Venerdì 14 Dicembre 2007 si è svolto il BarCamp ELIS presso la sede di Ovindoli(AQ). Queste sono le slide del mio intervento

1. barCamp Fondamenti di Networking I (parte II) – Ovindoli (AQ) 14 Dicembre 2007 La sicurezza del livello 4: quali benefici per il livello 7? http://www.innovanet.it http://www.elis.org Relatore: Piero Bacarella

2. barCamp Fondamenti di Networking I (parte II) – Ovindoli (AQ) 14 Dicembre 2007 Panoramica sulla sicurezza Tipi di attacco al livello 4 Prevenzione degli attacchi: soluzioni commerciali e non Considerazioni finali Presentazione dello scenario Un caso reale: InnovaNet - InnovaNet è un network multi-brand di portali verticali diversificato su tre differenti segmenti di business: entertainment, communities e classifieds. - La nostra missione è creare comunità online adattando al mercato italiano dei web-formats innovativi e di respiro internazionale. - Nato dalla passione dei fondatori, InnovaNet è la prova concreta che è possibile avviare iniziative imprenditoriali online di qualità anche in un mercato difficile come quello italiano, sostituendo Venture Capital o Private Equity con entusiasmo e passione per il Web.

3. barCamp Fondamenti di Networking I (parte II) – Ovindoli (AQ) 14 Dicembre 2007 Panoramica sulla sicurezza Tipi di attacco al livello 4 Prevenzione degli attacchi: soluzioni commerciali e non Considerazioni finali Presentazione dello scenario La (semplice) rete di InnovaNet Web Server Database Server Fibra ottica 1 Gbps/s 100 Mbits/s 100 Mbits/s 100 Mbits/s Firewall 100 Mbits/s

4. barCamp Fondamenti di Networking I (parte II) – Ovindoli (AQ) 14 Dicembre 2007 Panoramica sulla sicurezza Tipi di attacco al livello 4 Prevenzione degli attacchi: soluzioni commerciali e non Considerazioni finali Presentazione dello scenario Qualche numero… - Circa 50.000 visitatori unici al giorno - Punte di 800 utenti unici online contemporaneamente - Circa 8 milioni di pageview al mese - Circa 2.500.000 query SQL al giorno - Circa 1.000 e-mail in/out al giorno

5. barCamp Fondamenti di Networking I (parte II) – Ovindoli (AQ) 14 Dicembre 2007 Panoramica sulla sicurezza Tipi di attacco al livello 4 Prevenzione degli attacchi: soluzioni commerciali e non Considerazioni finali Presentazione dello scenario La “sicurezza” non esiste! - Di sicuro (quindi perfetto) non esiste nulla - La sicurezza informatica è uno status da raggiungere: - Aggiungere sempre livelli di security - Tenere aggiornate le proprie soluzioni (sistemi operativi, webserver, database, ecc.) - La sicurezza informatica può essere attiva o passiva

6. barCamp Fondamenti di Networking I (parte II) – Ovindoli (AQ) 14 Dicembre 2007 Panoramica sulla sicurezza Tipi di attacco al livello 4 Prevenzione degli attacchi: soluzioni commerciali e non Considerazioni finali Presentazione dello scenario Sicurezza attiva Per sicurezza attiva si intendono tutte le misure di prevenzione da intrusioni esterne indesiderate poste a difesa del perimetro informatico aziendale e dei singoli Pc e server. Gli strumenti e le tecniche per realizzare una buona sicurezza attiva sono: - autenticazione degli utenti interni ed esterni - antivirus efficiente con aggiornamento automatico su tutti i server, client e apparati di rete - installazione immediata delle patch di sicurezza su tutti i server, client e apparati di rete - backup periodico di tutti i dati e configurazioni

7. barCamp Fondamenti di Networking I (parte II) – Ovindoli (AQ) 14 Dicembre 2007 Panoramica sulla sicurezza Tipi di attacco al livello 4 Prevenzione degli attacchi: soluzioni commerciali e non Considerazioni finali Presentazione dello scenario Sicurezza passiva - Per sicurezza passiva normalmente si intendono le tecniche e gli strumenti di tipo difensivo , ossia quel complesso di soluzioni il cui obiettivo è quello di impedire che utenti non autorizzati possano accedere a risorse, sistemi, impianti, informazioni e dati di natura riservata. - Il concetto di sicurezza passiva pertanto è molto generale: ad esempio, per l'accesso a locali protetti, l'utilizzo di porte di accesso blindate e sistemi di allarme, congiuntamente all'impiego di sistemi di identificazione personale, sono da considerarsi componenti di sicurezza passiva.

