Sicurezza delle reti 1

Documenti analoghi
Sicurezza delle reti. Monga. Tunnel. Sicurezza delle reti. Monga

Sicurezza delle reti 1. Lezione XXI: Anonimato in rete. Inosservabilità. Anonimato. Mattia Monga. a.a. 2012/13

Sicurezza dei sistemi e delle reti 1

Sicurezza delle reti 1

Sicurezza delle reti. Monga. Tunnel. Sicurezza delle reti. Monga

Sicurezza dei sistemi e delle reti 1

Sicurezza dei sistemi e delle reti 1

OpenVPN: un po di teoria e di configurazione

Sicurezza delle reti 1. Uso di variabili. Mattia Monga. a.a. 2010/11

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Sicurezza delle reti 1. Lezione IV: Port scanning. Stato di una porta. Port scanning. Mattia Monga. a.a. 2010/11

OpenVPN: un po di teoria e di configurazione

Sicurezza delle reti. Monga. Il livello di trasporto. Problemi di sicurezza intrinseci. Riassunto. Porte. Sicurezza delle reti.

Sicurezza dei sistemi e delle reti 1. Lezione VI: IPsec. IPsec. La suite TCP/IP. Mattia Monga. a.a. 2014/15

Sicurezza dei sistemi e delle reti 1. Lezione XVI: L assegnazione automatica di IP. Cosa fa DHCP. Il DHCP. Mattia Monga. a.a.

Sicurezza nelle reti

Sicurezza dei sistemi e delle reti 1. Lezione X: Proxy. Proxy. Proxy. Mattia Monga. a.a. 2014/15

Gestione delle Reti di Telecomunicazioni

Packet Filter in LINUX (iptables)

Sicurezza a livello IP: IPsec e le reti private virtuali

Informazioni Generali (1/2)

Sicurezza delle reti wireless. Alberto Gianoli

Crittografia e sicurezza delle reti. Firewall

Gestione degli indirizzi

Approfondimento di Marco Mulas

Inizializzazione degli Host. BOOTP e DHCP

Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE

Gestione degli indirizzi

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione

Introduzione alle applicazioni di rete

Reti di Telecomunicazione Lezione 6

Wireless Network Esercitazioni. Alessandro Villani

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Iptables. Mauro Piccolo

esercizi su sicurezza delle reti maurizio pizzonia sicurezza dei sistemi informatici e delle reti

Simulazione seconda prova Sistemi e reti Marzo 2016

Sicurezza delle reti. Monga. Ricognizione. Scanning Breve ripasso socket Network mapping Port Scanning NMAP. Le tecniche di scanning

Corso avanzato di Reti e sicurezza informatica

Filtraggio del traffico IP in linux

Sicurezza dei sistemi e delle reti 1

Sicurezza delle reti 1


Reti private virtuali (VPN) con tecnologia IPsec

Transparent Firewall

Progettare un Firewall

Problemi legati alla sicurezza e soluzioni

Creare connessioni cifrate con stunnel

Zeroshell: VPN Lan-to-Lan. Il sistema operativo multifunzionale. creato da

Didattica dell informatica 1

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti.

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo)

Cosa è Tower. Sistema di autenticazione per il controllo degli accessi a reti wireless. struttura scalabile. permette la nomadicità degli utenti

La sicurezza nelle reti di calcolatori

Interconnessione di reti

Gate Manager. Come accedere alla rete di automazione da un PC (Rete cliente) COME ACCEDERE ALLA RETE DI AUTOMAZIONE DA UN PC (RETE CLIENTE)...

