La sicurezza aziendale a 360 La protezione delle reti Roberto Covati

Transcript

1 Università degli Studi di Parma Dipartimento di Fisica La sicurezza aziendale a 360 La protezione delle reti Roberto Covati La protezione delle reti - 1 Argomenti Introduzione: come si è arrivati all attuale uso della rete Classificazione e obiettivi degli attacchi Uso di sistemi di crittografia per comunicazioni protette La protezione diretta dagli attacchi esterni Una possibile ricetta di sicurezza La protezione delle reti - 2 1

2 Storia della rete a Parma 1986 prima rete DecNet server di posta elettronica (1 ora di collegamento via modem con il cineca) - LAN 1987 Il TCP/IP 1992 Il Dipartimento di Fisica è connesso a internet con una linea dedicata a 19.2 kbit/s con il CNAF di Milano (il resto dell ateneo viaggia a 48kbit/s) La protezione delle reti - 3 Storia della rete a Parma 1993 Prima pagina web a Parma 1995 videoconferenza via internet La protezione delle reti - 4 2

3 Classificazione degli attacchi Intrusione Impersonificazione Intercettazione (es. Sniffing) Abuso (es. spamming) Denial-of-service (es. sovraccarico) Il ruolo dei Virus La protezione delle reti - 5 Obiettivi di un attacco Accedere a dati riservati Assumere un identità Effettuare transazioni finanziarie fraudolente Usare risorse senza averne diritto Mandare fuori servizio un sistema Mostrare al mondo quanto si è bravi entrando nei sistemi altrui La protezione delle reti - 6 3

4 Le vulnerabilità dei sistemi Vulnerabilità dei dati Vulnerabilità dei programmi applicativi Vulnerabilità dei programmi server Vulnerabilità dei sistemi operativi Vulnerabilità dei sistemi fisici Vulnerabilità delle trasmissioni La protezione delle reti - 7 Intrusione in un sistema Accesso non autorizzato ad un servizio disponibile in un server Connessione di terminale remoto (tipico UNIX) Ingresso sul disco (tipico Windows) La protezione delle reti - 8 4

5 I Virus Un virus è un insieme di istruzioni comprensibili dal computer che svolgono un attività dannosa e/o fraudolenta Il Virus si mimetizza entro programmi e/o documenti che ne risultano infettati Nei comuni PC, una volta lanciato un programma, è praticamente impossibile verificarne l esecuzione La protezione delle reti - 9 Una prima classificazione dei Virus Virus degli eseguibili Virus dei Boot Sector Virus del BIOS Virus scripting MacroVirus Virus del terminale Web Virus Virus misti La protezione delle reti

6 Web Virus Sono contenuti entro pagine Web o HTML in genere (trasmissibili anche via posta elettronica) Si dividono in gruppi Web Scripting Virus Virus Java Virus ActiveX Cookie ostile La protezione delle reti - 11 Web Scripting Virus Sono costituiti da pagine HTML contenenti istruzioni fraudolente (tipicamente VBScript o JavaScript) Si attivano alla visualizzazione della pagina grazie all interprete contenuto nel browser Sono fra i più pericolosi La protezione delle reti

7 Virus Java Sono contenuti entro gli Applet Java Nonostante la macchina virtuale Java del browser sia isolata esistono delle falle, che tali virus sfruttano Possono come minimo causare il crash del browser La protezione delle reti - 13 Virus ActiveX Sono contenuti entro i controlli ActiveX lato client Interagendo con il sistema operativo locale possono svolgere qualsiasi azione Es. il virus spegnimento remoto del ComputerCaos Club di Amburgo La protezione delle reti

8 Cookie ostile (o Cookie Virus) I cookie sono file di testo inviati insieme ai messaggi HTTP Sono conservati dal browser fino alla scadenza Un cookie ostile può leggere gli altri e le informazioni del browser (es. identità) La protezione delle reti - 15 Un problema secondario: gli Hoak Con Hoak si indica un messaggio di avvertimento per un nuovo virus inesistente, diffuso via con l invito a spedirlo a quante più persone possibili Ciò genera panico ingiustificato e, in definitiva, perdita di tempo e risorse La protezione delle reti

9 Come funzionano gli anti-virus Il metodo più semplice è la ricerca delle impronte virali Vengono fatte valere le regole note contro Stealth e simili Esistono anche motori euristici che analizzano ed interpretano i codici insoliti trovati, ma sono lenti La protezione delle reti - 17 Come funzionano gli anti-virus 2 Durante la fase di disinfezione l Antivirus cerca di ripristinare la forma originale del file infettato Non sempre ciò è possibile Vale quanto detto per le protezioni dei dati La protezione delle reti

