Sicurezza e rete
-
Upload
luca-moroni-cisa-itil -
Category
Documents
-
view
19 -
download
0
Transcript of Sicurezza e rete
Antide group
SICCUREZZA E RETE
Quali sono i concetti ed i problemi legati alla sicurezza su Internet:
soluzioni e tecnologie per ottenerla
Venerdì 21 Settembre 2001
Carlo Alberto CumanLuca Moroni
Antide group
SONDAGGIO
• Oggi la sicurezza informatica è di scottante attualità: nonostante le aziende pensino spesso di essere ben protette, le notizie sulle 'imprese' degli hacker si moltiplicano. Qual è il vero motivo?
– Gli hacker sono sempre più abili 27%
– Le soluzioni non mantengono le promesse 7%
– Manca la giusta cultura nelle aziende 67%
Fonte: Compterworld set.01
Antide group
Problematiche Generali sulla Sicurezza
• Confidenzialità– Accesso alle informazioni solo agli utenti legittimi
• Autenticazione– Stabilire l’identità del fruitore del servizio
• Integrità– Evitare che le informazioni vengano modificate nella trasmissione
• Non Ripudio– Le parti non possono negare lo scambio di messaggi
• Controllo degli accessi– Per esigenze di monitoraggio o tariffazione
• Disponibilità– Il servizio deve essere sempre disponibile
Antide group
Forme di Attacco
• Interruzione del servizio (Denial of service)– Compromette la Disponibilità
• Modifica delle informazioni (Data manipulation)– Compromette l’integrità
• Inserimento di informazioni false (Masquerade)– Incide sul Non ripudio e Autenticazione
• Intercettazione dei Dati (Eavesdropping)– Compromette la Confidenzialità
ATTIVI
PASSIVI
Antide group
Realtà sugli attacchi
• Denial of Service su IIS– Messaggio molto lungo
• /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
• Spamming: liste di realy sul sistema di posta–http://www.mailabuse.org/
Antide group
Interruzione del Servizio
100110101 …………….
ROSSI BIANCHI
HACKER
• Saturazione canali o buffer del server, invio messaggi di terminazione delle applicazioni
Antide group
Creazione informazioni false
BIANCHI
HACKER
111110000
111110000
• Assunzione di falsa identità
Antide group
Modifica delle informazioni
100110101 111110000
ROSSI BIANCHI
HACKER
100110101 111110000
• Assunzione di falsa identità
Antide group
Intercettazione dei dati
100110101 100110101
ROSSI BIANCHI
HACKER
100110101
• Software di intercettazione o manomissione strumenti di interconnessione o installazione SW ingannevole sul client
Antide group
INDIVIDUAZIONE
• ATTACCHI ATTIVI– Più facili da rilevare
– Difficili da prevenire
• ATTACCHI PASSIVI– Più difficili da rilevare
– Facili da prevenire
• LA SOLUZIONE MIGLIORE E’ LA PREVENZIONE– Crittografia
– Adozione di politiche di sicurezza• Protezione dispositivi
• Limitazione degli accessi
• LA SICUREZZA RICHIEDE DINAMICITA’
Antide group
Misure preventive o contromisure
• Innalzare i dispositivi di antintrusione sui singoli sistemi o a guardia della rete (FIREWALL)
• Eliminare i servizi rivelatisi pericolosi
• Modificare il Software delle applicazioni vulnerabili
• Passare a protocolli più robusti agli attacchi
• Predisposizione di trappole per migliorare la rilevazione delle intrusioni
• Migliorare la capacità di “logging” e monitoraggio delle attività potenzialmente riconducibili ad un attacco.
Antide group
Software per Test sulla Vulnerabilità
• Sacanner Open Source gratuito http://www.nessus.org/
• Identifica molte delle vulnerabilità critiche
Antide group
Debolezze del protocollo IP
• Quando è stato creato non prevedeva campi per garantire la sicurezza
• Esistono solo indirizzi IP permessi e negati
• La nuova versione del protocollo IP (IPv6) prevede meccanismi per garantire autentificazione e riservatezza
Antide group
Dice il saggio…..
