Servizi di rete e Sicurezza

Transcript

1 Servizi di rete e Sicurezza Maurizio Aiello Consiglio Nazionale delle Ricerche Istituto di Elettronica e di Ingegneria dell Informazione e delle Telecomunicazioni

2 Posta Elettronica: Definizioni Cominciamo un analisi dei servizi più utilizzati su Internet e dei relativi problemi di sicurezza a partire dal più conosciuto: la posta elettronica. Distinguiamo 3 componenti principali: 1. MTA: Mail Transfer Agent: accetta o spedisce mail da/verso l esterno della mia organizzazione. Esempio:sendmail 2. MDA: Mail Delivery Agent: si occupa di gestire lo smistamento locale del messaggio nella appropriata mailbox. Esempio procmail e files nella directory /var/spool/mail o database analoghi 3. MUA: Mail User Agent: applicativo che gira sul Pc dell utente e serve per leggere/spedire mail. Esempio: pine, exchange, webmail (?). Ognuna delle componenti ha problemi inerenti alla sicurezza.

3 Posta elettronica: sicurezza del dato in transito Dato il percorso in Internet attraverso diversi router può essere importante proteggere il dato in transito.

4 Posta elettronica: sicurezza del dato in transito Il protocollo SMTP (Simple Mail Transfer Protocol) non prevede la criptatura del dato, oltre ad altri problemi vari (non prevede l autenticazione, come vedremo più avanti nel relaying-spam) Ci sono due possibili soluzioni a questa lacuna: 1. Utilizzare ESMTP (Enhanced SMTP) con la feature STARTTLS attivata sui due server che gestiscono la comunicazione. STARTTLS utilizza TLS (Transport Layer Secure) per iniziare una connessione sicura nel momento in cui entrambe I server dispongono di questo servizio. Una soluzione di questo tipo è realizzabile solo se controlliamo entrambe le estremità della connessione. 2. Utilizzare software terze parti per criptare il dato e non la connessione. Esempio Pgp o S/MIME. Meno trasparente ma più sicuro (una volta risolto il problema della trasmissione della chiave).

5 Posta elettronica: mail non desiderate E normale ricevere mail non richieste: alcune contengono virus, altre semplicemente spam. Per quanto riguarda I virus si agisce nella maniera consueta, con antivirus (integrati sul server) e una appropriata politica di social security. Il problema può essere costituito dai client MUA che in maniera trasparente eseguono attachment o comunque codice arbitrario (Java, Javascript, Vbscript o controlli ActiveX). Esempio tipico Exchange Microsoft. Il problema relativo allo spam (messaggi pubblicitari non richiesti o qualsiasi altro messaggio non richiesto) invece è irrisolubile, si possono creare appropriati filtri sugli MUA o sugli MTA ma in linea di principio è intrinseco alla natura del servizio. Le chain mail si riducono tramite educazione dell utenza.

6 Posta elettronica: problema del falso mittente Il mail server riceve posta da qualcuno e la invia a qualcun altro; non è previsto un modello di autenticazione del mittente. Esempio di una sessione smtp: Telnet smtp.unige.it Trying Connected to mail.unige.it Escape character is ^] 220 mail.unige.it Helo smtp.presidenza.it 250 Hello smtp.presidenza.it Nice to meet you! Mail from: ciampi@presidenza.it 250 ciampi Sender ok Rcpt to: sergio.rossi@unige.it 250 sergio.rossi Recipient ok Data 354 Enter Mail, end with a. on a line by itself

7 Posta elettronica: problema del falso mittente Il risultato finale è fin troppo ovvio: Mail from: Carlo A. Ciampi To: Sergio Rossi Subject: onoreficenza A seguito dei suoi meriti le attribuisco il titolo di Cavaliere. E pregato di effettuare il versamento di euro 2500 sul ccn e in seguito contattare la mia segreteria per il proseguio della pratica. La mancanza di autenticazione rende possibile questo, anche se in realtà rimane loggato l ip address del mail server che spedisce il messaggio (in questo caso l host ip della macchina che ha fatto telnet), rendendo possibile il tracciamento. Tecniche di reverse dns e controllo helo.

