Sicurezza delle reti. Monga. Il livello di trasporto TCP & UDP TCP UDP. Problemi di sicurezza intrinseci Autenticazione. DoS Fingerprinting.

Documenti analoghi
Sicurezza dei sistemi e delle reti 1

Sicurezza dei sistemi e delle reti 1

Sicurezza delle reti. Monga. ARP cache poisoning. Il livello di trasporto TCP & UDP TCP UDP. Problemi di sicurezza intrinseci Autenticazione

Sicurezza delle reti. Monga. Il livello di trasporto. Problemi di sicurezza intrinseci. Riassunto. Porte. Sicurezza delle reti.

Sistemi Operativi e Reti 1

Cenni sul protocollo IP

Sicurezza dei sistemi e delle reti 1

TCP/IP. Transmission Control Protocol/ Internet Protocol

Sicurezza dei sistemi e delle reti 1

Livello di Trasporto

Sicurezza dei sistemi e delle reti 1

Telematica di Base. IL Livello di Trasporto TCP

Mariarosaria Napolitano. Architettura TCP/IP. Corso di: Laboratorio di tecnologie informatiche e telematiche

Reti di Calcolatori Servizi di Rete Laboratorio di Didattica in Rete

Sicurezza delle reti. Monga. Configurazioni Effetti di un firewall. Stateless filtering TCP INGRESS e EGRESS SSH. Complessità del filtering SMTP

Uso di Internet: Esempio. Prof. Franco Callegati

Strato di trasporto. Livello di applicazione SAP. Livello di trasporto. Livello di rete SAP

Sicurezza delle reti 1

Sistemi e Tecnologie della Comunicazione

Lezione n.3 LIVELLO TRASPORTO

Sicurezza delle reti 1

IL LIVELLO TRASPORTO Protocolli TCP e UDP

Sicurezza dei sistemi e delle reti 1

TCP/IP: summary. Lorenzo Cavallaro, Andrea Lanzi

MODELLO TCP/IP LIVELLO 4 Trasporto. Il protocollo per il controllo della trasmissione. La gestione degli errori di trasmissione

Lo strato di Trasporto

MODELLI ISO/OSI e TCP/IP


Universita di Milano - Polo di Crema Novembre Session Hijacking. Marco Cremonini 1. Marco Cremonini - Corso Integrativo Network Security 1

IL LIVELLO TRASPORTO Protocolli TCP e UDP

Sicurezza delle reti. Monga. Sicurezza perimetrale. Tipologie di. Stateless filtering Stateful filtering Deep packet inspection

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE

MODELLI ISO/OSI e TCP/IP

Il Livello Trasporto III 3. Corso di RETI DI CALCOLATORI (9 CFU) a.a II anno / II semestre. Il Livello Trasporto. Il Livello Trasporto

Reti di calcolatori TCP/IP. Slide a cura di Simon Pietro Romano

Sicurezza dei sistemi e delle reti 1

TCP. Servizio di Trasporto Affidabile. Transmission Control Protocol. Caratteristiche di TCP 1

IL LIVELLO TRASPORTO Protocolli TCP e UDP

4 - Il livello di trasporto

Reti di Calcolatori in Tecnologia IP

Sicurezza delle reti. Monga. BGP Vulnerabilità. Attacchi a. Prefix hijacking. de-aggregation Flapping attack. Contromisure BGP. Sicurezza delle reti

Transmission Control Protocol

Il livello Trasporto si occupa di come avviene lo scambio dei dati tra mittente e destinatario, gestisce quindi l invio e la ricezione dei dati.

