Corso Pentest

www.ncp-italy.com Sicureza ICT Vol I-1

 Who I am

• Francesco Tornieri
• Docente non di ruolo presso Università Cattolica del Sacro
Cuore di Milano
• Lavora in qualità di consulente per molte Banche o società di
consulenza per tematiche inerenti l' Information Security
• Collabora con molti editori italiani
• Fondatore LugVr (linux user group verona)

www.ncp-italy.com Sicureza ICT Vol I-2

 Il problema della Sicurezza Informatica

 Sicurezza della Informazione

 La difesa dell’informazione ha un costo:

 Organizzativo
 Gestionale
 Formativo
 Tecnologico

La sicurezza deve essere affrontata con un

approccio globale

www.ncp-italy.com Sicureza ICT Vol I-3

 Informazione sicura

 L’informazione in azienda è sicura quando vengono

rispettate le caratteristiche di:
 Riservatezza, l’informazione e’ acceduta solo dalle persone
autorizzate
 Integrità, viene salvaguardata l’accuratezza e la completezza
dell’informazione cosi come i metodi utilizzati per manipolarla
 Disponibilità, viene garantito l’accesso alla informazione in
qualunque momento alle sole persone autorizzate
 La triade RID risulta fondamentale per l’azienda per:
 mantenere il vantaggio competitivo,
 garantire la profittabilità,
 proteggere l’immagine dell’azienda stessa e del marchio,
 essere in regola con le Leggi in vigore nel Paese in cui si opera

www.ncp-italy.com Sicureza ICT Vol I-4

 Sicurezza in azienda – una chimera?

 Le minacce alle quali vengono esposte le aziende

e i relativi sistemi informatici sono in costante
crescita
 La crescente connessione tra reti pubbliche e
private e la condivisione delle informazioni rende
piu’ difficile un controllo dell’accesso alle
informazioni e indebolisce il processo di gestione
centralizzata.

www.ncp-italy.com Sicureza ICT Vol I-5

 Valutazione del Rischio

 I requisiti di sicurezza vengono identificati attraverso una

continua valutazione dei rischi ai quali l’informazione
aziendale può essere esposta.
 La valutazione del rischio puo’ venire svolta sulla intera
organizzazione o parte di essa cosi come su una parte dei
sistemi informativi o sull’intero patrimonio informativo
dell’organizzazione.
 Il processo di valutazione del rischio prende in
considerazione i seguenti aspetti:
 a) il danno al Business aziendale risultante da problemi di
sicurezza, si tiene conto di eventuali conseguenze dovute alla
perdita di riservatezza, integrità e disponibilità della
informazione e dei beni.
 b) le probabilità che i problemi avvengano in relazione a
determinate minacce e vulnerabilità e controlli attualmente
implementati.

www.ncp-italy.com Sicureza ICT Vol I-6

 Alcune elementi utilizzati in analisi dei rischi

Bene (asset): un qualsiasi oggetto in azienda che abbia

valore per la stessa e che quindi necessita di essere
protetto o salvaguardato.
Minaccia: definita come evento potenziale che può avere
un effetto dannoso sulle risorse del sistema.
Agente: il vettore di una determinata minaccia.
Vulnerabilità: definita come una condizione di debolezza
che può essere sfruttata per attuare una minaccia.
Danno: è prodotto da una violazione della sicurezza ed è
l’effetto di un fallimento nella protezione di riservatezza,
integrità o disponibilità.

www.ncp-italy.com Sicureza ICT Vol I-7

 Cosa è il rischio

Il rischio è una funzione di tre variabili:

(Benep ; Minaccian ; Vulnerabilitàm)
La misura del rischio di un bene è data dal prodotto della
misura del danno e dalla probabilità che si verifichi l’evento
dannoso:
Rischioi = Dannok × Probabilitàl
dove il danno deve essere valutato in funzione del bene
colpito e della minaccia a cui il bene è esposto:
Dannok = D(Benep ; Minaccian)
la probabilità deve essere valutata in funzione della minaccia
e della vulnerabilità del bene colpito:
Probabilitàk = P(Minaccian ; Vulnerabilitàm)

www.ncp-italy.com Sicureza ICT Vol I-8

 Rete Sicura
 Negli ultimi anni le attivita’ commerciali sviluppate su Internet (e-
business) hanno portato alle compagnie grandi guadagni e
maggiore efficienza.
 Le applicazioni e-business come l’e-commerce, la supply-chain
management e l’accesso remoto alle risorse di rete hanno aiutato
le compagnie ad abbassare i costi operativi, incrementare la
soddisfazione del cliente e a migliorare i processi interni.
 Tali applicazioni necessitano di una infrastruttura di rete altamente
affidabile, il crescente bisogno di dover trasportare traffico dati,
voce e video, nonche’ il supporto ad un’ utenza che tende a
crescere nel tempo, richiede una infrastruttura di rete che risponda
a requisiti di capacita’, scalabilita’ e performance sempre
crescenti.
 Aumentando il numero di servizi disponibili in rete aumentano le
probabilita’ che l’azienda si esponga ad un sempre maggior
numero di attacchi alla propria sicurezza.
 Per contrastare questi attacchi ed assicurare che le transazioni e-
business non vengano compromesse, viene in aiuto la tecnologia
sviluppata nell’ambito della sicurezza.
www.ncp-italy.com Sicureza ICT Vol I-9
 Internet debole: cause

 Molti protocolli della suite TCP/IP compresi i servizi di rete

presentano delle debolezze di progetto.

 I protocolli Internet vennero realizzati in un contesto aperto

dove importanti erano gli aspetti di disponibilità e la facilità
di comunicazione, l’aspetto della sicurezza non era
contemplato negli scopi di progettazione iniziali.

www.ncp-italy.com Sicureza ICT Vol I-10

La suite protocollare TCP/IP

www.ncp-italy.com Sicureza ICT Vol I-11

 Architettura protocollare TCP/IP

Application

Transport

Internetwork

Tecnologie di Strati di
sottorete sottorete

www.ncp-italy.com Sicureza ICT Vol I-12

 Funzionamento TCP/IP

Network 1 Network 2 Network 3

Host A Router A Router B Host B

Host A Host B
application application
transport Router A Router B transport

IP IP IP IP
network network network network
interface interface interface interface

Network 1 Network 2 Network 3

C’è da notare che ogni macchina collegata ad Internet può

essere rappresentata attraverso il suo stack protocollare
(vedere figura), sia essa un PC su una LAN o un grosso
router di transito.

www.ncp-italy.com Sicureza ICT Vol I-13

 Strato di Trasporto

 Lo scopo di tale strato è quello di fornire una comunicazione end-to-end a

livello di processi
 Il software di questo strato è responsabile del meccanismo che permette
di distinguere, all'interno di uno stesso host, il processo applicativo
destinatario (o sorgente) dei dati
 Ogni elaboratore contiene un insieme di punti logici di accesso “Port"
 Ad ogni servizio è associato una “Port” che consente di indirizzare il
processo che realizza il servizio (server)
 Nell'architettura Internet esistono due standard principali di protocolli di
trasporto:
 User Datagram Protocol (UDP - RFC 768)
 Transmission Control Protocol (TCP - RFC 793)

www.ncp-italy.com Sicureza ICT Vol I-14

 Strato di Trasporto

 La divisione dei compiti fra strato di trasporto (UDP, TCP) ed IP è

la seguente:
 lo strato IP si occupa del trasferimento dei dati fra
elaboratori collegati alle reti interconnesse; quindi
l'intestazione IP identifica gli host sorgente e destinazione
 lo strato UDP (o TCP) si occupa dello smistamento dei dati fra
sorgenti o destinazioni multiple all'interno dello stesso host
tramite il “Port Number”
 Per richiedere un servizio, fornito da un processo residente su un
host remoto, il client deve conoscere il “Port Number” associato
al servizio stesso

www.ncp-italy.com Sicureza ICT Vol I-15

 Porte TCP ed UDP

 Sono il mezzo con cui un programma client indirizza un

programma server
 un client HTTP per connettersi ad un server HTTP indica:
 l’indirizzo IP dell’elaboratore remoto

