La sicurezza di rete - Home Page di Andrea Leotardi

Transcript

La sicurezza di rete
e dei servizi applicativi
Politiche delle reti e sicurezza
aa 2006-2007
Politiche delle Reti e Sicurezza
UNICAM AA 2006/2007
M.L.Maggiulli ©2007
1
Questo insieme di trasparenze (detto nel seguito slides) è protetto dalle
leggi sul diritto d’autore e dalle disposizioni dei trattati internazionali.
Il titolo ed i relativi alle slides (ivi inclusi, ma non limitatamente, ogni
immagine, fotografia, animazione, video, audio, musica e testo) sono
di proprietà dell’autore indicato a pag. 1.
Le slides possono essere riprodotte ed utilizzate liberamente dagli istituti
di ricerca, scolastici ed universitari afferenti al Ministero della Pubblica
Istruzione e al Ministero dell’Università e Ricerca Scientifica e
Tecnologica, per scopi istituzionali, non a fine di lucro. In tal caso non
è
richiesta
alcunaautorizzazione.
Ogni
altra
utilizzazione
o
riproduzione (ivi incluse, ma non limitatamente, le riproduzioni su
supporti magnetici, su reti di calcolatori e stampate) in toto o in parte
è vietata, se non esplicitamente autorizzata per iscritto, a priori, da
parte degli autori.
L’informazione contenuta in queste slides è ritenuta essere accurata alla
data della pubblicazione. Essa è soggetta a cambiamenti senza
preavviso.
L’autore non assume alcuna responsabilità per il contenuto di queste
slides (ivi incluse, ma non limitatamente, la correttezza, completezza,
applicabilità, aggiornamento dell’informazione).
In ogni caso questa nota di copyright non deve mai essere rimossa e deve
essere riportata anche in utilizzi parziali.
UNICAM AA 2006/2007
2
La sicurezza di rete






La sicurezza IP
Il protocollo IPSec e le Virtual Private Networks (VPN)
L’indirizzamento privato e pubblico
Debolezze dei protocolli TCP/IP e attacchi tipici;
TCP wrappers, intrusion detection systems (IDS); i
Firewall e Proxy, NAT, le VPN e IPSec.
I sistemi firewall e proxy
UNICAM AA 2006/2007
3
La sicurezza IP

Riguarda tre aree funzionali:
• Autenticazione
• Segretezza
• Gestione delle chiavi
UNICAM AA 2006/2007
4
Internet Security




La sicurezza su Internet e’ difficile perche’ i datagram che viaggiano
dalla sorgente alla destinazione spesso passano attraverso molte reti
intermedie e attraverso router che non appartengono ne’ sono
controllati dal mittente o dal ricevente
I datagram possono essere intercettati o compromessi e percio’ i
contenuti non possono essere fidati
Se un server richiede una autenticazione del client che richiede un
determinato servizio (source authentication),
puo’ basarsi
sull’indirizzo IP sorgente di ogni datagram in ingresso ed accettare
solamente le richieste dai client di una lista autorizzata
Questo schema di autenticazione pero’ risulta debole in una internet
insicura poiche’ e’ possibile intercettare il traffico da router e ottenere
l’accesso impersonando un client autorizzato (IP spoofing)
UNICAM AA 2006/2007
5
Internet Security



Per impedire tali intercettazioni e’ necessario adottare
un sistema di autenticazione forte (strong
authentication) basato sull’uso della crittografia
L’ente di standardizzazione del mondo Internet IETF ha
individuato un insieme di protocolli che forniscono una
comunicazione su Internet sicura
IPsec (IP security) e’ l’insieme dei protocolli che
offrono servizi di autenticazione e di segretezza a livello
IP e che possono essere usati sia con IPv4 che con
IPv6
UNICAM AA 2006/2007
6
UNICAM AA 2006/2007
7
IPsec



IPsec non e’ un singolo protocollo di sicurezza e non
vincola l’utente ad usare uno specifico algoritmo di
crittografia o di autenticazione, ma fornisce un framework
generale che permette ad ogni coppia di soggetti
comunicanti di scegliere algoritmi e parametri (ad
esempio la dimensione della chiave)
Con IPSec un’applicazione puo’ scegliere se usare un
meccanismo di autenticazione che valida il mittente e/o
usare un meccanismo di crittografia che assicuri la
confidenzialita’ dei dati
Per assicurare l’interoperabilita’ Ipsec include un
insieme di algoritmi di cifratura che tutte le
implementazioni devono riconoscere
UNICAM AA 2006/2007
8
I vantaggi di IPSec



In un firewall o router fornisce un servizio di
sicurezza elevato su tutto il traffico che attraversa il
perimetro senza appesantire il traffico interno
Si situa al di sotto del livello di trasporto (TCP,UDP)
e pertanto risulta trasparente alle applicazioni nel
caso in cui sia implementato in firewall, router e/o
sistemi finali
Puo’ garantire la sicurezza dei singoli utenti che
lavorano fuori sede e che devono appartenere ad
una sottorete virtuale sicura all’interno di un’azienda
per le applicazioni riservate
UNICAM AA 2006/2007
9
I vantaggi di IPSec nel routing




Il messaggio di pubblicizzazione (hello,
neighbour greetings) di un router proviene da
un router autorizzato
Il messaggio di router redirect proviene dal
router al quale è stato inviato il pacchetto
iniziale
L’aggiornamento del router non viene falsificato
OSPF puo’ operare sopra le associazioni di
sicurezza fra i router definiti da IPSec
UNICAM AA 2006/2007
10
Lo standard IPSec

I documenti più importanti (1998):
• RFC 2401: An overview of a security architecture
• RFC 2402: Description of a packet authentication
extension to IPv4 e IPv6
• RFC 2406: Description of a packet encryption
extension to IPv4 e IPv6
• RFC 2408: Specification of key management
capabilities
UNICAM AA 2006/2007
11
IPv4 vs IPv6




Il supporto della funzionalità IPSec è obbligatorio in
IPv6 e opzionale in IPv4
Le funzionalità di sicurezza sono implementate
come intestazioni di estensione che seguono
l’intestazione principale IP
Intestazione di estensione per l’autenticazione: AH
Intestazione di estensione per la crittografia: ESP
UNICAM AA 2006/2007
12
I documenti IPSEC (IETF IPSec WG)

Architettura: concetti generali, requisiti di sicurezza,
definizioni e meccanismi;

ESP(Encapsulating Security Payload): formato del
pacchetto e altri elementi generali relativi all'uso dell'ESP
per la crittografia e autenticazione;

AH (Authentication Header): formato del pacchetto e
elementi generali relativi all'autenticazione del
pacchetto;

Algoritmi di crittografia: descrivono il modo con cui
vari algoritmi di autenticazione vengono utilizzati per AH
e per l'opzione di autenticazione ESP;

UNICAM AA 2006/2007
13

Algoritmi di autenticazione: descrivono il modo in cui
i vari algoritmi di autenticazione vengono utilizzati per
AH e per l'opzione di autenticazione ESP;

Gestione delle chiavi: descrivono i meccanismi di
gestione delle chiavi;

DOI (Domain of Interpretation): contiene i valori che
fanno riferimento alle relazioni tra i documenti. Es.
idntificatori per gli algoritmi di crittografia e
identificazione approvati, piu' vari parametri operativi
come la durata delle chiavi.
UNICAM AA 2006/2007
14
UNICAM AA 2006/2007
15
Servizi di IPSec

IPSec fornisce i servizi di sicurezza a livello IP
consentendo ad un sistema di:
• Selezionare i protocolli di sicurezza richiesti
• Determinare gli algoritmi da utilizzare per i servizi
• Impiegare le chiavi crittografiche necessarie per fornire i
servizi richiesti

Due protocolli:
• Protocollo di autenticazione stabilito dall’intestazione
•
del protocollo AH (Authentication Header)
Protocollo combinato di crittografia/autenticazione
stabilito dal formato del pacchetto per tale protocollo,
ESP (Encaspulating Security Payload)
UNICAM AA 2006/2007
16
Servizi di IPSec






Controllo degli accessi
Integrità dei protocolli senza connessione
(connectionless)
Autenticazione dell’origine dei dati
Rifiuto dei pacchetti a replay (integrità parziale
della sequenza)
Segretezza (crittografia)
Una limitata segretezza del flusso di traffico
UNICAM AA 2006/2007
17
Servizi IPSec
Servizi
AH
ESP solo
crittografia
ESP
crittografia e
autenticazione
Controllo degli accessi
√
√
√
Integrità senza
connessione
√
√
Autenticazione
dell’origine dei dati
√
√
Rifiuto dei pacchetti a
replay
√
√
√
Segretezza
√
√
Segretezza limitata del
flusso del traffico
√
√
UNICAM AA 2006/2007
18
Attacchi a replay

Ripetizione semplice: l'opponente copia un messaggio e lo
ripropone successivamente;

Ripetizione registrabile: l'opponente ripropone un
umessaggio dotato di timestamp entro il periodo di validità
temporale;

Ripetizione non rilevabile: puo' sorgere perchè il messaggio
originale puo' essere stato soppresso e pertanto non è arrivato
a destinazione;arriva solo il messaggio ripetuto;

Ripetizione all'indietro senza modifiche: è un rinvio del
messaggio al mittente. Questo attacco è possibile se viene
utilizzata la crittografia simmetrica e se il mittente non puo'
riconoscere con facilità la differenza fra i messaggi inviati e i
messaggi ricevuti sulla base del documento.
UNICAM AA 2006/2007
19
Le associazioni di sicurezza




SA Security Association
Relazione monodirezionale fra un mittente e un
destinatario che riguarda i servizi di sicurezza
rispetto al traffico trasportato
Se è richiesta una relazione con il nodo per uno
scambio sicuro bidirezionale sono necessarie
due associazioni di sicurezza
I servizi di sicurezza sono assegnati ad una
associazione di sicurezza per l’impiego dei
protocolli AH o ESP ma non di entrambi
UNICAM AA 2006/2007
20
Parametri di SA




Un’associazione
di
sicurezza
è
identificata
univocamente da tre parametri:
SPI (Security Parameters Index): una stringa di bit
assegnata a questa associazione e con significato
locale. Il valore di SPI è trasportato nell’intestazione AH
e ESP per consentire al sistema di destinazione di
selezionare l’associazione di sicurezza in base alla quale
verrà elaborato il pacchetto ricevuto
Indirizzo IP di destinazione: attualmente è
consentito l’impiego di soli indirizzi unicast; l’indirizzo
IP di destinazione dell’associazione di sicurezza può
essere il sistema di un utente finale o di un sistema di
rete come un firewall o un router
Indentificatore del protocollo di sicurezza: indica
se l’associazione di sicurezza è di tipo AH o ESP
UNICAM AA 2006/2007
21
I parametri di un’associazione di
sicurezza

In ogni implementazione di IPSec esiste un security
association database che definisce i parametri relativi ad
ogni associazione di sicurezza:
•
Sequence control number: valore a 32 bit utilizzato per
generare il campo Sequence Number nell'intestazione ESP o AH;
•
Sequence counter overflow: flag che indica se un overflow del
campo Sequence Number Counter deve generare un evento di
audit ed impedire l'ulteriore trasmissione di pacchetti su questa
associazione di sicurezza;
•
Anti-replay window: per determinare se un pacchetto AH o ESP
in ingresso è un replay;
UNICAM AA 2006/2007
22
I parametri di un’associazione di
sicurezza
•
•
•
•
•
AH information (algoritmo, chiavi,durata delle chiavi..)
ESP information (algoritmo di crittografia e autenticazione,
chiavi, valori di inializzazione, durata delle chiavi)
Lifetime of this security association (intervallo di tempo o
conteggio in byte, trascorso il quale un’associazione di sicurezza
deve essere sostituita da una nuova associazione e nuovo SPI, o
chiusa, piu’ un’indicazione del tipo di azione da eseguire alla
scadenza;
IPSEc Protocol mode (tunnel, trasporto, wildcard)
Path
MTU
:massima
unità
di
trasmissione
sul
percorso(dimensione massima del pacchetto che puo' essere
trasmesso senza frammentazione) e variabili relativi alla durata di
validità.
UNICAM AA 2006/2007
23
Selettori delle SA

Il traffico IP viene associato alle SA tramite il SPD
(Security Policy DataBase);

L'SPD contiene delle voci, ognuna delle quali definisce un
sottoinsieme del traffico IP e punta ad una associazione
di sicurezza per tale traffico;

Ogni voce del SPD è definita da un insieme di campi IP e
di livello superiore chiamati selettori (*)che consentono
di filtrare il traffico in uscita per associarlo ad una
determinata associazione di sicurezza ed il
corrispondente SPI e di conseguenza svolgere
l'elaborazione IPSec richiesta.

(*)DestIPAdress, SourIPAddress, UserID, Data
Sensitivity Level, TL protocol, Source e Destination Ports
UNICAM AA 2006/2007
24
Le modalità transport e tunnel

AH e ESP supportano le modalità:
• Transport
• fornisce la protezione dei protocolli di livello
superiore (payload del pacchetto IP);
• Utilizzata per le applicazioni end-to-end tra due
host
• Tunnel
• Fornisce la protezione dell'intero pacchetto IP
• Utilizzata quando una o entrambe le estremità di
una associazione di sicurezza sono costituite da
un gateway di sicurezza (firewall, router) che
implementa IPSec
UNICAM AA 2006/2007
25
Transport
• Fornisce la protezione dei livelli superiori
• Generalmente usata per le connessioni punto-
punto tra due host
• Esp in modalità transport esegue la crittografia
e autentica il carico utile IP ma non
l’intestazione IP
• AH in modalità transport autentica il carico utile
IP e determinate parti dell’intestazione IP
UNICAM AA 2006/2007
26
Tunnel





Fornisce la protezione dell’intero pacchetto IP
Dopo che al pacchetto vengono aggiunti i campi AH o
ESP, l’intero pcchetto e i campi di sicurezza vengono
trattati come carico utile del nuovo pacchetto IP
esterno con una nuova intestazione IP esterna
Il pacchetto intero originario viaggia in una sorta di
tunnel da un punto all’altro della rete IP; nessun router
lungo il percorso sarà in grado di esaminare
l’intestazione IP interna
Il nuovo pacchetto esterno puo’ avere indirizzi IP di
destinazione e origine completamente differenti in
modo da migliorare la sicurezza
La modalità viene utilizzata quando le estremità di
un’associazione di sicurezza sono costituite da firewall o
router che implementano IPSec
UNICAM AA 2006/2007
27
Header IP
0
4
Version HLEN
8
15
Service type
Identification
Time to Live
19
24
31
Total length
Flags
Protocol
Fragment Offset (13 bit)
Header checksum
Source IP Address
Destination IP address
IP Option
Padding
Data
UNICAM AA 2006/2007
28
IPsec

Invece di cambiare l’header del datagram IP, Ipsec usa
un authentication header (AH) separato per portare
informazioni di autenticazione
IPv4
header
TCP
header
TCP data
IPv4
authentication TCP
header header
header
UNICAM AA 2006/2007
TCP data
29
UNICAM AA 2006/2007
30
IPsec




L’authentication header si trova immediatamente dopo
l’header IP originale ma prima del transport header.
Il campo PROTOCOL dell’header IP e’ cambiato al
valore 51, indicando la presenza di un header di
autenticazione
Il destinatario determina il tipo di informazione nel
datagram attraverso il campo NEXT HEADER dell’AH
che specifica il tipo del protocollo originario
Quando il datagram arriva il destinatario usa
l’informazione di security dall’AH per verificare il
mittente e usa il valore del campo NEXT HEADER per
demultiplexare il datagram
UNICAM AA 2006/2007
31
IPsec
header
0
8
NEXT HEADER PAYLOAD LEN
16
31
RESERVED
SECURITY PARAMETERS INDEX
SEQUENCE NUMBER
AUTHENTICATION DATA (VARIABLE)
...
PAYLOAD LEN: specifica la lunghezza dell’authentication header
 SEQUENCE NUMBER: sequence number univoco per ogni
pacchetto inviato; il numero inizia da zero quando un algoritmo
di sicurezza particolare viene selezionato e aumenta in modo
monotonico
 SECURITY PARAMETERS INDEX: specifica lo schema di
sicurezza usato
 AUTHENTICATION DATA: contiene i dati per lo schema di
selezionato
Politiche delle Retisicurezza
e Sicurezza UNICAM
AA 2006/2007
32

Security association



Per salvare spazio nell’header, IPsec permette ad ogni
ricevente di raccogliere tutti dettagli su uno schema di
sicurezza (algoritmo di autenticazione, chiavi, durata di
validità della chiave, tempo in cui la destinazione si accorda
di usare l’algoritmo, lista di indirizzi sorgenti autorizzati ad
usare lo schema di sicurezza) in una astrazione conosciuta
come security association (SA)
Ad ogni SA viene dato un numero conosciuto come Security
parameters index, attraverso cui e’ identificato
Prima che un mittente possa usare IPsec per comunicare con
un destinatario, il mittente deve conoscere il valore
dell’indice per un particolare SA che verra’ da lui messo nel
campo SECURITY PARAMETERS INDEX di ogni datagram in
uscita
UNICAM AA 2006/2007
33
Security Association



I valori degli indici non sono specificati globalmente:
ogni destinazione crea tanti SA quanti ne ha bisogno ed
assegna un valore dell’indice a ciascuno
La destinazione puo’ specificare un tempo di vita per
ogni SA e riusare valori degli indici
Una destinazione usa il security parameters index per
identificare l’SA per un pacchetto. I valori non sono
globali; una combinzaione di indirizzo di destinazione e
security parameters index e’ necessario per identificare
un SA
UNICAM AA 2006/2007
34
Il servizio Anti-replay

In un attacco a replay un opponente ottiene una copia di
un pacchetto autenticato che trasmette successivamente
alla destinazione prevista;

La ricezione di pacchetti IP autenticati duplicati puo'
disturbare il funzionamento del servizio ed il campo
sequence number ha lo scopo di sventare questo tipo di
attacchi.

Quando viene stabilita una nuova associazione di
sicurezza, il mittente inizializza un contatore a 0 (zero).