Livello di trasporto: meccanismi trasferimento dati affidabile, TCP

Reti di Calcolatori. IL LIVELLO TRASPORTO Protocolli TCP e UDP

TCP/IP: elemento unificante

Sicurezza delle reti 1. Lezione XVIII: Reti wireless. Caratteristiche salienti. Reti wireless. Mattia Monga. a.a. 2012/13

Rete: livello trasporto (TCP/IP) Rete: livello trasporto (TCP/IP) Rete: livello trasporto (TCP/IP) Rete: livello trasporto (TCP/IP) Parte 2 - Indice

Transport Layer & TCP/UDP

Le Reti Informatiche

UDP. User Datagram Protocol. UDP Connectionless

Il livello trasporto: Introduzione e protocollo UDP

PARTE 5 LIVELLO TRASPORTO. - Protocolli UDP e TCP. Parte 5. Modulo 1: Servizi del livello trasporto

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti.

Tesina Metodi Formali nell Ingegneria del Software. Verifica formale del TCP e studio di possibili attacchi usando NuSMV

3: Architettura TCP/IP

API Socket di Berkeley

Sicurezza dei sistemi e delle reti 1

Sicurezza delle reti. Monga TLS/SSL. A livello di trasporto. Sicurezza perimetrale

TCP/IP: una breve introduzione

Lo strato di Trasporto

PARTE 1 richiami. SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet )

2000 Pier Luca Montessoro (si veda la nota di copyright alla slide n. 2) 1

Sicurezza delle reti. Monga. Ricognizione. Scanning Breve ripasso socket Network mapping Port Scanning NMAP. Le tecniche di scanning

Telematica di Base. Il livello di trasporto

I protocolli UDP e TCP

Reti di Calcolatori I

TCP/IP: una breve introduzione

UNIVERSITA DEGLI STUDI DI PAVIA

Sicurezza delle reti 1

Il livello trasporto: Introduzione e protocollo UDP

TCP e UDP: il livello trasporto dell'architettura TCP/IP. OSI vs. TCP/IP. Transport layer. A.Lioy - Politecnico di Torino ( ) A-1

TCP e UDP: il livello trasporto dell'architettura TCP/IP

Reti a commutazione di pacchetti I dati vengono divisi in pacchetti I pacchetti vengono spediti singolarmente sulla rete

Sicurezza delle reti 1. Lezione IV: Port scanning. Stato di una porta. Port scanning. Mattia Monga. a.a. 2010/11

Introduzione. Obiettivo: Sommario: Introduzione alle reti di telecomunicazioni approccio:

Didattica dell informatica 1

Analisi dell avvio del TCP su canali satellitari a larga banda. Candidato Giovanni Verrecchia

Difesa perimetrale di una rete

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software.

Introduzione alla rete Internet

Internet Protocol Cenni introduttivi

Livello Trasporto. Liv. Applic. Liv. Transport. Transport Entity. Liv. Network. Trasporto

Introduzione (parte III)

Sicurezza delle reti 1. Lezione VII: Sicurezza perimetrale. Cosa sono i Firewall. Mattia Monga. a.a. 2010/11

Multiplexing. Modello di servizio TCP 2. Modello di servizio TCP 1. Modello di servizio TCP 3. Modello di servizio TCP 4. Il protocollo TCP 1

Strato 4 (Transport Layer) Protocolli TCP e UDP

CORSO DI RETI SSIS. Lezione n.2. 2 Novembre 2005 Laura Ricci

TCP, UDP e Applicazioni

Introduzione alla rete Internet

Internet. b c. pp2. eth3

RETI DI CALCOLATORI. TCP e UDP: Il Livello di Trasporto Internet

I.I.S. G.B. PENTASUGLIA MATERA ISTITUTO TECNICO SETTORE TECNOLOGICO LICEO SCIENTIFICO SCIENZE APPLICATE. Classe: 5Ci

Introduzione a Internet e World Wide Web

Sicurezza delle reti 1. Lezione XXIII: TOR. Onion routing con TOR TOR. Mattia Monga. a.a. 2012/13

Pier Luca Montessoro (si veda la nota di copyright alla slide n. 2) 1

Livello trasporto (TCP/IP) Architettura degli Elaboratori 2 - T. Vardanega Pagina 424

