AICA Corso IT Administrator: modulo 5 AICA © 2005 1 EUCIP IT Administrator Modulo 5 - Sicurezza...

AICA © 2005 1

AICACorso IT Administrator: modulo 5

EUCIP IT AdministratorModulo 5 - Sicurezza Informatica

7 - Sicurezza di rete

AICA © 2005 2


Concetti di base

• Architettura ISO/OSI, Ethernet, TCP/IP– Livelli

– Incapsulamento dei protocolli

– Comunicazioni a pacchetti

– Indirizzi IP e porte TCP/UDP

AICA © 2005 3


Wireless

• ricerca di reti wireless “aperte” strumenti– un’antenna

– un’automobile

– un ricevitore GPS

AICA © 2005 4


Wireless

• Prove a Milano (2003)– 18 reti

– 12 senza WEP

– da http://www.portel.it

AICA © 2005 5


Wireless

• Molti AP hanno una configurazione di default che facillita le operazioni di configurazione

• È importante conoscere le operazioni di setup per incrementare la sicurezza ed evitare problemi – unwanted "Guests“

• SSID : wireless network name– di solito è abilitato il broadcast SSID in modo che i clients possano

effettuare uno scan delle reti wireless disponibili

AICA © 2005 6


Wireless

• Chiunque (utenti non desidarti) possono effettuare lo scan e “vedere” la WLAN

• Per security-sensitive reti aziendali occorre disabilitare broadcast SSID

• Scegliere un’opzione con WEP encryption– confidentiality: uso di RC4 (stream cipher)

• reinizializzazione per ogni pacchetto• WEP key + Initialization Vector (IV) => per-packet

AICA © 2005 7


Gestione dei log

• Prima fonte di informazioni sugli eventi del sistema

– In Unix gestiti da syslogd: file di configurazione /etc/syslog.conf

– In windows esiste Event Viewer

AICA © 2005 8


Log applicativi

• Le applicazioni hanno due possibilità per effettuare il logging– Appoggiarsi al log del sistema

– Utilizzare un proprio file di log• apache

AICA © 2005 9


Logserver centralizzato

• Invio dei log singoli su un server– Log maggiormente protetti

– Riconoscere correlazioni tra eventi diversi

• Problemi– Formati differenti tra diversi sistemi operativi

AICA © 2005 10


Firewall o Difesa Perimetrale

1. Definire un perimetro

2. Dividere il mondo in interno ed esterno in modo che il firewall sia l’UNICO punto di accesso

3. Il pericolo è sia dentro che fuori!!! (il pericolo interno è il più insidioso ed il più probabile)

4. Il livello di sicurezza è uguale al punto più debole (di solito quindi è nullo...)

AICA © 2005 11


Tecnologie adottate

1. Filtraggio del traffico: chi può passare la frontiera

2. Analisi dei contenuti: cosa può passare la frontiera

3. Sorveglianza: essere pronti a rispondere e riprendersi dagli attacchi

4. Fattore umano: avere procedure e regole per tutto il personale (Piano di Sicurezza)

AICA © 2005 12


Tipi di Firewall

• Packet Filter: che si limita a valutare gli header di ciascun pacchetto

• Stateful Inspection: 1 + tiene traccia di alcune relazioni tra i pacchetti che lo attraversano, ad esempio ricostruisce lo stato delle connessioni TCP, e analizza i protocolli che aprono più connessioni .Questo permette ad esempio di riconoscere pacchetti TCP malevoli che non fanno parte di alcuna connessione, o di permettere il funzionamento di protocolli complessi

• Content Inspection: 2 + effettua controlli fino al livello 7 della pila ISO/OSI, ovvero valutano anche il contenuto applicativo dei pacchetti, ad esempio riconoscendo e bloccando i dati appartenenti a virus o worm noti in una sessione HTTP o SMTPSMTP

• Proxy o Application Level Gateway (ALG): la configurazione della rete privata non consente connessioni dirette verso l'esterno, ma il proxy è connesso sia alla rete privata che alla rete pubblica, e permette alcune connessioni in modo selettivo, e solo per i protocolli che supporta.