8. barCamp Fondamenti di Networking I (parte II) – Ovindoli (AQ) 14 Dicembre 2007 Panoramica sulla sicurezza Tipi di attacco al livello 4 Prevenzione degli attacchi: soluzioni commerciali e non Considerazioni finali Presentazione dello scenario Standard ISO 27001 per la sicurezza dei Sistemi Informativi - Standard creato e pubblicato nel 2005 - Annex A "Control objectives and controls" (133): - sicurezza delle risorse umane - gestione dei beni - sicurezza fisica e ambientale - gestione delle comunicazioni - controllo degli accessi fisici e logici - business continuity

9. barCamp Fondamenti di Networking I (parte II) – Ovindoli (AQ) 14 Dicembre 2007 Panoramica sulla sicurezza Tipi di attacco al livello 4 Prevenzione degli attacchi: soluzioni commerciali e non Considerazioni finali Presentazione dello scenario SYN flooding Situazione normale

10. barCamp Fondamenti di Networking I (parte II) – Ovindoli (AQ) 14 Dicembre 2007 Panoramica sulla sicurezza Tipi di attacco al livello 4 Prevenzione degli attacchi: soluzioni commerciali e non Considerazioni finali Presentazione dello scenario SYN flooding SYN flooding senza spoofing

11. barCamp Fondamenti di Networking I (parte II) – Ovindoli (AQ) 14 Dicembre 2007 Panoramica sulla sicurezza Tipi di attacco al livello 4 Prevenzione degli attacchi: soluzioni commerciali e non Considerazioni finali Presentazione dello scenario SYN flooding SYN flooding con spoofing

12. barCamp Fondamenti di Networking I (parte II) – Ovindoli (AQ) 14 Dicembre 2007 Panoramica sulla sicurezza Tipi di attacco al livello 4 Prevenzione degli attacchi: soluzioni commerciali e non Considerazioni finali Presentazione dello scenario Attacco a desincronizzazione iniziale 1. Durante l'apertura della connessione il client valido invia un pacchetto SYN al server che risponde con un pacchetto SYN/ACK, che viene intercettato dall'hacker. 2. Quando l'hacker preleva il pacchetto SYN/ACK invia al server un pacchetto RST (ReseT Request) e poi un pacchetto SYN con gli stessi parametri del pacchetto SYN/ACK del server, in particolare il numero di porta sulla quale sincronizzare la connessione; inoltre il pacchetto dell'hacker ha un numero di sequenza differente. 3. Quando il server riceve il pacchetto RST chiude la prima connessione (ovvero quella con il client valido) e poi, quando riceve il pacchetto SYN, apre una nuova connessione sulla stessa porta ma con numero di sequenza differente. Il server invia al client originale un pacchetto SYN/ACK. 4. L'hacker intercetta il pacchetto SYN/ACK e invia al server il proprio pacchetto ACK. Il server attiva lo stato di connessione sincronizzata.

13. barCamp Fondamenti di Networking I (parte II) – Ovindoli (AQ) 14 Dicembre 2007 Panoramica sulla sicurezza Tipi di attacco al livello 4 Prevenzione degli attacchi: soluzioni commerciali e non Considerazioni finali Presentazione dello scenario Attacco a desincronizzazione iniziale SYN (X) SYN/ACK (X) RST (X) SYN (Y) Hacker SYN/ACK (Y) ACK (Y)

14. barCamp Fondamenti di Networking I (parte II) – Ovindoli (AQ) 14 Dicembre 2007 Panoramica sulla sicurezza Tipi di attacco al livello 4 Prevenzione degli attacchi: soluzioni commerciali e non Considerazioni finali Presentazione dello scenario Fasi preliminari - Hardening di ogni macchina - Redigere un piano di sicurezza e disaster recovery - Implementare policy di sicurezza locale - Ove possibile, utilizzare connessioni crittografate - Sviluppare codice sicuro per le applicazioni - Segmentare i livelli di gestione - Per l’accesso SSH, disabilitare il sistema password e abilitare il key authentication

