C
Consiglio Nazionale delle Ricerche
IAT
Sicurezza in rete
Damir Pobric
IAT /Consorzio Pisa Ricerche
E-mail: [email protected]
24 November, 2000
Damir Pobric
1
C
Consiglio Nazionale delle Ricerche
IAT
Sicurezza in rete
•
•
•
•
•
•
Politica di sicurezza
Sicurezza dei (1) sistemi e (2) router
Firewall
Intrusion Detection System
Auditing
Piano di risposta agli incidenti
24 November, 2000
Damir Pobric
2
C
Consiglio Nazionale delle Ricerche
IAT
Politica di sicurezza
• L’importanza dell’informazione e diritti di
copyright e di proprietà
• Identificare punti deboli e potenziali “nemici”
• Conoscere l’ambiente
• Limitare punti di accesso
• Considerare il fattore umano
• La sicurezza fisica
• Determinare i costi
• Implementazione “scalabile” e pervasiva
24 November, 2000
Damir Pobric
3
C
Consiglio Nazionale delle Ricerche
IAT
Router
• elemento cruciale della rete
–
–
–
–
transita tutto il traffico
punto d’ingresso/uscita
meccanismi flessibili/facili
funzionalità di firewall
• di base - bloccare passaggio
• estese - analizzare pacchetti/protocolli
24 November, 2000
Damir Pobric
4
C
IAT
Consiglio Nazionale delle Ricerche
Router
Rete di istituto
Internet
24 November, 2000
Punto di
ingresso
Damir Pobric
5
C
Consiglio Nazionale delle Ricerche
IAT
Router
Accesso al router:
• Interattivo:
– console o aux
– terminale virtuale (telnet)
• Servizi gestionali
– SNMP
– HTTP
24 November, 2000
Damir Pobric
6
C
Consiglio Nazionale delle Ricerche
IAT
Accesso interattivo (1)
• username/password
– definiti localmente
password non privilegiate (algoritmo debole, reverso)
service password-encryption
username jdoe password 7 07362E590E1B1C041B1
username jdoe password 7 <removed>
secret password (MD5)
enable secret 5 $1$iUjJ$cDZ03KKGh7mHfX2RS
24 November, 2000
Damir Pobric
7
C
Consiglio Nazionale delle Ricerche
IAT
Accesso interattivo (2)
– server di autenticazione
TACACS e RADIUS
aaa new-model
aaa authentication login default radius
router
TACACS+/
Radius
TACACS/Radius
le transazioni criptate con la chiave
24 November, 2000
Damir Pobric
8
C
Consiglio Nazionale delle Ricerche
IAT
Accesso interattivo (3)
• Limitare l’accesso
– configurazione della linea vty
ip access-class
transport input telnet ssh
Exec-timeout
IPSec
– definizione dell’utente
acl che nega connessioni telnet in uscita
24 November, 2000
Damir Pobric
9
C
Consiglio Nazionale delle Ricerche
IAT
Accesso interattivo (4)
access-list 10 permit 192.168.55.0 0.0.0.255
line vty 0 4
access-class 10 in
line vty 4
access-class 11 in
username steve password
24 November, 2000
Damir Pobric
10
C
Consiglio Nazionale delle Ricerche
IAT
SNMP (1)
• V1
– stringa in chiaro
– datagram UDP facilmente “spoof”abili
snmp-server community
• V2
snmp-server party
24 November, 2000
Damir Pobric
11
C
Consiglio Nazionale delle Ricerche
IAT
SNMP (2)
access-list 1 permit 2.2.2.2
snmp-server community public RO 1
access-list 2 permit 3.3.3.3
snmp-server community public RW 2
24 November, 2000
Damir Pobric
12
C
Consiglio Nazionale delle Ricerche
IAT
HTTP
• autenticazione in chiaro
ip http authentication
• Limitare accesso ai soli indirizzi IP autorizzati
ip http access-class
24 November, 2000
Damir Pobric
13
C
Consiglio Nazionale delle Ricerche
IAT
Vulnerabilità di accessi
• Sniffing
password, configurazione, …
– accesso ssh or IPSec
– one time password
• Compromesso il host autorizzato
• Attacco DOS -> out-of-band
24 November, 2000
Damir Pobric
14
C
Consiglio Nazionale delle Ricerche
IAT
Logging (1)
• AAA logging
– Telnet, http, ppp ….
