POLITICHE DI FILTERING SUI ROUTER DELLE SEDI CNR. Maurizio Aiello, Gianni Mezza e Silvio Scipioni

Transcript

1 CONSIGLIO NAZIONALE DELLE RICERCHE COLLANA DI PUBBLICAZIONI DEL COMITATO DI GESTIONE DELLA RETE TELEMATICA NAZIONALE POLITICHE DI FILTERING SUI ROUTER DELLE SEDI CNR (BASE SECURITY) a cura di Maurizio Aiello, Gianni Mezza e Silvio Scipioni 21 NOVEMBRE 2003 CDGNET TECHNICAL REPORT VERSIONE DEFINITIVA

2 INDICE INTRODUZIONE...1 FILTERING COS È E COME SI CONFIGURA...4 Informazioni generali sul filtering...4 Politiche di default...4 Applicazione delle regole di filtering ai router...5 NETWORK SECURITY: LIVELLO BASE...7 Configurazione del router per evitare DoS verso se stesso...7 Smurfing...7 Filtraggi sul router...8 Regole anti-spoofing...9 Regola per connessioni stabilite, sia in ingresso che in uscita...10 Land attack!...11 Condivisioni e debolezze di windows...11 Posta elettronica...12 Servizi da chiudere esplicitamente...13 Servizi non indispensabili...13 Conclusioni e suggerimenti di filtering...14 Politiche di filtering dei router delle sedi CNR ii

3 POLITICHE DI FILTERING SUI ROUTER DELLE SEDI CNR (BASE SECURITY) INTRODUZIONE A chi è rivolto: destinatari di questo documento sono tutti i gestori di router delle sedi CNR connesse alla rete GARR. Prerequisiti: per l utilizzo di questo documento è necessaria la conoscenza delle procedure di avvio/arresto dei router, nonché la capacità di effettuare operazioni di normale manutenzione sui router, come la configurazione e relative operazioni sugli stessi. Tutti gli esempi riportati in questo documento riguardano Router cisco, fermo restando che la generalità delle situazioni proposte consente di effettuare ugualmente i filtraggi in altri ambienti a patto di modificare la sintassi dei comandi, utilizzando quelli previsti dal proprio dispositivo. Altro prerequisito è la conoscenza dei servizi Internet, smtp, http, telnet, ftp, etc. Di cosa parla questo documento: come effettuare un filtering corretto sui router che ci collegano ad Internet scegliendo un opportuna politica di sicurezza ed implementandola. Di cosa non parla questo questo documento: che cos e un firewall, architetture firewall, che cosa sono i servizi Internet, come si filtrano i virus attraverso un gateway di posta, come si rilevano gli attacchi di rete. Organizzazione del documento: inizialmente sono spiegati i concetti base del filtering, di tipo basic (normale), dopodiché sono proposte alcune possibili configurazioni su tre livelli: base, media ed avanzata. In questo documento ci occupiamo solamente della sicurezza di livello basso. La difficoltà non è legata a un effettiva complessità tecnica della configurazione proposta, ma all impatto che potrebbe avere sull utenza. Tale concetto sarà spiegato meglio in seguito, comunque potremmo dire che i livelli prevedono le seguenti problematiche: Difficoltà Impatto sull utenza Livello di sicurezza Bassa Media Alta Limitato, nel migliore dei casi non ci si accorge neanche di essere filtrati Alcuni utenti hanno l esigenza di avere regole create ad hoc allo scopo di poter lavorare L utente riesce ad utilizzare solo quello che gli è consentito, ovvero i servizi specificati nella politica di sicurezza Il minimo indispensabile, non evita le intrusioni di un hacker motivato, ma limita i danni causati ad esempio da worm e simili Può essere un giusto compromesso tra un buon livello di sicurezza e un basso carico di lavoro nella gestione del firewall Alto. Politiche di filtering dei router delle sedi CNR 1

