Post on 01-May-2015
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
1
Sicurezza in rete
Damir PobricIAT /Consorzio Pisa Ricerche
E-mail: Damir.Pobric@iat.cnr.it
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
2
Sicurezza in rete
• Politica di sicurezza
• Sicurezza dei (1) sistemi e (2) router
• Firewall
• Intrusion Detection System
• Auditing
• Piano di risposta agli incidenti
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
3
Politica di sicurezza• L’importanza dell’informazione e diritti di copyright e di
proprietà
• Identificare punti deboli e potenziali “nemici”
• Conoscere l’ambiente
• Limitare punti di accesso
• Considerare il fattore umano
• La sicurezza fisica
• Determinare i costi
• Implementazione “scalabile” e pervasiva
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
4
Router
• elemento cruciale della rete– transita tutto il traffico– punto d’ingresso/uscita– meccanismi flessibili/facili– funzionalità di firewall
• di base - bloccare passaggio
• estese - analizzare pacchetti/protocolli
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
5
Router
Internet
Rete di istituto
Punto di ingresso
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
6
Router
Accesso al router:
• Interattivo: – console o aux– terminale virtuale (telnet)
• Servizi gestionali– SNMP– HTTP
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
7
Accesso interattivo (1)
• username/password– definiti localmente
password non privilegiate (algoritmo debole, reverso)
service password-encryption
username jdoe password 7 07362E590E1B1C041B1
username jdoe password 7 <removed>
secret password (MD5)
enable secret 5 $1$iUjJ$cDZ03KKGh7mHfX2RS
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
8
Accesso interattivo (2)
– server di autenticazioneTACACS e RADIUS
aaa new-model
aaa authentication login default radius
router TACACS+/
RadiusTACACS/Radius
le transazioni criptate con la chiave
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
9
Accesso interattivo (3)
• Limitare l’accesso– configurazione della linea vty
ip access-class
transport input telnet ssh
Exec-timeout
IPSec– definizione dell’utente
acl che nega connessioni telnet in uscita
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
10
Accesso interattivo (4)
access-list 10 permit 192.168.55.0 0.0.0.255
line vty 0 4
access-class 10 in
line vty 4
access-class 11 in
username steve password
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
11
SNMP (1)
• V1– stringa in chiaro– datagram UDP facilmente “spoof”abili
snmp-server community
• V2snmp-server party
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
12
SNMP (2)
access-list 1 permit 2.2.2.2
snmp-server community public RO 1
access-list 2 permit 3.3.3.3
snmp-server community public RW 2
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
13
HTTP
• autenticazione in chiaroip http authentication
• Limitare accesso ai soli indirizzi IP autorizzatiip http access-class
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
14
Vulnerabilità di accessi
• Sniffingpassword, configurazione, …– accesso ssh or IPSec– one time password
• Compromesso il host autorizzato
• Attacco DOS -> out-of-band
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
15
Logging (1)
• AAA logging– Telnet, http, ppp ….
• System logging– logging console/monitor – Syslog (logging ip-address, logging trap)– local (logging buffered)
• SNMP logging
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
16
Logging (2)
• Debugging puo’ essere pericoloso– via syslog– le liste di accesso strette/limitate
• Buffer circolare (DRAM)
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
17
Logging access violation
• Vengono “logg”ati pacchetti bloccati– Identificare un attacco– Identificare traffico sospetto
• “rate limited”– Non “logg”are tutto il traffico
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
18
Funzioni di firewall su router
• Semplice blocco dei pacchetti non permessi
• Le liste di accesso standard e estese
• Efficiente per:– Fermare il traffico non desiderato– Proteggere (isolare) macchine e/o servizi– Tracciare un attacco
• Non funziona con:– Protocolli di trasporto e/o applicativi, porte dinamiche
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
19
Funzioni di firewall su router - filtering
access-list 101 permit tcp any host a.a.a.a eq 25
access-list 101 permit tcp any host b.b.b.b eq 25• Ftp
– Connessioni di controllo– Connessione dati - dal server e sulla porta dinamica
• PASV (trasparente nei browser)
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
20
Funzioni di firewall su router - CBAC
• Cisco Secure Integrated Software, ex Firewall
• si basa sull’ispezione dei pachetti, anche della parte dati (protocolli di trasporto e applicativi)
• CBAC - Context-based access control– Stato persistente delle connessioni - inoltrare o
bloccare i pacchetti– accounting
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
21
CBAC (1)
• Esamina e riconosce “flussi” o “canali”– Protocolli:
apre dinamicamente la strada ai pacchetti TCP di ritorno
• Controlla le “violazioni” o sospette azioni– blocca il traffico e informa
• statistiche e logging di livello di sessione– Indirizzi, numeri di porta,
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
22
CBAC (2)
• Si definiscono i protocolli o sessioni che devono passare e non i pacchetti– le liste di accesso dinamiche– estende (i nuovi entry precedono) le liste attuali
