Sicurezza negli apparati di rete Cisco IOS device security and best practices

Transcript

1 Sicurezza negli apparati di rete Cisco IOS device security and best practices Udine, 27 aprile 2015 Ing. Mauro Pillon 1

2 Chi sono Laurea in ingegneria elettronica MBA Dal 1999 lavoro in ambito networking Varie certificazioni professionali di prodotto CCIE Routing & Switching Attualmente responsabile struttura Ingegneria IP di Insiel S.p.A. Competenze: Network design IP/MPLS WAN & LAN 2

3 RFC 3514 Network Working Group S. Bellovin Request for Comments: 3514 AT&T Labs Research Category: Informational 1 April 2003 The Security Flag in the IPv4 Header Abstract Firewalls, packet filters, intrusion detection systems, and the like often have difficulty distinguishing between packets that have malicious intent and those that are merely unusual.... To solve this problem, we define a security flag, known as the "evil" bit, in the IPv4[RFC791] header. Benign packets have this bit set to 0; those that are used for an attack will have the bit set to 1. 3

4 Introduzione Di cosa tratta questa lezione: Linee guida per la messa in sicurezza di apparati di rete, nello specifico apparati con sistema operativo Cisco IOS Pratico riferimento per la sicurezza di tali sistemi Primo livello di difesa della rete Best practices Sia IPv4 sia IPv6 Di cosa non tratta: Non tratta della sicurezza informatica in generale Non tratta di apparati specifici per la sicurezza di rete Non sono informazioni definitive. Le indicazioni saranno soggette a revisioni per seguire l evolversi della tecnologia e delle conoscenze sulle vulnerabilità dei sistemi 4

5 Perché apparti di rete di Cisco Systems? 70% del mercato mondiale dei router in ambito enterprise 60% del mercato mondiale di ethernet switch 40% del mercato mondiale dei router/switch in ambito service provider Documentazione e manualistica pubblicamente disponibile I corsi e le certificazioni Cisco sono quelli più diffusi e maggiormente riconosciuti dal mercato 5

6 Mercato mondiale enterprise router 6

7 Mercato mondiale Ethernet Switch 7

8 Mercato mondiale service provider router e switch 8

9 Cosa è un router? Un router è un dispositivo elettronico che, in una rete informatica a commutazione di pacchetto, si occupa di instradare i dati fra reti diverse. È quindi, a livello logico, un nodo interno di rete deputato alla commutazione di livello 3 del modello OSI o del livello internet nel modello TCP/IP. (A. S. Tanenbaum, Reti di calcolatori) 9

10 Ambiti di sicurezza degli apparati di rete 1. Sicurezza generale del dispositivo 2. Sicurezza del piano di gestione (Management Plane) 3. Sicurezza del piano di controllo (Control Plane) 4. Sicurezza del piano dati (Data Plane) Per ogni area sono considerate le azioni che si possono mettere in atto affinché il sistema sia protetto adeguatamente. 10

11 Piani operativi di un apparato di rete 11

12 Piani operativi di un apparato di rete Apparato di rete Management plane Control plane Data plane Gli apparati di rete hanno tre piani operativi. Gestione (management plane) Controllo plane) (control Forwarding o Dati (data plane) 12

13 Il piano di gestione Il Management plane gestisce il traffico proveniente da utenti o sistemi di gestione e destinato all'apparato stesso. 13

14 Alcuni protocolli del piano di gestione Simple Network Management Protocol (SNMP) Telnet Secure Shell Protocol (SSH) File Transfer Protocol (FTP) Trivial File Transfer Protocol (TFTP) Secure Copy Protocol (SCP) TACACS+ e Radius NetFlow Network Time Protocol (NTP) Syslog 14

15 Il piano di controllo Il Control Plane gestisce il traffico fondamentale per il funzionamento della rete e scambiato tra gli apparati di rete (es. protocolli di routing). 15

16 Alcuni protocolli del piano di controllo Gestione delle interfacce: Point to Point Protocol (PPP) Link Aggregation Control Protocol (LACP) Discovery: Cisco Discovery Protocol (CDP) Link Layer Discovery Protocol (LLDP) Controllo: Internet Control Message Protocol (ICMP) Routing: Open Shortest Path First (OSPF) Border Gateway Protocol (BGP) 16

