Elementi di Sicurezza e Privatezza Lezione 17 Sicurezza Web cont d

Transcript

1 Elementi di Sicurezza e Privatezza Lezione 17 Sicurezza Web cont d Chiara Braghin chiara.braghin@unimi.it

2 Problemi di instradamento

3 Routing (1) Stanford.edu Unimi.it BGP Autonomous System (AS) OSPF gruppo di router e reti sotto il controllo di una singola autorità amministrativa 2

4 Routing (2) OSPF (Open Shortest Path First) Usato per instradare pacchetti dentro un singolo AS BGP (Border Gateway Protocol) Usato per instradare pacchetti tra AS Consente il rispetto di alcune politiche di sicurezza e vincoli nell instradamento del traffico di rete Attacchi comuni: comunicare falsi percorsi per fare in modo che il traffico passi attraverso host compromessi 3

5 Border Gateway Protocol (BGP) - 1 Protocollo di instradamento esterno usato solo su router che connettono un Autonomous System (AS) ad un altro AS Implementato su TCP, porta 179 RFC da 1771 a 1774 Protocollo basato sul vettore delle distanze Le rotte/percorsi vengono scambiati nella forma di sequenze ordinate di identificatori di AS Ciascun AS esporta la rotta ai suoi vicini dopo essersi aggiunto in testa (AS k,as k 1,, AS 0 ) - rotta esportata da As k, AS 0 è il nodo che ha originato lo scambio delle rotte 4

6 Border Gateway Protocol (BGP) Sistema autonomo con id 4 5

7 Border Gateway Protocol (BGP) - 3 Supporta l instradamento basato su politiche (es. accordi bilaterali tra provider): ogni AS ha una propria politica spesso ci sono motivi non tecnici per prendere decisioni sull instradamento: motivi politici, organizzativi o di protezione utilizzo della politica da parte di BGP: ad ogni rotta viene assegnato un punteggio basandosi sulle politiche ( se la rotta viola la politica), la rotta seguita è quella con distanza minore decide quali rotte annunciare ad altri decide quali rotte accettare da altri Le politiche di instradamento non fanno parte del protocollo BGP: vengono fornite esternamente come informazioni di configurazione 6

8 BGP: problemi di sicurezza Cosa manca: Autenticazione degli Autonomous System (AS) Autenticazione e autorizzazione a rappresentare un AS da parte di un router Integrità e autenticazione di tutto il traffico BGP i pacchetti BGP non sono autenticati un attaccante può comunicare una rotta arbitraria Autorizzazione a esportare rotte e indirizzi Possibilità di rimuovere una rotta Incentivo alla disonestà: gli ISP pagano per favorire alcune rotte 7

9 Secure-BGP (1) Nasce nel 2000 come primo tentativo di architettura sicura per BGP Esiste un implementazione in fase di studio e di standardizzazione Utilizza crittografia a chiave pubblica Sistema dispendioso 8

10 Secure-BGP (2) Public Key Infrastructure (PKI) per supportare l autenticazione (delle rotte, di un AS, di un router BGP, ecc.) Firma digitale dei messaggi dei router Le rotte contengono le firme dei precedenti AS/router IPsec: comunicazione point-to-point tra router sicura 9

11 Secure-BGP (3) Cosa richiede l utilizzo di S-BGP? S-BGP PKI Gli ISP devono comportarsi come Certification Authority, producendo certificati per il loro spazio di indirizzi Problema: gli ISP sono molto poco interessati Implementazione del protocollo S-BGP I venditori di router devono offrire software S-BGP nei loro prodotti (con parte di memoria non volatile) Problema: venditori non molto interessati ALTRIMENTI aggiungere un dispositivo interfaccia Gli ISPs devono gestire i prodotti S-BGP 10

12 S-BGP: riferimenti A Survey of BGP Security, K. Butler, T. Farley, P. McDaniel, J. Rexford, ACM,

13 Domain Name System

14 DNS (Domain Name System) È un meccanismo di ricerca per tradurre nomi in indirizzi IP e viceversa Schema di denominazione gerarchico basato su dominio Sistema di database distribuito È un database composto da tre elementi: un namespace (spazio dei nomi) i DNS server che offrono informazioni sui namespace i resolver (client) che interrogano i server sul namespace 13

15 DNS (2) Spazio dei nomi gerarchico root Primo livello org net edu com uk ca wisc ucb stanford cmu mit Secondo livello cs ee www 14

16 DNS server (1) Una macchina che tiene una tabella dei nomi e i corrispondenti indirizzi IP relativi ad un namespace Ci sono 13 root server nel mondo, distribuiti su (attualmente) 137 diversi computer fisici Risponde alle interrogazioni DNS Tipi di name server: server autorevoli (authoritative) di tipo master (primari) e di tipo slave (secondari) server ricorsivi (caching o forwarder caching) server con funzionalità miste 15

17 DNS server (2) Servizio gerarchico Root server per domini di primo livello Authoritative server per sotto-domini 16

18 DNS server (3) Funzionamento di massima: Quando un applicazione specifica un nome da risolvere, il programma locale (resolver): 1. va dal server DNS autorevole più vicino e fa la richiesta 2. se il nome non è memorizzato, il server DNS richiede l indirizzo a un root server (connessione UDP) 3. il root server stabilisce il server dei nomi appropriato e gli invia la richiesta 17

