1. Antide group
SICCUREZZA E RETE
Quali sono i concetti ed i problemi
legati alla sicurezza su Internet:
soluzioni e tecnologie per ottenerla
Venerdì 21 Settembre 2001
Carlo Alberto Cuman
Luca Moroni
5. Antide group
SONDAGGIO
• Oggi la sicurezza informatica è di scottante attualità:
nonostante le aziende pensino spesso di essere ben
protette, le notizie sulle 'imprese' degli hacker si
moltiplicano. Qual è il vero motivo?
– Gli hacker sono sempre più abili 27%
– Le soluzioni non mantengono le promesse 7%
– Manca la giusta cultura nelle aziende 67%
Fonte: Compterworld set.01
6. Antide group
Problematiche Generali sulla
Sicurezza
• Confidenzialità
– Accesso alle informazioni solo agli utenti legittimi
• Autenticazione
– Stabilire l’identità del fruitore del servizio
• Integrità
– Evitare che le informazioni vengano modificate nella trasmissione
• Non Ripudio
– Le parti non possono negare lo scambio di messaggi
• Controllo degli accessi
– Per esigenze di monitoraggio o tariffazione
• Disponibilità
– Il servizio deve essere sempre disponibile
7. Antide group
Forme di Attacco
• Interruzione del servizio (Denial of service)
– Compromette la Disponibilità
• Modifica delle informazioni (Data manipulation)
– Compromette l’integrità
• Inserimento di informazioni false (Masquerade)
– Incide sul Non ripudio e Autenticazione
• Intercettazione dei Dati (Eavesdropping)
– Compromette la Confidenzialità
ATTIVI
PASSIVI
8. Antide group
Realtà sugli attacchi
• Denial of Service su IIS
– Messaggio molto lungo
• /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXX
• Spamming: liste di realy sul sistema di
posta
– http://www.mailabuse.org/
9. Antide group
Interruzione del Servizio
100110101 …………….
ROSSI BIANCHI
HACKER
• Saturazione canali o buffer del server, invio messaggi di
terminazione delle applicazioni
11. Antide group
Modifica delle informazioni
100110101 111110000
ROSSI BIANCHI
HACKER
100110101 111110000
• Assunzione di falsa identità
12. Antide group
Intercettazione dei dati
100110101 100110101
ROSSI BIANCHI
HACKER
100110101
• Software di intercettazione o manomissione strumenti di
interconnessione o installazione SW ingannevole sul client
13. Antide group
INDIVIDUAZIONE
• ATTACCHI ATTIVI
– Più facili da rilevare
– Difficili da prevenire
• ATTACCHI PASSIVI
– Più difficili da rilevare
– Facili da prevenire
• LA SOLUZIONE MIGLIORE E’ LA PREVENZIONE
– Crittografia
– Adozione di politiche di sicurezza
• Protezione dispositivi
• Limitazione degli accessi
• LA SICUREZZA RICHIEDE DINAMICITA’
14. Antide group
Misure preventive o contromisure
• Innalzare i dispositivi di antintrusione sui singoli sistemi o
a guardia della rete (FIREWALL)
• Eliminare i servizi rivelatisi pericolosi
• Modificare il Software delle applicazioni vulnerabili
• Passare a protocolli più robusti agli attacchi
• Predisposizione di trappole per migliorare la rilevazione
delle intrusioni
• Migliorare la capacità di “logging” e monitoraggio delle
attività potenzialmente riconducibili ad un attacco.
15. Antide group
Software per Test sulla Vulnerabilità
• Sacanner Open Source gratuito
http://www.nessus.org/
• Identifica molte delle vulnerabilità critiche
16. Antide group
Debolezze del protocollo IP
• Quando è stato creato non prevedeva campi per garantire la
sicurezza
• Esistono solo indirizzi IP permessi e negati
• La nuova versione del protocollo IP (IPv6) prevede
meccanismi per garantire autentificazione e riservatezza
17. Antide group
Dice il saggio…..