8 Posta elettronica: problema del relaying Un server smtp deve inoltrare posta nelle seguenti direzioni: Out -> in In -> Out In -> In Sicuramente non deve inoltrare posta nella direzione Out -> Out, cioè messaggi provenienti dall esterno e destinati all esterno della rete aziendale. Normalmente I server smtp fino a poco tempo fa garantivano questa possibilità di default, e questo ha fatto nascere le black-list dei server di posta. Le caratteristiche di anti-relaying dei server di posta prevedono la creazione di alcuni blocchi di indirizzi privilegiati (tipicamente interni) che possono utilizzare il relaying del server.

9 Smtp: packet filtering Direzio ne Source add Dest address Sport Dport Ack bit Note In Internet My_net > * Connessioni verso mio server In Internet My_net 25 >1023 set Mie connessioni verso server esterni Out My_net Internet, > * Mie connessioni verso server esterni Out My_net Internet 25 >1023 set Connessioni verso mio server * = il bit di ack non è settato nel primo pacchetto della connessione, poi sempre. Caratteristiche NAT: smtp non include indirizzi ip all interno del messaggio, ma solo nomi di host e domini (campo mail from: ).

10 Smtp: configurazione attraverso un firewall Caratteristiche di proxying di smtp: è un tipico server del tipo store & forward, quindi è automaticamente utilizzabile via proxy. In effetti la configurazione sicura di un smtp server su un firewall prevede I seguenti passi: 1. Utilizzo del record MX del DNS per far confluire tutta la posta esterna verso il bastion host. 2. Configurazione del bastion host con regole anti-relaying e delivery della posta proveniente dall esterno indirizzata verso caselle interne ad un altro server di posta interno: sul bastion host infatti non devono essere presenti utenti. In questo modo una eventuale compromissione del BH e meno critica e inoltre non c è necessita di effettuare sullo stesso aggiornamenti dei file di aliases. 3. La posta tra utenti interni viene gestita dal MS interno: in questo modo sul BH non arriva alcun dato confidenziale. 4. Il mail server interno usa il bastion host per spedire posta verso l esterno (non spedisce direttamente), in modo tale da nascondere I dettagli della rete interna al mondo esterno.

11 Smtp: configurazione attraverso un firewall 5. Ci sono appropriate regole di filtering tra il server sul BH e quello interno, in modo da limitare I danni in caso di compromissione del BH. Ad esempio si puo fare in modo che il BH compromesso possa contattare solo ed esclusivamente il MS interno. Il server interno risulta non attaccabile via buffer overflow dall esterno. 6. Gli indirizzi sono configurati in modo da provenire tutti da un unico dominio (senza l indicazione nome-host prima del dominio), in modo da nascondere I dettagli interni della rete e per garantire una efficace ricezione dei messaggi, indipendente da eventuali spostamenti di utenti da un server all altro.

12 CISCO S YSTEMS SD Architettura a due livelli per SMTP Internet SMTP Server su bastion host Cisco 3600 SERIES Computer SMTP Server Computer Computer interno

13 Il server maggiormente usato: sendmail E il più usato in Internet, con tutti I pregi e difetti relativi (più buchi di sicurezza degli altri software e maggior rapidità di soluzione degli stessi). E un software monolitico, deve girare come root per avere accesso a tutte le funzionalità che gli servono: Ascolta sulla porta 25 Deve leggere I files.forward e I :include: nelle directory degli utenti Esegue alcune system call esclusive di root (es. Leggere il carico di sistema per stabilire se può accettare/forwardare mail) Protegge I file con le permission appropriate nella coda di mail per evitare che utenti non autorizzati accedano alla posta altrui (/var/spool/mail) Per questi motivi è un bersaglio di buffer overflow (processo dell utente root)

14 Smap e smapd Per risolvere il problema di questo server monolitico si può usare un TCP Wrapper: smap Viene legato alla porta 25 da inetd (il processo non ha I privilegi di root) E composto da pochissime linee di codice (700 circa), e questo consente di controllarlo molto bene dal punto di vista della sicurezza. Ha un set base di comandi smtp e salva I messaggi in arrivo in una directory apposita Gira in un ambiente separato con chroot La sua coda di messaggi viene analizzata periodicamente da smapd che si occupa di passare I messaggi a sendmail In questo modo un eventuale attaccante ottiene il controllo di smap, con cui peraltro può fare poco o niente sul server.