UNICAM AA 2006/2007
35

Ogni volta che il pacchetto viene inviato in questa associazione
di sicurezza, il mittente incrementa il contatore ed inserisce il
valore nel campo Sequence Number. (il primo valore da usare
è 1). Se e' attiva la difesa contro gli attacchi a replay, il
mittente non deve consentire che il numero di sequenza
ricominci ciclicamente dopo 232-1 tornando a 0. Altrimenti vi
sarebbero piu' pacchetti validi con lo stesso numero di
sequenza. Raggiunto il limite di 232-1, il mittente dovrà
chiudere questa associazione di sicurezza e negoziare una
nuova associazione con una nuova chiave.
UNICAM AA 2006/2007
36

Il protocollo IP fornisce un servizio di connessione non
affidabile: non garantisce che i pacchetti vengano consegnati in
ordine e non garantisce neppure che vengano consegnati tutti i
pacchetti. IPSEC stabilisce che il ricevitore implementi una
dimensioni W, normalmente W=64.

Il margine destro della finestra rappresenta il numero
sequenziale piu' elevato,N, ricevuto finora per un pacchetto
valido. Ogni pacchetto con un numero sequenziale compreso
fra N-W+1 e N ricevuto correttamente (autenticato
correttamente)
viene
contrassegnata
la
posizione
corrispondente nella finestra:
UNICAM AA 2006/2007
37

Se il pacchetto rientra nella finestra ed è nuovo, viene
controllato il codice MAC. Se il pacchetto è autenticato, viene
contrassegnata la posizione corrispondente nella finestra.

Se il pacchetto ricevuto si trova a destra della finestra ed è
nuovo, viene controllato il codice MAC. Se il pacchetto è
autenticato, la finestra viene fatta avanzare in modo che
questo numero di sequenza rappresenti il nuovo margine
destro della finestra e quindi viene contrassegnata la posizione
corrispondente nella finestra.

Se il pacchetto ricevuto si trova a sinistra della finestra o se
non passa l'autenticazione, il pacchetto viene eleiminato; si
tratta di un evento registrabile ai fini di un eventuale audit.

UNICAM AA 2006/2007
38
UNICAM AA 2006/2007
39
Authentication Data


Contiene il valore Integrity Check Value: codice di
autenticazione del messaggio o un versione
troncata di un codice prodotto da un algoritmo
MAC:
• HMAC-MD5-96
• HMAC-SHA-1-96
Il risultato della funzione HMAC è troncato
utilizzando i primi 96 bit che rappresentano la
lunghezza standard del campo Authentication Data
UNICAM AA 2006/2007
40
Servizio di autenticazione IPSec
UNICAM AA 2006/2007
41
UNICAM AA 2006/2007
42
UNICAM AA 2006/2007
43
UNICAM AA 2006/2007
44
IPsec encapsulating security payload

Per trattare sia la confidenzialita’ che l’autenticazione, IPsec
usa una Encapsulating Security Payload (ESP) che e’ piu’
complesso di un authentication header

Un valore 50 nel campo PROTOCOL specifica che il datagram
trasporta ESP
IPv4
header
TCP
header
TCP data
Authenticate
d
Encrypted
ESP
IPv4
header header
TCP
header
UNICAM AA 2006/2007
TCP data
ESP
Trailer
ESP
AUTH
45
UNICAM AA 2006/2007
46
IPsec encapsulating security payload




ESP usa molti item gia’ presenti nell’authentication
header ma con un ordine diverso.
ESP HEADER consiste di 8 ottetti che identificano i
security parameters index e un numero di sequenza
ESP TRAILER consiste di un padding opzionale, un
campo padding length e un NEXT HEADER che e’
seguito da dati di autenticazione variabili
Authentication Data: campo di lunghezza variabile che
contiene il valore Integrityu Check Value Calcolato sul
pacchetto ESP meno il campo Authentication Data.
UNICAM AA 2006/2007
47
Gli algoritmi di crittografia ed
autenticazione

I campi Payload data, padding, pad length e next
header sono crittografati dal servizio ESP.

Le specifiche correnti indicano gli seguenti algoritmi
di crittografia:
• DES in modalità CBC; Triple DES a tre chiavi;
RC5; IDEA; Triple IDEA a tre chiavi; CAST;
Blowfish

Anche ESP supporta l'uso di un codice MAC con una
lunghezza standard di 96 bit:
• HMAC-MD5-96 e HMAC-SHA-1-96
UNICAM AA 2006/2007
48
Authentication and mutable header fields





Meccanismo di IPsec progettato per assicurare che i datagram
in arrivo siano identici a quelli inviati dalla sorgente.
Questa garanzia e’ impossibile: l’IP, infatti, e’ di livello hostto-host, significando che il principio del layer si applica solo
attraverso un hop; in particolare ogni sistema intermedio
decrementa il campo TTL e ricalcola il checksum
IPsec usa il termine mutable fields per riferirsi ai campi
dell’header IP modificati durante il transito
Per prevenire tali modifiche, che possono causare errori di
autenticazione, IPsec omette specificatamente tali campi dal
calcolo dell’autenticazione
IPsec, quando arriva il datagram, autentica percio’ solo i
campi immutabili (source address e protocol type)
UNICAM AA 2006/2007
49
IPsec Tunneling



La tecnologia VPN usa la crittografia in un
tunnelling IP-in-IP per mantenere i trasferimenti
inter-site privati
L’IPsec e’ stato specificatamente progettato per
per realizzare un tunnel criptato
In particolare lo standard definisce versioni
tunnelled sia dell’authentication header che del
encapsulating security payload
UNICAM AA 2006/2007
50
IPsec Tunneling
Outer IP
header
authentication
header
Inner IP datagram
(including IP header)
Authenticate
d
Encrypted
Outer IP ESP
header header
Inner IP datagram
(including IP header)
ESP
Trailer
ESP
AUTH
In questo caso il datagram IP intero incapsulato
viene protetto
UNICAM AA 2006/2007
51
UNICAM AA 2006/2007
52
UNICAM AA 2006/2007
53
Gestione delle Chiavi

Riguarda la scelta e la distribuzione delle chiavi segrete

Sono richieste almeno quattro chiavi per le
comunicazioni fra due applicazioni; due coppie di chiavi
di trasmissione e di ricezione sia per AH che per ESP.
Due tipi di gestione delle chiavi:
• Manuale: l'amministratore configura manualmente
ciascun sistema con le proprie chiavi e con le chiavi di
altri sistemi. Per ambienti piccoli e statici
• Automatica: un sistema automatico consente la
creazione su richiesta delle chiavi per le associazioni
di sicurezza e ne facilita l'uso in sistemi distribuiti di
grande estensione in modalità automatica
UNICAM AA 2006/2007
54
Protocolli per la gestione delle
chiavi


Oakley
Key
Determination
Protocol:
protocollo per lo scambio delle chiavi basato
sull'algoritmo Diffie-Hellman. Non definisce
alcun formato specifico
ISAKMP (Internet Security Association
and Key Management Protocol): definisce
una struttura per lo scambio delle chiavi in
Internet ed il supporto fra cui i formati per la
negoziazione degli attributi di sicurezza.
UNICAM AA 2006/2007
55
UNICAM AA 2006/2007
56
UNICAM AA 2006/2007
57
UNICAM AA 2006/2007
58
UNICAM AA 2006/2007
59
UNICAM AA 2006/2007
60
Required security algorithms

IPsec specifica un insieme minimo di algoritmi
obbligatori per tutte le implementazioni
Authentication
HMAC with MD5
RFC 2403
HMAC with SHA-1 RFC 2404
Encapsulationg Security Payload
DES IN CBC MODE
HMAC with MD5
RFC 2405
RFC 2404
HMAC with SHA-1
Null Authentication
Null Encryption
UNICAM AA 2006/2007
61
Indirizzi IP privati (RFC 1918)
IANA-Allocated, Non-Internet Routable, IP Address
Schemes
Class Network Address Range
A
10.0.0.0-10.255.255.255 (10.0.0.0/8)
B
172.16.0.0-172.31.255.255 (172.16.0.0/12)
C
192.168.0.0-192.168.255.255 (192.168.0.0/16)
UNICAM AA 2006/2007
62
NAT: network address translation
Benefici:





Accedere alla Internet pubblica senza richiedere indirizzi
IP registrati
Interconnettere reti IP con spazi di indirizzamento
sovrapposti
Ridurre il consumo di indirizzi ufficiali (Port Address
Translation - PAT)
Migliorare la sicurezza della rete “nascondendo” gli
indirizzi reali degli host
Flessibilita’ (possibilita’ di mantenere il proprio schema di
indirizzamento anche nel caso di un cambiamento di ISP)
UNICAM AA 2006/2007
63
NAT: caratteristiche



Descritto in RFC 1631 (1994)
Modifica gli indirizzi IP nell’header IP (e se
serve nel campo applicativo) secondo la
politica definita dal gestore
La traduzione puo’ essere:
• statica:
•
la mappatura e’ statica uno-a-uno tra
indirizzi interni ed esterni
dinamica: la corrispondenza tra indirizzo interno ed
indirizzo esterno e’ definita solo all’occorrenza
UNICAM AA 2006/2007
64
NAT: terminologia

Inside local (IL)
• L’indirizzo IP di un host della rete interna. Questo indirizzo puo’
essere pubblico ed univoco, pubblico ma ufficialmente
assegnato ad un’altra organizzazione oppure privato

Inside global (IG)
• L’indirizzo
esterna

Outside Local (OL)
• L’indirizzo
interna

IP di un host interno cosi’ come appare alla rete
IP di un host esterno cosi’ come appare alla rete
Outside Global
• L’indirizzo IP di un host della rete esterna
UNICAM AA 2006/2007
65
NAT: tipi di traduzione

Network Address Translation (NAT)
• Traduce solo gli indirizzi
• Traduzione uno-a-uno, statica o dinamica
• Funzione in ambedue i versi (interno<>esterno)

Port Address Translation (PAT)
• Traduce le coppie indirizzo/port
• Traduzione uno-a-N
• Riduce il consumo di indirizzi IP registrati
• Funziona in un solo verso (interno->esterno)
UNICAM AA 2006/2007
66
NAT: traduzione
SA interno ->Rete
esterno
Rete interna
esterna
SA
N
A
T
10.0.0.2
10.0.0.2
SA
192.69.1.1
Internet/Intranet
NAT Table
10.0.0.3
Viene anche tradotto il
Destination Address
(DA) da esterno ad
interno nei messaggi
di risposta
UNICAM AA 2006/2007
Inside Local
IP Address
Inside Global
IP Address
10.0.0.2
10.0.0.3
192.69.1.1
192.69.1.2
SA= Source Addre
67
NAT: traduzione SA esterno->interno
Rete interna
Rete esterna
SA
N
A
T
178.68.1.1
10.0.0.2
10.0.0.3
Consente di utilizzare
indirizzi interni ed esterni
che si sovrappongono
UNICAM AA 2006/2007
SA
10.0.0.20
Internet/Intranet
NAT Table
SA= Source Address
Outside Local
Outside Global
IP Address
IP Address
171.68.1.1
171.68.1.2
10.0.0.20
10.0.0.21
68
Port Address Translation (PAT)
Rete interna
Rete esterna
SA
10.0.0.2
10.0.0.2
N
A
T
SA
192.69.1.1
Internet/Intranet
NAT Table
10.0.0.3
•Tutti gli host interni utilizzano un
singolo indirizzo IP registrato
•vengono utilizzate le porte
TCP/UDP per individuare il reale
Politiche delle Reti e Sicurezza UNICAM AA 2006/2007
mittente/destinatario del pacchetto
Inside Local
IP Address
Inside Global
IP Address
10.0.0.2:1026
10.0.0.3:1029
192.69.1.1:5001
192.69.1.1:5002
SA= Source Address
69
NAT: considerazioni

Oltre alla modifica dell’indirizzo IP
nell’intestazione del pacchetto, il NAT effettua
anche altre operazioni:
• Ricalcolo della checksum IP
• Ricalcolo della checksum TCP
• Modifica del campo dati se questo contiene
riferimenti all’indirizzo IP da tradurre
UNICAM AA 2006/2007
70
NAT: applicativi supportati

Gli applicativi supportati:
• HTTP, TFTP, Telnet, NFS
• ICMP, FTP, DNS

Gli applicativi non supportati:
• DHCP
• SNMP
• DNS zone transfers
• IP multicast, H.323
• Routing table updates
UNICAM AA 2006/2007
71
FTP (File Transfer Protocol)

Il protocollo FTP si distingue dagli altri applicativi perche’
utilizza due connessioni TCP per trasferire un file
• una connessione di controllo
• una connessione dati


La connessione di controllo viene instaurata dal client
utilizzando la porta di destinazione 21. Questa
connessione rimane in piedi per tutto il tempo che il
client comunica con il server ed e’ utilizzata dal client per
inviare i comandi e dal server per inviare le risposte
La connessione dati viene creata ogni volta che un file
e’ trasferito tra il client ed il server. Questa connessione
viene instaurata dal server utilizzando la porta sorgente
20
UNICAM AA 2006/2007
72
FTP: esempio (1)
FTP Client
Port
1173
FTP Server
Control connection
PORT
195,31,235,5,4,150
IP: 195.31.235.5
Port
21
256x4 + 150=1174
Il comando utilizzato dal client per creare una connessione dati e’ PORT i
cui argomenti sono sei numeri decimali in ASCII separati da virgole:
i primi quattro numeri specificano l’indirizzo IP del client
•gli ultimi due numeri specificano la porta
UNICAM AA 2006/2007
73
FTP: esempio (2)
FTP Server
FTP Client
Port
1173
Port
1174
IP: 195.31.235.5
Control connection
Data connection Port
21
Port
SYN to 195.31.235.5 port 20
1174
Il server riceve il comando PORT ed apre una connessione TCP con il
client utilizzando come porta sorgente la 20 e porta di destinazione quella
specificata nel comando PORT
UNICAM AA 2006/2007
74
NAT e FTP





Il comando PORT contiene un riferimento all’indirizzo
IP, sebbene in formato ASCII, che deve essere tradotto
Questa operazione puo’ causare una modifica della
lunghezza del pacchetto IP
Se la nuova dimensione del pacchetto e’ inferiore a
quella originale, nel pacchetto vengono inseriti dei bit di
riempimento per ricondurre la dimensione del
pacchetto a quella originaria
Se il pacchetto diventa piu’ grande di quello originale, il
numero di sequenza (TCP) deve essere modificato
Una tabella speciale viene utilizzata per garantire la
corretta traduzione dei numeri di ACK e SEQ
UNICAM AA 2006/2007
75
NAT e sicurezza


Se i dati presenti nel pacchetto IP sono
cifrati non e’ possibile per il NAT
effettuare le operazioni di traduzione
all’interno del pacchetto
In particolare, le checksum IP e TCP
devono essere accessibili, e quindi le
corrispondenti intestazioni non possono
essere cifrate
UNICAM AA 2006/2007
76
NAT




Il numero di sessioni concorrenti supportate dal NAT
dipende dalla quantita’ di memoria disponibile
sull’apparato
E’ possibile utilizzare contemporaneamente sia
traduzioni statiche che dinamiche facendo attenzione
che gli indirizzi statici sano esclusi dal pool di indirizzi
dinamici
Solo una parte degli indirizzi della rete possono essere
tradotti attraverso il NAT configurando una access-list
che include l'insieme di host/reti che richiedono la
traduzione
Si possono mappare su un unico indirizzo pubblico
attraverso il PAT al massimo fino a 65535 indirizzi
UNICAM AA 2006/2007
77
Attacchi alla rete
Il rischio di essere in Internet



Molti protocolli della suite TCP/IP compresi i servizi di
rete che su di essi si basano, presentano delle
debolezze di progetto, oltreché dei bachi non
intenzionali
Queste debolezze possono essere sfruttate per
guadagnare in modo fraudolento l’accesso alle risorse
di una rete protetta
Non raramente e’ possibile guadagnare privilegi di
amministrazione su alcuni host incustoditi, che possono
essere usati successivamente come testa di ponte
verso altri elaboratori
UNICAM AA 2006/2007
78
Attacchi alla rete





Le cause di queste debolezze sono:
Software progettato e realizzato senza criteri di sicurezza
Software in cui l’aspetto security rappresenta un add-on
alla fine della realizzazione
Troppi programmi sono eseguiti con i privilegi di sistema
I programmatori non si avvalgono dello strato di sistema
operativo progettato per gestire gli aspetti relativi alla
sicurezza
I protocolli Internet essendo stati realizzati in un contesto
aperto, dove l’accento era posto sull’efficienza e la facilita’
di comunicazione, mostrano ora tutte le lacune dovute a
questo approccio progettuale
UNICAM AA 2006/2007
79
Attacchi alla rete
Gli attacchi piu’comuni:






Password eavesdropping, sniffing
Attacchi di tipo IP spoofing
Man-in-the-middle, Hijacking
Attacchi di tipo Denial of Service
Attacchi di tipo data driven
“Social Engineering”
UNICAM AA 2006/2007
80
Vulnerabilità




Errori nelle configurazioni
Errori nel codice
Errori umani
Caratteristiche intrinseche dei
sistemi
UNICAM, 28 febbraio 2007
Maria Laura Maggiulli - [email protected]
81
Incidente di sicurezza


Azione di attacco che raggiunge i propri
scopi sfruttando le vulnerabilità di un
sistema di protezione
Esempi:
• Impersonation
• Spoofing: masquerading, session hijacking, manin-the-middle
• Reply
• Modifica del messaggio
• Denial of Service: flooding, DDos, Smurphing,
ping of death, syn flood
• Trapdoor
• Cavallo di Troia
• Buffer overflow
82
Anatomia di un attacco
83
Caratterizzazione di un
incidente di sicurezza
84
Eavesdropping attack



UNICAM AA 2006/2007
Vulnerabili tutte le
macchine connesse
alla subnet
Furto diretto di login,
password, intera
transazione
Modifica real-time
dei dati in transito
85
Spoofing




Il termine spoofing indica la generazione
del traffico falsificando l'indirizzo
mittente
Arp spoofing
IP spoofing
Mail spoofing
UNICAM AA 2006/2007
86
ARP spoofing



Consiste nella creazione di una falsa
associazione fra il MAC address di una
scheda ethernet ed un indirizzo IP
Falsificando una risposta ad una richiesta
Arp si puo' indurre un sistema ad inviare
ad un altro sistema i pacchetti IP destinati
ad un altro
Utilizzabile solo su una rete locale,
permette attacchi man-in-the-middle,
aggira la protezione offerta dagli switch
UNICAM AA 2006/2007
87
IP Spoofing

La falsificazione di un indirizzo mittente
server per:
• Approfittare dei diritti di un altro sistema, se
legati ad indirizzi IP
• Effettuare attacchi facendo sembrare che
provengano da altro indirizzo
UNICAM AA 2006/2007
88
IP spoofing

