESTINATI ALLA RETE x.x.x.x IN TRANSITO PER IL FIREWALL AICA © 2005

36 Iptables –A FORWARD –p tcp –d x.x.x.x --dport 80 –j ACCEPT
Esempi Iptables –A FORWARD –p tcp –d x.x.x.x --dport 80 –j ACCEPT -A (add rule) tcp: protocollo utilizzato x.x.x.x : indirizzo della rete alla quale si permette l’accesso FORWARD : pacchetto in transito 80 porta che specifica il servizio ACCEPT PERMETTE DI ACCEDERE AL SERVIZIO WEB AZIENDALE DA INTERNET AICA © 2005

37 Ordine di valutazione Le prima regola corrispondente al pacchetto viene presa in configurazione Iptables –A FORWARD –d /24 –j DROP Iptables –A FORWARD –p tcp –d dport 80 –j ACCEPT Mai utilizzata AICA © 2005

38 Ordine di valutazione Permettere esplicitamente il traffico legittimo
Bloccare tutto il resto Default deny Ultima regola : Iptables –A FORWARD –j DROP AICA © 2005

39 Esempio: permettere ai client della LAN aziendale di connetersi a un server web ma non viceversa
Iptables –A FORWARD –p tcp –s /24 –d dport 80 –j ACCEPT Permette ai pacchetti in uscita dai client di raggiungere il server web Iptables –A FORWARD –p tcp –s –d /24 -tsport 80 --dport 1024:! –syn –j ACCEPT Permette alle risposte del server web di raggiungere i client ma blocca tutti i pacchetti dal server con il flag SYN settato (connessioni diverse dalle risposte) Iptables –A FORWARD –j DROP AICA © 2005

40 Proxy Proxy per client: Reverse Proxy:
Blocco del contenuto attivo del traffico HTTP Blocco dei siti corrispondenti a blacklist (fornite da appositi servizi commerciali) Blocco o quarantena di messaggi e file contenent virus Selezione mediante pattern matching delle URL accessibili Reverse Proxy: proteggono i server da attacchi dei client (distribuiscono il traffico ai server) Filtrano gli indirizzi ed il payload e controllano l'aderenza ai protocolli È un controllo “sintattico”: attenzione agli eccessi di fiducia AICA © 2005

41 SQUID: nasce come cache proxy
Un cache proxy svolge un servizio di memorizzazione locale delle risorse della rete richieste più frequentemente, dove la risorsa è un oggetto a cui si accede attraverso un URL. Viene usato come “seconda linea” per l’accesso a Internet dei browser: INTERNET <= ROUTER PACKET FILTER <= SQUID <= LAN File di configurazione /etc/squid/squid.conf AICA © 2005

42 File di configurazione: SQUID accetta connessioni solo sull’IFT interna
Direttiva: http_port:x.y.z.t:3148 Dove x.y.z.t è l’IP dell’interfaccia interna di Squid e 3184 è la porta su cui aspetta richieste di connessione É bene disattivare ogni altro protocollo relativo alla gestione di gerarchie di cache: #Default: icp_port 0 htcp_port 0 AICA © 2005

43 File di configurazione: Definire le ACL acl aclname acltype string1 string2 ….
#Recommended minimum configuration: acl all src / acl manager proto cache_object acl localhost src / acl to_localhost dst /8 acl SSL_ports port acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT AICA © 2005

44 File di configurazione: applicazione delle ACL http_access deny|allow aclname
#Default: # http_access deny all # #Recommended minimum configuration: # Only allow cachemgr access from localhost http_access allow manager localhost http_access deny manager # Deny requests to unknown ports http_access deny !Safe_ports # Deny CONNECT to other than SSL ports http_access deny CONNECT !SSL_ports AICA © 2005

45 File di configurazione
#acl our_networks src / /24 #http_access allow our_networks http_access allow localhost # And finally deny all other access to this proxy http_access deny all AICA © 2005

46 NAT Network Address Translation: molti nomi NAT, PAT, SNAT, DNAT ...
Cambia gli indirizzi IP mentre un pacchetto attraversa un router o firewall, ok se nel payload non ci sono riferimenti agli indirizzi, altrimenti ... !!! Si può mascherare (Masquerading) un'intera rete e farla apparire come se fosse solo una macchina AICA © 2005