 il numero della porta associata al server HTTP

 Caratteristiche
 identificate da un numero naturale su 16 bit
 0...1023 = porte riservate
 1024...65535 = porte utente

www.ncp-italy.com Sicureza ICT Vol I-16

 Well Known Port

 Sono associate agli applicativi principali

Servizio Porta TCP UDP

FTP 20/21 
TELNET 23 
SMTP 25 
TFTP 69  
DNS 53 
HTTP 80 
SNMP 161 
POP3 110 

www.ncp-italy.com Sicureza ICT Vol I-17

 Transmission Control Protocol (TCP)

 Il TCP è un protocollo affidabile in quanto:

 Gestisce la temporizzazione dell’invio dei pacchetti,

contemporaneamente all’invio di un pacchetto viene fatto partire un
timer, se un riscontro di avvenuto ricevimento non viene ricevuto nel
tempo stabilito il pacchetto viene ritrasmesso
 Quando riceve dei dati dalla stazione mittente invia un riscontro. Il
riscontro non viene inviato immediatamente, ma viene ritardato di una
frazione di secondo (delayed acknowledgement)
 Effettua il controllo della integrità. Se un segmento arriva con un
checksum non valido, il TCP scarta il segmento e non invia il riscontro.
(rimane in attesa che il trasmettitore vada in time out e ritrasmette il
segmento)
 Riordina i pacchetti. TCP è imbustato in IP, siccome i pacchetti IP
possono arrivare fuori sequenza, i segmenti TCP possono arrivare fuori
sequenza. Il TCP, se necessario, riordina nella corretta sequenza i
segmenti, passandoli nell’ordine corretto all’applicativo
 Fornisce il controllo di flusso. Ciascuna estremità di una connessione
TCP ha un quantità finita di spazio nel buffer. Il TCP in ricezione non
consente alla stazione trasmittente di inviare una quantità di dati che
superi lo spazio disponibile nel proprio buffer

www.ncp-italy.com Sicureza ICT Vol I-18

 Header TCP

0 16 31
Source Port Destination Port
Sequence Number
Acknowledge Number urg: Urgent pointer field significant
uap r s f ack: Acknowledge field significant
Data psh: Push function
res. r c s s y i Window
Offset gkh t nn rst: Reset connection
syn: Syncronize sequence number
Checksum Urgent Pointer fin: No more data from sender
Options Padding
Data

www.ncp-italy.com Sicureza ICT Vol I-19

 Connessione TCP

 TCP identifica un “canale” di comunicazione con il nome di connessione

 La connessione è identificata dalla quadrupla:

 <IP client, Port client, IP server, Port server>



 Questa soluzione permette:

 A client diversi di accedere allo stesso servizio sul medesimo server
 Allo stesso client di attivare più sessioni dello stesso servizio

www.ncp-italy.com Sicureza ICT Vol I-20

 Apertura di una connessione

Three-way handshake

SYN, ISN=100
segmento 1

SYN, ISN=300, ACK=101

segmento 2

segmento 3 SEQ=101, ACK=301

www.ncp-italy.com Sicureza ICT Vol I-21

 Chiusura di una connessione

FIN, SEQ=500, ACK=700

segmento 1

SEQ=700, ACK=501
segmento 2

FIN, SEQ=700, ACK=501

segmento 3

segmento 4 SEQ=501, ACK=701

www.ncp-italy.com Sicureza ICT Vol I-22

Diagramma di una connessione TCP

www.ncp-italy.com Sicureza ICT Vol I-23

 Protocollo UDP

 Protocollo di trasporto di tipo non connesso

 Aggiunge due funzionalità a quelle di IP:
 multiplexing delle informazioni tra le varie applicazioni tramite il
concetto di porta
 checksum (opzionale) per verificare l’integrità dei dati
 Non prevede un controllo di flusso
 Non è in grado di adattarsi autonomamente a variazioni di traffico
 Non prevede meccanismi di retrasmissione in caso di errori/perdite
 eventuali meccanismi di retrasmissione (se necessari) vengono gestiti
direttamente dall’applicazione

www.ncp-italy.com Sicureza ICT Vol I-24

 Strato di Trasporto: UDP

 Servizio di trasporto fornito:

 non affidabile
 connectionless
 Header UDP
 port sorgente, port destinazione
 campo per eventuale checksum

