Sicurezza dei sistemi e delle reti 1

Documenti analoghi
Sicurezza delle reti. Monga TLS/SSL. A livello di trasporto. Sicurezza perimetrale

Sicurezza dei sistemi e delle reti 1

Sicurezza delle reti 1. Lezione VII: Sicurezza perimetrale. Cosa sono i Firewall. Mattia Monga. a.a. 2010/11

Sicurezza delle reti. Monga. Sicurezza perimetrale. Tipologie di. Stateless filtering Stateful filtering Deep packet inspection

Sicurezza dei sistemi e delle reti 1. Lezione VI: IPsec. IPsec. La suite TCP/IP. Mattia Monga. a.a. 2014/15

Sicurezza delle reti 1

Sicurezza delle reti 1

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti.

Sicurezza delle reti. Monga. Configurazioni Effetti di un firewall. Stateless filtering TCP INGRESS e EGRESS SSH. Complessità del filtering SMTP

Sicurezza dei sistemi e delle reti 1

Secure socket layer (SSL) Transport layer security (TLS)

La sicurezza nelle reti di calcolatori

Firewall schema concettuale Principali livelli coinvolti

I protocolli di sicurezza usati nelle VPN

Difesa perimetrale di una rete

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione

Sicurezza delle reti 1

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

Sicurezza delle reti 1

RETI DI CALCOLATORI II

Sicurezza dei sistemi e delle reti 1

Sicurezza architetturale, firewall 11/04/2006

La sicurezza delle reti

Sicurezza delle reti 1. Lezione XXIII: TOR. Onion routing con TOR TOR. Mattia Monga. a.a. 2012/13

Sicurezza delle reti 1

Sicurezza dei sistemi e delle reti 1. Lezione X: Proxy. Proxy. Proxy. Mattia Monga. a.a. 2014/15

Sicurezza applicata in rete

Sicurezza applicata in rete

Cenni sulla Sicurezza in Ambienti Distribuiti

Sicurezza dei sistemi e delle reti 1

UNIVERSITA` DI FACOLTA` DI INGEGNERIA CORSO DI LAUREA IN INGEGNERIA DELLE TELECOMUNICAZIONI

Sicurezza delle reti. Monga. Complessità del filtering SMTP. NAT/Masquerading. Rilevamento delle intrusioni Classificazioni IDS.

OpenVPN: un po di teoria e di configurazione

Sicurezza nelle reti IP. L architettura IPsec

Laboratorio di. Reti Informatiche. Corso di Laurea Triennale in Ingegneria Informatica A.A. 2016/2017. Ing. Niccolò Iardella

IPsec. Scienze dell Informazione - Cesena Corso di Sicurezza A.A. 2006/2007 Antonio Nardelli

RETI DI CALCOLATORI II

Sicurezza. Usare un sistema di cifratura wireless per codificare le informazioni inviate per impedire la cattura e l'uso indesiderato dei dati.

StarShell. IPSec. StarShell

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Sicurezza delle reti. Monga. BGP Vulnerabilità. Attacchi a. Prefix hijacking. de-aggregation Flapping attack. Contromisure BGP. Sicurezza delle reti

Advanced IPv4 Access List

Firewalls. Outline. Ing. Davide Ariu

Sicurezza ai vari livelli

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Programmazione in Rete

Sicurezza nelle reti IP

La crittografia nell infrastruttura di rete


Reti (introduzione) Internet in breve: insieme di reti locali (LAN) interconnesse da router. 2 tipi di LAN

Sicurezza delle reti. Monga. Sicurezza delle reti. Monga. 1 Un eavesdropper può osservare il traffico: anche quando è

Sicurezza dei sistemi e delle reti 1

Principi di crittografia Integrità dei messaggi Protocolli di autenticazione Sicurezza nella pila di protocolli di Internet: PGP, SSL, IPSec

Elementi di Sicurezza e Privatezza Lezione 14 Web Security - IPSec

Filippo Bergamasco ( DAIS - Università Ca Foscari di Venezia Anno accademico:

Sicurezza dei sistemi e delle reti 1

Reti di calcolatori. Lezione del 25 giugno 2004

I protocolli di rete. Mauro Gaspari

Sicurezza delle reti 1. Uso di variabili. Mattia Monga. a.a. 2010/11

Internet. Elementi di Sicurezza e Privatezza Lezione 12 Web Security (4) SSL/TLS e IPSec. Chiara Braghin.