47 NAT NAT Statico: solo cambio di 1 IP con 1 altro IP, nessuna sicurezza (le porte TCP non cambiano) Masquerading e PortNAT: molti IP in 1 IP, le porte TCP e UDP cambiano, è la combinazione numero IP + porta che permette di fare le traduzioni, possibile solo in 1 direzione, qualche sicurezza AICA © 2005

48 NAT Molti protocolli (ftp ecc.) richiedono apertura porte dinamica, moduli apposta che ispezionano contenuto dei pacchetti per aprire porte dinamicamente Solo UDP e TCP permettono di fare PAT o Masquerading AICA © 2005

49 Esempio Iptables -A POSTROUTING –t nat –o eth0 –p tcp –s /24 –j SNAT –to-source x.x.x.x-x.x.x.y Questa regola prende il traffico in uscita sull’interfaccia eth0 e utilizza il NAT per rimappare l’indirizzo mittente privato su un range di indirizzi pubblici (x.x.x.x-x.x.x.y) AICA © 2005

50 Altri elementi della difesa
Network Intrusion Detection System (NIDS) Router Switch Intrusion Prevention System (IPS) Crittografia AICA © 2005

51 Intrusion Detection System
definizione: sistema per identificare individui che usano un computer o una rete senza autorizzazione esteso anche all’identificazione di utenti autorizzati, ma che violano i loro privilegi ipotesi: il “pattern” di comportamento degli utenti non autorizzati si differenzia da quello degli utenti autorizzati AICA © 2005

52 IDS : Intrusion Detection System
Tentano di rilevare: attività di analisi della rete tentativi di intrusione Intrusioni avvenute comportamenti pericolosi degli utenti traffico anomalo AICA © 2005

53 IDS IDS passivi: IDS attivi:
uso di checksum crittografiche (confronto con “foto del sistema in uno stato sicuro es. software Tripwire) riconoscimento di pattern anomali (“attack signature”) IDS attivi: “learning” = analisi statistica del funzionamento del sistema “monitoring” = analisi attiva di traffico dati, sequenze, azioni “reaction” = confronto con parametri statistici (reazione scatta al superamento di una soglia) AICA © 2005

54 Topologie HIDS (host-based IDS) NID (network-based IDS)
analisi dei log (del S.O. o delle applicazioni) attivazione di strumenti di monitoraggio interni al S.O. NID (network-based IDS) attivazione di strumenti di monitoraggio del traffico di rete AICA © 2005

55 Network Intrusion Detection System (NIDS)
analizzano il traffico in rete (i sensori sono sniffer senza indirizzo IP) Tipo di analisi: In base a database di attacchi noti Euristiche Reti cognitive Quando analizzare i dati? In tempo reale o successivamente? Reactive IDS (IPS): abbattono le connessioni AICA © 2005

56 Componenti di un network-based IDS
sensor controlla traffico e log individuando pattern sospetti attiva i security event rilevanti interagisce con il sistema (ACLs, TCP reset, ... ) director coordina i sensor gestisce il security database IDS message system consente la comunicazione sicura ed affidabile tra I componenti dell’IDS AICA © 2005

57 Architettura di un IDS AICA © 2005

58 HostIDS Verificano tentativi di attacco al singolo sistema
Possono esaminare i log del sistema e delle applicazioni Possono verificare lo stato dei file Possono controllare le attività dei processi (es. chiamate di sistema) AICA © 2005

59 Problemi degli IDS Falsi positivi e falsi negativi Prestazioni
Aggiornamento Riconoscimento di nuovi attacchi Attacchi di Input Validation AICA © 2005

60 SNORT SNORT HA UN’ARCHITETTURA MOLTO COMPLESSA COMPOSTA DA DIVERSI COMPONENTI: il packet decoder che intercetta e decodifica i pacchetti in arrivo; i preprocessori che analizzano i pacchetti individuando quelli potenzialmente dannosi; il detection engine che controlla il pattern matching dei pacchetti con le regole; i componenti di alerting e logging che generano gli allarmi e archiviano i log. AICA © 2005

61 Snort Snort File di configurazione
NIDS mode Richiede libpcap File di configurazione /etc/snort/snort.conf Scaricare dal sito le regole aggiornate /etc/snort/rules Snort –i eth0 –A full –g snort –u snort –c snort.conf –l /var/log/snort AICA © 2005