17 Il piano di forwarding Il Data Plane gestisce il traffico inoltrato dall'apparato di rete ma originato e destinato a dispositivi diversi dall'apparato stesso. 17

18 Alcune attività del piano di forwarding Attività proprie: Processamento di frame a livello di data link layer: estrazione e reinserimento del pacchetto IP Codifica/decodifica dell intestazione del pacchetto Look up dell indirizzo IP di destionazione Gestione interna del pacchetto tra le interfacce di ingresso e di uscita Servizi svolti al piano di controllo: Network Address Translation (NAT) ACL logging Segnalazione di errore (ICMP) 18

19 Flusso dei pacchetti in funzione del piano operativo 19

20 Sicurezza generale degli apparati 20

21 Sicurezza generale degli apparati - Obiettivi Gli obiettivi da perseguire con le attività relative alla sicurezza generale degli apparati sono: Garantire la disponibilità (availability) della rete. Impedire il controllo degli apparati agli attaccanti. 21

22 Sicurezza generale degli apparati Prerequisiti per poter incrementare la sicurezza: Stabilità: un sistema stabile è meno vulnerabile Semplicità: più facile riconoscere ed individuare anomalie, apportare migliorie Controllo: si conosce lo stato della rete Responsabilità: chi fa cosa, chi decide, chi interviene in caso di emergenza 22

23 Sicurezza generale degli apparati Scelta del software Gestione delle configurazioni Disabilitazione dei servizi inutili Stato/riservazione risorse di sistema Sicurezza nell accesso al dispositivo Piano di indirizzamento basato sui ruoli 23

24 Scelta del software Classificazione del software (dalla major release 15): ED (Early Deployment) nuove feature, supporto per nuovi apparati o moduli e bug fixing MD (Maintenance Deployment): le funzionalità implementate sono mature, forniscono solo bug fixing. DF (Deferred). Problemi noti, non utilizzare, non si possono scaricare Scegliere quella raccomandata o una MD Programma Safe Harbor: programma di testing estensivo Verificare sempre l integrità del software (MD5 checksum) Conservazione di una copia del software/configurazione di emergenza non cancellabili (IOS resilent configuration) Mantenere il software aggiornato (vulnerability patch) 24

25 Gestione delle configurazioni 70% dei disservizi di rete dovuti ad errori di configurazione Accesso esclusivo in modalità configurazione Configuration Change Notification and Logging Archiviazione automatica delle configurazioni (configuration repository) Utilizzo di un software di change and configuration management (NCCM) Definizione dei ruoli e del processo autorizzativo => Processo di change management! 25

26 Disattivazione servizi non necessari Alcuni servizi sono abilitati di default Escludere i servizi non necessari per il proprio ambiente perché: Potrebbero essere potenzialmente fruttati per attacchi Consumano inutilmente risorse Possono essere soggetti a software bug Rendono più complessa la configurazione 26

27 Servizi normalmente disabilitabili Directed Broadcast Finger, Ident HTTP Server IP BOOTP Server IP Source Routing Packet Assembler/Disassembler (PAD) e Maintenance Operations Protocol (MOP) Proxy ARP e IP redirect TCP and UDP Small Servers Cisco Discovery Protocol (CDP) Disabilitare sulle reti esterne NOTA: nelle ultime release sono quasi tutti disabilitati di default 27

28 Stato/riservazione risorse di sistema Per la stabilità del sistema è fondamentale monitorare le risorse e riservarle per garantire l accesso al dispositivo all amministratore Notifica delle soglie di occupazione di memoria (Memory Threshold Notification): genera un log quando la memoria libera di sistema è scesa sotto un soglia Notifica del carico del processore: rileva quando il carico di CPU supera una soglia mediante l'invio di trap SNMP Riservazione di memoria (Memory Reservation): consente di riservare una porzione di memoria per i processi di gestione del dispositivo (es. notifiche) quando la memoria è in esaurimento Riservazione di memoria per accesso console da utilizzare per garantire l'accesso al sistema tramite cavo seriale 28

29 Sicurezza dell accesso al dispositivo Limitazione dell accesso fisico Limitazione dell'acceso tramite linee seriali e virtuali Gestione delle password (cifratura, lunghezza min, recovery) Regolamentazione del numero di autenticazioni fallite (failure rate, login block, login password retry lockout Definizione di un banner Accesso basato sul ruolo (definizione privilegi, CLI view) Utilizzo di AAA server 29