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer

ARP e RARP. Silvano GAI. sgai[at]cisco.com. Mario BALDI. mario.baldi[at]polito.it Fulvio RISSO

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Cos'è una vlan. Da Wikipedia: Una LAN virtuale, comunemente

Reti di Telecomunicazione Lezione 8

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

La sicurezza delle reti

Appunti configurazione firewall con distribuzione Zeroshell (lan + dmz + internet)

VPN CIRCUITI VIRTUALI

Sommario. Modulo 8: Applicativi. Parte 3: Terminale remoto. Premessa Telnet SSH XWindows VNC RDP. Gennaio Marzo 2007

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00

WAN / 24. L obiettivo è quello di mappare due server web interni (porta 80) associandoli agli indirizzi IP Pubblici forniti dall ISP.

Antonio Cianfrani. Extended Access Control List (ACL)

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing

Agent, porte, connettività e reti L agent di Kaseya utilizza la porta 5721 per comunicare con il server, ma che tipo di porta è?...

TECNOLOGIE E PROGETTAZIONE DI SISTEMI INFORMATICI E DI TELECOMUNICAZIONI

Sistemi Operativi MECCANISMI E POLITICHE DI PROTEZIONE. D. Talia - UNICAL. Sistemi Operativi 13.1

MECCANISMI E POLITICHE DI PROTEZIONE 13.1

PROF. Filippo CAPUANI. Accesso Remoto

Hardware delle reti LAN

Zeroshell: VPN Host-to-Lan. Il sistema operativo multifunzionale. creato da

Cognome: Nome: Matricola: Sicurezza dei sistemi informatici e delle reti 18 febbraio 2014

Laboratorio di reti Relazione N 5 Gruppo 9. Vettorato Mattia Mesin Alberto

Programmazione in Rete

SPOSTAMENTO SITEMANAGER DA SERVER DIREL A SERVER PROPRIETARIO

Reti di calcolatori. Lezione del 10 giugno 2004

Dal protocollo IP ai livelli superiori

Wireless Network Esercitazioni. Alessandro Villani

OpenBSD: Firewall ridondanti con CARP e pfsync. Chris Gamboni CISSP hb9fbl@gmail.com TiLug.ch, Bellinzona, 9 aprile 2005

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali

Comunicazione tra Computer. Protocolli. Astrazione di Sottosistema di Comunicazione. Modello di un Sottosistema di Comunicazione

Indirizzo IP. Come si distinguono? Indirizzo IP : Network address : Host address: : 134

Indirizzamento privato e NAT

10.1. Un indirizzo IP viene rappresentato in Java come un'istanza della classe InetAddress.

DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO

Firewall e Abilitazioni porte (Port Forwarding)

Besnate, 24 Ottobre Oltre il Firewall.

Protocollo IP e collegati

Ordine delle regole (1)

Configurazione Rete in LINUX

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

Scritto da Administrator Lunedì 01 Settembre :29 - Ultimo aggiornamento Sabato 19 Giugno :28

La sicurezza nel Web

Crittografia e sicurezza informatica. Sistema di voto elettronico

Laboratorio di Reti Esercitazione N 2-DNS Gruppo 9. Laboratorio di Reti Relazione N 2. Mattia Vettorato Alberto Mesin

Transcript:

1 Mattia Dip. di Informatica Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2012/13 1 cba 2011 13 M.. Creative Commons Attribuzione-Condividi allo stesso modo 3.0 Italia License. http://creativecommons.org/licenses/by-sa/3.0/it/. Derivato con permesso da 2010 M. Cremonini. 1

454 Lezione XXI:

455 Anonimato La difesa rispetto ai pericoli di controllo è l anonimato (non a caso tutti i tentativi di controllo politico di Internet cercano, in un modo o nell altro, di limitare l accesso anonimo) Tema assai controverso, perché l anonimato perfetto permette azioni non perseguibili (e in effetti in alcuni casi la legalità locale potrebbe essere in contrasto con i diritti fondamentali).