• una miscela delle varie possibilità

AICA © 2005 13


Politiche di autorizzazione

• “Tutto ciò che non è espressamente permesso, è vietato”– maggior sicurezza

– più difficile da gestire

• “Tutto ciò che non è espressamente vietato, è permesso”– minor sicurezza (porte aperte)

– più facile da gestire

AICA © 2005 14


Elementi di base

• screening router ( choke )– router che filtra il traffico a livello IP

• bastion host– sistema sicuro, con auditing

• application gateway ( proxy )– servizio che svolge il lavoro per conto di un applicativo, con

controllo di accesso

• dual-homed gateway– sistema con due connessioni

AICA © 2005 15


Livelli di controllo

AICA © 2005 16


Screening router

AICA © 2005 17


Screening router

• usa il router per filtrare il traffico sia a livello IP che superiore• non richiede hardware dedicato• non necessita di proxy e quindi di modifiche agli applicativi• facile, economico e ... insicuro!

AICA © 2005 18


Dual-homed gateway

AICA © 2005 19


Dual-homed gateway

• router:– blocca i pacchetti da LAN a Internet a meno che arrivino dal bastion

host

– blocca i pacchetti da internet a LAN a meno che siano destinati al bastion host

– eccezione: protocolli abilitati direttamente

• bastion host:– circuit/application level gateway per abilitare selettivamente dei

servizi

AICA © 2005 20


Dual-homed gateway

• più caro da realizzare• più flessibilità• complicato da gestire: due sistemi invece di uno• si può selettivamente allentare il controllo su certi servizi /

host• si possono mascherare solo gli host/protocolli che

passano dal bastion (a meno che il router abbia funzionalità NAT)

AICA © 2005 21


Screened subnet

AICA © 2005 22


Screened subnet

• DMZ (De-Militarized Zone)– sulla rete esterna - oltre al gateway - ci possono essere più

host (tipicamente i server pubblici):• web• accesso remoto• ...

• si può configurare il routing in modo che la rete interna sia sconosciuta

• soluzione costosa

AICA © 2005 23


Tecnologia dei firewall

• (static) packet filter• stateful (dynamic) packet filter• application-level gateway / proxy• stateful inspection• circuit-level gateway / proxy• cutoff proxy

AICA © 2005 24


Packet filter

• pacchetti esaminati a livello rete (indirizzi IP, porte, protocollo )

• Sui router

AICA © 2005 25


Packet filter: pro e contro

• indipendente dalle applicazioni– ottima scalabilità

– controlli poco precisi: più facile da “fregare” (es. IP spoofing)

• ottime prestazioni• basso costo (disponibile su router e molti SO)• arduo supportare servizi con porte allocate dinamicamente

es. FTP)• configurazione complessa

AICA © 2005 26


Application-level gateway

• composto da una serie di proxy che esaminano il contenuto dei pacchetti a livello applicativo

• spesso richiede modifica dell’applicativo client può opzionalmente effettuare il mascheramento / rinumerazione degli indirizzi IP interni

• nell’ambito dei firewall, normalmente ha anche funzioni di autenticazione

• massima sicurezza!! (es. contro buffer overflow dell’applicazione target)

AICA © 2005 27


Application-level gateway

• regole più granulari e semplici rispetto a packet• ogni applicazione richiede uno specifico proxy

– ritardo nel supporto per nuove applicazioni

– consumo risorse (molti processi)

– basse prestazioni (processi user-mode)

AICA © 2005 28


Stateful inspection

• combina le caratteristiche di dynamic packet filter, circuit-level ed application-level gateway– può esaminare info a tutti i livelli

– pacchetti analizzati

– Tiene traccia delle connessioni aperte• Seleziona i pacchetti che ne fanno parte

AICA © 2005 29


Stateful inspection

• in pratica spesso usato come Stateful Packet Filter per l’eccessivo overhead !!!

AICA © 2005 30


Packet filter & Content inspection

• Analisi del protocollo – Basata sui pacchetti

AICA © 2005 31


Personal Firewall

• Filtrano il traffico di pacchetti su di una singola macchina, permettendo che solo il traffico permesso raggiunga le applicazioni che sono attive sulla macchina e protegge lo stesso Sistema Operativo.