15 Sendmail su firewall Se il sendmail è installato sul bastion host (come dovrebbe essere) allora non ci sono utenti e si può tranquillamente far girare sendmail come processo utente (utilizzando smap/smapd) e rendere l utente proprietario del folder della posta (/var/spool/mail). In seguito la posta viene ridiretta al server mail interno che si occupa di smistare I messaggi ai vari utenti.

16 Post Office Protocol (POP) Pop offre una gestione della posta del tipo file transfer. Ci si connette al server pop che ha accesso alla directory /var/spool/mail su Unix e si scarica la posta in locale sul PC. Due problemi principali per POP, che derivano dal fatto che I messaggi viaggiano in chiaro (non criptati): 1. Sniffing delle password 2. Sniffing del messaggio (inaccettabile in certe organizzazioni) Ci sono alcuni client e server che supportano l uso di SSL e da poco TLS. Caratteristiche di proxy di POP: perfettamente adattabile al proxy, sia via SOCKS che via TIS FWTK. FWTK offre pop-gw e pop3-gw per le connessioni inbound e outbound rispettivamente.

17 POP: packet filtering Esistono due diversi demoni, pop3 (porta 110) e pop2(porta 109) Direzione In Out Out Indirizzo sorgente Internet, porta > 1023 My_net, porta 109,110 Interno, porta > 1023 Indirizzo destinazione My_net, porta 109,110 Internet, porta > 1023 Internet, porta 109,110 Ack bit In Internet, porta 109,110 My_net, porta > 1023 Si Risposta alla richiesta pop Se la connessione avviene criptata tramite SSL, allora la porta destinazione diventa 995 al posto di 109,110. La tabella rimane identica. Any Si Any Note Richiesta pop entrante Risposta alla richiesta pop Richiesta pop verso Internet

18 IMAP protocol Similmente a POP è utilizzato per lo scambio di posta tra l MUA e il database dei messaggi di posta. Rispetto a POP vanta il concetto di essere utilizzato come un meccanismo di file sharing e non di file transfer, ovvero viene usato come strumento di gestione remota del file della posta che continua a risiedere sul server (con POP questo file viene trasferito sul client). Non è più necessario effettuare sincronizzazioni tra I vari client dello stesso account di posta. Dal punto di vista della sicurezza valgono le stesse identiche considerazioni di POP; le porte utilizzate da Imap sono la 143 (in chiaro) e la 993 o la 585 utilizzando SSL. Una versione di Imap che utilizza TLS è attualmente supportata e in fase di sviluppo.

19 File Transfer e File Sharing Esistono due diversi approcci per la trasmissione di dati contenuti in files: transfer, ovvero il traferimento del dato da un server a un client Sharing, ovvero la possibilità di accedere al mio file remotamente, per visionarlo, effettuare modifiche, lanciarlo come eseguibile. Entrambi I sistemi hanno pregi e difetti, e si adattano a particolari situazioni. Il transfer è comodo quando non si ha la possibilità di accedere continuamente al server (es. Portatili), ma introduce la necessità di effettuare sincronizzazioni tra le varie copie. Lo sharing richiede una connessione permanente con certe caratteristiche di performance (banda, disponibilità del servizio). I servizi di transfer più noti in Internet sono ftp e tftp. I servizi di sharing più utilizzati sono Appleshare (Mac), NFS (Unix), SMB/CIFS (gli share di Windows).

20 FTP Ftp ha due modalità predefinite: utente e anonymous (per la distribuzione di informazioni pubbliche, source code, curriculum etc.). Ftp è un protocollo particolare in quanto I canali utilizzati sono due e non uno come I protocolli che abbiamo analizzato finora. Un canale viene utilizzato per l invio di comandi tra client e server e relative risposte, mentre un altro per l invio dei dati. Il canale comandi viene sempre aperto in direzione client -> server, quello dati dipende dalla modalità. In modalità normale il client comunica sul canale comandi il comando port, indicando una porta aperta in ricezione sul client stesso. il canale dati viene quindi aperto in direzione server -> client, dalla porta 20 a quella indicata precedentemente.

21 FTP: modalità attiva

22 FTP: modalità passiva In modalità passiva viene inviato un comando pasv dal client al server; questi risponde al client indicando una porta libera verso la quale è possibile aprire un canale dati in direzione client -> server.