CORSO DI RETI SSIS. Lezione n.3 9 novembre 2005 Laura Ricci

Sicurezza delle reti 1

Transcript:

Sicurezza dei sistemi e delle 1 Mattia Dip. di Informatica Università degli Studi di Milano, Italia mattia.monga@unimi.it Lezione IV: Dal livello link a quello di a.a. 2015/16 1 cba 2011 15 M.. Creative Commons Attribuzione Condividi allo stesso modo 4.0 Internazionale. http://creativecommons.org/licenses/by-sa/4.0/deed.it. Derivato con permesso da 2010 M. Cremonini. 1 42 Porte Poiché a livello applicativo la comunicazione avviene fra processi, a livello trasposto occorre identificare nodi e processi. Un segmento di scambio fra due processi necessita di 4 numeri (socket pair) ip 1, n 1 : ip 2, n 2 43 44

Port Porte ben note da http://www.iana.org/assignments/port-numbers Port n 1, n 2 (0 65536) si dicono porte: quelle lato server devono essere note al client e rappresentano quindi il punto d accoglienza. Nota: il client è il nodo che inizia la connessione con il server. discard 9/tcp sink null discard 9/udp sink null ftp-data 20/tcp ftp 21/tcp ssh 22/tcp # SSH Remote Login Protocol ssh 22/udp telnet 23/tcp smtp 25/tcp mail domain 53/tcp # name-domain server domain 53/udp finger 79/tcp www 80/tcp http # WorldWideWeb HTTP pop3 110/tcp pop-3 # POP version 3 nntp 119/tcp readnews untp # USENET News Transfer Protocol ntp 123/udp # Network Time Protocol irc 194/tcp # Internet Relay Chat https 443/tcp # http protocol over TLS/SSL printer 515/tcp spooler # line printer spooler #... 45 46 Porte ben note Porte convenzionali # Non fissate da IANA socks 1080/tcp # socks proxy server openvpn 1194/tcp openvpn 1194/udp rmiregistry 1099/tcp # Java RMI Registry #... Ricordare sempre che le porte sono numeri convenzionali (concordate con IANA per i numeri 1024) in generale non identificano un servizio, ma la possibilità di stabilire una connessione. 47 48

Uso delle porte a scopi di Riassumendo vietare l uso della porta destinazione 22 non significa vietare SSH, ma impedire che client e server possano accordarsi sull uso di tale porta. il divieto può funzionare solo se l amministratore controlla il server: se gestisce solo la rete il divieto è aggirabile. Una connessione è identificata da 4 numeri ip 1, n 1 : ip 2, n 2 Le porte sono semplicemente una convenzione stabilita fra client e server. 49 50 segment Transmission Control Protocol connection-oriented: è necessario uno handshake preliminare full-duplex lo stato è conservato interamente nei nodi (+ timer) 51 52

Flag Flag SYN richiesta di connessione, sempre il primo pacchetto di una comunicazione FIN indica l intenzione del mittente di terminare la sessione in maniera concordata conferma del pacchetto precedente, sia esso dati, SYN o FIN RST reset della sessione PSH operazione di push, i dati che vengono inviati al destinatario non dovrebbero essere bufferizzati URG dati urgenti (es. CTRL+C) vengono inviati con precedenza sugli altri 53 54 State diagram state diagram Client Server Timeout after two maximum segment lifetimes (2*MSL) Timeout after two maximum segment lifetimes (2*MSL) Timeout/RST CLOSED Passive open Close Active open/syn Close Timeout/RST CLOSED Passive open Close Close Active open/syn SYN RCVD LISTEN SYN/SYN + SYN/SYN + ESTABLISHED Send/SYN SYN SENT SYN + / SYN RCVD LISTEN SYN/SYN + SYN/SYN + ESTABLISHED Send/SYN SYN SENT SYN + / FIN/ FIN/ FIN WAIT 1 CLOSE WAIT FIN WAIT 1 CLOSE WAIT FIN WAIT 2 CLOSING LAST FIN WAIT 2 FIN + AC- K/ FIN + AC- K/ CLOSING LAST 55 FIN/ TIME WAIT FIN/ TIME WAIT 56

