La sicurezza di rete - Home Page di Andrea Leotardi
Transcript
La sicurezza di rete - Home Page di Andrea Leotardi
La sicurezza di rete e dei servizi applicativi Politiche delle reti e sicurezza aa 2006-2007 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 1 Questo insieme di trasparenze (detto nel seguito slides) è protetto dalle leggi sul diritto d’autore e dalle disposizioni dei trattati internazionali. Il titolo ed i relativi alle slides (ivi inclusi, ma non limitatamente, ogni immagine, fotografia, animazione, video, audio, musica e testo) sono di proprietà dell’autore indicato a pag. 1. Le slides possono essere riprodotte ed utilizzate liberamente dagli istituti di ricerca, scolastici ed universitari afferenti al Ministero della Pubblica Istruzione e al Ministero dell’Università e Ricerca Scientifica e Tecnologica, per scopi istituzionali, non a fine di lucro. In tal caso non è richiesta alcunaautorizzazione. Ogni altra utilizzazione o riproduzione (ivi incluse, ma non limitatamente, le riproduzioni su supporti magnetici, su reti di calcolatori e stampate) in toto o in parte è vietata, se non esplicitamente autorizzata per iscritto, a priori, da parte degli autori. L’informazione contenuta in queste slides è ritenuta essere accurata alla data della pubblicazione. Essa è soggetta a cambiamenti senza preavviso. L’autore non assume alcuna responsabilità per il contenuto di queste slides (ivi incluse, ma non limitatamente, la correttezza, completezza, applicabilità, aggiornamento dell’informazione). In ogni caso questa nota di copyright non deve mai essere rimossa e deve essere riportata anche in utilizzi parziali. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 2 La sicurezza di rete La sicurezza IP Il protocollo IPSec e le Virtual Private Networks (VPN) L’indirizzamento privato e pubblico Debolezze dei protocolli TCP/IP e attacchi tipici; TCP wrappers, intrusion detection systems (IDS); i Firewall e Proxy, NAT, le VPN e IPSec. I sistemi firewall e proxy Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 3 La sicurezza IP Riguarda tre aree funzionali: • Autenticazione • Segretezza • Gestione delle chiavi Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 4 Internet Security La sicurezza su Internet e’ difficile perche’ i datagram che viaggiano dalla sorgente alla destinazione spesso passano attraverso molte reti intermedie e attraverso router che non appartengono ne’ sono controllati dal mittente o dal ricevente I datagram possono essere intercettati o compromessi e percio’ i contenuti non possono essere fidati Se un server richiede una autenticazione del client che richiede un determinato servizio (source authentication), puo’ basarsi sull’indirizzo IP sorgente di ogni datagram in ingresso ed accettare solamente le richieste dai client di una lista autorizzata Questo schema di autenticazione pero’ risulta debole in una internet insicura poiche’ e’ possibile intercettare il traffico da router e ottenere l’accesso impersonando un client autorizzato (IP spoofing) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 5 Internet Security Per impedire tali intercettazioni e’ necessario adottare un sistema di autenticazione forte (strong authentication) basato sull’uso della crittografia L’ente di standardizzazione del mondo Internet IETF ha individuato un insieme di protocolli che forniscono una comunicazione su Internet sicura IPsec (IP security) e’ l’insieme dei protocolli che offrono servizi di autenticazione e di segretezza a livello IP e che possono essere usati sia con IPv4 che con IPv6 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 6 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 7 IPsec IPsec non e’ un singolo protocollo di sicurezza e non vincola l’utente ad usare uno specifico algoritmo di crittografia o di autenticazione, ma fornisce un framework generale che permette ad ogni coppia di soggetti comunicanti di scegliere algoritmi e parametri (ad esempio la dimensione della chiave) Con IPSec un’applicazione puo’ scegliere se usare un meccanismo di autenticazione che valida il mittente e/o usare un meccanismo di crittografia che assicuri la confidenzialita’ dei dati Per assicurare l’interoperabilita’ Ipsec include un insieme di algoritmi di cifratura che tutte le implementazioni devono riconoscere Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 8 I vantaggi di IPSec In un firewall o router fornisce un servizio di sicurezza elevato su tutto il traffico che attraversa il perimetro senza appesantire il traffico interno Si situa al di sotto del livello di trasporto (TCP,UDP) e pertanto risulta trasparente alle applicazioni nel caso in cui sia implementato in firewall, router e/o sistemi finali Puo’ garantire la sicurezza dei singoli utenti che lavorano fuori sede e che devono appartenere ad una sottorete virtuale sicura all’interno di un’azienda per le applicazioni riservate Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 9 I vantaggi di IPSec nel routing Il messaggio di pubblicizzazione (hello, neighbour greetings) di un router proviene da un router autorizzato Il messaggio di router redirect proviene dal router al quale è stato inviato il pacchetto iniziale L’aggiornamento del router non viene falsificato OSPF puo’ operare sopra le associazioni di sicurezza fra i router definiti da IPSec Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 10 Lo standard IPSec I documenti più importanti (1998): • RFC 2401: An overview of a security architecture • RFC 2402: Description of a packet authentication extension to IPv4 e IPv6 • RFC 2406: Description of a packet encryption extension to IPv4 e IPv6 • RFC 2408: Specification of key management capabilities Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 11 IPv4 vs IPv6 Il supporto della funzionalità IPSec è obbligatorio in IPv6 e opzionale in IPv4 Le funzionalità di sicurezza sono implementate come intestazioni di estensione che seguono l’intestazione principale IP Intestazione di estensione per l’autenticazione: AH Intestazione di estensione per la crittografia: ESP Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 12 I documenti IPSEC (IETF IPSec WG) Architettura: concetti generali, requisiti di sicurezza, definizioni e meccanismi; ESP(Encapsulating Security Payload): formato del pacchetto e altri elementi generali relativi all'uso dell'ESP per la crittografia e autenticazione; AH (Authentication Header): formato del pacchetto e elementi generali relativi all'autenticazione del pacchetto; Algoritmi di crittografia: descrivono il modo con cui vari algoritmi di autenticazione vengono utilizzati per AH e per l'opzione di autenticazione ESP; Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 13 Algoritmi di autenticazione: descrivono il modo in cui i vari algoritmi di autenticazione vengono utilizzati per AH e per l'opzione di autenticazione ESP; Gestione delle chiavi: descrivono i meccanismi di gestione delle chiavi; DOI (Domain of Interpretation): contiene i valori che fanno riferimento alle relazioni tra i documenti. Es. idntificatori per gli algoritmi di crittografia e identificazione approvati, piu' vari parametri operativi come la durata delle chiavi. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 14 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 15 Servizi di IPSec IPSec fornisce i servizi di sicurezza a livello IP consentendo ad un sistema di: • Selezionare i protocolli di sicurezza richiesti • Determinare gli algoritmi da utilizzare per i servizi • Impiegare le chiavi crittografiche necessarie per fornire i servizi richiesti Due protocolli: • Protocollo di autenticazione stabilito dall’intestazione • del protocollo AH (Authentication Header) Protocollo combinato di crittografia/autenticazione stabilito dal formato del pacchetto per tale protocollo, ESP (Encaspulating Security Payload) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 16 Servizi di IPSec Controllo degli accessi Integrità dei protocolli senza connessione (connectionless) Autenticazione dell’origine dei dati Rifiuto dei pacchetti a replay (integrità parziale della sequenza) Segretezza (crittografia) Una limitata segretezza del flusso di traffico Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 17 Servizi IPSec Servizi AH ESP solo crittografia ESP crittografia e autenticazione Controllo degli accessi √ √ √ Integrità senza connessione √ √ Autenticazione dell’origine dei dati √ √ Rifiuto dei pacchetti a replay √ √ √ Segretezza √ √ Segretezza limitata del flusso del traffico √ √ Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 18 Attacchi a replay Ripetizione semplice: l'opponente copia un messaggio e lo ripropone successivamente; Ripetizione registrabile: l'opponente ripropone un umessaggio dotato di timestamp entro il periodo di validità temporale; Ripetizione non rilevabile: puo' sorgere perchè il messaggio originale puo' essere stato soppresso e pertanto non è arrivato a destinazione;arriva solo il messaggio ripetuto; Ripetizione all'indietro senza modifiche: è un rinvio del messaggio al mittente. Questo attacco è possibile se viene utilizzata la crittografia simmetrica e se il mittente non puo' riconoscere con facilità la differenza fra i messaggi inviati e i messaggi ricevuti sulla base del documento. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 19 Le associazioni di sicurezza SA Security Association Relazione monodirezionale fra un mittente e un destinatario che riguarda i servizi di sicurezza rispetto al traffico trasportato Se è richiesta una relazione con il nodo per uno scambio sicuro bidirezionale sono necessarie due associazioni di sicurezza I servizi di sicurezza sono assegnati ad una associazione di sicurezza per l’impiego dei protocolli AH o ESP ma non di entrambi Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 20 Parametri di SA Un’associazione di sicurezza è identificata univocamente da tre parametri: SPI (Security Parameters Index): una stringa di bit assegnata a questa associazione e con significato locale. Il valore di SPI è trasportato nell’intestazione AH e ESP per consentire al sistema di destinazione di selezionare l’associazione di sicurezza in base alla quale verrà elaborato il pacchetto ricevuto Indirizzo IP di destinazione: attualmente è consentito l’impiego di soli indirizzi unicast; l’indirizzo IP di destinazione dell’associazione di sicurezza può essere il sistema di un utente finale o di un sistema di rete come un firewall o un router Indentificatore del protocollo di sicurezza: indica se l’associazione di sicurezza è di tipo AH o ESP Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 21 I parametri di un’associazione di sicurezza In ogni implementazione di IPSec esiste un security association database che definisce i parametri relativi ad ogni associazione di sicurezza: • Sequence control number: valore a 32 bit utilizzato per generare il campo Sequence Number nell'intestazione ESP o AH; • Sequence counter overflow: flag che indica se un overflow del campo Sequence Number Counter deve generare un evento di audit ed impedire l'ulteriore trasmissione di pacchetti su questa associazione di sicurezza; • Anti-replay window: per determinare se un pacchetto AH o ESP in ingresso è un replay; Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 22 I parametri di un’associazione di sicurezza • • • • • AH information (algoritmo, chiavi,durata delle chiavi..) ESP information (algoritmo di crittografia e autenticazione, chiavi, valori di inializzazione, durata delle chiavi) Lifetime of this security association (intervallo di tempo o conteggio in byte, trascorso il quale un’associazione di sicurezza deve essere sostituita da una nuova associazione e nuovo SPI, o chiusa, piu’ un’indicazione del tipo di azione da eseguire alla scadenza; IPSEc Protocol mode (tunnel, trasporto, wildcard) Path MTU :massima unità di trasmissione sul percorso(dimensione massima del pacchetto che puo' essere trasmesso senza frammentazione) e variabili relativi alla durata di validità. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 23 Selettori delle SA Il traffico IP viene associato alle SA tramite il SPD (Security Policy DataBase); L'SPD contiene delle voci, ognuna delle quali definisce un sottoinsieme del traffico IP e punta ad una associazione di sicurezza per tale traffico; Ogni voce del SPD è definita da un insieme di campi IP e di livello superiore chiamati selettori (*)che consentono di filtrare il traffico in uscita per associarlo ad una determinata associazione di sicurezza ed il corrispondente SPI e di conseguenza svolgere l'elaborazione IPSec richiesta. (*)DestIPAdress, SourIPAddress, UserID, Data Sensitivity Level, TL protocol, Source e Destination Ports Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 24 Le modalità transport e tunnel AH e ESP supportano le modalità: • Transport • fornisce la protezione dei protocolli di livello superiore (payload del pacchetto IP); • Utilizzata per le applicazioni end-to-end tra due host • Tunnel • Fornisce la protezione dell'intero pacchetto IP • Utilizzata quando una o entrambe le estremità di una associazione di sicurezza sono costituite da un gateway di sicurezza (firewall, router) che implementa IPSec Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 25 Transport • Fornisce la protezione dei livelli superiori • Generalmente usata per le connessioni punto- punto tra due host • Esp in modalità transport esegue la crittografia e autentica il carico utile IP ma non l’intestazione IP • AH in modalità transport autentica il carico utile IP e determinate parti dell’intestazione IP Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 26 Tunnel Fornisce la protezione dell’intero pacchetto IP Dopo che al pacchetto vengono aggiunti i campi AH o ESP, l’intero pcchetto e i campi di sicurezza vengono trattati come carico utile del nuovo pacchetto IP esterno con una nuova intestazione IP esterna Il pacchetto intero originario viaggia in una sorta di tunnel da un punto all’altro della rete IP; nessun router lungo il percorso sarà in grado di esaminare l’intestazione IP interna Il nuovo pacchetto esterno puo’ avere indirizzi IP di destinazione e origine completamente differenti in modo da migliorare la sicurezza La modalità viene utilizzata quando le estremità di un’associazione di sicurezza sono costituite da firewall o router che implementano IPSec Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 27 Header IP 0 4 Version HLEN 8 15 Service type Identification Time to Live 19 24 31 Total length Flags Protocol Fragment Offset (13 bit) Header checksum Source IP Address Destination IP address IP Option Padding Data Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 28 IPsec Invece di cambiare l’header del datagram IP, Ipsec usa un authentication header (AH) separato per portare informazioni di autenticazione IPv4 header TCP header TCP data IPv4 authentication TCP header header header Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 TCP data 29 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 30 IPsec L’authentication header si trova immediatamente dopo l’header IP originale ma prima del transport header. Il campo PROTOCOL dell’header IP e’ cambiato al valore 51, indicando la presenza di un header di autenticazione Il destinatario determina il tipo di informazione nel datagram attraverso il campo NEXT HEADER dell’AH che specifica il tipo del protocollo originario Quando il datagram arriva il destinatario usa l’informazione di security dall’AH per verificare il mittente e usa il valore del campo NEXT HEADER per demultiplexare il datagram Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 31 IPsec header 0 8 NEXT HEADER PAYLOAD LEN 16 31 RESERVED SECURITY PARAMETERS INDEX SEQUENCE NUMBER AUTHENTICATION DATA (VARIABLE) ... PAYLOAD LEN: specifica la lunghezza dell’authentication header SEQUENCE NUMBER: sequence number univoco per ogni pacchetto inviato; il numero inizia da zero quando un algoritmo di sicurezza particolare viene selezionato e aumenta in modo monotonico SECURITY PARAMETERS INDEX: specifica lo schema di sicurezza usato AUTHENTICATION DATA: contiene i dati per lo schema di selezionato Politiche delle Retisicurezza e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 32 Security association Per salvare spazio nell’header, IPsec permette ad ogni ricevente di raccogliere tutti dettagli su uno schema di sicurezza (algoritmo di autenticazione, chiavi, durata di validità della chiave, tempo in cui la destinazione si accorda di usare l’algoritmo, lista di indirizzi sorgenti autorizzati ad usare lo schema di sicurezza) in una astrazione conosciuta come security association (SA) Ad ogni SA viene dato un numero conosciuto come Security parameters index, attraverso cui e’ identificato Prima che un mittente possa usare IPsec per comunicare con un destinatario, il mittente deve conoscere il valore dell’indice per un particolare SA che verra’ da lui messo nel campo SECURITY PARAMETERS INDEX di ogni datagram in uscita Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 33 Security Association I valori degli indici non sono specificati globalmente: ogni destinazione crea tanti SA quanti ne ha bisogno ed assegna un valore dell’indice a ciascuno La destinazione puo’ specificare un tempo di vita per ogni SA e riusare valori degli indici Una destinazione usa il security parameters index per identificare l’SA per un pacchetto. I valori non sono globali; una combinzaione di indirizzo di destinazione e security parameters index e’ necessario per identificare un SA Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 34 Il servizio Anti-replay In un attacco a replay un opponente ottiene una copia di un pacchetto autenticato che trasmette successivamente alla destinazione prevista; La ricezione di pacchetti IP autenticati duplicati puo' disturbare il funzionamento del servizio ed il campo sequence number ha lo scopo di sventare questo tipo di attacchi. Quando viene stabilita una nuova associazione di sicurezza, il mittente inizializza un contatore a 0 (zero). Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 35 Ogni volta che il pacchetto viene inviato in questa associazione di sicurezza, il mittente incrementa il contatore ed inserisce il valore nel campo Sequence Number. (il primo valore da usare è 1). Se e' attiva la difesa contro gli attacchi a replay, il mittente non deve consentire che il numero di sequenza ricominci ciclicamente dopo 232-1 tornando a 0. Altrimenti vi sarebbero piu' pacchetti validi con lo stesso numero di sequenza. Raggiunto il limite di 232-1, il mittente dovrà chiudere questa associazione di sicurezza e negoziare una nuova associazione con una nuova chiave. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 36 Il protocollo IP fornisce un servizio di connessione non affidabile: non garantisce che i pacchetti vengano consegnati in ordine e non garantisce neppure che vengano consegnati tutti i pacchetti. IPSEC stabilisce che il ricevitore implementi una dimensioni W, normalmente W=64. Il margine destro della finestra rappresenta il numero sequenziale piu' elevato,N, ricevuto finora per un pacchetto valido. Ogni pacchetto con un numero sequenziale compreso fra N-W+1 e N ricevuto correttamente (autenticato correttamente) viene contrassegnata la posizione corrispondente nella finestra: Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 37 Se il pacchetto rientra nella finestra ed è nuovo, viene controllato il codice MAC. Se il pacchetto è autenticato, viene contrassegnata la posizione corrispondente nella finestra. Se il pacchetto ricevuto si trova a destra della finestra ed è nuovo, viene controllato il codice MAC. Se il pacchetto è autenticato, la finestra viene fatta avanzare in modo che questo numero di sequenza rappresenti il nuovo margine destro della finestra e quindi viene contrassegnata la posizione corrispondente nella finestra. Se il pacchetto ricevuto si trova a sinistra della finestra o se non passa l'autenticazione, il pacchetto viene eleiminato; si tratta di un evento registrabile ai fini di un eventuale audit. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 38 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 39 Authentication Data Contiene il valore Integrity Check Value: codice di autenticazione del messaggio o un versione troncata di un codice prodotto da un algoritmo MAC: • HMAC-MD5-96 • HMAC-SHA-1-96 Il risultato della funzione HMAC è troncato utilizzando i primi 96 bit che rappresentano la lunghezza standard del campo Authentication Data Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 40 Servizio di autenticazione IPSec Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 41 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 42 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 43 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 44 IPsec encapsulating security payload Per trattare sia la confidenzialita’ che l’autenticazione, IPsec usa una Encapsulating Security Payload (ESP) che e’ piu’ complesso di un authentication header Un valore 50 nel campo PROTOCOL specifica che il datagram trasporta ESP IPv4 header TCP header TCP data Authenticate d Encrypted ESP IPv4 header header Politiche delle Reti e Sicurezza TCP header UNICAM AA 2006/2007 TCP data M.L.Maggiulli ©2007 ESP Trailer ESP AUTH 45 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 46 IPsec encapsulating security payload ESP usa molti item gia’ presenti nell’authentication header ma con un ordine diverso. ESP HEADER consiste di 8 ottetti che identificano i security parameters index e un numero di sequenza ESP TRAILER consiste di un padding opzionale, un campo padding length e un NEXT HEADER che e’ seguito da dati di autenticazione variabili Authentication Data: campo di lunghezza variabile che contiene il valore Integrityu Check Value Calcolato sul pacchetto ESP meno il campo Authentication Data. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 47 Gli algoritmi di crittografia ed autenticazione I campi Payload data, padding, pad length e next header sono crittografati dal servizio ESP. Le specifiche correnti indicano gli seguenti algoritmi di crittografia: • DES in modalità CBC; Triple DES a tre chiavi; RC5; IDEA; Triple IDEA a tre chiavi; CAST; Blowfish Anche ESP supporta l'uso di un codice MAC con una lunghezza standard di 96 bit: • HMAC-MD5-96 e HMAC-SHA-1-96 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 48 Authentication and mutable header fields Meccanismo di IPsec progettato per assicurare che i datagram in arrivo siano identici a quelli inviati dalla sorgente. Questa garanzia e’ impossibile: l’IP, infatti, e’ di livello hostto-host, significando che il principio del layer si applica solo attraverso un hop; in particolare ogni sistema intermedio decrementa il campo TTL e ricalcola il checksum IPsec usa il termine mutable fields per riferirsi ai campi dell’header IP modificati durante il transito Per prevenire tali modifiche, che possono causare errori di autenticazione, IPsec omette specificatamente tali campi dal calcolo dell’autenticazione IPsec, quando arriva il datagram, autentica percio’ solo i campi immutabili (source address e protocol type) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 49 IPsec Tunneling La tecnologia VPN usa la crittografia in un tunnelling IP-in-IP per mantenere i trasferimenti inter-site privati L’IPsec e’ stato specificatamente progettato per per realizzare un tunnel criptato In particolare lo standard definisce versioni tunnelled sia dell’authentication header che del encapsulating security payload Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 50 IPsec Tunneling Outer IP header authentication header Inner IP datagram (including IP header) Authenticate d Encrypted Outer IP ESP header header Inner IP datagram (including IP header) ESP Trailer ESP AUTH In questo caso il datagram IP intero incapsulato viene protetto Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 51 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 52 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 53 Gestione delle Chiavi Riguarda la scelta e la distribuzione delle chiavi segrete Sono richieste almeno quattro chiavi per le comunicazioni fra due applicazioni; due coppie di chiavi di trasmissione e di ricezione sia per AH che per ESP. Due tipi di gestione delle chiavi: • Manuale: l'amministratore configura manualmente ciascun sistema con le proprie chiavi e con le chiavi di altri sistemi. Per ambienti piccoli e statici • Automatica: un sistema automatico consente la creazione su richiesta delle chiavi per le associazioni di sicurezza e ne facilita l'uso in sistemi distribuiti di grande estensione in modalità automatica Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 54 Protocolli per la gestione delle chiavi Oakley Key Determination Protocol: protocollo per lo scambio delle chiavi basato sull'algoritmo Diffie-Hellman. Non definisce alcun formato specifico ISAKMP (Internet Security Association and Key Management Protocol): definisce una struttura per lo scambio delle chiavi in Internet ed il supporto fra cui i formati per la negoziazione degli attributi di sicurezza. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 55 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 56 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 57 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 58 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 59 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 60 Required security algorithms IPsec specifica un insieme minimo di algoritmi obbligatori per tutte le implementazioni Authentication HMAC with MD5 RFC 2403 HMAC with SHA-1 RFC 2404 Encapsulationg Security Payload DES IN CBC MODE HMAC with MD5 RFC 2405 RFC 2404 HMAC with SHA-1 Null Authentication Null Encryption Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 61 Indirizzi IP privati (RFC 1918) IANA-Allocated, Non-Internet Routable, IP Address Schemes Class Network Address Range A 10.0.0.0-10.255.255.255 (10.0.0.0/8) B 172.16.0.0-172.31.255.255 (172.16.0.0/12) C 192.168.0.0-192.168.255.255 (192.168.0.0/16) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 62 NAT: network address translation Benefici: Accedere alla Internet pubblica senza richiedere indirizzi IP registrati Interconnettere reti IP con spazi di indirizzamento sovrapposti Ridurre il consumo di indirizzi ufficiali (Port Address Translation - PAT) Migliorare la sicurezza della rete “nascondendo” gli indirizzi reali degli host Flessibilita’ (possibilita’ di mantenere il proprio schema di indirizzamento anche nel caso di un cambiamento di ISP) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 63 NAT: caratteristiche Descritto in RFC 1631 (1994) Modifica gli indirizzi IP nell’header IP (e se serve nel campo applicativo) secondo la politica definita dal gestore La traduzione puo’ essere: • statica: • la mappatura e’ statica uno-a-uno tra indirizzi interni ed esterni dinamica: la corrispondenza tra indirizzo interno ed indirizzo esterno e’ definita solo all’occorrenza Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 64 NAT: terminologia Inside local (IL) • L’indirizzo IP di un host della rete interna. Questo indirizzo puo’ essere pubblico ed univoco, pubblico ma ufficialmente assegnato ad un’altra organizzazione oppure privato Inside global (IG) • L’indirizzo esterna Outside Local (OL) • L’indirizzo interna IP di un host interno cosi’ come appare alla rete IP di un host esterno cosi’ come appare alla rete Outside Global • L’indirizzo IP di un host della rete esterna Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 65 NAT: tipi di traduzione Network Address Translation (NAT) • Traduce solo gli indirizzi • Traduzione uno-a-uno, statica o dinamica • Funzione in ambedue i versi (interno<>esterno) Port Address Translation (PAT) • Traduce le coppie indirizzo/port • Traduzione uno-a-N • Riduce il consumo di indirizzi IP registrati • Funziona in un solo verso (interno->esterno) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 66 NAT: traduzione SA interno ->Rete esterno Rete interna esterna SA N A T 10.0.0.2 10.0.0.2 SA 192.69.1.1 Internet/Intranet NAT Table 10.0.0.3 Viene anche tradotto il Destination Address (DA) da esterno ad interno nei messaggi di risposta Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 Inside Local IP Address Inside Global IP Address 10.0.0.2 10.0.0.3 192.69.1.1 192.69.1.2 M.L.Maggiulli ©2007 SA= Source Addre 67 NAT: traduzione SA esterno->interno Rete interna Rete esterna SA N A T 178.68.1.1 10.0.0.2 10.0.0.3 Consente di utilizzare indirizzi interni ed esterni che si sovrappongono Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 SA 10.0.0.20 Internet/Intranet NAT Table SA= Source Address Outside Local Outside Global IP Address IP Address 171.68.1.1 171.68.1.2 M.L.Maggiulli ©2007 10.0.0.20 10.0.0.21 68 Port Address Translation (PAT) Rete interna Rete esterna SA 10.0.0.2 10.0.0.2 N A T SA 192.69.1.1 Internet/Intranet NAT Table 10.0.0.3 •Tutti gli host interni utilizzano un singolo indirizzo IP registrato •vengono utilizzate le porte TCP/UDP per individuare il reale Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 mittente/destinatario del pacchetto Inside Local IP Address Inside Global IP Address 10.0.0.2:1026 10.0.0.3:1029 192.69.1.1:5001 192.69.1.1:5002 M.L.Maggiulli ©2007 SA= Source Address 69 NAT: considerazioni Oltre alla modifica dell’indirizzo IP nell’intestazione del pacchetto, il NAT effettua anche altre operazioni: • Ricalcolo della checksum IP • Ricalcolo della checksum TCP • Modifica del campo dati se questo contiene riferimenti all’indirizzo IP da tradurre Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 70 NAT: applicativi supportati Gli applicativi supportati: • HTTP, TFTP, Telnet, NFS • ICMP, FTP, DNS Gli applicativi non supportati: • DHCP • SNMP • DNS zone transfers • IP multicast, H.323 • Routing table updates Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 71 FTP (File Transfer Protocol) Il protocollo FTP si distingue dagli altri applicativi perche’ utilizza due connessioni TCP per trasferire un file • una connessione di controllo • una connessione dati La connessione di controllo viene instaurata dal client utilizzando la porta di destinazione 21. Questa connessione rimane in piedi per tutto il tempo che il client comunica con il server ed e’ utilizzata dal client per inviare i comandi e dal server per inviare le risposte La connessione dati viene creata ogni volta che un file e’ trasferito tra il client ed il server. Questa connessione viene instaurata dal server utilizzando la porta sorgente 20 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 72 FTP: esempio (1) FTP Client Port 1173 FTP Server Control connection PORT 195,31,235,5,4,150 IP: 195.31.235.5 Port 21 256x4 + 150=1174 Il comando utilizzato dal client per creare una connessione dati e’ PORT i cui argomenti sono sei numeri decimali in ASCII separati da virgole: i primi quattro numeri specificano l’indirizzo IP del client •gli ultimi due numeri specificano la porta Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 73 FTP: esempio (2) FTP Server FTP Client Port 1173 Port 1174 IP: 195.31.235.5 Control connection Data connection Port 21 Port SYN to 195.31.235.5 port 20 1174 Il server riceve il comando PORT ed apre una connessione TCP con il client utilizzando come porta sorgente la 20 e porta di destinazione quella specificata nel comando PORT Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 74 NAT e FTP Il comando PORT contiene un riferimento all’indirizzo IP, sebbene in formato ASCII, che deve essere tradotto Questa operazione puo’ causare una modifica della lunghezza del pacchetto IP Se la nuova dimensione del pacchetto e’ inferiore a quella originale, nel pacchetto vengono inseriti dei bit di riempimento per ricondurre la dimensione del pacchetto a quella originaria Se il pacchetto diventa piu’ grande di quello originale, il numero di sequenza (TCP) deve essere modificato Una tabella speciale viene utilizzata per garantire la corretta traduzione dei numeri di ACK e SEQ Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 75 NAT e sicurezza Se i dati presenti nel pacchetto IP sono cifrati non e’ possibile per il NAT effettuare le operazioni di traduzione all’interno del pacchetto In particolare, le checksum IP e TCP devono essere accessibili, e quindi le corrispondenti intestazioni non possono essere cifrate Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 76 NAT Il numero di sessioni concorrenti supportate dal NAT dipende dalla quantita’ di memoria disponibile sull’apparato E’ possibile utilizzare contemporaneamente sia traduzioni statiche che dinamiche facendo attenzione che gli indirizzi statici sano esclusi dal pool di indirizzi dinamici Solo una parte degli indirizzi della rete possono essere tradotti attraverso il NAT configurando una access-list che include l'insieme di host/reti che richiedono la traduzione Si possono mappare su un unico indirizzo pubblico attraverso il PAT al massimo fino a 65535 indirizzi Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 77 Attacchi alla rete Il rischio di essere in Internet Molti protocolli della suite TCP/IP compresi i servizi di rete che su di essi si basano, presentano delle debolezze di progetto, oltreché dei bachi non intenzionali Queste debolezze possono essere sfruttate per guadagnare in modo fraudolento l’accesso alle risorse di una rete protetta Non raramente e’ possibile guadagnare privilegi di amministrazione su alcuni host incustoditi, che possono essere usati successivamente come testa di ponte verso altri elaboratori Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 78 Attacchi alla rete Le cause di queste debolezze sono: Software progettato e realizzato senza criteri di sicurezza Software in cui l’aspetto security rappresenta un add-on alla fine della realizzazione Troppi programmi sono eseguiti con i privilegi di sistema I programmatori non si avvalgono dello strato di sistema operativo progettato per gestire gli aspetti relativi alla sicurezza I protocolli Internet essendo stati realizzati in un contesto aperto, dove l’accento era posto sull’efficienza e la facilita’ di comunicazione, mostrano ora tutte le lacune dovute a questo approccio progettuale Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 79 Attacchi alla rete Gli attacchi piu’comuni: Password eavesdropping, sniffing Attacchi di tipo IP spoofing Man-in-the-middle, Hijacking Attacchi di tipo Denial of Service Attacchi di tipo data driven “Social Engineering” Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 80 Vulnerabilità Errori nelle configurazioni Errori nel codice Errori umani Caratteristiche intrinseche dei sistemi UNICAM, 28 febbraio 2007 Maria Laura Maggiulli - [email protected] 81 Incidente di sicurezza Azione di attacco che raggiunge i propri scopi sfruttando le vulnerabilità di un sistema di protezione Esempi: • Impersonation • Spoofing: masquerading, session hijacking, manin-the-middle • Reply • Modifica del messaggio • Denial of Service: flooding, DDos, Smurphing, ping of death, syn flood • Trapdoor • Cavallo di Troia • Buffer overflow UNICAM, 28 febbraio 2007 Maria Laura Maggiulli - [email protected] 82 Anatomia di un attacco UNICAM, 28 febbraio 2007 Maria Laura Maggiulli - [email protected] 83 Caratterizzazione di un incidente di sicurezza UNICAM, 28 febbraio 2007 Maria Laura Maggiulli - [email protected] 84 Eavesdropping attack Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 Vulnerabili tutte le macchine connesse alla subnet Furto diretto di login, password, intera transazione Modifica real-time dei dati in transito M.L.Maggiulli ©2007 85 Spoofing Il termine spoofing indica la generazione del traffico falsificando l'indirizzo mittente Arp spoofing IP spoofing Mail spoofing Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 86 ARP