10 Protezioni Crittografia dati Crittografia e autenticazione canale (SSL, SSH) Firewall, filtri IP e filtri per protocollo Verifiche sulle connessioni (statefull firewall) Controllo sul carico (denial of service) Controllo sui servizi (patch e service pack) La protezione delle reti - 19 Lo scenario Computer Client Computer Server Internet Testo in chiaro Hacker Lettura dei Pacchetti In transito Testo in chiaro La protezione delle reti

11 Lo scenario Testo in chiaro Criptazione Chiave Testo in chiaro Decriptazione La protezione delle reti - 21 Chiave Chiave simmetrica La stessa chiave viene usata sia per la criptazione sia per la decriptazione Con lunghezza delle chiavi >= 128 bit il sistema è al sicuro da attacchi a forza bruta La protezione delle reti

12 Chiave simmetrica - 2 Se la chiave viene intercettata i messaggi non sono più sicuri Non garantisce l autenticazione del mittente La protezione delle reti - 23 Chiave asimmetrica Il ruolo delle chiavi è duale: ciò che viene crittografato con una può essere decrittato solo con l altra Si deve conoscere solo una chiave (pubblica) La protezione delle reti

13 Chiave asimmetrica - 2 Usando la mia chiave privata e quella pubblica del destinatario, garantisco contemporaneamente autenticazione e sicurezza Numero di bit elevato (>= 1024) La protezione delle reti - 25 Algoritmi di crittografia simmetrica DES (Data Encryption Standard) 3-DES Blowfish IDEA La protezione delle reti

14 Agoritmi di crittografia asimmetrica RSA (Rivest Shamir Adelman) Diffie-Hellman La protezione delle reti - 27 Applicazione alle comunicazioni Cifratura dei file prima della trasmissione (es. Mail) Protezione di tutto un canale La protezione delle reti

15 Protezione dei canali Protocolli a livello applicativo (S-HTTP, SSL, SSH, SSH-VPN) Protocolli a livello trasporto (IPSec, IPSec-VPN) La protezione delle reti - 29 Protocollo Secure Socket Layer (SSL) Protocollo di sicurezza general-purpose Opera al di sopra del livello trasporto nello stack TCP/IP Le parti si identificano (autenticano) producendo certificati che associano il loro nome a una chiave pubblica La protezione delle reti

16 Protocollo SSL Autenticazione di server e client sono basate sui certificati a chiave pubblica Handshaking e authenticazione usano le chiavi asimmetriche Una chiave simmetrica (di sessione) viene generata durante la fase di handshaking La protezione delle reti - 31 Protocollo SSL: applicazioni OgniserviziobasatosuTCP/IP può essere protetto usando SSL L uso più frequente è HTTPS (HTTP su SSL) La protezione delle reti

17 La firma digitale insieme di dati in forma elettronica, allegati ad altri dati per garantire autenticazione, che soddisfa i seguenti requisiti 1. essere connesso in maniera unica al firmatario 2. essere idoneo ad identificare il firmatario La protezione delle reti - 33 La firma digitale Posso firmare un documento criptando (uso una funzione di hash) la firma con la mia chiave privata Il ricevente puo verificare tale firma decriptandola con la mia chiave pubblica DATA Hash Encrypt Signature Ma dove si puo trovare la mia chiave pubblica? Risposta: La Certification Authority La CA lega l identita della persona con la sua chiave pubblica in un nuovo documento chiamato Certificato Utente che e firmato dalla CA. Name Carlo Issuer INFNCA Carlo s Public key CA signature La protezione delle reti

18 Certificate Authority (CA) La CA firma il proprio certificato (soltimente self-sign) che viene distribuito in tutto il mondo e che puo essere usato per vericare I certificati forniti dalla CA stessa. Il certificato della CA ha un Tempo di validita solitamente abbastanza lungo (5 anni). Name INFN CA Issuer INFN CA CA Public key CA signature La protezione delle reti - 35 Protocollo Secure Shell (SSH) Protocollo general-purpose per l autenticazione e la crittografia di canali E iniziato come rimpiazzo del protocollo rsh di UNIX L implementazione avviene al livello applicativo Esistono versioni commerciali e public domain (OpenSSH) La protezione delle reti

