Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - [email protected]...

Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - [email protected] rilasciato sotto licenza GNU FDL Questo documento può essere scaricato dall'indirizzo(Free Documentation License)http://www.midhgard.it/docs/

http://www.gnug.it

Sicurezza con sistemi GNU/Linux

Autore: Massimiliano [email protected]

Questo documento può essere scaricato dall'indirizzohttp://www.midhgard.it/docs/


http://www.gnug.it

Argomenti

● Introduzione● Sicurezza locale dei sistemi (Host security)● Backup e Disaster recovery● Sicurezza dei sistemi in rete (Network security)● Possibili attacchi (alcuni dei...)● Avvisi e aggiornamenti di sicurezza


http://www.gnug.it

Introduzione

● Conoscere ciò che si vuole proteggere● Quanta sicurezza e perché?● Livelli di rischio accettabili● Analisi di rischio (Risk assesment)● Rischio residuo● Regole di sicurezza (Security policy)


http://www.gnug.it

Sicurezza locale dei sistemi(Host security)

● Sicurezza fisica● Sicurezza degli utenti locali● Sicurezza dei file system

– Permessi– Integrity checker

● Logging e analisi dei log● Password, autenticazione e crittografia● Sicurezza del kernel


http://www.gnug.it

Sicurezza fisica● Allarmi e antifurti

● Sistemi "anti-scippo" e "anti-scasso" per i pc

● Accesso ai locali

– Badge

– Smart card

– Accessi biometrici● Password del BIOS

● Protezione del boot loader

– lilo

– grub● Password dello screen saver (xlock, vlock)


http://www.gnug.it

Sicurezza degli utenti locali

● Sapere a chi si da gli account● Sapere da dove si dovrebbero collegare gli utenti● Rimuovere gli account inattivi● root

– Non lavorare collegati come root, usare sudo– Fare molta attenzione ai comandi dati come root– Attenzione al PATH: mai . nel PATH di root !– No telnet, rlogin, rsh, rexec come root


http://www.gnug.it

Sicurezza dei file system (1):permessi unix

● Struttura dei permessi– Lettura, scrittura, esecuzione (read, write, execute)– Proprietario, gruppo, mondo (owner, group, world)

● umask● SUID bit● SGID bit● sticky bit● Niente SUID bit nei file system scrivibili da

qualcuno che non sia root (nosuid in /etc/fstab)


http://www.gnug.it

Sicurezza dei file system (2):alcuni comandi

● Trovare tutti i file con SUID/SGID impostati

find / -type f \( -perm -04000 -o -perm -02000 \)

● Trovare tutti i file scrivibili da tutti(world writable files)

find / -perm -2 ! -type l -ls

● Trovare tutti i file senza owner:

find / \( -nouser -o -nogroup \) -print

● Eseguire questi controlli periodicamente (di notte) e confrontare i risultati con quelli precedenti


http://www.gnug.it

Sicurezza dei file system (3):Integrity checker

● Integrity checker– Tripwire http://www.tripwire.org– Aide http://www.cs.tut.fi/~rammer/aide.html– Osiris http://osiris.shmoo.com– Samhain http://samhain.sourceforge.net

● Creano un database con le signature dei file rilevanti del sistema

● Usandoli periodicamente e confrontando i risultati è possibile rilevare modifiche non autorizzate


http://www.gnug.it

Logging e analisi dei log

● File di log /var/log● syslog syslogd, klogd● /etc/syslog.conf● Analisi dei file log (intrusioni, modifiche, "buchi"

temporali, ...)● Logging remoto● Logging sicuro/crittografato


http://www.gnug.it

Password

● /etc/passwd● Crittografia DES non reversibile (one-way)● MD5● /etc/shadow (Shadow password)● Attacchi a forza bruta

– Crack– John the ripper http://www.openwall.com/john


http://www.gnug.it

Autenticazione

● Password● Shadow password● Kerberos

http://web.mit.edu/kerberos/www/● PAM (Pluggable Authentication Module)

http://www.kernel.org/pub/linux/libs/pam/


http://www.gnug.it

Crittografia● Simmetrica

– DES– 3DES– IDEA– Blowfish

● Asimmetrica, sistemi a chiave pubblica e privata– PGP (Pretty Good Privacy), RSA

http://www.pgp.comhttp://www.pgpi.org

– GPG (GNU Privacy Guard), Diffie-Hellman, DSAhttp://www.gnupg.org


http://www.gnug.it

Sicurezza del kernel

● Opzioni / parametri del kernel per:– Routing– Spoofing– ICMP– Pacchetti frammentati

● Patch di sicurezza Openwallhttp://www.openwall.com/linux/

● Patch IPTables, Patch-O-Matichttp://www.iptables.org


http://www.gnug.it

Backup e Disaster recovery

● Salvataggi (backup)● Politiche di rotazione dei supporti● Immagazzinamento dei supporti● Test di ripristino (restore)● Password in busta chiusa● Disaster recovery