Disciplina: Sistemi e reti Classe: 5A Informatica A.S. 2015/16 Docente: Barbara Zannol ITP: Alessandro Solazzo

Proteggere la rete: I FIREWALL

Sicurezza delle reti 1. Lezione XIII: L assegnazione automatica di IP. Cosa fa DHCP. Il DHCP. Mattia Monga. a.a. 2011/12

Didattica dell informatica 1

Qualità del Servizio e Sicurezza Lezione del 05/06/2014

Firewalls. Outline. Ing. Davide Ariu

Crittografia e sicurezza delle reti. Firewall

Proteggere la rete I FIREWALL (seconda parte)

Internetworking V anno

I firewall. I firewall

TCP/IP un introduzione

Prof. Filippo Lanubile

Corso di Informatica. Reti di Calcolatori. Reti di Calcolatori. Corso di Laurea in Conservazione e Restauro dei Beni Culturali

Lo strato di trasporto Firewall e NAT

Indice. Prefazione. Capitolo 1 Introduzione 1. Capitolo 2 Livello applicazione 30

Protocolli SSL e TLS. Alfredo De Santis. Maggio Dipartimento di Informatica Università di Salerno.

Secure Socket Layer (SSL) Transport Layer Security (TLS)

Sicurezza dei calcolatori e delle reti

Sicurezza delle reti 1. Lezione XVIII: Reti wireless. Caratteristiche salienti. Reti wireless. Mattia Monga. a.a. 2012/13

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

ITIS Fauser Novara Sistemi e reti prof. R. Fuligni

Firewall. Corso di Sicurezza su Reti Lezione del 15 Dicembre Pacchetti. Filtraggio di pacchetti

Fondamenti di Internet e Reti. Antonio Capone, Matteo Cesana, Ilario Filippini, Guido Maier

IP forwarding Firewall e NAT

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Quando si inviano pacchetti da firewall a firewall si introduce un nuovo IP header. E necessario?

Università di Pisa Facoltà di Informatica Corso di Tecnologie di convergenza su IP a.a. 2005/2006. Gaspare Sala

Che cos è un firewall? Firewall e IDS/IPS

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

Elementi di Sicurezza e Privatezza Lezione 17 Protocolli di rete e vulnerabilità. Chiara Braghin

Sicurezza nelle applicazioni multimediali: lezione 8, sicurezza ai livelli di rete e data-link. Sicurezza ai livelli di rete e data link

Sicurezza delle reti e dei calcolatori

Sicurezza in Internet

Connessione di reti private ad Internet. Fulvio Risso

Transcript:

delle dei sistemi e delle 1 Mattia Dip. di Informatica Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2015/16 1 cba 2011 15 M.. Creative Commons Attribuzione Condividi allo stesso modo 4.0 Internazionale. http://creativecommons.org/licenses/by-sa/4.0/deed.it. Derivato con permesso da 2010 M. Cremonini. 1

98 delle Lezione VI:

99 La suite TCP/IP delle La suite TCP/IP non è progettata con particolari misure di difesa per la confidenzialità o integrità dei dati dalle manomissioni. Lo scenario di riferimento: nodi per lo piú cooperativi (accademici) e qualcuno sostiene che NSA fu contraria all inserimento di tecniche crittografiche in una rete pubblica

100 delle specifica come crittare, autenticare e scambiare chiavi con IP. Basato su IP (in maniera differente IPv4 e IPv6) Obbligatorio supportarlo per gli stack IPv6, facoltativo in IPv4

101 Servizi di sicurezza offerti delle Controllo dell accesso alla comunicazione Autenticazione dell origine dei dati Integrità dei dati Confidenzialità dei dati Protezione da replay

102 Protocolli delle Si tratta in realtà di piú specifiche protocollari Authentication Header (AH) per l autenticazione e integrità del datagramma Encapsulating Security Payload (ESP) per la confidenzialità Entrambi presuppongono una Security Association (SA), per lo scambio di credenziali.