23 FTP e politiche di filtering In ogni caso rimangono costanti le porte sul server ftp: 21 per I comandi e 20 per I dati. Non tutti I server e client supportano la modalità passiva (Explorer e Netscape sì) Se vogliamo consentire ftp via PF dobbiamo scegliere se in modalità passiva o attiva: Con la modalità passiva posso ancora supportare politiche del tipo: vieta tutto il traffico iniziato dall esterno (filtering su ack bit) Con la modalità attiva devo per forza utilizzare uno stateful packet filtering, altrimenti dovrei scrivere una regola che consenta il traffico entrante iniziato dall esterno con sport=20 e dport > 1023 (pericoloso, utilizzato dai port scanner per fare il loro lavoro).

24 Tabella di packet filtering per FTP entrante Direzione Indirizzo sorgente Indirizzo destinazione Ack bit Note In Internet, porta > 1023 My_net, porta 21 Any Richiesta ftp entrante Out My_net, porta 21 Internet, porta > 1023 Si Risposta alla richiesta ftp Out Interno, porta 20 Internet, porta > 1023 Any Mod. Attiva, apertura dati In Internet, porta > 1023 My_net, porta 20 Si Mod. Attiva risposta dati In Internet, porta > 1023 My_net, porta > 1023 Any Mod. passiva, apertura dati Out My_net, porta > 1023 Internet, porta > 1023 Si Mod. passiva, risposta dati

25 Tabella di packet filtering per FTP uscente Direzione Indirizzo sorgente Indirizzo destinazione Ack bit Note Out My_net, porta > 1023 Internet, porta 21 Any Richiesta ftp uscente In Internet, porta 21 My_net, porta > 1023 Si Risposta alla richiesta ftp In Internet, porta 20 My_net, porta > 1023 Any Mod. Attiva, apertura dati Out My_net, porta > 1023 Internet, porta 20 Si Mod. Attiva risposta dati Out My_net, porta > 1023 Internet, porta > 1023 Any Mod. passiva, apertura dati In Internet, porta > 1023 My_net, porta > 1023 Si Mod. passiva, risposta dati

26 Packet Filtering di FTP: esempio Possiamo a questo punto analizzare due approcci al problema del filtering di ftp, uno stateful e l altro no. Mettiamoci nell ipotesi di consentire l uso di ftp in modalita attiva ai miei utenti verso server in Internet. Approccio non stateful: /usr/sbin/iptables -A OUTPUT -p TCP --sport 1024: --dport 21 -j ACCEPT /usr/sbin/iptables -A INPUT -p TCP --sport 21 --dport:1024: -j ACCEPT /usr/sbin/iptables -A INPUT -p TCP --sport 20 --dport 1024: -j ACCEPT /usr/sbin/iptables -A OUTPUT -p TCP --sport 1024: --dport 20 -j ACCEPT Approccio stateful: /usr/sbin/iptables -A OUTPUT -p TCP --dport 21 -m state --state NEW, ESTABILISHED -j ACCEPT /usr/sbin/iptables -A INPUT-p TCP --sport 21 -m state --state ESTABILISHED -j ACCEPT /usr/sbin/iptables -A INPUT -p TCP --sport 20 -m state --state ESTABILISHED, RELATED -j ACCEPT /usr/sbin/iptables -A OUTPUT-p TCP --dport 20 -m state --state ESTABILISHED, RELATED -j ACCEPT

27 Packet filtering FTP: esempio Come si intuisce dal set di PF il kernle Linux distingue tra quattro stati del pacchetto: NEW, ESTABILISHED, RELATED, INVALID NEW: pacchetti nuovi, mai visti prima dal firewall ESTABILISHED: pacchetti che fanno parte di una connessione gia stabilita, ad esempio quelli con ack bit settato RELATED: pacchetti nuovi, ma che sono correlabili in qualche modo a pacchetti precedenti. Ad es. L apertura del canale dati FTP. Ovviamente e previsto che il firewall abbia la conoscenza del protocollo di livello applicativo INVALID: ogni pacchetto che non rientra in nessuna delle categorie precedenti.

28 Caratteristiche di proxy di FTP FTP essendo un protocollo complesso viene a volte gestito tramite proxy server. In questo caso sono disponibili sia la versione con il client modificato (SOCKS) che la versione che prevede la modifica delle procedure (TIS-FWTK). Piu specificamente TIS propone ftp-gw, che si utilizza indicando la destinazione nel campo user: ftp proxy_server.my_net.com 220 Welcome, name: Roberto@ftp.redhat.com 331 Gateway connected to ftp.redhat.com (220 ftp.redhat.com ready) 331 password required for roberto Alcuni client non supportano questo tipo di procedure, altri supportano solo la modalita attiva.