62 Servizi Programma (daemon) ascolta pacchetti in arrivo su
Indirizzo IP + Protocollo + Porta (o simili). Il SO (stack TCP/IP) passa all' applicativo in ascolto ogni pacchetto di questo tipo che riceve. I servizi sono caratterizzati da un protocollo (di solito TCP o UDP) ed una porta. AICA © 2005

63 Attacchi dall'esterno Attacchi dall'Interno molti di più e molto peggio! Spesso si aggirano le difese e/o si usa il fattore umano Impossibile offrire servizi e proteggerli allo stesso tempo se i servizi non sono stati progettati in modo sicuro. Debolezza dei protocolli Software progettato senza sicurezza Errori di implementazione (bugs) AICA © 2005

64 Attacchi dall'esterno Traffico in chiaro LAN/WAN -> SNIFFER
SWITCH ben configurati, Cifratura Accesso via WiFi dall' esterno a rete interna Cifratura Inserzione AccessPoint WiFi in rete interna Rete ben protetta e configurata ManinTheMiddle (MTM), session hijacking Protocolli sicuri e crittografia AICA © 2005

65 Attacchi dall'esterno Furto o scoperta Password Bugs applicativi
Sistema multilivello, certificati digitali, token ... Bugs applicativi Costante aggiornamento (in tempo reale!), hardening dei SO, attivazione solo servizi strettamente necessari,Personal Firewall, AV ARP Spoofing (impersonare un'altra macchina in LAN) Bloccare le tavole ARP su server, router, switch AICA © 2005

66 Attacchi dall'esterno IP Spoofing (dare ad un pacchetto IP come numero sorgente quello di un altro computer) usato per mascherarsi e per DoS, DDoS (se usato insieme a Sniffing diventa un attacco fatto da un altro!) Imporre su tutta la periferia della propria rete rigidi filtri di ingresso e uscita sugli indirizzi IP AICA © 2005

67 Attacchi dall'esterno Spoofing (dare ad un messaggio come indirizzo mittente quello di un altro) usato da quasi tutti i Virus e per scherzi, truffe, SPAM Crittografia, AntiVirus, AntiSPAM Denial of Service (DoS) di un Servizio (un applicativo può servire al più N clienti alla volta) Limitare il numero di connessioni da un singolo IP, bloccare dinamicamente gli IP che portano l' attacco, aumentare N AICA © 2005

68 Attacchi dall'esterno DoS SYN Flood (richiedere l'apertura di connessioni TCP senza mai finire il 3way Handshake) di solito unita a IP Spoofing Usare i SynCookies, ridurre i timeout di TCP, aumentare il numero di connessioni semiaperte Denial of Service (DoS) di banda Chiedere al proprio provider di filtrare del traffico prima che giunga a voi AICA © 2005

69 Attacchi dall'esterno Amplificatore di SMURF (caso particolare del precedente: ping a broadcast di terza rete con IP sorgente di chi è attaccato) Come i precedenti Distributed DoS (attacchi di DoS portati da molte macchine diverse contemporaneamente usando IPSpoofing ecc.) AICA © 2005

70 Attacchi dall'esterno DoS casella (riempimento casella, tipico è SPAM) AntiSPAM, filtri automatici PingofDeath (causa bug SO o stack TCP/IP, un solo pacchetto speciale può bloccare la macchina) Filtri su firewall, patch del SO AICA © 2005

71 Hardening Scegliere SO che lo permetta
Installare il minimo necessario, mai compilatori ecc. Se possibile solo 1 servizio per macchina Tenere copia dei LOG (abbondanti) su altre macchine in tempo reale Installare HIDS e Personal Firewall Accessi solo cifrati AICA © 2005

72 Sicurezza del servizio DNS
Attacchi basati su errori di implementazione Basato su UDP, più facile falsificare indirizzo IP del mittente Raccolta di informazioni sulla rete Intera tabella di associazione nome –IP di un dominio Cache poisoning Inserire dati nella cache di un server dns Redirigere il traffico verso un host ad un server controllato da un attaccante AICA © 2005

73 Reti peer-to-peer Modalità di accesso ad internet
Condivisione delle informazioni locali Problematiche legate alla licenza e al software AICA © 2005

