Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
•1
NETWORK SECURITYNETWORK SECURITY
Gianluca VadruccioGianluca VadruccioGianluca VadruccioGianluca VadruccioGianluca VadruccioGianluca VadruccioGianluca VadruccioGianluca Vadruccio –– Security Project ManagerSecurity Project Manager
[email protected]@cryptonet.it
SeminarioSeminario
GiugnoGiugno 20012001
SommarioSommario• 1 - ATTACCHI INFORMATICI
– Classificazione degli attacchi– Azioni di Hacking e Penetration Test– Vulnerabilita' di rete– Vulnerabilita' di sistema– Vulnerabilita' del software
• 2 - DIFESA e SICUREZZA INFORMATICA– Sicurezza a livello rete: SWITCH e VLAN, ROUTER e HSRP, ADVANCED ROUTING
– Sicurezza a livello sistema: FW, IDS, VPN– Crittografia a chiave pubblica– Sicurezza a livello applicativo: PKI e CERTIFICATI DIGITALI
•2
ATTACCHI INFORMATICIATTACCHI INFORMATICI
Prima parte:Cosa si rischia?
1
Dati Statistici
Origine degli attacchiPerdite economiche
Andamento del mercato
•3
Origine degli attacchiOrigine degli attacchi
Attacchi piu’ gettonatiAttacchi piu’ gettonati
•4
Perdite economichePerdite economiche
Perdite economiche dovute ad attacchi:• $ 377,828,700 nel 2000• $ 265,589,940 nel 1999• $ 120,240,180 nei 3 anni precedenti il 1999
Di cui:• $ 151,230,100 per furto di informazioni private• $ 92,935,500 per frodi finanziarie
[Dati CSI (Computer Security Institute) – “Computer Crime and Security Survey”12 Marzo 2001]
• Rispetto al 1999:- 25,3% di dichiarazioni di furto+ 30% di perdite economiche
• I dati sono falsati dal fatto che la maggior parte delle compagnie tendono a non denunciare gli attacchi! Pubblicità negativa! Vantaggio ai concorrenti! Orgoglio! Si preferisce il rimedio fatto in casa
AndamentoAndamento
[Dati CSI (Computer Security Institute) – “Computer Crime and Security Survey”12 Marzo 2001]
•5
Esempio 1: NetBusEsempio 1: NetBusE’ un tentativo di accesso non autorizzato.NetBus, come NetBus Pro, sono programmi “backdoor” che abilitano un utente remoto a prendere possesso della macchina dove il NetBus server e’ installato
HACKER TARGETNetBus-Server
Backdoor.exe
commands
Comandi per ridirigere il TCP output, cancellare files, shutdown windows, etc…
Esempio 2: IP Half ScanEsempio 2: IP Half Scan
E’ un indice di pre-attaccoOffre la possibilita’ ad un “Hacker” di determinare quali servizi sono in funzione su un determinato host.
HACKER TARGETHost
(1)SYN
(3)ACK/RST
Connection Established (4)
•6
Attacchi
GeneralitàObiettivi e MezziClassificazione
Politica di Sicurezza
Attacchi: Chi attacca Chi?Attacchi: Chi attacca Chi?
Competitor
Per gioco/scherzo
Criminalità e/oScopi Terroristici
Proteste e/oMosse Politiche
Nemici
�����
����������������������
����������������������
Competitor
Chiunque
Organizzazioni
Attacks
•7
Attacchi: ObiettivoAttacchi: Obiettivo
PENETRARE IN UN SISTEMAPENETRARE IN UN SISTEMA
Ottenere un account
Ottenere un account
Ottenere permessimaggiori
Ottenere permessimaggiori
DanneggiareModificare
DanneggiareModificare
Ottenere l’accesso ponteper un altro sistema
Ottenere l’accesso ponteper un altro sistema
Ottenere informazioniriservate
Ottenere informazioniriservate
Ostacolare unservizio
Ostacolare unservizio
Attacchi: MezziAttacchi: Mezzi
SFRUTTANDOSFRUTTANDO
Leggerezze nelle procedure e/o
nell’amministrazione
Leggerezze nelle procedure e/o
nell’amministrazione
Gestione da remoto e non da consolePassword di root e/o di account banaliGestione da remoto e non da console
Password di root e/o di account banali
Servizi non disabilitatiPermessi e regole poco restrittive
Servizi non disabilitatiPermessi e regole poco restrittive
Errori di configurazione
Errori di configurazione
Debolezze intrinsechedi TCP/IP
Debolezze intrinsechedi TCP/IP
Bugs di SO, programmi e
servizi
Bugs di SO, programmi e
servizi
•8
Attacchi: Classificazione (1)Attacchi: Classificazione (1)• Denial Of Service:
compromettere/dannegiare un servizio. Solitamente consiste in un sovraccaricamento di parti critiche del sistema.