spoofing Consiste nella creazione di una falsa associazione fra il MAC address di una scheda ethernet ed un indirizzo IP Falsificando una risposta ad una richiesta Arp si puo' indurre un sistema ad inviare ad un altro sistema i pacchetti IP destinati ad un altro Utilizzabile solo su una rete locale, permette attacchi man-in-the-middle, aggira la protezione offerta dagli switch Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 87 IP Spoofing La falsificazione di un indirizzo mittente server per: • Approfittare dei diritti di un altro sistema, se legati ad indirizzi IP • Effettuare attacchi facendo sembrare che provengano da altro indirizzo Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 88 IP spoofing Casi in cui è particolarmente efficace: • l'attaccante si trova tra mittente e destinatario e vuole inserire pacchetti in una comunicazione esistente • i pacchetti di risposta non sono necessari per completare l'attacco (es.traffico di alcuni servizi UDP, in cui per riuscire ad inviare i comandi non è necessario stabilire una connessione) • si desidera generare traffico senza essere intercettati (attacchi DoS) • Si desidera generare “rumore” con pacchetti provenienti da piu' origini per rendere difficile il riconoscimento (es. scanning come nmap) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 89 IP Spoofing Attraverso il driver di rete e’ possibile costruire un datagram IP falsificando il source IP address E’ indispensabile intervenire a livello di router (ad esempio in Cisco con il comando no ip source route) e rafforzare l’autenticazione (firewall) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 90 DoS: Smurphing ICMP Echo Request (lo spoofed source address e’ quello della vittima) inviato all’IP broadcast address ICMP Echo Reply Internet Attaccante Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 R M.L.Maggiulli ©2007 Vittima 91 Connection Hijacking Popolare attacco locale che si applica alle connessioni TCP/IP Dirottamento, lettura e modifica runtime dei dati trasmessi durante una sessione TCP Rimedi • Le one-time-password sono inutili • L’unica soluzione e’ un canale di comunicazione • cifrato Questo attacco non si e’ ancora largamente diffuso Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 92 Connection Hijacking Hijacking: fase 1 User host User destination L’hacker e’ situato tra due network 1.1 L’utente fa login su una macchina remota attraverso il network 1.2 L’hacker osserva il login ed inizia a memorizzare il sequence number dei pacchetti Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 93 Connection Hijacking Hijacking: fase 2 User host User destination L’hacker e’ situato fra due network 2.1 L’hacker fa Denial of Service sulla macchina dell’utente 2.2 La sessione termine in maniera unilaterale 2.3 L’utente vede la propria sessione terminare senza accorgersi di quello accadendo Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 94 Connection Hijacking Hijacking: fase 3 User host User destination L’hacker e’ situato fra due network 3 L’hacker continua a lavorare all’interno della sessione dell’utente Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 95 Data Driven Attacks Sono difficili da individuare I firewall consentono in minima parte di bloccarli la restrizione dei servizi disponibili e dei file che gli utenti possono scaricare dalla rete possono ridurre il potenziale rischio di attacco l’educazione degli utenti a non eseguire senza alcuna accortezza ciò che scaricano dalla rete risulta attualmente l’unica soluzione al problema Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 96 Data Driven Attacks Esempio 1: L’hacker invia ad un utente tramite e-mail un file postscript contente operazioni su file L’utente visualizza sulla propria workstation il file postscript L’interprete esegue le operazioni contenute nel file che aggiungono una entry nel file .rhosts L’hacker esegue un rlogin sulla macchina dell’utente Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 97 Data Driven Attacks Esempio 2: L’utente riceve per posta elettronica un documento word da un collega L’utente apre il file che, oltre a contenere i dati, contiene delle macro, segmenti di codice eseguibile che generalmente hanno pieno accesso alle risorse del PC le macro cancellano importanti file di sistema sulla macchina dell'utente Le macro, inoltre, si insediano in altri file word presenti sul disco.. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 98 Denial of Service Attacks Finalita’: interruzione di “serviceability” Difficili da individuare e sempre in congiunzione con IP spoofing Sono generalmente progettati in maniera distribuita (distribuited denial of service DDoS): l’attaccante si avvale di host inconsapevoli conquistati in precedenza che vengono pilotati da remoto contro la vittima Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 99 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 100 Smurfing - Fraggle attaccante broadcast echo request Indirizzo sorgente falsificato (spoofing) come indirizzo della vittima rete amplificante (intermediario) vittima echo replies ricevuti dalla vittima in ragione delle risposte ai pacchetti di broadcast inviati dall’indirizzo della vittima a tutti i componenti della rete dell’intermediario Smurfing - Fraggle L’aggressore invia flussi di traffico verso indirizzi di broadcast attribuendosi come indirizzo sorgente quello della vittima. Se i router sulle reti di destinazione propagano i broadcast IP al livello 2 tutti gli host su tali reti risponderanno all’indirizzo falsificato con un echo-reply generando a ritroso un flusso di traffico pari a quello entrante moltiplicato per il loro numero !blocca il traffico esplicitamente destinato a indirizzi di broadcast access-list 110 deny ip any 0.0.0.255 255.255.255.0 access-list 110 deny ip any 0.0.0.0 255.255.255.0 access-list 110 permit ip any any ! Su tutte le interfacce broadcast-capable disabilita la propagazione dei directed-broadcast a livello 2 - tale opzione e’ il default a partire da IOS 12.0 interface Ethernet0/0 no ip directed-broadcast Smurfing - Fraggle Espressioni di filtraggio tcpdump: Broadcast network.255: Broadcast network.0 : ip and ip[19] = 0xff ip and ip[19] = 0x00 00:00:05.327 00:00:05.342 00:00:14.154 00:00:14.171 spoofed.target.com spoofed.target.com spoofed.target.com spoofed.target.com > > > > 192.168.15.255: 192.168.1.255: 192.168.15.255: 192.168.1.255: 05:20:48.261 05:20:48.263 05:21:35.792 05:21:35.819 spoofed.target.com spoofed.target.com spoofed.target.com spoofed.target.com > > > > 192.168.0.0: 255.255.255.255: 192.168.0.0: 255.255.255.255: icmp: icmp: icmp: icmp: icmp: icmp: icmp: icmp: echo echo echo echo echo echo echo echo request request request request request request request request Smurfing usa per gli attacchi l’ICMP echo request/reply Fraggle usa UDP echo request/reply Landing Il “land” o TCP loopback DoS è basato sull’invio di TCP SYN con indirizzo e porta sorgente falsificati e impostati identici a indirizzo e porta di destinazione. Questo può causare per release IOS meno recenti il blocco totale del router L’applicazione di una regola/ACL di filtraggio anti-spoofing previene Completamente a possibilità di tali attacchi dall’esterno: access-list 110 deny ip 192.4.1.0 0.255.255.255 any Per un’attacco in corso dall’interno l’unica possibilità è il filtraggio diretto dei Pacchetti che caratterizzano l’attacco access-list 110 deny ip host 192.4.1.1 host 192.4.1.1 access-list 110 permit ip any any Landing Caratterizzazione: •IP sorgente = IP destinazione (sorgente spoofed) •port sorgente = port destinazione •Pacchetti TCP packet con il SYN flag settato •Port aperta sull’host target Filtri tcpdump ip[12:4] = ip[16:4] Rileva i pacchetti con indirizzo sorgente e di destinazione uguali ip[12:2] = ip[16:2] Rileva i pacchetti con indirizzi di network sorgente e destinazione uguali 10:56:32.395383 gamma1.victim.net.139 > gamma1.victim.net.139: S 10:56:35.145383 gamma1.victim.net.139 > gamma1.victim.net.139: S 10:56:36.265383 gamma1.victim.net.139 > gamma1.victim.net.139: S Connessione TCP Per stabilire una connessione il TCP usa il three-way handshake Events at sender site Network Messages Events at receiver site Send SYN seq=x Receive SYN + ACK segment Send ACK y+1 Receive SYN segment send SYN seq=y, ACK x+1 Receive ACK segment Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 106 DoS Client Server SYN, SEQC Connessione TCP normale (1) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 107 DoS Client Server SYN, SEQC SYN, ACK, SEQC +1, SEQs Connessione TCP normale (2) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 108 DoS Client Server SYN, SEQC SYN, ACK, SEQC +1, SEQs +1 SYN, ACK, SEQC +1, SEQs Connessione TCP normale (3) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 109 DoS: TCP SYN Flooding All’inizio di una connessione TCP il server riceve un pacchetto SYN da un client ed invia un SYN ACK La connessione viene stabilita quando il client invia l’ACK in risposta al SYN ACK In attesa dell’ACK una coda di dimensioni finite tiene traccia sul server delle connessioni in via di completamento Generando pacchetti TCP di SYN aventi indirizzi IP casuali e’ possibile riempire tale coda sul server (disabilitandone i servizi TCP) il quale rimane in attesa dell’ACK in risposta al SYN ACK Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 110 ICMP Bombing Tecnica di flooding che prevede il congestionamento di linee e il sovraccarico elaborativo di routers e hosts attraverso l’invio massivo e indiscriminato di messaggi ICMP (in genere HOST-UNREACHABLE o NETWORK-UNREACHABLE, più raramente anche ECHO request) 01:00:38.861865 01:00:38.903375 01:00:39.925395 01:00:39.014343 01:00:39.035095 pinger.mappem.com pinger.mappem.com pinger.mappem.com pinger.mappem.com pinger.mappem.com > > > > > 192.168.6.1: 192.168.6.2: 192.168.6.1: 192.168.6.1: 192.168.6.2: icmp: icmp: icmp: icmp: icmp: echo echo echo echo echo request request request request request attaccante rete vittima echo request /echo reply ICMP Bombing – Filtraggio in banda E’ possibile prevenire o reagire ad attacchi basati sull’ICMP bombing limitando in banda i flussi di traffico offensivi (ICMP) tramite la QoS facility “Committed Access Rate” (CAR) integrata nell’ambito dei meccanismi CEF e “DISTRIBUTED CEF” Limita il solo traffico ICMP consentito access-list 102 permit icmp any any Applica il filtro in banda (8Kbps) sulla border interface interface Serial3/0/0 rate-limit input access-group 102 256000 8000 8000 conform-action transmit exceed-action drop Si può limitare solo il traffico relativo a ICMP ECHO e UNREACHABLE access-list 102 permit icmp any any echo access-list 102 permit icmp any any echo-reply access-list 102 permit icmp any any unreachable ICMP Bombing – Traffic shaping Il Generic Traffic Shaping (GTS) è un meccanismo di packet filtering di tipo token-bucket che permette di imporre a un flusso di traffico IP un throughput massimo inferiore a quello nominale relativo all’interfaccia del router attraverso cui avviene la trasmissione. Tale meccanismo può essere utilizzato per prevenire DoS di flooding predimensionando opportunamente la banda riservata al traffico sospetto access-list 102 permit icmp any any Al traffico ICMP non va garantito più di 1Mb interface Serial0 traffic-shape group 101 1000000 125000 125000 Anche l’uso del Weighted Fair Queueing si rivela generalmente piuttosto efficace per migliorare la tolleranza ai flooding interface Serial 3/0 ip unnumbered Ethernet 0/0 fair-queue 64 Ping of Death Negli anni passati molte implementazioni di TCP/IP non erano in grado di gestire correttamente pacchetti ICMP echo request di grandi dimensioni, con il risultato che l'invio di un tale pacchetto ping bloccava completamente il sistema Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 114 Ping o’ Death Internet construisce I frammenti attaccante assembla I frammenti buffer 65535 bytes Riceve i frammenti vittima La taglia dell’ ultimo frammento causa overflow Ping o’ Death Filtri tcpdump: icmp and (ip[6:1] & 0x20 !=0)and (ip[6:2] & 0x1fff = 0) 12:43:58.431 big.pinger.org > www.mynetwork.net: icmp: echo request 12:43:58.431 big.pinger.org > www.mynetwork.net: 12:43:58.431 big.pinger.org > www.mynetwork.net: ... 12:43:58.491 big.pinger.org > www.mynetwork.net: 12:43:58.491 big.pinger.org > www.mynetwork.net: 12:43:58.491 big.pinger.org > www.mynetwork.net: (frag 4321:380@0+) (frag 4321:380@2656+) (frag 4321:380@760+) (frag 4321:380@63080+) (frag 4321:380@64216+) (frag 4321:380@65360) L’aggressore invia un pacchetto ICMP ping più grande della massima taglia consentita per i pacchetti IP: 65535 bytes (380 + 65360 = 65740). Caratterizzazione dell’attacco: • pacchetti ICMP con il flag MF settato e il campo fragment-offset a zero • la dimensione totale dei pacchetti riassemblati supera 65535 bytes Contromisure relative ai Denial of Service Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 117 DoS: TCP SYN Flooding Network Messages Attacker Server SYN Ignored queue full Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 118 TCP SYN Flooding Il SYN flooding è una tecnica di DoS caratterizzata dall’apertura di un elevato numero di connessioni da indirizzi diversi, ovviamente falsificati, verso la vittima, curando di evitare l’ACK di chiusura del TCP three way handshake al fine di saturarne la coda di connessione SYN origine (IP spoofed) 04:37:19 04:37:19 04:37:19 04:37:19 04:37:19 04:37:19 04:37:19 X 10.10.10.13.41508 10.10.10.14.41508 10.10.10.15.41508 10.10.10.16.41508 10.10.10.17.41508 10.10.10.18.41508 10.10.10.19.41508 SYN - ACK > > > > > > > target.23: target.23: target.23: target.23: target.23: target.23: target.23: S S S S S S S vittima (blocco connessioni) 3935335593:3935335593(0) 3935335593:3935335593(0) 3935335593:3935335593(0) 3935335593:3935335593(0) 3935335593:3935335593(0) 3935335593:3935335593(0) 3935335593:3935335593(0) L’origine dell’attacco viene fatta corrispondere a un indirizzo inesistente in modo che la vittima non riceverà mai a ritroso gli ACK-SYN-ACK generati a fronte dei SYN Diagnostic Port DoS Espressione di filtraggio per tcpdump: udp and ( ((port 7) and (port 13)) or ((port 7) and (port 19)) or ((port 7) and (port 37)) or ((port 13) and (port 19)) or((port 13) and (port 37)) or ((port 19) and (port 37)) or ((src port 7) and (dst port 7)) or ((src port 13) and (dst port 13)) or((src port 19) and (dst port 19)) or ((src port 37) and (dst port 37)) ) Un singolo pacchetto avvia l’oscillazione creando il loop infinito 08:08:16.155354 spoofed.target.net.echo > 172.31.203.17.chargen: udp Per ottenere un effetto amplificato di ricorre a diversi stream di pacchetti 08:08:16.155354 08:21:48.891451 08:25:12.968929 08:42:22.605428 08:47:21.450708 08:51:27.491458 08:53:13.530992 spoofed.target.net.echo spoofed.target.net.echo spoofed.target.net.echo spoofed.target.net.echo spoofed.target.net.echo spoofed.target.net.echo spoofed.target.net.echo > > > > > > > 172.31.203.17.chargen: udp 192.168.14.50.chargen: udp 192.168.102.3.chargen: udp 192.168.18.28.chargen: udp 172.31.130.93.chargen: udp 172.31.153.78.chargen: udp 172.31.46.49.chargen: udp Diagnostic Port DoS L’invio di elevate quantità di traffico TCP o UDP sulle porte di diagnostica del router (echo, discard, chargen, daytime) può avere un notevole impatto sia sulla rete che sul carico elaborativo del router stesso, fino a degradarne le prestazioni o causarne, in condizioni estreme il blocco ! E’ consigliabile disabilitare a livello di IOS tutti i servizi “diagnostic port” no service udp-small-servers no service tcp-small-servers Servizi abilitati udp-small-servers: echo, discard, chargen tcp-small-servers: echo, chargen, discard, daytime per default sulle release IOS < 12.0 ! Per proteggere anche gli host interni va bloccato tutto il traffico verso i ! servizi “diagnostic port” access-list access-list access-list access-list 110 110 110 110 deny deny deny deny udp udp udp udp any any any any 172.16.0.0 172.16.0.0 172.16.0.0 172.16.0.0 0.0.255.255 0.0.255.255 0.0.255.255 0.0.255.255 eq eq eq eq 7 13 19 37 Diagnostic Port DoS nome port number descrizione del servizio echo 7/udp 7/tcp il server restituisce in echo a ritroso quanto inviato dal client discard 9/udp 9/tcp il server scarta in modo silente quanto inviato dal client daytime 13/udp 13/tcp il server restituisce ora e data in formato leggibile chargen 19/udp 19/tcp il server risponde con un datagramma contenente una stringa di caratteri ascii il server invia uno stream continuo di caratteri finchè la connessione non viene terminata dal client 37/udp 37/tcp il server restituisce ora e data in formato binario a 32 bit time Distributed Denial of Service Il Client controlla E attiva l’attacco Gli Handler sono host compromessi che Controllano gli agents Schermando I clients Gli Agents sono host compromessi che hanno il compito di realizzare effettivamente gli attacchi Distributed Denial of Service Le fasi e la dinamica di un DDoS 3. Scansione di decine di migliaia di hosts per l’individuazione di vulnerabilità note e sfruttabili 5. Exploit delle vulnerabilità a scopo di compromissione degli host conquistandone l’accesso 7. Installazione dei tools per la realizzazione del DDoS 9. Sfruttamento degli hosts conquistati come base di partenza per ulteriori scansioni e compromissioni reiterando il punto 3 11. Una volta installati i DDoS tools su un numero sufficiente di hosts si procede all’avvio dell’attacco attivando handlers e agents a partire da un client remoto Distributed Denial of Service Caratterizzazione e tipologie Esiste un certo numero di DDoS tools caratterizzati dalle tecniche di distribuzione dell’attacco fra clients, agent, handlers, dalle porte di default (che possono comunque variare) e dai meccanismi usati per la loro comunicazione Trinoo 1524 tcp 27665 tcp 27444 udp 31335 udp TFN ICMP ECHO/ICMP ECHO REPLY Stacheldraht 16660 tcp 65000 tcp ICMP ECHO/ICMP ECHO