0 16 31
Source Port Destination Port

Length Checksum

Data

www.ncp-italy.com Sicureza ICT Vol I-25

 Anatomia di un attacco cibernetico

 Sono stati individuati una serie di passaggi fondamentali

che un Hacker segue prima di eseguire un attacco ad una
rete questi sono:
 Footprinting

 Scansione

 Enumerazione

 L’attaccante, per portare a termine un attacco mirato con

successo e senza lasciare traccia, deve procurarsi una
grande quantità di informazioni sul sistema obiettivo
 Adottando una metodologia strutturata, effettua una
fotografia dell’obiettivo raccogliendo informazioni
riguardanti la struttura informativa, la sicurezza, le
informazioni riguardanti Internet ed eventualmente
l’accesso remoto, la intranet/extranet etc.

www.ncp-italy.com Sicureza ICT Vol I-26

 Footprinting

 La tecnica denominata “Footprinting” è necessaria per

consentire l’identificazione sistematica e metodica di tutti i
dati relativi alle tecnologie adottate dalla rete obiettivo
dell’attacco
 Il Footprinting permette di ottenere un profilo completo del
livello di protezione della rete obiettivo
 Senza una chiara metodologia potrebbero sfuggire
informazioni chiavi relative ad una particolare tecnologia o
struttura necessari per l’attacco
 La tecnica di Footprinting permette di ridurre l’azienda ad
un insieme di indirizzi IP di macchine direttamente
connesse ad Internet, nomi di dominio, blocchi di rete etc.
 Il Footprinting rappresenta la fase piu’ difficile nel tentativo
di individuare il livello di sicurezza di una azienda o di un
ente.

www.ncp-italy.com Sicureza ICT Vol I-27

 Footprinting
 Le tecnologie e le informazioni critiche necessarie agli hacker e raccolte durante la fase
di Footprinting si possono riassumere nelle seguenti:
 Livello Internet
 Nomi di dominio
 Blocchi di rete
 Specifici indirizzi IP di macchine raggiungibili da Internet
 Servizi TCP e UDP attivi sui sistemi identificati
 Architetture di sistema
 Meccanismi utilizzati per il controllo degli accessi (ACL-Access Control List) ed eventuali elenchi
 Sistemi utilizzati per il rilevamento delle intrusioni (IDS – Intrusion Detection System)
 Nomi degli utenti e dei gruppi, tabelle di instradamento, info SNMP, banner di sistema (enumerazione di
sistema)
 Nomi di host DNS
 Livello Intranet
 Protocolli di rete utilizzati (TCP/IP, Netbios, IPX/SPX, DecNet, SNA etc.)
 Nomi di dominio
 Blocchi di rete
 Specifici indirizzi IP di macchine raggiungibili da Internet
 Servizi TCP e UDP attivi sui sistemi identificati
 Architetture di sistema
 Meccanismi utilizzati per il controllo degli accessi (ACL-Access Control List) ed eventuali elenchi
 Sistemi utilizzati per il rilevamento delle intrusioni (IDS – Intrusion Detection System)
 Nomi degli utenti e dei gruppi, tabelle di instradamento, info SNMP, banner di sistema (enumerazione di
sistema)
 Nomi di host DNS
 Accesso remoto
 Numeri di linee telefoniche e digitali
 Tipologia di sistema remoto
 Meccanismi di autenticazione
 VPN e protocolli correlati (IPSec, PPTP, etc.)
 Extranet
 Origine e destinazione della connessione
 Tipo di connessione
 Meccanismo di controllo degli accessi

www.ncp-italy.com Sicureza ICT Vol I-28

 Footprinting – Fase 1

 viene determinato l’ambito di azione

 l’attività di footprinting prevede un campo di
azione:
 Intera organizzazione?