16. barCamp Fondamenti di Networking I (parte II) – Ovindoli (AQ) 14 Dicembre 2007 Panoramica sulla sicurezza Tipi di attacco al livello 4 Prevenzione degli attacchi: soluzioni commerciali e non Considerazioni finali Presentazione dello scenario SYN cookies - echo 1 > /proc/sys/net/ipv4/tcp_syncookies - Permette di creare un initial sequence number (ISN) non-random - Il valore, contenuto nel segmento, viene chiamato cookie - Viene ottenuto da una funzione hash i cui parametri sono: IP sorgente, porta sorgente, IP destinazione, porta destinazione e alcuni valori di sistema 1) Durante un attacco, il server invia al client un SYN/ACK contenente il cookie 2) Tenendo vuota la SYN queue, se il server riceve un ACK senza il cookie, allora lo ignora… 3) …se invece l’ACK contiene il cookie, allora viene instaurata la connessione utilizzando i dati memorizzati nel cookie stesso (solo il server può decifrarli)

17. barCamp Fondamenti di Networking I (parte II) – Ovindoli (AQ) 14 Dicembre 2007 Panoramica sulla sicurezza Tipi di attacco al livello 4 Prevenzione degli attacchi: soluzioni commerciali e non Considerazioni finali Presentazione dello scenario Soluzioni commerciali - Cisco Guard DDoS mitigation appliance ( > $12,000 ) - Top Layer IPS - Juniper Networks IDP o ISG - Servizi online con apparati condivisi: blockdos.net, block-ddos.com, ecc. Come funzionano questi servizi online?

18. barCamp Fondamenti di Networking I (parte II) – Ovindoli (AQ) 14 Dicembre 2007 Panoramica sulla sicurezza Tipi di attacco al livello 4 Prevenzione degli attacchi: soluzioni commerciali e non Considerazioni finali Presentazione dello scenario Come funzionano i servizi online con apparati condivisi

19. barCamp Fondamenti di Networking I (parte II) – Ovindoli (AQ) 14 Dicembre 2007 Panoramica sulla sicurezza Tipi di attacco al livello 4 Prevenzione degli attacchi: soluzioni commerciali e non Considerazioni finali Presentazione dello scenario Come funzionano i servizi online con apparati condivisi

20. barCamp Fondamenti di Networking I (parte II) – Ovindoli (AQ) 14 Dicembre 2007 Panoramica sulla sicurezza Tipi di attacco al livello 4 Prevenzione degli attacchi: soluzioni commerciali e non Considerazioni finali Presentazione dello scenario Come funzionano i servizi online con apparati condivisi Servizio online di Dos e DDos mitigation Web Server Database Server Fibra ottica 1 Gbps/s 100 Mbits/s 100 Mbits/s 100 Mbits/s Firewall 100 Mbits/s

21. barCamp Fondamenti di Networking I (parte II) – Ovindoli (AQ) 14 Dicembre 2007 Panoramica sulla sicurezza Tipi di attacco al livello 4 Prevenzione degli attacchi: soluzioni commerciali e non Considerazioni finali Presentazione dello scenario Quindi quali sono i benefici per il livello 7? - Risparmio di risorse di sistema a favore delle applicazioni - Maggiori performance in termini di velocità delle applicazioni - Riduzione del rischio di perdita irreversibile di dati a causa di attacchi - Maggiore SLA dei propri servizi - Maggiore appetibilità per i motori di ricerca (prediligono siti con tempi rapidi di risposta) - Sensazione di affidabilità e qualità da parte degli utenti

22. barCamp Fondamenti di Networking I (parte II) – Ovindoli (AQ) 14 Dicembre 2007 Panoramica sulla sicurezza Tipi di attacco al livello 4 Prevenzione degli attacchi: soluzioni commerciali e non Considerazioni finali Presentazione dello scenario GRAZIE! Domande?