• Un Hacker non tenterà un attacco se il costo per farlo supera il valore delle informazioni trasportate
• Un Hacker non tenterà un attacco se il tempo richiesto per decodificare l’informazione e/o ricavare la chiave èmaggiore del periodo di validità dell’informazione
• Per cui il grado di sicurezza, che coincide con un rallentamento delle prestazioni, deve essere attentamente ragionato
Antide group
Autenticazione LAN
• In rete lo standard di accesso al servizio èUsername/Password
• Il server ha bisogno di credenziali del client
• Ambiente ristretto e verificabile
• Policy di sicurezza sufficienti– Scadenza validità password
– Lunghezza e caratteri contenuti nella password
Antide group
Autenticazione Internet
• In Internet lo standard di accesso è l’uso delle chiavi pubbliche e private
• Coinvolgimento di una autorità di certificazione (fidata)
• Anche il server ha bisogno di fornire credenziali al client
• Ambiente potenzialmente vulnerabile
• Policy di sicurezza necessarie, oltre a quelle precedenti– Criptazione
– Certezza sulla sorgente
Antide group
Chiavi pubbliche e private
Autorità ChiaviPubbliche
ROSSI BIANCHI
Chiavi pubblicheBianchi, Rossi
1 2Chiave
PubblicaBianchi
6
3
5 4Chiave
PubblicaRossi
Antide group
Autorità di certificazione
• Nei maggiori Browser– Microsoft, Netscape
• Nei Sistemi di posta– Outlook 2000, Lotus, Netscape
• Nei Web Server– Microsoft, Lotus, Apache, Netscape, Sun
• Nei sistemi di Network Managment– Checkpoint, Cisco, ISS, Lucent, Network Assoc.
• Nei sistemi entreprise– Sap R/3, Notes
• Nelle Smart Card– GemPlus, Litronic, Schlumberger
• Nei Sistemi EDI
Antide group
VERISIGN AGISCE COME CERIFICATE AUTORITY
VERISIGN CREA CERTIFICATE AUTORITY
Prodotti
• Certificati digitali individuali– Classe 1, Classe 2
• Certificati per Web Server– Secure Server Ids, Global Server IDs
• Soluzioni per Aziende– Verisign OnSite
– Consulenza e Formazione su PKI
Antide group
Certificato digitale: cos’è?
• E’ l’equivalente elettronico di un documento di identitàcome passaporto o carta d’identità
• Firma Digitale– Identifica irrevocabilmente la persona che ha
il certificato, per impedire contraffazioni dell’identità
– Autentica il proprietario davanti a tutto il mondo
• Criptazione– Criptazione dei dati, al fine di proteggere la privacy delle
informazioni– Solo il ricevente ha accesso a dette informazioni
Antide group
Certificato digitale: come funziona?
• La certificazione avviene con la codifica della chiave pubblica del richiedente + chiave privata della CA.
• Riduce il traffico verso l’autorità fidata.