4 Principi base di sicurezza Il primo principio della sicurezza è il minimo privilegio, ovvero la garanzia che all utenza venga data la possibilità di fare tutto quello che serve per lavorare e nient altro. Facendo un esempio tratto dalla vita di tutti i giorni a un cassiere di banca viene data la chiave della sua cassa, non viene dato un passe-partout che apre ogni cassa: in questo modo egli può svolgere il suo compito e non ha alcuna responsabilità in caso di ammanchi di denaro in altre casse. Il minimo privilegio dovrebbe quindi essere percepito come una facilitazione dall utente, che viene scaricato di responsabilità. In ambito networking il minimo privilegio consiste nel lasciar passare attraverso il router, e quindi nel far giungere ai propri Pc solo ed esclusivamente quei pacchetti tcp/ip relativi a protocolli noti e che sono di utilizzo, trascurando gli altri. Molte volte questo evento viene percepito come una privazione, da parte del tecnico che gestisce la rete o addirittura del responsabile della rete (access point administrator del GARR). Facciamo un esempio: è buona norma se desideriamo effettuare trasferimenti di files adottare le seguenti precauzioni: Scegliere un ftp server robusto, affidabile e sicuro Installarlo su una macchina che non contenga altri servizi critici per l utenza Aggiornare sempre il software (patch del Sistema Operativo e dell applicativo) Separare in maniera logica e fisica questa macchina dal resto della rete Ovviamente costringere tutti ad usare questo servizio per il trasferimento files, ovvero filtrare il protocollo ftp in entrata della nostra rete verso le altre macchine In questo caso dobbiamo porre enfasi sul fatto che il grosso lavoro che è stato svolto è un valore aggiunto per l utente, dal momento che egli è esposto in misura minore ad attacchi di hacker, non si deve preoccupare di installare e configurare un servizio ftp da solo e ne guadagna la sicurezza della rete nel suo complesso. Bisogna stare attenti a non far sembrare questa configurazione come creata ad hoc per controllare il traffico e/o la tipologia dei files scaricati, per imporre vincoli assurdi perché di fatto la rete è nostra e quindi si fa quello che diciamo noi, per aggiungere complessità ad una operazione di per sé banale e che noi cerchiamo di rendere complicata. In questo senso il filtering è quindi più una questione politica che non tecnica in senso stretto. La prima operazione da effettuare è quindi concordare una politica di sicurezza che sia sostenibile, ovvero scegliere i servizi necessari per la nostra rete e stabilire le modalità della loro erogazione, nel modo più semplice possibile per l utenza ed evitando eccessi. Tali eccessi infatti possono condurre a una fastidiosa guerra tra il gestore dell infrastruttura e lo studente o il ricercatore smaliziato che cercano scappatoie alle regole di utilizzo della rete. Una volta che la security policy è stata grossomodo individuata è necessario dargli ampia visibilità presso i referenti tecnici della nostra utenza in modo che possano essere effettuate le dovute segnalazioni/correzioni da parte loro. Possiamo scoprire cosí che la nostra utenza utilizza servizi che noi in fase iniziale non abbiamo considerato. Si consiglia pertanto di rendere visibili le regole di filtering ai responsabili informatici della nostra rete (periodicamente via mail ad esempio, oppure su un sito web accessibile solo ed esclusivamente alle persone sopraindicate). Considerazioni generali sul filtering e definizione delle politiche di sicurezza: Per definire una politica di sicurezza è sufficiente rispondere alla domanda: Che tipo di protocolli/connessioni sono utili per il mio lavoro e in che modo devo consentire queste connessioni? Il concetto quello che serve però è tutt altro che univoco, e a volte può portare a incomprensioni. I protocolli p2p come gnutella o DirectConnect sono sicuramente pericolosi dal punto di vista del system administrator e quindi la domanda che ci poniamo e : Sono effettivamente utili o li possiamo disabilitare attraverso il firewall?. Maggiore è il livello di sicurezza che intendiamo implementare e maggiori saranno le richieste particolari degli utenti, come conseguenza della rigorosa applicazione del principio del minimo privilegio. La difficoltà consiste nel trovare la giusta via di mezzo, la politica che garantisce un livello di sicurezza adeguato e la giusta soddisfazione dell utenza (con buona pace del gestore che non viene subissato di richieste). In definitiva oltre alla domanda relativa a quali tipi di Politiche di filtering dei router delle sedi CNR 2

5 protocolli sono ritenuti sicuri o meno bisogna anche fare i conti con la domanda: Che tipo di protocolli/connessioni sono in grado di filtrare bilanciando le richieste degli utenti e l interesse in questo problema da parte del management (Direttore dell Istituto/dell Area etc.)? Nuovamente bisogna ricordare che il filtering è un azione non esclusivamente tecnica. Politiche di filtering dei router delle sedi CNR 3