103 AH delle Serve per autenticare l origine del pacchetto e l integrità dei campi immutabili. Un security parameter index identifica la SA Identifica replay di pacchetti con una tecnica sliding window e un contatore che per essere inizializzato necessita una nuova SA

104 Sliding window delle Il nodo destinazione tiene un array di SW [1 : w] = 0 elementi per ogni SA 1 Primo datagramma contatore n: SW [w] = n 2 Datagramma contatore i n w + 1 i n OK(sig) controlla se SW [i + w n] > 0 (replay!), altrimenti SW [i + w n] = i i n w vecchio i > n OK(sig) sposta la finestra

105 ESP delle Serve per crittare il contenuto dei pacchetti Un security parameter index identifica la security association Due modalità 1 transport protocolli superiori vengono crittati end-to-end 2 tunnel i pacchetti contengono (crittati) pacchetti IP

106 Security association delle Ogni conversazione è abbinata ad una Security association (SA) frutto di una negoziazione dei parametri di sicurezza e delle credenziali. IP destinazione Una SA per AH e una per ESP Statiche o dinamiche (ISAKMP: Internet Security Association Key Management Protocol, IKE: Internet Key Exchange)

107 problemi delle La configurazione dei per permettere i protocolli non è banale Ogni volta che una comunicazione comporta la manipolazione dei pacchetti IP (proxy e NAT) occorre adottare misure speciali, con successive security association.

108 Riassumendo delle introduce autenticazione, integrità e confidenzialità Protezione da replay Necessita di un certo overhead amministrativo e computazionale

109 delle Un altra possibilità è introdurre misure di sicurezza sopra il livello di TCP. 1993 1995, Netscape rilascia un Secure Socket Layer SSL (2.0) pensato per proteggere la navigazione web. SSL 3.0, standardizzato da IETF come TLS Transport Layer Security

110 Obiettivi di sicurezza delle cifratura end-to-end protezione dell integrità autenticazione del server (il client rimane anonimo) efficienza adeguata alle connessioni HTTP, brevi e stateless

111 sessione TLS delle I nodi mantengono lo stato della sessione per gestire la cifratura del traffico. TLS handshake protocol TLS record layer una sessione può gestire piú connessioni per ridurre l overhead

112 TLS handshake delle 1 C richiede la connessione, elencando quali cipher suite (CS) conosce 2 S sceglie CS compatibile e spedisce un digital certificate (DC) firmato da una CA 3 C controlla DC e manda criptata una chiave di sessione (K) random

113 Integrazione con le applicazioni delle Tre strategie: 1 Creare un nuovo servizio (es. SSH2) 2 Aggiungere TLS ad un servizio noto (es. HTTPS) 3 Estendere un servizio noto affinché usi TLS (es. ESMTP)

114 Riassumendo delle TLS permette cifratura e autenticazione dei server (tramite CA) a livello di La gestione delle sessioni è progettata per essere efficiente in presenza di connessioni ripetute Molto diffuso perché facile da integrare nelle applicazioni

115 Livello di delle e TLS possono essere piuttosto penalizzanti dal punto di vista delle prestazioni (Dal punto di vista delle performance del server, TLS può arrivare ad essere fino a 82 volte piú lento di una connessione TCP). tcpcrypt è una proposta recente (2010) piú efficiente (3 volte piú lento di TCP)

116 Altri limiti di TLS delle La cifratura dipende dall autenticazione del server, a sua volta garantita dall autorità certificatrice. Se l autenticazione è falsa, la cifratura non è molto utile (ma l overhead rimane)

117 tcpcrypt delle Estensione di TCP Il carico computazionale crittografico è per lo piú spostato sui client Opportunistic encryption: attiva solo se supportata da entrambi (attenzione agli attacchi attivi!)