• Un Hacker non tenterà un attacco se il costo per farlo
supera il valore delle informazioni trasportate
• Un Hacker non tenterà un attacco se il tempo richiesto per
decodificare l’informazione e/o ricavare la chiave è
maggiore del periodo di validità dell’informazione
• Per cui il grado di sicurezza, che coincide con un
rallentamento delle prestazioni, deve essere attentamente
ragionato
18. Antide group
Autenticazione LAN
• In rete lo standard di accesso al servizio è
Username/Password
• Il server ha bisogno di credenziali del client
• Ambiente ristretto e verificabile
• Policy di sicurezza sufficienti
– Scadenza validità password
– Lunghezza e caratteri contenuti nella password
19. Antide group
Autenticazione Internet
• In Internet lo standard di accesso è l’uso delle chiavi
pubbliche e private
• Coinvolgimento di una autorità di certificazione (fidata)
• Anche il server ha bisogno di fornire credenziali al client
• Ambiente potenzialmente vulnerabile
• Policy di sicurezza necessarie, oltre a quelle precedenti
– Criptazione
– Certezza sulla sorgente
21. Antide group
Autorità di certificazione
• Nei maggiori Browser
– Microsoft, Netscape
• Nei Sistemi di posta
– Outlook 2000, Lotus, Netscape
• Nei Web Server
– Microsoft, Lotus, Apache, Netscape, Sun
• Nei sistemi di Network Managment
– Checkpoint, Cisco, ISS, Lucent, Network Assoc.
• Nei sistemi entreprise
– Sap R/3, Notes
• Nelle Smart Card
– GemPlus, Litronic, Schlumberger
• Nei Sistemi EDI
22. Antide group
VERISIGN AGISCE COME CERIFICATE AUTORITY
VERISIGN CREA CERTIFICATE AUTORITY
Prodotti
• Certificati digitali individuali
– Classe 1, Classe 2
• Certificati per Web Server
– Secure Server Ids, Global Server IDs
• Soluzioni per Aziende
– Verisign OnSite
– Consulenza e Formazione su PKI
23. Antide group
Certificato digitale: cos’è?
• E’ l’equivalente elettronico di un documento di identità
come passaporto o carta d’identità
• Firma Digitale
– Identifica irrevocabilmente la persona che ha
il certificato, per impedire contraffazioni
dell’identità
– Autentica il proprietario davanti a tutto
il mondo
• Criptazione
– Criptazione dei dati, al fine di proteggere la privacy delle
informazioni
– Solo il ricevente ha accesso a dette informazioni
24. Antide group
Certificato digitale: come funziona?
• La certificazione avviene con la codifica della chiave pubblica del
richiedente + chiave privata della CA.
• Riduce il traffico verso l’autorità fidata.
• Cosa contiene un certificato
– Versione
– Numero seriale
– Algoritmo di segnatura
– Identità CA
– Periodo di validità
– Identità del soggetto richiedente
– Chiave pubblica
– Check sum
25. Antide group
Posta sicura
• Dal protocollo MIME a S-MIME
– Mantenere la riservatezza dei dati trasmessi
– Autenticare il mittente del messaggio
– Verificare l’originalità dei dati
– Non ripudiare i dati trasferiti
– Poter provare l’invio di un messaggio
– Poter provare la ricezione di un messaggio
– Garantire se necessario l’anonimato
– Permettere di nascondere l’identità degli utenti coinvolti nello
scambio dei dati
– Supporto all’uso dei certificati
27. Antide group
Certificato per Web Server
• Autenticano il sito a coloro che lo visitano
• Inaugurano una sessione sicura SSL per le comunicazioni e
le transazioni attraverso Internet
• Esistono due diverse capacità di criptazione
– 40 e 128 bit
– E’ già pronto 256 bit e verrà utilizzato quando il 128 bit
non da più garanzie
28. Antide group
Protezione del servizio WWW
• Il protocollo SSL
– Mantenere la riservatezza delle informazioni trasmesse
– Autenticare la sorgente dei messaggi
– Verificare l’originalità dei dati
• Ha il compito di creare un canale sicuro per la trasmissione
dati, attraverso un meccanismo di contrattazione iniziale
per definire un Master Secret
• Supporta l’uso dei certificati
• Viene attivato sul Web Server
29. Antide group
HANNO LA FORTE ESIGENZA
STANDARD DE FACTO
Chi usa HTTPS in Italia
• Banche
• Istituti finanziari
• Siti di commercio elettronico con transazioni
• Enti pubblici
• Siti che scambiano informazioni sensibili con
entità esterne
30. Antide group
Sicurezza dei sistemi
La sicurezza non avviene solo proteggendo le
informazioni in transito ma ponendo delle
barriere alle risorse accessibili da Internet
31. Antide group
Accesso remoto
• La prima porta è l’accesso remoto ai server via TELNET.
