Post on 18-Feb-2019
La sicurezza delle reti
Cancellazione di datiLetture
non autorizzate
Inserimentodati falsi
A quale livello di rete è meglio realizzarela sicurezza?
firewall? IPSEC?smart-card?
apparati cifranti?guardie armate?
Data Link
IP
TCP
Applicazione
Physical
Nuove linee guida
• VPN mediante IP tunnelling
• Canali logici autenticati
• Separatezza tra WAN e LAN (firewall)
Argomenti
I concetti base sulle reti
IP tunneling
Secure VPN
Firewall
Applicazione
Presentazione
Sessione
Trasporto
Rete
Data Link
Fisico
Applicazione
TCP
IP
Data Link
Fisico
ISO/OSI INTERNET
130.192.25.1
HTTP (WEB)FTP (File Transfer)
SMTP (E-Mail)..
Generazione di pacchetti
...quello che ti storaccontan
....quello ch
e ti sto racc
ontando ....
Generazione della “busta”
e ti sto racc
e ti sto racc
e ti sto racc
25 1324
25 1324IPDA IPSA
UPPER
TRNSP
NETWK
dest port # = 25 (email)
I protocolli Internet
HTTPFTP
SMTPRTP
SMNP
TCP
IP
NFSRPC
UDP
ICMPARP
ROUTING PROTOCOL
DNS
ICMP(Internet Control and Management Protocol)
• Protocollo con cui i nodi si scambiano informazioni sullo stato della rete
• Utilizzando impropriamente ICMP si può definire un nodo unreachable (attacco DoS)
I protocolli di controllo
DNS (Domain naming System)
• Protocollo con cui si ricava l’indirizzo IP dall’indirizzo logico
• Utilizzando impropriamente il protocollo basato su UDP è possibile generare risposte false o avvelenare la cache
• È in fase di rilascio DNS/S
• Esiste il sw BIND che limita i danni
I protocolli di controllo
Sicurezza del DNS• attacchi:
• shadow server• avvelenamento della cache
DNSserver
DNSserver
(shadow)DNS server
IP (www.polito.it)?
RIP o OSPF
• Protocolli con cui router si scambiano informazioni relative ai percorsi di instradamento
• Utilizzando impropriamente tali protocolli si possono instradare i pacchetti su percorsi diversi o a costo altissimo
• Autenticazione dei protocolli di routing (RFC - 285)
• Meglio routing statico, evitare source routing
I protocolli di controllo
Argomenti
I concetti base sulle reti
IP tunneling
Secure VPN
Firewall
Sicurezza applicazioni
Intrusion detection
Enterprise NET
Internet
Entr. WAN(Intranet)
PSTN
Packet Net(es. ATM)
CDN
Enterprise WAN
Rete Privata Virtuale (VPN)
Normalmente realizzate con bassi criteri di sicurezza, a causa dell’insicurezza dei router
Rete
pubblica
Sicurezza a livello network
• protezione per reti omogenee a livello logico (es. IP)
rete IP
router
router client
server
I tre livelli di protezione
HTTP FTP
TCP
IP
SMTP
livello di rete
Tunnel IPIPSec
‘tunnel’
Tunnel
IP Tunnel
new IP header
ESPheader
IP header dati
secret key
IP header dati
new IP header
Nuova intestazione IP
IPsec
• proposta IETF per fare sicurezza al livello 3 siain IPv4 sia in IPv6
• RFC-1825 (architettura generale)• definisce due formati particolari:
• AH (Authentication Header)per integrità ed autenticazione
• ESP (Encrypted Security Payload)per riservatezza
Argomenti
I concetti base sulle reti
IP tunneling
Secure VPN
Firewall
Sicurezza applicazioni
Intrusion detection
rete alivello disicurezza L2
Che cos’è un firewall?• firewall = muro tagliafuoco• collegamento controllato tra reti a diverso
livello di sicurezza
rete a livellodi sicurezza L1
( L1 > L2 )
Firewall
Rete aziendale
Internet
Firewall o screening router
Le “tavole della legge” sui firewall
• il firewall deve essere l’unico punto di contatto tra la rete interna e quella esterna
• il firewall deve lasciar passare solo il traffico autorizzato
• il firewall deve essere un sistema altamente sicuro
Cos’è un Firewall ?
ROUTER
SLIP o PPPRete
Privata
Sistema con TCP/IP
Internet
Presidio di Sicurezza
Dove si fanno i controlli
IP TCP Data payload
TCP
Datalink
Fisico
IP
Applicazione
Classificazione
Le componenti base di un’architettura firewall sono:- screening router- bastion host- application gateway o proxy
Tali componenti possono essere scelte per costituire architetture firewall con diverso grado di sicurezza
Screening router
Osserva tutto il traffico che lo attraversa, autorizzando o meno il transito dei singoli pacchetti
Operazioni di filtro basate su informazioni di livello 3 (indirizzi IP) o 4 (indirizzi di trasporto,port number)
Rete esterna
Screening router
Screening router
Rete esterna
Rete interna
Esempio di policy di security
“Nessuno può accedere dall’esterno all’elaboratore usato per la contabilità”
“Tutti gli utenti possono inviare posta elettronica”
“Solo alcuni possono utilizzare www”
SMTP
TCPport25
TELNET
TCPport23 Mail server
Qualunque pacchetto con destinazione
130.40.12..0 (www.sex.it)
Esempio di policy di security
Il primo esempio impedisce l’accesso a un elaboratore indipendentemente dal tipo di applicazione (filtro a livello 3)
Le altre due associano diritti a specifiche applicazioni (filtro a livello 4)
Le liste di accesso (AL)
Elenchi di “regole” che specificano diritti di accesso in base a criteri che possono essere di livello 3 o 4
Associate a specifiche interfacce dello screening router
Quando si riceve un pacchetto si controlla se esiste nella lista di accesso una regola che ne permette il transito
Esempio: screening router
Internet
193.24.15.0193.24.16.0
Porta 2Porta 1
Porta 3
“Tutti gli host interni alla rete aziendale possono inviare posta usando SMTP”
“Solo 14 host possono navigare su Internet (193.24.15.1-14)”
“Protezione contro address spoofingdall’esterno”
Esempio: screening router
Bastion Host
Sistema “sicuro” a cui è stato elevato il grado di resistenza agli attacchi esterni, mediante tra l’altro:
• un solo utente con accesso fisico• solo processi di firewall• tutti i log abilitati• massime abilitazioni di
sicurezza del S.O.
Application gatewayUn applicativo, o gateway, che riceve tutte le richieste di un servizio (es. mail, www) e, se autorizzate, le inoltra ai server destinatariPuò risiedere su bastion host
Mail proxy
Mail server
Configurazione di firewall
A secondo dei componenti usati e dei filtri
impiegati si possono distinguere le seguenti
configurazioni:
- Screened host gateway
- Dual-homed gateway
- Screened subnet
Screened host gateway
Sistema costituito da:
- screening router- bastion host
Bastion Host e screening router
InternetScreening router
Bastion Host
Dual-homed gateway
Sistema costituito da:
- screening router- application gateway con doppia porta
si può realizzare una “rete esposta” o DMZ
Dual-homed gateway
Rete esterna
WEB server FTP server
Dual-homed gateway
Rete esterna
Screened subnet
Sistema costituito da:
- due screening router in serie- application gateway di tipo bastion host
si può realizzare una “rete esposta” o DMZ
si possono mascherare completamente gli indirizzi interni
DMZ
Screened subnet
Rete esterna
WEB server FTP server