REPLY TFN2K Specificata a runtime o scelta random come combinazione di pacchetti UDP, ICMP and TCP Tutte le tecniche in questione realizzano replicatamente attacchi DoS classici (ICMP Bombing, SYN-Flood, Smurfing etc) Distributed Denial of Service Tecniche di difesa e contromisure Abilitazione di CEF e Unicast Reverse path Forwarding ip verify unicast reverse-path - Applicazione dei filtri anti-spoofing in ingresso e in uscita access-list access-list access-list access-list 110 110 111 111 deny ip 165.21.0.0 0.0.255.255 any log permit ip any any permit ip 165.21.0.0 0.0.255.255 any deny ip any any log - Limitazione in banda dei flussi di traffico ICMP e relativi ai SYN access-list 102 permit icmp any any access-list 103 deny tcp any any established access-list 103 permit tcp any any interface Serial3/0/0 rate-limit input access-group 102 256000 8000 8000 conform-action transmit exceed-action drop rate-limit input access-group 103 256000 8000 8000 conform-action transmit exceed-action drop Caratterizzazione DoS via ACL In assenza di un’analizzatore di protocollo o di uno sniffer è ugualmente possibile individuare e caratterizzare i principali attacchi di tipo DoS in corso attraverso l’analisi dei “firing counters” di un ACL “di servizio” opportunamente costruita allo scopo: access-list access-list access-list access-list access-list access-list access-list 169 169 169 169 169 169 169 permit permit permit permit permit permit permit icmp any any echo icmp any any echo-reply log-input udp any any eq echo udp any eq echo any tcp any any established tcp any any ip any any # show access-list 169 Extended IP access list 169 permit icmp any any echo (2 matches) permit icmp any any echo-reply (21374 matches) permit udp any any eq echo permit udp any eq echo any permit tcp any any established (150 matches) permit tcp any any (15 matches) permit ip any any (45 matches) Caratterizzazione DoS via ACL • Le ACL vanno predisposte quanto più possibile prossime all’obiettivo dell’attacco Caratterizzazione DoS via ACL Smurfing: Vittima Il numero di echo-reply ricevuti è elevatissimo rispetto a quello dei request # show access-list 169 … permit icmp any any echo (2145 matches) permit icmp any any echo-reply (213746421 matches) … Gli indirizzi sorgente degli echo reply sono raggruppabili in un insieme limitato di origini che individuano gli amplificatori o “reflectors” # show log %SEC-6-IPACCESSLOGDP: list 169 denied (Serial0 *HDLC*) -> 16.2.3.7 (0/0), 1 %SEC-6-IPACCESSLOGDP: list 169 denied (Serial0 *HDLC*) -> 16.2.3.7 (0/0), 1 %SEC-6-IPACCESSLOGDP: list 169 denied (Serial0 *HDLC*) -> 16.2.3.7 (0/0), 1 %SEC-6-IPACCESSLOGDP: list 169 denied (Serial0 *HDLC*) -> 16.2.3.7 (0/0), 1 icmp 192.168.45.142 packet icmp 192.168.45.142 packet icmp 192.168.212.72 packet icmp 192.168.212.72 packet Caratterizzazione DoS via ACL Smurfing: Amplificatore Il numero di echo-request ricevuti è elevatissimo rispetto a quello dei reply # show access-list 169 permit icmp any any echo (214576534 matches) permit icmp any any echo-reply (4642 matches) Gli indirizzi di destinazione degli echo request individuano dei broadcast diretti ed in genere riportano come sorgente sempre lo stesso indirizzo # show log %SEC-6-IPACCESSLOGDP: list 169 (Serial0 *HDLC*) -> 16.2.3.255 %SEC-6-IPACCESSLOGDP: list 169 (Serial0 *HDLC*) -> 16.2.3.255 denied (0/0), denied (0/0), icmp 192.168.45.142 1 packet icmp 192.168.45.142 1 packet Si riscontra un elevato numero di broadcast sulla LAN interna # show int fast 4/0/0 FastEthernet4/0/0 is up, line protocol is up ... 442344667 packets input, 3565139278 bytes, 0 no buffer Received 1247787654 broadcasts, 0 runts, 0 giants, … Caratterizzazione DoS via ACL Fraggle: Vittima Il numero di udp echo-reply ricevuti è elevatissimo rispetto a quello dei request # show access-list 169 … permit udp any any eq echo (9845 matches) permit udp any eq echo any (1374421 matches) … Gli indirizzi sorgente degli echo reply sono raggruppabili in un insieme limitato di origini che individuano gli amplificatori o “reflectors” # show log %SEC-6-IPACCESSLOGDP: list 169 denied (Serial0 *HDLC*) -> 16.2.3.7 (0/0), 1 %SEC-6-IPACCESSLOGDP: list 169 denied (Serial0 *HDLC*) -> 16.2.3.7 (0/0), 1 %SEC-6-IPACCESSLOGDP: list 169 denied (Serial0 *HDLC*) -> 16.2.3.7 (0/0), 1 %SEC-6-IPACCESSLOGDP: list 169 denied (Serial0 *HDLC*) -> 16.2.3.7 (0/0), 1 udp 192.168.45.142 packet udp 192.168.45.142 packet udp 192.168.212.72 packet udp 192.168.212.72 packet Caratterizzazione DoS via ACL Fraggle: Amplificatore Il numero di udp echo-request ricevuti è elevatissimo rispetto a quello dei reply # show access-list 169 permit udp any any eq echo (45653 matches) permit udp any eq echo any (64 matches) Gli indirizzi di destinazione degli echo request individuano dei broadcast diretti ed in genere riportano come sorgente sempre lo stesso indirizzo # show log %SEC-6-IPACCESSLOGDP: list 169 (Serial0 *HDLC*) -> 10.2.3.255 %SEC-6-IPACCESSLOGDP: list 169 (Serial0 *HDLC*) -> 10.2.3.255 denied (0/0), denied (0/0), udp 192.168.45.142 1 packet udp 192.168.45.142 1 packet Si riscontra un elevato numero di broadcast sulla LAN interna # show ip traffic IP statistics: … Bcast: 1147598643 received, 65765 sent Mcast: 188967 received, 459190 sent Caratterizzazione DoS via ACL SYN Flood Il numero di pacchetti relativi alla fase di 3-way handshake (seconda linea) supera abbondantemente quello di pacchetti su connessioni già stabilite # show access-list 169 … permit tcp any any established (150 matches) [socket stabilite] permit tcp any any (3654 matches) [socket in syn] … È inoltre possibile constatare dall’output delcomando show log la presenza di indirizzi sorgente non validi, oggetto di spoofing. Ping Flood Il numero di echo-request e reply ricevuti è elevato con i request che in genere superano i reply. Gli indirizzi sorgente non sono oggetto di spoofing. # show access-list 169 … permit icmp any any echo (214576534 matches) permit icmp any any echo-reply (4642 matches) … Caratterizzazione DoS via Netflow • Tutti i dati di accounting (flussi di traffico, protocolli etc.) possono essere raccolti ed inviati periodicamente da ciascun router a un apposito data-collector per successive analisi • Abilitazione Netflow ip flow-export version 5 origin-as ip flow-export destination x.x.x.x interface xy ip route-cache flow Individuazione DoS via netflow E’ possibile individuare la presenza e gli estremi di un DoS in atto attraverso l’analisi della netflow cache riscontrando flussi anomali di traffico che si discostano in maniera evidente dal modello di baseline #show ip cache flow … SrcIf SrcIPaddress Fa4/0/0 192.132.34.17 Fa4/0/0 192.132.34.17 Fa4/0/0 192.133.28.1 Fa4/0/0 192.132.34.17 Fa4/0/0 143.225.231.7 Fa4/0/0 192.132.34.17 Fa4/0/0 192.132.34.17 Fa4/0/0 192.133.28.7 Fa4/0/0 143.225.209.72 Fa4/0/0 192.133.28.7 Fa4/0/0 192.133.28.1 Se6/7 156.14.1.122 Fa4/0/0 192.132.34.17 Fa4/0/0 192.132.34.17 … Origine DstIf AT1/0/0.1 AT1/0/0.1 Fa4/0/0 AT1/0/0.1 AT1/0/0.1 AT1/0/0.1 AT1/0/0.1 AT1/0/0.1 AT1/0/0.1 AT1/0/0.1 AT1/0/0.1 AT1/0/0.1 AT1/0/0.1 AT1/0/0.1 DstIPaddress 148.240.104.176 63.34.210.22 143.225.219.187 216.207.62.22 143.225.255.255 148.240.104.176 148.240.104.176 164.124.101.44 209.178.128.121 192.5.5.242 198.41.0.4 130.186.1.53 61.159.200.203 61.159.200.203 Destinazione Pr 06 06 11 06 11 06 06 11 01 11 11 11 06 06 SrcP 080C 0AEB 0035 0FD2 007F 0015 0015 0035 0000 0035 0444 0035 0553 052C DstP 1388 0666 9F37 0578 007D 1381 1382 0035 0000 0682 0035 0035 042F 0428 Pkts 1 15K 1 7195 1 13 12 2 561K 1 1 1 75 12K Traffico Diagnostic Port DoS attaccante spoofing dell’idirizzo origine, Eventualmente un broadcast intermediario chargen port 19 echo port 7 vittima Congestione rete e CPU TCP SYN Flooding – Filtraggio in banda E’ possibile reagire attivamente durante un attacco di tipo “SYN flooding” per ridurne drasticamente l’impatto, limitando in banda il flusso di traffico offensivo tramite la QoS facility “Committed Access Rate” (CAR) integrata nell’ambito dei meccanismi CEF e “DISTRIBUTED CEF” Non influenzare le sessioni TCP già completamente stabilite access-list 103 deny tcp any host 10.0.0.1 established Limita in banda tutto il restante traffico (le sessioni in SYN) access-list 103 permit tcp any host 10.0.0.1 Applica il filtro in banda (8Kbps) sulla border interface interface Serial3/0/0 rate-limit input access-group 103 8000 8000 8000 conform-action transmit exceed-action drop TCP SYN Flooding – TCP Intercept Disponibile in IOS 11.2(4)F, 11.3 e successive, previene i SYN-flood intercettando e validando, in modalità “proxy” le richieste di connessione TCP verso gli hosts, definiti tramite ACL, aprendo una semiconnessione col client successivamente estesa al server in caso di successo ip ip ip ip ip tcp tcp tcp tcp tcp intercept intercept intercept intercept intercept list 100 connection-timeout 60 watch-timeout 10 one-minute low 1500 one-minute high 6000 access-list 100 permit tcp any x.x.x.0 0.0.0.255 TCP SYN Flooding TCP Local Address Remote Address State -------------------- -------------------- ------*.* *.* IDLE *.sunrpc *.* LISTEN *.ftp *.* LISTEN *.telnet *.* LISTEN *.finger *.* LISTEN target.telnet 10.10.10.11.41508 SYN_RCVD target.telnet 10.10.10.12.41508 SYN_RCVD target.telnet 10.10.10.13.41508 SYN_RCVD target.telnet 10.10.10.14.41508 SYN_RCVD target.telnet 10.10.10.10.41508 SYN_RCVD target.telnet 10.10.10.15.41508 SYN_RCVD target.telnet 10.10.10.16.41508 SYN_RCVD target.telnet 10.10.10.17.41508 SYN_RCVD target.telnet 10.10.10.18.41508 SYN_RCVD target.telnet 10.10.10.20.41508 SYN_RCVD *.* *.* IDLE Output di netstat -a sull’host vittima Una volta che la specifica coda al livello di TCP stack è completamente saturata dalle connessioni in fase di setup qualsiasi apertura di un TCP socket verso la vittima diventa impossibile Analisi dei rischi associati ad un'intrusione Downtime System manager’s time Clean-up costs Immagine Disclosure of trade secrets, cartelle cliniche, informazioni finanziarie Rischio troppo elevato: no Internet connection Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 140 Firewall e Internet access I meccanismi che controllano l’accesso ad Internet trattano il problema di schermare una particolare rete o una organizzazione da comunicazioni non desiderate tali meccanismi prevenire: • l’accesso alle informazioni • la modifica delle informazioni • l’alterazione delle comunicazioni in una intranet Il controllo di accesso richiede una attenta combinazione di restrizioni sulla topologia della rete, gestione delle informazioni, e filtri di pacchetto (packet filters) Una singola tecnica conosciuta come Internet Firewall e’ la base per il controllo dell’accesso ad Internet Il firewall collega una intranet a reti esterne, definendo due regioni: inside e outside Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 141 Firewall Firewall Internet Rete aziendale OUTSIDE INSIDE Policy Un firewall puo’ essere una workstation, un router o una combinazione di questi elementi Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 142 Multiple connection and weakest links Una intranet di una organizzazione può avere più connessioni esterne: l’organizzazione deve fornire un perimetro di sicurezza per installare un firewall ad ogni connessione esterna Per garantire che il perimetro sia effettivo i firewall devono essere configurati per usare le stesse restrizioni di accesso, per non rendere vulnerabile l’accesso alla rete Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 143 Principi guida per una security policy basata su firewall Least privilege • privilegi minimi per ogni componente Defense in depth • elevato livello di sicurezza per ogni componente Choke point • Il bastion host come unico punto di contatto Fail-safe stance • Cio’ che non e’ esplicitamente permesso e’ negato Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 144 Firewall design policy Quali utenti? Quali host? Quali servizi? Quali metodi di autenticazione? Controllo di accessi verso l’esterno? Quali orari di collegamento? Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 145 Firewall: componenti I firewall attuali sono formati da uno o piu’ componenti funzionali, accettando in diversi casi l’una piuttosto che l’altra • PACKET FILTERING • APPLICATION GATEWAY (PROXY SERVER) • STATEFUL INSPECTION Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 146 Firewall Firewall Auth. module Application Gateway Stack TCP/IP Application (FTP, HTTP..) Transport (TCP, UDP) Stateful Inspection Engine Packet Filters UNICAM AA 2006/2007 7 Application 6 Presentation 5 Session 4 Transport Internetwork (IP,ICMP) 3 Network Subnetwork 2 Data Link 1 Physical layers Politiche delle Reti e Sicurezza OSI M.L.Maggiulli ©2007 147 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 148 Packet Filtering Packet- filtering Internet IP TCP header header IP header Rules Payload ICMP message Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 Rete aziendale IP source Accept IP destination TCP/UDP source TCP/UDP destination ICMP message type M.L.Maggiulli ©2007 149 Packet filtering E’ normalmente implementato utilizzando i router Un packet filtering firewall analizza ogni pacchetto che lo attraversa decidendo se inoltrarlo o no in base a delle regole di filtro: le Access Control List (ACL) Il packet filter lavora al livello network: decide se inoltrare il pacchetto in base a: Indirizzo IP sorgente, Indirizzo IP destinazione Porta TCP/UDP sorgente, porta TCP/UDP destinazione Il Packet Filter non ha memoria di sessione (stateless): ogni pacchetto viene analizzato senza tenere conto di evetuali relazioni con i pacchetti precedenti Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 150 Access Control List Il traffico che attraversa il router e’ controllato da una Access Control List che permette di abilitare/ negare il flusso dei pacchetti, in funzione degli host/servizi interessati Per abilitare, ad esempio, la mail, un’ACL potrebbe avere il seguente formato: Type Src_IP Dst_IP Src_Port Dst_port Action tcp * 192.106.248.* * 25 permit * * 192.106.248.* * * deny Tutto quello che non e’ esplicitamente previsto, e’ negato Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 151 Uso delle ACL Alla ricezione di un pacchetto il packet filter: • scorre la lista di accesso dalla prima riga in ordine • • sequenziale se trova una riga che corrisponde all’indirizzo/protocollo/port del pacchetto scarta/accetta (deny/permit) il pacchetto se a fine lista non e’ stata trovata alcuna corrispondenza il pacchetto viene scartato; cioe’ ad ogni fine lista si considera una riga implicita del tipo: deny ip any any E’ essenziale l’ordine con cui sono scritte le righe della ACL Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 152 ACL:strategie di scrittura E’ possibile definire una ACL secondo due strategie: Default Deny: tutto cio’ che non viene esplicitamente permesso si considera negato • approccio piu’ sicuro • difficile da scrivere: la lista dei permessi potrebbe essere • lunga e’ facile creare ACL restrittive Default Permit: tutto cio’ che non viene esplicitamente negato, si considera permesso • facile da scrivere: basta negare i servizi a rischio • Rischiosa: posso dimenticare di negare qualcosa di importante per la sicurezza Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 153 Packet Filtering: Pro e Contro Pro • bassi costi di implementazione • Alto throughput • Trasparenza all’utente Contro • L’ACL puo’ diventare • • • • • Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 molto complessa No logging No user authentication No data Filtering IP Spoofing Visibilita’ della rete protetta M.L.Maggiulli ©2007 154 Proxy/Firewall I firewall individuabili come Application Level Gateways, Gateways sono spesso chiamati anche Proxy Firewall perche’ basati su Security Proxies, per ciascuno dei servizi che devono essere acceduti sulla rete protetta Un Proxy si comporta: • come un server per il client che vuole accedere ad un • servizio residente su una macchina della rete protetta come un client verso l’effettivo server di destinazione In nessun caso il client remoto puo’ connettersi verso il server di destinazione Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 155 Proxy Firewall External Server Internet 3 2 Proxy Proxy server Application Protocol Analysis Proxy client Application layer proxy service 4 1 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 Rete aziendale M.L.Maggiulli ©2007 156 Proxy Firewall:regole di filtro Le regole di filtro utilizzate da un Proxy Firewall al fine di inoltrare o scartare i pacchetti possono essere molto piu’ raffinate in quanto lavorando a livello applicativo, il firewall puo’ ispezionare, se il caso, anche il contenuto dei pacchetti Il proxy, al contrario del Packet Filter, e’ in grado di elaborare regole che richiedano l’autenticazione dell’utente che cerca di connettersi Normalmente i firewall applicativi svincolano l’amministratore dalla necessita’ di scrivere le regole di filtro secondo un ordine preciso: il software e’ in grado di applicarle comunque secondo una logica di sicurezza massima Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 157 Proxy Firewall: Pro e contro PRO: • la rete privata e’ invisibile (NAT) • Strong User Authentication • Full Logging • Real Time alarm and alert monitorin • Content Filtering Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 Contro: • Non trasparenza • Basse prestazioni • Non supportano ogni possibile servizio, ma soltanto quelli per cui esiste il relativo Security Proxy M.L.Maggiulli ©2007 158 Stateful Inspection Questo tipo di funzionalita’ cerca di mescolare i vantaggi delle funzionalita’ di packet filtering e di application gateway L’analisi dell’intestazione dl pacchetto che attraversa il firewall viene effettuata in modo centralizzato Se il motore di analisi, in seguito all’ispezione del pacchetto, rileva, in base alla security policy da implementare la necessita’ di