C Consiglio Nazionale delle Ricerche IAT Sicurezza in rete Damir Pobric IAT /Consorzio Pisa Ricerche E-mail: [email protected] 24 November, 2000 Damir Pobric 1 C Consiglio Nazionale delle Ricerche IAT Sicurezza in rete • • • • • • Politica di sicurezza Sicurezza dei (1) sistemi e (2) router Firewall Intrusion Detection System Auditing Piano di risposta agli incidenti 24 November, 2000 Damir Pobric 2 C Consiglio Nazionale delle Ricerche IAT Politica di sicurezza • L’importanza dell’informazione e diritti di copyright e di proprietà • Identificare punti deboli e potenziali “nemici” • Conoscere l’ambiente • Limitare punti di accesso • Considerare il fattore umano • La sicurezza fisica • Determinare i costi • Implementazione “scalabile” e pervasiva 24 November, 2000 Damir Pobric 3 C Consiglio Nazionale delle Ricerche IAT Router • elemento cruciale della rete – – – – transita tutto il traffico punto d’ingresso/uscita meccanismi flessibili/facili funzionalità di firewall • di base - bloccare passaggio • estese - analizzare pacchetti/protocolli 24 November, 2000 Damir Pobric 4 C IAT Consiglio Nazionale delle Ricerche Router Rete di istituto Internet 24 November, 2000 Punto di ingresso Damir Pobric 5 C Consiglio Nazionale delle Ricerche IAT Router Accesso al router: • Interattivo: – console o aux – terminale virtuale (telnet) • Servizi gestionali – SNMP – HTTP 24 November, 2000 Damir Pobric 6 C Consiglio Nazionale delle Ricerche IAT Accesso interattivo (1) • username/password – definiti localmente password non privilegiate (algoritmo debole, reverso) service password-encryption username jdoe password 7 07362E590E1B1C041B1 username jdoe password 7 <removed> secret password (MD5) enable secret 5 $1$iUjJ$cDZ03KKGh7mHfX2RS 24 November, 2000 Damir Pobric 7 C Consiglio Nazionale delle Ricerche IAT Accesso interattivo (2) – server di autenticazione TACACS e RADIUS aaa new-model aaa authentication login default radius router TACACS+/ Radius TACACS/Radius le transazioni criptate con la chiave 24 November, 2000 Damir Pobric 8 C Consiglio Nazionale delle Ricerche IAT Accesso interattivo (3) • Limitare l’accesso – configurazione della linea vty ip access-class transport input telnet ssh Exec-timeout IPSec – definizione dell’utente acl che nega connessioni telnet in uscita 24 November, 2000 Damir Pobric 9 C Consiglio Nazionale delle Ricerche IAT Accesso interattivo (4) access-list 10 permit 192.168.55.0 0.0.0.255 line vty 0 4 access-class 10 in line vty 4 access-class 11 in username steve password 24 November, 2000 Damir Pobric 10 C Consiglio Nazionale delle Ricerche IAT SNMP (1) • V1 – stringa in chiaro – datagram UDP facilmente “spoof”abili snmp-server community • V2 snmp-server party 24 November, 2000 Damir Pobric 11 C Consiglio Nazionale delle Ricerche IAT SNMP (2) access-list 1 permit 2.2.2.2 snmp-server community public RO 1 access-list 2 permit 3.3.3.3 snmp-server community public RW 2 24 November, 2000 Damir Pobric 12 C Consiglio Nazionale delle Ricerche IAT HTTP • autenticazione in chiaro ip http authentication • Limitare accesso ai soli indirizzi IP autorizzati ip http access-class 24 November, 2000 Damir Pobric 13 C Consiglio Nazionale delle Ricerche IAT Vulnerabilità di accessi • Sniffing password, configurazione, … – accesso ssh or IPSec – one time password • Compromesso il host autorizzato • Attacco DOS -> out-of-band 24 November, 2000 Damir Pobric 14 C Consiglio Nazionale delle Ricerche IAT Logging (1) • AAA logging – Telnet, http, ppp …. • System logging – logging console/monitor – Syslog (logging ip-address, logging trap) – local (logging buffered) • SNMP logging 24 November, 2000 Damir Pobric 15 C Consiglio Nazionale delle Ricerche IAT Logging (2) • Debugging puo’ essere pericoloso – via syslog – le liste di accesso strette/limitate • Buffer circolare (DRAM) 24 November, 2000 Damir Pobric 16 C Consiglio Nazionale delle Ricerche IAT Logging access violation • Vengono “logg”ati pacchetti bloccati – Identificare un attacco – Identificare traffico sospetto • “rate limited” – Non “logg”are tutto il traffico 24 November, 2000 Damir Pobric 17 C Consiglio Nazionale delle Ricerche IAT Funzioni di firewall su router • Semplice blocco dei pacchetti non permessi • Le liste di accesso standard e estese • Efficiente per: – Fermare il traffico non desiderato – Proteggere (isolare) macchine e/o servizi – Tracciare un attacco • Non funziona con: – Protocolli di trasporto e/o applicativi, porte dinamiche 24 November, 2000 Damir Pobric 18 C Consiglio Nazionale delle Ricerche IAT Funzioni di firewall su router - filtering access-list 101 permit tcp any host a.a.a.a eq 25 access-list 101 permit tcp any host b.b.b.b eq 25 • Ftp – Connessioni di controllo – Connessione dati - dal server e sulla porta dinamica • PASV (trasparente nei browser) 24 November, 2000 Damir Pobric 19 C Consiglio Nazionale delle Ricerche IAT Funzioni di firewall su router - CBAC • Cisco Secure Integrated Software, ex Firewall • si basa sull’ispezione dei pachetti, anche della parte dati (protocolli di trasporto e applicativi) • CBAC - Context-based access control – Stato persistente delle connessioni - inoltrare o bloccare i pacchetti – accounting 24 November, 2000 Damir Pobric 20 C Consiglio Nazionale delle Ricerche IAT CBAC (1) • Esamina e riconosce “flussi” o “canali” – Protocolli: apre dinamicamente la strada ai pacchetti TCP di ritorno • Controlla le “violazioni” o sospette azioni – blocca il traffico e informa • statistiche e logging di livello di sessione – Indirizzi, numeri di porta, 24 November, 2000 Damir Pobric 21 C Consiglio Nazionale delle Ricerche IAT CBAC (2) • Si definiscono i protocolli o sessioni che devono passare e non i pacchetti – le liste di accesso dinamiche – estende (i nuovi entry precedono) le liste attuali • Conversazioni – Una o più sessioni TCP o più flussi UDP • Canali (channels) – Le aperture su firewall 24 November, 2000 Damir Pobric 22 C Consiglio Nazionale delle Ricerche IAT CBAC (3) • Benefici – – – – Meno “buchi” nelle liste Riconosce i modi di abuso comune di protocolli Resistente a vari tipi di attacchi Combinato con NAT: • Nasconde indirizzi • Meglio protetti da attacchi con ICMP 24 November, 2000 Damir Pobric 23 C Consiglio Nazionale delle Ricerche IAT CBAC (4) • Limiti – Conoscenza di protocolli fino a certo livello • Prestazioni – Blocca solo il traffico riconosciuto come attacco/abuso – Richiede buona conoscenza di protocolli – Non esiste assoluta protezione per servizi/host – Routing asimmetrico 24 November, 2000 Damir Pobric 24 C Consiglio Nazionale delle Ricerche IAT CBAC (5) • Interagisce con la configurazione – – – – lista cancellata : entry dinamici vengono persi Numero cambiato : conversazioni attuali perse La stessa lista su più interface : per link ridondanti Lista non definita : inverte logica delle acl • Non funziona con ICMP • Per UDP (generico) usa time-out 24 November, 2000 Damir Pobric 25 C Consiglio Nazionale delle Ricerche Cuseeme ftp H323 http rcmd Realaudio rpc smtp sqlnet Streamworks Tcp Tftp Udp Vdolive 24 November, 2000 IAT CBAC (6) CUSeeMe Protocol File Transfer Protocol H.323 Protocol (Microsoft NetMeeting) HTTP Protocol R commands (r-exec, r-login, r-sh) Real Audio Protocol Remote Procedure Call Protocol Simple Mail Transfer Protocol SQL Net Protocol StreamWorks Protocol Transmission Control Protocol TFTP Protocol User Datagram Protocol VDOLive Protocol Damir Pobric 26 C Consiglio Nazionale delle Ricerche IAT Funzioni di firewall su router - lock and key • Apertura di canale “a richiesta” • Via telnet, autenticazione via TACACS, RADIUS o locale • L’autenticazione è legata a