74 Attivazione di un server HTTPS
Apache, OpenSSL, mod_ssl AICA © 2005

75 Generazione e installazione del certificato per il server
Openssl req –new –out server.csr AICA © 2005

76 Generazione e installazione del certificato per il server
Openssl rsa –in privkey.pem –out server.key Openssl x509 –in server.csr –out server.crt –req –signkey server.key –days 365 AICA © 2005

77 Generazione e installazione del certificato per il server
Openssl x509 –in server.crt –out server.dert.crt –outform DER I file server.der.crt e server.key vanno copiati in una directory : /etc/httpd/conf/ssl.csr /etc/httpd/conf/ssl.crt /etc/httpd/conf/ssl.key AICA © 2005

78 File di configurazione
<IfDefine SSL> ## SSL Virtual Host Context NameVirtualHost :443 <VirtualHost :443> DocumentRoot "/opt/web/gio/ " ServerAdmin ServerName nemo.it-admin.it ServerPath / ScriptAlias /cgi-bin/ "/opt/web/gio/ /cgi-bin/" ErrorLog /var/log/httpd/apache/ error_log CustomLog /var/log/httpd/apache/ access_log common TransferLog /var/log/httpd/apache/ access_log AICA © 2005

79 File di configurazione
SSLEngine on SSLCipherSuite ALL:!ADH:!EXP56:RC4+RSA:+HIGH:+MEDIUM:+LOW:!SSLv2:+EXP:+eNULL # Server Certificate: SSLCertificateFile /etc/httpd/ssl.crt/server.2002.crt # Server Private Key: SSLCertificateKeyFile /etc/httpd/ssl.key/server.2002.key # Server Certificate Chain: #SSLCertificateChainFile /etc/httpd/ssl.crt/ca.crt # Certificate Authority (CA): #SSLCACertificatePath /etc/httpd/ssl.crt # Certificate Revocation Lists (CRL): #SSLCARevocationPath /etc/httpd/ssl.crl #SSLCARevocationFile /etc/httpd/ssl.crl/ca-bundle.crl AICA © 2005

80 File di configurazione
# Client Authentication (Type): SSLVerifyClient none # With SSLRequire you can do per-directory access control based # on arbitrary complex boolean expressions containing server # variable checks and other lookup directives. #<Location /> #SSLRequire ( %{SSL_CIPHER} !~ m/^(EXP|NULL)-/ \ # and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \ # and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"} \ # and %{TIME_WDAY} >= 1 and %{TIME_WDAY} <= 5 \ # and %{TIME_HOUR} >= 8 and %{TIME_HOUR} <= ) \ # or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/ #</Location> AICA © 2005

81 Protezione SSL POP2, IMAP, SMTP sono protocolli insicuri
Protezione con tunnel SSL 995/tcp per POP3 su SSL 993/tcp per IMAP su SSL 465/tcp per SMTP su SSL AICA © 2005

82 Creazione di un tunnel SSL
Utilizzo di stunnel Disponibile sia sotto windows che linux File di configurazione /etc/stunnel/stunnel.conf Creazione di un certificato per stunnel Server mode: accetta connessioni cifrate su una specifica porta e le invia in chiaro verso una porta non cifrata Client mode: accetta connessioni in chiaro su una specifica porta e le invia cifrate verso una porta remota AICA © 2005

83 File di configurazione
# chroot + user (comment out to disable) # chroot = /var/lib/stunnel/ setuid = stunnel setgid = nogroup pid = /var/run/stunnel.pid #CAfile = /etc/stunnel/certs.pem cert = /etc/stunnel/stunnel.pem AICA © 2005

84 File di configurazione
# [pop3s] # accept = 995 # connect = 110 # [imaps] # accept = 993 # connect = 143 # accept = 993 # exec = /usr/sbin/imapd # execargs = imapd # pty = no # [ssmtp] # accept = 465 # connect = 25 AICA © 2005

85 Virtual Private Networks
VPN basate su IPSEC/IKE Protocollo composto da due parti IPSEC : cifratura e autenticazione dei pacchetti Ha bisogno di un accordo fra i sistemi sulle credenziali da utilizzare (chiave) IKE (Internet Key Exchange) : permette di creare della Security Association (SA) Associano delle credenziali ad un insieme di pacchetti IP IP non è orientato alla connessione SA gestisce traffico da un IP ad un altro (client -> server) Il traffico server->client necessità di un’altra SA Utilizza UDP e la porta 500 AICA © 2005