Implementare la sicurezza informatica: l’esperienza dell ... · ricerca e didattica. ......

[email protected]

Bologna, 6 Dicembre 2007

Implementare la sicurezza informatica: l’esperienza dell’Alma Mater Studiorum – Università di Bologna.

Aldo Schiavina

Responsabile Progetti Speciali

Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007

- 2 -

• Scenario

• Esigenze ed obiettivi relativi all’implementazione della sicurezza informatica in Ateneo

• Criticità

• Azioni intraprese ed in fase di attuazione

Agenda

- 3 -

Scenario



- 4 -

Rete ALMAnet – Distribuzione Geografica Sedi


- 5 -

Rete ALMAnet – Geografia Ponti Radio


- 6 -

Rete ALMAnet – Schema Logico


- 7 -

• Adempimento degli obblighi normativi previsti dal codice in materia di privacy (D.Lgs. 196/03 ). In particolare, implementazione delle misure minime previste dall’allegato B dello stesso codice.

• Garanzia della disponibilità ed integrità dei dati e delle applicazioni necessarie allo svolgimento delle attività istituzionali dell’Ateneo, per avere continuitàdei servizi offerti dall’Università.

• Previsione di un piano per il recupero delle funzionalità minime in caso di eventi disastrosi (Disaster Recovery).

• Formazione di personale strutturato, al fine di acquisire le competenze necessarie alla gestione della Sicurezza dell’Informazione, mantenendone strategicamente all’interno il suo controllo.

Esigenze ed Obiettivi


- 8 -

• L’Università, è un ambiente di lavoro molto particolare, dove l’informazione deve poter essere condivisa liberamente e senza troppi vincoli, al fine di perseguire con efficacia le attività istituzionali di ricerca e didattica.

• L’autonomia gestionale di cui sono dotate le singole strutture che la compongono non agevola il coordinamento centrale (la situazione è più semplice per ciò che concerne le strutture componenti l’Amministrazione Generale).

Occorre trovare il giusto compromesso tra le esigenze di libera circolazione dell’informazione e di autonomia delle singole strutture con la necessità di adempiere agli obblighi previsti dalla legge e di soddisfare le esigenze di continuità di servizio.

Criticità


- 9 -

• Stesura del D.P.S. ai sensi del D.Lgs. 196/03.• Implementazione di un sistema di

Autenticazione/Autorizzazione di riferimento per tutto l’Ateneo (Identity Management System).

• Definizione di un modello di Sicurezza Perimetrale.• Preparazione di un sito di Disaster Recovery.• Gestione degli incidenti informatici (CERT CeSIA) ed

implementazione di un sistema di Intrusion Detection.

• Aggiornamento del regolamento per il corretto uso della rete.

• Gara di ambito comunitario, al fine di acquisire gli apparati ed i servizi necessari all’implementazione della sicurezza informatica in Ateneo.

Azioni


- 10 -

• Nell’AA 2003/2004 è stato costituito un gruppo di lavoro di 6 unità di personale, dotate di diverse competenze (tecniche, giuridiche ed economico -organizzative) e formato grazie al Master in Sicurezza dell’Informazione di Alma, Graduate School of Information Technology, Management and Communication dell’Università di Bologna.

• Il D.P.S. ai sensi del D.Lgs. 196/03 per l’Ateneo èstato redatto in sede di project work previsto dal Master.

• Questo modo di procedere ha permesso di maturare internamente le competenze necessarie per gestire la Sicurezza dell’Informazione in Ateneo, facendo ricorso a risorse formative di cui l’Università ènaturalmente dotata.

Stesura del D.P.S. ai sensi del D.Lgs. 196/03 (1/2)


- 11 -

La stesura del D.P.S. per l’Ateneo ha comportato, tra le altre cose:• l’analisi e la documentazione dell’attuale

situazione relativa al trattamento dei dati personali nell’Ateneo di Bologna (Amministrazione Generale e strutture periferiche);

• l’elaborazione di un’analisi dei rischi relativamente ai dati trattati;

• la sensibilizzazione ed il coordinamento dei Responsabili del trattamento, in merito all’adeguamento alle misure minime di sicurezza;

• la definizione di alcune soluzioni tecnologiche necessarie ad adempiere agli obblighi in materia di misure minime di sicurezza ed utili per ridurre i rischi individuati.

