Università degli Studi Roma Tre Istituto Nazionale di Fisica Nucleare Facoltà di Ingegneria Corso di Laurea in Ingegneria Informatica Impostazione di un insieme di misure di sicurezza per la LAN di un ente di ricerca Laureando: Mario Masciarelli Relatore: Ch.mo Prof. Giuseppe Di Battista Controrelatore: Dott. Andrea Cecchetti Tutor aziendale: Dott. Maria Lorenza Ferrer
Finalita Lo scopo del lavoro descritto in questa presentazione e quello di rendere sicura la LAN di un ente di ricerca senza limitarne in maniera sensibile la fruibilita e la versatilita
Caratteristiche della LAN SERVIZI: WWW Email DHCP/DNS Storage Computing DIMENSIONI: 2000 Nodi 30 Switch Liv.2 5 Switch Liv. 3 5 Terabyte(disk) 9 Terabyte(tape)
Perché proteggersi? 20.0 15.0 % Totale % Spam % Virus 10.0 5.0 0.0 2000 2001 2002 Incidenti sulla rete GARR causati da nodi INFN
Rete INFN-LNF Rete bancaria Computer spento Quanto proteggersi? Versatilità Sicurezza $
Vulnerabilità 1. Bug di sicurezza nei servizi installati sui client della LAN Prevalentemente su macchine Linux (Open source) In minor misura su macchine Windows 2. Autenticazione in chiaro nell utilizzo di protocolli non cifrati telnet, ftp, imap, pop3, etc. 3. Diffusione di virus Prevalentemente su macchine Windows In minor misura su macchine MacOS (Linux?)
Come proteggersi? 1. Bug di sicurezza nei servizi installati sui client della LAN 2. Autenticazione in chiaro nell utilizzo di protocolli non cifrati PACKET FILTERING
Packet Filtering Sono state valutate 2 soluzioni: ACL su router d accesso Firewall
Firewall Si possono dividere in 2 categorie PC con Linux o OpenBSD Soluz. Dedicata
Firewall PC con S.O. OPEN PRO: 1. Basso costo 2. Flessibilità 3. Documentazione 4. Evoluzione HW CONTRO: 1. Gestione più difficile (config., analisi log) 2. S.O. standard = servizi non necessari
Firewall Soluz. HW/SW Dedicato PRO: 1. Più funzionalità (IDS, VPN ) 2. Facilità di gestione CONTRO: 1. Costo elevato 2. HW non aggiornato 3. Difficoltà di gestione ACL complesse
Firewall - Conclusioni Requisiti Solo Packet Filtering Packet Filtering + servizi (IDS, VPN ) ACL sul router Box BSD Firewall dedicato
ACL - Strategia Bug di sicurezza nei servizi installati sui client della LAN NO accesso diretto dall esterno ai nodi client della LAN Autenticazione in chiaro nell utilizzo di protocolli non cifrati (telnet, ftp...) 1. Uso SOLO di protocolli cifrati dall esterno della LAN (ssh, https ) 2. Accesso ai nodi client SOLO passando per UNA macchina (ridondata) di autenticazione e utilizzando il tunnelling
ACL Particolari TCP Intercept access-list 105 permit icmp any any echo Rate Limiting rate-limit input access-group 105 256000 8000 8000 conformaction trasmit exceed-action drop
Nessus Le ACL funzionano realmente? Il modo migliore per rispondere a questa domanda e quello di mettersi nei panni di un attaccante e fare tantativi! Uno strumento che permette di fare questo, e quindi misurare il grado di vulnerabilita di una rete e
Cosa fa Nessus Esegue una scansione della rete: 1. Cerca i servizi che girano su una macchina 2. Identifica le versioni dei programmi che li gestiscono 3. Prova realmente gli exploit 4. Segnala i riferimenti per porre rimedio 5. Ora l utente puo scaricare la patch indicata 6. Il sistema e piu sicuro
Nessus: esempio 1. Nessus trova una macchina molto vulnerabile 2. Dopo le patch consigliate la macchina e piu sicura
Nessus: risultati@lnf 1. Scansione dall interno della LAN 27 security holes have been found 202 security warnings have been found 657 security notes have been found La rete, DALL INTERNO, e poco sicura!!
Nessus: risultati@lnf 2. Scansione dall esterno della LAN Nessus non riesce a trovare nessuna informazione facendo la scansione di tutti i client della rete dove non sono presenti servizi La scansione di 500 nodi impiega settimane! La rete, DALL ESTERNO, e molto sicura: I filtri imposti con le ACL FUNZIONANO!
VPN L utilizzo delle VPN permette di operare da remoto sulla LAN superando i limiti imposti dalle ACL. Sia l autenticazione, che il traffico viaggiano cifrati Quanto deve essere potente il server?
VPN - Misure Link Geografico: ATM 34Mbps Server: Intel Xeon 4 processori@700mhz TEST: trasferimento di file attraverso la VPN Risultato: su LAN, a ~30Mbps il carico su ognuna CPU e ~20% (traffico cifrato e compresso) E possibile, con un solo server, trasferire tutto il link geografico su VPN!
Conclusioni Nessun attacco riuscito a nodi interni dopo l implementazione delle precauzioni descritte Nessuna limitazione sulle connessioni aperte dall interno della LAN (estabilished) Dall esterno i servizi sono comunque raggiungibili con metodologie piu sicure (autent. SOLO cifrate, e SOLO su server di autenticazione centrali) OBIETTIVO CENTRATO!
Sviluppi futuri Utilizzo di un antivirus centralizzato sul mail-server in aggiunta alle soluzioni gia adottate sui client Utilizzo di un software antispam per il servizio di posta elettronica Utilizzo di un server di autenticazione centralizzato (Kerberos 5), unico per tutti i servizi: AFS Login Unix Login Windows RADIUS VPN
Domande??????