30 Limitazione dell'acceso da linee seriali e virtuali Le linee per l accesso ai router Cisco sono di quattro tipologie. Console: accesso asincrono seriale che consente l accesso completo alla gestione del dispositivo AUX: accesso asincrono seriale con supporto del controllo hardware del flusso dati (accesso modem) VTY: Virtual Teletype, terminale virtuale, si accede via Telnet o SSH TTY: Teletype, linee asincrone usate per connessioni di terminale Le prime due sono per l accesso locale, le altre per l accesso remoto 30

31 Limitazione dell'acceso da linee seriali e virtuali Disabilitare le linee se non utilizzate Limitare l accesso (filtri su IP) Configurare dei timeout di sessione Riservare almeno una linea di last resort Utilizzare solo protocolli cifrati come SSH Log dei tentativi di accesso su log server Syslog server SSH LOG IP address line vty 0 4 transport input ssh exec-timeout 5 0 access-class 23 in! access-list 23 permit

32 Gestione delle password Cambiare la password di default Impostare la cifratura MD5 delle password Definire una complessità minima (es. lunghezza min) Le password d accesso si possono sovrascrivere o cancellare se si accede fisicamente al dispositivo. Disabilitare la procedura di password recovery Se perdo la password non la recupero più (non sempre vero) Solo sulle CPE presso l utente Mai sugli apparati della rete Preferire la sicurezza fisica, limitare l accesso fisico. Sconsigliato 32

33 Gestione delle password Lunghezza della password. 95 caratteri ASCII stampabili Password di lunghezza 8 caratteri, possibili combinazioni 95^8 = 6,634 * 10^15 21 caratteri alfabeto italiano minuscolo Password di lunghezza 12 caratteri, possibili combinazioni 21^12 = 7,356 *10^15 33

34 Limitare il numero di autenticazioni fallite Security authentication failure rate limita il numero di tentativi di login e in caso di fallimento dopo il numero configurato disabilita l autenticazione per 15 secondi. Login block Dopo un certo numero di tentativi falliti in un intervallo di tempo disabilita l autenticazione per un tempo configurabile. È possibile escludere alcune classi di indirizzi (es. rete di management) Login password retry lockout consente di bloccare gli account locali di privilegio inferiore a quello massimo (i livelli sono 16) dopo un numero predefinito di tentativi. L account può essere riattivato solo manualmente da un utente con privilegio massimo. 34

35 Il banner Scopo: avvisare che l'accesso è consentito solo a personale autorizzato, che le attività sono tracciate e che l'accesso non autorizzato è proibito. Deve contenere le seguenti informazioni: avviso che l'accesso è riservato a personale autorizzato avviso che l'accesso non autorizzato è proibito e perseguibile avviso che tutte le attività svolte nell'apparato saranno tracciate Sarebbe opportuno preparare il banner seguendo il consiglio dell'ufficio legale. Non dovrebbero essere presenti informazioni sull'apparato e sulla sua funzione all'interno della rete (hostname, modello, versione di SW, utilizzo, proprietà. 35

36 Es. di banner banner login ^ _ \ \ / / \ \/\/ / / -_) / _ / _ \ ' \ / -_) \_/\_/ \ _ _ _ \ _ \ / _ _ _ \ _ """"" _ """"" _ """"" _ """"" _ """"" _ """"" _ """"" "`-0-0-'"`-0-0-'"`-0-0-'"`-0-0-' `-0-0-'"`-0-0-'"`-0-0- Rete IP ferrovie friulane - nodo di rete principale. Router Cisco ASR1002 Release 3.4 Centro elaborazione dati Via delle Scienze 206 Udine ^ 36

37 Es. di banner banner login ^ State accedendo ad un dispositivo di rete privato. Qualsiasi accesso ed uso non autorizzato sara' tracciato e perseguito a norma delle vigenti leggi italiane ed internazionali. You are accessing a private network device. Any unauthorized access and use will be logged and prosecuted according to Italian and international laws in force ^ 37