• L’attacco più classico (dictonary attack) è l’intrusione da
remoto. Il primo muro è la Password di Login
• Contro i programmi di “prova combinazioni” possono
essere sufficienti:
– Chiusura automatica della connessione TCP dopo un prefissato
numero di tentativi di accesso
– Introdurre un breve ritardo prima di restituire l’esito sulla
valutazione delle credenziali.
• E’ necessario formare gli utenti sull’uso della password
– Non riciclo
• Provare con programmi di Password Cracker la
vulnerabilità
32. Antide group
Attacchi indiretti
• Gli agenti software o virus nelle sue diverse forme
attaccano le risorse in modo indiretto
• L’adozione dell’Antivirus è determinante.
– Continuo aggiornamento delle impronte virali
– Interazione con i principali sistemi di posta
– Gestione a livello server
– Continua evoluzione
• Noi abbiamo scelto
33. Antide group
Analisi della sicurezza della rete
• Definizione di un perimetro che circoscriva le rete
locale e le stazioni in esso ospitate
34. Antide group
Analisi della sicurezza della rete
• Individuare i punti di accesso utilizzati dalla rete
locale per scambiare i dati con Internet
35. Antide group
Analisi della sicurezza della rete
• Monitorare i flussi informativi entranti e uscenti
attraverso i punti di accesso, attraverso policy
adeguate
Log
36. Antide group
Assegnamento indirizzi IP
• IP Privato (non riconosciuto in Internet) e IP Pubblico
(riconosciuto)
• Esigenza di assegnazione dinamica IP (DHCP)
• Esigenza di traslare IP Privati in Pubblici e viceversa
(NAT)
IP Pubblico
IP Privato Traduzione
37. Antide group
Firewall
• Con le connessioni always-on (ADSL e HDSL) è
necessario alzare un muro davanti alla propria rete
38. Antide group
Obiettivi del Firewall
• Controllare i servizi a cui accedono gli utenti
• Determinare in quale direzione vengono inoltrate
le richieste di servizio
• Controllare quali utenti accedono ai servizi
• Controllare come ogni servizio viene utilizzato
• Informare gli amministratori in caso di allarmi
• Monitorare l’uso di Internet
• Mascherare gli indirizzi nascondendo l’identità
degli utenti
39. Antide group
Componenti base di un Firewall
• Packet Filtering Router
– E’ un Router che oltre ad instradare controlla il
pacchetto. Il controllo avviene considerando Ip di
provenienza e destinazione, protocollo utilizzato e porta
utilizzata. Non a livello applicativo.