Casi in cui è particolarmente efficace:
• l'attaccante si trova
tra mittente e destinatario e vuole
inserire pacchetti in una comunicazione esistente
• i pacchetti di risposta non sono necessari per
completare l'attacco (es.traffico di alcuni servizi UDP, in
cui per riuscire ad inviare i comandi non è necessario
stabilire una connessione)
• si desidera generare traffico senza essere intercettati
(attacchi DoS)
• Si desidera generare “rumore” con pacchetti
provenienti da piu' origini per rendere difficile il
riconoscimento (es. scanning come nmap)
UNICAM AA 2006/2007
89
IP Spoofing


Attraverso il driver di rete e’ possibile
costruire un datagram IP falsificando il
source IP address
E’ indispensabile intervenire a livello di
router (ad esempio in Cisco con il
comando no ip source route) e rafforzare
l’autenticazione (firewall)
UNICAM AA 2006/2007
90
DoS: Smurphing
ICMP Echo Request (lo spoofed source address e’ quello della
vittima) inviato all’IP broadcast address
ICMP Echo Reply
Internet
Attaccante
UNICAM AA 2006/2007
R
Vittima
91
Connection Hijacking



Popolare attacco locale che si applica alle
connessioni TCP/IP
Dirottamento, lettura e modifica runtime dei
dati trasmessi durante una sessione TCP
Rimedi
• Le one-time-password sono inutili
• L’unica soluzione e’ un canale di comunicazione
•
cifrato
Questo attacco non si e’ ancora largamente diffuso
UNICAM AA 2006/2007
92
Hijacking: fase 1
User host
User destination
L’hacker e’ situato tra
due network
1.1 L’utente fa login su una macchina remota attraverso il network
1.2 L’hacker osserva il login ed inizia a memorizzare il sequence
number dei pacchetti
UNICAM AA 2006/2007
93
Hijacking: fase
2
User host
User
destination
L’hacker e’ situato fra due network
2.1 L’hacker fa Denial of Service sulla macchina dell’utente
2.2 La sessione termine in maniera unilaterale
2.3 L’utente vede la propria sessione terminare senza
accorgersi di quello accadendo
UNICAM AA 2006/2007
94
Hijacking: fase
3
User host
User
destination
L’hacker e’ situato fra due network
3 L’hacker continua a lavorare all’interno della sessione
dell’utente
UNICAM AA 2006/2007
95
Data Driven Attacks




Sono difficili da individuare
I firewall consentono in minima parte di
bloccarli
la restrizione dei servizi disponibili e dei file che
gli utenti possono scaricare dalla rete possono
ridurre il potenziale rischio di attacco
l’educazione degli utenti a non eseguire senza
alcuna accortezza ciò che scaricano dalla rete
risulta attualmente l’unica soluzione al problema
UNICAM AA 2006/2007
96
Data Driven Attacks





Esempio 1:
L’hacker invia ad un utente tramite e-mail un
file postscript contente operazioni su file
L’utente visualizza sulla propria workstation il
file postscript
L’interprete esegue le operazioni contenute nel
file che aggiungono una entry nel file .rhosts
L’hacker esegue un rlogin sulla macchina
dell’utente
UNICAM AA 2006/2007
97
Data Driven Attacks





Esempio 2:
L’utente riceve per posta elettronica un
documento word da un collega
L’utente apre il file che, oltre a contenere i dati,
contiene delle macro, segmenti di codice
eseguibile che generalmente hanno pieno
accesso alle risorse del PC
le macro cancellano importanti file di sistema
sulla macchina dell'utente
Le macro, inoltre, si insediano in altri file word
presenti sul disco..
UNICAM AA 2006/2007
98
Denial of Service Attacks



Finalita’: interruzione di “serviceability”
Difficili da individuare e sempre in
congiunzione con IP spoofing
Sono generalmente progettati in
maniera distribuita (distribuited denial
of service DDoS): l’attaccante si avvale
di host inconsapevoli conquistati in
precedenza che vengono pilotati da
remoto contro la vittima
UNICAM AA 2006/2007
99
UNICAM AA 2006/2007
100
Smurfing - Fraggle
attaccante
broadcast
echo request
Indirizzo sorgente falsificato
(spoofing) come indirizzo
della vittima
rete amplificante
(intermediario)
vittima
echo replies ricevuti dalla vittima in ragione delle risposte ai
pacchetti di broadcast inviati dall’indirizzo della vittima
a tutti i componenti della rete dell’intermediario
Smurfing - Fraggle
L’aggressore invia flussi di traffico verso indirizzi di broadcast attribuendosi
come indirizzo sorgente quello della vittima. Se i router sulle reti di
destinazione propagano i broadcast IP al livello 2 tutti gli host su tali reti
risponderanno all’indirizzo falsificato con un echo-reply generando a
ritroso un flusso di traffico pari a quello entrante moltiplicato per il loro
numero
!blocca il traffico esplicitamente destinato a indirizzi di broadcast
access-list 110 deny ip any 0.0.0.255 255.255.255.0
access-list 110 deny ip any 0.0.0.0 255.255.255.0
access-list 110 permit ip any any
! Su tutte le interfacce broadcast-capable disabilita la propagazione dei
directed-broadcast a livello 2 - tale opzione e’ il default a partire da IOS
12.0
interface Ethernet0/0
no ip directed-broadcast
Smurfing - Fraggle
Espressioni di filtraggio tcpdump:
Broadcast network.255:
Broadcast network.0 :
ip and ip[19] = 0xff
ip and ip[19] = 0x00
00:00:05.327
00:00:05.342
00:00:14.154
00:00:14.171
spoofed.target.com
spoofed.target.com
spoofed.target.com
spoofed.target.com
>
>
>
>
192.168.15.255:
192.168.1.255:
192.168.15.255:
192.168.1.255:
05:20:48.261
05:20:48.263
05:21:35.792
05:21:35.819
spoofed.target.com
spoofed.target.com
spoofed.target.com
spoofed.target.com
>
>
>
>
192.168.0.0:
255.255.255.255:
192.168.0.0:
255.255.255.255:
icmp:
icmp:
icmp:
icmp:
icmp:
icmp:
icmp:
icmp:
echo
echo
echo
echo
echo
echo
echo
echo
request
request
request
request
request
request
request
request
Smurfing usa per gli attacchi l’ICMP echo request/reply
Fraggle usa UDP echo request/reply
Landing
Il “land” o TCP loopback DoS è basato sull’invio di TCP SYN con
indirizzo e porta sorgente falsificati e impostati identici a indirizzo e
porta di destinazione. Questo può causare per release IOS meno
recenti il blocco totale del router
L’applicazione di una regola/ACL di filtraggio anti-spoofing previene
Completamente a possibilità di tali attacchi dall’esterno:
access-list 110 deny ip 192.4.1.0 0.255.255.255 any
Per un’attacco in corso dall’interno l’unica possibilità è il filtraggio diretto dei
Pacchetti che caratterizzano l’attacco
access-list 110 deny ip host 192.4.1.1 host 192.4.1.1
access-list 110 permit ip any any
Landing
Caratterizzazione:
•IP sorgente = IP destinazione (sorgente spoofed)
•port sorgente = port destinazione
•Pacchetti TCP packet con il SYN flag settato
•Port aperta sull’host target
Filtri tcpdump
ip[12:4] = ip[16:4]
Rileva i pacchetti con indirizzo sorgente e di destinazione uguali
ip[12:2] = ip[16:2]
Rileva i pacchetti con indirizzi di network sorgente e destinazione uguali
10:56:32.395383 gamma1.victim.net.139 > gamma1.victim.net.139: S
Connessione TCP

Per stabilire una connessione il TCP usa il three-way
handshake
Events at sender site
Network Messages
Events at receiver site
Send SYN seq=x
Receive SYN + ACK segment
Send ACK y+1
Receive SYN segment
send SYN seq=y, ACK x+1
Receive ACK segment
UNICAM AA 2006/2007
106
DoS
Client
Server
SYN, SEQC
Connessione TCP
normale (1)
UNICAM AA 2006/2007
107
DoS
Client
Server
SYN, SEQC
SYN, ACK,
SEQC +1, SEQs
Connessione TCP
normale (2)
UNICAM AA 2006/2007
108
DoS
Client
Server
SYN, SEQC
SYN, ACK,
SEQC +1, SEQs
+1
SYN, ACK,
SEQC +1, SEQs
Connessione TCP
normale (3)
UNICAM AA 2006/2007
109
DoS: TCP SYN Flooding




All’inizio di una connessione TCP il server riceve
un pacchetto SYN da un client ed invia un SYN
ACK
La connessione viene stabilita quando il client
invia l’ACK in risposta al SYN ACK
In attesa dell’ACK una coda di dimensioni finite
tiene traccia sul server delle connessioni in via
di completamento
Generando pacchetti TCP di SYN aventi indirizzi
IP casuali e’ possibile riempire tale coda sul
server (disabilitandone i servizi TCP) il quale
rimane in attesa dell’ACK in risposta al SYN ACK
UNICAM AA 2006/2007
110
ICMP Bombing
Tecnica di flooding che prevede il congestionamento di linee e il
sovraccarico elaborativo di routers e hosts attraverso l’invio massivo e
indiscriminato di messaggi ICMP (in genere HOST-UNREACHABLE o
NETWORK-UNREACHABLE, più raramente anche ECHO request)
01:00:38.861865
01:00:38.903375
01:00:39.925395
01:00:39.014343
01:00:39.035095
pinger.mappem.com
pinger.mappem.com
pinger.mappem.com
pinger.mappem.com
pinger.mappem.com
>
>
>
>
>
192.168.6.1:
192.168.6.2:
192.168.6.1:
192.168.6.1:
192.168.6.2:
icmp:
icmp:
icmp:
icmp:
icmp:
echo
echo
echo
echo
echo
request
request
request
request
request
attaccante
rete
vittima
echo request /echo reply
ICMP Bombing – Filtraggio in banda
E’ possibile prevenire o reagire ad attacchi basati sull’ICMP bombing
limitando in banda i flussi di traffico offensivi (ICMP) tramite la QoS facility
“Committed Access Rate” (CAR) integrata nell’ambito dei meccanismi
CEF e “DISTRIBUTED CEF”
Limita il solo traffico ICMP consentito
access-list 102 permit icmp any any
Applica il filtro in banda (8Kbps) sulla border interface
interface Serial3/0/0
rate-limit input access-group 102 256000 8000 8000
conform-action transmit exceed-action drop
Si può limitare solo il traffico relativo a ICMP ECHO e UNREACHABLE
access-list 102 permit icmp any any echo
access-list 102 permit icmp any any echo-reply
access-list 102 permit icmp any any unreachable
ICMP Bombing – Traffic shaping
Il Generic Traffic Shaping (GTS) è un meccanismo di packet filtering di
tipo token-bucket che permette di imporre a un flusso di traffico IP un
throughput massimo inferiore a quello nominale relativo all’interfaccia
del router attraverso cui avviene la trasmissione. Tale meccanismo
può essere utilizzato per prevenire DoS di flooding predimensionando
opportunamente la banda riservata al traffico sospetto
Al traffico ICMP non va garantito più di 1Mb
interface Serial0 traffic-shape group 101 1000000
125000 125000
Anche l’uso del Weighted Fair Queueing si rivela generalmente
piuttosto efficace per migliorare la tolleranza ai flooding
interface Serial 3/0
ip unnumbered Ethernet 0/0
fair-queue 64
Ping of Death