29 Caratteristiche di proxy ftp Una configurazione sicura puo prevedere l uso di un server proxy che fa le connessioni in Internet in modalita passiva (in modo da non essere eccessivamente esposto ad attacchi (apertura del canale dati); Contemporaneamente gli host interni si connettono ad esso in modo attivo (massima compatibilita per l utente). Le combinazioni sono comunque molteplici e dipendono solo dai nostri requisiti di elasticita e sicurezza. Ricapitolando: 1. Ftp passivo: semplice e sicuro, qualche server e qualche client non lo supportano 2. Ftp attivo: impossibile da supportare senza uno stateful PF (sarebbe troppo pericoloso). Con un dispositivo di stateful PF e ok (ma e oneroso tenere la tabella delle connessioni per il firewall).

30 Accesso anonimo Nella modalita anonima si ha accesso come utente anonymous (o ftp) al server ftp. E molto utilizzato per scambio dati (comodo), come modulistica etc. Presenta tre tipi di problemi principali: 1. E necessario limitare l accesso alle sole informazioni che si vogliono diffondere 2. Non bisogna consentire l uso dell ftp server per la distribuzione di materiale di terzi 3. Non deve essere usato come piattaforma di attacco di altre macchine in rete.

31 File critici (/etc/passwd) Limitazione accesso informazione Nel caso di buffer overflow e importante che il demone utilizzi uno spazio sul filesystem riservato, dal quale non si possa fare nulla: si utilizza chroot sui sistemi Unix, che condiziona l accesso ad anonymous ma anche agli altri utenti. Sui sistemi NT e obbligatorio usare NTFS e settare le permission della macchina FTP_SERVER in modo che l utente IUSR_COMPUTERNAME non abbia accesso a nient altro che all area pubblica. Per il nostro scopo si possono anche creare directory semipubbliche, ovvero protette da password (wu-ftpd) conosciute da gruppi di utenti. Inoltre e possibile mettere le directory in modalita di non lettura, in modo che sapendo il PATH si possa leggere il file ma non si possa fare un file listing (flag +x -r della directory su un sist. Unix)

32 Impedire l uso illecito dell ftp server a terzi Puo essere necessario aprire alcune cartelle in upload. Questo pone seri problemi: Warez, materiale proibito Directory con nomi strani.. Consumo di banda di rete, di risorse disco, problemi legali e di perdita di credibilita Sono realmente necessarie queste cartelle? ( etc.) Ci sono diversi approcci per risolvere il problema: 1. Rendere la cartella di upload non leggibile (solo scrivibile) tramite le permission del filesystem; rimane pero il problema delle sottocartelle eventualmente create 2. Rendere la cartella di upload assolutamente non leggibile (configurazione del server ftp); non supportato da tutti I server 3. Disabilitare la possibilita di creare cartelle strane con. 4. Creare script che rimuovano periodicamente I files

33 Impedire l uso illecito dell ftp server a terzi 5. Effettuare un upload tramite accordo : si crea la cartella incoming senza permessi di lettura, solo scrittura e ricerca; all interno si mette una directory con un nome particolare con permessi di lettura, scrittura e ricerca. In questo modo solo persone autorizzate possono fare uso dell ftp server in scrittura. Prevenire il bounce attack: le modalita di funzionamento ftp (canale comandi, canale dati), consentono in certi casi la triangolazione, o bounce ftp.

34 Sommario delle raccomandazioni per FTP FTP verso l esterno: se possibile usare client capaci di supportare la modalita passiva (browser Internet ok), cosi da fare il filtering sul bit di ack Altrimenti usare la modalita attiva attraverso un proxy ftp (ftp-gw) Ftp entrante: se possibile utilizzare Wu-ftpd come server (logging migliore, possibilita di definire classi di utenti, limite sul numero massimo di utenti, chroot per utenti non anonimi Consentire ftp entrante solo verso il bastion host Se sono necessari I permessi di scrittura ad anonymous proteggere in maniera adeguata le cartelle Educazione dell utenza