Sicurezza ai vari livelli

Transcript

1 Sicurezza ai vari livelli

2 Mapping IP Spoofing Denial of service DOS Attacchi alla sicurezza 09/05/06 2

3 Attacchi alla sicurezza Mapping: Prima di attaccare, scoprire quali servizi sono offerti sulla rete Utilizzare il ping per determinare gli host collegati alla rete Port scanning: tenta di stabilire una connessione TCP con tutte le porte, in sequenza nmap mapper: è un software open source per esplorare la rete Contromisure? 09/05/06 3

4 Attacchi alla sicurezza Mapping: contromisure Memorizza il traffico in entrata nella rete Cerca attività sospette ricerca di indirizzi IP, porte accedute sequenzialmente, etc... 09/05/06 4

5 Attacchi alla sicurezza IP Spoofing: Un utente non educato potrebbe generare pacchetti IP con un valore qualsiasi dei campi previsti dalla struttura di IP esempio: C si fa passare per B A C src:b dest:a payload B 09/05/06 5

6 Attacchi alla sicurezza IP Spoofing: filtraggio all'ingresso I router non dovrebbero inoltrare pacchetti uscenti con indirizzi camuffati o non validi Utilizzare, se possibile, filtri sui pacchetti entranti nella rete A C src:b dest:a payload B 09/05/06 6

7 Spoofing Inganno ICMP ECHO REQUEST Source: C, Destination: B Internet C ICMP ECHO REPLY Source: B, Destination: C A B 09/05/06 7

8 Attacchi alla sicurezza Denial of service DOS: Creazione di un carico di lavoro elevato tale che il sistema non è in grado di funzionare esempio: C esegue un attack su A A C B 09/05/06 8

9 Attacchi alla sicurezza Denial of service DOS: contromisure Filtrare i pacchetti sulla rete ad esempio prima che raggiungano l'host. Come si individuano? Risalire alla sorgente dei pacchetti tipicamente un host innocente, con un buco di sicurezza A C B 09/05/06 9

10 Smurf attack A Internet C ICMP ECHO REQUEST Source: C Dest.: subnet B broadcast address subnet B 09/05/06 10

11 Smurf attack Internet C ICMP ECHO REPLY Source: whole subnet B Destination:C subnet B 09/05/06 11

12 Distributed DoS agents handler s 09/05/06 12

13 e mail sicure Alice vuole inviare una mail sicura a Bob. m. +. K B + K B m + K B + - Intern et m Alice: genera una chiave di sessione simmetrica. cifra il messaggio con cifra con la chiave pubblica di Bob. invia a Bob m e e B. + K B K B K B m 09/05/06 13

14 e mail sicure m. +. K B + K B m + K B + - Intern et m + K B. -. K B - K B m Bob: Utilizza la sua chiave privata per decifrare ed ottenere Utilizza per decifrare m ed ottenere m 09/05/06 14

15 e mail sicure Alice vuole assicurare l'autenticazione e l'integrità del messaggio. m m K Ā H. -. K A - K A Hm + - Intern et - K A Hm +. K A Hm Alice firma digitalmente il messaggio Invia il messaggio in chiaro e la firma digitale m K A + compare H. Hm 09/05/06 15

16 e mail sicure ctd Alice vuole assicurare la segretezza, l'autenticazione e l'integrità del messaggio m m K Ā H. -. K A - K A Hm + Alice utilizza tre chiavi: la sua chiave privata, la chiave pubblica di Bob,una chiave simmetrica. +. K B + K B + + K B Intern et 09/05/06 16

17 Pretty good privacy PGP Messaggio Firmato: Standard per la cifratura di e mail. Basato su chiavi pubbliche, simmetriche, firma digitale, funzioni hash. Può fornire: segretezza, autenticazione, integrità. L'inventore e Phil Zimmerman BEGIN PGP SIGNED MESSAGE--- Hash: SHA1 Bob: My husband is out of town tonight.passionately yours, Alice ---BEGIN PGP SIGNATURE--- Version: PGP 5.0 Charset: noconv yhhjrhhgjghgg/12epj+lo8ge4vb3m qjhfevzp9t6n7g6m5gw2 ---END PGP SIGNATURE--- 09/05/06 17

18 In quanto tempo si determina il valore di Lunghezza bit una chiave anno hours 8.6 minutes 1.07 minutes weeks 6.5 days 19 hours years 4.6 years 6.9 months x x10 16 millenni millenni [Erkomaa, 1998] 1.1x10 16 millenni 09/05/06 18

19 Secure sockets layer SSL Netscape PGP fornisce dei meccanismi di sicurezza per una applicazione specifica e mail. SSL fornisce un meccanismo di sicurezza per tutte quelle applicazioni che si basano su TCP. SSL: meccasnimo di trasporto sicuro adottato tra i browser ed i servers per E commerce https. SSL: modello della sicurezza Autenticazione server Cifratura dei dati Autenticazione del client opzionale Autenticazione del server: SSL browser possiedono chiavi pubbliche per centri di certificazione Browser utilizza la chiave pubblica del CA per estrarre la chiave pubblica del server con cui interagisce. 09/05/06 19

20 SSL SSL Server Authentication Elenco di CA con le loro chiavi pubbliche SSL Client Authentication opzionale Si identifica il cliente tramite una CA Encrypted SSL sessions Scambio di dati con meccanismi crittografici 09/05/06 20

21 SSL Session: Browser genera una chiave simmetrica di sessione. Codifica la chiave con la chiave pubblica del server e la invia al server. Il server tramite la sua chiave privata è in grado di decifrare il msg criptato contenente la chiave di sessione. Tutti i dati che passano sul socket TCP sia del client che del server sono cifrati con la chiave di sessione. TSL: Transport Layer Security. SSL/TSL possono essere utilizzati anche per altre applicazioni. L autenticazione del cliente si può ottenere tramite opportuni meccanismi di certificazione. 09/05/06 21

22 Client SSL Handshake Server Versione SSL Preferenze per la crittografia Verifica il certificato Chiave simmetrica di sessione cifrata con la chiave pubblica del server Msg per indicare che verrà usata la chiave di sessione Msg cifrato di fine handshake Versione SSL Preferenze per la crittografia Certificato Msg per indicare che verrà usata la chiave di sessione Msg cifrato di fine handshake SSL Data Exchange 09/05/06 22

23 Secure Electronic Transactions SET Progettato per transazioni commerciali su Internet. Principali in gioco: cliente venditore E bank Tutti i principali devono essere muniti di un opportuno certificato. Il numero della carta di credito del cliente viene trasmesso alla E bank. Il venditore non vede il numero della carta in chiaro. Tre componenti software: Browser Wallet: Gestione dei pagamenti e dei certificati Merchant Server: Transazioni, comunicazioni con E bank Acquirer Gateway: Autorizzazioni e pagamenti 09/05/06 23

24 Participants in the SET System 09/05/06 24

25 SET Transactions 09/05/06 25