AICA © 2005 32


Firewall: prodotti commerciali

• tutti i maggiori produttori offrono un firewall tipicamente su UNIX, talvolta su Windows-NT (ma in questo caso gli cambiano lo stack di rete!)

• esiste il Firewall Toolkit (FWTK)– gratis da TIS (www.tis.com)

– mattoncini base di tipo application-gateway

– firewall-fai-da-te

• IPchains / IPfilter / IPtables sotto Linux– packet-filter

AICA © 2005 33


IPtable

• funziona su tutti i kernel Linux che supportano packet filtering (controllare se esiste il file /proc/net/ip_fwchains)

• opzioni di configurazione per abilitare il packet filtering sui kernel 2.1/2.2:– CONFIG_FIREWALL=y

– CONFIG_IP_FIREWALL=y

• il comando ipchains permette di gestire le regole di filtraggio del traffico IP nel kernel

AICA © 2005 34


IPtable

Selezione fatta:• in base all’header IP

– Indirizzo IP del destinatario

– Indirizzo IP del mittente

• in base alle caratteristiche del protocollo trasportato (TCP, UDP, ICMP)– Protocollo TCP, UDP : porta mittente e/o destinataria

– ICMP : tipo e codice

Un altro parametro è l’IFT di rete:• di provenienza (distinguo LAN e Internet)• di destinazione

AICA © 2005 35


Esempi

Iptables –A FORWARD –d x.x.x.x/24 –j DROP

• -A (add rule)• x.x.x.x : indirizzo della rete alla quale si impedisce l’accesso• FORWARD : pacchetto in transito • DROP : i pacchetti destinati alla macchina sono scartati senza

nessun avviso (con REJECT : invia segnalazioni al mittente)

SCARTA TUTTI I PACCHETTI DESTINATI ALLA RETE x.x.x.x IN TRANSITO PER IL FIREWALL

AICA © 2005 36


Esempi

Iptables –A FORWARD –p tcp –d x.x.x.x --dport 80 –j ACCEPT

• -A (add rule)• tcp: protocollo utilizzato• x.x.x.x : indirizzo della rete alla quale si permette l’accesso• FORWARD : pacchetto in transito • 80 porta che specifica il servizio• ACCEPT

PERMETTE DI ACCEDERE AL SERVIZIO WEB AZIENDALE DA INTERNET

AICA © 2005 37


Ordine di valutazione

• Le prima regola corrispondente al pacchetto viene presa in configurazione

1. Iptables –A FORWARD –d 192.168.1.0/24 –j DROP

2. Iptables –A FORWARD –p tcp –d 192.168.1.2 --dport 80 –j ACCEPT• Mai utilizzata

AICA © 2005 38


Ordine di valutazione

• Permettere esplicitamente il traffico legittimo• Bloccare tutto il resto

– Default deny

– Ultima regola :• Iptables –A FORWARD –j DROP

AICA © 2005 39


Esempio: permettere ai client della LAN aziendale di connetersi a un server web ma non viceversa

1. Iptables –A FORWARD –p tcp –s 192.168.1.0/24 –d 192.168.2.2 --dport 80 –j ACCEPT

Permette ai pacchetti in uscita dai client di raggiungere il server web

2. Iptables –A FORWARD –p tcp –s 192.168.2.2 –d 192.168.1.0/24 -tsport 80 --dport 1024:! –syn –j ACCEPT

Permette alle risposte del server web di raggiungere i client ma blocca tutti i pacchetti dal server con il flag SYN settato (connessioni diverse dalle risposte)

3. Iptables –A FORWARD –j DROP

AICA © 2005 40


Proxy

• Proxy per client: – Blocco del contenuto attivo del traffico HTTP– Blocco dei siti corrispondenti a blacklist (fornite da appositi servizi

commerciali)

– Blocco o quarantena di messaggi e file contenent virus

– Selezione mediante pattern matching delle URL accessibili

• Reverse Proxy: – proteggono i server da attacchi dei client (distribuiscono il traffico ai

server)

– Filtrano gli indirizzi ed il payload e controllano l'aderenza ai protocolli

– È un controllo “sintattico”: attenzione agli eccessi di fiducia

AICA © 2005 41


SQUID: nasce come cache proxy

• Un cache proxy svolge un servizio di memorizzazione locale delle risorse della rete richieste più frequentemente, dove la risorsa è un oggetto a cui si accede attraverso un URL.