456 Inosservabilità Un utente usa una risorsa senza che terze parti siano in grado di osservare l uso Per un evento E, Se O A è l insieme di eventi osservabili dall attaccante A Unobservability ω O A : 0 < P(E ω) < 1 Perché sia efficace 0 P(E ω) 1

457 Inosservabilità perfetta Se nessuna osservazione è in grado di cambiare la probabilità a posteriori di un evento, si parla di inosservabilità perfetta. Perfect Unobservability ω O A : P(E) = P(E ω)

458 Incollegabilità Un utente usa diverse risorse o servizi senza che sia possibile collegare i diversi usi. Per due eventi E,F, con una caratteristica comune (link) L E,F Unlinkability ω O A : 0 < P(L E,F ω) < 1 Perché sia efficace 0 P(L E,F ω) 1 Perfect Unlinkability: ω O A : P(L E,F ) = P(L E,F ω)

459 Incollegabilità di mittente e destinatario Un caso particolare è l unlinkability fra mittente e destinatario in una comunicazione. A,B comunicano A comunicante è osservabile, B comunicante è osservabile...... ma non è osservabile il fatto che A comunica con B

460 Anonimato Un utente usa una risorsa senza rendere nota la propria identità. Si definisce rispetto al ruolo R U,E dell utente U nell evento e un insieme W di identità Anonymity ω O A, κ W : 0 < P(R κ,e ω) < 1 In pratica deve essere 0 P(R κ,e ω) 1 Anonimato perfetto: ω O A, κ W : P(R κ,e ) = P(R κ,e ω)

461 Pseudonymity Un utente usa una risorsa identificandosi con uno pseudonimo. Lo pseudonimo rimane costante ma non è possibile (o solo alcuni sono in grado di farlo) collegarlo all identità reale può essere legato ad un ruolo

462 Riassumendo La principale difesa rispetto ai pericoli di controllo è l anonimato: Inosservabilità, unlinkability Anonimato e pseudonimi

463 Virtual Private Network Una overlay che costituisce un dominio amministrativo sostanzialmente indipendente dalla topologia effettiva della sottostante Le comunicazioni sono criptate Molto usate per permettere a utenti roaming di accedere alle risorse delle aziendali

464 Tunnel Si basano sul concetto di tunnel: ossia incapsulano i pacchetti in un altro protocollo (che rispetta la topologia della fisica sottostante) Differiscono per il livello di virtuale che offrono.

465 Encryption Anche la confidenzialità e integrità dei pacchetti può essere ottenuta a diversi livelli IPSec SSL/TLS Protocolli proprietari SSH

466 SSH OpenSSH può essere usato per fare tunneling di altri protocolli in SSH Port forwarding Vera e propria

Port forwarding esterno ssh -L 1234:www:80 user@interno interno tunnel:80 localhost:1234 www www vede una connessione da interno, il pezzo criptato è solo esterno/interno 467

468 Una vera con SSH Per avere una vera bisogna appoggiarsi sui livelli piú bassi dello stack. Con Linux esiste un device tun che serve proprio a questo scopo (Tunneling/NAT regolato da applicazioni utenti)

469 Setup di TUN/TAP Se non è già attiva, bisogna creare l interfaccia TUN/TAP In Linux potrebbe essere necessario 1 mknod /dev/net/tun c 10 200 2 modprobe tun

470 Configurazione # A iface tun0 inet static address 10.0.0.100 pointopoint 10.0.0.200 up arp -sd 10.0.0.200 eth0 pub # B iface tun0 inet static pre-up ssh -f -w 0:0 1.2.3.4 ifdown tun0; ifup tun0 address 10.0.0.200 pointopoint 10.0.0.100 up ip route add 10.0.0.0/24 via 10.0.0.200 up ip route add 1.2.3.4/32 via 192.168.0.1 up ip route replace default via 10.0.0.1 down ip route replace default via 192.168.0.1 down ip route del 10.0.0.0/24 via 10.0.0.200 down ip route del 1.2.3.4/32 via 192.168.0.1

471 Riassumendo Le Permettono di usare una potenzialmente ostile, con alcune garanzie di confidenzialità e integrità Si basano sul tunnel di protocolli e possono essere realizzate in molti modi diversi