6 FILTERING COS È E COME SI CONFIGURA Informazioni generali sul filtering Effettuare un operazione di filtering sui pacchetti entranti/uscenti nella/dalla nostra Lan significa controllare il pacchetto ed ispezionarlo al suo interno per vedere di che tipo sia, e se sia conforme alla nostra politica di sicurezza. Se il pacchetto è di tipo consentito allora esso viene fatto transitare da una interfaccia all altra del router, mediante il routing, altrimenti viene scartato (eventualmente effettuando anche il logging). Esistono altri metodi di filtering che utilizzano bridging firewall, firewall NIC embedded oppure firewall locali installati su macchine singole, ma in questa sede non li consideriamo. La granularità delle regole di filtering è a livello di protocollo, scegliendo ad esempio tra TCP, UDP, ICMP, e IP. Nell ambito di un certo protocollo, ad esempio TCP, abbiamo la possibilità di specificare una porta e quindi un servizio (es. porta 25 = smtp = posta elettronica), anche se questa corrispondenza non è sempre biunivoca (es. nel caso di ftp le porte coinvolte sono due, la 20 e la 21). Inoltre è possibile inserire in una regola di filtering anche l indirizzo ip di una macchina o di una classe di macchine, in modo da costruire regole di una certa complessità. Politiche di default Ogni qualvolta si sceglie una serie di regole di filtraggio è anche fondamentale determinare la politica di default, ovvero decidere cosa fare con i pacchetti che non rientrano in nessuna delle regole predefinite. Ci sono due possibili opzioni: Default permit: utilizzando questa politica il set di regole viene scelto in modo tale da vietare esplicitamente i protocolli o gli host considerati pericolosi; un eventuale pacchetto che non rientra in questa categoria viene considerato buono e quindi lasciato passare (non filtrato). Esempio: Vieta il passaggio di NFS, di telnet e di ftp provenienti dall esterno, e lascia passare tutto il resto. Conseguenze: viene consentito ad esempio gnutella, pop e imap e quant altro non esplicitamente vietato. Default deny: il set di regole viene scelto in modo tale da consentire solo i protocolli o gli host ip o una combinazione host/protocollo considerati leciti in modo tale che un pacchetto che non rientra nelle specifiche da noi selezionate viene automaticamente scartato. Esempio: Consenti il traffico smtp verso il server di posta elettronica, consenti il traffico ssh entrante verso ogni host e vieta ogni altra cosa. Conseguenze: viene proibito il traffico ftp, nfs, telnet, gnutella pop e imap e quant altro. Ovviamente il primo approccio presenta un grado di sicurezza minore, ma soprattutto nella fase iniziale di creazione del firewall consente di avere meno problemi nell interazione con l utenza; viceversa la politica di default deny è più sicura ma implementa un firewall che necessita di grande manutenzione nell aggiornamento delle regole con il variare delle necessità dell utenza. È bene ricordare a questo punto che se io voglio utilizzare una politica del tipo: Voglio che i miei utenti possano fare qualsiasi cosa quando utilizzano un pc dalla Lan interna, mentre non voglio che user esterni si connettano alle mie macchine non è possibile consentire tutti i pacchetti uscenti dalla mia lan e proibire tutti i pacchetti entranti, dal momento che la comunicazione è ovviamente bidirezionale e quindi non consentire pacchetti in ingresso equivale a non consentire alcun tipo di comunicazione. A tal proposito si osservi la seguente figura che rappresenta una connessione di tipo http da un client appartenente alla LAN x ad un server ( Nella figura sono indicati l indirizzo sorgente e destinazione ip, nonché la porta sorgente/destinazione. Politiche di filtering dei router delle sedi CNR 4

7 Figura 1: connessione verso server http Applicazione delle regole di filtering ai router In tutti gli esempi che seguono ipotizziamo che ci sia una rete interna, detta Intranet e una rete esterna detta Internet. La realtà ovviamente può essere più complessa, ma i concetti espressi rimangono validi. Si ipotizza che il sistema di routing sia dotato di IOS Cisco. Va da sé che se si optasse per un altra piattaforma di routing sarebbe possibile riutilizzare gli esempi mostrati a patto di aggiornarne la sintassi. Caratteristica fondamentale dei sistemi di packet filtering è che il filtering si applica ad una determinata interfaccia e in una determinata direzione del traffico dati. Ad esempio avendo un router Cisco dotato di una seriale per il collegamento Wan e di 10 interfacce ethernet per collegare le varie Politiche di filtering dei router delle sedi CNR 5

8 Lan è possibile decidere a quale interfaccia si vuole applicare il set di regole: a una, all altra o a entrambe. In questo modo è possibile avere una granularità maggiore nella definizione delle aree protette dal firewall e nella creazione di livelli diversi di sicurezza (zona DMZ e zona interna). Normalmente per ogni interfaccia del router vengono scelti due insiemi di regole di filtering diversi, uno per i pacchetti entranti nell interfaccia (cioè che provengono dalla rete ed entrano nel router) e uno per quelli uscenti (che escono dal router e vanno verso la rete). È da notare che ad esempio un pacchetto http che proviene da un server esterno (come sia entrante nell interfaccia seriale del router e uscente dall interfaccia ethernet che collega i vari Pc di una certa Lan tra loro. È quindi fondamentale capire la direzione corretta dei pacchetti. La sintassi del filtering su router cisco viene data per nota, si ricordano solamente alcuni concetti principali: Le access-list avanzate sono identificate da un numero variabile da 100 a 199 Any significa ogni indirizzo, mentre host seguito da un indirizzo rappresenta la macchina identificata da quell indirizzo IP Nelle maschere che seguono un indirizzo ip il bit posto a 1 ha un significato di wildcard (esempio: vuol dire gli indirizzi internet ) La keyword log significa che ogni volta che la regola trova applicazione viene effettuato un log su un server syslog appositamente configurato La keyword permit o deny specifica se il pacchetto viene accettato dal router, oppure viene scartato. Normalmente il set delle regole di filtering viene applicato in maniera sequenziale, ovvero viene eseguita una serie di controlli sul pacchetto e non appena il pacchetto soddisfa una regola su questo viene eseguita l azione di permit o deny; infine si passa al pacchetto successivo. Per questo motivo è critico l ordine in cui vengono scritte le regole. Ad esempio: access-list 111 permit ip any any access-list 111 deny tcp any any eq 23 ha come effetto quello di far passare qualsiasi pacchetto (tcp, udp etc.) perché viene sempre applicata la prima regola, mentre la seconda (che ha come intento di non concedere l accesso in telnet alle macchine interne da parte di un esterno) non viene mai applicata. Per raggiungere lo scopo desiderato si deve utilizzare questo set: access-list 111 deny tcp any any eq 23 access-list 111 permit ip any any La seconda riga dell esempio rappresenta la politica di default (in questo caso default permit) e deve essere sempre aggiunta per chiarezza e per essere sicuri di ottenere l effetto voluto, in modo che ci sia sempre almeno una regola che soddisfi i pacchetti in transito. In caso non venga specificata allora viene applicato il default deny any any. Dal punto di vista pratico ci sono implicazioni molto importanti derivanti dal fatto che, ad esempio, é molto difficile aggiungere regole on the fly al router in quanto una eventuale regola verrebbe aggiunta in fondo al set e quindi verrebbe probabilmente ignorata in quanto sarebbe preceduta dalla politica di default, tipicamente un deny any any. Per questo motivo l approccio migliore per aggiungere regole di filtraggio consiste in: Eliminare il set attuale: sul router in modalità di configurazione da terminale (conf term) si dà il comando: no access-list 111. Si modifica il set di filtering su un pc dotato di tftp server, inserendo le nuove regole nel posto giusto; Politiche di filtering dei router delle sedi CNR 6