– Documentazione dei sistemi– Documentazione delle procedure


http://www.gnug.it

Sicurezza dei sistemi in rete (Network security)

● Servizi di rete e TCP wrappers● Firewall● SSH● Certificati / SSL● Protocolli sicuri di posta: APOP, ASMTP,

STARTTLS, RBL● IPSEC / VPN● Packet sniffer, Port Scanner, Vulnerability

Scanner, Intrusion Detect Systems


http://www.gnug.it

Servizi di rete● Boot del kernel: l'ultima azione è il lancio del

processo init, il "padre" di tutti gli altri processi● init

/etc/inittab/etc/init.d/etc/rc.d

● Demoni e superdemoni● inetd, xinetd

/etc/inetd.conf/etc/xinetd.conf

● Rimuovere i servizi inutili


http://www.gnug.it

TCP wrappers

● wrappers: sono dei processi che "avvolgono"

(to wrap) altri processi, schermandoli in determinati modi

● tcpd: un TCP wrapper, permette di accettare connessioni solo da determinati indirizzi

● /etc/host.allow● /etc/host.deny


http://www.gnug.it

NIS e NIS+● NIS (Network Information Service) o YP

(Yellow Pages)– Permette di distribuire informazioni e file ai computer

collegati su una rete– Non ha meccanismi di sicurezza

(autenticazione/crittografia)● NIS+

– Un'implementazione più recente– Ha meccanismi di autenticazione e crittografia– http://www.ibiblio.org/mdw/HOWTO/NIS-HOWTO


http://www.gnug.it

Identd● Identd

– È un demone che tiene traccia delle connessioni iniziate dall'host sul quale è attivo

– Quando viene interrogato da un host remoto restituisce il nome dell'utente proprietario del processo che ha iniziato la connessione

– Di solito gli amministratori bloccano questo protocollo o disattivano il demone

– Se un processo di una nostra macchina cerca di compromettere un host remoto l'amministratore di quell'host può usare identd per identificare l'owner del processo e quindi informarci, noi potremo poi usare questa informazione per capire chi è l'intruso


http://www.gnug.it

Firewall● ipfw (kernel 2.0)● ipchains (kernel 2.2)● Netfilter / iptables (kernel 2.4)● iptables è un firewall statefull: ha "memoria" dello

stato delle connessioni (nuove/già stabilite)● Regole del tipo passa (ACCEPT) / non passa

(DENY) in base a:– Indirizzo/porta sorgente– Indirizzo/porta destinazione– Stato della connessione, protocollo– Altre funzioni: logging, SNAT, DNAT, masquerading, ...


http://www.gnug.it

SSH

● SSH: una suite di protocolli per comunicazioni crittografate– ssh v1.x– ssh v2.0

● OpenSSH: Una serie di strumenti (free) che sostituiscono strumenti classici non sicuri(telnet, rlogin, rcp, ...)http://www.openssh.org

● Port forwarding: può essere usato per crittografare altri servizi


http://www.gnug.it

X

● X11– xhost– xdm: MIT-MAGIC-COOKIE-1, .Xauthority– Le comunicazioni X avvengono in chiaro:

X11 SSH port forwarding


http://www.gnug.it

Certificati / SSL (1)● SSL: Secure Socket Layer

– Protocollo per comunicazioni sicure sviluppato da Netscape

– http://wp.netscape.com/eng/ssl3/● TLS: Transport Layer Security

– Una nuova versione del protocollo● OpenSSL

– Una implementazione open source di SSL e TLS– http://www.openssl.org

● S/MIME: protocollo per posta sicura– Http://www.imc.org/smime-pgpmime.html


http://www.gnug.it

Certificati / SSL (2)

● Certificati– Contengono dati personali e la chiave pubblica di una

persona– Sono delle carte d'identità digitali– Vengono emessi da enti certificatori che ne

garantiscono l'autenticità● Certification authority

– Emettono e firmano i certificati per gli utenti● PKI (Public Key Infrastructure)

– http://verisign.netscape.com/security/pki/understanding.html


http://www.gnug.it

Protocolli sicuri di posta elettronica: ricezione, APOP (1)

● Normalmente lo scambio di username e password per la ricezione di mail avviene in chiaro– APOP: estensione del protocollo POP3, la password

viene scambiata crittografata– http://www.cis.ohio-state.edu/cgi-bin/rfc/rfc1939.html#page-15


http://www.gnug.it

Protocolli sicuri di posta elettronica: invio, ASMTP, STARTTLS, RBL (2)● Normalmente l'invio di mail non richiede

l'autenticazione dell'utente– Ci sono gli spammer– ASMTP: Authenticated SMTP– POP before SMTP– STARTTLS: TLS su SMTP– http://www.sial.org/talks/smtpauth-starttls/talk.html

● Problema dei server di posta open relay– Sistemi RBL: http://mail-abuse.org/rbl/


http://www.gnug.it

IPSEC● IPSEC: un insieme di protocolli per garantire

comunicazioni protette– Confidenzialità (crittografia)– Integrità (crittografia)– Autenticità (firma)– Comunicazioni non ripetibili– AH: Autenticity Header– ESP: Encapsulation Security Protocol

● FreeS/WAN http://www.freeswan.org● CIPE: Crypto IP Encapsulation

http://sites.inka.de/~bigred/devel/cipe-faq.html


http://www.gnug.it

VPN● VPN (Virtual Private Network):

Reti Private Virtuali– Servono a creare canali protetti attraverso reti insicure (es.