Stesura del D.P.S. ai sensi del D.Lgs. 196/03 (2/2)


- 12 -

Si è sentita l’esigenza di attualizzare il regolamento che disciplina l’uso della rete ALMAnet (D.R. n. 71 del 21/05/1998). Si sta lavorando ad una proposta di modifica per regolamentare i seguenti aspetti:• soggetti autorizzati all’uso della rete;• modalita' di accesso alla rete (autenticazione e

mantenimento dei log);• uso di strumenti hardware e software che

possono compromettere l'uso della rete se utilizzati impropriamente o per scopi non istituzionali (es. software P2P);

• utilizzo dei servizi di rete (posta elettronica, siti web, ecc.);

• implementazioni di particolari tecnologie (es. WI-FI, ecc.);

• …

Regolamento per il corretto uso della rete


- 13 -

• Aggiornamento del Documento Programmatico della Sicurezza per l’Ateneo

• Regolamento per il trattamento dei dati sensibili e giudiziari

• Nuovo regolamento per l’uso della rete ALMAnet • Consulenza verso le strutture d’Ateneo per quel che

concerne la privacy e relativi adempimenti (D.Lgs. 196/03) ed il Diritto delle nuove tecnologie in genere (es. valore legale del documento elettronico, aspetti legali della dematerializzazione dei processi,…).

Servizio di Consulenza in ambito Privacy


- 14 -

• Ridondanza del link verso Internet• Ridondanza dei percorsi di rete che collegano i

principali punti della MAN di Bologna• Ridondanza del Link verso la Romagna• Ridondanza dei firewall di bordo e a protezione

della server farm del Cesia• Architettura di balancing per l’alta affidabilità

della server farm del CeSIA• Ridondanza dei principali servizi (es. posta

elettronica, dns, infrastruttura di autenticazione,…)

Disaster Recovery ed High Availability (1/2)

- 15 -

Disaster Recovery ed High Availability (2/2)

DR Site CeSIA Site

OF

OF

OFBorder Gateway

Switch-Router

Border Firewall

Backup Border Gateway

Switch-Router

Backup Border Firewall

Internet

ALMAnet



- 16 -

• Si è sentita la necessità di un unico sistema di Autenticazione/Autorizzazione che permetta di profilare tutte le risorse umane presenti in Ateneo (Personale Docente e Tecnico Amministrativo, Studenti, Collaboratori, Ospiti, etc.), superando le difficoltà introdotte dall’esistenza di più anagrafiche e più metodi eterogenei per la gestione dell’accesso alle risorse informatiche.

• Un unico sistema di autenticazione consente di applicare semplicemente politiche sicure nella gestione delle credenziali, in ottemperanza a quanto previsto dall’Allegato B del D.Lgs. 196/03 e di favorire l’utente che deve ricordarsi solo una coppia di credenziali per accedere a più risorse.

• Queste esigenze hanno portato alla realizzazione di un Directory Service d’Ateneo (DSA).

Identity Management System (1/3)


- 17 -


database di produzione

DsaPreiscritti e

Preaccreditati

AgentiDsa

Prodotto di Metadirectory

ed Identity Management

Directory Service

d’Ateneo

Studenti

Personale

Studenti stranieri


- 18 -

• Attualmente tutte le applicazioni informatiche centralizzate utilizzate in Ateneo (es. posta elettronica, profilazione al Portale d’Ateneo, immatricolazione on-line, etc.), usano (o si apprestano ad usare) il DSA come sistema di Autenticazione/Autorizzazione.

• Il DSA è usato anche per l’autenticazione all’accesso alle postazioni di lavoro dell’Amministrazione Generale ed in alcuni laboratori studenti d’Ateneo.