9 Si scarica la configurazione corretta sulla memoria volatile del router tramite copy tftp running-config Si controlla che effettivamente il filtraggio funzioni e quindi si salva in flash la configurazione mediante copy running-config startup-config Volendo si può aggiungere il comando no access-list 111 come prima riga del set di filtering, in modo che quando verrà scaricata tramite tftp la access-list, questa verrà prima distrutta e poi ricreata da zero. Questo ci consente di saltare il primo punto di questa checklist, passando direttamente al punto 2. Volendo si può anche inserire la keyword log in fondo a un filtro: in questo modo è possibile attivare il logging della regola (configurando un opportuno syslog via rete) e di conseguenza evidenziare quale regola determina l uscita dal flusso dei controlli. Lo scopo principale di questa azione è il debugging dei filtri o il controllo di eventuali attacchi a scopo intrusivo. È sempre buona norma inserire prima di ogni filtro un commento (realizzabile su Cisco mediante il carattere! all inizio della linea) che ricordi per quale scopo è stato inserito. Infatti a posteriori ci si può trovare con un insieme molto grosso di filtering e di difficile decodificazione senza gli opportuni commenti. NETWORK SECURITY: LIVELLO BASE In questa sezione ci occupiamo della definizione di access-list e di configurazioni particolari che hanno un basso impatto sull utenza: determinate acl (come le regole anti-spoofing) sono assolutamente trasparenti, altre hanno un effetto solo per particolari utenti che eseguono operazioni molto pericolose, come la condivisione di cartelle windows via internet, che quindi è meglio proibire (a meno di eccezioni molto rare). Configurazione del router per evitare DoS verso se stesso Di solito sono attivi alcuni servizi praticamente inutili (echo chargen, daytime, discard), tipici del mondo Unix e che un tempo servivano per attività di diagnostica come alternativa ad icmp. Ormai di fatto non vengono più utilizzati, se non dagli hacker per effettuare DoS verso il router stesso (saturandone la cpu) o verso altri siti usando appositi pacchetti ip spoofati (pacchetti con indirizzo origine contraffatto). Di conseguenza è sempre buona norma disabilitare questi servizi utilizzando i seguenti comandi nel file di configurazione: No service udp-small-server No service tcp-small-server No ip http server No ip source-route Inoltre é sempre meglio disabilitare anche l http server e i pacchetti ip che si dovessero presentare con le ip options settate (strict e loose source routing, ormai non più utilizzate). Smurfing Un attacco DoS molto usato soprattutto in passato è lo smurf attack, nel quale router mal configurati i ii vengono utilizzati come mezzo per mettere fuori servizio host vittime. Il funzionamento è semplice (vedi figura 2): un hacker invia un pacchetto ip di tipo icmp echo request (ping) che ha le seguenti caratteristiche: Destination ip address: un indirizzo di broadcast della lan ad es Source ip address: l indirizzo della vittima ad es (o anche un host esterno alla LAN) Politiche di filtering dei router delle sedi CNR 7