38 AAA server Il modo migliore per gestire l accesso ed il monitoraggio degli utenti che gestiscono i dispositivi è utilizzare un servizio di Autenticazione, Autorizzazione ed Accounting (AAA). Almeno due server sincronizzati Contemporaneamente raggiungibili in condizioni normali Installati in siti diversi ma posti ad una distanza sufficiente affinché un guasto di rete non li isoli contemporaneamente Configurare sempre anche account configurati localmente nell apparato. Protocolli TACACS+ (proprietario Cisco) o Radius (standard) 38

39 Piano di indirizzamento basato sui ruoli Sebbene gli indirizzi IP siano facilmente falsificabili (spoofed) il loro utilizzo è basilare per molti meccanismi di autenticazione. Assegnare il piano d indirizzamento solo su base topologica rischia di rendere complessa la gestione delle policy di sicurezza. L assegnazione del piano d indirizzamento in base ai ruoli è il metodo più efficare per semplificare le policy di sicurezza. Regole semplici sono più facili da gestire, meno soggette ad errori, rendono più agevole il troubleshooting. 39

40 Piano di indirizzamento basato sui ruoli Esempio di suddivisione dei pool di indirizzi IP in base ai ruoli: Apparati di core: interfacce di Loopback (di gestione) Apparati di core: interfacce di transito Interfacce di frontiera: interne Interfacce di frontiera: esterne (es. verso Internet) Interfacce d accesso: dial-up e VPN Tipologia di servizi (es. telefonia IP, web server, ecc.) Reti del Network Operations Center Reti specifiche di Data center (es. storage o backup) 40

41 Es. piano di indirizzamento basato su topologia Rete /8 4 sedi Sede X: rete 10.X.0.0/16 Telefoni della sede X rete 10.X.10.0/24 Utenti della sede X rete 10.X.20.0/24 Network administrator della sede X rete 10.X.200.0/24 Regola che identifica tutti i telefoni: ip access-list standard TELEFONI permit /24 permit /24 permit /24 permit /24 41

42 Es. piano di indirizzamento basato sul ruolo Rete /8 4 sedi Telefoni: /16 Telefoni della sede X rete X.0/24 Utenti: /16 Utenti della sede X rete X.0/24 Network Administrator: /16 Network administrator della sede X rete X.0/24 Regola che identifica tutti i telefoni: ip access-list standard TELEFONI permit /16 42

43 Sicurezza del piano di gestione 43

44 Sicurezza del piano di gestione - Obiettivo L obiettivo principale da perseguire con le attività relative alla sicurezza del piano di gestione è: Impedire il controllo degli apparati agli attaccanti. 44

45 Sicurezza del piano di gestione Apparato di rete Management plane Control plane Il Management plane gestisce il traffico proveniente da utenti o sistemi di gestione e destinato all'apparato stesso. Data plane 45

46 Sicurezza del piano di gestione Management Plane Protection (MPP) Utilizzo di protocolli di accesso cifrati Logging AAA server Simple Network Management Protocol (SNMP) Network Time Protocol (NTP) Netflow 46

47 Management Plane Protection (MPP) Consente di limitare le interfacce attraverso le quali può essere ricevuto traffico di management. control-plane host management-interface GigabitEthernet 0/1 allow ssh https Raccomandazioni: Attenzione a non limitare eccessivamente l accesso con il rischio non raggiungere gli apparati in caso di malfunzionamento delle interfacce specificate. Quando è attivata la funzionalità le sessioni di management in corso sono interrotte se passano attraverso un interfaccia dove la funzionalità non è abilitata. 47

48 Utilizzo di protocolli di accesso cifrati Utilizzare sempre e solo protocolli cifrati Raccomandazione: SSH invece di Telnet SPC invece di FTP HTTPS invece di HTTP 48

49 Logging I log sono indispensabili per analizzare gli output degli apparati. Le best practice prevedono; Utilizzare il NTP per sincronizzare l orario Impostare i servizi di timestamps dei log con il dettaglio maggiore possibile (es. millisecondo) Disabilitare il logging verso la console (CPU intensive) Limitare il logging salvato localmente all essenziale Configurare il livello di logging (severity) Configurare facility e/o prefix Utilizzare uno strumento di analisi dei log Utilizzare gli alert ed analizzare i log! 49