autenticazione dell'utente, il controllo viene trasferito ad un motore di autenticazione Una volta effettuata l’autenticazione, i successivi pacchetti facenti parte della medesima sessione vengono considerati come autenticati, senza dover ulteriormente chiamare in causa il SW di autenticazione (approccio stateful) Trasparenza(come il packet filter) e Memoria di Sessione (come proxy) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 159 Stateful Inspection Firewall Client UDP SP=5678 DP=123 OK OK NOT OK Time Politiche delle Reti e Sicurezza Internal Network UNICAM AA 2006/2007 Server UDP SP=123 DP=5678 UDP SP=123 DP=6789 External Network M.L.Maggiulli ©2007 160 Firewall: architetture Le varie componenti di un firewall possono essere implementate: • su uno o piu’ apparati • in modo hardware e/o software La topologia del sistema incide sulla sua sicurezza complessiva Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 161 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 162 Architetture: screening router Protegge la rete interna attraverso tecniche di IP packet filtering Packet- filtering router Router Internet Rete aziendale Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 163 Architetture: screening router Pro: • • • • • economico (di solito gia’ si possiede l’apparato) non richiede la modifica delle applicazioni di rete nessun cambiamento nelle configurazioni dei sistemi puo’ essere fatto senza la conoscenza ed il permesso degli utenti e’ facile modificare la policy in modo rapido Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 Contro: • • • • • • • difficolta’ nella configurazione, testing e gestione delle ACL alcuni protocolli sono difficili da filtrare senza comprometterne la funzionalita’ no logging impossibilita’ di autenticazione dell’utente; tutti gli host della rete interna devono mantenere i loro meccanismi di autenticazione la sicurezza e’ concentrata su un solo punto i server interni dovranno essere dotati di sicurezza aggiuntiva la password di accesso ai router puo’ essere oggetto di attacco M.L.Maggiulli ©2007 164 Architetture: Dual- homed Calcolatore con due schede di rete con il routing e IP forwarding disabilitato Il router filtra tutto tranne cio’ che e’ diretto verso il proxy Soltanto i servizi per cui esiste un proxy service possono attraversare i firewall Internet Router Dual-homed gateway Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 Rete aziendale 165 Architetture: Dual- homed L’application gateway (bastion host) ha una sola interfaccia di rete Il router consente in ingresso solo il traffico verso il bastion host per i servizi proxy; la rete interna e’ anch’essa costretta ad usare il proxy Il traffico in uscita dalla rete protetta, cosi’ come quello in ingresso e’ consentito direttamente solo per quei servizi senza il corrispondente proxy Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 166 Architetture:Screened host FTP WWW Bastion Host Traffico permesso Internet Router Traffico bloccato Rete protetta Traffico permesso soloo per particolari servizi Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 167 Architetture:Screened subnet Screened Subnet SMTP DNS Bastion Host DMZ RouterA Internet RouterB Traffico permesso Traffico permesso Rete protetta Publi Servers Traffico bloccato Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 168 Problemi insoluti Il firewall non e’ una panacea: • Accesso ristretto ad alcuni servizi • Backdoors • Virus • Throughput • Single point of failure • Comunque alcune connessioni devono passare Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 169 Valutazione di un firewall Bisogna aver chiare le proprie esigenze poiche’ non esiste un firewall valido per qualunque situazione Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 170 La sicurezza dei sistemi Politiche delle Reti e Sicurezza Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 171 Sommario Tipi di attacchi e virus Le applicazioni WWW: • I protocolli SSL (Secure Socket Layer)/ TLS (Transation • Layer Secure) Aspetti di sicurezza nel commercio elettronico: lo standard SET Meccanismi di protezione S.O. Unix e Windows Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 172 Network security What is the concept of defense: the parrying of a bow. What is its characteristic feature: awaiting the bow Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 173 Network security Un problema di sicurezza per i sistemi in rete e’ il trapasso, ostile o non voluto da parte di utenti o software Il trapasso dell'utente puo’ prendere la forma di logon non autorizzato in una macchina o, nel caso di un utente autorizzato, l’acquisizione di privilegi o l’esecuzione di azioni oltre a quelle che sono state autorizzate Il trapasso del software puo’ prendere la forma di virus, worms o Trojan horse Tutti questi attacchi riguardano la network security e non solo perche’ l’ingresso in un sistema puo’ essere effettuato attraverso una rete;un virus e/o un Trojan horse puo’ essere introdotto anche tramite un dischetto mentre i worms sono un fenomeno unicamente di rete Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 174 Intruders Uno delle due minacce alla sicurezza piu’ conosciute e’ l’intruder (l’altro sono i virus), generalmente riferite come l’hacker o il cracker Sono stati definiti tre classi di intruder: • Masquerader: un individuo che non e’ autorizzato a • • usare il computer e che attraversa i controlli di accesso di un sistema per rilevare uno user account legittimo Misfeasor: Un utente legittimo che accede a dati, programmi, o risorse per cui tale accesso non e’ autorizzato, o che e’ autorizzato per tale accesso ma altera i suoi privilegi Clandestine user: Un individuo che che ottiene il controllo del supervisore del sistema e usa questo controllo per evadere l’auditing e i controlli di accesso o sopprimere la raccolta di audit Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 175 Intruders I sistemi di intrusion detection si basano sul fatto che il comportamento dell’intruso differisce da quello degli utenti legittimi in modi che possono essere quantificati Gli approcci possono essere di tipo statistico o rulebased Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 176 Minacce Software Malicious programs Si suddividono in due categorie: quelli che hanno bisogno di un programma ospite e quelli che sono indipendenti e possono essere schedulati e fatti girare direttamente da S.O. Si possono differenziare anche tra quelle minacce software che si replicano e quelle che non: i primi consistono in frammenti di programma (virus) virus o programmi indipendenti (worms, bacterium) bacterium che quando eseguiti, possono produrre uno o piu’ copie di essi stessi per essere attivati piu’ tardi nello stesso sistema o in altri sistemi; i secondi consistono di frammenti di programma che vengono attivati quando viene invocato un programma host ad eseguire una specifica funzione Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 177 Minacce Software Malicious programs: • Need host program • Trap doors • Logic Bombs • Trojan Horses • Viruses (replicate) • Independent • Bacteria (replicate) • Worms (replicate) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 178 Minacce Software Trap doors • Punto di ingresso segreto in un programma che permette a • • qualcuno che e’ a conoscenza della trap door di guadagnare l’accesso senza passare attraverso le usuali procedure di sicurezza Usate in modo legittimo da programmatori per fare il dubug ed il test dei programmi Il trap door e’ un codice che riconosce alcune sequenze di input o e’ attivato da alcune UserID o da una sequenza di eventi Logic bomb • Uno dei piu’ datati tipi di minacce software • Codice nascosto in alcuni programmi legittimi che viene impostato per esplodere quando alcune condizioni esistono (ad es. la presenza o l’assenza di alcuni files, un particolare giorno dell’anno, o un particolare utente che fa girare l’applicazione) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 179 Minacce Software Trojan Horses • E’ apparentemente un programma utile che contiene del codice nascosto che quando invocato esegue delle funzioni dannose o non desiderate • Possono essere utilizzati per eseguire delle funzioni che l’utente malizioso non puo’ eseguire direttamente (ad esempio invocare system call per modificare i diritti di accesso su un file system per danneggiarlo o cancellare alcuni files, oppure inserire del codice dannoso all’interno di un compilatore) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 180 Minacce Software Viruses • Sono programmi che possono infettare altri programmi • • • modificandoli; la modifica include una copia del programma virus che puo’ andare ad infettare altri programmi Un virus sfrutta le debolezze del sistema e contiene nel suo codice la “ricetta” per fare una copia perfetta di se stesso Un virus si attacca ad altri programmi e viene eseguito segretamente quando il programma host viene fatto girare Un virus tipico passa attraverso quattro stadi di vita: • fase dormiente • fase di propagazione • fase di triggering • fase di esecuzione Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 181 Minacce Software Tipi di virus: • Parassiti: forma piu’ tradizionale e comune; si attacca a file • • • • eseguibili e si replica su altri file eseguibili una volta che il programma host viene infettato memory-resident: risiede nella memoria principale come parte di un programma residente di sistema. Da quel punto in avanti, il virus infetta ogni programma che esegue Boot-sector: infetta il master boot record o il boot record e si diffonde quando un sistema viene fatto partire dal disco che contiene il virus Stealth: una forma di virus esplicitamente progettato per nascondersi dalla individuazione del software antivirus Polimorfico: un virus che si muta con ogni infezione, rendendo l’individuazione con la firma del virus impossibile Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 182 Minacce Software Worms • I programmi Worm usano le connessioni di rete per • diffondersi da sistema a sistema. Una volta attivi in un sistema un worm puo’ comportarsi come un virus, o batterio o puo’ impiantare programmi di trojan horse o fare ogni tipo di azioni distruttive Per replicare se stesso un worm puo’ usare una sorta di veicolo: • E-mail: un worm invia una copia di se stesso ad altri sistemi • Remote execution: un worm esegue una copia di se stesso • Politiche delle Reti e Sicurezza su un altro sistema Remote login: un worm si loga in un sistema remoto come un utente e usa comandi per copiare se stesso da un sistema all’altro UNICAM AA 2006/2007 M.L.Maggiulli ©2007 183 Minacce Software Bacteria • Sono programmi che non rovinano esplicitamente • alcun file; il loro solo proposito e’ quello di replicare essi stessi I Bacteria si riproducono in modo esponenziale, consumando la capacita’ del processore, memoria, spazio su disco, impedendo cosi’ gli utenti di accedere alle risorse del sistema Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 184 Web Security Grazie alla facilita’ di utilizzo dei web browser grafici, Internet sta sempre piu’ diventando un mezzo per il commercio elettronico Il Web presenta nuove sfide, non generalmente apprezzate nel contesto del computer and network security: • L’Internet ha due strade. Diversamente dagli ambienti di • pubblicazione, come pure i sistemi di pubblicazione elettronica che includono il teletext, voice response, fax-back, lil web e’ vulnerabile agli attacchi dei web server sulla Internet Il Web viene usato come un accesso altamente visibile per le informazioni sulle societa’ ed i relativi prodotti e come piattaforma per le transazioni commerciali. La reputazione puo’ essere rovinata e il denaro perso se i Web server vengono violati Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 185 Web Security • Sebbene i browser Web siano facili da usare, i Web server • • relativamente facili da configurare e gestire, e il contenuto facilmente producibile, il software sottostante risulta complesso e puo’ nascondere delle falle potenziali di sicurezza Un Web server, una volta violato, puo’ essere utilizzato come ponte di accesso al sistema informatico di una azienda o ente Gli utenti dei Web server normalmente non sono informati e/o preparati dei rischi di sicurezza che ci possono essere Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 186 Web Security Threats INTEGRITA’ Threats Consequences Countermeasures Modification of user data Trojan horse browser Modification of memory Modification of message in transit Loss of information Compromise of machine Vulnerability to all other threats Cryptographic checksums Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 187 Web Security Threats CONFIDENZIALITA’ Threats Consequences Countermeasures Eavesdropping on the net Theft of info from server Theft of data from client Info about network configuration Info about which client talks to server Loss of information Loss of privacy Encryption, Web proxies Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 188 Web Security Threats DENIAL OF SERVICE Threats Consequences Countermeasures Killing of user threads Flooding machine with bogus threats Filling up disk or memory Isolating machines by DNS attacks Disruptive Annoying Prevent user from getting work done Difficult to prevent Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 189 Web Security Threats AUTHENTICATION Threats Consequences Countermeasures Impersonation of legitimate users Data forgery (falsificazione) Misinterpretation of user Belief that false information is valid Cryptographic techniques Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 190 Web Traffic Security Approaches Vi sono un numero diverso di approcci che forniscono la sicurezza Web; essi sono simili nei servizi che forniscono e nei meccanismi che usano, ma differiscono nell’ambito di applicabilita’ e nel relativo livello nell’ambito della stack del protocol suite TCP/IP: l’IPsec: • Vantaggio: • IPsec e’ trasparente agli utenti finali e alle applicazioni e fornisce una soluzione general-purpose IPsec include una capacita’ di filtering in modo tale che solo il traffico selezionato avra’ bisogno dell’overhead dell’IPsec stesso Network Level Politiche delle Reti e Sicurezza HTTP FTP SMTP TCP IP/IPsec UNICAM AA 2006/2007 M.L.Maggiulli ©2007 191 Web Traffic Security Approaches SSL/TLS: • Soluzione general purpose per implementare la sicurezza sopra il • • • TCP TLS (Transport Layer Security) e’ lo standard Internet dello SSL (Secure Socket Layer) SSL/TLS puo’ far parte del protocol suite sottostante ed essere percio’ traparente alle applicazioni SSL puo’ essere embedded in package specifici; per es. sia Explorer che Netscape hanno implementato l’SSL nei loro browser e molti Web server hanno implementato il protocollo HTTP FTP SSL or TLS Transport Level Politiche delle Reti e Sicurezza SMTP TCP UNICAM AA 2006/2007 IPM.L.Maggiulli ©2007 192 Web Traffic Security Approaches Application specific security services • Embedded all’interno dell’applicazione • Il servizio puo’ essere definito per le necessita’ specifiche • • di una determinata applicazione Un importante esempio e’ il SET (Secure Electronic Transaction) Altri esempi sono: Kerberos, S/MIME, PGP PGP Application Level KERBEROS UDP S/MIME SMTP SET HTTP TCP IP Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 193 SET(Secure Electronic Transaction) SET e’ una specifica di open encryption e di sicurezza progettata per proteggere le transazioni di credito su Internet La versione corrente SETv1, e’ nata da una call for security standards da parte di MasterCard e Visa nel Febbraio 1996 Un vasto range di compagnie sono state coinvolrte nella specifica iniziale del SET: IBM, Microsoft, Netscape, RSA, Terisa, VeriSign Dal1998 sono stati rilasciati una serie di prodotti SETcompliant SET non e’ un sistema di pagamento ma un insieme di protocolli di sicurezza e formati che permettono agli utenti di usare in maniera sicura l’infrastruttura dei pagamenti a carta di credito in una rete aperta quale la Internet Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 194 SET SET fornisce tre servizi: Fornisce un canale di comunicazione sicura tra tutte le parti coinvolte in una transazione Fornisce fiducia attraverso l’uso di certificati X.509v3 Assicura la privacy perche’ l’informazione e’ solo disponibile a aprti in una transazione quando e dove necessario SET e’ una specifica complessa definita in tre libri pubblicati nel maggio 1997 di un totale di 971 pagine (contro le 71 del TLS) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 195 La sicurezza dei programmi Un “bug” del software puo’ essere un errore nell’interpretazione di un requisito, un errore di sintassi in un frammento di codice, o la causa nota del crash di un sistema Terminologia IEEE (IEEE 729) per descrivere i bug dei prodotti software Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 196 Terminologia IEEE 729 Quando un essere umano commette uno sbaglio nell’esecuzione di qualche attività riguardante il software, puo’ portare ad un errore (o fault) o una fase o una definizione non corretta in un programma (vista interna del sistema) Un malfunzionamento è una deviazione dal comportamento richiesto del sistema (vista esterna del sistema) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 197 Difetti e vulnerabilità Difetto: errore o malfunzionamento Vulnerabilità: classe di difetti Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 198 Tipi di difetti Errore di convalida (incompleta e incoerente) Errore di dominio Serializzazione e alias Autenticazione e identificazione inadeguate Violazione della condizione limite Altri errori logici sfruttabili Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 199 Errori di programma non nocivi Buffer overflow Mediazione incompleta Errori tempo di controllo/ tempo di utilizzo Combinazione di difetti di programma non