10 In questo modo il pacchetto viaggia in Internet verso la lan e quando arriva a destinazione tutti gli host di questa rete (destinatari del messaggio visto che è un broadcast) risponderanno con un icmp echo reply verso la vittima che sarà quindi sottoposto a un bombardamento di pacchetti di risposta. In questo modo l hacker ottiene un effetto moltiplicatore, ovvero per ogni pacchetto di attacco che invia viene generata una risposta da ogni host la quale viene inviata verso l obiettivo. Figura 2: smurf attack Per evitare questo problema è sufficiente configurare il nostro router in modo che non consenta il passaggio di pacchetti ip che abbiano come destination ip un indirizzo di broadcast: Interface ethernet No ip directed-broadcast Filtraggi sul router La nostra base di partenza è costituita, come al solito, da un router connesso da una parte ad Internet e dall altra alle nostre Lan; il set di filtri viene definito sull interfaccia seriale del collegamento Wan relativamente ai pacchetti provenienti da Internet. È sufficiente nella maggior parte dei casi effettuare il filtering solo per i pacchetti entranti poiché essendo la comunicazione bidirezionale basta interrompere un flusso per bloccare l intero canale. In ogni caso per gli esempi che seguono utilizzeremo la access-list 111 come filtro per i pacchetti entranti sul router, mentre per i pacchetti uscenti utilizzeremo la access-list 121 (quando necessaria). È importante notare che nelle regole della access-list 121 (traffico uscente), per ogni riga che descrive un filtraggio, il primo blocco di indirizzi di solito sarà appartenente alla rete interna, mentre il secondo blocco sarà un indirizzo di Internet. Politiche di filtering dei router delle sedi CNR 8

11 In tutti gli esempi successivi ipotizziamo che si debba proteggere una rete di classe C ( x) collegata ad Internet mediante un router Cisco. Per applicare gli esempi alle singole realtà del CNR sarà necessario modificare gli indirizzi IP in accordo con le proprie reti. Per conoscere tutte le corrispondenze tra il numero di porta (tcp/udp) e servizio Internet corrispondente è sufficiente andare sul sito iana (Internet Assigned Numbers Authority) per trovare l elenco completo. Tutte le regole descritte qui di seguito dovrebbero essere abbastanza generali per essere utilizzabili in molti contesti reali in ambito CNR, ma è evidente che la corretta applicazione di quanto riportato non puó prescindere da un attento studio della topologia della propria rete e dei servizi erogati alla propria utenza. È possibile quindi che il set di regole sia applicabile cosí com è alla propria realtà ma ciò non è garantito. Dal momento che il livello di sicurezza scelto è il minimo indispensabile, la politica adottata è quella di default permit. Come pratica generale è consigliabile applicare pochi filtri per volta, controllando poi l esito dell operazione e aggiungendo altri filtri in maniera graduale. Definiamo ora l access-list 111 come il set dei filtri da applicare ai pacchetti entranti nell interfaccia seriale di collegamento ad Internet, mentre l access-list 121 come il set dei filtri da applicare ai pacchetti uscenti. interface Serial0/0 description Prima linea ip address ip access-group 111 in ip access-group 121 out bandwidth 2048 Prima e ultima riga del filtro 111: no access-list access-list 111 permit ip any any Prima e ultime righe del filtro 121: no access-list access-list 121 permit ip any access-list 121 deny ip any any default permit \ anti-spoofing e / default permit Regole anti-spoofing È ovvio che i pacchetti provenienti dall esterno dovrebbero avere indirizzo ip diverso dalla lan interna; specularmente si puó dire per i pacchetti che provengono dalla lan, devono avere esclusivamente un indirizzo ip della lan stessa. Inoltre non è possibile che provengano dall esterno pacchetti con indirizzi di Lan riservate. Per questo motivo definiamo i seguenti filtri anti-spoofing: access-list 111 deny ip any access-list 111 deny ip any access-list 111 deny ip any access-list 111 deny ip any access-list 111 deny ip any e inoltre: Politiche di filtering dei router delle sedi CNR 9

12 access-list 121 permit ip any access-list 121 deny ip any any Naturalmente l ultima riga applica la politica di default deny, ed é indispensabile per garantire che dalla nostra rete non possano partire pacchetti con indirizzo ip falsificato (spoofed ip address) e appartenente ad una rete esterna. Ipotizzando che un hacker riesca a penetrare in un nostro sistema informatico, utilizzando pacchetti con indirizzi ip falsificati potrebbe utilizzare la nostra rete per portare attacchi ad altri sistemi: nel caso di un denial of service lo scopo sarebbe quello di bloccare qualche rete o qualche server. Mediante software disponibili con facilità in rete (ad es. synk4.c), utilizzando un indirizzo ip fasullo si possono lanciare syn flood DoS verso indirizzi ip qualsiasi. Se sul router non fossero presenti regole anti-spoofing per i pacchetti in uscita potremmo diventare degli inconsapevoli attaccanti di siti strategici (governativi, militari, etc.). Viceversa se non fossero presenti regole anti-spoofing per i pacchetti in ingresso potremmo essere vittime di attacchi DoS verso le nostre macchine, ad esempio mediante attacco di tipo echo-chargen. Potremmo chiederci perché il router non scarti automaticamente questi pacchetti chiaramente fasulli, ma questa domanda è sensata solo nell architettura utilizzata in esempio (una rete interna e internet dall altra parte); in realtà le cose potrebbero essere molto più complesse e ciò costringe il router ad effettuare il suo lavoro, che in mancanza di filtri opportuni è di forwardare i pacchetti da un interfaccia all altra (compresi quelli che noi riteniamo essere spoofati). Regola per connessioni stabilite, sia in ingresso che in uscita TCP Il primo pacchetto di ogni connessione di tipo TCP (resta escluso quindi ICMP e UDP) ha la caratteristica di non avere il bit ack settato, mentre dal secondo in poi (il secondo pacchetto è quello di risposta a seguito di una richiesta di connessione, vedi figura 2) tale bit è sempre settato. In altre parole, quando si tenta di iniziare una connessione manca il bit di ack: questo fatto ci consente di discriminare se un pacchetto che giunge al nostro router appartiene a una connessione già stabilita oppure no. Se una connessione è già stabilita (ack bit a 1) significa che in qualche modo il pacchetto ha già passato i requisiti richiesti dalla nostra politica di sicurezza, e quindi è inutile continuare a controllarlo. Politiche di filtering dei router delle sedi CNR 10