19 IPSec-VPN IPSec è un estensione standard di TCP/IP che consente crittografia e autenticazione del canale già al livello trasporto Una VPN o rete privata virtuale è un insieme di computer collegati fra loro in modo riservato attraverso una rete pubblica di comunicazione come Internet. La protezione delle reti - 37 IPSec-VPN - 3 Ethernet Traffico internet Router LAN Router Router Tunnel criptato INTERNET Ethernet Router Traffico internet Router LAN La protezione delle reti

20 IPSec-VPN - 2 Attraverso il TCP tunnelling, meccanismo simile al port forwarding, tutte le comunicazioni fra due reti possono essere fatte transitare in un tunnel IPSec sicuro La protezione delle reti - 39 Il Firewall Sistema o gruppo di sistemi che impongono una politica di controllo degli accessi fra due reti.(ncsa) I firewall possono essere usati entro una rete per garantire la sicurezza fra i vari dipartimenti di un organizzazione La protezione delle reti

21 Una rete tipo Ethernet Internet LAN Firewall Tipicamente una rete è isolata da Internet e tutto il traffico transita attraverso il firewall La protezione delle reti - 41 Il Firewall - 2 Un firewall da solo non può bloccare l accesso dei virus alla rete che protegge Prima di mettere in opera un firewall, si deve sviluppare un piano di sicurezza che definisca il tipo di accesso consentito agli utenti esterni e a quelli interni La protezione delle reti

22 Il Firewall - 3 Dispositivo che filtra i pacchetti che lo attraversano in base a determinati criteri Filtro per indirizzi IP Filtro per porta (servizio) La protezione delle reti - 43 Il ruolo del Firewall Internet LAN Ethernet La protezione delle reti - 44 Router/Firewall Blocco degli indirizzi 193.x Blocco delle porte 20/21 (FTP) Accesso selettivo della posta Accesso globale Web 22

23 Workstation Security gateway (content filtering, protezione da virus, spam etc) Scenario di Protezione Network IDS Firewall VPN end-point X Macro Virus Mobile code (Melissa) Internet Network Security Scanner Hacker Cracker Server(s) Mail server Web server Scanning IP spoofing DOS Back door attack La protezione delle reti - 45 Protezione da virus/worm/spam Protezione a due livelli Perimetrale: ed eventuale blocco di tutto il traffico per le principali applicazioni: (smtp, pop, imap), ftp, http. In questo modo si bloccano alla fonte prima che arrivino nella rete locale Posto di lavoro individuale: serve un software antivirus costantemente aggiornato (!) e un firewall locale per scongiurare attacchi da parte di PC infetti all interno della LAN La protezione delle reti

24 Protezione da virus/worm/spam Protezione perimetrale: Controllo virus, worm e spam con blocco immediato su messaggi di posta in arrivo sul server, messaggi di posta scaricati dai singoli client (pop, imap e http) Controllo virus, worm e spam con blocco immediato su pagine web (o ftp), richieste dai client della rete locale; controllo sui programmi web eseguibili dai client quali java-script e applet java La protezione delle reti - 47 Content Filtering Controllo e gestione di tutte le connessioni uscenti legate al tipo di traffico per ogni utente Filtering basato sul tipo di traffico e database di URL classificate per categoria Protezione da Spyware, blocco da Malicious Mobile Code, controllo di programmi peerto-peer, streaming Gestione della banda per ottimizzare l uso di Internet Analisi e reportistiche avanzate La protezione delle reti

25 Network Intrusion Detection System È uno strumento in grado di analizzare in tempo reale il traffico di un segmento di rete alla ricerca di contenuto sospetto In seguito all analisi possono essere prese decisioni di chiusura di un determinato flusso di informazioni e/o l invio di ALERT al gestore della rete È un software piuttosto complesso e va configurato in modo molto preciso Attenzione ai falsi positivi La protezione delle reti - 49 Network security scanner Controllo reale dei servizi aperti verso internet verificando eventuali problemi di sicurezza tra cui Scan delle porte (confronti per vedere nuovi eventuali servizi aperti) Controllo vulnerabilità sui servizi Controllo di backdoor e share aperti Capacita di testare la mancanza di hot fix e service packs di sistemi operativi o applicativi La protezione delle reti

26 Un ultimo consiglio Di fondamentale importanza tenere costantemente monitorati e manuntenuti (installando tempestivamente gli hot-fix e gli eventuali service pack) i servizi aperti verso internet Tenere aggiornati anche i client significa chiudere a priori vulnerabilita che possono essere sfruttare da virus e worm La protezione delle reti