Negli anni passati molte implementazioni
di TCP/IP non erano in grado di gestire
correttamente pacchetti ICMP echo
request di grandi dimensioni, con il
risultato che l'invio di un tale pacchetto
ping bloccava completamente il sistema
UNICAM AA 2006/2007
114
Ping o’ Death
Internet
construisce
I frammenti
attaccante
assembla
I frammenti
buffer
65535 bytes
Riceve i
frammenti
vittima
La taglia dell’
ultimo frammento causa
overflow
Ping o’ Death
Filtri tcpdump:
icmp and (ip[6:1] & 0x20 !=0)and (ip[6:2] & 0x1fff = 0)
12:43:58.431 big.pinger.org > www.mynetwork.net:
icmp: echo request
...
(frag 4321:380@0+)
(frag 4321:380@2656+)
(frag 4321:380@760+)
(frag 4321:380@63080+)
(frag 4321:380@64216+)
(frag 4321:380@65360)
L’aggressore invia un pacchetto ICMP ping più grande della massima taglia
consentita per i pacchetti IP: 65535 bytes (380 + 65360 = 65740).
Caratterizzazione dell’attacco:
• pacchetti ICMP con il flag MF settato e il campo fragment-offset a zero
• la dimensione totale dei pacchetti riassemblati supera 65535 bytes
Contromisure relative ai Denial of
Service
UNICAM AA 2006/2007
117
DoS: TCP SYN Flooding
Network Messages
Attacker
Server
SYN
Ignored queue full
UNICAM AA 2006/2007
118
TCP SYN Flooding
Il SYN flooding è una tecnica di DoS caratterizzata dall’apertura di un
elevato numero di connessioni da indirizzi diversi, ovviamente falsificati,
verso la vittima, curando di evitare l’ACK di chiusura del TCP three way
handshake al fine di saturarne la coda di connessione
SYN
origine
(IP spoofed)
04:37:19
04:37:19
04:37:19
04:37:19
04:37:19
04:37:19
04:37:19
X
10.10.10.13.41508
10.10.10.14.41508
10.10.10.15.41508
10.10.10.16.41508
10.10.10.17.41508
10.10.10.18.41508
10.10.10.19.41508
SYN - ACK
>
>
>
>
>
>
>
target.23:
target.23:
target.23:
target.23:
target.23:
target.23:
target.23:
S
S
S
S
S
S
S
vittima
(blocco connessioni)
3935335593:3935335593(0)
3935335593:3935335593(0)
3935335593:3935335593(0)
3935335593:3935335593(0)
3935335593:3935335593(0)
3935335593:3935335593(0)
3935335593:3935335593(0)
L’origine dell’attacco viene fatta corrispondere a un indirizzo inesistente in modo
che la vittima non riceverà mai a ritroso gli ACK-SYN-ACK generati a fronte dei SYN
Diagnostic Port DoS
Espressione di filtraggio per tcpdump:
udp and ( ((port 7) and (port 13)) or ((port 7) and
(port 19)) or ((port 7) and (port 37)) or ((port 13) and
(port 19)) or((port 13) and (port 37)) or ((port 19) and
(port 37)) or ((src port 7) and (dst port 7)) or
((src port 13) and (dst port 13)) or((src port 19) and
(dst port 19)) or ((src port 37) and (dst port 37)) )
Un singolo pacchetto avvia l’oscillazione creando il loop infinito
08:08:16.155354 spoofed.target.net.echo > 172.31.203.17.chargen: udp
Per ottenere un effetto amplificato di ricorre a diversi stream di pacchetti
08:08:16.155354
08:21:48.891451
08:25:12.968929
08:42:22.605428
08:47:21.450708
08:51:27.491458
08:53:13.530992
spoofed.target.net.echo
>
>
>
>
>
>
>
172.31.203.17.chargen: udp
192.168.14.50.chargen: udp
192.168.102.3.chargen: udp
192.168.18.28.chargen: udp
172.31.130.93.chargen: udp
172.31.153.78.chargen: udp
172.31.46.49.chargen: udp
Diagnostic Port DoS
L’invio di elevate quantità di traffico TCP o UDP sulle porte di diagnostica
del router (echo, discard, chargen, daytime) può avere un notevole
impatto sia sulla rete che sul carico elaborativo del router stesso, fino a
degradarne le prestazioni o causarne, in condizioni estreme il blocco
! E’ consigliabile disabilitare a livello di IOS tutti i servizi “diagnostic port”
no service udp-small-servers
no service tcp-small-servers
Servizi abilitati
udp-small-servers: echo, discard, chargen
tcp-small-servers: echo, chargen, discard, daytime
per default sulle
release IOS < 12.0
! Per proteggere anche gli host interni va bloccato tutto il traffico verso i
! servizi “diagnostic port”
access-list
access-list
access-list
access-list
110
110
110
110
deny
deny
deny
deny
udp
udp
udp
udp
any
any
any
any
172.16.0.0
172.16.0.0
172.16.0.0
172.16.0.0
0.0.255.255
0.0.255.255
0.0.255.255
0.0.255.255
eq
eq
eq
eq
7
13
19
37
Diagnostic Port DoS
nome
port
number
descrizione
del servizio
echo
7/udp
7/tcp
il server restituisce in echo a ritroso
quanto inviato dal client
discard
9/udp
9/tcp
il server scarta in modo silente
quanto inviato dal client
daytime
13/udp
13/tcp
il server restituisce ora e data
in formato leggibile
chargen
19/udp
19/tcp
il server risponde con un datagramma
contenente una stringa di caratteri ascii
il server invia uno stream continuo di
caratteri finchè la connessione non
viene terminata dal client
37/udp
37/tcp
il server restituisce ora e data
in formato binario a 32 bit
time
Distributed Denial of Service
Il Client controlla
E attiva l’attacco
Gli Handler sono host
compromessi che
Controllano gli agents
Schermando I clients
Gli Agents sono host
compromessi che hanno
il compito di realizzare
effettivamente gli attacchi
Le fasi e la dinamica di un DDoS
3.
Scansione di decine di migliaia di hosts per l’individuazione di
vulnerabilità note e sfruttabili
5.
Exploit delle vulnerabilità a scopo di compromissione degli
host conquistandone l’accesso
7.
Installazione dei tools per la realizzazione del DDoS
9.
Sfruttamento degli hosts conquistati come base di partenza
per ulteriori scansioni e compromissioni reiterando il punto 3
11. Una volta installati i DDoS tools su un numero sufficiente di
hosts si procede all’avvio dell’attacco attivando handlers e
agents a partire da un client remoto
Caratterizzazione e tipologie
Esiste un certo numero di DDoS tools caratterizzati dalle tecniche di
distribuzione dell’attacco fra clients, agent, handlers, dalle porte di default (che
possono comunque variare) e dai meccanismi usati per la loro comunicazione
Trinoo
1524 tcp
27665 tcp
27444 udp
31335 udp
TFN
ICMP ECHO/ICMP ECHO REPLY
Stacheldraht
16660 tcp
65000 tcp
ICMP ECHO/ICMP ECHO REPLY
TFN2K
Specificata a runtime o scelta random come
combinazione di pacchetti UDP, ICMP and TCP
Tutte le tecniche in questione realizzano replicatamente attacchi DoS
classici (ICMP Bombing, SYN-Flood, Smurfing etc)
Tecniche di difesa e contromisure
Abilitazione di CEF e Unicast Reverse path Forwarding
ip verify unicast reverse-path
- Applicazione dei filtri anti-spoofing in ingresso e in uscita
access-list
access-list
access-list
access-list
110
110
111
111
deny ip 165.21.0.0 0.0.255.255
any log
permit ip any any
permit ip 165.21.0.0 0.0.255.255 any
deny ip any any log
- Limitazione in banda dei flussi di traffico ICMP e relativi ai SYN
access-list 103 deny tcp any any established
access-list 103 permit tcp any any
Caratterizzazione DoS via ACL
In assenza di un’analizzatore di protocollo o di uno sniffer è ugualmente
possibile individuare e caratterizzare i principali attacchi di tipo DoS in
corso attraverso l’analisi dei “firing counters” di un ACL “di servizio”
opportunamente costruita allo scopo:
access-list
access-list
access-list
access-list
access-list
access-list
access-list
169
169
169
169
169
169
169
permit
permit
permit
permit
permit
permit
permit
icmp any any echo
icmp any any echo-reply log-input
udp any any eq echo
udp any eq echo any
tcp any any established
tcp any any
ip any any
# show access-list 169
Extended IP access list 169
permit icmp any any echo (2 matches)
permit icmp any any echo-reply (21374 matches)
permit udp any any eq echo
permit udp any eq echo any
permit tcp any any established (150 matches)
permit tcp any any (15 matches)
permit ip any any (45 matches)
• Le ACL vanno predisposte quanto più
possibile prossime all’obiettivo dell’attacco
Smurfing: Vittima
Il numero di echo-reply ricevuti è elevatissimo rispetto a quello dei request
…
…
Gli indirizzi sorgente degli echo reply sono raggruppabili in un insieme limitato di
origini che individuano gli amplificatori o “reflectors”
# show log
%SEC-6-IPACCESSLOGDP: list 169 denied
(Serial0 *HDLC*) -> 16.2.3.7 (0/0), 1
(Serial0 *HDLC*) -> 16.2.3.7 (0/0), 1
(Serial0 *HDLC*) -> 16.2.3.7 (0/0), 1
(Serial0 *HDLC*) -> 16.2.3.7 (0/0), 1
icmp 192.168.45.142
packet
icmp 192.168.45.142
packet
icmp 192.168.212.72
packet
icmp 192.168.212.72
packet
Smurfing: Amplificatore
Il numero di echo-request ricevuti è elevatissimo rispetto a quello dei reply
Gli indirizzi di destinazione degli echo request individuano dei broadcast diretti ed
in genere riportano come sorgente sempre lo stesso indirizzo
# show log
%SEC-6-IPACCESSLOGDP: list 169
(Serial0 *HDLC*) -> 16.2.3.255
(Serial0 *HDLC*) -> 16.2.3.255
denied
(0/0),
denied
(0/0),
icmp 192.168.45.142
1 packet
icmp 192.168.45.142
1 packet
Si riscontra un elevato numero di broadcast sulla LAN interna
# show int fast 4/0/0
FastEthernet4/0/0 is up, line protocol is up
...
442344667 packets input, 3565139278 bytes, 0 no buffer
Received 1247787654 broadcasts, 0 runts, 0 giants, …
Fraggle: Vittima
Il numero di udp echo-reply ricevuti è elevatissimo rispetto a quello dei request
…
permit udp any any eq echo (9845 matches)
permit udp any eq echo any (1374421 matches)
…
Gli indirizzi sorgente degli echo reply sono raggruppabili in un insieme limitato di
origini che individuano gli amplificatori o “reflectors”
# show log
(Serial0 *HDLC*) -> 16.2.3.7 (0/0), 1
(Serial0 *HDLC*) -> 16.2.3.7 (0/0), 1
(Serial0 *HDLC*) -> 16.2.3.7 (0/0), 1
(Serial0 *HDLC*) -> 16.2.3.7 (0/0), 1
udp 192.168.45.142
packet
udp 192.168.45.142
packet
udp 192.168.212.72
packet
udp 192.168.212.72
packet
Fraggle: Amplificatore
Il numero di udp echo-request ricevuti è elevatissimo rispetto a quello dei reply
permit udp any any eq echo (45653 matches)
permit udp any eq echo any (64 matches)
Gli indirizzi di destinazione degli echo request individuano dei broadcast diretti ed
in genere riportano come sorgente sempre lo stesso indirizzo
# show log
(Serial0 *HDLC*) -> 10.2.3.255
(Serial0 *HDLC*) -> 10.2.3.255
denied
(0/0),
denied
(0/0),
udp 192.168.45.142
1 packet
udp 192.168.45.142
1 packet
Si riscontra un elevato numero di broadcast sulla LAN interna
# show ip traffic
IP statistics:
…
Bcast: 1147598643 received, 65765 sent
Mcast: 188967 received, 459190 sent
SYN Flood
Il numero di pacchetti relativi alla fase di 3-way handshake (seconda linea) supera
abbondantemente quello di pacchetti su connessioni già stabilite
…
permit tcp any any established (150 matches) [socket stabilite]
permit tcp any any (3654 matches)
[socket in syn]
…
È inoltre possibile constatare dall’output delcomando show log la presenza di
indirizzi sorgente non validi, oggetto di spoofing.
Ping Flood
Il numero di echo-request e reply ricevuti è elevato con i request che in genere
superano i reply. Gli indirizzi sorgente non sono oggetto di spoofing.
…
…
Caratterizzazione DoS via Netflow
• Tutti i dati di accounting (flussi di traffico, protocolli etc.)
possono essere raccolti ed inviati periodicamente da
ciascun router a un apposito data-collector per successive
analisi
• Abilitazione Netflow
ip flow-export version 5 origin-as
ip flow-export destination x.x.x.x
interface xy
ip route-cache flow
Individuazione DoS via netflow
E’ possibile individuare la presenza e gli estremi di un DoS in atto
attraverso l’analisi della netflow cache riscontrando flussi anomali di
traffico che si discostano in maniera evidente dal modello di baseline
#show ip cache flow
…
SrcIf
SrcIPaddress
Fa4/0/0
192.132.34.17
Fa4/0/0
192.132.34.17
Fa4/0/0
192.133.28.1
Fa4/0/0
192.132.34.17
Fa4/0/0
143.225.231.7
Fa4/0/0
192.132.34.17
Fa4/0/0
192.132.34.17
Fa4/0/0
192.133.28.7
Fa4/0/0
143.225.209.72
Fa4/0/0
192.133.28.7
Fa4/0/0
192.133.28.1
Se6/7
156.14.1.122
Fa4/0/0
192.132.34.17
Fa4/0/0
192.132.34.17
…
Origine
DstIf
AT1/0/0.1
AT1/0/0.1
Fa4/0/0
AT1/0/0.1
AT1/0/0.1
AT1/0/0.1
AT1/0/0.1
AT1/0/0.1
AT1/0/0.1
AT1/0/0.1
AT1/0/0.1
AT1/0/0.1
AT1/0/0.1
AT1/0/0.1
DstIPaddress
148.240.104.176
63.34.210.22
143.225.219.187
216.207.62.22
143.225.255.255
148.240.104.176
148.240.104.176
164.124.101.44
209.178.128.121
192.5.5.242
198.41.0.4
130.186.1.53
61.159.200.203
61.159.200.203
Destinazione
Pr
06
06
11
06
11
06
06
11
01
11
11
11
06
06
SrcP
080C
0AEB
0035
0FD2
007F
0015
0015
0035
0000
0035
0444
0035
0553
052C
DstP
1388
0666
9F37
0578
007D
1381
1382
0035
0000
0682
0035
0035
042F
0428
Pkts
1
15K
1
7195
1
13
12
2
561K
1
1
1
75
12K
Traffico
Diagnostic Port DoS
attaccante
spoofing dell’idirizzo origine,
Eventualmente un broadcast
intermediario
chargen
port 19
echo
port 7
vittima
Congestione rete e CPU
TCP SYN Flooding – Filtraggio in banda
E’ possibile reagire attivamente durante un attacco di tipo “SYN flooding”
per ridurne drasticamente l’impatto, limitando in banda il flusso di traffico
offensivo tramite la QoS facility “Committed Access Rate” (CAR)
integrata nell’ambito dei meccanismi CEF e “DISTRIBUTED CEF”
Non influenzare le sessioni TCP già completamente stabilite
access-list 103 deny tcp any host 10.0.0.1 established
Limita in banda tutto il restante traffico (le sessioni in SYN)
access-list 103 permit tcp any host 10.0.0.1
Applica il filtro in banda (8Kbps) sulla border interface
TCP SYN Flooding – TCP Intercept
Disponibile in IOS 11.2(4)F, 11.3 e successive, previene i SYN-flood
intercettando e validando, in modalità “proxy” le richieste di connessione
TCP verso gli hosts, definiti tramite ACL, aprendo una semiconnessione
col client successivamente estesa al server in caso di successo
ip
ip
ip
ip
ip
tcp
tcp
tcp
tcp
tcp
intercept
intercept
intercept
intercept
intercept
list 100
connection-timeout 60
watch-timeout 10
one-minute low 1500
one-minute high 6000
access-list 100 permit tcp any x.x.x.0 0.0.0.255
TCP SYN Flooding
TCP
Local Address
Remote Address
State
-------------------- -------------------- ------*.*
*.*
IDLE
*.sunrpc
*.*
LISTEN
*.ftp
*.*
LISTEN
*.telnet
*.*
LISTEN
*.finger
*.*
LISTEN
target.telnet
10.10.10.11.41508
SYN_RCVD
target.telnet
10.10.10.12.41508
SYN_RCVD
target.telnet
10.10.10.13.41508
SYN_RCVD
target.telnet
10.10.10.14.41508
SYN_RCVD
target.telnet
10.10.10.10.41508
SYN_RCVD
target.telnet
10.10.10.15.41508
SYN_RCVD
target.telnet
10.10.10.16.41508
SYN_RCVD
target.telnet
10.10.10.17.41508
SYN_RCVD
target.telnet
10.10.10.18.41508
SYN_RCVD
target.telnet
10.10.10.20.41508
SYN_RCVD
*.*
*.*
IDLE
Output di
netstat -a
sull’host
vittima
Una volta che la specifica coda al livello di TCP stack è completamente
saturata dalle connessioni in fase di setup qualsiasi apertura di un TCP
socket verso la vittima diventa impossibile
Analisi dei rischi associati ad un'intrusione






Downtime
System manager’s time
Clean-up costs
Immagine
Disclosure of trade secrets, cartelle cliniche,
informazioni finanziarie
Rischio troppo elevato: no Internet connection
UNICAM AA 2006/2007
140
Firewall e Internet access


I meccanismi che controllano l’accesso ad Internet
trattano il problema di schermare una particolare rete o
una organizzazione da comunicazioni non desiderate
tali meccanismi prevenire:
• l’accesso alle informazioni
• la modifica delle informazioni
• l’alterazione delle comunicazioni in una intranet



Il controllo di accesso richiede una attenta combinazione
di restrizioni sulla topologia della rete, gestione delle
informazioni, e filtri di pacchetto (packet filters)
Una singola tecnica conosciuta come Internet Firewall e’
la base per il controllo dell’accesso ad Internet
Il firewall collega una intranet a reti esterne, definendo
due regioni: inside e outside
UNICAM AA 2006/2007
141
Firewall
Firewall
Internet
Rete aziendale
OUTSIDE
INSIDE
Policy
Un firewall puo’ essere una workstation, un router o una
combinazione di questi elementi
UNICAM AA 2006/2007
142
Multiple connection and weakest links


Una intranet di una organizzazione può avere più
connessioni esterne: l’organizzazione deve fornire un
perimetro di sicurezza per installare un firewall ad ogni
connessione esterna
Per garantire che il perimetro sia effettivo i firewall
devono essere configurati per usare le stesse restrizioni
di accesso, per non rendere vulnerabile l’accesso alla
rete
UNICAM AA 2006/2007
143
Principi guida per una security
policy basata su firewall

Least privilege
• privilegi minimi per ogni componente

Defense in depth
• elevato livello di sicurezza per ogni componente

Choke point
• Il bastion host come unico punto di contatto

Fail-safe stance
• Cio’ che non e’ esplicitamente permesso e’ negato
UNICAM AA 2006/2007
144
Firewall design policy






Quali utenti?
Quali host?
Quali servizi?
Quali metodi di autenticazione?
Controllo di accessi verso l’esterno?
Quali orari di collegamento?
UNICAM AA 2006/2007
145
Firewall: componenti

I firewall attuali sono formati da uno o piu’ componenti
funzionali, accettando in diversi casi l’una piuttosto che
l’altra
• PACKET FILTERING
• APPLICATION GATEWAY (PROXY SERVER)
• STATEFUL INSPECTION
UNICAM AA 2006/2007
146
Firewall
Firewall
Auth. module
Application
Gateway
Stack
TCP/IP
Application
(FTP, HTTP..)
Transport
(TCP, UDP)
Stateful
Inspection
Engine
Packet
Filters
UNICAM AA 2006/2007
7 Application
6
Presentation
5 Session
4
Transport
Internetwork
(IP,ICMP)
3 Network
Subnetwork
2 Data
Link
1 Physical
layers
OSI
147
UNICAM AA 2006/2007
148
Packet Filtering
Packet- filtering
Internet
IP
TCP
header header
IP
header
Rules
Payload
ICMP
message
UNICAM AA 2006/2007
Rete aziendale
IP source
Accept
IP destination
TCP/UDP source
TCP/UDP destination
ICMP message type
149
Packet filtering






E’ normalmente implementato utilizzando i router
Un packet filtering firewall analizza ogni pacchetto che
lo attraversa decidendo se inoltrarlo o no in base a
delle regole di filtro: le Access Control List (ACL)
Il packet filter lavora al livello network: decide se
inoltrare il pacchetto in base a:
Indirizzo IP sorgente, Indirizzo IP destinazione
Porta TCP/UDP sorgente, porta TCP/UDP destinazione
Il Packet Filter non ha memoria di sessione (stateless):
ogni pacchetto viene analizzato senza tenere conto di
evetuali relazioni con i pacchetti precedenti
UNICAM AA 2006/2007
150
Access Control List


Il traffico che attraversa il router e’ controllato da una
Access Control List che permette di abilitare/ negare il
flusso dei pacchetti, in funzione degli host/servizi
interessati
Per abilitare, ad esempio, la mail, un’ACL potrebbe
avere il seguente formato:
Type
Src_IP Dst_IP
Src_Port
Dst_port Action
tcp
*
192.106.248.*
*
25
permit
*
*
192.106.248.*
*
*
deny
Tutto quello che non e’ esplicitamente previsto,
e’ negato
UNICAM AA 2006/2007
151
Uso delle ACL

Alla ricezione di un pacchetto il packet filter:
• scorre la lista di accesso dalla prima riga in ordine
•
•

sequenziale
se trova una riga che corrisponde
all’indirizzo/protocollo/port del pacchetto
scarta/accetta (deny/permit) il pacchetto
se a fine lista non e’ stata trovata alcuna
corrispondenza il pacchetto viene scartato; cioe’ ad
ogni fine lista si considera una riga implicita del tipo:
deny ip any any
E’ essenziale l’ordine con cui sono scritte le
righe della ACL
UNICAM AA 2006/2007
152
ACL:strategie di scrittura


E’ possibile definire una ACL secondo due strategie:
Default Deny: tutto cio’ che non viene esplicitamente
permesso si considera negato
• approccio piu’ sicuro
• difficile da scrivere: la lista dei permessi potrebbe essere
•

lunga
e’ facile creare ACL restrittive
Default Permit: tutto cio’ che non viene
esplicitamente negato, si considera permesso
• facile da scrivere: basta negare i servizi a rischio
• Rischiosa: posso dimenticare di negare qualcosa di
importante per la sicurezza
UNICAM AA 2006/2007
153
Packet Filtering: Pro e Contro

Pro

• bassi costi di
implementazione
• Alto throughput
• Trasparenza all’utente
Contro
• L’ACL puo’ diventare
•
•
•
•
•
UNICAM AA 2006/2007
molto complessa
No logging
No user
authentication
No data Filtering
IP Spoofing
Visibilita’ della rete
protetta
154
Proxy/Firewall


I firewall individuabili come Application Level
Gateways,
Gateways sono spesso chiamati anche Proxy
Firewall perche’ basati su Security Proxies, per
ciascuno dei servizi che devono essere acceduti sulla
rete protetta
Un Proxy si comporta:
• come un server per il client che vuole accedere ad un
•
servizio residente su una macchina della rete protetta
come un client verso l’effettivo server di destinazione
In nessun caso il client remoto puo’ connettersi verso il
server di destinazione
UNICAM AA 2006/2007
155
Proxy Firewall
External
Server
Internet
3
2
Proxy
Proxy
server
Application
Protocol
Analysis
Proxy
client
Application
layer proxy
service
4
1
UNICAM AA 2006/2007
Rete aziendale
156
Proxy Firewall:regole di filtro



Le regole di filtro utilizzate da un Proxy Firewall al
fine di inoltrare o scartare i pacchetti possono essere
molto piu’ raffinate in quanto lavorando a livello
applicativo, il firewall puo’ ispezionare, se il caso, anche
il contenuto dei pacchetti
Il proxy, al contrario del Packet Filter, e’ in grado di
elaborare regole che richiedano l’autenticazione
dell’utente che cerca di connettersi
Normalmente i firewall applicativi svincolano
l’amministratore dalla necessita’ di scrivere le regole di
filtro secondo un ordine preciso: il software e’ in grado
di applicarle comunque secondo una logica di sicurezza
massima
UNICAM AA 2006/2007
157
Proxy Firewall: Pro e contro

PRO:
• la rete privata e’
invisibile (NAT)
• Strong User
Authentication
• Full Logging
• Real Time alarm and
alert monitorin
• Content Filtering
UNICAM AA 2006/2007

Contro:
• Non trasparenza
• Basse prestazioni
• Non supportano ogni
possibile servizio, ma
soltanto quelli per cui
esiste il relativo
Security Proxy
158
Stateful Inspection