• Unauthorized Access Attemps:comprende tutti quei tentativi di leggere/modificare/eseguire file per i quali non si ha il permesso oppure cercare di acquisire più diritti (ad esempio administrator) di quelli che si hanno.
Attacchi: Classificazione (2)Attacchi: Classificazione (2)
• Pre-Attack Probe: Minaccia che cerca di reperire le maggiori informazioni possibili sul sistema e la sua struttura, in modo tale da poter studiare un futuro attacco sfruttando le sue vulnerabilità.
• Suspicious Activity: Traffico di rete che si discosta in maniera significativa dal comportamento usuale e che potrebbe essere sintomo di esecuzione di atti indesiderati.
• Protocol Decodes: Responsabili della decodifica o della richiesta di informazioni riservate.
•9
Attacchi: Classificazione Attacchi: Classificazione (3)(3)
• Distributed Attacks:" Gli “Hackers” acquisiscono il controllo di un gruppo di macchine e
le sfruttano per attaccare le altre
" Controllo non sequenziale ad esempio nei port scan
Perche’?
" accelerano gli attacchi
" e’ piu’ difficoltoso rilevarli
Denial of ServiceDenial of Service
Richieste
Risposte
FLOODINGChargen
EchoSynPing
LANDLoop
TARGET
PING OF DEATHPing enorme
DISK FULLftp put
MAILPosta enorme
Tante mail
BroadcastSMURF
Pacchetto versoun IP di broadcast
•10
UnauthorizedUnauthorized AccessAccess AttempsAttemps
Richieste di loginFTP arg
TARGET
FIREWALL
IP FragmentationBypass del FW
HTTP-IIS-2e “2e” al posto di “.”
URL
ContenutoServer
Comunicazione
TARGET
IP HijackingIntromissionetramite ISN
PrePre--AttackAttack ProbeProbe
TARGET
Port Scanning
Vulnerabilitàe Servizi
Bachi eServizi Attaccabili
HTTP-CGIAnalisi direttorio cgi
E-MAIL VRFYE-MAIL EXPN“vrfy” server 25“expn” server 25
• Verifica esistenza utente• Informazioni utente
PortmapperProgram
Dump
Programmi RPCesistenti
•11
Suspicious ActivitySuspicious Activity
TARGET
Richiesta remota dilettura dei registry
Pacchetto conerrato protocollo
Source RoutingOpzione di pacchetto
usata per tenere tracciadel routing seguito
IP DuplicateSolo una macchina
può spedire pacchetticon un certo IP
HTTP ShellSe ci sono interpreti shellnel direttorio cgi-bin una particolare richiesta httppuò far eseguire comandi
Protocol DecodesProtocol Decodes
TARGET
Finger User
Eventualifinger presenti
FTP Site
Permesso esecuzionedi ulteriori comandi
FTP get-putFTP password
FTP user
File trasferiti eAccount/Passworddi una connessione
HTTPAuthentication
Log diusername/password
usate per l’autenticazionesu un Web Server
•12
Distributed AttacksDistributed Attacks
HACKER
CLIENT CLIENT
Zombie
VICTIM
Zombie Zombie Zombie Zombie
Altri attacchi: Altri attacchi: Trojan HorseTrojan HorseSostituzione (da parte di chi attacca o dell’inconsapevole utente stesso) di un file associato ad un comando (i.e. un file.exe) con un altro file, che esegue delle operazioni aggiuntive rispetto a quelle originali
TARGET
File.exe
Solitocomportamento
Attacco
•13
Altri attacchi: Altri attacchi: BackdoorBackdoorTecnica utilizzata per ottenere una via di accesso al sistema che non passi per l’account dell’amministratore.L’hacker riesce quindi a disporre dei privilegi dell’amministratore del sistema senza necessariamente collegarsi ed autenticarsi
TARGET
Intruder
Lock
RootAdministrator
Altri attacchi: Altri attacchi: SniffingSniffingUtilizzata dagli hacker per risalire alla password di un utente e ad altre informazioni riservate. Sfrutta la debolezza intrinseca di alcune applicazioni e servizi TCP/IP, che fanno viaggiare “in chiaro” i pacchetti relativi ad un’intera sessione
Unico mezzo di difesa: CRITTOGRAFIA
REQUISITOadattatore di rete in
modalità “Promiscua”TOOL DISPONIBILI
tcpdump, tcpshowiptrace, ipformat, etherfind
•14
Altri attacchi: Altri attacchi: Guessing AttackGuessing AttackPermette di ottenere la password di un utente che dispone
di un account su di una stazione di lavoro
TARGET
Scoprire la passwordattraverso stringhe candidate
Unico mezzo di difesa: CONTROLLO PASSWORD DEBOLI
• dizionari• termini correlati all’utente• regole di produzione
MEZZI
METODIBrute Force Attack: prova esaustiva
Cracking Attack: matching fra gli hash dei termini
LOGGING
Altri attacchi: Altri attacchi: Spoofing(1)Spoofing(1)Camuffare una “entità di rete” (pacchetto TCP/IP, postazione,
programma, indirizzo IP, ...) ritenuta “untrusted”in un altra entità, ritenuta dallo stesso sistema “trusted”
TARGET
A
B
HACKER
IP Address Spoofing Attack
Inserimento con modifica del proprio IP,fingendo quindi di essere A
•15
Altri attacchi: Altri attacchi: Spoofing(2)Spoofing(2)Camuffare una “entità di rete” (pacchetto TCP/IP, postazione,
