Appunti di Servizi di rete e sicurezza, tutte le lezioni

ARCHITETTURE INTEGRATE

Finora abbiamo parlato di funzionalità (IDS, firewall) sono funzionalità da integrare su altri

apparati. E si riesce ad avere gestione completa di cose interdipendenti.

I bilanciatori

Svolgono un ruolo centrale:

nel garantire la disponibilità

• nel gestire componenti applicative importanti (come sessioni ecc.)

• Possono integrare funzioni di firewall e di IDS/IPS

•

Sono esempio di queste sinergie. Abbiamo bilanciatori che entrano nel merito sessioni per

bilanciarle tra sistemi disponibili, recuperarle se sistema indisponibile ecc… molto di quello

che serve per funzionalità IDS firewall ecc… sono già disponibili e quindi queste si integrano

bene con bilanciatori. Quindi bilanciatori offrono di default funzionalità di IDS e firewall.

Firewall: funzionalità aggiuntive

VPN si integrano bene con il firewall

• evita numerosi problemi (mancato filtraggio, collocazione dell’end-point...)

•

tipo di integrazione comune firewall + terminatore delle VPN.

Se a valle del terminatore mettiamo il firewall, il firewall non ha info necessarie, se queste

invece sono integrato il firewall può usare le info del VPN. Integrazione toglie livello di difesa

in profondità.

Connettività

es. firewall/router; tipiche soluzioni domestiche o SOHO (small office)

anche questo è un caso di integrazione conveniente.

LEZIONE 21 - DENIAL OF SERVICE SICUREZZA DEL DNS

DENIAL OF SERVICE e SICUREZZA DEL DNS 129

UTIU - Il presente materiale è stato realizzato a scopi didattici e ne è vietata la vendita, la riproduzione e qualsiasi manipolazione.

Denial of Service

Gli attacchi di Denial of Service (DoS) mirano a rendere una risorsa non disponibile agli utenti

che vorrebbero usufruirne.

La risorsa non viene toccata in temrini di integrità e riservatezza ma viene resa indisponibile.

Quindi chi la deve usare non può usarla.

Per alcuni tipi di aziende questo può essere particolarmente pericoloso.

A seconda del contesto è un tema molto importante. In generale un azienda che non può

lavorare è in pericolo.

Tipologia di attacchi difficile da gestire.

Tipi di DOS

Interrompono un servizio: bloccare un servizio sfruttando una vulnerabilità (ping of

• death => difetto gestione pacchetti ping, mandavano un pacchetto malformato e il

sistema operativo si bloccava => sfruttamento di vulnerabilità. Similmente si possono

avere difetti di configurazione. No danno irreversibile. Basta riavviare sistema e ad

essere bloccato di nuovo. Raramente i DoS danneggiano apparato fino a far si che

debba essere sostituito.

Il servizio viene bloccato o riavviato, raramente è reso inutilizzabile l’apparato

o

Esauriscono le risorse: finite le risorse il servizio non può essere più usato.

•

Interrompere il servizio

Sfruttare bug

• Abusare di configurazioni errate

•

Interruzione servizio dovuta a difetti di implementazione o configurazione. Ogni servizio

esposto a internet e rete locale deve essere pensato per poter resistere a tipologie di traffico

sbagliate, non previste, non corrette. Un servizio che a fronte di traffico inaspettato si blocchi

ha vita breve

Esaurire le risorse

Capacità di calcolo (CPU) Memoria (RAM)

• Spazio disco

• Banda di rete (Internet)

•

Ese: quando stiamo usando un sistema e il consumo di CPU è al 100% il sistema è

inutilizzabile. Determinati problemi possono essere causati volutamente conoscendo difetti

SW e sua configurazione o sono esposte funzionalità che consumano troppe risorse. Ese:

server web + motore ricerca può essere bloccato chiedendo troppe ricerche. (stesso vale per

spazio disco, banda di rete, capacità di memoria)

Contromisure

Relativamente semplice rispetto ad utenti autenticati (es. quota ma anche policy):

•

se abbiamo utenti autenticati possiamo dire – questo utente ha a disposizione queste risorse –

siccome abuso risorse è problema noto per utenti autenticati la soluzione c’è. Quote disco e

quote consumo memoria e processore per cui ogni utente ha a disposizione al massimo un tot

130

UTIU - Il presente materiale è stato realizzato a scopi didattici e ne è vietata la vendita, la riproduzione e qualsiasi manipolazione.

di spazio disco. Se utente cerca di occupare disco volutamente viene bloccato. Anche policy: se

ti dico non puoi superare tot spazio disco, posso intervenire a livello di rapporto contrattuale.

Difficile per servizi pubblici o condivisi: se servizi sono accessibili in anonimato, non so

• a chi limitare uso risorse. Se sevizio acceduto anonimamente posso avere tanti utenti

che accedono legittimamente e meno e non riesco a riconoscere chi è l’attaccante e chi

è utente legittimo. Una delle misure utile a mettere in atto è fare si che se ci sono

risorse da usare in modo oneroso è meglio farlo verso utenti autenticati, anziché

pubblicamente.

D(istributed) DOS

Utilizzo di molti sistemi per riuscire in modo aggregato ad esaurire le risorse del bersaglio

Banda Internet

• Risorse di calcolo/memoria di servizi esposti

•

Noi abbiamo a che fare con server con grande disponibilità di risorse rispetto al consumo di

singolo utente. Per attaccare questi servizi si fanno attacchi distribuiti di DoS. Costruire modo

aggregato consumo di risorse che crea disservizio. Tipicamente attacco banda internet e

risorse calcolo e memoria.

