Università degli Studi Roma Tre

Istituto Nazionale di Fisica Nucleare

Facoltà di Ingegneria — Corso di Laurea in Ingegneria Informatica

Impostazione di un insieme dimisure di sicurezza per la LAN di

un ente di ricercaLaureando:

Mario Masciarelli

Controrelatore: Dott.

Andrea Cecchetti

Relatore: Ch.mo Prof.

Giuseppe Di Battista

Tutor aziendale: Dott.

Maria Lorenza Ferrer

Finalita’Lo scopo del lavoro descritto in questa presentazione e’ quello di rendere

sicura la LAN di un ente di ricerca senza limitarne in maniera sensibilela fruibilita’ e la versatilita’

Caratteristiche della LAN

DIMENSIONI:

• 2000 Nodi

• 30 Switch Liv.2

• 5 Switch Liv. 3

• 5 Terabyte(disk)

• 9 Terabyte(tape)

SERVIZI:

• WWW

• Email

• DHCP/DNS

• Storage

• Computing

Perché proteggersi?

0.0

5.0

10.0

15.0

20.0

2000 2001 2002

% Totale% Spam% Virus

Incidenti sulla rete GARR causati da nodi INFN

Quanto proteggersi?

SicurezzaVersatilità

Computer spento

ReteINFN-LNF

Retebancaria

$

Vulnerabilità

1. Bug di sicurezza nei servizi installati sui client della LAN

• Prevalentemente su macchine Linux (Open source)

• In minor misura su macchine Windows

2. Autenticazione in chiaro nell’utilizzo di protocolli non cifrati

• telnet, ftp, imap, pop3, etc.

3. Diffusione di virus

• Prevalentemente su macchine Windows

• In minor misura su macchine MacOS (Linux ?)

Come proteggersi?

1. Bug di sicurezza nei servizi installati sui client della LAN

2. Autenticazione in chiaro nell’utilizzo di protocolli non cifrati

PACKET FILTERING

Packet Filtering

Sono state valutate 2 soluzioni:

ACL su router d’accesso Firewall

Firewall

Si possono dividere in 2 categorie

PC con Linux o OpenBSD

Soluz. Dedicata

FirewallPC con S.O. OPEN

CONTRO:

1. Gestione più difficile(config., analisi log)

2. S.O. “standard” = servizi non necessari

PRO:

1. Basso costo

2. Flessibilità

3. Documentazione

4. Evoluzione HW

FirewallSoluz. HW/SW Dedicato

CONTRO:

1. Costo elevato

2. HW non aggiornato

3. Difficoltà di gestioneACL complesse

PRO:

1. Più funzionalità(IDS, VPN…)

2. Facilità di gestione

Firewall - ConclusioniRequisiti

Solo Packet Filtering

Packet Filtering + servizi (IDS, VPN…)

Firewall dedicatoBox BSDACL sul router

ACL - Strategia

Bug di sicurezza nei servizi installati sui client della LAN

NO accesso diretto dall’esterno ai nodi client della LAN

Autenticazione in chiaro nell’utilizzo di protocolli non cifrati(telnet, ftp...)

1. Uso SOLO di protocolli cifrati dall’esterno della LAN (ssh, https…)

2. Accesso ai nodi client SOLO passando per UNA macchina (ridondata) di autenticazione e utilizzando iltunnelling

ACL Particolari

TCP Intercept

access-list 105 permit icmp any any echo

rate-limit input access-group 105 256000 8000 8000 conform-

action trasmit exceed-action drop

Rate Limiting

Nessus

Le ACL funzionano realmente?

Il modo migliore per rispondere a questa domanda e’ quello di mettersi nei panni di un attaccante e fare

tantativi!

Uno strumento che permette di fare questo, e quindimisurare il grado di vulnerabilita’ di una rete e’

Cosa fa NessusEsegue una scansione della rete:

1. Cerca i servizi che girano su una macchina

6. Il sistema e’ piu’ sicuro

4. Segnala i riferimenti per porre rimedio

5. Ora l’utente puo’ scaricare la patch indicata

2. Identifica le versioni dei programmi che li gestiscono

3. Prova realmente gli exploit

Nessus: esempio1. Nessus trova una macchina

molto vulnerabile

2. Dopo le patch consigliate la macchina e’ piu’ sicura

Nessus: risultati@LNF

1. Scansione dall’interno della LAN•27 security holes have been found

•202 security warnings have been found

•657 security notes have been found

La rete, DALL’INTERNO, e’ poco sicura!!

Nessus: risultati@LNF

2. Scansione dall’esterno della LAN• Nessus non riesce a trovare nessuna informazione

facendo la scansione di tutti i client della rete dove non sono presenti servizi

• La scansione di 500 nodi impiega settimane!La rete, DALL’ESTERNO, e’ molto sicura:

I filtri imposti con le ACL FUNZIONANO!

VPN

• L’utilizzo delle VPN permette di operare da remotosulla LAN superando i limiti imposti dalle ACL.

• Sia l’autenticazione, che il traffico viaggiano cifrati

Quanto deve essere potente il server?

VPN - Misure• Link Geografico: ATM 34Mbps• Server: Intel Xeon 4 processori@700MHz• TEST: trasferimento di file attraverso la VPN

• Risultato: su LAN, a ~30Mbps il carico su ognunaCPU e’ ~20% (traffico cifrato e compresso)

• E’ possibile, con un solo server, trasferire tutto illink geografico su VPN!

Conclusioni• Nessun attacco riuscito a nodi interni dopo

l’implementazione delle precauzioni descritte• Nessuna limitazione sulle connessioni

aperte dall’interno della LAN (estabilished)• Dall’esterno i servizi sono

comunque raggiungibili con metodologie piu’ sicure(autent. SOLO cifrate, e SOLO su server di autenticazionecentrali)

OBIETTIVO CENTRATO!

Sviluppi futuri• Utilizzo di un antivirus centralizzato sul mail-server

in aggiunta alle soluzioni gia’ adottate sui client• Utilizzo di un software antispam per il servizio di

posta elettronica• Utilizzo di un server di autenticazione centralizzato

(Kerberos 5), unico per tutti i servizi:• AFS

• Login Unix

• Login Windows

• RADIUS

• VPN

Domande

??? ?

??