19 Name server ricorsivo Esegue vere ricerche: pone domande al server DNS al posto dei client Ottiene le risposte dal server autorevole ma quando le inoltra al client le contrassegna come non autorevoli Le risposte vengono memorizzate nella cache per un riferimento futuro 18

20 Resolver I resolver sono programmi che pongono domande al sistema DNS per conto dell applicazione Di solito sono implementati in una libreria di sistema: gethostbyname(char *name); gethostbyaddr(char *addr, int len, type); 19

21 Processo di risoluzione e cache Resolver 1 A? Caching Forwarder (ricorsiva) 2 A? Chiedi A? root server gtld-server Domanda: A (A = Address) 8 Aggiunta alla cache Chiedi al A? ripe-server 20

22 RR (Resource Record) Usato dai server DNS per memorizzare i dati Un record è costituito da: etichetta, TTL, classe, tipo e RDATA TTL: Time To Live, validità del record la classe IN (Internet Name) è la più usata ci sono molti tipi di record RR: A indica IP address record, NS indica Name Server address tutto ciò che sta dopo l identificatore di tipo è detto RDATA IN A etichetta TTL classe tipo RDATA 21

23 TTL TTL è un timer usato nelle cache: indica per quanto tempo i dati possono essere riusati i dati stabili possono avere TTL alti 22

24 Pacchetto DNS (1) Query ID: valore casuale di 16 bit, lega univocamente la risposta alla query (un server può avere più query in attesa), in genere incrementato di 1 alla query successiva QR: (Query/Response) 0 se query del client, 1 se response del server Opcode: 0 per query standard AA: (Authoritative Answer) 1 se risposta autorevole TC: (Truncated) 1 se la risposta del server è più lunga dei 512 byte del pacchetto UDP RD: (Recursion Desired) 1 se il client desidera che sia il server a fare le ricerche ricorsivamente, 0 nel caso in cui voglia solo l informazione più vicina alla soluzione RA: (Recursion Available) Z: Reserved rcode: indica se la risposta ha successo o no Figura tratta da 23

25 Pacchetto DNS (2) Question count: il client inserisce nel campo dati la domanda che specifica il nome da risolvere, il tipo e la classe. Siccome il server ripete sempre la domanda, specifica quante domande sono cotenute nella sezione dati. Answer/Authority/Addirtional Record count: valori aggiornati dal server, indicano il tipo di risposta del server Answer: indica che il server è riuscito a risolvere il nome Authority: a quale server rivolgersi (indicato con hostname e non IP addr.) Addl. Record: indica l indirizzo IP degli hostname dati DNS question/answer Data: campo in cui vengono inserite le domande e le risposte relativi ai counter appena descritti 24

26 Richiesta del resolver al NS 25

27 Risposta al resolver (1) La risposta contiene l indirizzo IP del server a cui rifare la domanda (chiamato glue ) La risposta viene ignorata nel caso in cui il QueryID non venga riconosciuto Indica per quanto si può tenere nella cache 26

28 Risposta al resolver (2) RISPOSTA FINALE (memorizzata nella cache del resolver per una risposta più veloce a domande successive) 27

29 Vulnerabilità? (1) 28

30 Vulnerabilità? (2) 29

31 Vulnerabilità? (3) 30

32 Vulnerabilità? (4) 31

33 Vulnerabilità? (5) Politica first-come first-served, se l attaccante risponde per primo, la risposta considerata valida è

34 DNS Cache Poisoning (1) Idea: far memorizzare nella cache al server la risposta sbagliata per fare in modo che una richiesta al sito venga rediretta al sito 33

35 DNS Cache Poisoning (2) 34

36 DNS Cache Poisoning (3) Dan Kaminsky Black Hat security conference Luglio 2008!!!! Non viene modificato un singolo record, ma viene impersonificato un server autorevole di un intero spazio di nomi! 35

37 Esempi di DNS Poisoning Gennaio 2005, il nome di dominio di un grande ISP di NY (Panix) veniva risolto con un sito in Australia Novembre 2004, gli utenti di Amazon e Google venivano ridirezionati sul sito di una farmacia online (Med Network Inc.) Marzo 2003, un gruppo soprannominato "Freedom Cyber Force Militia" ridirezionava i visitatori del sito di Al-Jazeera e si presentava con il messaggio "God Bless Our Troops Attacchi meno comuni del fishing Vantaggio: non richiedono l invio di nessuna mail 36

38 DNSsec (1) Estende DNS per: Integrità dei dati Autenticazione dei dati DNS Authenticated Denial of Existence 37

39 DNSsec (2) DNSSEC RFC Standard (Marzo 2005) per le core functionality di DNSSEC: RFC DNS Security Introduction and Requirements RFC Resource Records for the DNS Security Extensions RFC Protocol Modifications for the DNS Security Extensions RFC DNS Security (DNSSEC) Hashed Authenticated Denial of Existence RFC DNSSEC Operational Practices 38

40 DNS: riferimenti ide-kaminsky-dns-vuln.html 39