C Consiglio Nazionale delle Ricerche IAT 124 November, 2000Damir Pobric Sicurezza in rete Damir...

24 November, 2000 Damir Pobric

C Consiglio Nazionale delle RicercheIAT

1

Sicurezza in rete

Damir PobricIAT /Consorzio Pisa Ricerche

E-mail: [email protected]



2

Sicurezza in rete

• Politica di sicurezza

• Sicurezza dei (1) sistemi e (2) router

• Firewall

• Intrusion Detection System

• Auditing

• Piano di risposta agli incidenti



3

Politica di sicurezza• L’importanza dell’informazione e diritti di copyright e di

proprietà

• Identificare punti deboli e potenziali “nemici”

• Conoscere l’ambiente

• Limitare punti di accesso

• Considerare il fattore umano

• La sicurezza fisica

• Determinare i costi

• Implementazione “scalabile” e pervasiva



4

Router

• elemento cruciale della rete– transita tutto il traffico– punto d’ingresso/uscita– meccanismi flessibili/facili– funzionalità di firewall

• di base - bloccare passaggio

• estese - analizzare pacchetti/protocolli



5

Router

Internet

Rete di istituto

Punto di ingresso



6

Router

Accesso al router:

• Interattivo: – console o aux– terminale virtuale (telnet)

• Servizi gestionali– SNMP– HTTP



7

Accesso interattivo (1)

• username/password– definiti localmente

password non privilegiate (algoritmo debole, reverso)

service password-encryption

username jdoe password 7 07362E590E1B1C041B1

username jdoe password 7 <removed>

secret password (MD5)

enable secret 5 $1$iUjJ$cDZ03KKGh7mHfX2RS



8


– server di autenticazioneTACACS e RADIUS

aaa new-model

aaa authentication login default radius

router TACACS+/

RadiusTACACS/Radius

le transazioni criptate con la chiave



9


• Limitare l’accesso– configurazione della linea vty

ip access-class

transport input telnet ssh

Exec-timeout

IPSec– definizione dell’utente

acl che nega connessioni telnet in uscita



10


access-list 10 permit 192.168.55.0 0.0.0.255

line vty 0 4

access-class 10 in

line vty 4

access-class 11 in

username steve password



11

SNMP (1)

• V1– stringa in chiaro– datagram UDP facilmente “spoof”abili

snmp-server community

• V2snmp-server party



12

SNMP (2)

access-list 1 permit 2.2.2.2

snmp-server community public RO 1

access-list 2 permit 3.3.3.3

snmp-server community public RW 2



13

HTTP

• autenticazione in chiaroip http authentication

• Limitare accesso ai soli indirizzi IP autorizzatiip http access-class



14

Vulnerabilità di accessi

• Sniffingpassword, configurazione, …– accesso ssh or IPSec– one time password

• Compromesso il host autorizzato

• Attacco DOS -> out-of-band



15

Logging (1)

• AAA logging– Telnet, http, ppp ….

• System logging– logging console/monitor – Syslog (logging ip-address, logging trap)– local (logging buffered)

• SNMP logging



16

Logging (2)

• Debugging puo’ essere pericoloso– via syslog– le liste di accesso strette/limitate

• Buffer circolare (DRAM)



17

Logging access violation

• Vengono “logg”ati pacchetti bloccati– Identificare un attacco– Identificare traffico sospetto

• “rate limited”– Non “logg”are tutto il traffico



18

Funzioni di firewall su router

• Semplice blocco dei pacchetti non permessi

• Le liste di accesso standard e estese

• Efficiente per:– Fermare il traffico non desiderato– Proteggere (isolare) macchine e/o servizi– Tracciare un attacco

• Non funziona con:– Protocolli di trasporto e/o applicativi, porte dinamiche



19

Funzioni di firewall su router - filtering

access-list 101 permit tcp any host a.a.a.a eq 25

access-list 101 permit tcp any host b.b.b.b eq 25• Ftp

– Connessioni di controllo– Connessione dati - dal server e sulla porta dinamica

• PASV (trasparente nei browser)



20

Funzioni di firewall su router - CBAC

• Cisco Secure Integrated Software, ex Firewall

• si basa sull’ispezione dei pachetti, anche della parte dati (protocolli di trasporto e applicativi)

• CBAC - Context-based access control– Stato persistente delle connessioni - inoltrare o

bloccare i pacchetti– accounting



21

CBAC (1)

• Esamina e riconosce “flussi” o “canali”– Protocolli:

apre dinamicamente la strada ai pacchetti TCP di ritorno

• Controlla le “violazioni” o sospette azioni– blocca il traffico e informa

• statistiche e logging di livello di sessione– Indirizzi, numeri di porta,



22

CBAC (2)

• Si definiscono i protocolli o sessioni che devono passare e non i pacchetti– le liste di accesso dinamiche– estende (i nuovi entry precedono) le liste attuali

• Conversazioni– Una o più sessioni TCP o più flussi UDP

• Canali (channels)– Le aperture su firewall



23

CBAC (3)

• Benefici– Meno “buchi” nelle liste– Riconosce i modi di abuso comune di protocolli– Resistente a vari tipi di attacchi– Combinato con NAT:

• Nasconde indirizzi

• Meglio protetti da attacchi con ICMP



24

CBAC (4)

• Limiti– Conoscenza di protocolli fino a certo livello

• Prestazioni

– Blocca solo il traffico riconosciuto come attacco/abuso

– Richiede buona conoscenza di protocolli

– Non esiste assoluta protezione per servizi/host

– Routing asimmetrico



25

CBAC (5)

• Interagisce con la configurazione– lista cancellata : entry dinamici vengono persi– Numero cambiato : conversazioni attuali perse– La stessa lista su più interface : per link ridondanti– Lista non definita : inverte logica delle acl

• Non funziona con ICMP

• Per UDP (generico) usa time-out



26

CBAC (6)Cuseeme CUSeeMe Protocol

ftp File Transfer Protocol

H323 H.323 Protocol (Microsoft NetMeeting)

http HTTP Protocol

rcmd R commands (r-exec, r-login, r-sh)

Realaudio Real Audio Protocol

rpc Remote Procedure Call Protocol

smtp Simple Mail Transfer Protocol

sqlnet SQL Net Protocol

Streamworks StreamWorks Protocol

Tcp Transmission Control Protocol

Tftp TFTP Protocol

Udp User Datagram Protocol

Vdolive VDOLive Protocol



27

Funzioni di firewall su router - lock and key

• Apertura di canale “a richiesta”

• Via telnet, autenticazione via TACACS, RADIUS o locale

• L’autenticazione è legata a indirizzo IP

• La acl si basa su indirizzo IP del host



28

Funzioni di firewall su router - Authentication proxy

• Apertura di canale “a richiesta”

• Via http, autenticazione via TACACS o RADIUS

• L’autenticazione è legata al nome

• La acl viene trasferita dal server di autenticazione

• acl può avere più righe

• Funziona anche con DHCP



29

Funzioni di firewall su router - Authentication proxy

• Benefici– Sicurezza sulla base di un singolo utente

Vari livelli di privilegi per vari utenti– Usa comune browser

• Difetti– Solo per http, porta 80– Richiede java scripts



30

Anti-spoofing

• accettare pacchetti da soli indirizzi IP della rete

• RFC2267

ip access-group list

192.168.0.0/24

192.168.5.5



31

Smurf (1)

• directed broadcast

• Satura la LAN, collegamento Internet, macchina vittima

192.168.0.0/24

ICMP (192.168.0.255)

broadcast



32

Smurf (2)

• Non tradure in broadcast di linea

no ip directed-broadcast (default >= 12.0)

• Limitare certo tipo di traffico

rate-limit



33

Integrità di percorso (1)

• Source routing– Traceroute (loose source route option)

• ICMP redirect– LAN e da Internet

• Routing– Autenticazione di router vicini– Filtraggio delle routes



34

Integrità di percorso (2)

ICMP redirect, usa R

Destination A

R

192.168.0.0/24; default



35

Flooding e DOS (Denial Of Service)

• Alto volume di pacchetti/numero di connessioni

• Bloccare sorgente

• SYN floodTCP intercept

rate-limit

• Proteggere il router

scheduler interval/allocate



36

Indirizzi IP privati (1)

Rete

RouteFiltering

WWW FTP, DNSMail

Internet

PROXY

NAT/PAT



37


Rete “Interna” Rete “Esterna”

10.0.0.2

10.0.0.3

NAT Table

Inside Local IP Address

Inside Global IP Address

10.0.0.210.0.0.3

192.69.1.1192.69.1.2

SA = Source Address

NAT

Internet/Intranet

SA

10.0.0.2

SA

192.69.1.1



38


10.0.0.1

10.2.0.5

NAT Table

Inside Local IP Address

Inside Global IP Address

192.69.1.1:5001192.69.1.1:5002

10.0.0.210.0.0.3

SA = Source Address

NAT

Internet/Intranet

SA

10.0.0.2

SA

192.69.1.1

Rete “Interna” Rete “Esterna”



39

IPSec (1)

• Cifratura al livello IP

• authentication header (AH) - integrità di dati

• encapsulating security payload (ESP) - confidenzialità e integrità di dati

• Internet Key Exchange (IKE)

• Tunnel e transport mode



40

IPSec (2)

CC

DD



41

Intrusion Detection System

• Router o firewall

• Router - indipendentemente o come complemento a IDS

• Cisco IDS– piccoli siti (2600 e 3600)– Attacchi più comune (spam, – Azioni: allarme, buttare via i pacchetti, “reset”tare la

connessione TCP



42

Scanning tools

• Security Profile Inspector (SPI)

• Internet Security Scanner (ISS)

• Security Analysis Tool for Auditing Networks (SATAN)

• COPS

• Tripwire

• Cisco Secure Scanner (Sonar)

C Consiglio Nazionale delle Ricerche IAT 124 November, 2000Damir Pobric Sicurezza in rete Damir...

Documents

Transcript of C Consiglio Nazionale delle Ricerche IAT 124 November, 2000Damir Pobric Sicurezza in rete Damir...