50 Logging - esempio Aug 24 16:58:28.231: %SEC-6-IPACCESSLOGP: list 105 denied udp (10018) -> (137) Aug 24 17:03:16.626: %SEC-6-IPACCESSLOGP: list 105 denied tcp (4935) -> (3389) Aug 24 17:04:24.658: %SEC-6-IPACCESSLOGP: list 105 denied tcp (1332) -> (3389) Aug 24 17:04:24.662: %SEC-6-IPACCESSLOGP: list 105 denied tcp (1332) -> (3389) Aug 24 17:22:43.250: %SEC-6-IPACCESSLOGP: list 105 denied tcp (3628) -> (23) Aug 24 17:27:19.401: %SEC-6-IPACCESSLOGP: list 105 denied tcp (4668) -> (445) Aug 24 17:27:22.377: %SEC-6-IPACCESSLOGP: list 105 denied tcp (4668) -> (445) Aug 24 17:27:38.716: %SEC-6-IPACCESSLOGP: list 105 denied tcp (12200) -> (8080) Aug 24 17:28:31.324: %SEC-6-IPACCESSLOGP: list 105 denied tcp (10965) -> (25) Aug 24 17:38:04.658: %SEC-6-IPACCESSLOGP: list 105 denied tcp (21964) -> (80) Aug 24 17:38:07.654: %SEC-6-IPACCESSLOGP: list 105 denied tcp (21964) -> (80) Aug 24 17:38:13.650: %SEC-6-IPACCESSLOGP: list 105 denied tcp (21964) -> (80) Aug 24 17:40:49.126: %SEC-6-IPACCESSLOGP: list 105 denied tcp (42202) -> (3389) Aug 24 18:18:35.869: %SEC-6-IPACCESSLOGP: list 105 denied tcp (28847) -> (51413) Aug 24 18:18:39.297: %SEC-6-IPACCESSLOGP: list 105 denied tcp (28847) -> (51413) Aug 24 18:18:45.205: %SEC-6-IPACCESSLOGP: list 105 denied tcp (28847) -> (51413) Aug 24 18:27:14.123: %SEC-6-IPACCESSLOGP: list 105 denied tcp (2352) -> (23) Aug 24 18:33:32.146: %SEC-6-IPACCESSLOGP: list 105 denied tcp (4414) -> (445) Aug 24 18:33:35.166: %SEC-6-IPACCESSLOGP: list 105 denied tcp (4414) -> (445) Aug 24 18:40:17.237: %SEC-6-IPACCESSLOGP: list 105 denied tcp (14426) -> (135) Aug 24 18:40:20.169: %SEC-6-IPACCESSLOGP: list 105 denied tcp (14426) -> (135) Aug 24 19:07:38.611: %SEC-6-IPACCESSLOGP: list 105 denied tcp (4640) -> (23) Aug 24 20:02:07.943: %SEC-6-IPACCESSLOGP: list 105 denied tcp (10521) -> (3389) Aug 24 20:12:58.328: %SEC-6-IPACCESSLOGP: list 105 denied tcp (58873) -> (3389) Aug 24 20:41:37.374: %SEC-6-IPACCESSLOGP: list 105 denied tcp (6000) -> (1433) Aug 24 20:46:28.957: %SEC-6-IPACCESSLOGP: list 105 denied tcp (2456) -> (23) 50

51 AAA server Autenticazione è il processo di identificare l'utente, solitamente in base ad una coppia username/password. Si basa sul principio che ogni utente abbia delle credenziali uniche che lo distinguono dagli altri. Autorizzazione è il processo di garantire o negare all'utente l'accesso alle risorse di rete dopo che è stato autenticato. La quantità di risorse alle quali ha accesso dipende dal livello di autorizzazione garantito. Accounting è il processo di tenere traccia dell'attività dell'utente mentre accede alle risorse di rete, tra cui il tempo di inizio/fine sessione e la quantità di dati trasferiti durante la sessione. 51

52 Simple Network Management Protocol (SNMP) SNMP è il protocollo che consente la configurazione, la gestione ed il monitoraggio di apparati di rete Le abilitazioni sono: read: sola lettura dei parametri del dispositivo write: modifica dei parametri del dispositivo trap: il dispositivo invia in modo asincrono messaggi al server Raccomandazioni: Utilizzare password/community non banali Limitare l accesso filtrando gli IP sorgente abilitati Utilizzare preferibilmente SNMP versione 3 o almeno la versione 2c In casi di massima confidenzialità utilizzare SNMP all interno di tunnel IPSec 52