Questo tipo di funzionalita’ cerca di mescolare i vantaggi delle
funzionalita’ di packet filtering e di application gateway
L’analisi dell’intestazione dl pacchetto che attraversa il firewall
viene effettuata in modo centralizzato
Se il motore di analisi, in seguito all’ispezione del pacchetto,
rileva, in base alla security policy da implementare la
necessita’ di autenticazione dell'utente, il controllo viene
trasferito ad un motore di autenticazione
Una volta effettuata l’autenticazione, i successivi pacchetti
facenti parte della medesima sessione vengono considerati
come autenticati, senza dover ulteriormente chiamare in
causa il SW di autenticazione (approccio stateful)
Trasparenza(come il packet filter) e Memoria di Sessione
(come proxy)
UNICAM AA 2006/2007
159
Stateful Inspection
Firewall
Client
UDP
SP=5678
DP=123
OK
OK
NOT
OK
Time
Internal Network
UNICAM AA 2006/2007
Server
UDP
SP=123
DP=5678
UDP
SP=123
DP=6789
External Network
160
Firewall: architetture

Le varie componenti di un firewall possono
essere implementate:
• su uno o piu’ apparati
• in modo hardware e/o software

La topologia del sistema incide sulla sua
sicurezza complessiva
UNICAM AA 2006/2007
161
UNICAM AA 2006/2007
162
Architetture: screening router

Protegge la rete interna attraverso tecniche di
IP packet filtering
Packet- filtering
router
Router
Internet
Rete aziendale
UNICAM AA 2006/2007
163
Architetture: screening router


Pro:
•
•
•
•
•
economico (di solito gia’
si possiede l’apparato)
non richiede la modifica
delle applicazioni di rete
nessun cambiamento
nelle configurazioni dei
sistemi
puo’ essere fatto senza
la conoscenza ed il
permesso degli utenti
e’ facile modificare la
policy in modo rapido
UNICAM AA 2006/2007
Contro:
•
•
•
•
•
•
•
difficolta’ nella configurazione, testing e
gestione delle ACL
alcuni protocolli sono difficili da filtrare senza
comprometterne la funzionalita’
no logging
impossibilita’ di autenticazione dell’utente; tutti
gli host della rete interna devono mantenere i
loro meccanismi di autenticazione
la sicurezza e’ concentrata su un solo punto
i server interni dovranno essere dotati di
sicurezza aggiuntiva
la password di accesso ai router puo’ essere
oggetto di attacco
164
Architetture: Dual- homed



Calcolatore con due schede di rete con il routing
e IP forwarding disabilitato
Il router filtra tutto tranne cio’ che e’ diretto
verso il proxy
Soltanto i servizi per cui esiste un proxy service
possono attraversare i firewall
Internet
Router
Dual-homed
gateway
UNICAM AA 2006/2007
Rete aziendale
165
Architetture: Dual- homed



L’application gateway (bastion host) ha una sola
interfaccia di rete
Il router consente in ingresso solo il traffico verso il bastion
host per i servizi proxy; la rete interna e’ anch’essa
costretta ad usare il proxy
Il traffico in uscita dalla rete protetta, cosi’ come quello in
ingresso e’ consentito direttamente solo per quei servizi
senza il corrispondente proxy
UNICAM AA 2006/2007
166
Architetture:Screened host
FTP
WWW
Bastion Host
Traffico permesso
Internet
Router
Traffico bloccato
Rete protetta
Traffico permesso soloo per particolari
servizi
UNICAM AA 2006/2007
167
Architetture:Screened subnet
Screened Subnet
SMTP
DNS
Bastion Host
DMZ
RouterA
Internet
RouterB
Traffico permesso
Traffico permesso
Rete protetta
Publi Servers
Traffico bloccato
UNICAM AA 2006/2007
168
Problemi insoluti

Il firewall non e’ una panacea:
• Accesso ristretto ad alcuni servizi
• Backdoors
• Virus
• Throughput
• Single point of failure
• Comunque alcune connessioni devono passare
UNICAM AA 2006/2007
169
Valutazione di un firewall

Bisogna aver chiare le proprie esigenze
poiche’ non esiste un firewall valido per
qualunque situazione
UNICAM AA 2006/2007
170
La sicurezza dei sistemi
Politiche delle Reti e
Sicurezza
UNICAM AA 2006/2007
171
Sommario

Tipi di attacchi e virus

Le applicazioni WWW:
• I protocolli SSL (Secure Socket Layer)/ TLS (Transation
•

Layer Secure)
Aspetti di sicurezza nel commercio elettronico: lo standard
SET
Meccanismi di protezione S.O. Unix e Windows
UNICAM AA 2006/2007
172
Network security
What is the concept of defense: the parrying
of a bow.
What is its characteristic feature: awaiting
the bow
UNICAM AA 2006/2007
173
Network security




Un problema di sicurezza per i sistemi in rete e’ il trapasso,
ostile o non voluto da parte di utenti o software
Il trapasso dell'utente puo’ prendere la forma di logon non
autorizzato in una macchina o, nel caso di un utente
autorizzato, l’acquisizione di privilegi o l’esecuzione di azioni
oltre a quelle che sono state autorizzate
Il trapasso del software puo’ prendere la forma di virus,
worms o Trojan horse
Tutti questi attacchi riguardano la network security e non
solo perche’ l’ingresso in un sistema puo’ essere effettuato
attraverso una rete;un virus e/o un Trojan horse puo’
essere introdotto anche tramite un dischetto mentre i
worms sono un fenomeno unicamente di rete
UNICAM AA 2006/2007
174
Intruders


Uno delle due minacce alla sicurezza piu’ conosciute e’
l’intruder (l’altro sono i virus), generalmente riferite
come l’hacker o il cracker
Sono stati definiti tre classi di intruder:
• Masquerader: un individuo che non e’ autorizzato a
•
•
usare il computer e che attraversa i controlli di accesso di
un sistema per rilevare uno user account legittimo
Misfeasor: Un utente legittimo che accede a dati,
programmi, o risorse per cui tale accesso non e’
autorizzato, o che e’ autorizzato per tale accesso ma
altera i suoi privilegi
Clandestine user: Un individuo che che ottiene il
controllo del supervisore del sistema e usa questo
controllo per evadere l’auditing e i controlli di accesso o
sopprimere la raccolta di audit
UNICAM AA 2006/2007
175
Intruders


I sistemi di intrusion detection si basano sul fatto che il
comportamento dell’intruso differisce da quello degli
utenti legittimi in modi che possono essere quantificati
Gli approcci possono essere di tipo statistico o rulebased
UNICAM AA 2006/2007
176
Minacce Software


Malicious programs
Si suddividono in due categorie: quelli che hanno
bisogno di un programma ospite e quelli che sono
indipendenti e possono essere schedulati e fatti girare
direttamente da S.O.
Si possono differenziare anche tra quelle minacce
software che si replicano e quelle che non: i primi
consistono in frammenti di programma (virus)
virus o
programmi indipendenti (worms, bacterium)
bacterium che
quando eseguiti, possono produrre uno o piu’ copie di
essi stessi per essere attivati piu’ tardi nello stesso
sistema o in altri sistemi; i secondi consistono di
frammenti di programma che vengono attivati quando
viene invocato un programma host ad eseguire una
specifica funzione
UNICAM AA 2006/2007
177
Minacce Software

Malicious programs:
• Need host program
• Trap doors
• Logic Bombs
• Trojan Horses
• Viruses (replicate)
• Independent
• Bacteria (replicate)
• Worms (replicate)
UNICAM AA 2006/2007
178
Minacce Software

Trap doors
• Punto di ingresso segreto in un programma che permette a
•
•

qualcuno che e’ a conoscenza della trap door di guadagnare
l’accesso senza passare attraverso le usuali procedure di sicurezza
Usate in modo legittimo da programmatori per fare il dubug ed il
test dei programmi
Il trap door e’ un codice che riconosce alcune sequenze di input o
e’ attivato da alcune UserID o da una sequenza di eventi
Logic bomb
• Uno dei piu’ datati tipi di minacce software
• Codice nascosto in alcuni programmi legittimi che viene impostato
per esplodere quando alcune condizioni esistono (ad es. la
presenza o l’assenza di alcuni files, un particolare giorno dell’anno,
o un particolare utente che fa girare l’applicazione)
UNICAM AA 2006/2007
179
Minacce Software

Trojan Horses
• E’ apparentemente un programma utile che
contiene del codice nascosto che quando
invocato esegue delle funzioni dannose o non
desiderate
• Possono essere utilizzati per eseguire delle
funzioni che l’utente malizioso non puo’
eseguire direttamente (ad esempio invocare
system call per modificare i diritti di accesso su
un file system per danneggiarlo o cancellare
alcuni files, oppure inserire del codice dannoso
all’interno di un compilatore)
UNICAM AA 2006/2007
180
Minacce Software

Viruses
• Sono programmi che possono infettare altri programmi
•
•
•
modificandoli; la modifica include una copia del programma
virus che puo’ andare ad infettare altri programmi
Un virus sfrutta le debolezze del sistema e contiene nel suo
codice la “ricetta” per fare una copia perfetta di se stesso
Un virus si attacca ad altri programmi e viene eseguito
segretamente quando il programma host viene fatto girare
Un virus tipico passa attraverso quattro stadi di vita:
• fase dormiente
• fase di propagazione
• fase di triggering
• fase di esecuzione
UNICAM AA 2006/2007
181
Minacce Software

Tipi di virus:
• Parassiti: forma piu’ tradizionale e comune; si attacca a file
•
•
•
•
eseguibili e si replica su altri file eseguibili una volta che il
programma host viene infettato
memory-resident: risiede nella memoria principale come
parte di un programma residente di sistema. Da quel punto
in avanti, il virus infetta ogni programma che esegue
Boot-sector: infetta il master boot record o il boot record e
si diffonde quando un sistema viene fatto partire dal disco
che contiene il virus
Stealth: una forma di virus esplicitamente progettato per
nascondersi dalla individuazione del software antivirus
Polimorfico: un virus che si muta con ogni infezione,
rendendo l’individuazione con la firma del virus impossibile
UNICAM AA 2006/2007
182
Minacce Software

Worms
• I programmi Worm usano le connessioni di rete per
•
diffondersi da sistema a sistema. Una volta attivi in un
sistema un worm puo’ comportarsi come un virus, o
batterio o puo’ impiantare programmi di trojan horse o
fare ogni tipo di azioni distruttive
Per replicare se stesso un worm puo’ usare una sorta di
veicolo:
• E-mail: un worm invia una copia di se stesso ad altri sistemi
• Remote execution: un worm esegue una copia di se stesso
•
su un altro sistema
Remote login: un worm si loga in un sistema remoto come
un utente e usa comandi per copiare se stesso da un sistema
all’altro
UNICAM AA 2006/2007
183
Minacce Software

Bacteria
• Sono programmi che non rovinano esplicitamente
•
alcun file; il loro solo proposito e’ quello di replicare
essi stessi
I Bacteria si riproducono in modo esponenziale,
consumando la capacita’ del processore, memoria,
spazio su disco, impedendo cosi’ gli utenti di
accedere alle risorse del sistema
UNICAM AA 2006/2007
184
Web Security


Grazie alla facilita’ di utilizzo dei web browser grafici,
Internet sta sempre piu’ diventando un mezzo per il
commercio elettronico
Il Web presenta nuove sfide, non generalmente apprezzate
nel contesto del computer and network security:
• L’Internet ha due strade. Diversamente dagli ambienti di
•
pubblicazione, come pure i sistemi di pubblicazione
elettronica che includono il teletext, voice response, fax-back,
lil web e’ vulnerabile agli attacchi dei web server sulla Internet
Il Web viene usato come un accesso altamente visibile per le
informazioni sulle societa’ ed i relativi prodotti e come
piattaforma per le transazioni commerciali. La reputazione
puo’ essere rovinata e il denaro perso se i Web server vengono
violati
UNICAM AA 2006/2007
185
Web Security
• Sebbene i browser Web siano facili da usare, i Web server
•
•
relativamente facili da configurare e gestire, e il contenuto
facilmente producibile, il software sottostante risulta
complesso e puo’ nascondere delle falle potenziali di
sicurezza
Un Web server, una volta violato, puo’ essere utilizzato
come ponte di accesso al sistema informatico di una
azienda o ente
Gli utenti dei Web server normalmente non sono informati
e/o preparati dei rischi di sicurezza che ci possono essere
UNICAM AA 2006/2007
186
Web Security Threats

INTEGRITA’
Threats
Consequences
Countermeasures
Modification of user data
Trojan horse browser
Modification of memory
Modification of message in
transit
Loss of information
Compromise of machine
Vulnerability to all other
threats
Cryptographic checksums
UNICAM AA 2006/2007
187

CONFIDENZIALITA’
Threats
Consequences
Countermeasures
Eavesdropping on the net
Theft of info from server
Theft of data from client
Info about network
configuration
Info about which client
talks to server
Loss of information
Loss of privacy
Encryption, Web proxies
UNICAM AA 2006/2007
188

DENIAL OF SERVICE
Threats
Consequences
Countermeasures
Killing of user threads
Flooding machine with
bogus threats
Filling up disk or memory
Isolating machines by DNS
attacks
Disruptive
Annoying
Prevent user from getting
work done
Difficult to prevent
UNICAM AA 2006/2007
189

AUTHENTICATION
Threats
Consequences
Countermeasures
Impersonation of
legitimate users
Data forgery
(falsificazione)
Misinterpretation of user
Belief that false
information is valid
Cryptographic techniques
UNICAM AA 2006/2007
190
Web Traffic Security Approaches


Vi sono un numero diverso di approcci che forniscono la
sicurezza Web; essi sono simili nei servizi che forniscono e
nei meccanismi che usano, ma differiscono nell’ambito di
applicabilita’ e nel relativo livello nell’ambito della stack del
protocol suite TCP/IP:
l’IPsec:
• Vantaggio:
•
IPsec e’ trasparente agli utenti finali e alle
applicazioni e fornisce una soluzione general-purpose
IPsec include una capacita’ di filtering in modo tale che solo il
traffico selezionato avra’ bisogno dell’overhead dell’IPsec stesso
Network
Level
HTTP FTP
SMTP
TCP
IP/IPsec
UNICAM AA 2006/2007
191

SSL/TLS:
• Soluzione general purpose per implementare la sicurezza sopra il
•
•
•
TCP
TLS (Transport Layer Security) e’ lo standard Internet
dello SSL (Secure Socket Layer)
SSL/TLS puo’ far parte del protocol suite sottostante ed essere
percio’ traparente alle applicazioni
SSL puo’ essere embedded in package specifici; per es. sia
Explorer che Netscape hanno implementato l’SSL nei loro
browser e molti Web server hanno implementato il protocollo
HTTP FTP
SSL or TLS
Transport
Level
SMTP
TCP
UNICAM AA 2006/2007
IPM.L.Maggiulli ©2007
192

Application specific security services
• Embedded all’interno dell’applicazione
• Il servizio puo’ essere definito per le necessita’ specifiche
•
•
di una determinata applicazione
Un importante esempio e’ il SET (Secure Electronic
Transaction)
Altri esempi sono: Kerberos, S/MIME, PGP
PGP
Application
Level
KERBEROS
UDP
S/MIME
SMTP
SET
HTTP
TCP
IP
UNICAM AA 2006/2007
193
SET(Secure Electronic Transaction)





SET e’ una specifica di open encryption e di sicurezza
progettata per proteggere le transazioni di credito su Internet
La versione corrente SETv1, e’ nata da una call for security
standards da parte di MasterCard e Visa nel Febbraio 1996
Un vasto range di compagnie sono state coinvolrte nella
specifica iniziale del SET: IBM, Microsoft, Netscape, RSA,
Terisa, VeriSign
Dal1998 sono stati rilasciati una serie di prodotti SETcompliant
SET non e’ un sistema di pagamento ma un insieme di
protocolli di sicurezza e formati che permettono agli utenti di
usare in maniera sicura l’infrastruttura dei pagamenti a carta
di credito in una rete aperta quale la Internet
UNICAM AA 2006/2007
194
SET





SET fornisce tre servizi:
Fornisce un canale di comunicazione sicura tra
tutte le parti coinvolte in una transazione
Fornisce fiducia attraverso l’uso di certificati
X.509v3
Assicura la privacy perche’ l’informazione e’ solo
disponibile a aprti in una transazione quando e
dove necessario
SET e’ una specifica complessa definita in tre
libri pubblicati nel maggio 1997 di un totale di
971 pagine (contro le 71 del TLS)
UNICAM AA 2006/2007
195
La sicurezza dei programmi


Un “bug” del software puo’ essere un
errore nell’interpretazione di un
requisito, un errore di sintassi in un
frammento di codice, o la causa nota del
crash di un sistema
Terminologia IEEE (IEEE 729) per
descrivere i bug dei prodotti software
UNICAM AA 2006/2007
196
Terminologia IEEE 729


Quando un essere umano commette uno
sbaglio nell’esecuzione di qualche attività
riguardante il software, puo’ portare ad un
errore (o fault) o una fase o una definizione
non corretta in un programma (vista interna
del sistema)
Un malfunzionamento è una deviazione dal
comportamento richiesto del sistema (vista
esterna del sistema)
UNICAM AA 2006/2007
197
Difetti e vulnerabilità


Difetto: errore o malfunzionamento
Vulnerabilità: classe di difetti
UNICAM AA 2006/2007
198
Tipi di difetti






Errore di convalida (incompleta e
incoerente)
Errore di dominio
Serializzazione e alias
Autenticazione e identificazione
inadeguate
Violazione della condizione limite
Altri errori logici sfruttabili
UNICAM AA 2006/2007
199
Errori di programma non nocivi




Buffer overflow
Mediazione incompleta
Errori tempo di controllo/ tempo di
utilizzo
Combinazione di difetti di programma
non nocivi
UNICAM AA 2006/2007
200
Le 10 principali vulnerabilità della
sicurezza web










Invalidated input
Broken access control
Broken authentication and session management
Cross–site scripting (XSS) flaws
Buffer overflows
Injection flaws
Improper error handling
Insecure storage
Denial of service
Insecure configuration management
UNICAM AA 2006/2007
201
Invalidated input


L’informazione da richieste web non
viene validata prima di essere usata da
una applicazione web
Gli attaccanti possono usare queste falle
per attaccare i componenti di backend
dell’applicazione web attraverso url,
stringhe di query, headers, cookies,
form, manipolazione di campi nascosti
UNICAM AA 2006/2007
202
Come proteggersi