Internet)● vtun http://

vtun.sourceforge.net/● FreeS/WAN http://www.freeswan.org● VPN su SSH

http://www.linux.org/docs/ldp/howto/mini/VPN.html

● yavipin http://yavipin.sourceforge.net● IPSEC, CIPE, ...


http://www.gnug.it

Packet sniffer

● Intercettano i pacchetti in transito sulla rete● tcpdump● epan, tcpshow: formattano l'output di tcpdump● Ethereal

http://www.ethereal.com/● Sniffit

http://reptile.rug.ac.be/~coder/sniffit/sniffit.html● Snort

http://www.snort.org/


http://www.gnug.it

Port / Vulnerability Scanner● Eseguono dei test su host remoti per capire di che

tipo di sistemi si tratta, quali servizi vengono offerti e possibili "buchi" nella sicurezza

● SATANhttp://www.trouble.org/~zen/satan/satan.html

● Nmap http://www.insecure.org/nmap/● Nessus http://www.nessus.org/● Non free

– SAINT http://www.saintcorporation.com/– ISS http://www.iss.net/


http://www.gnug.it

IDS (Intrusion Detection System)

● Rilevano attacchi in corso sulla rete● Si basano sul rilevamento di sequenze (pattern)

note degli schemi di attacco● Snort http://www.snort.org/● ISS http://www.iss.net/● Possono generare un gran numero di falsi allarmi● Altri strumenti

http://www.freefire.org


http://www.gnug.it

Possibili attacchi (1)● Cavalli di troia (Trojan Horses), backdoor

– Back Orifice (Windows)– SubSeven (Windows)– Netbus (Windows e Unix)– The Trojan List

http://www.simovits.com/sve/nyhetsarkiv/1999/nyheter9902.html

● Pacchetti compromessi– Per evitarli vengono usate signature PGP o GPG

● Spyware● Virus, Worm


http://www.gnug.it

Possibili attacchi (2)

● Buffer overflow, exploit– Es. Vulnerabilità dell'OpenSSL estate 2002

http://www.cert.org/advisories/CA-2002-23.html– Slapper: SSL/Apache worm

● Root Kithttp://www.rootkit.com/– Una volta dentro il sistema si installa un root kit che

permette di manterne il controllo, accedere alle password e/o nascondere la presenza dell'intruso

– es. si modificano login, netstat, ps


http://www.gnug.it

Possibili attacchi (3)● Attacchi DoS (Denial of Service)

– L'attacco è basato sul fatto di interrompere i servizi erogati da uno o più host

– SYN flooding– Ping flooding– Smurf attack– Ping'o'death– Teardrop / New Tear– Attacchi DoS distribuiti


http://www.gnug.it

Possibili attacchi (4)

● Packet sniffing● ARP spoofing● IP spoofing / hijacking● DNS spoofing● Attacchi "man in the middle"● Attacchi TEMPEST (intercettazione

elettromagnetica)


http://www.gnug.it

Avvisi e aggiornamenti di sicurezza

● Avvisi di sicurezza e vulnerabilità– CERT http://www.cert.org– Bugtraq http://

● Aggiornamenti di sicurezza– RHN: Red Hat Network– security.debian.org

● Studiare, studiare, studiare!!!● Tenersi informati e aggiornati!!!


http://www.gnug.it

WIFI: dove nessun pacchetto è mai giunto prima

● WIFI: protocolli wireless per comunicazioni senza fili (802.11b, 802.11a)

● Un sistema wireless è composto (almeno) da:– Pc dotati di schede di rete wireless– Access point

● Se non protette adeguatamente le reti wireless possono diventare un paradiso per i cracker

● WEP: Wireless Encription Protocol


http://www.gnug.it

WIFI: dal wardialing al warchalking

● C'era una volta il wardialing: si chiamavano numeri telefonici in cerca di sistemi nei quali introdursi

● Oggi la nuova frontiera è il wireless– Warwalking– Wardriving– Warflying– Warchalking http://www.warchalking.org


http://www.gnug.it

Hacker vs Cracker● Hacker

– Per studio, solo per studio...– Vogliono capire come funzionano le cose, smontarle e

rimontarle al contrario● Cracker

– Animati da meno nobili intenzioni– Sono quelli che la stampa comunemente definisce

“hacker” (erroneamente!!!)● Script kiddies

– Usano script o programmi precotti per “bucare” sistemi, senza preoccuparsi di capire come funzionano e cosa fanno

Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - [email protected]...

Documents

Transcript of Sicurezza con sistemi GNU/Linux Pagina 1 Autore: Massimiliano Ferrero - [email protected]...