472 SSHuttle Iptables + SSH tunnelling 1 Chain PREROUTING (policy ACCEPT 33 packets, 1604 bytes) 2 pkts bytes target prot opt in out source destination 3 33 1604 sshuttle 12300 all 0.0.0.0/0 0.0.0.0/0 4 5 Chain INPUT (policy ACCEPT 0 packets, 0 bytes) 6 pkts bytes target prot opt in out source destination 7 8 Chain OUTPUT (policy ACCEPT 24 packets, 1568 bytes) 9 pkts bytes target prot opt in out source destination 10 48 3008 sshuttle 12300 all 0.0.0.0/0 0.0.0.0/0 11 12 Chain POSTROUTING (policy ACCEPT 48 packets, 3008 bytes) 13 pkts bytes target prot opt in out source destination 14 15 Chain sshuttle 12300 (2 references) 16 pkts bytes target prot opt in out source destination 17 0 0 RETURN tcp 0.0.0.0/0 127.0.0.0/8 18 24 1440 REDIRECT tcp 0.0.0.0/0 0.0.0.0/0 TTL match TTL!= 42 redir ports 12300

473 Open Un programma open-source che permette di costruire basate su tunnel TCP o UDP. (La porta assegnata da IANA a Open è 1194) Anche in questo caso l implementazione sfrutta il driver TUN/TAP.

474 Autenticazione L autenticazione può avvenire in due modi Static key pre-shared key TLS tramite una sessione SSL/TLS (su UDP) con certificati e scambio di chiavi

475 Tunnel Il tunnel può essere TCP (sconsigliato per ragioni di efficienza) o UDP (default) Si può anche scegliere se usare l interfaccia TUN (livello network) TAP (livello link).

476 Configurazione Punto a punto, TAP (indirizzi assegnati con DHCP) 1 client 2 remote 172.16.0.3 3 dev tap 4 tls client 5 ca client.crt 6 auth user pass 1 dev tap 2 remote 172.16.0.1 3 tls server 4 ca server.crt 5 auth user pass verify script con la modalità server è possibile definire con topologie complicate

477 Firewall Open è facile da gestire con i firewall, perché usa un unica porta (generalmente UDP 1194) iptables A INPUT p udp dport 1194 j ACCEPT E poi iptables A INPUT i tun+ j ACCEPT (o l equivalente con tap)

478 HMAC Ogni pacchetto ha un message authentication code calcolato con HMAC, per cui i pacchetti non integri vengono scartati HMAC = H(K OPAD H(K IPAD m)) (RFC2104: OPAD = 0x5c5c5c... 5c5c, IPAD = 0x363636... 3636)) Autenticazione piú forte che basata su IP sorgente Ogni pacchetto che arriva a tun/tap è già stato controllato

479 Perché HMAC È opportuno usare HMAC e non MAC piú semplici perché essendo i pacchetti di dimensione fissa sarebbero possibili attacchi del tipo hash extension, se l hash è di tipo Merkle-Damgård (MD4-5, SHA0-2) H(K m): extension attack se nota la lunghezza di m H(m K): meglio, ma dipende fortemente dalle tecniche di collisione di H (birthday attack) H(K m K) ancora meglio, ma manca una dimostrazione del grado di efficacia

480 Extension attack Reso famoso da un attacco a Flickr (2009... vulnerabilità nota dal 1992!) Se si sa len(k m) è possibile generare H(K m m ) senza conoscere K. Il motivo è che gli H Merkle-Damgård spezzano lo stream in blocchi e applicano una funzione di compressione ad ogni blocco indipendentemente. Con lunghezza si sa quale funzione applicare a blocchi aggiunti dall attaccante (estensione).

481 Riassumendo Open permette di costruire autenticazione con chiave condivisa o certificati tunnel UDP o TCP

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back