• Viene usato come “seconda linea” per l’accesso a Internet dei browser:

INTERNET <= ROUTER PACKET FILTER <= SQUID <= LAN

• File di configurazione– /etc/squid/squid.conf

AICA © 2005 42


File di configurazione: SQUID accetta connessioni solo sull’IFT interna

Direttiva: http_port:x.y.z.t:3148Dove x.y.z.t è l’IP dell’interfaccia interna di Squid e

3184 è la porta su cui aspetta richieste di connessione

É bene disattivare ogni altro protocollo relativo alla gestione di gerarchie di cache:

#Default:

icp_port 0

htcp_port 0

AICA © 2005 43


File di configurazione: Definire le ACL acl aclname acltype string1 string2 ….

#Recommended minimum configuration:acl all src 0.0.0.0/0.0.0.0acl manager proto cache_objectacl localhost src 127.0.0.1/255.255.255.255acl to_localhost dst 127.0.0.0/8acl SSL_ports port 443 563acl Safe_ports port 80 # httpacl Safe_ports port 21 # ftpacl Safe_ports port 443 563 # https, snewsacl Safe_ports port 70 # gopheracl Safe_ports port 210 # waisacl Safe_ports port 1025-65535 # unregistered portsacl Safe_ports port 280 # http-mgmtacl Safe_ports port 488 # gss-httpacl Safe_ports port 591 # filemakeracl Safe_ports port 777 # multiling httpacl CONNECT method CONNECT

AICA © 2005 44


File di configurazione: applicazione delle ACL http_access deny|allow aclname

#Default:# http_access deny all##Recommended minimum configuration:## Only allow cachemgr access from localhosthttp_access allow manager localhosthttp_access deny manager# Deny requests to unknown portshttp_access deny !Safe_ports# Deny CONNECT to other than SSL portshttp_access deny CONNECT !SSL_ports

AICA © 2005 45


File di configurazione

#acl our_networks src 192.168.1.0/24 192.168.2.0/24

#http_access allow our_networks

http_access allow localhost

# And finally deny all other access to this proxy

http_access deny all

AICA © 2005 46


NAT

• Network Address Translation: molti nomi NAT, PAT, SNAT, DNAT ...

• Cambia gli indirizzi IP mentre un pacchetto attraversa un router o firewall, ok se nel payload non ci sono riferimenti agli indirizzi, altrimenti ... !!!

• Si può mascherare (Masquerading) un'intera rete e farla apparire come se fosse solo una macchina

AICA © 2005 47


NAT

• NAT Statico: solo cambio di 1 IP con 1 altro IP, nessuna sicurezza (le porte TCP non cambiano)

• Masquerading e PortNAT: – molti IP in 1 IP, le porte TCP e

– UDP cambiano, è la combinazione numero IP + porta che permette di fare le traduzioni, possibile solo in 1 direzione, qualche sicurezza

AICA © 2005 48


NAT

• Molti protocolli (ftp ecc.) richiedono apertura porte dinamica, moduli apposta che ispezionano contenuto dei pacchetti per aprire porte dinamicamente

• Solo UDP e TCP permettono di fare PAT o Masquerading

AICA © 2005 49


Esempio

Iptables -A POSTROUTING –t nat –o eth0 –p tcp –s 192.168.128.0/24 –j SNAT –to-source x.x.x.x-x.x.x.y

• Questa regola prende il traffico in uscita sull’interfaccia eth0 e utilizza il NAT per rimappare l’indirizzo mittente privato su un range di indirizzi pubblici (x.x.x.x-x.x.x.y)

AICA © 2005 50


Altri elementi della difesa

• Network Intrusion Detection System (NIDS)• Router• Switch• Intrusion Prevention System (IPS)• Crittografia