programma, indirizzo IP, ...) ritenuta “untrusted”in un altra entità, ritenuta dallo stesso sistema “trusted”
TARGET
A
B
HACKER
Sequence Number Attack
ISN
Inviando dei pacchetti caratterizzati da una correttasequenza di SN, ci si inserisce nella comunicazione
Altri attacchi: Altri attacchi: Spoofing(3)Spoofing(3)Camuffare una “entità di rete” (pacchetto TCP/IP, postazione,
programma, indirizzo IP, ...) ritenuta “untrusted”in un altra entità, ritenuta dallo stesso sistema “trusted”
TARGET
A
B
HACKER
Session Hijacking Attack
Inserimento su sessione telnet
Invio di pacchetti cammuffati contenenti i comandidesiderati. L’utente B vedrà comparire sul
terminale delle sequenze di caratteri non digitati
•16
TopTop TenTen ComputerComputer ThreatsThreats
LAN
Internet
DMZ
FW
Router
External Attacks
EmailIntellectualProperty
SensitiveEmail
Sendmail
Email Server
FireWallMisconfigured
TearDrop DoS
GenericServer
Internal Attacks
UnixServer
NT Server
LAN
GetAdmin
File SharestatdSniffing
RootKit
Necessità di unaNecessità di unaPolitica di sicurezzaPolitica di sicurezza
Consiste in un insieme di regole con cui affrontare la protezione del sistema
Consiste in un insieme di regole con cui affrontare la protezione del sistema
LE REGOLE
DEVONO STABILIRE
LE REGOLE
DEVONO STABILIRE
Persone responsabilidel mantenimento
della sicurezza del sistema
Persone responsabilidel mantenimento
della sicurezza del sistema
Diritti di accesso associatiad ogni risorsa una volta
superata la fase di autenticazione
Diritti di accesso associatiad ogni risorsa una volta
superata la fase di autenticazione
Risorse da proteggere, modalitàe tecniche di protezione e
livello di criticita’ associato
Risorse da proteggere, modalitàe tecniche di protezione e
livello di criticita’ associato
Modalita’ di accessoalle risorse protette
Modalita’ di accessoalle risorse protette
•17
Meccanismi di protezioneMeccanismi di protezione
Meccanismi e Sistemidi Autenticazione e di
Autorizzazione(PKI - PMI)
Firewall – IDS - VLAN
Crittografia
TCP Wrapper: sostitutoiniziale di un demone
User Name: ------Password: *****
Password eOne-Time password
Tunnelling e VPN
Penetration Test
ObiettiviMetodologia
Strumenti
•18
Obiettivi: che cosa ha in Obiettivi: che cosa ha in mente chi esegue un PTmente chi esegue un PT
Penetrare nelPenetrare nelPenetrare nelPenetrare nelsistemasistemasistemasistema
EseguireEseguireEseguireEseguireDoSDoSDoSDoS
SottrarreSottrarreSottrarreSottrarreinformazioniinformazioniinformazioniinformazioni
Danneggiareun servizio
Sniffing
Ottenere unaccount valido
Cracking CrashingIn/Outdi files
Ottenerepermessi maggiori
Diventare “Root” o “Administrator”Diventare “Root” o “Administrator”Diventare “Root” o “Administrator”Diventare “Root” o “Administrator”
Ostacolareoperazioni
Trovare vulnerabilità
Metodologia di Firewall Metodologia di Firewall TestingTesting
Collezione di informazioni indiretteCollezione di informazioni indirette
Attacco dall’esternoAttacco dall’esterno
Collezione di informazioni diretteCollezione di informazioni dirette
Attacco dall’internoAttacco dall’interno
Non rilevabiliNon rilevabili
Spesso rilevabiliSpesso rilevabili
www, nslookup,users, mailing lists www, nslookup,
users, mailing lists
Scanning Scanning
Attacks Attacks
Scanning e Configuration Scanning e
Configuration Spesso rilevabilise presente IDS
Spesso rilevabilise presente IDS
Rilevabili, a volte per danno subito
Rilevabili, a volte per danno subito
(1) SCAN TEST(1) SCAN TEST
(2) PENETRATION TEST(2) PENETRATION TEST
•19
Mezzi: con cosa eseguire il PTMezzi: con cosa eseguire il PT
Tools di scanTools di scanTools di scanTools di scanautomaticiautomaticiautomaticiautomatici
GrandeGrandeGrandeGrandeesperienza eesperienza eesperienza eesperienza econoscenzaconoscenzaconoscenzaconoscenza
Intuito edIntuito edIntuito edIntuito edelevate capacitàelevate capacitàelevate capacitàelevate capacità
Programmi Programmi Programmi Programmi e script di e script di e script di e script di hackinghackinghackinghacking
Internet
DMZFW
LAN
ROUTER
Target
PenetrationTesting
ArchitetturaArchitettura
•20
Azione di PreAzione di Pre--AttaccoAttacco
Ottenimento permesso
Ottenimento permesso
Pre-AttaccoPre-Attacco
PianificazionePianificazione
AttaccoAttacco
Log e ReportLog e Report
Collezione del maggior numero di informazioniCollezione del maggior numero di informazioni
• Web, FTP anonymous• Indirizzi e-mail non mascherati: svelano server
della posta e account• Banner di alcuni servizi • Messaggi delle mailing-list, chat e news• Comandi: “nslookup”, “traceroute”, “ping”, ...