 Solo alcune sedi e filiali?

 La sede principale?

 In alcune situazioni è molto difficile, per chi si

occupa di gestire la sicurezza di una azienda,
avere conoscenza di tutti gli asset aziendali da
proteggere!

www.ncp-italy.com Sicureza ICT Vol I-29

 Footprinting – Fase 2

 Gli attaccanti giocano sul fatto che, molto spesso, gli

aspetti inerenti le autorizzazioni interne ad un’azienda
sono poco curati
 La non corretta applicazione del processo autorizzativo
porta ad avere delle grosse lacune in ambito sicurezza:
 Si dispone delle necessarie autorizzazioni per svolgere

la propria attività?
 Di quale attività si tratta?

 L’autorizzazione è stata rilasciata dalla persona dotata

delle deleghe e competenze necessarie?

 L’autorizzazione viene rilasciata per iscritto?

www.ncp-italy.com Sicureza ICT Vol I-30

 Footprinting – Fase 3

 La ricerca delle informazioni necessarie viene svolta su

Internet!
 Internet è il depositario delle informazioni piu’ disparate
riguardanti la Società e queste informazioni provengono
dalle fonti più disparate:
 Pagine web aziendali

 Società e soggetti collegati

 Sedi

 Numeri telefonici, mail, nomi, dati personali dei contatti

 News relative alla Società! Fusioni, acquisizioni, dati di

crescita, politiche del personale etc.

 Informazioni di archivio

 Curricula, motori di ricerca etc.

 Politiche di tutela della privacy, politiche della sicurezza,

informazioni sulle tecniche e sulle procedure di

sicurezza adottate!!!!!

www.ncp-italy.com Sicureza ICT Vol I-31

 Footprinting – Fase 3

Wikipedia:
“OSINT, abbreviazione delle parole inglesi Open
Source INTelligence, è l'attività di raccolta di
informazioni mediante la consultazione di fonti di
pubblico accesso. Nell'ambito di operazioni di
intelligence il termine "Open Source" si riferisce a
fonti pubbliche, liberamente accessibili, in
contrapposizione a fonti segrete o coperte. Non ha
nulla a che fare con il software libero, detto appunto
Open Source Software”
www.ncp-italy.com Sicureza ICT Vol I-32
 OSINT - video
• TARGET
• TRUST
• THREAT
 OSINT – due fattori
• Geolocalizzazione
• Social Network
• Tipo di dispositivo usato?
 OSINT

www.ncp-italy.com Sicureza ICT Vol I-35

 OSINT

www.ncp-italy.com Sicureza ICT Vol I-36

 Scansione della rete

 La scansione della rete si riferisce ad un tipo di azione il cui scopo

e’ quello di raccogliere piu’ informazioni possibili riguardo la rete
obiettivo dell’attacco facendo uso di informazioni e applicazioni
disponibili al pubblico.

www.ncp-italy.com Sicureza ICT Vol I-37

 Scansione della rete (2)

 Richieste Domain Name System (DNS) – permettono di ottenere

informazioni come: chi appartiene ad un certo dominio e quali
indirizzi sono stati assegnati a quel dominio.
 Ping sweeps – fornisce una chiara idea degli host presenti e attivi
in un dato dominio.
 Scansione delle porte – verifica ciclica di tutte le porte per fornire
una completa lista di tutti i servizi che sono eseguiti sull’host.

www.ncp-italy.com Sicureza ICT Vol I-38

 Scansione della rete (3)

 Strumenti trovati facilmente su Internet possono

essere usati per la scansione di una rete.
 Le richieste DNS (DNS query) possono rivelare
informazioni riguardo l’appartenenza ad un particolare
Dominio e quali indirizzi IP sono stati assegnati a quel
Dominio. Ping test effettuati sugli indirizzi forniti dalle
precedenti attivita’, danno modo di identificare gli
host attivi nell’ambiente preso di mira. Dopo aver
creato tale lista, strumenti per la scannerizzazione
delle porte (port scan) possono fornire una lista
sempre aggiornata dei servizi attivi e disponibili di
ogni host individuato con la tecnica “ping sweeps”.