13 Figura 3: tcp three-way handshake Normalmente é vero che le connessioni iniziate dall esterno (tentativi di collegamento verso server della nostra Lan) devono superare controlli precisi mentre vengono consentite tutte le connessioni iniziate dall interno (collegamenti dei nostri utenti verso server Internet). Per i motivi sopraccitati consentiamo il transito dei pacchetti che entrano verso la nostra Lan e che hanno il bit di ack settato. Access-list 111 permit tcp any any estabilished Access-list 121 permit tcp any any estabilished Se posizioniamo questa regola all inizio della nostra acl la maggior parte dei pacchetti in arrivo verranno accettati subito, mentre il set di filtering sarà analizzato solo dai pacchetti di inizio connessione dall esterno verso l interno. Ciò aumenta tremendamente le performance delle operazioni di routing/filtering, svincolando quasi le prestazioni dalla lunghezza della access-list. UDP La mancanza di un ack bit non permette di utilizzare un metodo simile per UDP e quindi ci costringe ad adottare una delle seguenti politiche alternative se si intende effettuare filtering su tale protocollo: utilizzo di un firewall di tipo stateful che tenga traccia dello stato delle connessioni entranti/uscenti filtraggio completo del traffico udp (tranne che per qualche protocollo selezionato) libero traffico del traffico udp in ingresso/uscita, tranne che per qualche servizio selezionato Le prime due opzioni consentono una configurazione più sicura della rete, mentre la terza è da sconsigliare considerata la pericolosità di UDP (data la sua natura di protocollo connection-less). Nel definire il livello attuale di sicurezza (base) però utilizzeremo proprio quest ultima policy (vedi paragrafi successivi) dal momento che il nostro scopo è comunque di non provocare disservizi verso l utenza. Land attack! Il land attack è un attacco di DoS che consiste nel mandare verso un certo host un pacchetto tcp con il bit syn settato (inizio connessione) avente: dip (destination ip address) = host vittima sip (source ip address) = host vittima. Con pacchetti così forgiati alcune implementazioni deboli dello stack tcp/ip vanno in crash. Per evitare che questo accada sulle nostre interfacce seriali del router è necessario inserire un filtro del tipo: Access-list 111 deny ip <ser_ip> <ser_ip> Avendo indicato con ser_ip l indirizzo del/delle interfacce seriali del router Condivisioni e debolezze di windows I sistemi operativi windows in tutte le loro varianti sono noti per essere tra i sistemi operativi più deboli dal punto di vista della sicurezza. Periodicamente Internet viene invasa da nuovi worm e problemi correlati a bachi di questa famiglia di sistemi operativi. Politiche di filtering dei router delle sedi CNR 11