• Web, FTP anonymous• Indirizzi e-mail non mascherati: svelano server
della posta e account• Banner di alcuni servizi • Messaggi delle mailing-list, chat e news• Comandi: “nslookup”, “traceroute”, “ping”, ...
1. Modalità indiretta: informazioni pubbliche1. Modalità indiretta: informazioni pubbliche
2. Modalità diretta: vero e proprio attacco chepuò quindi essere rilevato da un buon IDS2. Modalità diretta: vero e proprio attacco chepuò quindi essere rilevato da un buon IDS
Probe di una reteProbe di una rete
Raccolta di Informazioni
Host Scan e Port Scan
Determinazione delle vulnerabilità
Verifiche Manuali
•21
Scan TestScan TestDeduzione del maggior numero di informazioni riguardante la
configurazione HW, SW e di rete della stazione firewallDeduzione del maggior numero di informazioni riguardante la
configurazione HW, SW e di rete della stazione firewall
FIREWALLSCAN TEST
Dati della ReteStazione: IP, Host Name...Rete: Classe della rete IP, informazioni di routing…Servizi: elenco di quelli abilitati...
Dati della StazioneInformazioni HW e SW
Dati Ricevuti
Stato dell’arte degli attacchi esistentiVulnerabilità
Elenco completo dellepotenziali vulnerabilitàdella stazione esaminata
Penetration TestPenetration TestSottoporre il firewall ad una serie significativa di attacchi, finalizzati
all’intrusione nelle stazioni che compongono il firewall stesso eprogettati sulla base delle informazioni dello Scan Test
Sottoporre il firewall ad una serie significativa di attacchi, finalizzati all’intrusione nelle stazioni che compongono il firewall stesso e
progettati sulla base delle informazioni dello Scan Test
FIREWALL
PENETRATION TEST
Attacchi discreti e finalizzati
LOG Notifica dellaavvenuta intrusione
Vulnerabilità
Elenco delle vulnerabilitàprovenienti dalla precedentefase di SCAN TEST
•22
Host Scan e Port ScanHost Scan e Port Scan
nmap
Host attivi e Porte attive
strobe
Lista di Host
IP
Lista di Porte (∀∀∀∀ IP)
Port
netcat ping
Determinazione delle Determinazione delle VulnerabilitàVulnerabilità
Indagine di eventuali vulnerabilitàattraverso tools automatici
Nessus
Elenco delle vulnerabilità
∀∀∀∀ IP
ISS
Satan Saint
•23
Verifiche manualiVerifiche manuali
SMTP
Verifiche e probe manuali
Authentication
Vulnerabilità del Sistema
Rete
Web/Ftp
PenetrationTesting
Router/FW
EsperienzaKnow-how Bachi noti
Quando VerificareQuando Verificare
NuovoSoftware
Nuove versioniSW
Nuovevulnerabilità
Studio enuovo
PT
NuovoHardware
CambiamentoIP
CambiamentoPolicy
•24
Le vulnerabilita’
di retedi sistemadi software
Vulnerabilita’ di rete
• Nessun progetto di corretto instradamento dei pacchetti
• Routing dinamici: RIP e OSPF• Mancanza di ACL per i segmenti di rete• Assenza di Controllo sulle porte switch• Nessun meccanismo di Alta affidabilita’ e
Load Balancing• Pericolosita’ di Flooding/Spoofing• VLAN e Spanning Tree
•25
Vulnerabilita’ di sistema
• Scorrette politiche/regole sui firewall e sui sistemi di autenticazione
• Assenza di un sistema di accesso alle zone critiche mediante VPN
• Mancanza di un sistema IDS come seconda linea di difesa
• Nessun controllo/auditing su password e azioni• Mancanza di crittografia dei canali e di
autenticazione dei sistemi• Assenza di una Security Policy
Vulnerabilita’ di software
• Configurazioni errate• Buffer overflow• Allocazione di tipi differenti di variabili• Errata deallocazione di memoria• Assenza di controllo sulle operazioni e sui
puntatori• Cicli infiniti• Compatibilita’/Interoperabilita’• Easter eggs
•26
•27
DIFESA E DIFESA E SICUREZZA INFORMATICASICUREZZA INFORMATICA
Seconda parte:Come ci si difende?