www.ncp-italy.com Sicureza ICT Vol I-39

OSINT DEMO
TOR
TOR
TOR
TOR
TOR HIDDEN SERVICE
TOR HIDDEN SERVICE
TOR HIDDEN SERVICE
TOR HIDDEN SERVICE
TOR HIDDEN SERVICE
 Contromisure

Come contrastare le scansioni di rete:

Non esiste una attività di prevenzione che elimini del
tutto le ricognizioni della rete

Gli strumenti IDS possono notificare all’amministratore

la presenza di attivita’ riconducibile alla ricognizione della
rete. (un esempio: Ping Sweep e Port Scan)

www.ncp-italy.com Sicureza ICT Vol I-50

 Enumerazione

 La differenza tra la raccolta delle informazioni

descritta precedentemente e la enumerazione è
nel livello di “invadenza” del processo.
 L’hacker, con tale processo, passa all’azione
procedendo ad interrogare in maniera diretta i
sistemi e i servizi individuati come aperti e
disponibili
 Se tali processi non vengono accuratamente
configurati, una volta interrogati, provvederanno
a fornire una serie di informazioni che potranno
poi essere utilizzate a discapito dei processi
stessi

www.ncp-italy.com Sicureza ICT Vol I-51

 Enumerazione

 Il processo di enumerazione richiede connessioni

dirette ai sistemi ed interrogazioni esplicite
 Le informazioni che possono venire raccolte sono
le più differenti:
 Tipologia di software e/o firmware in uso dalla macchina
 Versioni del software e del firmware in suo dal sistema
attaccato (per individuare versioni non recenti e con
vulnerabilità note, ad esempio server web soggetti a
buffer overflow remoto)
 Risorse condivise dovute a configurazioni errate
(esempio condivisione di file)
 Nomi di account utente (utilizzati successivamente)

www.ncp-italy.com Sicureza ICT Vol I-52

 Enumerazione – Cattura dei Banner

 La tecnica fondamentale di enumerazione è la

cosiddetta cattura dei banner.
 La tecnica consiste nella osservazione dell’output
ottenuto dalla interrogazione di applicazioni
remote
 La enumerazione puo’ essere effettuata
utilizzando i comandi listati su porte aperte e
comuni, il banner dell’applicativo o servizio può
fornire le informazioni desiderate per un attacco:
 telnet (esempio: telnet www.xyz.org:80 )
 Netcat (esempio: nc –v www.xyz.com 80)
 Ftp (esempio: ftp ftp.ppc.kcr.org)

www.ncp-italy.com Sicureza ICT Vol I-53

 Enumerazione - Contromisure

 Le contromisure da adottare per prevenire

l’enumerazione sono:
 Disabilitare i servizi non necessari
 Limitare l’accesso ai servizi mediante il controllo degli
accessi alla rete
 Cercare di disabilitare la presentazione del produttore e
del servizio attraverso il banner
 Effettuare regolari scansioni (autorizzate) all’interno
della rete per verificare la presenza di porte e/o servizi
disponibili

www.ncp-italy.com Sicureza ICT Vol I-54

Tipologie di attacco alla rete

www.ncp-italy.com Sicureza ICT Vol I-55

 Tipologie di attacco

Alcune delle piu’ importanti tipologie di attacco utilizzate

per compromettere l’infrastruttura di una rete:

Packet Sniffer
Sfruttamento delle vulnerabilita’ del protocollo IP
Password Attacks
DoS oppure DdoS
Attacchi di tipo “Man in the Middle”
Tcp hijacking
Attacchi a livello applicativo
Sfruttamento dei “Trust”
Re-indirizzamento delle porte
Virus
Trojan Horse
Errori dell’operatore

www.ncp-italy.com Sicureza ICT Vol I-56

 Packet Sniffer
Il Packet Sniffer e’ solitamente un software che utilizza una scheda
di rete settata in modalità promiscua per catturare e analizzare tutti
i pacchetti di rete che girano nella LAN.
Il Packet Sniffer sfrutta tutte le informazioni che vengono spedite in
chiaro sulla rete. Protocolli che passano informazioni in chiaro sono:
Telnet
FTP
SNMP
POP
Il Packet Sniffer (ovvero la scheda di rete) deve essere posto nello
stesso dominio di collisione