• System logging
– logging console/monitor
– Syslog (logging ip-address, logging trap)
– local (logging buffered)
• SNMP logging
24 November, 2000
Damir Pobric
15
C
Consiglio Nazionale delle Ricerche
IAT
Logging (2)
• Debugging puo’ essere pericoloso
– via syslog
– le liste di accesso strette/limitate
• Buffer circolare (DRAM)
24 November, 2000
Damir Pobric
16
C
Consiglio Nazionale delle Ricerche
IAT
Logging access violation
• Vengono “logg”ati pacchetti bloccati
– Identificare un attacco
– Identificare traffico sospetto
• “rate limited”
– Non “logg”are tutto il traffico
24 November, 2000
Damir Pobric
17
C
Consiglio Nazionale delle Ricerche
IAT
Funzioni di firewall su router
• Semplice blocco dei pacchetti non permessi
• Le liste di accesso standard e estese
• Efficiente per:
– Fermare il traffico non desiderato
– Proteggere (isolare) macchine e/o servizi
– Tracciare un attacco
• Non funziona con:
– Protocolli di trasporto e/o applicativi, porte dinamiche
24 November, 2000
Damir Pobric
18
C
Consiglio Nazionale delle Ricerche
IAT
Funzioni di firewall su router - filtering
access-list 101 permit tcp any host a.a.a.a eq 25
access-list 101 permit tcp any host b.b.b.b eq 25
• Ftp
– Connessioni di controllo
– Connessione dati - dal server e sulla porta dinamica
• PASV (trasparente nei browser)
24 November, 2000
Damir Pobric
19
C
Consiglio Nazionale delle Ricerche
IAT
Funzioni di firewall su router - CBAC
• Cisco Secure Integrated Software, ex Firewall
• si basa sull’ispezione dei pachetti, anche della
parte dati (protocolli di trasporto e applicativi)
• CBAC - Context-based access control
– Stato persistente delle connessioni - inoltrare o
bloccare i pacchetti
– accounting
24 November, 2000
Damir Pobric
20
C
Consiglio Nazionale delle Ricerche
IAT
CBAC (1)
• Esamina e riconosce “flussi” o “canali”
– Protocolli:
apre dinamicamente la strada ai pacchetti TCP di ritorno
• Controlla le “violazioni” o sospette azioni
– blocca il traffico e informa
• statistiche e logging di livello di sessione
– Indirizzi, numeri di porta,
24 November, 2000
Damir Pobric
21
C
Consiglio Nazionale delle Ricerche
IAT
CBAC (2)
• Si definiscono i protocolli o sessioni che devono
passare e non i pacchetti
– le liste di accesso dinamiche
– estende (i nuovi entry precedono) le liste attuali
• Conversazioni
– Una o più sessioni TCP o più flussi UDP
• Canali (channels)
– Le aperture su firewall
24 November, 2000
Damir Pobric
22
C
Consiglio Nazionale delle Ricerche
IAT
CBAC (3)
• Benefici
–
–
–
–
Meno “buchi” nelle liste
Riconosce i modi di abuso comune di protocolli
Resistente a vari tipi di attacchi
Combinato con NAT:
• Nasconde indirizzi
• Meglio protetti da attacchi con ICMP
24 November, 2000
Damir Pobric
23
C
Consiglio Nazionale delle Ricerche
IAT
CBAC (4)
• Limiti
– Conoscenza di protocolli fino a certo livello
• Prestazioni
– Blocca solo il traffico riconosciuto come
attacco/abuso
– Richiede buona conoscenza di protocolli
– Non esiste assoluta protezione per servizi/host
– Routing asimmetrico
24 November, 2000
Damir Pobric
24
C
Consiglio Nazionale delle Ricerche
IAT
CBAC (5)
• Interagisce con la configurazione
–
–
–
–
lista cancellata : entry dinamici vengono persi
Numero cambiato : conversazioni attuali perse
La stessa lista su più interface : per link ridondanti
Lista non definita : inverte logica delle acl
• Non funziona con ICMP
• Per UDP (generico) usa time-out
24 November, 2000
Damir Pobric
25
C
Consiglio Nazionale delle Ricerche
Cuseeme
ftp
H323
http
rcmd
Realaudio
rpc
smtp
sqlnet
Streamworks
Tcp
Tftp
Udp
Vdolive
24 November, 2000
IAT
CBAC (6)
CUSeeMe Protocol
File Transfer Protocol
H.323 Protocol (Microsoft NetMeeting)
HTTP Protocol
R commands (r-exec, r-login, r-sh)
Real Audio Protocol
Remote Procedure Call Protocol
Simple Mail Transfer Protocol
SQL Net Protocol
StreamWorks Protocol
Transmission Control Protocol
TFTP Protocol
User Datagram Protocol
VDOLive Protocol
Damir Pobric
26
C
Consiglio Nazionale delle Ricerche
IAT
Funzioni di firewall su router - lock and key