2
AuditingVirus
PreventionIntrusion Detection
Users/Group SSO Authentication
Authorization
NetworkIntegrity
SystemIntegrity
DataIntegrity
UserIntegrity
ApplicationIntegrity
Firewall Router Virtual LAN
Encryption Digital SignatureHashing
Token e SmartCard
VPN
VPDRisk
Assessment
Risk
Analysis
CC
e
ITSEC
Le tecnologie
•28
Sicurezza a livello rete
Switch e VLANRouter e HSRP
Progettazione di reti avanzate
Dispositivi attuali
•29
Dispositivi del futuro
Funzionamento HUB
FrameFlusso Dati
FrameFlusso Dati
FrameFlusso Dati
FrameFlusso Dati
•30
Banda condivisa
Banda dedicata
•31
Funzionamento SWITCH
PacketFrame
Frame in Memoria
CRC Check
Assegnamento PortaFilteringDatabase
PacketFrame
FilteringDB completo
•32
Port Secure• Configurare, in modo permanente, per
ogni porta dello switch l’indirizzo di mac della scheda di rete ad esso associato
• Limitare ad 1 il numero di indirizzi acquisibili per la sola interfaccia
• Stabilire l’azione da prendere in caso di violazione del mac-address
Link Aggregation
• User Priority: canali con diversa banda e stazioni prioritarie sui canali piu’ veloci
• HA: riconfigurazione dinamica in caso di fault• LB: solo statico => partiziono le stazioni sui canali (il
dinamico non e’ possibile per standard: riordino pacchetti non permesso!)
SWITCH 1 SWITCH 2100 Mbps
100 Mbps
100 Mbps
100 Mbps
Canale Virtuale a 400 Mbps
(IEEE 802.3ad)
•33
Broadcast StormA B
C
SW1 SW2
Ambiente: accensione dei dispositivi e C che invia un pacchetto ad A• SW1 ha la tabella di switching vuota e quindi fa un flood sulle due
porte rimanenti• Il pacchetto arriva ad A ma anche ad SW2 che si comporta
esattamente come SW1 (flood sulle porte)• Si innesca il ciclo segnato in rosso• Siamo a livello 2 quindi non esiste il check sul TTL dei pacchetti!!!
MAC Address InstabilityA B
C
SW1 SW2
Ambiente: C invia un pacchetto a B• SW1 ha le due possibilita’ di smistamento del pacchetto segnate in rosso• SW1 e SW2 non sono dei router, per cui non hanno configurazioni di
costo sui PATH o altre tecniche decisionali• B riceve due pacchetti identici con lo stesso SN• La tabella di switching di SW1 contiene due porte linkate allo stesso mac
address
•34
Problema delle maglie
Spanning Tree Protocol (STP)
• IEEE 802.1D• Protocollo standard utilizzato dagli switch
per evitare loop all’interno di una rete 2• Ogni porta a regime può trovarsi nello stato
di forwarding o di blocking• Un qualsiasi cambio nella topologia della
rete provoca uno scambio di informazioni(STP)
•35
Esempio diSpanning Tree Protocol (STP)
Cosa risolvono le VLAN• Partizionamento logico del livello 2
• Limitano il traffico di broadcast
• Con il Trunk posso estendere le VLAN all’intera rete
• Security?
• Aggiunta di un TAG alla trama (4 byte): la trama passa da 1518 byte a 1522 byte (frame Baby Giant)– ISL (Cisco)
– 802.1Q (standard IEEE)
• Il routing e’ comunque affidato al livello 3
•36
Appartenenza alle VLAN• L’appartenenza di una stazione ad una VLAN puo’
essere– statica
• per porta (unico tipo di VLAN standard, mobilita’ bassa)– dinamica
• per indirizzo MAC (grande mobilita’)• per protocollo• per indirizzo di livello3• per indirizzo multicast• “policy-based” (per applicazione, per utente…)
• Una stazione puo’ appartenere ad una o piu’ VLANs• Scheda VLAN-aware (supporto del VLAN-tagging): tipica
dei server, generalmente multi-VLAN• Scheda VLAN-unaware (non supporta il VLAN-tagging):
tipica delle stazioni, generalmente single-VLAN
Trunking (1)
Soprattutto a livello di dorsale
•37
Funzionamento ROUTER
Packet
PacketFrame
Frame in Memoria
CRC Check
Da Frame a Packet
Decisioni di RoutingRoutingTable
PacketFrame
Da Packet a Frame
Decisioni di SecurityACL
Dentro un layer 3 switch
A, B, C: default gateway rispettivamente
delle VLAN #1, #2 e #3
•38
Load Balancing a livello 3Qual’e’ il default gateway?