14 Per cercare di tamponare questi eventi è necessario impedire che la propria rete lasci aperte verso l esterno le porte tipicamente utilizzate da windows e notoriamente pericolose, ovvero quello che vanno dalla 135 alla 139, la 445 e la 593 access-list 111 deny tcp any any range access-list 111 deny udp any any range access-list 111 deny tcp any any eq 445 access-list 111 deny udp any any eq 445 access-list 111 deny tcp any any eq 593 access-list 111 deny udp any any eq 593 Impatto per l utenza: applicando questo filtro non sarà più possibile da Internet accedere a cartelle condivise nella nostra rete. Dal punto di vista pratico questo è un bene: infatti la maggior parte degli utenti condivide directory del proprio pc senza password, convinto che nessuno lo saprà mai e spinto dal fatto che è un modo molto comodo per trasferire i files tra pc. Purtroppo il meccanismo di Security through obscurity è reso del tutto inefficace dalla presenza su web di worm che usano queste debolezze iii e di efficacissimi port scanner e vulnerability scanner iv v Posta elettronica Un server di posta elettronica è una macchina che effettua due servizi: 1. riceve posta elettronica da un altro server e la salva in un database pronta per essere letta; 2. accetta da client richieste di invio di posta verso altri utenti La caratteristica 2. è notoriamente fonte di problemi, perché può permettere l invio di mail non richieste a sfondo pubblicitario. Questo è reso possibile dal fatto che se i server non sono configurati correttamente possono garantire accesso al servizio anche a persone non autorizzate. È noto infatti che i server di posta sono configurabili come open-relay, ovvero il server accetta di inviare posta per conto di ogni utente di Internet che ne fa richiesta. Ovviamente questa configurazione priva di controllo è assolutamente deprecabile in ambiti CNR, dal momento che è necessario controllare l accesso al server della posta mediante il meccanismo di controllo degli ip address. In particolare il nostro server di posta dovrà accettare di inviare posta seguendo la seguente configurazione di relaying: Destinatario interno Destinatario internet Mittente interno OK OK Mittente internet OK NO In linea di principio il protocollo smtp presenta queste problematiche perché è completamente privo di autenticazione basata su username e password, basando di fatto tutto il controllo sull indirizzo ip. Il problema non é tanto la complessità di realizzare una tale configurazione (o simile, a seconda della complessità della propria rete), quanto la proliferazione di server smtp nella propria rete, visto che normalmente l utente installa sul proprio pc con linux un server di posta senza preoccuparsi di configurarlo correttamente, o addirittura senza che neanche l utente ne sia a conoscenza. È pertanto necessario attivare un filtraggio sul router che consenta di accedere dall esterno soltanto a una o comunque poche macchine server di posta di cui conosciamo i gestori (nel senso che ci possiamo fidare della loro affidabilità) e che sappiamo abbiano configurato correttamente i server. Access-list 111 permit tcp any host server1_di_posta eq smtp Access-list 111 permit tcp any host server2_di_posta eq smtp Access-list 111 deny tcp any any eq smtp Prendiamo in considerazione la seguente ipotesi: se un hacker riuscisse ad effettuare un intrusione su una macchina di un nostro utente, potrebbe configurarla come server di posta e spedire messaggi di spam su Internet senza che noi ce ne possiamo accorgere. Questa situazione è molto insidiosa dal momento che è difficile da scovare se non effettuando sniffing sul cavo di rete. È consigliabile quindi Politiche di filtering dei router delle sedi CNR 12

15 mettere un filtro anche per spedire posta in Internet: solo i server autorizzati possono spedire direttamente messaggi verso altri server (in questo caso l invio di spam da parte di nostri utenti sarà facilmente individuabile mediante l analisi dei log dei server). Access-list 121 permit tcp host server1_di_posta any eq 25 Access-list 121 permit tcp host server2_di_posta any eq 25 Access-list 121 deny tcp any any eq 25 Impatto per l utenza: le access list in ingresso obbligano a ricevere la posta solo sui server di Istituto o di Area. Le access list in uscita obbligano a configurare il client ad utilizzare un smtp server predefinito. In definitiva non sono di limitazione alcuna per l utente. Servizi da chiudere esplicitamente Access-list 111 deny tcp any any eq 2049 (NFS) Access-list 111 deny udp any any eq 2049 (NFS) NFS è un protocollo noto per i suoi problemi inerenti a un autenticazione client/server non forte basata sull indirizzo IP o nome della macchina e conseguente esposizione ad attacchi di tipo ip spoofing o DNS cache poisoning. Peraltro l accesso a un filesystem da remoto puó condurre a scritture del file.rhosts nelle aree utente e quindi all esposizione di login remote tramite la suite R- Berkeley. Servizi non indispensabili I filtraggi indicati in questa parte del documento sono diversi rispetto a quanto visto finora. Seppur molto importanti i filtri indicati di seguito imporranno sicuramente delle limitazioni di utilizzo alla nostra Lan e alcuni servizi offerti/utilizzati dagli utenti potrebbero subire delle limitazioni. Per questo motivo si consiglia di adottare questi filtri solo in caso di effettiva conoscenza della realtà della propria rete locale. Le porte fino alla 1023 sono note, nel senso che ad ogni porta è associato un servizio Internet preciso. Le porte dalla 1024 in su invece sono utilizzate dai client e da server non noti (a parte qualche caso, come NFS che utilizza la 2049 tcp/udp o 6667 per i server irc). Per questo motivo se vogliamo filtrare più porte possibili relativamente ai servizi noti è necessario concentrarsi sulle porte da 1 a Per servizi non indispensabili intendiamo quelli che normalmente non sono utilizzati nel contesto di una rete di ricerca. Ovviamente puó succedere che qualche porta contenuta negli intervalli di seguito riportati sia veramente utilizzata: solo la conoscenza della realtà locale del sistemista di rete puó quindi stabilire se queste regole possono essere adattate alla propria situazione. I servizi che dobbiamo in generale mantenere per consentire l accesso dall esterno alla nostra rete: Servizio Porte ftp 20 e 21 Ssh 22 telnet 23 Smtp 25 Dns 53 http 80 Pop3 110 nntp 119 Ntp 123 imap 143 Snmp 161 https 443 Imaps 993 Spop3 995 Politiche di filtering dei router delle sedi CNR 13