AICA © 2005 51


Intrusion Detection System

• definizione:– sistema per identificare individui che usano un computer o una rete

senza autorizzazione

– esteso anche all’identificazione di utenti autorizzati, ma che violano i loro privilegi

• ipotesi:– il “pattern” di comportamento degli utenti non autorizzati si

differenzia da quello degli utenti autorizzati

AICA © 2005 52


IDS : Intrusion Detection System

• Tentano di rilevare:– attività di analisi della rete

– tentativi di intrusione

– Intrusioni avvenute

– comportamenti pericolosi degli utenti

– traffico anomalo

AICA © 2005 53


IDS

• IDS passivi:– uso di checksum crittografiche (confronto con “foto del sistema in

uno stato sicuro es. software Tripwire)

– riconoscimento di pattern anomali (“attack signature”)

• IDS attivi:– “learning” = analisi statistica del funzionamento del sistema

– “monitoring” = analisi attiva di traffico dati, sequenze, azioni

– “reaction” = confronto con parametri statistici (reazione scatta al superamento di una soglia)

AICA © 2005 54


Topologie

• HIDS (host-based IDS)– analisi dei log (del S.O. o delle applicazioni)

– attivazione di strumenti di monitoraggio interni al S.O.

• NID (network-based IDS)– attivazione di strumenti di monitoraggio del traffico di rete

AICA © 2005 55


Network Intrusion Detection System (NIDS)

• NIDS:• analizzano il traffico in rete (i sensori sono sniffer senza

indirizzo IP)• Tipo di analisi:

– In base a database di attacchi noti

– Euristiche

– Reti cognitive

• Quando analizzare i dati? In tempo reale o successivamente? • Reactive IDS (IPS): abbattono le connessioni

AICA © 2005 56


Componenti di un network-based IDS

• sensor– controlla traffico e log individuando pattern sospetti

– attiva i security event rilevanti

– interagisce con il sistema (ACLs, TCP reset, ... )

• director– coordina i sensor

– gestisce il security database

• IDS message system– consente la comunicazione sicura ed affidabile tra I componenti

dell’IDS

AICA © 2005 57


Architettura di un IDS

AICA © 2005 58


HostIDS

• Verificano tentativi di attacco al singolo sistema• Possono esaminare i log del sistema e delle applicazioni• Possono verificare lo stato dei file• Possono controllare le attività dei processi (es. chiamate di

sistema)

AICA © 2005 59


Problemi degli IDS

• Falsi positivi e falsi negativi• Prestazioni• Aggiornamento• Riconoscimento di nuovi attacchi• Attacchi di Input Validation

AICA © 2005 60


SNORT

SNORT HA UN’ARCHITETTURA MOLTO COMPLESSA COMPOSTA DA DIVERSI COMPONENTI:

• il packet decoder che intercetta e decodifica i pacchetti in arrivo; • i preprocessori che analizzano i pacchetti individuando quelli

potenzialmente dannosi; • il detection engine che controlla il pattern matching dei pacchetti

con le regole; • i componenti di alerting e logging che generano gli allarmi e

archiviano i log.

AICA © 2005 61


Snort

• Snort– NIDS mode

– www.snort.org

– Richiede libpcap

• File di configurazione– /etc/snort/snort.conf

• Scaricare dal sito le regole aggiornate– /etc/snort/rules

• Snort –i eth0 –A full –g snort –u snort –c snort.conf –l /var/log/snort

AICA © 2005 62


Servizi

• Programma (daemon) ascolta pacchetti in arrivo su – Indirizzo IP + Protocollo + Porta (o simili).

• Il SO (stack TCP/IP) passa all' applicativo in ascolto ogni pacchetto di questo tipo che riceve.

• I servizi sono caratterizzati da un protocollo (di solito TCP o UDP) ed una porta.