I parametri devono essere validati in un
formato specifico che definisce quale input è
permesso
Le specifiche positive definiscono:
• Tipo di dato (stringa, intero, ..)
• Character set permesso
• Lunghezza massima e minima
• Null permesso si o no
• Se il parametro è richiesto o no
• Se le duplicazioni sono permesse
• Range numerico<
• Specifici valori legali (enumerazione)
• Specifici pattern (espressioni regolari)
UNICAM AA 2006/2007
203


Web application firewall forniscono alcuni
servizi di validazione dei parametri
Affinchè sia effettivo, il firewall deve
essere configurato con una stretta
definizione di che cosa è valido per ogni
parametro del sito (http request: url,
forms, cookies, campi nascosti,
querystrings e parametri)
UNICAM AA 2006/2007
204
UNCASODAMANUALE: MICROSOFTIIS UNICODEEXPLOIT/ DOSAnACK
Un attacco classico e molto diffuso è quello che sfrl1tta la vulnerabilità conosciuta comeM8 118 UnicodeExploit,
tuttora pericolosa per l1na lunga serie di server Web Internet lnfopnation Server (118) 4 e IIS 5 a cui .non sono
stati applicati gli interventi
correttivi.
Questa vulnerabilità si presta a essere utilizzata per poter lanciare programmi ostili su macchine che ospitano server
Web.
La maggior parte dei server Web 118 sono configurati con una struttura delle directory simile alla seguente:
O:\Inetpub
\scripts directory con permessi di esecuzione contenente gli script
\wwwroot directory contenente il sito Web ospitato dal server
Un noto attacco verso i server Web consiste nel tentare di attraversare l'albero delle directory, sfruttando la stringa
../.. per salire alla directory "padre ", con l'obiettivo di attivare l'esecuzione di un programma ostile, caricato in
precedenza dall'attaccante.
Ad esempio digitando nel browser il seguente indirizzo: http://www. unpatched_ser'Ver. com/. .lmiofile. txt
si dovrebbe accedere al file O:\Inetpub\miofile.txt, situato sotto la root del sito Web (ossia in una zona del disco
nella quale un navigato re non dovrebbe accedere).
Questo accesso è possibile poiché la stringà ".." indica la djrectory parent sia in sistemi Windows sia in sistemi Unix.
Questo attacco sfrutta una vulnerabilità scoperta diversi anni orsono e perciò non è più attuale in quanto tutti i
programmi server Web ricercano ed eliminano le stringa ../.. prima di effettuare il parsing della URL (e, cioè,
prima di analizzare l'URL per comprenderne il contenuto). Una variante dell'attacco usa la codifica Unicode dei
caratteri della URL per eludere i controlli del programma server Web: il codice %50 corrisponde al carattere 1 e
quindi una stringa di caratteri ..%50..%50 corrisponde nuovamente a ..1..
Anche queste sequenze di caratteri s~no oggi verificate dai server IIS durante il parsing e quindi l'attacco è
prevenuto. E possibile sofisticare ulteriormente l'attacco, in modo da eludere i controlli, applicando la codifica
Unicode due volte:
% = %25
5 = %35
O = %43
Da cui: ../.. = ..%50.. = ..%25%35%43..
Questa doppia codifica inganna i controlli effettuati dal parser e permette a un intruso re di invocare comandi del
sistema operativo DOS sulla macchina che ospita il pro-
UNICAM AA 2006/2007
205
gramma server Web. Questa intrusione è resa possibile per mezzo di URL che, attraverso il prompt di MSDos (cmd.exe
richiamabile attraversando opportunamente l'albero delle directory), eseguono comandi singoli sul ~istema che ospita il
server Web.
In particolare occorre:
"fingere" di trovarsi nella directory scripts/, per ottenere i permessi di esecuzione,
http://www. upatched-,-server. com/scripts/
risalire di due directory nell'albero
http://www. upatched_server.com/scripts/.. %25%35%43.. %25%35%43../
e accedere a Iwinnt/system32,
http://www. upatched _server. com! scripts/.. %25%35%43.. %25%35%43. ./winnt/system32
dove è situato cmd.exe,
http://www. upatched_server. com/scripts/.. %25%35%43.. %25%35%43. ./winnt/system
32/cmd.exe .
Esso permette di eseguire comandi singoli se gli viene passato lo switch le. Per superare questo switch includiamo un
carattere? che funge da delimitato re per i
parametri da passare:
http://www. upatched_server. com/scripts/.. %25%35%43. .%25%35%43. ./winnt/system
32/cmd.exe?/c
È così possibile semplicemente aggiungere il comando da eseguire in coda alla URL
costruita, con l'accortezza di usare il carattere + al posto degli spazi nella sintassi del
comando (per assecondare ancora il comportamento del parser).
Se si desidera, ad esempio, elencare i file contenuti nella directory scriptsl basta
invocare l'URL seguente:
32/cmd.exe?/c+dir
Per elencare i file contenuti nella directory C:I si deve invocare l'URL:
32/cmd. exe? /c+dir+c:/
Un possibile attacco di interruzione del servizio, DoS (Denial oJ Service), che.
sfrutta questa semplice vulnerabilità consiste nel far eseguire al server Web molti
comandi che determinano l'apertura di connessioni che non sono chiuse. Il comando
comp confronta, ad esempio, due file alla ricerca di differenze.
Comp gira in background in attesa di input e non termina automaticamente.
Lanciando diverse istanze si satura il numero massimo di connessioni possibili per il
sistema operativo, impedendo alle connessioni lecite di essere instaurate.
Microsoft ha rilasciato la patch per questa vulnerabilità, reperibile all'indirizzo:
UNICAM AA 2006/2007
206
Controllo degli accessi e
autorizzazioni



I meccanismi di controllo degli accessi costituiscono un
elemento di progettazione cruciale per la sicurezza di
ogni applicazione.
Una applicazione web deve proteggere sistemi e dati di
front-end e back-end implementando le restrizioni di
accesso riguardo a che cosa un utente puo’ fare, a quali
risorse puo’ accedere, quali funzioni possono applicare
sui dati
Uno schema di controllo degli accessi deve proteggere
dall’accesso non autorizzato (lettura, copia, modifica…)
e limitare l’esecuzione di programmi “maliziosi” o di
azioni non autorizzate di attaccanti che che sfruttano le
dipendenze delle infrastrutture (ad es.server DNS)
UNICAM AA 2006/2007
207
Controllo degli accessi e
autorizzazioni

Il controllo degli accessi di deve riferire anche al
modo piu’ generale di controllare le risorse web
attraverso parametri quali:
• data di sistema
• Indirizzo ip del client http
• Il dominio del client http
• Il tipo di cifratura che il client http puo’ supportare
• Il numero di volte che l’utente si è autenticato nel
•
giorno
Il possesso di di qualsiasi numero di token
hardware/software o ogni altra variabile derivata
che può essere estratta o calcolata facilmente
UNICAM AA 2006/2007
208
Passi preparatori al processo di
progettazione di una applicazione web
1.
2.
3.
4.
5.
6.
Quantificare il valore dell’informazione che deve essere protetta in termini di
confidenzialità, sensibilità, classificazione, privacy e integrità riferita
all’organizzazione come pure agli utenti individuali.
Considerare il caso peggiore dal punto di perdita finanziaria.Progettare sofisticati
sistemi di controllo degli accessi su dati di poco valore può essere improduttivo
Determinare la relazione che gli owner e i creator dei dati hanno all’interno
dell’applicazione web. Alcune applicazioni possono restringere tutte o qualche
diritto di creazione o di ownership dei dati agli utenti di ammistrazione o di
sistema predefinito.
Specificare il processo di autorizzare o revocare i diritti di controllo di accesso, sia
che sia un processo manuale, automantico su creazione o registrazione dell’utente
o attraverso un tool amministrativo di front end
Delineare il tipo di funzioni che dipendono dai ruoli dell’utente, che l’applicazione
supporta. Cercare di determinare quali funzioni utente predefinite dovrebbero
essere costruite all’interno dell’appliaczione web (es. logging in, visualizzare,
modificare le informazioni, inviare una richiesta di help) o quali funzioni di
amministrazione (modifica password, visualizzazione di qualsiasi dati utente,
manutenzione dell’appliaczioane, vsualizzazione log…)
Cercare di allinerare i meccanismi di controllo di accessi piu’ vicino alla politica di
sicurezza dell’organizzazione (ore del girono accettabili per l’accesso ai dati, tipi di
utenti autorizzati per effettuare determinate operazioni sui dati….)
UNICAM AA 2006/2007
209
Security Guidelines


Validate input and output
Fail securely (closed)
• Un meccanismo di sicurezza deve essere progettato che
quando entra in stato di failure, si blocchi “chiuso”. Tutte
le richieste di sicurezza dovrebbero essere bloccate dopo
lo stato di failure







Keep it simple
Use and reuse trusted components
Defense in depth
Only as secure as the weakest link
Security by obscurity don’t work
Least privilege
Compartmentalization (separation of privileges)
UNICAM AA 2006/2007
210
Modelli di controllo degli accessi



Discretionary Access Control (DAC)
Mandatory access control
Role based access control
UNICAM AA 2006/2007
211
Discretionary Access Control
(DAC)
• Metodo per restringere l’accesso
all’informazione basata sull’identità di utenti o
sulla membership in determinati gruppi
• Le decisioni di accesso sono basate sulle
credenziali opposte dall’utente al momento
dell’autenticazione
• Il proprietario dell’informazione o di qualsiasi
risorsa può cambiare i permessi a sua
discrezione
• DAC ha lo svantaggio di non permettere agli
amministratori di gestire centralmente i
permessi su file/ informazioni del web server
UNICAM AA 2006/2007
212
DAC

Un modello di controllo dell’accesso DAC spesso ha i
seguenti attributi:
• I data owner possono trasferire l’ownership ad altri utenti
• I data owner possono determinare il tipo di accesso datao
ad altri utenti (read, write, copy…)
• Failure ripetuti di accesso alla stessa risorsa o oggetto
genera un allarme e restringe l’accesso dell’utente
• E’ richiesto un add-on speciale o un plug-in per un http
client per evitare copie “cut and paste”
• Gli utenti che non hanno accesso alle informazioni non
•
dovrebbero essere capaci di determinare le loro
caratteristiche ( file size, file name, directory path, ..)
L’accesso alle informazioni è detreminata basandosi su
autorizzazioni a access control list basate
sull’identificatore dell’utente e sulla group membership
UNICAM AA 2006/2007
213
Mandatory access control (MAC)



Assicura che il rafforzamento delle politiche di
sicurezza non si basa sulla conformità
dell’utente dell’applicazione web
Il meccanismo MAC assegna un livello di
sicurezza ad ogni informazione, un grado di
sicurezza “clearance”(abilitazione all’accesso di
determinate informazioni) all’utente e assicura
che gli utenti hanno accesso ai dati per cui
possiedono tale clearance
E’ un modello appropriato per sistemi
estremamente sicuri che gestiscono dati di
importanza strategica (militari ecc)
UNICAM AA 2006/2007
214
MAC

Un sistema basato su MAC presenta spesso i seguenti
attributi:
•
•
•
•
•
•
•
Solo gli ammistratori e non i proprietari dei dati possono cambiare
l’etichetta di sicurezza alle risorse
Ad ogni dato viene assegnato i livello di sicurezza che riflette la sua
sensibilità, confidenzialità e valore di protezione
Tutti gli utenti possono accedere ai dati che hanno un minor livello di
sicurezza rispetto a quello a loro assegnato
Tutti gli utenti possono scrivere a classificazioni a piu’ altro livello
Tutti gli utenti possono accedere a informazioni dello stesso livello di
sicurezza
Agli utenti viene ristretto o autorizzato l’accesso a oggetti basati
sull’ora del giorno a seconda dell’etichetta sulla risorsa e3 sulle
credenziali dell’utente (basate sulla policy)
L’accesso viene autorizzato o ristretto a oggetti basati sulle
caratteristiche di sicurezza del client HTTP ( SSL bit length, version
information, indirizzo IP di origene ecc)
UNICAM AA 2006/2007
215
Role based access control (RBAC)


Le decisioni di accesso sono basate sui ruoli degli
utenti e le responsabilità all’interno di
un’organizzazione.
Un framework di controllo degli accessi RBAC
dovrebbe fornire agli amministratori della sicurezza
del web la possibilità di determinare chi può fare
quali azioni, quando, da dove, in quale ordine, e in
quali casi sotto quali circostanze
UNICAM AA 2006/2007
216
RBAC








I ruoli sono assegnati sulla base della struttura organizzativa con enfasi sulle
policy di sicurezza
I ruoli devono essere assegnati dall’amministratore sulla base di relazioni
all’interno dell’organizzazione o su una user base. Per es. un responsabile puo’
effettuare determinate transazioni sui suoi collaboratori o un amministratore
può avere determinate transazioni autorizzate sul suo specifico real di compiti
(backup, gestione account…)
Ogni ruolo ha un suo profilo che include comandi autorizzati, transazioni,
accesso a specifiche informazioni
Ai ruoli vengono assegnati permessi sul principio di least privilege
I ruoli sono determinati con una separazione di compiti in mente in modo tale
che ad es. il ruolo dello sviluppatore non dovrebbe sovrapporsi al ruolo del
collaudatore
I ruoli dovrebbero esserre attivati staticamente e dinamicamente
coerentemente a certi trigger relazionali ( coda di help desk, security alert,
inizio di un nuovo progetto…)
I ruoli possono essere trasferiti o delegati usando procedure specifiche
I ruoli possono essere gestiti centralmente da un security administrator o
project leader
UNICAM AA 2006/2007
217
La gestione di sessioni utente






HTTP è un protocollo stateless, il server web risponde alle richieste
del client senza collegarle l’un l’altra.
Applicare uno schema di gestione dello stato permette di associare
richieste multiple di un client in un’unica sessione.
Separare e associare le azioni di un utente a specifiche sessioni
risulta critico per la sicurezza di una applicazione web.
Mentre esiste un meccanismo di cookie (RFC 2965) per costruire
sistemi di gestione della sessione, è compito del progettista web di
sviluppare uno schema di gestione della sessione sicuro.
Schemi mal progettati possono portare a user account compromessi,
che in molti casi possono anche avere privilegi di amministrazione.
In molti schemi a stati, un token di sessione viene trasmesso tra il
server HTTP ed il client. I token di sessione sono spesso memorizzati
in cookies, ma anche in URL statiche, URL dinamicamente riscritte,
nascosti nel codice di una pagina HTML, o una combianzione di tali
metodi.
UNICAM AA 2006/2007
218
Cookies




I cookies sono un requisito in molte applicazioni
di e-commerce.
Non sono stati progettati per memorizzare
informazioni sensibili o username e passwords.
Sono stati introdotti da Netscape e sono ora
specificati nel RFC 2965 e RFC2964 e BCP44.
Due categorie di cookies:
• Persistent: persistent and secure, persistent and
•
not secure
Non-persistent: non persistent and secure, non
persistent and not secure
UNICAM AA 2006/2007
219
Tipi di cookies




Persistent: sono memorizzati in un text file (cookies.tx
in Netscape e multiple *.txt test files in IIS) sul client e
sono validi fino alla data di scadenza (expiry).
Non persistent: sono memorizzati nella RAM del client e
distrutti quando il browser viene chiuso o il cookies
viene esplicitamente killato da uno script di log-off
Secure: possono essere inviati solo via sessioni HTTPS
(SSL); riguarda solo la sicurezza del trasporto, ogni
dato inviato al cliente dovrebbe essere sotto la sola
responsabilità dell’end user.
Non secure: possono essere inviati via HTTPS o HTTP.
UNICAM AA 2006/2007
220
Come lavora un cookie

Due metodi per la loro creazione:

Permettono ad un server e ad un browser di passarsi
informazioni durante una sessione
Non possono essere condivisi (letti o scritti) tra domini
DNS. Alcune vulnerabilità in alcuni client web conosciuti
hanno violato questa proprietà.
Sotto HTTP il server risponde al client con un extra
header che informa il client di aggiungere
l’informazione al file dei cookie o nella sua RAM.
Successivamente tutte le richieste a quell’URL dal
browser includeranno l’informazione del cookie come
un’extra header nella richiesta.


• HTTP headers
• JavaScript
UNICAM AA 2006/2007
221
Session Token


Tutti i token di sessione devono essere univoci, non
predicibili, e resistenti al reverse engineering e
possbilmente basati su algoritmi per la loro generzione
random. Dovrebbero essere legati ad una specifica
istanza della sessione client HTTP per prevenire
hijacking e attacchi di replay e devono essere resistenti
ad attacchi brute force.
Esempi di meccanismi per forzare questa restrizione
puo’ essere l’uso dei token di pagina che sono unici per
ogni pagina generata e possono essere legati a token di
sessione sul server. In generale un algoritmo per la
generazione di token di sessione non dovrebbe mai
basarsi o usare variabili con informazioni personali
(user name, password, home adress)
UNICAM AA 2006/2007
222
Schemi di gestione della sessione

Session time-out
• Session token che non espirano sul server HTTP
concedono tempo illimitato all’attaccante di provare
attacchi brute force per una sessione valida
autenticata e ottenere le credenziali di un utente
autorizzato.

