Presentazione di PowerPointmasciare/PresentazioneTesi.pdf · 2003-03-19 · Finalita’ Lo scopo...
Transcript of Presentazione di PowerPointmasciare/PresentazioneTesi.pdf · 2003-03-19 · Finalita’ Lo scopo...
Università degli Studi Roma Tre
Istituto Nazionale di Fisica Nucleare
Facoltà di Ingegneria — Corso di Laurea in Ingegneria Informatica
Impostazione di un insieme dimisure di sicurezza per la LAN di
un ente di ricercaLaureando:
Mario Masciarelli
Controrelatore: Dott.
Andrea Cecchetti
Relatore: Ch.mo Prof.
Giuseppe Di Battista
Tutor aziendale: Dott.
Maria Lorenza Ferrer
Finalita’Lo scopo del lavoro descritto in questa presentazione e’ quello di rendere
sicura la LAN di un ente di ricerca senza limitarne in maniera sensibilela fruibilita’ e la versatilita’
Caratteristiche della LAN
DIMENSIONI:
• 2000 Nodi
• 30 Switch Liv.2
• 5 Switch Liv. 3
• 5 Terabyte(disk)
• 9 Terabyte(tape)
SERVIZI:
• WWW
• DHCP/DNS
• Storage
• Computing
Perché proteggersi?
0.0
5.0
10.0
15.0
20.0
2000 2001 2002
% Totale% Spam% Virus
Incidenti sulla rete GARR causati da nodi INFN
Quanto proteggersi?
SicurezzaVersatilità
Computer spento
ReteINFN-LNF
Retebancaria
$
Vulnerabilità
1. Bug di sicurezza nei servizi installati sui client della LAN
• Prevalentemente su macchine Linux (Open source)
• In minor misura su macchine Windows
2. Autenticazione in chiaro nell’utilizzo di protocolli non cifrati
• telnet, ftp, imap, pop3, etc.
3. Diffusione di virus
• Prevalentemente su macchine Windows
• In minor misura su macchine MacOS (Linux ?)
Come proteggersi?
1. Bug di sicurezza nei servizi installati sui client della LAN
2. Autenticazione in chiaro nell’utilizzo di protocolli non cifrati
PACKET FILTERING
Packet Filtering
Sono state valutate 2 soluzioni:
ACL su router d’accesso Firewall
Firewall
Si possono dividere in 2 categorie
PC con Linux o OpenBSD
Soluz. Dedicata
FirewallPC con S.O. OPEN
CONTRO:
1. Gestione più difficile(config., analisi log)
2. S.O. “standard” = servizi non necessari
PRO:
1. Basso costo
2. Flessibilità
3. Documentazione
4. Evoluzione HW
FirewallSoluz. HW/SW Dedicato
CONTRO:
1. Costo elevato
2. HW non aggiornato
3. Difficoltà di gestioneACL complesse
PRO:
1. Più funzionalità(IDS, VPN…)
2. Facilità di gestione
Firewall - ConclusioniRequisiti
Solo Packet Filtering
Packet Filtering + servizi (IDS, VPN…)
Firewall dedicatoBox BSDACL sul router
ACL - Strategia
Bug di sicurezza nei servizi installati sui client della LAN
NO accesso diretto dall’esterno ai nodi client della LAN
Autenticazione in chiaro nell’utilizzo di protocolli non cifrati(telnet, ftp...)
1. Uso SOLO di protocolli cifrati dall’esterno della LAN (ssh, https…)
2. Accesso ai nodi client SOLO passando per UNA macchina (ridondata) di autenticazione e utilizzando iltunnelling
ACL Particolari
TCP Intercept
access-list 105 permit icmp any any echo
rate-limit input access-group 105 256000 8000 8000 conform-
action trasmit exceed-action drop
Rate Limiting
Nessus
Le ACL funzionano realmente?
Il modo migliore per rispondere a questa domanda e’ quello di mettersi nei panni di un attaccante e fare
tantativi!
Uno strumento che permette di fare questo, e quindimisurare il grado di vulnerabilita’ di una rete e’
Cosa fa NessusEsegue una scansione della rete:
1. Cerca i servizi che girano su una macchina
6. Il sistema e’ piu’ sicuro
4. Segnala i riferimenti per porre rimedio
5. Ora l’utente puo’ scaricare la patch indicata
2. Identifica le versioni dei programmi che li gestiscono
3. Prova realmente gli exploit
Nessus: esempio1. Nessus trova una macchina
molto vulnerabile
2. Dopo le patch consigliate la macchina e’ piu’ sicura
Nessus: risultati@LNF
1. Scansione dall’interno della LAN•27 security holes have been found
•202 security warnings have been found
•657 security notes have been found
La rete, DALL’INTERNO, e’ poco sicura!!
Nessus: risultati@LNF
2. Scansione dall’esterno della LAN• Nessus non riesce a trovare nessuna informazione
facendo la scansione di tutti i client della rete dove non sono presenti servizi
• La scansione di 500 nodi impiega settimane!La rete, DALL’ESTERNO, e’ molto sicura:
I filtri imposti con le ACL FUNZIONANO!
VPN
• L’utilizzo delle VPN permette di operare da remotosulla LAN superando i limiti imposti dalle ACL.
• Sia l’autenticazione, che il traffico viaggiano cifrati
Quanto deve essere potente il server?
VPN - Misure• Link Geografico: ATM 34Mbps• Server: Intel Xeon 4 processori@700MHz• TEST: trasferimento di file attraverso la VPN
• Risultato: su LAN, a ~30Mbps il carico su ognunaCPU e’ ~20% (traffico cifrato e compresso)
• E’ possibile, con un solo server, trasferire tutto illink geografico su VPN!
Conclusioni• Nessun attacco riuscito a nodi interni dopo
l’implementazione delle precauzioni descritte• Nessuna limitazione sulle connessioni
aperte dall’interno della LAN (estabilished)• Dall’esterno i servizi sono
comunque raggiungibili con metodologie piu’ sicure(autent. SOLO cifrate, e SOLO su server di autenticazionecentrali)
OBIETTIVO CENTRATO!
Sviluppi futuri• Utilizzo di un antivirus centralizzato sul mail-server
in aggiunta alle soluzioni gia’ adottate sui client• Utilizzo di un software antispam per il servizio di
posta elettronica• Utilizzo di un server di autenticazione centralizzato
(Kerberos 5), unico per tutti i servizi:• AFS
• Login Unix
• Login Windows
• RADIUS
• VPN
Domande
??? ?
??