AICA © 2005 63


Attacchi dall'esterno

• Attacchi dall'Interno molti di più e molto peggio!• Spesso si aggirano le difese e/o si usa il fattore umano• Impossibile offrire servizi e proteggerli allo stesso tempo se i

servizi non sono stati progettati in modo sicuro.– Debolezza dei protocolli

– Software progettato senza sicurezza

– Errori di implementazione (bugs)

AICA © 2005 64



• Traffico in chiaro LAN/WAN -> SNIFFER– SWITCH ben configurati, Cifratura

• Accesso via WiFi dall' esterno a rete interna– Cifratura

• Inserzione AccessPoint WiFi in rete interna– Rete ben protetta e configurata

• ManinTheMiddle (MTM), session hijacking– Protocolli sicuri e crittografia

AICA © 2005 65



• Furto o scoperta Password– Sistema multilivello,

– certificati digitali, token ...

• Bugs applicativi– Costante aggiornamento (in tempo reale!), hardening dei SO,

attivazione solo servizi strettamente necessari,Personal Firewall, AV

• ARP Spoofing (impersonare un'altra macchina in LAN)– Bloccare le tavole ARP su server, router, switch

AICA © 2005 66



• IP Spoofing (dare ad un pacchetto IP come numero sorgente quello di un altro computer) usato per mascherarsi e per DoS, DDoS (se usato insieme a Sniffing diventa un attacco fatto da un altro!)– Imporre su tutta la periferia della propria rete rigidi filtri di ingresso e

uscita sugli indirizzi IP

AICA © 2005 67



• EMAIL Spoofing (dare ad un messaggio email come indirizzo mittente quello di un altro) usato da quasi tutti i Virus e per scherzi, truffe, SPAM– Crittografia, AntiVirus, AntiSPAM

• Denial of Service (DoS) di un Servizio (un applicativo può servire al più N clienti alla volta) – Limitare il numero di connessioni da un singolo IP, bloccare

dinamicamente gli IP che portano l' attacco, aumentare N

AICA © 2005 68



• DoS SYN Flood (richiedere l'apertura di connessioni TCP senza mai finire il 3way Handshake) di solito unita a IP Spoofing– Usare i SynCookies, ridurre i timeout di TCP, aumentare il numero

di connessioni semiaperte

• Denial of Service (DoS) di banda– Chiedere al proprio provider di filtrare del traffico prima che giunga

a voi

AICA © 2005 69



• Amplificatore di SMURF (caso particolare del precedente: ping a broadcast di terza rete con IP sorgente di chi è attaccato)– Come i precedenti

• Distributed DoS (attacchi di DoS portati da molte macchine diverse contemporaneamente usando IPSpoofing ecc.)– Come i precedenti

AICA © 2005 70



• DoS casella EMAIL (riempimento casella, tipico è SPAM)– AntiSPAM,

– filtri automatici

• PingofDeath (causa bug SO o stack TCP/IP, un solo pacchetto speciale può bloccare la macchina)– Filtri su firewall, patch del SO

AICA © 2005 71


Hardening

• Scegliere SO che lo permetta• Installare il minimo necessario, mai compilatori ecc.• Se possibile solo 1 servizio per macchina• Tenere copia dei LOG (abbondanti) su altre macchine in tempo

reale• Installare HIDS e Personal Firewall• Accessi solo cifrati

AICA © 2005 72


Sicurezza del servizio DNS

• Attacchi basati su errori di implementazione– Basato su UDP, più facile falsificare indirizzo IP del mittente

• Raccolta di informazioni sulla rete– Intera tabella di associazione nome –IP di un dominio

• Cache poisoning– Inserire dati nella cache di un server dns

– Redirigere il traffico verso un host ad un server controllato da un attaccante

AICA © 2005 73


Reti peer-to-peer

• Modalità di accesso ad internet• Condivisione delle informazioni locali• Problematiche legate alla licenza e al software

AICA © 2005 76



• Openssl rsa –in privkey.pem –out server.key• Openssl x509 –in server.csr –out server.crt –req –signkey

server.key –days 365

AICA © 2005 77



• Openssl x509 –in server.crt –out server.dert.crt –outform DER

• I file server.der.crt e server.key vanno copiati in una directory :– /etc/httpd/conf/ssl.csr

– /etc/httpd/conf/ssl.crt

– /etc/httpd/conf/ssl.key

AICA © 2005 78



<IfDefine SSL>

## SSL Virtual Host Context

NameVirtualHost 10.0.0.32:443

<VirtualHost 10.0.0.32:443>

DocumentRoot "/opt/web/gio/10.0.0.32"