– Scelta fra Tutto Bloccato e lista servizi abilitati o Tutto
Aperto e lista servizi bloccati
• Proxy Server
– Richiesta di credenziali all’utente per accedere al server
remoto e verifica con la politica descritta
40. Antide group
Compiti di un firewall
• Assicurarsi che, se un'azione non è abilitata
dalla policy del sito, tutti i tentativi di
perseguirla falliscano;
• Registrare ad eventi sospetti;
• Avvertire i responsabili del sistema di tutti i
tentativi di incursione;
• Creare statistiche d'accesso
41. Antide group
DMZ
• Se il firewall ha tre porte ethernet può gestire una
rete sicura riservata ai propri server Internet
(DMZ) e isolare la rete locale
42. Antide group
Mercato appliance
• Check Point + Nokia IP (il più noto)
• CISCO PIX
• Watchguard
• Symantec Velociraptor + SUN Cobalt
43. Antide group
Watchguard Firebox Caratteristiche
• Hardware Diskless
• S.O. Linux potenziato per la sicurezza
• Statefull Pachet Filtering (131-197 Mbps) e Advanced
Security Proxies per il massimo controllo del traffico
• Gestione avanzata VPN (150-330 Tunnel contemporanei)
• Potente ma intuitivo software di gestione delle policy di
sicurezza
• NAT Statico e Dinamico e filtri URL
• Reportistica evoluta
• Crittografia simmetrica 3DES (5-100 Mbps)
• 3 interfacce di rete 10/100: Interna, Esterna e DMZ
44. Antide group
Watchguard Firebox Caratteristiche
• Software avanzato di gestione VPN
• Software Client per utenti mobili VPN
• Gestione di Firebox ridondati per la massima disponibilità
• Controlli antispam
45. Antide group
Watchguard Firebox Supporto
• Live Security Service
– Personale specializzato per il supporto tecnico
– Aggiornamenti Software, Segnalazione virus, Tutorials
– Livello Opzionale Avanzato (Gold) per accesso al
Priority Support Team, Supporto tecnico 24/7, 1 ora di
tempo di risposta
46. Antide group
Watchguard Firebox
• Firebox SOHO 10-50 utenti Mil 1-1,4 20%
promo TC a noi 1.060
• Firebox 700 250 ut. Aut. Mil. 7,5 33%
Promo corso gratuito
• Firebox 1000 1000 ut. Aut. Mil. 11,3
• Firebox 2500 5000 ut. Aut. Mil 16,9
• Firebox 4500 5000 ut. Aut. Mil 22,5
47. Antide group
FIREWALL WATCHGUARD ENTRY
LEVEL
• Firebox SOHO e' il firewall per la piccola azienda per
proteggere totalmente dall'accesso indesiderato via
Internet. Non necessita nessun software da caricare nei
posti di lavoro e si configura molto semplicemente tramite
un browser Internet
• Svolge funzioni di NAT, PAT e firewall con filtering dei
pacchetti in ingresso e possibilita' di pubblicare host della
rete privata sulla rete pubblica per far accedere a servizi
come HTTP e FTP ad utenti di Internet esterni.
• Supporto opzionale alla VPN
48. Antide group
VPN
• Permette di estendere la propria rete privata (LAN) verso
altre reti private utilizzando come dorsale una rete pubblica
(e quindi intrinsecamente insicura).
• Permette una forte riduzione dei costi di connettività
• Dati trasmessi da una rete privata all'altra vengono
automaticamente crittografati e de-cirttografati dai firewall
• La funzione di VPN è possibile anche tra la propria rete
locale e un un portatile in Internet: è sufficiente installare
nel portatile un apposito software che si occupi di
crittografare / de-crittografare i dati provenienti dal
firewall.
49. Antide group
Parametri per una VPN
• Velocità della linea Internet
• Garanzie del carrier
• Applicazioni che condividono la banda passante
• Tipo di firewall e sua capacità elaborativa
• Sistema di criptazione dei pacchetti
50. Antide group
UUSecure VPN
• Il primo Carrier mondiale (secondo i recenti benchmark)
con una copertura in oltre 65 paesi. Oltre 2.500 POP
• Proprietario del backbone IP di UUNET
• Servizio chiavi in mano che include il circuito locale e
l’hardware, installazione on-site e supporto 24x7
• Soluzioni flessibili di banda in funzione dei siti da
collegare
• Gestione proattiva e SLA con crediti al cliente
• Criptazione IPSEC
• Usa Lucent Access Point ™