53 Network Time Protocol (NTP) Affinché i messaggi di logging siano coerenti occorre che il tempo nella rete sia sincronizzato con uno o più NTP server. Le linee guida per la configurazione NTP sono: Sviluppare un modello gerarchico, solitamente corrispondente all'architettura di routing. Usare un'unica time zone per l'intera rete Limitare le comunicazioni NTP tramite filtro IP Utilizzare l'autenticazione NTP Utilizzare almeno due server di riferimento a loro volta sincronizzati con un clock di livello superiore (stratum inferiore) Esempio ntp server ntp1.inrim.it ntp server ntp2.inrim.it 53

54 Sicurezza del piano di controllo 54

55 Sicurezza del piano di controllo - Obiettivo L obiettivo da perseguire con le attività relative alla sicurezza del piano di controllo è: Garantire la disponibilità (availability) della rete. 55

56 Sicurezza del piano di controllo Apparato di rete Management plane Control plane Il Control Plane gestisce il traffico fondamentale per il funzionamento della rete e scambiato tra gli apparati di rete. Data plane 56

57 Sicurezza del piano di controllo Sicurezza generale del Control Plane Control Plane Policing (CoPP) Sicurezza del protocollo Border Gateway Protocol (BGP) Sicurezza dei protocolli di routing interni (IGP) Sicurezza dei protocolli di First Hop Redundancy 57

58 Sicurezza generale del Control Plane Obiettivo: limitare l'esaurimento di risorse del control plane Evitare l'esaurimento delle code di ingresso delle interfacce (distruttivo per i protocolli di routing) Configurazione di durata massima per task di I/O (scheduler allocation) Limitazione del traffico di controllo verso la CPU (filtro ACL sull'interfaccia di ingresso). 58

59 Control Plane Policing (CoPP) Il Control Plane Policing (CoPP) è una funzionalità di sicurezza che limita il traffico non necessario che raggiunge la CPU e le altre risorse (memoria, buffer, code) e che potrebbe comprometterne la funzionalità. Protegge esclusivamente le risorse del piano di controllo a differenza dei filtri sulle interfacce (ACL) che operano su tutto il traffico in ingresso nell'apparato 59

60 Sicurezza del protocollo Border Gateway Protocol (BGP) Sicurezza basata su campo TTL: si configura il minimo valore Time To Live (TTL) per i pacchetti ricevuti da ogni specifico peer. Se il valore TTL di un pacchetto è inferiore, questo è scartato. Autenticazione mediante password cifrate MD5 Limitazione del numero massimo di prefissi ricevibili da un singolo peer Filtraggio dei prefissi BGP sia in ingresso sia in uscita 60

61 Sicurezza dei protocolli di routing interni (IGP) e di First Hop Redundancy Obiettivi: Rafforzare l'integrità delle informazioni scambiate Verificare l'identità degli apparati con i quali si scambiano tali informazioni Soluzioni: funzionalità di sicurezza inserite nei protocolli come l autenticazione con chiave cifrata MD5 tunnel IPSec (raramente utilizzato) 61

62 Sicurezza del piano di forwarding 62

63 Sicurezza del piano di forwading- Obiettivi Gli obiettivi da perseguire con le attività relative alla sicurezza del piano di forwarding sono: Garantire la disponibilità (availability) della rete. Prima linea di difesa per gli apparati di rete interni. 63

64 Sicurezza del piano di forwarding Apparato di rete Management plane Control plane Il Data Plane gestisce il traffico inoltrato dall'apparato di rete ma originato e destinato a dispositivi diversi dall'apparato stesso. Data plane 64

65 Filtri di protezione dell infrastruttura Sono filtri IP estesi (includono anche porte TCP/UDP) che sono implementate nei punti d ingresso della rete e servono a filtrare il traffico che non può provenire dall esterno e consentire esplicitamente solo il traffico legittimo, (per le linee guida vedere RFC 2827). Si applicano al traffico in transito. Sono composte in generale da 5 moduli: 1. Anti spoofing. Blocca indirizzi IP riservati e privati (RFC 1918 e 2827) e il traffico con sorgente il proprio spazio di indirizzamento pubblico. 2. Permette traffico da legittime sorgenti esterne verso apparati di edge. 3. Blocca tutto il resto del traffico da sorgenti esterne e destinato agli apparati di edge. 4. Blocca tutto il traffico verso la propria infrastruttura di rete. 5. Permette tutto il resto del traffico 65