ServerAdmin [email protected]

ServerName nemo.it-admin.it

ServerPath /10.0.0.32

ScriptAlias /cgi-bin/ "/opt/web/gio/10.0.0.32/cgi-bin/"

ErrorLog /var/log/httpd/apache/10.0.0.32-error_log

CustomLog /var/log/httpd/apache/10.0.0.32-access_log common

TransferLog /var/log/httpd/apache/10.0.0.32-access_log

AICA © 2005 79



SSLEngine on

SSLCipherSuite ALL:!ADH:!EXP56:RC4+RSA:+HIGH:+MEDIUM:+LOW:!SSLv2:+EXP:+eNULL

# Server Certificate:

SSLCertificateFile /etc/httpd/ssl.crt/server.2002.crt

# Server Private Key:

SSLCertificateKeyFile /etc/httpd/ssl.key/server.2002.key

# Server Certificate Chain:

#SSLCertificateChainFile /etc/httpd/ssl.crt/ca.crt

# Certificate Authority (CA):

#SSLCACertificatePath /etc/httpd/ssl.crt

# Certificate Revocation Lists (CRL):

#SSLCARevocationPath /etc/httpd/ssl.crl

#SSLCARevocationFile /etc/httpd/ssl.crl/ca-bundle.crl

AICA © 2005 80



# Client Authentication (Type):

SSLVerifyClient none

# With SSLRequire you can do per-directory access control based

# on arbitrary complex boolean expressions containing server

# variable checks and other lookup directives.

#<Location />

#SSLRequire ( %{SSL_CIPHER} !~ m/^(EXP|NULL)-/ \

# and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \

# and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"} \

# and %{TIME_WDAY} >= 1 and %{TIME_WDAY} <= 5 \

# and %{TIME_HOUR} >= 8 and %{TIME_HOUR} <= 20 ) \

# or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/

#</Location>

AICA © 2005 81


Protezione SSL

• POP2, IMAP, SMTP sono protocolli insicuri• Protezione con tunnel SSL

– 995/tcp per POP3 su SSL

– 993/tcp per IMAP su SSL

– 465/tcp per SMTP su SSL

AICA © 2005 82


Creazione di un tunnel SSL

• Utilizzo di stunnel– Disponibile sia sotto windows che linux

• File di configurazione – /etc/stunnel/stunnel.conf

• Creazione di un certificato per stunnel• Server mode: accetta connessioni cifrate su una specifica porta

e le invia in chiaro verso una porta non cifrata

• Client mode: accetta connessioni in chiaro su una specifica porta e le invia cifrate verso una porta remota

AICA © 2005 83



# chroot + user (comment out to disable)

#

chroot = /var/lib/stunnel/

setuid = stunnel

setgid = nogroup

pid = /var/run/stunnel.pid

#CAfile = /etc/stunnel/certs.pem

cert = /etc/stunnel/stunnel.pem

AICA © 2005 84



# [pop3s]# accept = 995 # connect = 110

# [imaps]# accept = 993# connect = 143

# [imaps]# accept = 993# exec = /usr/sbin/imapd# execargs = imapd# pty = no

# [ssmtp]# accept = 465# connect = 25

AICA © 2005 85


Virtual Private Networks

• VPN basate su IPSEC/IKE• Protocollo composto da due parti

– IPSEC : cifratura e autenticazione dei pacchetti• Ha bisogno di un accordo fra i sistemi sulle credenziali da utilizzare

(chiave)

– IKE (Internet Key Exchange) : permette di creare della Security Association (SA)

• Associano delle credenziali ad un insieme di pacchetti IP– IP non è orientato alla connessione

» SA gestisce traffico da un IP ad un altro (client -> server)» Il traffico server->client necessità di un’altra SA

• Utilizza UDP e la porta 500

AICA Corso IT Administrator: modulo 5 AICA © 2005 1 EUCIP IT Administrator Modulo 5 - Sicurezza...

Documents

Transcript of AICA Corso IT Administrator: modulo 5 AICA © 2005 1 EUCIP IT Administrator Modulo 5 - Sicurezza...