118 tcpcrypt handshake delle 36 volte piú veloce di TLS

118 tcpcrypt handshake delle

119 Autenticazione delle Non c è autenticazione del server con CA come nel caso di TLS, ma un session ID probabilisticamente unico (anche quando uno dei nodi è malevolo). Un segreto condiviso k può essere usato cosí 1 C S : HASH(k, C SessionID) 2 S C : HASH(k, S SessionID) Se anche S è malevolo (e k non generabile da un dizionario), non potrà riusare k (non estraibile da HASH(k, C SessionID)) né HASH(k, C SessionID) perché il SessionID sarà diverso.

120 Riassumendo delle tcpcrypt è un estensione di TCP, che permette di cifrare il livello di trasporti è molto piú efficiente di TLS perché il carico crittografico è per lo piú spostato sui client Il Session ID permette di costruire protocolli di autenticazione a livello applicativo

121 delle Poiché in Internet è una rete di (locali) si parla di protezione del perimetro di sottorete. Abbiamo già visto che l assunzione è locale == trusted. I vengono usati per definire località parzialmente diverse da quelle imposte dai mezzi trasmissivi (LAN).

122 delle Firewall (parete tagliafuoco) è un dispositivo che: è al confine fra due A e B tutto il traffico tra A e B (e viceversa) deve passare attraverso di esso filtra il traffico secondo una precisa politica d accesso (policy)

123 Compito dei delle Il compito dei è stabilire quale traffico ha accesso alla rete (policy) e non controllare che il traffico permesso non faccia danni (control, intrusion detection).

124 Cosa sono i delle Tipicamente sono realizzati come Forwarding gateway Filtering router Proxy E stabiliscono politiche (regole) ai vari livelli dello stack TCP/IP

125 Firewall a vari livelli delle I primi (Mogul, 1989 e Ranum, 1992) e Rete esterna Rete interna router gatekeeper gate mailgate Gatekeeper proxy applicativo: raccoglie le richieste applicative (Telnet, FTP, SMTP,... ) dall interno e le manda verso l esterno Gate filtra il traffico

126 Riassumendo delle I sono al confine fra due filtrano il traffico secondo una precisa politica d accesso (policy) servono per definire zone di traffico trusted parzialmente diverse da quelle imposte dalle LAN.

127 Livelli delle In generale si possono avere a livello applicativo (application gateway, proxy) a livello di (circuit gateway) a livello rete (packet filter)

128 Livelli delle Esistono anche ibridi: dynamic packet filter agiscono a livello rete e (e talvolta anche applicativo). Possono essere realizzati via software o hardware (piú veloci, ma piú costosi e meno flessibili nelle configurazioni).

129 delle È il metodo piú semplice e piú comune Ogni pacchetto (o comando protocollare, se a livello applicativo) è valutato in isolamento, senza tenere traccia di quelli precedenti

130 ACL delle In pratica si tratta di avere una Access Control List (ACL) che filtra i pacchetti o le richieste, uno alla volta int addr int port ext addr ext port action * * a.b.c.d * block 192.168.2.3 110 * 110 allow

131 Digressione: ACL delle Una ACL fissa la politica d accesso: espressa in maniera compatta (e comprensibile). Come va interpretato il silenzio dell ACL? default deny Vietato tutto ciò che non è esplicitamente permesso default permit Permesso tutto ciò che non è esplicitamente vietato

132 Default deny delle Normalmente l ACL è una serie di regole che vengono esaminate dalla prima all ultima, quindi se l ultima regola è equivalente a int addr int port ext addr ext port action si ha default * * * * block deny

133 delle Si tiene traccia di uno stato del sistema e il filtraggio avviene sulla storia dei pacchetti o delle richieste. Allo scopo occorre mantenere una tabella delle connessioni

134 delle client addr client port ext addr ext port state 131.175.12.1 2367 159.132.34.2 22 established

135 delle Firewall stateful che operano filtraggio applicativo analizzando il contenuto dei pacchetti vengono talvolta detti deep packet filters. Analisi del traffico applicativo, la cui liceità va valutata caso per caso Generalmente basati su pattern matching di stringhe

136 Riassumendo delle I si differenziano per il livello a cui agiscono il tipo di regole di filtraggio stateless stateful deep packet

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back