Regeneration of session token
• Per prevenire session hijacking o attacchi di brute
force su una sessione attiva, il server HTTP puo’ far
scadere e rigenerare token (magari ogni dato
numero di richieste o dopo un certo periodo di
tempo)
UNICAM AA 2006/2007
223
Schemi di gestione della sessione



Session forging/ brute-forcing detection and/or Lockout
•
Molti website hanno delle restrizioni sul password guessing (bloccando
temporaneamente la sessione). L’attaccante tuttavia puo’ tentare numerosi
token inclusi in legittimi url o cookie senza che il server se ne accorga. Molti
sistemi di intrusion detection non verificano questo tipo di attacco. I progettisti
percio’ dovranno utilizzare token di sessione “booby trapped” che non verranno
mai assegnati ma che serviranno per individuare attaccanti che hanno tentato di
fare brute force di una sessione. Gli attaccanti possono anche alterare i loro
token per scalare i privilegi di un sistema web.
Session re-authentication
•
Azioni critiche come quelle relative a transazioni finanziarie possono richiedere
una nuova autenticazione dell’utente o la generazione di un nuovo token. Gli
sviluppatori possono anche decidere di segmentare dati o azioni nel punto in cui
è necessaria una nuova autenticazione
Session token trasmission
•
Se un token di sessione viene intercettato un account di un’applicazione web
viene soggetto ad attachhi di hijacking e replay
UNICAM AA 2006/2007
224
Broken access control




Le autorizzazioni degli utenti autenticati non sono
particolarmente rafforzate
Gli attaccanti possono sfruttare queste falle per
accedere agli account di altri utenti, accedere a file di
contenuti sensibili, o usare funzioni non autorizzate
Gli sviluppatori frequentemente sottostimano la
difficoltà di implementare un meccanismo affidabile di
controllo di accessi
Molti di questi schemi non sono progettati sin dall’inizio
e si evolvono durante la fase di progettazione. Le
regole sono spesso inserite in varie locazioni nel codice,
rendendo difficile la possibilità di gestirle in fase di
produzione.
UNICAM AA 2006/2007
225
Broken authentication and session
management


Le credenziali degli utenti ed i token di
sessione non sono propriamente protetti
Glia ttaccanti possono compromettere
passwords, chiavi, cookie di sessione o
altri token
UNICAM AA 2006/2007
226
Cross site scripting flaws


L’applicazione web puo’ essere usata
come meccanismo per trasportare un
attacco ad browser di un end user.
Un attacco puo’ aprire il token di
sessione del’utente, attaccare la
macchian locale, o “spoofare” il
contenuto
UNICAM AA 2006/2007
227
Buffer overflows

I componenti (CGI, librerie,
drivers..)delle applicazioni web in alcuni
linguaggi che non validano propriamente
l’input possono “crashare” ed in alcuni
casi usati per prendere il controllo di un
processo.
UNICAM AA 2006/2007
228
Injection flaws


Le applicazioni web passano i parametri
quando accedono a sistemi esterni o ai
sistemi operativi locali.
Se un attaccante nasconde comandi
maliziosi in questi parametri, il sistema
esterno puo’ eseguire i comandi al posto
dell’applicazione web
UNICAM AA 2006/2007
229
Improper error handling


Le condizioni di errore che occorrono
durante le operazioni normali non
vengono gestite propriamente
L’attaccante nelle sistuazioni di errori
non gestite puo’ guadagnare accesso ai
sistemi, fare DoS…
UNICAM AA 2006/2007
230
Insecure storage


Le applicazioni web frequentemente
usano funzioni crittografiche per
proteggere le informazioni e credenziali
Queste funzioni ed il relativo codice
spesso risultano deboli
UNICAM AA 2006/2007
231
Denial of service

Gli attaccanti possono consumare risorse
del sistema o “lockare” gli acoount degli
utenti fino a che nessun utente puo’ piu’
accedere all’applicazione
UNICAM AA 2006/2007
232
Insecure configuration management

Molti server web hanno delle opzioni di
configurazione non sufficientemente
impostate dal punto di vista della
sicurezza
UNICAM AA 2006/2007
233
La sicurezza delle reti wireless
UNICAM AA 2006/2007
234
Gli standards delle reti wireless








DECT
IRDA
IEEE802.11
HomeRF
Bluetooth
Hyperlan2
Fixed Wireless
400Khz2Mhz
WIPLL
5Ghz
UNICAM AA 2006/2007
Telefonini cordless
Interconnessione P2P
Tecnologia per WLAN
Std per reti domestiche 2,4Ghz
Wireless low-power 2,4Ghz
Tecnologia per WLAN 5Ghz
Tecnologia Wireless voce/dati
Tecnologia Wireless voce/dati 2
235




Raccomandazione UE 1999/519/CE fissa i limiti di
esposizione in 0.4 W/g per le esposizioni professionali e di
0.08 W/g per la popolazione in generale. Esposizioni che
manifestano un riscaldamento inferiore a quello
naturalmente prodotto dall'organismo umano a riposo
quantificabile in 1,2 W/g.
L'output power di una wireless LAN è limitata da FCC al di
sotto di 100 mW, circa la metà di un telefono cellulare (che
opera in prossimità delle tempie, zona definita a rischio di
radiofrequenza)
Un giovane militare di leva addetto alla manutenzione di un
sistema radar dislocato in aeroporto militare è esposto a un
bombardamento di radiofrequenze decisamente elevato ca.
100 W/kg.
il telefono cordless emette fino a 8 V/m, il forno a
microonde emette fino a 7 V/m, il ferro da stiro 4, un
ventilatore da 500W fino a 6, la lampada alogena 3, il
frullatore 2, il trapano 4, la radiosveglia 0,04... ecc
UNICAM AA 2006/2007
236
Wireless:

esempi d’uso
esempi d’uso
• Dialogo tra due o più dispositivi con lo stesso
standard (notebook, palmari, PC, cellulari)
• Controllo via cellulare o computer dei piani di
cottura del forno
• Cartella clinica elettronica dei pazienti via PDA
• Registrazione multe fatte dalla polizia municipale
attraverso palmari direttamente sul server
centrale
• Realizzazione di ampie reti geografiche
UNICAM AA 2006/2007
237



1997
IEEE
sviluppa
lo
standard
IEEE802.11 per l’interoperabilità tra reti
wired e reti wireless.Velocità 1-2Mbps,
frequenza 2,4Ghz.
1999 IEEE presenta lo standard 802.11a,
che opera sui 5Ghz e raggiunge i 54Mbps.
1999 IEEE rilascia anche l’802.11b che
opera sui 2,4Ghz e raggiunge 11Mbps di
velocità. Attualmente è lo standard
dominante
UNICAM AA 2006/2007
238


2001
IEEE
ratifica
l’802.11g
che
mantenendo la compatibilità con i vecchi
standard a 2,4Ghz, può raggiungere i
54Mbps di velocità.
2001 IEEE rilascia l’802.11x, standard
basato sull’EAP per l’autenticazione e il
key-management
UNICAM AA 2006/2007
239
UNICAM AA 2006/2007
240
UNICAM AA 2006/2007
241
IEEE 802.11
Completato 2003
UNICAM AA 2006/2007
242
UNICAM AA 2006/2007
243
UNICAM AA 2006/2007
244
IEEE 802.11b
UNICAM AA 2006/2007
245
Architettura di una WLAN
UNICAM AA 2006/2007
246
UNICAM AA 2006/2007
247
UNICAM AA 2006/2007
248
UNICAM AA 2006/2007
249
UNICAM AA 2006/2007
250
Architettura – rete ad hoc
UNICAM AA 2006/2007
251
Architettura - rete strutturata
UNICAM AA 2006/2007
252
Componenti di una WLAN

BSS
• Ogni Wlan strutturata è divisa in celle (Basic
Service Set), ognuna delle quali è controllata da
un AP.

ESS
• Ogni Wlan costituita da più celle e da una rete
esterna è detto Extended Service Set
UNICAM AA 2006/2007
253
Identificativo

Ogni Wlan ha l'identificativo Service Set
Identifier (SSID):
• “nome della rete”
• 32 ottetti
• E’ necessario conoscerlo per potersi connettere
alla WLAN
UNICAM AA 2006/2007
254
Sicurezza di una rete wireless





Il rischio di una rete wireless è dato dalla somma dei
rischi derivanti dall’operare in una rete wired più quelli
intrinsechi ai nuovi protocolli per il wireless.
Tutti i rischi prevedibili in una rete wired valgono
anche in una wireless.
Il wireless può rendere possibile l’accesso alle reti
protette da firewall bypassando la protezione offerta
da quest’ultimo.
Data la natura del mezzo di trasmissione (onde radio
non confinabili), tutto ciò che viene trasmesso in
chiaro può essere facilmente “sniffato”
Possibilità di DoS causato da interferenze di
apparecchi operanti sulla stessa frequenza (es.
microonde, salvalavita Beghelli, ecc.)
UNICAM AA 2006/2007
255
Servizi di sicurezza
I tre servizi base di sicurezza definiti
da IEEE per le wlan 802.11b sono:



Autenticazione: verifica dell’identità, controllo
dell’accesso alle risorse solo per i client autorizzati.
Confidenzialità: riferita ai dati, secondo quanto detto
dallo standard dovrebbe essere equivalente a quella
delle reti wired.
Integrità: evita che le informazioni possano essere
modificate mentre transitano.
Questi servizi AVREBBERO dovuti essere raggiunti
con l’adozione del WEP (Wireless Equivalent Privacy)
UNICAM AA 2006/2007
256
Wireless - associazione
UNICAM AA 2006/2007
257
Wireless -Associazione



Associazione: stabilire relazione con un Access Point
(AP)
I wireless terminal (WT) controllano la frequenza e
selezionano l’AP con cui comunicano meglio (maggior
potenza del segnale)
attivo: il WT tenta di localizzare un AP attraverso
• scan
invio di ‘probe request’ e attendendo la risposta
passivo: il WT attende che arrivi dall’AP il
• scan
messaggio di sincronizzazione attraverso dei
messaggi beacon
AP mantengono la lista dei WT associati
• data-rate
• permettono la comunicazione inter BSS
UNICAM AA 2006/2007
258
Sicurezza Wireless - Autenticazione


Controllo di accesso alle infrastrutture
I WT si identificano
• tra loro
• con gli AP

… prima di iniziare una comunicazione
UNICAM AA 2006/2007
259
Sicurezza Wireless - Autenticazione
Schemi di autenticazione wireless:
 None (open System Authentication): situazione di
default
 WEP (Wireless Equivalent Privacy) algoritmo di
cifratura basato su un segreto condiviso
 EAP (Extensible authentication protocol – 802.1x)
•EAP-MD5
•EAP-TLS
•Estensioni proprietarie:
• LEAP (Cisco)
• PEAP (Cisco e Microsoft)
UNICAM AA 2006/2007
260
802.11b - autenticazione
UNICAM AA 2006/2007
261
UNICAM AA 2006/2007
262
802.11b WEP (Wired equivalent privacy)
UNICAM AA 2006/2007
263
Sicurezza WLAN – WEP




È una chiave segreta (“il segreto di Pulcinella”)
condivisa, “Shared Key”, che deve essere
conosciuta da Access Point e Client.
Si basa su RC4 (cipher stream) e operazioni di
XOR con lo stream dei dati in transito.
L’Initalization Vector (IV) del WEP che serve a
inizializzare i cipher stream viene trasmesso in
chiaro
Analizzando sufficiente traffico è possibile
individuare lo stream chiave e decifrare la shared
key.
UNICAM AA 2006/2007
264
Sicurezza WLAN - WEP



Esiste con chiave da 40bit, 128bit e
256bit
Né la versione a 128bit, né tanto meno
quella a 256 bit è standardizzata
Problemi di interoperabilità tra apparecchi
di diversi vendor che implementano
diverse chiavi: 104bit, 152bit, ecc.
UNICAM AA 2006/2007
265
Sicurezza Wireless – Problemi WEP


WepCrack (http://
wepcrack.sourceforge.net) 124Gb di
dati sniffati = rottura chiave WEP
Airsnort (http://airsnort.shmoo.com) 5
10milioni di pacchetti cifrati = rottura
chiave WEP fino a 128bit in 1 secondo.
UNICAM AA 2006/2007
266
Sicurezza Wireless Problemi WEP

Per ovviare ai problemi di sicurezza del WEP diverse
case costruttrici hanno modificato l’algoritmo orginale.
Da cosa ce ne accorgiamo?
UNICAM AA 2006/2007
267
Performance WLAN 802.11b con WEP
UNICAM AA 2006/2007
268
Attacchi alla WLAN







Inserimento di apparati non autorizzati
Intercettazione e monitoraggio di traffico
Disturbo del segnale
Attacchi P2P
Attacchi brute-force
Attacchi al WEP
Wardriving
UNICAM AA 2006/2007
269
802.1x




È uno standard IEEE Ratificato nel 2001 per il “Port Based Network Access
Control”
Basato su EAP
Può lavorare anche su 802.3
un framework per autenticazione e key management
• 802.1x può derivare chiavi di sessione da utilizzare per
•
•

autenticazione, integrità e segretezza dei pacchetti
sfrutta algoritmi standard per la derivazione delle chiavi (es. TLS)
servizi di sicurezza opzionali disponibili: autenticazione o
autenticazione+cifratura
Vantaggi:
• sfrutta il livello applicativo per l’effettiva implementazione dei
•
•
meccanismi di sicurezza
conversazione avviene tra supplicant e server RADIUS
perfetta integrazione con AAA
UNICAM AA 2006/2007
270
UNICAM AA 2006/2007
271
Sicurezza Wireless - EAP
Authentication Protocol (RFC 2284) adottato da
• Extensible
802.1x
di autenticare l’utente su un server esterno
• Consente
(RADIUS)
differenti meccanismi di autenticazione (MD5,
• Supporta
kerberos, one time password, smartcard)
• Il principio del What You Know può essere affiancato dal:
•What You Have
•What You Are
Point fa solo da tramite per consentire il dialogo di
• L’Access
autenticazione
• L’autenticazione è centralizzata
• Non può essere utilizzato per lo scambio di chiavi
UNICAM AA 2006/2007
272
Autenticazione EAP802.1x
UNICAM AA 2006/2007
273
EAP-MD5



EAP-MD5 si basa sulla coppia
Username e Password
Non supporta la key management o
generazione dinamica delle chiavi
L’autenticazione è di tipo “one-way” solo
l’utente si autentica (possibilità di attachi
tramite “rogue AP”)
UNICAM AA 2006/2007
274
EAP-TLS




EAP-TLS (Transport Layer Security)(RFC
2716): si basa sull’utilizzo di certificati
digitali
Supporta la generazione dinamica di
chiavi
L’autenticazione è reciproca
Per contro richiede l’esistenza di una PKI
(Public Key Infrastructure) per i certificati
UNICAM AA 2006/2007
275
EAP-TTLS



EAP-TTLS (Tunneled Transport Layer
Security) si basa sulla creazione di un canale
sicuro TLS (con certificato server).
Su questo canale avviene l’autenticazione con
un altro metodo:
•PAP
•CHAP
•MS-CHAPv1, MS-CHAPv2
UNICAM AA 2006/2007
276
LEAP




LEAP è una estensione proprietaria Cisco,
perciò l’interoperabilità con client di altri
fornitori non è garantita
Utilizza MS-Chap per l’autenticazione
Vengono generate chiavi dinamiche legate
alla sessione
UNICAM AA 2006/2007
277
Peap



PEAP (Protected EAP): è una estensione
proposta da Cisco, Microsoft e RSA
Utilizza la stessa filosofia per dell’EAPTTLS per l’autenticazione
UNICAM AA 2006/2007
278
Standard RSN

Recentemente completato dal gruppo
dell’IEEE 802.11i, è uno standard per
garantire la sicurezza delle WLAN basandosi
su:
•IEEE 802.1x
•AES (Advanced Encryption Standard)
UNICAM AA 2006/2007
279
VPN


Tradizionale
alternativa
all’IEEE802.1x e
server RADIUS
Crittografia
software 
degrado
prestazioni di rete
UNICAM AA 2006/2007
280
802.11i

Standard di cui fanno parte:
•IEEE 802.1x
•WPA(wireless protected access)
->TKIP=WEP+4 patch:
•Key mixing
•MIC (message Integrity Control)
•Re-keying
•Initialization vector protection
UNICAM AA 2006/2007
281
Sistemi di crittografia 802.11
UNICAM AA 2006/2007
282
QoS 802.11b

L’802.11b non gestisce QoS e non soddisfa i parametri
necessari al trasporto di voce e dati
UNICAM AA 2006/2007
283
Soluzioni QoS 802.11b

Software che implementano:
• Adaptive Jitter Buffer
• G.711 Enhanced
• Packet Loss Robustness
• Acoustic Echo Cancellation

Attendere lo standard IEEE802.11e per il QoS
in reti wireless
UNICAM AA 2006/2007
284
Modello WLan Insicuro
Modello
“plug & play”
connettere l’AP
alla rete e
lasciare le
impostazioni
di default.
Modello WLan minimun security

WEP abilitato
a 64-128bit
Sicurezza Wireless – Wardriving
Il mezzo trasmissivo usato è per sua natura
non confinabile
 Il vostro AP è nei pressi di una finestra?
 Collegato con un HUB?
 La chiave WEP è inesistente, debole o di
default?
 Se avete esigenza di confidenzialità dei dati
siete nei guai!!
Sicurezza Wireless - Wardriving
Risorse per l’attaccante:
 Notebook o palmare
 Scheda Wi-Fi Lucent o con chipset Prism
 Antenna direzionale e omnidirezionale
 Software per il wardriving:
• Wavemon per rilevare l’intensità e la direzionalità
• NetStumbler per trovare l’SSID di rete e vedere se
il WEP è abilitato
• AirSnort se c’è il bisogno di rompere la cifratura
WEP (occorrere catturare almeno 1-7Gb di dati)
Sicurezza Wireless Warchalking
Wardriving
Le risorse del target:
 WEP 128bit, 256bit
 SSID non prevedibile
 Broadcast dell’SSID non abilitato (Closet Network)
 Filtro sui MAC address autorizzati ad associarsi
 Posizionamento accurato dell’AP nella rete aziendale:
• Nodo considerato untrusted
• Utilizzo di VPN o RADIUS Server con 802.1x
• Utilizzo di protocolli che usano la cifratura (SSH,
SSL, TLS)
 Frequenti auditing sul livello di sicurezza
Realizzare un modello di WLAN

Trade off
• Performance
• Confidenzialtà
• Contrastare possibili attacchi
• Costi
Modello WLan moderate security
WEP abilitato
128-256bit
MAC Filtering
Closed network
Optimal Security 1
firewall
- WEP abilitato
128-256bit
- TKIP
- Closet Network
- AP avanti al
Firewall
- Server Radius con
802.1x/EAP o
Server VPN
Optimal Security
2 Firewall
- WEP abilitato 128256bit
- TKIP
- Closet Network
- AP avanti al firewall
- Server Radius con
802.1x/EAP o
Server VPN in DMZ
- Sistemi IDS e di
Monitoring
Bridge tra Wlan – AES (RSN)
Bridge tra Wlan - IPSec
VPN o RADIUS?