16 Viceversa ci sono servizi che per la loro natura intrinsecamente insicura devono essere sicuramente filtrati, anche se causano un minimo disservizio all utenza (superabile, ad esempio sostituendo rsh con telnet o ssh): tftp 69 Finger 79 Suite R-berkeley X Irc Le porte dalla 1 alla 19 solitamente sono inutili e offrono solo servizi che venivano usati in passato per funzioni diagnostiche (chargen, echo), oppure informative (daytime) o del tutto inutili (discard). Per evitare problemi quindi è consigliabile filtrare tutte queste porte senza per altro arrecare alcun disservizio all utenza normale. Le porte indicate di seguito si possono normalmente filtrare, facendo attenzione a quanto scritto tra parentesi; inoltre la 69 tftp e la 79 finger sono effettivamente da proibire esplicitamente. Irc puó essere pericoloso dal momento che è possibile che i nostri server siano utilizzati come bouncer dei canali, ed è preferibile disabilitarlo. X11 presenta caratteristiche intrinseche che ne sconsigliano l utilizzo attraverso un firewall. Dal momento che in alcuni casi viene utilizzato per consentire la visualizzazione del display remoto di alcune macchine di calcolo o di simulazione si consiglia di consentirne l accesso solo da Reti note verso i calcolatori interessati. Access-list 111 deny tcp any any range 1 19 Access-list 111 deny udp any any range 1 19 Access-list 111 deny tcp any any range Access-list 111 deny udp any any range Access-list 111 deny tcp any any range Access-list 111 deny udp any any range Access-list 111 deny tcp any any range Access-list 111 deny udp any any range Access-list 111 deny tcp any any range Access-list 111 deny udp any any range Access-list 111 deny tcp any any range Access-list 111 deny udp any any range Access-list 111 deny tcp any any range Access-list 111 deny udp any any range (da notare che in questo caso sono giá incluse parte delle regole del filtering di windows) Access-list 111 deny tcp any any range Access-list 111 deny udp any any range Access-list 111 deny tcp any any range (attenzione a xdmcp-177) Access-list 111 deny tcp any any range (attenzione a xdmcp-177) Access-list 111 deny tcp any any range (ottimo filtrare windows, suite R- Berkeley ) Access-list 111 deny tcp any any eq 994 Access-lis 111 deny tcp any any range Access-list 111 deny tcp any any range (X11) Access-list 111 deny tcp any any range (IRC) Access-list 111 deny udp any any range Conclusioni e suggerimenti di filtering Per concludere di seguito sono riportate le regole suggerite da inserire nel file di configurazione del proprio router, in base a un ipotesi molto conservativa, ovvero cercando di limitare al massimo l impatto sull utenza (le porte basse dei Servizi non indispensabili sono filtrate solo fino alla 79, le successive sono selezionate singolarmente). Per approfondimenti e ulteriori regole di configurazione si consiglia la lettura dei seguenti documenti: (IOS Cisco) (JUNOS Juniper) No service udp-small-server Politiche di filtering dei router delle sedi CNR 14

17 No service tcp-small-server No ip http server No ip source-route Interface ethernet No ip directed-broadcast interface Serial0/0 description Prima linea ip address ip access-group 111 in ip access-group 121 out bandwidth 2048 no access-list 111 Access-list 111 permit tcp any any estabilished Access-list 111 deny tcp any any range 1 19 Access-list 111 permit tcp any host server1_di_posta eq smtp Access-list 111 permit tcp any host server2_di_posta eq smtp Access-list 111 deny tcp any any eq smtp Access-list 111 deny tcp any any range Access-list 111 deny tcp any any range (occhio a sql*net) access-list 111 deny tcp any any range access-list 111 deny tcp any any eq 445 Access-list 111 deny tcp any any range access-list 111 deny tcp any any eq 593 Access-list 111 deny tcp any any eq 2049 (NFS) Access-list 111 deny tcp any any range (X11) Access-list 111 deny tcp any any range (IRC) Access-list 111 deny udp any any range 1 19 Access-list 111 deny udp any any range Access-list 111 deny udp any any range access-list 111 deny udp any any range access-list 111 deny udp any any eq 445 Access-list 111 deny udp any any range access-list 111 deny udp any any eq 593 Access-list 111 deny udp any any eq 2049 (NFS) Access-list 111 deny udp any any range Access-list 111 deny ip <ser_ip> <ser_ip> access-list 111 deny ip any access-list 111 deny ip any access-list 111 deny ip any access-list 111 deny ip any access-list 111 deny ip any access-list 111 permit ip any any default permit no access-list 121 Access-list 121 permit tcp any any estabilished Access-list 121 permit tcp host server1_di_posta any eq 25 Access-list 121 permit tcp host server2_di_posta any eq 25 Access-list 121 deny tcp any any eq 25 access-list 121 deny tcp any any eq irc log access-list 121 deny tcp any any range log access-list 121 permit ip any access-list 121 deny ip any any \ anti-spoofing e / default permit Politiche di filtering dei router delle sedi CNR 15

18 i ii ftp://ftp.isi.edu/in-notes/rfc2644.txt iii iv v Politiche di filtering dei router delle sedi CNR 16