• Apertura di canale “a richiesta”
• Via telnet, autenticazione via TACACS, RADIUS
o locale
• L’autenticazione è legata a indirizzo IP
• La acl si basa su indirizzo IP del host
24 November, 2000
Damir Pobric
27
C
Consiglio Nazionale delle Ricerche
IAT
Funzioni di firewall su router Authentication proxy
•
•
•
•
•
•
Apertura di canale “a richiesta”
Via http, autenticazione via TACACS o RADIUS
L’autenticazione è legata al nome
La acl viene trasferita dal server di autenticazione
acl può avere più righe
Funziona anche con DHCP
24 November, 2000
Damir Pobric
28
C
Consiglio Nazionale delle Ricerche
IAT
Funzioni di firewall su router Authentication proxy
• Benefici
– Sicurezza sulla base di un singolo utente
Vari livelli di privilegi per vari utenti
– Usa comune browser
• Difetti
– Solo per http, porta 80
– Richiede java scripts
24 November, 2000
Damir Pobric
29
C
Consiglio Nazionale delle Ricerche
IAT
Anti-spoofing
• accettare pacchetti da soli indirizzi IP della rete
• RFC2267
ip access-group list
192.168.0.0/24
192.168.5.5
24 November, 2000
Damir Pobric
30
C
Consiglio Nazionale delle Ricerche
IAT
Smurf (1)
• directed broadcast
• Satura la LAN, collegamento Internet, macchina
vittima
ICMP (192.168.0.255)
192.168.0.0/24
broadcast
24 November, 2000
Damir Pobric
31
C
Consiglio Nazionale delle Ricerche
IAT
Smurf (2)
• Non tradure in broadcast di linea
no ip directed-broadcast (default >= 12.0)
• Limitare certo tipo di traffico
rate-limit
24 November, 2000
Damir Pobric
32
C
Consiglio Nazionale delle Ricerche
IAT
Integrità di percorso (1)
• Source routing
– Traceroute (loose source route option)
• ICMP redirect
– LAN e da Internet
• Routing
– Autenticazione di router vicini
– Filtraggio delle routes
24 November, 2000
Damir Pobric
33
C
IAT
Consiglio Nazionale delle Ricerche
Integrità di percorso (2)
Destination A
R
ICMP redirect, usa R
192.168.0.0/24; default
24 November, 2000
Damir Pobric
34
C
Consiglio Nazionale delle Ricerche
IAT
Flooding e DOS (Denial Of Service)
• Alto volume di pacchetti/numero di connessioni
• Bloccare sorgente
• SYN flood
TCP intercept
rate-limit
• Proteggere il router
scheduler interval/allocate
24 November, 2000
Damir Pobric
35
C
IAT
Consiglio Nazionale delle Ricerche
Indirizzi IP privati (1)
Rete
PROXY
Internet
Route
Filtering
NAT/PAT
WWW
24 November, 2000
FTP, DNS
Mail
Damir Pobric
36
C
IAT
Consiglio Nazionale delle Ricerche
Indirizzi IP privati (2)
Rete “Interna”
Rete “Esterna”
NAT
SA
10.0.0.2
SA
10.0.0.2
192.69.1.1
Internet/Intranet
10.0.0.3
SA = Source Address
24 November, 2000
NAT Table
Inside Local
IP Address
Inside Global
IP Address
10.0.0.2
10.0.0.3
192.69.1.1
192.69.1.2
Damir Pobric
37
C
IAT
Consiglio Nazionale delle Ricerche
Indirizzi IP privati (3)
Rete “Interna”
Rete “Esterna”
NAT
SA
10.0.0.1
SA
10.0.0.2
192.69.1.1
Internet/Intranet
10.2.0.5
SA = Source Address
NAT Table
Inside Local
IP Address
10.0.0.2
10.0.0.3
24 November, 2000
Inside Global
IP Address
192.69.1.1:5001
192.69.1.1:5002
Damir Pobric
38
C
Consiglio Nazionale delle Ricerche
IAT
IPSec (1)
• Cifratura al livello IP
• authentication header (AH) - integrità di dati
• encapsulating security payload (ESP) confidenzialità e integrità di dati
• Internet Key Exchange (IKE)
• Tunnel e transport mode
24 November, 2000
Damir Pobric
39
C
Consiglio Nazionale delle Ricerche
IAT
IPSec (2)
C
D
24 November, 2000
Damir Pobric
40
C
Consiglio Nazionale delle Ricerche
IAT
Intrusion Detection System
• Router o firewall
• Router - indipendentemente o come complemento
a IDS
• Cisco IDS
– piccoli siti (2600 e 3600)
– Attacchi più comune (spam,
– Azioni: allarme, buttare via i pacchetti, “reset”tare la
connessione TCP
24 November, 2000
Damir Pobric
41
C
Consiglio Nazionale delle Ricerche
IAT
Scanning tools
• Security Profile Inspector (SPI)
• Internet Security Scanner (ISS)
• Security Analysis Tool for Auditing Networks
(SATAN)
• COPS
• Tripwire
• Cisco Secure Scanner (Sonar)
24 November, 2000
Damir Pobric
42
Scarica

Sicurezza in rete - CNR Area della Ricerca di Bologna