• E’ in atto un’opera di divulgazione che riscontra un certo successo presso le strutture periferiche dell’Ateneo, in modo che usino il DSA per l’autenticazione alle applicazioni locali ed alle risorse informatiche (postazioni di lavoro, laboratori studenti, etc.).


- 19 -

Un firewall costituisce un gateway tra una rete degna di fiducia (per esempio una LAN aziendale) ed una non affidabile (come ad esempio Internet).Serve a forzare politiche di sicurezza controllando l’accesso dall’esterno a risorse interne e viceversa.

Firewall (1/5)


- 20 -

Le tipologie di firewall si dividono normalmente in base al livello del modello ISO/OSI in cui operano:

• I firewall packet filtering operano ai livelli OSI 3 e 4. Si dividono ulteriormente in:– Stateless– Stateful

• Gli application gateway (o proxy) operano ai livelli OSI più alti

Firewall (2/5)


- 21 -

Per aumentare il livello di sicurezza si separano normalmente in due zone i server che devono essere acceduti dall’esterno da quelli che devono essere maggiormente protetti e acceduti solo dalla LAN interna. I primi vengono posti in un segmento di rete detto zona demilitarizzata. Per relizzare questa architettura si possono usare due firewall.

Firewall (3/5)


- 22 -

La DMZ si può realizzare anche con un solo firewall avente almeno tre schede di rete.

Firewall (4/5)



- 23 -

Firewall (5/5)

Indirizzo Sorgente

Porta sorgente/Protocollo

Indirizzo Destinazione

Porta Destinazione/Protocollo

Azione

Parametripresenti in un generica regola di un firewall basato su protocollo IP

Indirizzo Sorgente

Porta sorgente/Protocollo

Indirizzo Destinazione

Porta Destinazione/Protocollo

Azione

any any 137.204.1.6 80/tcp accept

any any any any deny

Esempiodi ACL per firewall packet filter stateful


- 24 -

Come prima misura necessaria per la protezione della rete dell’Ateneo (ALMAnet) si è individuato un modello di sicurezza perimetrale a due livelli:

• Il primo livello è costituito da un firewall centralizzato ad elevate performance, posizionato a valle del link che collega ALMAnet alla rete GARR;

• Il secondo livello è costituito da numerosi firewall di dimensioni più ridotte, posti a monte delle LAN delle singole strutture periferiche, in corrispondenza del link che le collega al backbone della rete ALMAnet.

Modello di Sicurezza Perimetrale (1/2)


- 25 -

Modello di Sicurezza Perimetrale (2/2)Internet

Primo livello di protezione

ALMAnet Border Router

GARR net

ALMAnet Border Firewall

Secondo livello di protezione Secondo livello di protezione

Firewall Periferico

Dip. #3

Firewall Periferico

Dip. #1

ALMAnetBackbone

Fac. #2


- 26 -

• Brute force attack• Password cracking• Login spoofing• Denial of Service (DoS) e Distributed DoS (DDoS)• Packet sniffing• Trojan horse• Backdoor• Buffer overflow• Virus• Worms• Phishing

Alcuni tipi di attacco


- 27 -

Sono strumenti che servono ad identificare eventuali intrusioni all’interno della rete e dei suoi host.

Classificazione in base alla sorgente delle informazioni:

• Network Intrusion Detection Systems (NIDS);• Host-based Intrusion Detection Systems

(HIDS).

Classificazione in base al tipo di analisi effettuata:• anomaly detection;• misuse detection.

Intrusion Detection Systems


- 28 -

Il CeSIA ha istituito già da alcuni anni un servizio CERT, che si occupa della gestione degli incidenti di sicurezza che avvengono sulla rete ALMAnet.

Questo servizio gestisce le segnalazioni che provengono dall’analogo servizio del GARR (GARR-CERT) e mantiene i rapporti con l’autorità giudiziaria.Si prevede di istituire anche un contatto con GOVCERT.IT.