• Ogni stazione ha uno ed un solo default gateway• Se si guasta il default gateway scelto => stazioni bloccate• Soluzioni: VRRP (RFC 2338), HSRP (proprietario Cisco, RFC 2281)
Hot Standby Routing Protocol• Consente al router di assumere le funzioni di un altro router
appartenente allo stesso gruppo (HA)
• Monitor continuo dei router per verificarne lo stato
• Meccanismo di stand-by è del tutto trasparente al client
• Le stazioni vedono un solo DG (Ip virtuale e MAC virtuale)
• Il router attivo si prende carico di effettuare il FW dei pacchetti
• In caso di fault del pimo router quello in standby si fa carico di smistare il traffico
•39
HSRP: la soluzione
Rete di livello 2
•40
Rete di livello 3
Piccola Rete di Campus
•41
Livello 2 o Livello 3?• Livello 2
– PRO:• elevata velocita’• semplicita’ di gestione• basso costo
– CONTRO:• bassa scalabilita’• basso livello di sicurezza• tempi di convergenza:
30sec– Se si aggiungono le VLAN:
• aumenta la sicurezza• aumenta il costo• diminuisca la semplicita’
• Livello 3– PRO:
• alta scalabilita’• alto livello di sicurezza• tempi di convergenza: 2sec
– CONTRO:• velocita’ limitata• complessita’ di gestione• alto costo
– Se ho un layer 3 switch:• aumenta la velocita’• diminuisce il costo
Per le reti di Campus: UTILIZZO COMBINATO
La dorsale della rete
Backbone di livello 3 se si vuole separare i domini di broadcast e fare filtering fra palazzi
•42
Sicurezza a livello sistema
FireWallVirtual Private Network (VPN)
Intrusion Detection System (IDS)
• Protegge la rete da intrusioni non volute
• Nasconde la rete
• Autentica utenti/macchine e filtra i servizi
• Difende da attacchi di tipo DoS, Spoofing, relaying…
• Implementa un Proxy applicativo
Firewall: funzionalita’
•43
Semplice Firewall
FireWall-1 Management Server and Firewall Module
FireWall-1 GUI Client
Internet
Corporate Site
Public ServersDMZ
Le regole
•44
Sistema Firewall semplice
Internet
FireWall-1 Secure Server
SAP Server
Public Servers
DMZ
Human Resources Network
Corporate Site
Sistema Firewall complesso
Sales & Marketing
Virtual Private NetworkVirtual Private Network
Customers
InternetInternetGatewayGateway
Public ServersPublic ServersEE--mailmailWorld Wide WebWorld Wide WebFile TransferFile Transfer
IT
Finance
Remote Site
Partners
Mobile User
InternetInternet
Corporate NetworkCorporate Network
•45
Autenticazione
FireWallFireWall--11
Public Server
IT
Finance
InternetInternet
Sales & Marketing
PIN + SecurID325943
User ID> Willy LomanPasscode> 921 abcde
digital certificate + smartcards
IP address and port
Alta affidabilita’
Corporate
Intranet
DynamicSynchronization
PrimaryFireWall-1Gateway
SecondaryFireWall-1Gateway Internet
•46
Attacchi interni
Internet
InsideIntruders
OutsideIntruders
LAN
FWDMZ
• Aiuta a prevenire gli attacchi ad un singolo computer o ad un sistema di computer.
• Raccoglie le informazioni da una molteplicita’ di sistemi e sorgenti della rete.
• Analizza le informazioni raccolte per individuare eventuali problemi di sicurezza.
• In alcuni casi permette all’utente di specificare in tempo reale le risposte agli attacchi.
IDS: funzionalita’
•47
• Proibitive:tutto ciò che non è espressamente permesso è vietato (generalmente, i FW)
• Permissive: tutto ciò non è espressamente vietato è permesso (generalmente, gli IDS)
Una Security Policy definisce cosa è permesso/vietato in un sistema
DivietiDivieti
PermessiPermessi
IDS: politiche
Qualsiasi insieme di azioni che tentano di compromettere l’integrità, laconfidenzialità e la disponibilità delle risorse di un sistema
• Misuse intrusion: attacchi a punti ben definiti del sistema. Rilevabili dall’identificazione di certe azioni eseguite su certi oggetti.
• Anomaly intrusion: basati sull’osservazione di comportamenti deviati rispetto al normale. Rilevabili dall’analisi del profilo originale con quelli che vengono costruiti dal monitoring.