indirizzo IP • La acl si basa su indirizzo IP del host 24 November, 2000 Damir Pobric 27 C Consiglio Nazionale delle Ricerche IAT Funzioni di firewall su router Authentication proxy • • • • • • Apertura di canale “a richiesta” Via http, autenticazione via TACACS o RADIUS L’autenticazione è legata al nome La acl viene trasferita dal server di autenticazione acl può avere più righe Funziona anche con DHCP 24 November, 2000 Damir Pobric 28 C Consiglio Nazionale delle Ricerche IAT Funzioni di firewall su router Authentication proxy • Benefici – Sicurezza sulla base di un singolo utente Vari livelli di privilegi per vari utenti – Usa comune browser • Difetti – Solo per http, porta 80 – Richiede java scripts 24 November, 2000 Damir Pobric 29 C Consiglio Nazionale delle Ricerche IAT Anti-spoofing • accettare pacchetti da soli indirizzi IP della rete • RFC2267 ip access-group list 192.168.0.0/24 192.168.5.5 24 November, 2000 Damir Pobric 30 C Consiglio Nazionale delle Ricerche IAT Smurf (1) • directed broadcast • Satura la LAN, collegamento Internet, macchina vittima ICMP (192.168.0.255) 192.168.0.0/24 broadcast 24 November, 2000 Damir Pobric 31 C Consiglio Nazionale delle Ricerche IAT Smurf (2) • Non tradure in broadcast di linea no ip directed-broadcast (default >= 12.0) • Limitare certo tipo di traffico rate-limit 24 November, 2000 Damir Pobric 32 C Consiglio Nazionale delle Ricerche IAT Integrità di percorso (1) • Source routing – Traceroute (loose source route option) • ICMP redirect – LAN e da Internet • Routing – Autenticazione di router vicini – Filtraggio delle routes 24 November, 2000 Damir Pobric 33 C IAT Consiglio Nazionale delle Ricerche Integrità di percorso (2) Destination A R ICMP redirect, usa R 192.168.0.0/24; default 24 November, 2000 Damir Pobric 34 C Consiglio Nazionale delle Ricerche IAT Flooding e DOS (Denial Of Service) • Alto volume di pacchetti/numero di connessioni • Bloccare sorgente • SYN flood TCP intercept rate-limit • Proteggere il router scheduler interval/allocate 24 November, 2000 Damir Pobric 35 C IAT Consiglio Nazionale delle Ricerche Indirizzi IP privati (1) Rete PROXY Internet Route Filtering NAT/PAT WWW 24 November, 2000 FTP, DNS Mail Damir Pobric 36 C IAT Consiglio Nazionale delle Ricerche Indirizzi IP privati (2) Rete “Interna” Rete “Esterna” NAT SA 10.0.0.2 SA 10.0.0.2 192.69.1.1 Internet/Intranet 10.0.0.3 SA = Source Address 24 November, 2000 NAT Table Inside Local IP Address Inside Global IP Address 10.0.0.2 10.0.0.3 192.69.1.1 192.69.1.2 Damir Pobric 37 C IAT Consiglio Nazionale delle Ricerche Indirizzi IP privati (3) Rete “Interna” Rete “Esterna” NAT SA 10.0.0.1 SA 10.0.0.2 192.69.1.1 Internet/Intranet 10.2.0.5 SA = Source Address NAT Table Inside Local IP Address 10.0.0.2 10.0.0.3 24 November, 2000 Inside Global IP Address 192.69.1.1:5001 192.69.1.1:5002 Damir Pobric 38 C Consiglio Nazionale delle Ricerche IAT IPSec (1) • Cifratura al livello IP • authentication header (AH) - integrità di dati • encapsulating security payload (ESP) confidenzialità e integrità di dati • Internet Key Exchange (IKE) • Tunnel e transport mode 24 November, 2000 Damir Pobric 39 C Consiglio Nazionale delle Ricerche IAT IPSec (2) C D 24 November, 2000 Damir Pobric 40 C Consiglio Nazionale delle Ricerche IAT Intrusion Detection System • Router o firewall • Router - indipendentemente o come complemento a IDS • Cisco IDS – piccoli siti (2600 e 3600) – Attacchi più comune (spam, – Azioni: allarme, buttare via i pacchetti, “reset”tare la connessione TCP 24 November, 2000 Damir Pobric 41 C Consiglio Nazionale delle Ricerche IAT Scanning tools • Security Profile Inspector (SPI) • Internet Security Scanner (ISS) • Security Analysis Tool for Auditing Networks (SATAN) • COPS • Tripwire • Cisco Secure Scanner (Sonar) 24 November, 2000 Damir Pobric 42