La sicurezza delle reti

Cancellazione di datiLetture

non autorizzate

Inserimentodati falsi

A quale livello di rete è meglio realizzarela sicurezza?

firewall? IPSEC?smart-card?

apparati cifranti?guardie armate?

Data Link

IP

TCP

Applicazione

Physical

Nuove linee guida

• VPN mediante IP tunnelling

• Canali logici autenticati

• Separatezza tra WAN e LAN (firewall)

Argomenti

I concetti base sulle reti

IP tunneling

Secure VPN

Firewall

Applicazione

Presentazione

Sessione

Trasporto

Rete

Data Link

Fisico

Applicazione

TCP

IP

Data Link

Fisico

ISO/OSI INTERNET

130.192.25.1

HTTP (WEB)FTP (File Transfer)

SMTP (E-Mail)..

Generazione di pacchetti

...quello che ti storaccontan

....quello ch

e ti sto racc

ontando ....

Generazione della “busta”

e ti sto racc

e ti sto racc

e ti sto racc

25 1324

25 1324IPDA IPSA

UPPER

TRNSP

NETWK

dest port # = 25 (email)

I protocolli Internet

HTTPFTP

SMTPRTP

SMNP

TCP

IP

NFSRPC

UDP

ICMPARP

ROUTING PROTOCOL

DNS

ICMP(Internet Control and Management Protocol)

• Protocollo con cui i nodi si scambiano informazioni sullo stato della rete

• Utilizzando impropriamente ICMP si può definire un nodo unreachable (attacco DoS)

I protocolli di controllo

DNS (Domain naming System)

• Protocollo con cui si ricava l’indirizzo IP dall’indirizzo logico

• Utilizzando impropriamente il protocollo basato su UDP è possibile generare risposte false o avvelenare la cache

• È in fase di rilascio DNS/S

• Esiste il sw BIND che limita i danni

I protocolli di controllo

Sicurezza del DNS• attacchi:

• shadow server• avvelenamento della cache

DNSserver

DNSserver

(shadow)DNS server

IP (www.polito.it)?

RIP o OSPF

• Protocolli con cui router si scambiano informazioni relative ai percorsi di instradamento

• Utilizzando impropriamente tali protocolli si possono instradare i pacchetti su percorsi diversi o a costo altissimo

• Autenticazione dei protocolli di routing (RFC - 285)

• Meglio routing statico, evitare source routing

I protocolli di controllo

Argomenti

I concetti base sulle reti

IP tunneling

Secure VPN

Firewall

Sicurezza applicazioni

Intrusion detection

Enterprise NET

Internet

Entr. WAN(Intranet)

PSTN

Packet Net(es. ATM)

CDN

Enterprise WAN

Rete Privata Virtuale (VPN)

Normalmente realizzate con bassi criteri di sicurezza, a causa dell’insicurezza dei router

Rete

pubblica

Sicurezza a livello network

• protezione per reti omogenee a livello logico (es. IP)

rete IP

router

router client

server

I tre livelli di protezione

HTTP FTP

TCP

IP

SMTP

livello di rete

Tunnel IPIPSec

‘tunnel’

Tunnel

IP Tunnel

new IP header

ESPheader

IP header dati

secret key

IP header dati

new IP header

Nuova intestazione IP

IPsec

• proposta IETF per fare sicurezza al livello 3 siain IPv4 sia in IPv6

• RFC-1825 (architettura generale)• definisce due formati particolari:

• AH (Authentication Header)per integrità ed autenticazione

• ESP (Encrypted Security Payload)per riservatezza

Argomenti

I concetti base sulle reti

IP tunneling

Secure VPN

Firewall

Sicurezza applicazioni

Intrusion detection

rete alivello disicurezza L2

Che cos’è un firewall?• firewall = muro tagliafuoco• collegamento controllato tra reti a diverso

livello di sicurezza

rete a livellodi sicurezza L1

( L1 > L2 )

Firewall

Rete aziendale

Internet

Firewall o screening router

Le “tavole della legge” sui firewall

• il firewall deve essere l’unico punto di contatto tra la rete interna e quella esterna

• il firewall deve lasciar passare solo il traffico autorizzato

• il firewall deve essere un sistema altamente sicuro

Cos’è un Firewall ?

ROUTER

SLIP o PPPRete

Privata

Sistema con TCP/IP

Internet

Presidio di Sicurezza

Dove si fanno i controlli

IP TCP Data payload

TCP

Datalink

Fisico

IP

Applicazione

Classificazione

Le componenti base di un’architettura firewall sono:- screening router- bastion host- application gateway o proxy

Tali componenti possono essere scelte per costituire architetture firewall con diverso grado di sicurezza

Screening router

Osserva tutto il traffico che lo attraversa, autorizzando o meno il transito dei singoli pacchetti

Operazioni di filtro basate su informazioni di livello 3 (indirizzi IP) o 4 (indirizzi di trasporto,port number)

Rete esterna

Screening router

Screening router

Rete esterna

Rete interna

Esempio di policy di security

“Nessuno può accedere dall’esterno all’elaboratore usato per la contabilità”

“Tutti gli utenti possono inviare posta elettronica”

“Solo alcuni possono utilizzare www”

SMTP

TCPport25

TELNET

TCPport23 Mail server

Qualunque pacchetto con destinazione

130.40.12..0 (www.sex.it)

Esempio di policy di security

Il primo esempio impedisce l’accesso a un elaboratore indipendentemente dal tipo di applicazione (filtro a livello 3)

Le altre due associano diritti a specifiche applicazioni (filtro a livello 4)

Le liste di accesso (AL)

Elenchi di “regole” che specificano diritti di accesso in base a criteri che possono essere di livello 3 o 4

Associate a specifiche interfacce dello screening router

Quando si riceve un pacchetto si controlla se esiste nella lista di accesso una regola che ne permette il transito

Esempio: screening router

Internet

193.24.15.0193.24.16.0

Porta 2Porta 1

Porta 3

“Tutti gli host interni alla rete aziendale possono inviare posta usando SMTP”

“Solo 14 host possono navigare su Internet (193.24.15.1-14)”

“Protezione contro address spoofingdall’esterno”

Esempio: screening router

Bastion Host

Sistema “sicuro” a cui è stato elevato il grado di resistenza agli attacchi esterni, mediante tra l’altro:

• un solo utente con accesso fisico• solo processi di firewall• tutti i log abilitati• massime abilitazioni di

sicurezza del S.O.

Application gatewayUn applicativo, o gateway, che riceve tutte le richieste di un servizio (es. mail, www) e, se autorizzate, le inoltra ai server destinatariPuò risiedere su bastion host

Mail proxy

Mail server

Configurazione di firewall

A secondo dei componenti usati e dei filtri

impiegati si possono distinguere le seguenti

configurazioni:

- Screened host gateway

- Dual-homed gateway

- Screened subnet

Screened host gateway

Sistema costituito da:

- screening router- bastion host

Bastion Host e screening router

InternetScreening router

Bastion Host

Dual-homed gateway

Sistema costituito da:

- screening router- application gateway con doppia porta

si può realizzare una “rete esposta” o DMZ

Dual-homed gateway

Rete esterna

WEB server FTP server

Dual-homed gateway

Rete esterna

Screened subnet

Sistema costituito da:

- due screening router in serie- application gateway di tipo bastion host

si può realizzare una “rete esposta” o DMZ

si possono mascherare completamente gli indirizzi interni

DMZ

Screened subnet

Rete esterna

WEB server FTP server