• Conversazioni– Una o più sessioni TCP o più flussi UDP
• Canali (channels)– Le aperture su firewall
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
23
CBAC (3)
• Benefici– Meno “buchi” nelle liste– Riconosce i modi di abuso comune di protocolli– Resistente a vari tipi di attacchi– Combinato con NAT:
• Nasconde indirizzi
• Meglio protetti da attacchi con ICMP
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
24
CBAC (4)
• Limiti– Conoscenza di protocolli fino a certo livello
• Prestazioni
– Blocca solo il traffico riconosciuto come attacco/abuso
– Richiede buona conoscenza di protocolli
– Non esiste assoluta protezione per servizi/host
– Routing asimmetrico
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
25
CBAC (5)
• Interagisce con la configurazione– lista cancellata : entry dinamici vengono persi– Numero cambiato : conversazioni attuali perse– La stessa lista su più interface : per link ridondanti– Lista non definita : inverte logica delle acl
• Non funziona con ICMP
• Per UDP (generico) usa time-out
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
26
CBAC (6)Cuseeme CUSeeMe Protocol
ftp File Transfer Protocol
H323 H.323 Protocol (Microsoft NetMeeting)
http HTTP Protocol
rcmd R commands (r-exec, r-login, r-sh)
Realaudio Real Audio Protocol
rpc Remote Procedure Call Protocol
smtp Simple Mail Transfer Protocol
sqlnet SQL Net Protocol
Streamworks StreamWorks Protocol
Tcp Transmission Control Protocol
Tftp TFTP Protocol
Udp User Datagram Protocol
Vdolive VDOLive Protocol
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
27
Funzioni di firewall su router - lock and key
• Apertura di canale “a richiesta”
• Via telnet, autenticazione via TACACS, RADIUS o locale
• L’autenticazione è legata a indirizzo IP
• La acl si basa su indirizzo IP del host
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
28
Funzioni di firewall su router - Authentication proxy
• Apertura di canale “a richiesta”
• Via http, autenticazione via TACACS o RADIUS
• L’autenticazione è legata al nome
• La acl viene trasferita dal server di autenticazione
• acl può avere più righe
• Funziona anche con DHCP
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
29
Funzioni di firewall su router - Authentication proxy
• Benefici– Sicurezza sulla base di un singolo utente
Vari livelli di privilegi per vari utenti– Usa comune browser
• Difetti– Solo per http, porta 80– Richiede java scripts
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
30
Anti-spoofing
• accettare pacchetti da soli indirizzi IP della rete
• RFC2267
ip access-group list
192.168.0.0/24
192.168.5.5
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
31
Smurf (1)
• directed broadcast
• Satura la LAN, collegamento Internet, macchina vittima
192.168.0.0/24
ICMP (192.168.0.255)
broadcast
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
32
Smurf (2)
• Non tradure in broadcast di linea
no ip directed-broadcast (default >= 12.0)
• Limitare certo tipo di traffico
rate-limit
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
33
Integrità di percorso (1)
• Source routing– Traceroute (loose source route option)
• ICMP redirect– LAN e da Internet
• Routing– Autenticazione di router vicini– Filtraggio delle routes
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
34
Integrità di percorso (2)
ICMP redirect, usa R
Destination A
R
192.168.0.0/24; default
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
35
Flooding e DOS (Denial Of Service)
• Alto volume di pacchetti/numero di connessioni
• Bloccare sorgente
• SYN floodTCP intercept
rate-limit
• Proteggere il router
scheduler interval/allocate
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
36
Indirizzi IP privati (1)
Rete
RouteFiltering
WWW FTP, DNSMail
Internet
PROXY
NAT/PAT
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
37
Indirizzi IP privati (2)
Rete “Interna” Rete “Esterna”
10.0.0.2
10.0.0.3
NAT Table
Inside Local IP Address
Inside Global IP Address
10.0.0.210.0.0.3
192.69.1.1192.69.1.2
SA = Source Address
NAT
Internet/Intranet
SA
10.0.0.2
SA
192.69.1.1
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
38
Indirizzi IP privati (3)
10.0.0.1
10.2.0.5
NAT Table
Inside Local IP Address
Inside Global IP Address
192.69.1.1:5001192.69.1.1:5002
10.0.0.210.0.0.3
SA = Source Address
NAT
Internet/Intranet
SA
10.0.0.2
SA
192.69.1.1
Rete “Interna” Rete “Esterna”
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
39
IPSec (1)
• Cifratura al livello IP
• authentication header (AH) - integrità di dati
• encapsulating security payload (ESP) - confidenzialità e integrità di dati
• Internet Key Exchange (IKE)
• Tunnel e transport mode
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
40
IPSec (2)
CC
DD
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
41
Intrusion Detection System
• Router o firewall
• Router - indipendentemente o come complemento a IDS
• Cisco IDS– piccoli siti (2600 e 3600)– Attacchi più comune (spam, – Azioni: allarme, buttare via i pacchetti, “reset”tare la
connessione TCP
24 November, 2000 Damir Pobric
C Consiglio Nazionale delle RicercheIAT
42
Scanning tools
• Security Profile Inspector (SPI)
• Internet Security Scanner (ISS)
• Security Analysis Tool for Auditing Networks (SATAN)
• COPS
• Tripwire
• Cisco Secure Scanner (Sonar)