Generalmente è meglio utilizzare una VPN
quando:
• abbiamo una situazione di client misti che non
supportano le stesse modalità di autenticazione;
• la sicurezza è più importante delle performance.
Wardriving WLan Provincia MC
Criminalità Informatica

Internet e diritto penale
• Reati commessi su Internet
• Reati connessi mediante Internet
Relazione al DDL, XI Legislatura divenuto
legge 23/12/1993, n.547
UNICAM AA 2006/2007
303
I reati commessi su Internet

Art 615 ter c.p. – (Accesso abusivo
ad un sistema informatico o
telematico) – Chiunque abusivamente
si introduce in un sistema informatico o
telematico protetto da misure minime di
sicurezza ovvero vi si mantiene contro la
colontà estressa o tacita di chi ha diritto
ad escluderlo, è punito con la reclusione
fino a tre anni.
UNICAM AA 2006/2007
304

La pena è della reclusione fino a cinque anni se:
•
•
•
Il fatto è commesso da un pubblico ufficiale o da un incaricato di
un pubblico servizio, con abuso dei poteri o con violazione dei
doveri inerenti alla funzione oo al servizio o da chi esercita anche
abusivamente la professione di investigatore privato, o con abuso
della qualità di operatore di sistema;
Se il colpevole per commetter il fatto usa violenza sulle cose o
alle persone, ovvero se è palesemente armato;
Se dal fatto deriva la distruzione o il danneggiamento del sistema
o l’interruzione totale o parziale del suo funzionamento, ovvero la
distruzione o il danneggiamento dei dati, delle informazioni o o
dei programmi in esso contenuti.
UNICAM AA 2006/2007
305

Qualora i fatti di cui ai commi primo e
secondo riguardino sistemi informatici o
telematici di interesse militare o relativi
all’ordine pubblico la pena è
rispettivamente della reclusione da uno a
cinque annni e da tre a otto anni
UNICAM AA 2006/2007
306

Art 615- quarter c.p. ( Detenzione e
diffusione abusiva di codici di accesso a
sistemi informatici o telematici). Chiunque,
al fine di procurare a se o ad altri un profitto o
di arrecare un danno, abusivamente si procura
riproduce diffonde comunica o consegna codici
parole chiave o altri mezzi idonei all’accesso a
un sistema informatico o telematico, protetto da
misure di sicurezza o comunque fornisce
indicazioni o istruzioni idonee al predetto scopo,
è punito con la reclusione sino a un anno e con
la multa fino a 10 milioni…
UNICAM AA 2006/2007
307

Art 615 – quinques c.p. (Diffusione di
programmi diretti a danneggiare o
interrompere un sistema informatico) –
Chiunque diffonde comunica o consegna un
programma informatico da lui stesso o da altri
redatto avente per scopo o per effetto il
danneggiamento di un sistema informatico o
telematico dei dati o dei programmi in esso
contenuti o a esso pertinenti, ovvero
l’interruzione totale o parziale, o l’alterazione
del suo funzionamento, è punito con la
reclusione sino a due anni e con la multa sino a
lire 20 milioni.
UNICAM AA 2006/2007
308

Art 616 c.p. (Violazione, sottrazione
e soppressione di corrispondenza) –
Chiunque prende cognizione del
contenuto di una corrispondenza chiusa
a lui non diretta, ovvero sottrae o
distrae, al fine di prenderne o di farne da
altri prendere cognizione, una
corrispondenza chiusa o aperta, a lui non
diretta,. Ovvero tutto o in parte la
distrugge e la sopprime , è punito, se il
fatto non è preveduto come reato
UNICAM AA 2006/2007
309

617-quater. Intercettazione, impedimento
o interruzione illecita di comunicazioni
informatiche o telematiche.
Chiunque fraudolentemente intercetta comunicazioni
relative ad un sistema informatico o telematico o
intercorrenti tra più sistemi, ovvero le impedisce o le
interrompe, è punito con la reclusione da sei mesi a
quattro anni.
Salvo che il fatto costituisca più grave reato, la stessa
pena si applica a chiunque rivela, mediante qualsiasi
mezzo di informazione al pubblico, in tutto o in
parte, il contenuto delle comunicazioni di cui al
primo comma.
UNICAM AA 2006/2007
310


I delitti di cui ai commi primo e secondo sono
punibili a querela della persona offesa.
Tuttavia si procede d'ufficio e la pena è della
reclusione da uno a cinque anni se il fatto è
commesso:
• 1) in danno di un sistema informatico o telematico
•
•
utilizzato dallo Stato o da altro ente pubblico o da impresa
esercente servizi pubblici o di pubblica necessità;
2) da un pubblico ufficiale o da un incaricato di un
pubblico servizio, con abuso dei poteri o con violazione dei
doveri inerenti alla funzione o al servizio, ovvero con
abuso della qualità di operatore del sistema;
3) da chi esercita anche abusivamente la professione di
investigatore privato (1).
UNICAM AA 2006/2007
311
617-quinquies. Installazione di apparecchiature atte ad
intercettare, impedire o interrompere comunicazioni
informatiche o telematiche.
Chiunque, fuori dai casi consentiti dalla legge, installa
apparecchiature atte ad intercettare, impedire o interrompere
comunicazioni relative ad un sistema informatico o telematico
ovvero intercorrenti tra più sistemi, è punito con la reclusione
da uno a quattro anni.
La pena è della reclusione da uno a cinque anni nei casi previsti
dal quarto comma dell'articolo 617-quater (1).
-----------------------(1) Articolo aggiunto dall'art. 6, L. 23 dicembre 1993, n. 547, che
modifica ed integra le norme del codice penale e del codice di
procedura penale in tema di criminalità informatica.
UNICAM AA 2006/2007
312



Art.4 Statuto dei Lavoratori (l.300/70) – Impianti
audiovisiviE’ vietato l’uso di impianti audiovisivi e di altre
apparecchiature per finalità di controllo a distanza
dell’attività dei lavoratori…
Art. 38 Statuto dei Lavoratori – Disposizioni
penali.
UNICAM AA 2006/2007
313



617-sexies. Falsificazione, alterazione o soppressione
del contenuto di comunicazioni informatiche o
telematiche.
Chiunque, al fine di procurare a sé o ad altri un vantaggio o
di arrecare ad altri un danno, forma falsamente ovvero altera
o sopprime, in tutto o in parte, il contenuto, anche
occasionalmente intercettato, di taluna delle comunicazioni
relative ad un sistema informatico o telematico o intercorrenti
tra più sistemi, è punito, qualora ne faccia uso o lasci che
altri ne facciano uso, con la reclusione da uno a quattro anni.
La pena è della reclusione da uno a cinque anni nei casi
previsti dal quarto comma dell'articolo 617-quater (1).
•
(1) Articolo aggiunto dall'art. 6, L. 23 dicembre 1993, n. 547, che
UNICAM AA 2006/2007
314




621. Rivelazione del contenuto di documenti segreti.
Chiunque, essendo venuto abusivamente a cognizione del
contenuto, che debba rimanere segreto, di altrui atti o
documenti, pubblici o privati, non costituenti corrispondenza
[c.p. 616], lo rivela, senza giusta causa, ovvero lo impiega a
proprio o altrui profitto, è punito, se dal fatto deriva
nocumento, con la reclusione fino a tre anni o con la multa da
lire duecentomila a due milioni [c.p. 29, 262] (1).
Agli effetti della disposizione di cui al primo comma è
considerato documento anche qualunque supporto
informatico contenente dati, informazioni o programmi (2).
Il delitto è punibile a querela della persona offesa [c.p. 120;
c.p.p. 336].
UNICAM AA 2006/2007
315
(1) La multa risulta così aumentata, da ultimo, ai sensi
dell'art. 113, L. 24 novembre 1981, n. 689, che
modifica il sistema penale.
(2) Comma aggiunto dall'art. 7, L. 23 dicembre 1993, n.
547, che modifica ed integra le norme del codice
penale e del codice di procedura penale in tema di
criminalità informatica.
UNICAM AA 2006/2007
316


623-bis. Altre comunicazioni e conversazioni.
Le disposizioni contenute nella presente sezione,
relative alle comunicazioni e conversazioni telegrafiche,
telefoniche, informatiche o telematiche, si applicano a
qualunque altra trasmissione a distanza di suoni,
immagini od altri dati (1).
(1) Articolo aggiunto dall'art. 4, L. 8 aprile 1974, n. 98, sulla tutela della
riservatezza e della libertà e segretezza delle comunicazioni e così sostituito
dall'art. 8, L. 23 dicembre 1993, n. 547, che modifica ed integra le norme del
codice penale e del codice di procedura penale in tema di criminalità
informatica. Il precedente testo così disponeva: «Comunicazioni e
conversazioni non telegrafiche o telefoniche. - Le disposizioni contenute nella
presente sezione, relative alle comunicazioni e conversazioni telegrafiche o
telefoniche, si applicano a qualunque altra trasmissione di suoni, immagini od
altri dati effettuata con collegamento su filo o ad onde guidate».
UNICAM AA 2006/2007
317
•
•
•
•
L'art. 16, L. 13 settembre 1982, n. 646, in materia di misure di prevenzione di
carattere patrimoniale, così dispone: «Il procuratore della Repubblica del luogo
dove le operazioni debbono essere eseguite può autorizzare gli ufficiali di polizia
giudiziaria ad intercettare comunicazioni o conversazioni telefoniche o
telegrafiche o quelle indicate nell'art. 623-bis c.p., quando lo ritenga necessario
al fine di controllare che le persone nei cui confronti sia stata applicata una delle
misure di prevenzione previste dall'art. 3, L. 27 dicembre 1956, n. 1423, non
continuino a porre in essere attività o comportamenti analoghi a quelli che hanno
dato luogo all'applicazione della misura di prevenzione.
Riguardo alle intercettazioni di comunicazioni e conversazioni telefoniche o
telegrafiche o di quelle indicate dall'art. 623-bis c.p., si osservano le modalità
previste dall'art. 226-ter c.p.p. e dall'art. 226-quater c.p.p., primo, secondo,
terzo e quarto comma.
Gli elementi acquisiti attraverso le intercettazioni possono essere utilizzati
esclusivamente per la prosecuzione delle indagini e sono privi di ogni valore ai
fini processuali.
Le registrazioni debbono essere trasmesse al procuratore della Repubblica che ha
autorizzato le operazioni, il quale dispone la distruzione delle registrazioni stesse
e di ogni loro trascrizione, sia pure parziale».
UNICAM AA 2006/2007
318



635-bis. Danneggiamento di sistemi informatici e
telematici.
Chiunque distrugge, deteriora o rende, in tutto o in
parte, inservibili sistemi informatici o telematici altrui,
ovvero programmi, informazioni o dati altrui, è punito,
salvo che il fatto costituisca più grave reato, con la
reclusione da sei mesi a tre anni.
Se ricorre una o più delle circostanze di cui al secondo
comma dell'articolo 635, ovvero se il fatto è commesso
con abuso della qualità di operatore del sistema, la
pena è della reclusione da uno a quattro anni (1).
•
(1) Articolo aggiunto dall'art. 9, L. 23 dicembre 1993, n. 547, che
UNICAM AA 2006/2007
319
392. Esercizio arbitrario delle proprie ragioni con
violenza sulle cose.
 Chiunque, al fine di esercitare un preteso diritto,
potendo ricorrere al giudice [c.p.c. 99], si fa
arbitrariamente ragione da sé medesimo, mediante
violenza sulle cose [c.c. 896, 1152], è punito a querela
della persona offesa, con la multa fino a lire un milione
[c.p. 120, 126; c.p.p. 336] (1).
 Agli effetti della legge penale, si ha violenza sulle cose
allorché la cosa viene danneggiata o trasformata, o ne
è mutata la destinazione.
 Si ha, altresì, violenza sulle cose allorché un
programma informatico viene alterato, modificato o
cancellato in tutto o in parte ovvero viene impedito o
turbato il funzionamento di un sistema informatico o
(2)
.
Politiche delle Reti etelematico
Sicurezza UNICAM AA 2006/2007
320

•
•
•
-----------------------(1) La multa risulta così aumentata, da ultimo, ai sensi dell'art. 113,
L. 24 novembre 1981, n. 689, che modifica il sistema penale.
(2) Comma aggiunto dall'art. 1, L. 23 dicembre 1993, n. 547, che
UNICAM AA 2006/2007
321
420. Attentato a impianti di pubblica utilità.
 Chiunque commette un fatto diretto a danneggiare o
distruggere impianti di pubblica utilità, è punito, salvo
che il fatto costituisca più grave reato, con la reclusione
da uno a quattro anni.
 La pena di cui al primo comma si applica anche a chi
commette un fatto diretto a danneggiare o distruggere
sistemi informatici o telematici di pubblica utilità,
ovvero dati, informazioni o programmi in essi contenuti
o ad essi pertinenti.
 Se dal fatto deriva la distruzione o il danneggiamento
dell'impianto o del sistema, dei dati, delle informazioni
o dei programmi ovvero l'interruzione anche parziale
del funzionamento dell'impianto o del sistema la pena è
della reclusione da tre a otto anni (1).
Politiche delle
Reti e-----------------------Sicurezza UNICAM AA 2006/2007
322

• (1) Articolo, da ultimo, così sostituito dall'art. 2, L. 23
dicembre 1993, n. 547, che modifica ed integra le norme
del codice penale e del codice di procedura penale in tema
di criminalità informatica. Il testo precedente alla
sostituzione del 1993 così disponeva: «Attentato a
impianti di pubblica utilità. - Chiunque commette un fatto
diretto a danneggiare o distruggere impianti di pubblica
utilità o di ricerca o di elaborazione di dati, è punito, salvo
che il fatto costituisca più grave reato, con la reclusione
da uno a quattro anni. Se dal fatto deriva la distruzione o
il danneggiamento dell'impianto o l'interruzione del suo
funzionamento, la pena è della reclusione da tre a otto
anni». Il delitto previsto nel terzo comma del presente
articolo, consumato o tentato, è attribuito al tribunale in
composizione collegiale, ai sensi dell'art. 33-bis del codice
di procedura penale, a decorrere dalla sua entrata in
UNICAM AA 2006/2007
vigore.
323



640-ter. Frode informatica.
Chiunque, alterando in qualsiasi modo il funzionamento
di un sistema informatico o telematico o intervenendo
senza diritto con qualsiasi modalità su dati,
informazioni o programmi contenuti in un sistema
informatico o telematico o ad esso pertinenti, procura a
sé o ad altri un ingiusto profitto con altrui danno, è
punito con la reclusione da sei mesi a tre anni e con la
multa da lire centomila a due milioni.
La pena è della reclusione da uno a cinque anni e della
multa da lire seicentomila a tre milioni se ricorre una
delle circostanze previste dal numero 1) del secondo
comma dell'articolo 640, ovvero se il fatto è commesso
con abuso della qualità di operatore del sistema.
UNICAM AA 2006/2007
324


Il delitto è punibile a querela della persona offesa,
salvo che ricorra taluna delle circostanze di cui al
secondo comma o un'altra circostanza aggravante
------------------------
.
(1)
• (1) Articolo aggiunto dall'art. 10, L. 23 dicembre 1993, n.
547, che modifica ed integra le norme del codice penale o
del codice di procedura penale in tema di criminalità
informatica.
• Politiche delle Reti e Sicurezza
UNICAM AA 2006/2007
325


491-bis. Documenti informatici.
Se alcuna delle falsità previste dal presente capo
riguarda un documento informatico pubblico o privato,
si applicano le disposizioni del capo stesso concernenti
rispettivamente gli atti pubblici e le scritture private. A
tal fine per documento informatico si intende
qualunque supporto informatico contenente dati o
informazioni aventi efficacia probatoria o programmi
specificamente destinati ad elaborarli (1).
• -----------------------• (1) Articolo aggiunto dall'art. 3, L. 23 dicembre 1993, n.
547, che modifica ed integra le norme del codice penale e
del codice di procedura penale in tema di criminalità
informatica.

UNICAM AA 2006/2007
326
I reati commessi mediante Internet


DL 03.05.1991 n.143
Art.12 – Chiunque al fine di trarne profitto per sé o per gli
altri indebitamente utilizza non essendone titolare, carte di
credito, o di pagamento, ovvero qualsiasi altro documento
analogo che abiliti al prelievo di denaro contante o
all’acquisto di beni o alla prestazione di servizi, è punito con
la reclusione da uno a cinque anni..Alla stessa pena soggiace
chi, al fine di trarne profitto per sé e per gli altri, falsifica o
altera carte di credito o di pagamento o qualsiasi altro
documento analogo che abiliti al prelievo di denaro contante
o all’acquisto di beni e o alla prestazione di servizi, ovvero
possiede, cede o acquisisce tali carte o documenti di
provenienza illecita o comunque falsificati o alterati, nonché
ordini di pagamento prodotti con essi.
UNICAM AA 2006/2007
327



6. Reati commessi nel territorio dello
Stato.
Chiunque commette un reato nel territorio dello
Stato (1) è punito secondo la legge italiana.
Il reato si considera commesso nel territorio
dello Stato [c.p. 4], quando l'azione o
l'omissione, che lo costituisce, è ivi avvenuta in
tutto o in parte, ovvero si è ivi verificato
l'evento che è la conseguenza dell'azione od
omissione.
UNICAM AA 2006/2007
328

Corte di Cassazione Sez.v penale Sentenza del
17.11.2000 n.4741 (www.penale.it)

..il reato si considera commesso nel territorio dello Stato,
quando su di esso si sia verificata, in tutto, ma anche in
parte, l’azione o l’omission, ovvero l’evento che ne sia
conseguenza. La cosidetta teoria dell’ubiquità, dunque,
consente al giudice italiano di conoscere del fatto-reato, tanto
nel caso in cui sul territorio nazionale sia sia verificata la
condotta., tanto in quello in cui su di esso si sia verificato
l’evento. Pertanto nel caso di un iter criminis iniziato
all’estero e conclusosi con l’evento nel nostro paese, sussiste
la potestà punitiva dello Stato Italiano”
UNICAM AA 2006/2007
329
Progettazione delle politiche di
sicurezza



Standard per la valutazione e la
certificazione della sicurezza
La normativa vigente
La progettazione delle politiche di
sicurezza
UNICAM AA 2006/2007
330
UNICAM AA 2006/2007
331
UNICAM AA 2006/2007
332
UNICAM AA 2006/2007
333
UNICAM AA 2006/2007
334

La sicurezza di rete - Home Page di Andrea Leotardi

Transcript

Documenti analoghi

Biological Sciences - Nutritional Biology

Scuola di Bioscienze e Biotecnologie corso di laurea magistrale

II Modulo - Wine Export Management

Nautech, giugno 2007

1/1 Come posso scoprire un host che mette in atto un

SPEED TRIPLE 955i del 2001

SPEED TRIPLE 955i del 2001

Speed Triple 955i nera anno 2003

Massimiliano Sbaraglia networking engineer UDP flood è un tipo di