• Cosa contiene un certificato– Versione
– Numero seriale
– Algoritmo di segnatura
– Identità CA
– Periodo di validità
– Identità del soggetto richiedente
– Chiave pubblica
– Check sum
Antide group
Posta sicura
• Dal protocollo MIME a S-MIME– Mantenere la riservatezza dei dati trasmessi
– Autenticare il mittente del messaggio
– Verificare l’originalità dei dati
– Non ripudiare i dati trasferiti
– Poter provare l’invio di un messaggio
– Poter provare la ricezione di un messaggio
– Garantire se necessario l’anonimato
– Permettere di nascondere l’identità degli utenti coinvolti nello scambio dei dati
– Supporto all’uso dei certificati
Antide group
Certificato per Web Server
• Autenticano il sito a coloro che lo visitano
• Inaugurano una sessione sicura SSL per le comunicazioni e le transazioni attraverso Internet
• Esistono due diverse capacità di criptazione
– 40 e 128 bit
– E’ già pronto 256 bit e verrà utilizzato quando il 128 bit non da più garanzie
Antide group
Protezione del servizio WWW
• Il protocollo SSL– Mantenere la riservatezza delle informazioni trasmesse
– Autenticare la sorgente dei messaggi
– Verificare l’originalità dei dati
• Ha il compito di creare un canale sicuro per la trasmissione dati, attraverso un meccanismo di contrattazione iniziale per definire un Master Secret
• Supporta l’uso dei certificati
• Viene attivato sul Web Server
Antide group
HANNO LA FORTE ESIGENZA
STANDARD DE FACTO
Chi usa HTTPS in Italia
• Banche• Istituti finanziari• Siti di commercio elettronico con transazioni• Enti pubblici• Siti che scambiano informazioni sensibili con
entità esterne
Antide group
Sicurezza dei sistemi
La sicurezza non avviene solo proteggendo le informazioni in transito ma ponendo delle barriere alle risorse accessibili da Internet
Antide group
Accesso remoto
• La prima porta è l’accesso remoto ai server via TELNET. • L’attacco più classico (dictonary attack) è l’intrusione da
remoto. Il primo muro è la Password di Login• Contro i programmi di “prova combinazioni” possono
essere sufficienti:– Chiusura automatica della connessione TCP dopo un prefissato
numero di tentativi di accesso– Introdurre un breve ritardo prima di restituire l’esito sulla
valutazione delle credenziali.
• E’ necessario formare gli utenti sull’uso della password– Non riciclo
• Provare con programmi di Password Cracker la vulnerabilità
Antide group
Attacchi indiretti
• Gli agenti software o virus nelle sue diverse forme attaccano le risorse in modo indiretto
• L’adozione dell’Antivirus è determinante.– Continuo aggiornamento delle impronte virali
– Interazione con i principali sistemi di posta
– Gestione a livello server
– Continua evoluzione
• Noi abbiamo scelto
Antide group
Analisi della sicurezza della rete
• Definizione di un perimetro che circoscriva le rete locale e le stazioni in esso ospitate
Antide group
Analisi della sicurezza della rete
• Individuare i punti di accesso utilizzati dalla rete locale per scambiare i dati con Internet
Antide group
Analisi della sicurezza della rete
• Monitorare i flussi informativi entranti e uscenti attraverso i punti di accesso, attraverso policy adeguate
Log
Antide group
Assegnamento indirizzi IP
• IP Privato (non riconosciuto in Internet) e IP Pubblico (riconosciuto)
• Esigenza di assegnazione dinamica IP (DHCP)• Esigenza di traslare IP Privati in Pubblici e viceversa
(NAT)
IP Pubblico
IP Privato Traduzione
Antide group
Firewall
• Con le connessioni always-on (ADSL e HDSL) ènecessario alzare un muro davanti alla propria rete
Antide group
Obiettivi del Firewall
• Controllare i servizi a cui accedono gli utenti• Determinare in quale direzione vengono inoltrate
le richieste di servizio• Controllare quali utenti accedono ai servizi• Controllare come ogni servizio viene utilizzato• Informare gli amministratori in caso di allarmi• Monitorare l’uso di Internet• Mascherare gli indirizzi nascondendo l’identità
degli utenti
Antide group
Componenti base di un Firewall
• Packet Filtering Router– E’ un Router che oltre ad instradare controlla il
pacchetto. Il controllo avviene considerando Ip di provenienza e destinazione, protocollo utilizzato e porta utilizzata. Non a livello applicativo.