Monitorizza la rete ALMAnet con strumenti di IDS ed analizzatori di protocollo, per individuare in tempo reale attività dannose per la rete.

Segnala ai referenti delle subnet di ALMAnet la necessità di interventi su host compromessi.

Computer Emergency Response Team (1/2)


- 29 -

Il servizio CERT CeSIA ha rilevato fino a 9.000.000 di eventi anomali in un solo giorno.

Nel corso del 2006 il servizio ha inviato oltre 2100 email per segnalare a referenti di rete host compromessi.

Quest’attività è necessaria per mantenere la disponibilità della rete e bloccare con tempestività la diffusione di minacce come virus e worm.

Per il monitoraggio della rete il CERT CeSIA fa uso di un complesso sistema di Intrusion Detection System ed analizzatori di protocollo.

Computer Emergency Response Team (2/2)


- 30 -

L’infrastruttura IDS del CERT CeSIA

• Per l’individuazione degli incidenti su ALMAnet il CeSIA utilizza strumenti sia commerciali che open source tra cui:– ISS RealSecure Gigabit Sensor– ISS RealSecure SiteProtector– snort– tcpdump– ethereal– ngrep– etherape– …

Intrusion Detection System (1/2)


- 31 -

Intrusion Detection System (2/2)

CERT CeSIA IDS Infrastructure

OF

OF

ALMAnet

Internet

Optical Tap

OFOptical Switch (Cisco 3508)

Open Source Tools

ISS RealSecure Gigabit Sensor

OF

ISS SiteProtector DB

ISS SiteProtector Console

CeSIA Firewall

ALMAnet Border Firewall

ALMAnet Border Router

Host Linux Host Windows

CERT CeSIA Operators Hosts


- 32 -

Eventi rilevati dall’IDS (15/12/04 – 10/06/05)


- 33 -

Eventi rilevati dall’IDS High:13.416.486 (15/12/04 – 10/06/05)


- 34 -

Eventi rilevati dall’IDS Medium:26.419.705 (15/12/04–10/06/05)


- 35 -

Eventi rilevati dall’IDS Low:184.749.097 (15/12/04 – 10/06/05)


- 36 -

Attività CERT CeSIA nel primo semestre 2005

• Circa 600 mail inviate a referenti di subnet della rete ALMAnet per segnalare incidenti informatici.

Tra queste segnalazioni possiamo individuare:

• 122 host con backdoor• 15 host con ircbot e backdoor• 221 host con ircbot• 96 host con spam relay• 106 segnalzioni dal GARR-CERT• 60 copyright infringement notice (31 dal

GARR-CERT)


- 37 -

ftp backdoor

Backdoor


- 38 -

ftp backdoor

Backdoor


- 39 -

ftp backdoor

Backdoor


- 40 -

ISS - Statistiche per tipo di evento


- 41 -

ISS – Dettagli per evento


- 42 -

Tcdump – scan exploits da ALMAnet


- 43 -

tcpdump – host che genera spam


- 44 -

Botnets (1/2)

IRC ServerCommand & Control

Attaccante

Vittima

Vittima

Vittima

Istruzioni

Istru

zioni

Istruzioni

Istruzioni

Join canale IRC di controllo

Join

canale

IRC d

i contro

llo

Join canale IRC di controllo Join canale IRC di controllo

- 45 -

Botnets (2/2)

ircbots : Es. di analisi log tcpdump della porta 6667 dalle ore 11:49 alle 12:22 (CEST) del 20040706 (estratto ascii sessione irc solo in uscita da 137.204.83.x)):NICK ITA|743324USER flwpoi 0 0 :ITA|743324USERHOST ITA|743324MODE ITA|743324 +n+U+x+iJOIN #uforobots ReAd.This.AnD.SuXUSERHOST ITA|743324MODE ITA|743324 +n+U+x+iJOIN #uforobots ReAd.This.AnD.SuXPRIVMSG n0cturnal :[KEYLOG]: Key logger active.PRIVMSG #uforobots :[KEYLOG]: pdate.com (Changed Windows: PorousMedia & MR Lab - Microsoft Internet Explorer)PRIVMSG #uforobots :[KEYLOG]: (Changed Windows: Windows Update -- Finestra di dialogo pagina Web)PRIVMSG #uforobots :[KEYLOG]: (Changed Windows: Microsoft Windows Update - Microsoft Internet Explorer)PRIVMSG #uforobots :[KEYLOG]: (Changed Windows: Program Manager)… Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007