Sequence diagram User Datagram Protocol Protocollo di minimo, senza connessione, senza stato minimo overhead (: +20B, : +8B) 57 58 segment Checksum Sia che portano nei segmenti un checksum. Attenzione: ha lo scopo di proteggere solo dagli errori di trasmissione, non dalle alterazioni maligne! 59 60

Riassumendo Problemi in /IP : connessione tramite 3-way handshake, stato mantenuto dai nodi : minimo overhead rispetto a IP, nessuno stato Protocolli senza particolari caratteristiche di (confidenzialità o integrità) Non c è autenticazione fra le parti I controlli d integrità sono banali Si difende la disponibilità della rete dalla congestione, ma non la possibilità di connettersi ad un determinato nodo 61 62 IP spoofing Dal punto di vista dell attaccante Il campo SRC dello header IP è falsificabile senza particolari difficoltà. Le autenticazioni basate su indirizzi IP sono insicure, soprattutto all interno di una rete locale. Fra l altro la presenza di numeri IP duplicati può causare denial of service Se l IP sorgente è falso le risposte andranno al vero nodo titolare spoofare l IP non è sufficiente per inserirsi in una connessione 63 64

Spoofing in connessioni Initial sequence number Per una connessione serve lo handshaking 1 C S : SYN, ISN C 2 S C : SYN, ISN S, (ISN C ) 3 C S : (ISN S ) Se ISN S è imprevedibile è difficile (2 32 ) per X farsi passare per C (e se C è up, manderà un RST). RFC793: ISN va incrementato circa 1 volta ogni 4 microsecondi per evitare confusioni con connessioni duplicate. Alcune implementazioni ancora piú prevedibili (famose le kick-off war con IRC e stack vulnerabili come quelli di alcune versioni di Windows) 65 66 ISN sicuri Riassumendo Non può essere completamente casuale. RFC1948 (ora RFC6528) propone: I campi dei pacchetti sono facilmente falsificabili ISN = M + F S (localhost, localport, remotehost, remoteport) con F S funzione hash crittografica, non prevedibile da un attaccante e M un contatore incrementato ogni 4 microsecondi. Il numero di sequenza è un parametro particolarmente delicato 67 68

Frammentazione SYN flooding I segmenti sono spesso frammentati e riassemblati dal destinatario. Un man-in-the-middle può alterare i frammenti: in questo caso non serve indovinare i sequence number. I checksum sono facili da aggiustare perché semplici controlli d errore di trasmissione. Quando un host S riceve una richiesta SYN, tiene traccia per un certo tempo (spesso 75s) della connessione in una coda. La coda ha lunghezza finita: talvolta addirittura 5 SYN cui non segue un possono portare a I SYN-cookie (D. J. Bernstein) usano gli ISN per evitare il flooding. 69 70 Topologia della rete Dall esame (non intrusivo) dei pacchetti di rete è possibile identificare molti dettagli utili negli attacchi... p.es. p0f è in grado di riconoscere molte implementazioni di stack /IP È possibile studiare la topologia della rete esaminando il TTL p.es. Windows TTL=128, Linux TTL=64 TTL==80 Windows, e il nodo è distante 48 hop 71 72

Letture obbligatorie Riassumendo Steven M. Bellovin. A Look Back at Security Problems in the /IP Protocol Suite. In Proceedings of the 20th Annual Computer Security Applications Conference (ACSAC 04). 229-249. Steven M. Bellovin, Defending Against Sequence Number Attacks, February 2012, RFC6528 Il controllo d integrità è lasco Il può essere ottenuto abbastanza facilmente Gli header dei pacchetti rivelano molte informazioni ai potenziali attaccanti 73 74

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back