• Data Source Based: basati su azioni di audit del sistema
IDS: classificazione
•48
Internet
FW
Router
Network SensorOS Sensor
Network SensorOS Sensor
Network SensorOS Sensor
Network SensorOS Sensor
DMZDMZ
LANLAN--11
LANLAN--22CONSOLECONSOLE
Sistema IDS
Internet
CONSOLECONSOLECONSOLE
FW
Router
Network SensorOS Sensor
Network SensorOS Sensor
Network SensorOS Sensor
Network SensorOS Sensor
DMZDMZ
LANLAN--22
LANLAN--11
IDS: secure mode
•49
Internet
CONSOLECONSOLECONSOLE
FW
Router
HUB
Network SensorOS Sensor
DMZDMZ
LANLAN--11
LANLAN--22
Network SensorOS Sensor
Network SensorOS Sensor
Network SensorOS Sensor
IDS: stealth mode
• Confidenzialita’: cifratura del canale e tunnelling
• Autenticazione strong
• Accesso Remoto
• Branch Office (IntraNet)
• Partner (ExtraNet)
VPN: funzionalita’
•50
Standard IPSec
Application
TCP/UDP
IP
IPSec
IP
Ethernet/PPP
Unsecurednetwork
1 Application
TCP/UDP
IP
IPSec
IP
Ethernet/PPP
4 2IKE
(formerly ISAKMP/Oakley)
3ESP/AH
All applications are tunnelledAll applications are tunnelled
Internet Remote Access
INTERNET
InternetPOP
Mobile usersAlcatel
Secure VPN Client
Branch office LANCorporate LAN
Partners, customers and suppliers
Alcatel 713xSecure VPN Gateway
Alcatel 713xSecure VPN Gateway
Alcatel 713xSecure VPN Gateway
SecureUnsecure
•51
RAS Remote Access
SWITCHEDLAN
Mobile usersAlcatel
Secure VPN Client
Branch office LANCorporate LAN
Partners, customers and suppliers
Alcatel 713xSecure VPN Gateway
Alcatel 713xSecure VPN Gateway
Alcatel 713xSecure VPN Gateway
RASServer
RASServer
RASServer
SecureUnsecure
Secure Intranet
INTERNET or CDN
Branch office Corporate LAN
Alcatel 713xSecure VPN Gateways
Alcatel 713xSecure VPN Gateway
Branch officeAlcatel 713x
Secure VPN Gateways
SecureUnsecure
AlcatelSecure VPNManagement Suite
•52
Secure Extranet
INTERNET or CDN
Partner Corporate LAN
Alcatel 713xSecure VPN Gateways
Alcatel 713xSecure VPN Gateway
AlcatelSecure VPNManagement Suite
Supplier
SecureUnsecure
AlcatelSecure VPN Clients
Secure VPN Groups
Internet
VPN gateway
User AEngineering subnet
Finance subnet
Inventory subnet
User B
User C
Engineering VPN group• User A• Engineering subnet
Finance VPN group• User B• Finance subnet
Inventory VPN group• User B• User C• Inventory subnet
•53
Redundant Connectivity
Frame relay
National bank
ISDN backup
Regional officeof National Bank
Alcatel 713x Secure VPN Gateway
SecureUnsecure
Cluster of Alcatel 713x Secure VPNGateways
Alcatel Secure VPNManagement suite
Cluster of Alcatel 713x Secure VPNGateways
Alcatel 713x Secure VPN Gateway
Crittografia a chiave pubblica
Chiave simmetrica e chiave pubblicaCaratteristiche degli algoritmi
Cifratura e firma digitale
•54
Security Requirements
Problem• Confidentiality• Access Control• Integrity
• Authentication• Non-Repudiation
DefinitionPrivacy of DataAuthorisation to access dataData has not been subsequently
modifiedPerson / object is genuineProof that transaction was
authorised (e.g. originator cannot deny an instruction)
Security Mechanisms
Problem• Confidentiality• Access Control• Integrity• Authentication• Non-Repudiation
Solution Mechanism• Encryption• Encryption• Message Digest• Digital signature• Digital signature
with timestamping
•55
Symmetric Key Encryption
ENCRYPTION
KeyKey
AlgorithmAlgorithm
CleartextCleartext CiphertextCiphertextDECRYPTION
KeyKey
AlgorithmAlgorithm
Original Original CleartextCleartext
Shared Shared KeyKey
Alice Bob
Symmetric Characteristics
• High speed– Suitable for bulk encryption of
data
• Key management is very challenging– Makes symmetric algorithms
impractical for large-scaledeployment when not integrated with public-key
technology
•56
Public Key Encryption
ENCRYPTION
Bob’sBob’sPublic KeyPublic Key
AlgorithmAlgorithm
CleartextCleartext CiphertextCiphertextDECRYPTION
Bob’sBob’sPrivate KeyPrivate Key
AlgorithmAlgorithm
Original Original CleartextCleartext
Alice Bob
PublicPublicKeyKey PrivatePrivate
KeyKey
Public-key Characteristics
• Slower than symmetric cryptosystems–Not suitable for bulk encryption operation
• Transparent key management is possible–Public keys are circulated in certificate
format to ensure integrity and authenticity–Private keys may be securely delivered to
and stored in the user profile
• Digital signature is possible
•57
The Result - A Hybrid Approach
– Encrypt the data using symmetric cryptography:
• Very fast encryption and decryption
– Encrypt the symmetric key using public-key
cryptography:
• Large key size provides excellent security
• Automatic Key Management
AliceAlice
Hi BobHi Bob CASTCAST *?r8=IK*?r8=IKrrrr#@#@
RSARSA
Directory ofPublic Keys
= Confidentiality= Confidentiality+ Access Control+ Access Control
Combining Symmetric and Public Key Cryptography
ENCRYPTION
•58
CASTCAST *?r8=IK*?r8=IKrrrr#@#@
RSARSA
Hi BobHi Bob
BobBob
Pri.Key
Combining Symmetric and Public Key Cryptography
DECRYPTION
Digital Signature
• Use hash functions to produce digital
fingerprint of data (Message Digest).