- 46 -

Un servizio di Remote Access VPN per ALMAnet

• Il sempre maggiore incremento di incidenti informatici che accadono sulla rete consiglia una sempre maggiore chiusura dellarete ALMAnet

• I servizi “exploitati” dai worms corrispondono normalmente a servizi abitualmente utilizzati dagli utenti, come la condivisione di risorse di rete, l’accesso a database, etc..

• Sono questi dei servizi che non dovrebbero più essere esposti su Internet, ma acceduti solo da reti locali.

• Occorre una Remote Access VPN per potere consentire agli utenti che lavorano dall’esterno di poter accedere ai servizi di loro interesse, anche in presenza di policy restrittive sul firewall di bordo

Virtual Private Networks (1/9 )


- 47 -

Cos’è una VPN?

Una Virtual Private Network (rete privata virtuale) permette di istituire una connettività diretta e completa tra macchine di sottoreti fisicamente diverse ed appartenenti ad una stessa organizzazione, utilizzando come trasporto una rete pubblica.

Virtual Private Networks (2/9)


- 48 -

Internet

ISP

ISP ISP

ISP



- 49 -

Proprietà delle VPN

• Il traffico della VPN che attraversa la rete pubblica deve soddisfare esigenze di:

–– AutenticazioneAutenticazione (gli endpoint della comunicazione devono essere noti con certezza).

–– ConfidenzialitConfidenzialitàà (il traffico che attraversa la rete pubblica non deve poter essere intercettato ed utilizzato da terzi non autorizzati).

–– IntegritIntegritàà (occorre essere sicuri che quello che è stato ricevuto è proprio quello che è stato trasmesso)

• Per soddisfare queste esigenze si usano protocolli che usano tecniche di crittografia ed hashing con incapsulamento dei pacchetti originali (tunnel).



- 50 -

Tipologie di VPN

• Site-to-site– Sono VPN che normalmente vengono usate per

collegare due sedi di una stessa organizzazione. Vengono realizzate configurando opportunamente apparati di rete come router e firewall.

• Host-to-site o Remote Access– Sono VPN che consentono ad utenti (per esempio mobili

e dotati di notebook) che abbiano a disposizione connettività Internet, di collegarsi alla rete della propria organizzazione.



- 51 -

Site-to-site VPN

InternetISP ISP

Tunnel

Router Sede #1 Router Sede #2

192.168.1.0/24 192.168.2.0/24

137.204.1.20 137.204.2.20



- 52 -

Remote access VPN

InternetISP ISP

Tunnel

Border Router LAN Organizzazione

192.168.1.0/24

137.204.1.20

Mobile dialup user o teleworker



- 53 -

I protocolli più diffusi per implementare VPN sono:

– IPsec (RFC 2401)– PPTP– L2TP– GRE– SSL– Protocolli proprietari



- 54 -

Vantaggi delle VPN

• Consentono di avere un collegamento sicuro ed economicamente vantaggioso tra le sedi di un’organizzazione (sfruttano la rete pubblica già esistente)

• Sono trasparenti all’utenza• In particolare le Remote Access VPN incrementano la

produttività degli utenti mobili consentendo l’accesso a servizi della loro LAN interna (es. file server, database server, applicazioni amministrative, etc.) che sarebbero altrimenti loro indisponibili


Implementare la sicurezza informatica: l’esperienza dell ... · ricerca e didattica. ......

Documents

Transcript of Implementare la sicurezza informatica: l’esperienza dell ... · ricerca e didattica. ......