nocivi Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 200 Le 10 principali vulnerabilità della sicurezza web Invalidated input Broken access control Broken authentication and session management Cross–site scripting (XSS) flaws Buffer overflows Injection flaws Improper error handling Insecure storage Denial of service Insecure configuration management Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 201 Invalidated input L’informazione da richieste web non viene validata prima di essere usata da una applicazione web Gli attaccanti possono usare queste falle per attaccare i componenti di backend dell’applicazione web attraverso url, stringhe di query, headers, cookies, form, manipolazione di campi nascosti Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 202 Come proteggersi I parametri devono essere validati in un formato specifico che definisce quale input è permesso Le specifiche positive definiscono: • Tipo di dato (stringa, intero, ..) • Character set permesso • Lunghezza massima e minima • Null permesso si o no • Se il parametro è richiesto o no • Se le duplicazioni sono permesse • Range numerico< • Specifici valori legali (enumerazione) • Specifici pattern (espressioni regolari) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 203 Web application firewall forniscono alcuni servizi di validazione dei parametri Affinchè sia effettivo, il firewall deve essere configurato con una stretta definizione di che cosa è valido per ogni parametro del sito (http request: url, forms, cookies, campi nascosti, querystrings e parametri) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 204 UNCASODAMANUALE: MICROSOFTIIS UNICODEEXPLOIT/ DOSAnACK Un attacco classico e molto diffuso è quello che sfrl1tta la vulnerabilità conosciuta comeM8 118 UnicodeExploit, tuttora pericolosa per l1na lunga serie di server Web Internet lnfopnation Server (118) 4 e IIS 5 a cui .non sono stati applicati gli interventi correttivi. Questa vulnerabilità si presta a essere utilizzata per poter lanciare programmi ostili su macchine che ospitano server Web. La maggior parte dei server Web 118 sono configurati con una struttura delle directory simile alla seguente: O:\Inetpub \scripts directory con permessi di esecuzione contenente gli script \wwwroot directory contenente il sito Web ospitato dal server Un noto attacco verso i server Web consiste nel tentare di attraversare l'albero delle directory, sfruttando la stringa ../.. per salire alla directory "padre ", con l'obiettivo di attivare l'esecuzione di un programma ostile, caricato in precedenza dall'attaccante. Ad esempio digitando nel browser il seguente indirizzo: http://www. unpatched_ser'Ver. com/. .lmiofile. txt si dovrebbe accedere al file O:\Inetpub\miofile.txt, situato sotto la root del sito Web (ossia in una zona del disco nella quale un navigato re non dovrebbe accedere). Questo accesso è possibile poiché la stringà ".." indica la djrectory parent sia in sistemi Windows sia in sistemi Unix. Questo attacco sfrutta una vulnerabilità scoperta diversi anni orsono e perciò non è più attuale in quanto tutti i programmi server Web ricercano ed eliminano le stringa ../.. prima di effettuare il parsing della URL (e, cioè, prima di analizzare l'URL per comprenderne il contenuto). Una variante dell'attacco usa la codifica Unicode dei caratteri della URL per eludere i controlli del programma server Web: il codice %50 corrisponde al carattere 1 e quindi una stringa di caratteri ..%50..%50 corrisponde nuovamente a ..1.. Anche queste sequenze di caratteri s~no oggi verificate dai server IIS durante il parsing e quindi l'attacco è prevenuto. E possibile sofisticare ulteriormente l'attacco, in modo da eludere i controlli, applicando la codifica Unicode due volte: % = %25 5 = %35 O = %43 Da cui: ../.. = ..%50.. = ..%25%35%43.. Questa doppia codifica inganna i controlli effettuati dal parser e permette a un intruso re di invocare comandi del sistema operativo DOS sulla macchina che ospita il pro- Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 205 gramma server Web. Questa intrusione è resa possibile per mezzo di URL che, attraverso il prompt di MSDos (cmd.exe richiamabile attraversando opportunamente l'albero delle directory), eseguono comandi singoli sul ~istema che ospita il server Web. In particolare occorre: "fingere" di trovarsi nella directory scripts/, per ottenere i permessi di esecuzione, http://www. upatched-,-server. com/scripts/ risalire di due directory nell'albero http://www. upatched_server.com/scripts/.. %25%35%43.. %25%35%43../ e accedere a Iwinnt/system32, http://www. upatched _server. com! scripts/.. %25%35%43.. %25%35%43. ./winnt/system32 dove è situato cmd.exe, http://www. upatched_server. com/scripts/.. %25%35%43.. %25%35%43. ./winnt/system 32/cmd.exe . Esso permette di eseguire comandi singoli se gli viene passato lo switch le. Per superare questo switch includiamo un carattere? che funge da delimitato re per i parametri da passare: http://www. upatched_server. com/scripts/.. %25%35%43. .%25%35%43. ./winnt/system 32/cmd.exe?/c È così possibile semplicemente aggiungere il comando da eseguire in coda alla URL costruita, con l'accortezza di usare il carattere + al posto degli spazi nella sintassi del comando (per assecondare ancora il comportamento del parser). Se si desidera, ad esempio, elencare i file contenuti nella directory scriptsl basta invocare l'URL seguente: http://www. upatched_server. com/scripts/.. %25%35%43.. %25%35%43. ./winnt/system 32/cmd.exe?/c+dir Per elencare i file contenuti nella directory C:I si deve invocare l'URL: http://www. upatched_server. com/scripts/.. %25%35%43.. %25%35%43. ./winnt/system 32/cmd. exe? /c+dir+c:/ Un possibile attacco di interruzione del servizio, DoS (Denial oJ Service), che. sfrutta questa semplice vulnerabilità consiste nel far eseguire al server Web molti comandi che determinano l'apertura di connessioni che non sono chiuse. Il comando comp confronta, ad esempio, due file alla ricerca di differenze. Comp gira in background in attesa di input e non termina automaticamente. Lanciando diverse istanze si satura il numero massimo di connessioni possibili per il sistema operativo, impedendo alle connessioni lecite di essere instaurate. Microsoft ha rilasciato la patch per questa vulnerabilità, reperibile all'indirizzo: Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 206 Controllo degli accessi e autorizzazioni I meccanismi di controllo degli accessi costituiscono un elemento di progettazione cruciale per la sicurezza di ogni applicazione. Una applicazione web deve proteggere sistemi e dati di front-end e back-end implementando le restrizioni di accesso riguardo a che cosa un utente puo’ fare, a quali risorse puo’ accedere, quali funzioni possono applicare sui dati Uno schema di controllo degli accessi deve proteggere dall’accesso non autorizzato (lettura, copia, modifica…) e limitare l’esecuzione di programmi “maliziosi” o di azioni non autorizzate di attaccanti che che sfruttano le dipendenze delle infrastrutture (ad es.server DNS) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 207 Controllo degli accessi e autorizzazioni Il controllo degli accessi di deve riferire anche al modo piu’ generale di controllare le risorse web attraverso parametri quali: • data di sistema • Indirizzo ip del client http • Il dominio del client http • Il tipo di cifratura che il client http puo’ supportare • Il numero di volte che l’utente si è autenticato nel • giorno Il possesso di di qualsiasi numero di token hardware/software o ogni altra variabile derivata che può essere estratta o calcolata facilmente Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 208 Passi preparatori al processo di progettazione di una applicazione web 1. 2. 3. 4. 5. 6. Quantificare il valore dell’informazione che deve essere protetta in termini di confidenzialità, sensibilità, classificazione, privacy e integrità riferita all’organizzazione come pure agli utenti individuali. Considerare il caso peggiore dal punto di perdita finanziaria.Progettare sofisticati sistemi di controllo degli accessi su dati di poco valore può essere improduttivo Determinare la relazione che gli owner e i creator dei dati hanno all’interno dell’applicazione web. Alcune applicazioni possono restringere tutte o qualche diritto di creazione o di ownership dei dati agli utenti di ammistrazione o di sistema predefinito. Specificare il processo di autorizzare o revocare i diritti di controllo di accesso, sia che sia un processo manuale, automantico su creazione o registrazione dell’utente o attraverso un tool amministrativo di front end Delineare il tipo di funzioni che dipendono dai ruoli dell’utente, che l’applicazione supporta. Cercare di determinare quali funzioni utente predefinite dovrebbero essere costruite all’interno dell’appliaczione web (es. logging in, visualizzare, modificare le informazioni, inviare una richiesta di help) o quali funzioni di amministrazione (modifica password, visualizzazione di qualsiasi dati utente, manutenzione dell’appliaczioane, vsualizzazione log…) Cercare di allinerare i meccanismi di controllo di accessi piu’ vicino alla politica di sicurezza dell’organizzazione (ore del girono accettabili per l’accesso ai dati, tipi di utenti autorizzati per effettuare determinate operazioni sui dati….) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 209 Security Guidelines Validate input and output Fail securely (closed) • Un meccanismo di sicurezza deve essere progettato che quando entra in stato di failure, si blocchi “chiuso”. Tutte le richieste di sicurezza dovrebbero essere bloccate dopo lo stato di failure Keep it simple Use and reuse trusted components Defense in depth Only as secure as the weakest link Security by obscurity don’t work Least privilege Compartmentalization (separation of privileges) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 210 Modelli di controllo degli accessi Discretionary Access Control (DAC) Mandatory access control Role based access control Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 211 Discretionary Access Control (DAC) • Metodo per restringere l’accesso all’informazione basata sull’identità di utenti o sulla membership in determinati gruppi • Le decisioni di accesso sono basate sulle credenziali opposte dall’utente al momento dell’autenticazione • Il proprietario dell’informazione o di qualsiasi risorsa può cambiare i permessi a sua discrezione • DAC ha lo svantaggio di non permettere agli amministratori di gestire centralmente i permessi su file/ informazioni del web server Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 212 DAC Un modello di controllo dell’accesso DAC spesso ha i seguenti attributi: • I data owner possono trasferire l’ownership ad altri utenti • I data owner possono determinare il tipo di accesso datao ad altri utenti (read, write, copy…) • Failure ripetuti di accesso alla stessa risorsa o oggetto genera un allarme e restringe l’accesso dell’utente • E’ richiesto un add-on speciale o un plug-in per un http client per evitare copie “cut and paste” • Gli utenti che non hanno accesso alle informazioni non • dovrebbero essere capaci di determinare le loro caratteristiche ( file size, file name, directory path, ..) L’accesso alle informazioni è detreminata basandosi su autorizzazioni a access control list basate sull’identificatore dell’utente e sulla group membership Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 213 Mandatory access control (MAC) Assicura che il rafforzamento delle politiche di sicurezza non si basa sulla conformità dell’utente dell’applicazione web Il meccanismo MAC assegna un livello di sicurezza ad ogni informazione, un grado di sicurezza “clearance”(abilitazione all’accesso di determinate informazioni) all’utente e assicura che gli utenti hanno accesso ai dati per cui possiedono tale clearance E’ un modello appropriato per sistemi estremamente sicuri che gestiscono dati di importanza strategica (militari ecc) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 214 MAC Un sistema basato su MAC presenta spesso i seguenti attributi: • • • • • • • Solo gli ammistratori e non i proprietari dei dati possono cambiare l’etichetta di sicurezza alle risorse Ad ogni dato viene assegnato i livello di sicurezza che riflette la sua sensibilità, confidenzialità e valore di protezione Tutti gli utenti possono accedere ai dati che hanno un minor livello di sicurezza rispetto a quello a loro assegnato Tutti gli utenti possono scrivere a classificazioni a piu’ altro livello Tutti gli utenti possono accedere a informazioni dello stesso livello di sicurezza Agli utenti viene ristretto o autorizzato l’accesso a oggetti basati sull’ora del giorno a seconda dell’etichetta sulla risorsa e3 sulle credenziali dell’utente (basate sulla policy) L’accesso viene autorizzato o ristretto a oggetti basati sulle caratteristiche di sicurezza del client HTTP ( SSL bit length, version information, indirizzo IP di origene ecc) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 215 Role based access control (RBAC) Le decisioni di accesso sono basate sui ruoli degli utenti e le responsabilità all’interno di un’organizzazione. Un framework di controllo degli accessi RBAC dovrebbe fornire agli amministratori della sicurezza del web la possibilità di determinare chi può fare quali azioni, quando, da dove, in quale ordine, e in quali casi sotto quali circostanze Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 216 RBAC I ruoli sono assegnati sulla base della struttura organizzativa con enfasi sulle policy di sicurezza I ruoli devono essere assegnati dall’amministratore sulla base di relazioni all’interno dell’organizzazione o su una user base. Per es. un responsabile puo’ effettuare determinate transazioni sui suoi collaboratori o un amministratore può avere determinate transazioni autorizzate sul suo specifico real di compiti (backup, gestione account…) Ogni ruolo ha un suo profilo che include comandi autorizzati, transazioni, accesso a specifiche informazioni Ai ruoli vengono assegnati permessi sul principio di least privilege I ruoli sono determinati con una separazione di compiti in mente in modo tale che ad es. il ruolo dello sviluppatore non dovrebbe sovrapporsi al ruolo del collaudatore I ruoli dovrebbero esserre attivati staticamente e dinamicamente coerentemente a certi trigger relazionali ( coda di help desk, security alert, inizio di un nuovo progetto…) I ruoli possono essere trasferiti o delegati usando procedure specifiche I ruoli possono essere gestiti centralmente da un security administrator o project leader Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 217 La gestione di sessioni utente HTTP è un protocollo stateless, il server web risponde alle richieste del client senza collegarle l’un l’altra. Applicare uno schema di gestione dello stato permette di associare richieste multiple di un client in un’unica sessione. Separare e associare le azioni di un utente a specifiche sessioni risulta critico per la sicurezza di una applicazione web. Mentre esiste un meccanismo di cookie (RFC 2965) per costruire sistemi di gestione della sessione, è compito del progettista web di sviluppare uno schema di gestione della sessione sicuro. Schemi mal progettati possono portare a user account compromessi, che in molti casi possono anche avere privilegi di amministrazione. In molti schemi a stati, un token di sessione viene trasmesso tra il server HTTP ed il client. I token di sessione sono spesso memorizzati in cookies, ma anche in URL statiche, URL dinamicamente riscritte, nascosti nel codice di una pagina HTML, o una combianzione di tali metodi. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 218 Cookies I cookies sono un requisito in molte applicazioni di e-commerce. Non sono stati progettati per memorizzare informazioni sensibili o username e passwords. Sono stati introdotti da Netscape e sono ora specificati nel RFC 2965 e RFC2964 e BCP44. Due categorie di cookies: • Persistent: persistent and secure, persistent and • not secure Non-persistent: non persistent and secure, non persistent and not secure Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 219 Tipi di cookies Persistent: sono memorizzati in un text file (cookies.tx in Netscape e multiple *.txt test files in IIS) sul client e sono validi fino alla data di scadenza (expiry). Non persistent: sono memorizzati nella RAM del client e distrutti quando il browser viene chiuso o il cookies viene esplicitamente killato da uno script di log-off Secure: possono essere inviati solo via sessioni HTTPS (SSL); riguarda solo la sicurezza del trasporto, ogni dato inviato al cliente dovrebbe essere sotto la sola responsabilità dell’end user. Non secure: possono essere inviati via HTTPS o HTTP. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 220 Come lavora un cookie Due metodi per la loro creazione: Permettono ad un server e ad un browser di passarsi informazioni durante una sessione Non possono essere condivisi (letti o scritti) tra domini DNS. Alcune vulnerabilità in alcuni client web conosciuti hanno violato questa proprietà. Sotto HTTP il server risponde al client con un extra header che informa il client di aggiungere l’informazione al file dei cookie o nella sua RAM. Successivamente tutte le richieste a quell’URL dal browser includeranno l’informazione del cookie come un’extra header nella richiesta. • HTTP headers • JavaScript Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 221 Session Token Tutti i token di sessione devono essere univoci, non predicibili, e resistenti al reverse engineering e possbilmente basati su algoritmi per la loro generzione random. Dovrebbero essere legati ad una specifica istanza della sessione client HTTP per prevenire hijacking e attacchi di replay e devono essere resistenti ad attacchi brute force. Esempi di meccanismi per forzare questa restrizione puo’ essere l’uso dei token di pagina che sono unici per ogni pagina generata e possono essere legati a token di sessione sul server. In generale un algoritmo per la generazione di token di sessione non dovrebbe mai basarsi o usare variabili con informazioni personali (user name, password, home adress) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 222 Schemi di gestione della sessione Session time-out • Session token che non espirano sul server HTTP concedono tempo illimitato all’attaccante di provare attacchi brute force per una sessione valida autenticata e ottenere le credenziali di un utente autorizzato. Regeneration of session token • Per prevenire session hijacking o attacchi di brute force su una sessione attiva, il server HTTP puo’ far scadere e rigenerare token (magari ogni dato numero di richieste o dopo un certo periodo di tempo) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 223 Schemi di gestione della sessione Session forging/ brute-forcing detection and/or Lockout • Molti website hanno delle restrizioni sul password guessing (bloccando temporaneamente la sessione). L’attaccante tuttavia puo’ tentare numerosi token inclusi in legittimi url o cookie senza che il server se ne accorga. Molti sistemi di intrusion detection non verificano questo tipo di attacco. I progettisti percio’ dovranno utilizzare token di sessione “booby trapped” che non verranno mai assegnati ma che serviranno per individuare attaccanti che hanno tentato di fare brute force di una sessione. Gli attaccanti possono anche alterare i loro token per scalare i privilegi di un sistema web. Session re-authentication • Azioni critiche come quelle relative a transazioni finanziarie possono richiedere una nuova autenticazione dell’utente o la generazione di un nuovo token. Gli sviluppatori possono anche decidere di segmentare dati o azioni nel punto in cui è necessaria una nuova autenticazione Session token trasmission • Se un token di sessione viene intercettato un account di un’applicazione web viene soggetto ad attachhi di hijacking e replay Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 224 Broken access control Le autorizzazioni degli utenti autenticati non sono particolarmente rafforzate Gli attaccanti possono sfruttare queste falle per accedere agli account di altri utenti, accedere a file di contenuti sensibili, o usare funzioni non autorizzate Gli sviluppatori frequentemente sottostimano la difficoltà di implementare un meccanismo affidabile di controllo di accessi Molti di questi schemi non sono progettati sin dall’inizio e si evolvono durante la fase di progettazione. Le regole sono spesso inserite in varie locazioni nel codice, rendendo difficile la possibilità di gestirle in fase di produzione. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 225 Broken authentication and session management Le credenziali degli utenti ed i token di sessione non sono propriamente protetti Glia ttaccanti possono compromettere passwords, chiavi, cookie di sessione o altri token Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 226 Cross site scripting flaws L’applicazione web puo’ essere usata come meccanismo per trasportare un attacco ad browser di un end user. Un attacco puo’ aprire il token di sessione del’utente, attaccare la macchian locale, o “spoofare” il contenuto Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 227 Buffer overflows I componenti (CGI, librerie, drivers..)delle applicazioni web in alcuni linguaggi che non validano propriamente l’input possono “crashare” ed in alcuni casi usati per prendere il controllo di un processo. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 228 Injection flaws Le applicazioni web passano i parametri quando accedono a sistemi esterni o ai sistemi operativi locali. Se un attaccante nasconde comandi maliziosi in questi parametri, il sistema esterno puo’ eseguire i comandi al posto dell’applicazione web Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 229 Improper error handling Le condizioni di errore che occorrono durante le operazioni normali non vengono gestite propriamente L’attaccante nelle sistuazioni di errori non gestite puo’ guadagnare accesso ai sistemi, fare DoS… Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 230 Insecure storage Le applicazioni web frequentemente usano funzioni crittografiche per proteggere le informazioni e credenziali Queste funzioni ed il relativo codice spesso risultano deboli Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 231 Denial of service Gli attaccanti possono consumare risorse del sistema o “lockare” gli acoount degli utenti fino a che nessun utente puo’ piu’ accedere all’applicazione Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 232 Insecure configuration management Molti server web hanno delle opzioni di configurazione non sufficientemente impostate dal punto di vista della sicurezza Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 233 La sicurezza delle reti wireless Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 234 Gli standards delle reti wireless DECT IRDA IEEE802.11 HomeRF Bluetooth Hyperlan2 Fixed Wireless 400Khz2Mhz WIPLL 5Ghz Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 Telefonini cordless Interconnessione P2P Tecnologia per WLAN Std per reti domestiche 2,4Ghz Wireless low-power 2,4Ghz Tecnologia per WLAN 5Ghz Tecnologia Wireless voce/dati Tecnologia Wireless voce/dati 2 M.L.Maggiulli ©2007 235 Raccomandazione UE 1999/519/CE fissa i limiti di esposizione in 0.4 W/g per le esposizioni professionali e di 0.08 W/g per la popolazione in generale. Esposizioni che manifestano un riscaldamento inferiore a quello naturalmente prodotto dall'organismo umano a riposo quantificabile in 1,2 W/g. L'output power di una wireless LAN è limitata da FCC al di sotto di 100 mW, circa la metà di un telefono cellulare (che opera in prossimità delle tempie, zona definita a rischio di radiofrequenza) Un giovane militare di leva addetto alla manutenzione di un sistema radar dislocato in aeroporto militare è esposto a un bombardamento di radiofrequenze decisamente elevato ca. 100 W/kg. il telefono cordless emette fino a 8 V/m, il forno a microonde emette fino a 7 V/m, il ferro da stiro 4, un ventilatore da 500W fino a 6, la lampada alogena 3, il frullatore 2, il trapano 4, la radiosveglia 0,04... ecc Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 236 Wireless: esempi d’uso esempi d’uso • Dialogo tra due o più dispositivi con lo stesso standard (notebook, palmari, PC, cellulari) • Controllo via cellulare o computer dei piani di cottura del forno • Cartella clinica elettronica dei pazienti via PDA • Registrazione multe fatte dalla polizia municipale attraverso palmari direttamente sul server centrale • Realizzazione di ampie reti geografiche Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 237 1997 IEEE sviluppa lo standard IEEE802.11 per l’interoperabilità tra reti wired e reti wireless.Velocità 1-2Mbps, frequenza 2,4Ghz. 1999 IEEE presenta lo standard 802.11a, che opera sui 5Ghz e raggiunge i 54Mbps. 1999 IEEE rilascia anche l’802.11b che opera sui 2,4Ghz e raggiunge 11Mbps di velocità. Attualmente è lo standard dominante Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 238 2001 IEEE ratifica l’802.11g che mantenendo la compatibilità con i vecchi standard a 2,4Ghz, può raggiungere i 54Mbps di velocità. 2001 IEEE rilascia l’802.11x, standard basato sull’EAP per l’autenticazione e il key-management Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 239 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 240 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 241 IEEE 802.11 Completato 2003 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 242 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 243 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 244 IEEE 802.11b Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 245 Architettura di una WLAN Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 246 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 247 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 248 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 249 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 250 Architettura – rete ad hoc Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 251 Architettura - rete strutturata Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 252 Componenti di una WLAN BSS • Ogni Wlan strutturata è divisa in celle (Basic Service Set), ognuna delle quali è controllata da un AP. ESS • Ogni Wlan costituita da più celle e da una rete esterna è detto Extended Service Set Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 253 Identificativo Ogni Wlan ha l'identificativo Service Set Identifier (SSID): • “nome della rete” • 32 ottetti • E’ necessario conoscerlo per potersi connettere alla WLAN Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 254 Sicurezza di una rete wireless Il rischio di una rete wireless è dato dalla somma dei rischi derivanti dall’operare in una rete wired più quelli intrinsechi ai nuovi protocolli per il wireless. Tutti i rischi prevedibili in una rete wired valgono anche in una wireless. Il wireless può rendere possibile l’accesso alle reti protette da firewall bypassando la protezione offerta da quest’ultimo. Data la natura del mezzo di trasmissione (onde radio non confinabili), tutto ciò che viene trasmesso in chiaro può essere facilmente “sniffato” Possibilità di DoS causato da interferenze di apparecchi operanti sulla stessa frequenza (es. microonde, salvalavita Beghelli, ecc.) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 255 Servizi di sicurezza I tre servizi base di sicurezza definiti da IEEE per le wlan 802.11b sono: Autenticazione: verifica dell’identità, controllo dell’accesso alle risorse solo per i client autorizzati. Confidenzialità: riferita ai dati, secondo quanto detto dallo standard dovrebbe essere equivalente a quella delle reti wired. Integrità: evita che le informazioni possano essere modificate mentre transitano. Questi servizi AVREBBERO dovuti essere raggiunti con l’adozione del WEP (Wireless Equivalent Privacy) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 256 Wireless - associazione Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 257 Wireless -Associazione Associazione: stabilire relazione con un Access Point (AP) I wireless terminal (WT) controllano la frequenza e selezionano l’AP con cui comunicano meglio (maggior potenza del segnale) attivo: il WT tenta di localizzare un AP attraverso • scan invio di ‘probe request’ e attendendo la risposta passivo: il WT attende che arrivi dall’AP il • scan messaggio di sincronizzazione attraverso dei messaggi beacon AP mantengono la lista dei WT associati • data-rate • permettono la comunicazione inter BSS Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 258 Sicurezza Wireless - Autenticazione Controllo di accesso alle infrastrutture I WT si identificano • tra loro • con gli AP … prima di iniziare una comunicazione Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 259 Sicurezza Wireless - Autenticazione Schemi di autenticazione wireless: None (open System Authentication): situazione di default WEP (Wireless Equivalent Privacy) algoritmo di cifratura basato su un segreto condiviso EAP (Extensible authentication protocol – 802.1x) •EAP-MD5 •EAP-TLS •Estensioni proprietarie: • LEAP (Cisco) • PEAP (Cisco e Microsoft) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 260 802.11b - autenticazione Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 261 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 262 802.11b WEP (Wired equivalent privacy) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 263 Sicurezza WLAN – WEP È una chiave segreta (“il segreto di Pulcinella”) condivisa, “Shared Key”, che deve essere conosciuta da Access Point e Client. Si basa su RC4 (cipher stream) e operazioni di XOR con lo stream dei dati in transito. L’Initalization Vector (IV) del WEP che serve a inizializzare i cipher stream viene trasmesso in chiaro Analizzando sufficiente traffico è possibile individuare lo stream chiave e decifrare la shared key. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 264 Sicurezza WLAN - WEP Esiste con chiave da 40bit, 128bit e 256bit Né la versione a 128bit, né tanto meno quella a 256 bit è standardizzata Problemi di interoperabilità tra apparecchi di diversi vendor che implementano diverse chiavi: 104bit, 152bit, ecc. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 265 Sicurezza Wireless – Problemi WEP WepCrack (http:// wepcrack.sourceforge.net) 124Gb di dati sniffati = rottura chiave WEP Airsnort (http://airsnort.shmoo.com) 5 10milioni di pacchetti cifrati = rottura chiave WEP fino a 128bit in 1 secondo. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 266 Sicurezza Wireless Problemi WEP Per ovviare ai problemi di sicurezza del WEP diverse case costruttrici hanno modificato l’algoritmo orginale. Da cosa ce ne accorgiamo? Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 267 Performance WLAN 802.11b con WEP Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 268 Attacchi alla WLAN Inserimento di apparati non autorizzati Intercettazione e monitoraggio di traffico Disturbo del segnale Attacchi P2P Attacchi brute-force Attacchi al WEP Wardriving Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 269 802.1x È uno standard IEEE Ratificato nel 2001 per il “Port Based Network Access Control” Basato su EAP Può lavorare anche su 802.3 un framework per autenticazione e key management • 802.1x può derivare chiavi di sessione da utilizzare per • • autenticazione, integrità e segretezza dei pacchetti sfrutta algoritmi standard per la derivazione delle chiavi (es. TLS) servizi di sicurezza opzionali disponibili: autenticazione o autenticazione+cifratura Vantaggi: • sfrutta il livello applicativo per l’effettiva implementazione dei • • meccanismi di sicurezza conversazione avviene tra supplicant e server RADIUS perfetta integrazione con AAA Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 270 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 271 Sicurezza Wireless - EAP Authentication Protocol (RFC 2284) adottato da • Extensible 802.1x di autenticare l’utente su un server esterno • Consente (RADIUS) differenti meccanismi di autenticazione (MD5, • Supporta kerberos, one time password, smartcard) • Il principio del What You Know può essere affiancato dal: •What You Have •What You Are Point fa solo da tramite per consentire il dialogo di • L’Access autenticazione • L’autenticazione è centralizzata • Non può essere utilizzato per lo scambio di chiavi Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 272 Autenticazione EAP802.1x Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 273 EAP-MD5 EAP-MD5 si basa sulla coppia Username e Password Non supporta la key management o generazione dinamica delle chiavi L’autenticazione è di tipo “one-way” solo l’utente si autentica (possibilità di attachi tramite “rogue AP”) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 274 EAP-TLS EAP-TLS (Transport Layer Security)(RFC 2716): si basa sull’utilizzo di certificati digitali Supporta la generazione dinamica di chiavi L’autenticazione è reciproca Per contro richiede l’esistenza di una PKI (Public Key Infrastructure) per i certificati Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 275 EAP-TTLS EAP-TTLS (Tunneled Transport Layer Security) si basa sulla creazione di un canale sicuro TLS (con certificato server). Su questo canale avviene l’autenticazione con un altro metodo: •PAP •CHAP •MS-CHAPv1, MS-CHAPv2 L’autenticazione è reciproca Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 276 LEAP LEAP è una estensione proprietaria Cisco, perciò l’interoperabilità con client di altri fornitori non è garantita Utilizza MS-Chap per l’autenticazione L’autenticazione è reciproca Vengono generate chiavi dinamiche legate alla sessione Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 277 Peap PEAP (Protected EAP): è una estensione proposta da Cisco, Microsoft e RSA Utilizza la stessa filosofia per dell’EAPTTLS per l’autenticazione L’autenticazione è reciproca Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 278 Standard RSN Recentemente completato dal gruppo dell’IEEE 802.11i, è uno standard per garantire la sicurezza delle WLAN basandosi su: •IEEE 802.1x •AES (Advanced Encryption Standard) Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 279 VPN Tradizionale alternativa all’IEEE802.1x e server RADIUS Crittografia software degrado prestazioni di rete Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 280 802.11i Standard di cui fanno parte: •IEEE 802.1x •WPA(wireless protected access) ->TKIP=WEP+4 patch: •Key mixing •MIC (message Integrity Control) •Re-keying •Initialization vector protection Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 281 Sistemi di crittografia 802.11 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 282 QoS 802.11b L’802.11b non gestisce QoS e non soddisfa i parametri necessari al trasporto di voce e dati Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 283 Soluzioni QoS 802.11b Software che implementano: • Adaptive Jitter Buffer • G.711 Enhanced • Packet Loss Robustness • Acoustic Echo Cancellation Attendere lo standard IEEE802.11e per il QoS in reti wireless Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 284 Modello WLan Insicuro Modello “plug & play” connettere l’AP alla rete e lasciare le impostazioni di default. Modello WLan minimun security WEP abilitato a 64-128bit Sicurezza Wireless – Wardriving Il mezzo trasmissivo usato è per sua natura non confinabile Il vostro AP è nei pressi di una finestra? Collegato con un HUB? La chiave WEP è inesistente, debole o di default? Se avete esigenza di confidenzialità dei dati siete nei guai!! Sicurezza Wireless - Wardriving Risorse per l’attaccante: Notebook o palmare Scheda Wi-Fi Lucent o con chipset Prism Antenna direzionale e omnidirezionale Software per il wardriving: • Wavemon per rilevare l’intensità e la direzionalità • NetStumbler per trovare l’SSID di rete e vedere se il WEP è abilitato • AirSnort se c’è il bisogno di rompere la cifratura WEP (occorrere catturare almeno 1-7Gb di dati) Sicurezza Wireless - Wardriving Sicurezza Wireless - Wardriving Sicurezza Wireless Warchalking Wardriving Sicurezza Wireless - Wardriving Le risorse del target: WEP 128bit, 256bit SSID non prevedibile Broadcast dell’SSID non abilitato (Closet Network) Filtro sui MAC address autorizzati ad associarsi Posizionamento accurato dell’AP nella rete aziendale: • Nodo considerato untrusted • Utilizzo di VPN o RADIUS Server con 802.1x • Utilizzo di protocolli che usano la cifratura (SSH, SSL, TLS) Frequenti auditing sul livello di sicurezza Realizzare un modello di WLAN Trade off • Performance • Confidenzialtà • Contrastare possibili attacchi • Costi Modello WLan moderate security WEP abilitato 128-256bit MAC Filtering Closed network Optimal Security 1 firewall - WEP abilitato 128-256bit - TKIP - Closet Network - AP avanti al Firewall - Server Radius con 802.1x/EAP o Server VPN Optimal Security 2 Firewall - WEP abilitato 128256bit - TKIP - Closet Network - AP avanti al firewall - Server Radius con 802.1x/EAP o Server VPN in DMZ - Sistemi IDS e di Monitoring Bridge tra Wlan – AES (RSN) Bridge tra Wlan - IPSec VPN o RADIUS? Generalmente è meglio utilizzare una VPN quando: • abbiamo una situazione di client misti che non supportano le stesse modalità di autenticazione; • la sicurezza è più importante delle performance. Wardriving WLan Provincia MC Criminalità Informatica Internet e diritto penale • Reati commessi su Internet • Reati connessi mediante Internet Relazione al DDL, XI Legislatura divenuto legge 23/12/1993, n.547 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 303 I reati commessi su Internet Art 615 ter c.p. – (Accesso abusivo ad un sistema informatico o telematico) – Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure minime di sicurezza ovvero vi si mantiene contro la colontà estressa o tacita di chi ha diritto ad escluderlo, è punito con la reclusione fino a tre anni. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 304 La pena è della reclusione fino a cinque anni se: • • • Il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione oo al servizio o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore di sistema; Se il colpevole per commetter il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato; Se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o o dei programmi in esso contenuti. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 305 Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico la pena è rispettivamente della reclusione da uno a cinque annni e da tre a otto anni Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 306 I reati commessi su Internet Art 615- quarter c.p. ( Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici). Chiunque, al fine di procurare a se o ad altri un profitto o di arrecare un danno, abusivamente si procura riproduce diffonde comunica o consegna codici parole chiave o altri mezzi idonei all’accesso a un sistema informatico o telematico, protetto da misure di sicurezza o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino a un anno e con la multa fino a 10 milioni… Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 307 I reati commessi su Internet Art 615 – quinques c.p. (Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico) – Chiunque diffonde comunica o consegna un programma informatico da lui stesso o da altri redatto avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico dei dati o dei programmi in esso contenuti o a esso pertinenti, ovvero l’interruzione totale o parziale, o l’alterazione del suo funzionamento, è punito con la reclusione sino a due anni e con la multa sino a lire 20 milioni. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 308 I reati commessi su Internet Art 616 c.p. (Violazione, sottrazione e soppressione di corrispondenza) – Chiunque prende cognizione del contenuto di una corrispondenza chiusa a lui non diretta, ovvero sottrae o distrae, al fine di prenderne o di farne da altri prendere cognizione, una corrispondenza chiusa o aperta, a lui non diretta,. Ovvero tutto o in parte la distrugge e la sopprime , è punito, se il fatto non è preveduto come reato Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 309 I reati commessi su Internet 617-quater. Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche. Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da sei mesi a quattro anni. Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 310 I reati commessi su Internet I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa. Tuttavia si procede d'ufficio e la pena è della reclusione da uno a cinque anni se il fatto è commesso: • 1) in danno di un sistema informatico o telematico • • utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità; 2) da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualità di operatore del sistema; 3) da chi esercita anche abusivamente la professione di investigatore privato (1). Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 311 I reati commessi su Internet 617-quinquies. Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche. Chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi, è punito con la reclusione da uno a quattro anni. La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell'articolo 617-quater (1). -----------------------(1) Articolo aggiunto dall'art. 6, L. 23 dicembre 1993, n. 547, che modifica ed integra le norme del codice penale e del codice di procedura penale in tema di criminalità informatica. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 312 Art.4 Statuto dei Lavoratori (l.300/70) – Impianti audiovisiviE’ vietato l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori… Art. 38 Statuto dei Lavoratori – Disposizioni penali. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 313 I reati commessi su Internet 617-sexies. Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche. Chiunque, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, è punito, qualora ne faccia uso o lasci che altri ne facciano uso, con la reclusione da uno a quattro anni. La pena è della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell'articolo 617-quater (1). • (1) Articolo aggiunto dall'art. 6, L. 23 dicembre 1993, n. 547, che modifica ed integra le norme del codice penale e del codice di procedura penale in tema di criminalità informatica. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 314 I reati commessi su Internet 621. Rivelazione del contenuto di documenti segreti. Chiunque, essendo venuto abusivamente a cognizione del contenuto, che debba rimanere segreto, di altrui atti o documenti, pubblici o privati, non costituenti corrispondenza [c.p. 616], lo rivela, senza giusta causa, ovvero lo impiega a proprio o altrui profitto, è punito, se dal fatto deriva nocumento, con la reclusione fino a tre anni o con la multa da lire duecentomila a due milioni [c.p. 29, 262] (1). Agli effetti della disposizione di cui al primo comma è considerato documento anche qualunque supporto informatico contenente dati, informazioni o programmi (2). Il delitto è punibile a querela della persona offesa [c.p. 120; c.p.p. 336]. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 315 I reati commessi su Internet (1) La multa risulta così aumentata, da ultimo, ai sensi dell'art. 113, L. 24 novembre 1981, n. 689, che modifica il sistema penale. (2) Comma aggiunto dall'art. 7, L. 23 dicembre 1993, n. 547, che modifica ed integra le norme del codice penale e del codice di procedura penale in tema di criminalità informatica. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 316 I reati commessi su Internet 623-bis. Altre comunicazioni e conversazioni. Le disposizioni contenute nella presente sezione, relative alle comunicazioni e conversazioni telegrafiche, telefoniche, informatiche o telematiche, si applicano a qualunque altra trasmissione a distanza di suoni, immagini od altri dati (1). (1) Articolo aggiunto dall'art. 4, L. 8 aprile 1974, n. 98, sulla tutela della riservatezza e della libertà e segretezza delle comunicazioni e così sostituito dall'art. 8, L. 23 dicembre 1993, n. 547, che modifica ed integra le norme del codice penale e del codice di procedura penale in tema di criminalità informatica. Il precedente testo così disponeva: «Comunicazioni e conversazioni non telegrafiche o telefoniche. - Le disposizioni contenute nella presente sezione, relative alle comunicazioni e conversazioni telegrafiche o telefoniche, si applicano a qualunque altra trasmissione di suoni, immagini od altri dati effettuata con collegamento su filo o ad onde guidate». Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 317 I reati commessi su Internet • • • • L'art. 16, L. 13 settembre 1982, n. 646, in materia di misure di prevenzione di carattere patrimoniale, così dispone: «Il procuratore della Repubblica del luogo dove le operazioni debbono essere eseguite può autorizzare gli ufficiali di polizia giudiziaria ad intercettare comunicazioni o conversazioni telefoniche o telegrafiche o quelle indicate nell'art. 623-bis c.p., quando lo ritenga necessario al fine di controllare che le persone nei cui confronti sia stata applicata una delle misure di prevenzione previste dall'art. 3, L. 27 dicembre 1956, n. 1423, non continuino a porre in essere attività o comportamenti analoghi a quelli che hanno dato luogo all'applicazione della misura di prevenzione. Riguardo alle intercettazioni di comunicazioni e conversazioni telefoniche o telegrafiche o di quelle indicate dall'art. 623-bis c.p., si osservano le modalità previste dall'art. 226-ter c.p.p. e dall'art. 226-quater c.p.p., primo, secondo, terzo e quarto comma. Gli elementi acquisiti attraverso le intercettazioni possono essere utilizzati esclusivamente per la prosecuzione delle indagini e sono privi di ogni valore ai fini processuali. Le registrazioni debbono essere trasmesse al procuratore della Repubblica che ha autorizzato le operazioni, il quale dispone la distruzione delle registrazioni stesse e di ogni loro trascrizione, sia pure parziale». Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 318 I reati commessi su Internet 635-bis. Danneggiamento di sistemi informatici e telematici. Chiunque distrugge, deteriora o rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui, ovvero programmi, informazioni o dati altrui, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni. Se ricorre una o più delle circostanze di cui al secondo comma dell'articolo 635, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni (1). • (1) Articolo aggiunto dall'art. 9, L. 23 dicembre 1993, n. 547, che modifica ed integra le norme del codice penale e del codice di procedura penale in tema di criminalità informatica. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 319 I reati commessi su Internet 392. Esercizio arbitrario delle proprie ragioni con violenza sulle cose. Chiunque, al fine di esercitare un preteso diritto, potendo ricorrere al giudice [c.p.c. 99], si fa arbitrariamente ragione da sé medesimo, mediante violenza sulle cose [c.c. 896, 1152], è punito a querela della persona offesa, con la multa fino a lire un milione [c.p. 120, 126; c.p.p. 336] (1). Agli effetti della legge penale, si ha violenza sulle cose allorché la cosa viene danneggiata o trasformata, o ne è mutata la destinazione. Si ha, altresì, violenza sulle cose allorché un programma informatico viene alterato, modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento di un sistema informatico o (2) . Politiche delle Reti etelematico Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 320 I reati commessi su Internet • • • -----------------------(1) La multa risulta così aumentata, da ultimo, ai sensi dell'art. 113, L. 24 novembre 1981, n. 689, che modifica il sistema penale. (2) Comma aggiunto dall'art. 1, L. 23 dicembre 1993, n. 547, che modifica ed integra le norme del codice penale e del codice di procedura penale in tema di criminalità informatica. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 321 I reati commessi su Internet 420. Attentato a impianti di pubblica utilità. Chiunque commette un fatto diretto a danneggiare o distruggere impianti di pubblica utilità, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da uno a quattro anni. La pena di cui al primo comma si applica anche a chi commette un fatto diretto a danneggiare o distruggere sistemi informatici o telematici di pubblica utilità, ovvero dati, informazioni o programmi in essi contenuti o ad essi pertinenti. Se dal fatto deriva la distruzione o il danneggiamento dell'impianto o del sistema, dei dati, delle informazioni o dei programmi ovvero l'interruzione anche parziale del funzionamento dell'impianto o del sistema la pena è della reclusione da tre a otto anni (1). Politiche delle Reti e-----------------------Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 322 I reati commessi su Internet • (1) Articolo, da ultimo, così sostituito dall'art. 2, L. 23 dicembre 1993, n. 547, che modifica ed integra le norme del codice penale e del codice di procedura penale in tema di criminalità informatica. Il testo precedente alla sostituzione del 1993 così disponeva: «Attentato a impianti di pubblica utilità. - Chiunque commette un fatto diretto a danneggiare o distruggere impianti di pubblica utilità o di ricerca o di elaborazione di dati, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da uno a quattro anni. Se dal fatto deriva la distruzione o il danneggiamento dell'impianto o l'interruzione del suo funzionamento, la pena è della reclusione da tre a otto anni». Il delitto previsto nel terzo comma del presente articolo, consumato o tentato, è attribuito al tribunale in composizione collegiale, ai sensi dell'art. 33-bis del codice di procedura penale, a decorrere dalla sua entrata in Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 vigore. 323 I reati commessi su Internet 640-ter. Frode informatica. Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da lire centomila a due milioni. La pena è della reclusione da uno a cinque anni e della multa da lire seicentomila a tre milioni se ricorre una delle circostanze previste dal numero 1) del secondo comma dell'articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 324 I reati commessi su Internet Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo comma o un'altra circostanza aggravante ------------------------ . (1) • (1) Articolo aggiunto dall'art. 10, L. 23 dicembre 1993, n. 547, che modifica ed integra le norme del codice penale o del codice di procedura penale in tema di criminalità informatica. • Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 325 I reati commessi su Internet 491-bis. Documenti informatici. Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico o privato, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private. A tal fine per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli (1). • -----------------------• (1) Articolo aggiunto dall'art. 3, L. 23 dicembre 1993, n. 547, che modifica ed integra le norme del codice penale e del codice di procedura penale in tema di criminalità informatica. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 326 I reati commessi mediante Internet DL 03.05.1991 n.143 Art.12 – Chiunque al fine di trarne profitto per sé o per gli altri indebitamente utilizza non essendone titolare, carte di credito, o di pagamento, ovvero qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all’acquisto di beni o alla prestazione di servizi, è punito con la reclusione da uno a cinque anni..Alla stessa pena soggiace chi, al fine di trarne profitto per sé e per gli altri, falsifica o altera carte di credito o di pagamento o qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all’acquisto di beni e o alla prestazione di servizi, ovvero possiede, cede o acquisisce tali carte o documenti di provenienza illecita o comunque falsificati o alterati, nonché ordini di pagamento prodotti con essi. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 327 I reati commessi mediante Internet 6. Reati commessi nel territorio dello Stato. Chiunque commette un reato nel territorio dello Stato (1) è punito secondo la legge italiana. Il reato si considera commesso nel territorio dello Stato [c.p. 4], quando l'azione o l'omissione, che lo costituisce, è ivi avvenuta in tutto o in parte, ovvero si è ivi verificato l'evento che è la conseguenza dell'azione od omissione. Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 328 I reati commessi mediante Internet Corte di Cassazione Sez.v penale Sentenza del 17.11.2000 n.4741 (www.penale.it) ..il reato si considera commesso nel territorio dello Stato, quando su di esso si sia verificata, in tutto, ma anche in parte, l’azione o l’omission, ovvero l’evento che ne sia conseguenza. La cosidetta teoria dell’ubiquità, dunque, consente al giudice italiano di conoscere del fatto-reato, tanto nel caso in cui sul territorio nazionale sia sia verificata la condotta., tanto in quello in cui su di esso si sia verificato l’evento. Pertanto nel caso di un iter criminis iniziato all’estero e conclusosi con l’evento nel nostro paese, sussiste la potestà punitiva dello Stato Italiano” Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 329 Progettazione delle politiche di sicurezza Standard per la valutazione e la certificazione della sicurezza La normativa vigente La progettazione delle politiche di sicurezza Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 330 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 331 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 332 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 333 Politiche delle Reti e Sicurezza UNICAM AA 2006/2007 M.L.Maggiulli ©2007 334