– Scelta fra Tutto Bloccato e lista servizi abilitati o Tutto Aperto e lista servizi bloccati
• Proxy Server– Richiesta di credenziali all’utente per accedere al server
remoto e verifica con la politica descritta
Antide group
Compiti di un firewall
• Assicurarsi che, se un'azione non è abilitata dalla policy del sito, tutti i tentativi di perseguirla falliscano;
• Registrare ad eventi sospetti;
• Avvertire i responsabili del sistema di tutti i tentativi di incursione;
• Creare statistiche d'accesso
Antide group
DMZ
• Se il firewall ha tre porte ethernet può gestire una rete sicura riservata ai propri server Internet (DMZ) e isolare la rete locale
Antide group
Mercato appliance
• Check Point + Nokia IP (il più noto)
• CISCO PIX
• Watchguard
• Symantec Velociraptor + SUN Cobalt
Antide group
Watchguard FireboxCaratteristiche
• Hardware Diskless• S.O. Linux potenziato per la sicurezza• Statefull Pachet Filtering (131-197 Mbps) e Advanced
Security Proxies per il massimo controllo del traffico• Gestione avanzata VPN (150-330 Tunnel contemporanei) • Potente ma intuitivo software di gestione delle policy di
sicurezza• NAT Statico e Dinamico e filtri URL• Reportistica evoluta• Crittografia simmetrica 3DES (5-100 Mbps)• 3 interfacce di rete 10/100: Interna, Esterna e DMZ
Antide group
Watchguard FireboxCaratteristiche
• Software avanzato di gestione VPN
• Software Client per utenti mobili VPN
• Gestione di Firebox ridondati per la massima disponibilità
• Controlli antispam
Antide group
Watchguard FireboxSupporto
• Live Security Service– Personale specializzato per il supporto tecnico
– Aggiornamenti Software, Segnalazione virus, Tutorials
– Livello Opzionale Avanzato (Gold) per accesso al Priority Support Team, Supporto tecnico 24/7, 1 ora di tempo di risposta
Antide group
Watchguard Firebox
• Firebox SOHO 10-50 utenti Mil 1-1,4 20% promo TC a noi 1.060
• Firebox 700 250 ut. Aut. Mil. 7,5 33% Promo corso gratuito
• Firebox 1000 1000 ut. Aut. Mil. 11,3
• Firebox 2500 5000 ut. Aut. Mil 16,9
• Firebox 4500 5000 ut. Aut. Mil 22,5
Antide group
FIREWALL WATCHGUARD ENTRY LEVEL
• Firebox SOHO e' il firewall per la piccola azienda per proteggere totalmente dall'accesso indesiderato via Internet. Non necessita nessun software da caricare nei posti di lavoro e si configura molto semplicemente tramite un browser Internet
• Svolge funzioni di NAT, PAT e firewall con filtering dei pacchetti in ingresso e possibilita' di pubblicare host della rete privata sulla rete pubblica per far accedere a servizi come HTTP e FTP ad utenti di Internet esterni.
• Supporto opzionale alla VPN
Antide group
VPN
• Permette di estendere la propria rete privata (LAN) verso altre reti private utilizzando come dorsale una rete pubblica (e quindi intrinsecamente insicura).
• Permette una forte riduzione dei costi di connettività• Dati trasmessi da una rete privata all'altra vengono
automaticamente crittografati e de-cirttografati dai firewall • La funzione di VPN è possibile anche tra la propria rete
locale e un un portatile in Internet: è sufficiente installare nel portatile un apposito software che si occupi di crittografare / de-crittografare i dati provenienti dalfirewall.
Antide group
Parametri per una VPN
• Velocità della linea Internet
• Garanzie del carrier
• Applicazioni che condividono la banda passante
• Tipo di firewall e sua capacità elaborativa
• Sistema di criptazione dei pacchetti
Antide group
UUSecureVPN
• Il primo Carrier mondiale (secondo i recenti benchmark) con una copertura in oltre 65 paesi. Oltre 2.500 POP
• Proprietario del backbone IP di UUNET• Servizio chiavi in mano che include il circuito locale e
l’hardware, installazione on-site e supporto 24x7• Soluzioni flessibili di banda in funzione dei siti da
collegare• Gestione proattiva e SLA con crediti al cliente• Criptazione IPSEC• Usa Lucent Access Point ™