Host A Host B
Router A Router B

www.ncp-italy.com Sicureza ICT Vol I-57

 Contromisure

Le seguenti tecniche e strumenti aiutano a ridurre i rischi di un attacco effettuato

con Packet Sniffer:
Autenticazione – Utilizzare una autenticazione forte ad esempio utilizzando One
Time Password, questa e’ una prima contromisura per difendersi da attacchi
effettuati con Packet Sniffer
Infrastruttura di rete implementata con Switch – sviluppare una infrastruttura
con soli Switch neutralizza e contrasta il Packet Sniffer riducendo il suo raggio
d’azione.
Strumenti Anti-Sniffer – Strumenti software ed hardware progettati per
l’individuazione di eventuali Sniffer presenti in rete
Crittografia – Il metodo vincente per contrastare l’utilizzo dei Packet Sniffer, pur
non impedendo al software di ascoltare la rete, riesce a rendere inutile la cattura
dei dati che transitano sulla rete in quanto criptati.

Host A Host B
Router A Router B

www.ncp-italy.com Sicureza ICT Vol I-58

 Ip-Spoofing

Ip Spoofing avviene quando un hacker che agisce internamente od

esternamente a una rete si interpone in una comunicazione sostituendosi ad
uno dei due peering.
Due tecniche generali sono utilizzate durante l’IP spoofing:
Un hacker utilizza un indirizzo IP all’interno di un insieme di indirizzi
autorizzati
Un hacker fa uso di un indirizzo IP esterno autorizzato ad accedere alla
rete
La tecnica dell’IP spoofing viene utilizzata per:
Inserire comandi o dati all’interno di un insieme di dati che transitano
in rete
Permettere ad un hacker di sostituirsi all’host attaccato cambiando le
tabelle di routing di modo che puntino all’indirizzo IP dell’host preso di
mira; in questo modo l’hacker potra’ intercettare tutti i pacchetti dati e
rispondere come farebbe un qualsiasi host autorizzato a dialogare in
rete.

www.ncp-italy.com Sicureza ICT Vol I-59

 Tcp Hijacking (Dirottamento sessioni TCP )

 È una tipica situazione “Man In The Middle”

 Chi conduce l’attacco è in grado di carpire il
“sequence number”della connessione TCP,
mandare un comando di de-sincronizzazione ed
in seguito riaprire le connessioni con i nodi H ed
M

H syn rst M
A

www.ncp-italy.com Sicureza ICT Vol I-60

 Contromisure

 La minaccia di un attacco di tipo IP Spoofing puo’ venire mitigata ma non eliminata

attraverso le seguenti contromisure:
 Controllo degli accessi – il metodo piu’ comune per prevenire l’IP Spoofing e’
configurare il controllo degli accessi in maniera appropriata.
 Tecniche di filtraggio secondo la RFC 2827 – e’ possibile negare agli utenti la
possibilita’ di effettuare IP spoofing su reti esterne evitando di far passare
qualunque tipo di traffico che non sia originato da indirizzi IP che non
appartengono al range di indirizzi appartenenti alla rete:
 Autenticazione aggiuntiva che non fa uso di autenticazione basata su
indirizzi IP – esempi di autenticazione:
 Cifrata (raccomandato)
 Autenticazione forte ovvero autenticazione attraverso One Time Password
(OTP) o autenticazione a due vie

www.ncp-italy.com Sicureza ICT Vol I-61

 Attacchi DOS (Denial Of Services)

 Attacchi DoS mirano a rendere un servizio rete non piu’ disponibile all’utenza.