Esempi di tecniche

Attacco diretto attraverso Botnet sufficientemente numerose (botnet uso tipico di attacco

DoS). Si hanno a disposizione tanti sistemi su internet che in modo aggregato generano tanto

traffico. Es: tanti pc insieme su internet creano tanto consumo di traffico/banda. Anche se

singoli sistemi genera poco traffico in modo aggregato mettono in difficoltà buona parte dei

servizi di dimensioni non grandi.

10.000 pc/ADSL che generano 100 Kbps di traffico generano 1 Gbps di traffico

• Esempio: SYN Flood:

ð genera pacchetti syn con mittente falsificato. Quindi finchè non li

facciamo passare non sappiamo se è utente legittimo o attaccante.

Reflector

A fronte di poco traffico verso il reflector da parte dell’attaccante (con mittente spoofed -

falsificato) generano molto traffico verso il bersaglio:

ci sono servizi che a fronte di domanda di richiesta breve generano tanta quantità di risposta.

Se domanda breve viene fatta con indirizzo falsificato, generando poco traffico facciamo

arrivare tanta quantità di traffico di risposta.

Smurf: nome inglese di puffi che da idea di grande quantità di pacchetti.

Tanti pacchetti inviati a indirizzo di broadcast di una rete.

Ping propagato nella rete.

A fronte id singolo pacchetto dell’attaccante arriva un ping a molti sistemi della rete locale,

ognuno dei quali rispondeva con echo response (risposta a ping). Siccome pacchetto arriva

131

UTIU - Il presente materiale è stato realizzato a scopi didattici e ne è vietata la vendita, la riproduzione e qualsiasi manipolazione.

con mittente falsificate (risultata provenire dal ns bersaglio). Quindi singolo pacchetto

attaccante diventa migliaia di pacchetti vs il bersaglio.

Questo risolto con tecniche di pressione sociale.

Router di frontiera con configurazione sbagliata venivano esposte in lista pubblica per far fare

figuraccia a sistemista. Così per evitare figuracce tutte le aziende hanno iniziato a controllare

la configurazione. E il problema si è così risolto.

se problema è saturazione banda internet, il firewall a valle della concessione, anche se

riconsoce traffico legittimo o no, lo fa a valle della connessione con internet che è comunque

saturata.

Contromisure?

Le protezioni devono intervenire a monte della connessione con Internet

Tipicamente «lavatrici» offerte dal provider

Efficacia

Non è semplice distinguere il traffico legittimo da quello dell’attacco

Molti tool hanno un fingerprint riconoscibile: riconosco erche il Syn generato dal tool

• di DoS ha caratteristiche Syn diverse da quello generato da un’altra macchina.

Si può degradare il servizio selezionando aree geografiche: io mi accordo con provider

• o gestisco con meccanismi di routing e mi assicuro che traffico passato è solo quello

della mia nazione e accetto traffico DoS dell’Italia ed elimino il traffico DoS dall’estero.

Mitigazione dell’attacco.

Servizi e applicazioni

Attacchi alle applicazioni sovraccaricano i servizi (es. motori di ricerca) anche con poco

• traffico.

Attacchi al DNS rendono irraggiungibile la rete o Internet: attacchi a servizi DNS fanno

• si che non si possono risolvere nomi in indirizzi IP. Servizio DNS è critico per DoS.

PROTEZIONE DEL DNS 132

UTIU - Il presente materiale è stato realizzato a scopi didattici e ne è vietata la vendita, la riproduzione e qualsiasi manipolazione.

È un servizio esposto a internet. Per sua natura non ha protezioni particolari. Se DNS critico,

attacchi sono efficaci. È un servizio di infrastruttura e quindi non rientra nella normale

gestione della sicurezza applicativa.

Attacchi al DNS

Se la traduzione da nome a IP non è corretta, andremo a prendere/consegnare i dati

→

• all'indirizzo sbagliato: primo problema è manipolazione DNS che fa si che nostra

richiesta ci restituisce IP sbagliato, quindi rischio esporre dati riservati o ricevere

malware al posto di info sane.

Se il servizio non è disponibile, non sappiamo a chi connetterci

•

Modello delle minacce

Corruzione delle informazioni a livello locale

Link tra stub resolver e DNS server, es. Router ADSL o ISP

• Corruzione locale (trojan ecc.) Compromissione di nodi autoritativi

•

Corruzione delle informazioni a livello locale

2 possibilità importanti molto usate:

1. ho malware su macchina che corrompe DNS cos+ il broser non si connette al giusto IP

2. resolver su router adsl, che passa richiesta a provider che ha resolver ricorsivo

funzionante. Mio resolver può essere indirizzato a rivolgersi ad un altro DNS e quindi

avrò risoluzione sbagliata da nome/indirizzo.

Modello delle minacce

Corruzione dei record a livello di infrastruttura

• (D)DoS a nodi dell'infrastruttura (root nameserver, server ccTLD, ecc)

•

Prima soluzione: verifiche alternative

TLS cerca di verificare “per altri canali” l'associazione fra nome e entità alla quale ci

connettiamo: a front edi debolezze DNS possiamo pensare a soluzioni. La prima è visto che

DNS è insicuro ci affidiamo a qualcosaltro per avere garanzia di corretta connessione a sistemi

su internet. Usano meccanismo