La sicurezza delle reti Inserimento dati falsi Cancellazione di dati Letture non autorizzate A quale livello di rete è meglio realizzare la sicurezza? Applicazione TCP IP Data Link Physical firewall? IPSEC? smart-card? apparati cifranti? guardie armate?
Nuove linee guida VPN mediante IP tunnelling Canali logici autenticati Separatezza tra WAN e LAN (firewall) Argomenti I concetti base sulle reti IP tunneling Secure VPN Firewall
Applicazione Presentazione Sessione Trasporto Rete Data Link Fisico ISO/OSI Applicazione TCP IP Data Link Fisico INTERNET HTTP (WEB) FTP (File Transfer) SMTP (E-Mail).. 130.192.25.1 Generazione di pacchetti...quello che ti sto raccontan...quello ch e ti sto racc ontando...
Generazione della busta dest port # = 25 (email) e ti sto racc UPPER 25 1324 e ti sto racc TRNSP IPDA IPSA 25 1324 e ti sto racc NETWK I protocolli Internet HTTP FTP SMTP ARP TCP IP RTP SMNP DNS UDP ROUTING PROTOCOL NFS RPC ICMP
I protocolli di controllo ICMP (Internet Control and Management Protocol) Protocollo con cui i nodi si scambiano informazioni sullo stato della rete Utilizzando impropriamente ICMP si può definire un nodo unreachable (attacco DoS) I protocolli di controllo DNS (Domain naming System) Protocollo con cui si ricava l indirizzo IP dall indirizzo logico Utilizzando impropriamente il protocollo basato su UDP è possibile generare risposte false o avvelenare la cache È in fase di rilascio DNS/S Esiste il sw BIND che limita i danni
attacchi: Sicurezza del DNS shadow server avvelenamento della cache DNS server (shadow) DNS server DNS server IP (www.polito.it)? RIP o OSPF I protocolli di controllo Protocolli con cui router si scambiano informazioni relative ai percorsi di instradamento Utilizzando impropriamente tali protocolli si possono instradare i pacchetti su percorsi diversi o a costo altissimo Autenticazione dei protocolli di routing (RFC - 285) Meglio routing statico, evitare source routing
Argomenti I concetti base sulle reti IP tunneling Secure VPN Firewall Sicurezza applicazioni Intrusion detection Enterprise NET Internet Entr. WAN (Intranet)
Enterprise WAN PSTN Packet Net (es. ATM) CDN Rete Privata Virtuale (VPN) Rete pubblica Normalmente realizzate con bassi criteri di sicurezza, a causa dell insicurezza dei router
Sicurezza a livello network protezione per reti omogenee a livello logico (es. IP) server rete IP router router client I tre livelli di protezione HTTP FTP SMTP TCP IP livello di rete Tunnel IP IPSec
Tunnel tunnel IP Tunnel IP header dati Nuova intestazione IP secret key new IP header new IP header ESP header IP header dati
IPsec proposta IETF per fare sicurezza al livello 3 sia in IPv4 sia in IPv6 RFC-1825 (architettura generale) definisce due formati particolari: AH (Authentication Header) per integrità ed autenticazione ESP (Encrypted Security Payload) per riservatezza Argomenti I concetti base sulle reti IP tunneling Secure VPN Firewall Sicurezza applicazioni Intrusion detection
Che cos è un firewall? firewall = muro tagliafuoco collegamento controllato tra reti a diverso livello di sicurezza rete a livello di sicurezza L1 rete a livello di sicurezza L2 ( L1 > L2 ) Firewall Internet Rete aziendale Firewall o screening router
Le tavole della legge sui firewall il firewall deve essere l unico punto di contatto tra la rete interna e quella esterna il firewall deve lasciar passare solo il traffico autorizzato il firewall deve essere un sistema altamente sicuro Cos è un Firewall? ROUTER Internet SLIP o PPP Sistema con TCP/IP Rete Privata Presidio di Sicurezza
Dove si fanno i controlli IP TCP Data payload Applicazione TCP IP Datalink Fisico Classificazione Le componenti base di un architettura firewall sono: - screening router - bastion host - application gateway o proxy Tali componenti possono essere scelte per costituire architetture firewall con diverso grado di sicurezza
Screening router Osserva tutto il traffico che lo attraversa, autorizzando o meno il transito dei singoli pacchetti Operazioni di filtro basate su informazioni di livello 3 (indirizzi IP) o 4 (indirizzi di trasporto, port number) Screening router Rete esterna
Screening router Rete esterna Rete interna Esempio di policy di security Nessuno può accedere dall esterno all elaboratore usato per la contabilità Tutti gli utenti possono inviare posta elettronica Solo alcuni possono utilizzare www
TELNET TCP port 23 Mail server SMTP TCP port 25 Qualunque pacchetto con destinazione 130.40.12..0 (www.sex.it) Esempio di policy di security Il primo esempio impedisce l accesso a un elaboratore indipendentemente dal tipo di applicazione (filtro a livello 3) Le altre due associano diritti a specifiche applicazioni (filtro a livello 4)
Le liste di accesso (AL) Elenchi di regole che specificano diritti di accesso in base a criteri che possono essere di livello 3 o 4 Associate a specifiche interfacce dello screening router Quando si riceve un pacchetto si controlla se esiste nella lista di accesso una regola che ne permette il transito Esempio: screening router Porta 3 Internet Porta 1 Porta 2 193.24.16.0 193.24.15.0
Esempio: screening router Tutti gli host interni alla rete aziendale possono inviare posta usando SMTP Solo 14 host possono navigare su Internet (193.24.15.1-14) Protezione contro address spoofing dall esterno Bastion Host Sistema sicuro a cui è stato elevato il grado di resistenza agli attacchi esterni, mediante tra l altro: un solo utente con accesso fisico solo processi di firewall tutti i log abilitati massime abilitazioni di sicurezza del S.O.
Application gateway Un applicativo, o gateway, che riceve tutte le richieste di un servizio (es. mail, www) e, se autorizzate, le inoltra ai server destinatari Può risiedere su bastion host Mail proxy Mail server Configurazione di firewall A secondo dei componenti usati e dei filtri impiegati si possono distinguere le seguenti configurazioni: - Screened host gateway - Dual-homed gateway - Screened subnet
Screened host gateway Sistema costituito da: - screening router - bastion host Bastion Host e screening router Internet Screening router Bastion Host
Dual-homed gateway Sistema costituito da: - screening router - application gateway con doppia porta si può realizzare una rete esposta o DMZ Dual-homed gateway Rete esterna
Dual-homed gateway Rete esterna WEB server FTP server Sistema costituito da: Screened subnet - due screening router in serie - application gateway di tipo bastion host si può realizzare una rete esposta o DMZ si possono mascherare completamente gli indirizzi interni
Screened subnet Rete esterna DMZ WEB server FTP server