66 Filtri di protezione dell infrastruttura Filtri di protezione dell infrastruttura 66

67 Filtri di protezione dell infrastruttura - esempio access-list 110 remark Indirizzi riservati RFC 3330 access-list 110 deny ip host any log access-list 110 deny ip any log access-list 110 deny ip any log access-list 110 deny ip any log access-list 110 remark Indirizzi riservati RFC 1918 access-list 110 deny ip any log access-list 110 deny ip any log access-list 110 deny ip any log access-list 110 remark Il proprio spazio di indirizzamento pubblico access-list 110 deny ip PROPRI_INDIRIZZI_PUBBLICI any log 67

68 Filtri di protezione dell infrastruttura esempio 2/2 access-list 110 remark Connessioni BGP con l'esterno e ICMP access-list 110 permit tcp host BGP_EXTERNAL_PEER host BGP_INTERNAL_PEER eq bgp access-list 110 permit tcp host BGP_EXTERNAL_PEER eq bgp host BGP_INTERNAL_PEER access-list 110 permit icmp any host BGP_INTERNAL_PEER access-list 110 remark Blocca il resto del traffico verso i BGP PEER access-list 110 deny tcp any host BGP_EXTERNAL_PEER log access-list 110 deny udp any host BGP_EXTERNAL_PEER log access-list 110 deny ip any host BGP_EXTERNAL_PEER log access-list 110 remark Spazio indirizzi infrastruttura interna access-list 110 deny ip any INDIRIZZI_INFRASTRUTTURA_INTERNA log access-list 110 remark Resto del traffico access-list 110 permit ip any any 68

69 Nel prossimo futuro? - SDN Software Defined Networking: è un'architettura emergente dinamica, gestibile, adattabile, agile. Disaccoppia il piano di controllo da quello di forwarding, centralizza il piano di controllo e ne consente la programmabilità ed automazione, astraendo dall infrastruttura fisica di rete. 69

70 Nel prossimo futuro? - SDN Elementi basilari dell architettura SDN: Il piano di controllo e management su controller dedicato ed esterno. I dispositivi di rete svolgono solo forwarding Connettività IP/SSL tra il controller e gli apparati di rete Controller 70

71 Nel prossimo futuro? - SDN Programmabilità Minor interazione Uomo/Macchina Minor tasso di errore Maggior flessibilità Maggior visibilità (informazioni centralizzate) Maggior criticità del piano di controllo e di gestione Attacchi più sofisticati e diretti verso: Diretti verso il controller, ad esempio installando codice malevolo Diretti verso i canali di comunicazione tra controller ed apparati per causare DoS o modificare l instradamento del traffico 71

72 Nel prossimo futuro? - SDN Possibili contromisure: Sicurezza fisica e all accesso logico dei controller (analoghe ad un server) Comunicazioni cifrate tra controller ed apparati di rete. Stabilire robuste relazioni di trust tra controller e dispositivi (certificati). Connessioni tra controller e dispositivi su canali dedicati (out of band) e distinti da quelli del traffico dati. Controller 72

73 Cosa posso fare per il router di casa? Modificare account di default e utilizzo di password complesse Scegliere la release software raccomandata Ad ogni modifica salvare la configurazione esternamente Attivare solo i servizi necessari Inserire un banner Utilizzare protocolli cifrati (SSH o HTTPS) per l accesso Regolamentare il numero di autenticazioni fallite Attivare il log locale e sincronizzare la data/ora con NTP Attivare il firewall (se presente) o configurare i filtri di protezione dell infrastruttura 73

74 RFC di riferimento RFC Site Security Handbook RFC Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing RFC Ingress Filtering for Multihomed Networks 74

75 Riferimenti Cisco Guide to Harden Cisco IOS Devices Cisco IOS Security Configuration Guide, Release html Cisco SAFE Reference Guide Infrastructure Protection on Cisco IOS Software Network Security Baseline basebook.html NSA - Router Security Configuration Guide 75