• Use public key encryption to protect digital
fingerprint.
• Result = Digital Signature
Combining Hash Functions and Public Key Cryptography
•59
Hash Functions
• Hash functions are applied to amessage to produce a “hash result”
• The hash result may be thought of as a “digital fingerprint”• Hash Functions are used along with public-key
cryptography to perform digital signature
Hash function(e.g. SHA-1)
=
FileHash Value
(Digital Fingerprint)
The security requirementsfor a good cryptographicchecksum algorithm are:Must be a one way function.Must be sensitive to singlebit change. Must be ...
DSADSA
SHASHA--11
Pri.Key
AliceAlice
Pub.Key
The security requirementsfor a good cryptographicchecksum algorithm are:Must be a one way function.Must be sensitive to singlebit change. Must be ...
T%*l)8khjOrig.Hash
T%*l)8khjEncryptedHash
= Integrity= Integrity + Authentication+ Authentication
Combining Hash Functions and Public Key Cryptography
•60
2
DSADSA
SHASHA--11The security requirementsfor a good cryptographicchecksum algorithm are:Must be a one way function.Must be sensitive to singlebit change. Must be ...
T%*l)8khj
BobBob
T%*l)8khjOrig.Hash
T%*l)8khjFreshHash
Compare
Combining Hash Functions and Public Key Cryptography
Sicurezza a livello applicativo
Certificati X.509Public Key Infrastructure (PKI)
•61
Subject DN: cn=Bob Smith, o=ACME, c=US
Serial #: 8391037Start:1/5/97 1:02End:7/5/98 1:02CRL:cn=CRL2, o=ACME, c=USSubjectAltName: IP, DNS, email
Key:
What is in an X509 certificate?
CA DN: o=ACME, c=US
Unique name of owner
Unique serial number
Period of validity
Revocation information
Public key
Name of issuing CA
CA’s digitalsignature on thecertificate
Alternate Subject identifiers
DN: cn=CRL2,o=ACME, c=USStart: 1/5/97 1:02End: 1/6/97 1:02
Revoked:191231123832923756
CA DN: o=ACME, c=US
Unique name of CRL
Period of validity
Serial numbers ofrevoked certificates
Name of issuing CA
CA’s digitalsignature on theCRL
What is in a CRL?
•62
Protecting Certificates
=
Hash Value
The CA creates ahash value using the selectedcertificate hash function
Hash Value CA Signing Private Key
=The CA’s signingprivate key is used to encrypt the hash value
Hash Function(e.g. SHA-1)
Certificate
Verifying Certificates
Verification Public Key
Entrust/Engine runs the same hash function on thecertificate to produce afresh hash value
Hash function(e.g. SHA-1) =
Fresh Hash
The original hash value is decrypted using the CA verification public key contained in the user profile
The original hash and the fresh hash are compared. If they areequal, the CA signature is deemed to be valid, and thecertificate has integrity and authenticity
Certificate
=?
•63
Verifying Certificates• The certificate must be evaluated:
All certificates contain a certificate serial number and acrlDistributionPoint. These areused to check the revocationstatus of the certificate
CA
Owner: Alice Jones: Encryption public key
Issue & expiration dates
crlDistributionPoint
Issued By: CA Name
Certificate Serial Number
The time and date are checked to ensure that Bob is using Alice’s certificate during its validity period
The owner name must be Alice’s distinguished name
The CA name must be the distinguished name of the CA Directory Entry
The CA digital signature is represented by the encrypted hash value.The CA digital signature must be verified
What’s PKI?Certification Authority
CertificateRepository
Certificatesrevocation
Key Backup& Key RecoveryNon Repudiation
Support
Automatic Key Update& Key Histories
Cross-certificationTimestamping
ApplicationSoftware
Applications
•64
EE--mailmailWebWeb
PKI
E-CommerceCommerce
Secure Secure DesktopDesktop
E-formsDigital Sign
VPNVPN
SingleSignOnSingleSignOnWAP
E-TradingHome Banking
Applicazioni sicure