 Caratteristiche degli attacchi di tipo DoS sono:

 La differenza da altri tipi di attacco in quanto non sono mirati all’ottenimento
dell’accesso alla rete attaccata o alle informazioni presenti nel sistema.
 La semplicità di esecuzione, non richiede sforzi eccessivi per eseguirlo
 E’ tra i più difficili da eliminare

www.ncp-italy.com Sicureza ICT Vol I-62

 Attacchi DDOS (Distribuited DOS):esempio
1. Scansione dei sistemi da
attaccare Client
system
3. Il client 2. Installazione su dei
comanda gli computers ospiti di
ospiti a software maligni
portare un
attacco
massiccio
Handler
systems

4. Le macchine attaccate non sono più in grado di “servire”

gli utenti perchè le risorse di banda/calcolo sono esaurite

www.ncp-italy.com Sicureza ICT Vol I-63

 Contromisure

 Minacce dovute ad attacchi tipo DoS possono venire ridotte

attraverso i seguenti tre metodi:
 Feature Anti-Spoof – abilitando i settaggi Anti-Spoof sui Router
e Firewall.
 Feature Anti-DoS – abilitando i settaggi Anti-DoS su Router e
Firewall.
 Limitazione del traffico – implementando limitazioni al traffico
con la rete dell’ISP.

www.ncp-italy.com Sicureza ICT Vol I-64

Password Attack

www.ncp-italy.com Sicureza ICT Vol I-65

 Il furto della password

 La password va protetta da possibili attacchi, i più comuni sono:

 Furto diretto
 Password Guessing (Brute Force Attack, Dictionary Attack)
 Intercettazione (Sniffing)
 Rainbow tables

www.ncp-italy.com Sicureza ICT Vol I-66

 Password Guessing

 È possibile tentare di individuare la password (Guessing) cifrando

parole comuni e confrontando il risultato con il contenuto del file
delle password

Esempio: in Unix le password di accesso sono contenute cifrate nel

file: /etc/passwd

www.ncp-italy.com Sicureza ICT Vol I-67

 Password Guessing (2)

 Se la password utilizzata è breve o scelta all’interno di un numero

limitato di caratteri, possono andare a buon fine anche gli
attacchi di tipo esaustivo (Brute Force Attack, Dictionary Attack)

 Esistono dei tool di dominio pubblico che utilizzano questi metodi

di attacco
es: @stake, NC4, Cain

www.ncp-italy.com Sicureza ICT Vol I-68

 Precauzioni per avere una password sicura

 Non collegarsi quando c’è qualcuno che potrebbe

osservare quello che digitiamo
 Usare sempre passwords non ovvie e non appartenenti al
dizionario.

Esempi:
ndopQ1
Wiz_ard
“$sel_dom$”

www.ncp-italy.com Sicureza ICT Vol I-69

Eavesdropping Attack

Molti protocolli di rete trasportano

password in chiaro
È possibile catturare le password
mentre vengono trasmesse sulla LAN

Password=1234

www.ncp-italy.com Sicureza ICT Vol I-70

Attacco Man In The Middle

www.ncp-italy.com Sicureza ICT Vol I-71

 Attacco Man-In-The-Middle
Un attacco “Man In The Middle” richiede che l’attaccante abbia accesso
fisico ai pacchetti rete che attraversano la rete
 Un attacco “Man In The Middle” e’ implementato utilizzando i
seguenti:
Packet sniffer
Protocolli di routing e trasporto
Possibili attacchi di tipo “Man In The Middle” includono:
Furto di informazioni
Dirottamento delle sessioni in corso
Analisi del traffico
DoS
Dati trasmessi corrotti
Introduzione di nuove informazioni nelle sessioni di rete

Host A Host B
Dati in chiaro

Router A Router B
www.ncp-italy.com Sicureza ICT Vol I-72
 Contromisure

Gli attacchi “Man In The Middle”

possono essere limitati con efficacia
solo attraverso l’uso della crittografia.

????

Dati Cifrati

IPSec tunnel
Host A Host B

Router A ISP Router B

www.ncp-italy.com Sicureza ICT Vol I-73
 Attacchi a Livello Applicativo (Livello 7)

 Gli attacchi a Livello Applicativo hanno le seguenti caratteristiche:

 Sfruttano debolezze ben note, come quelle inerenti i protocolli che sono
intrinseche in una applicazione o sistema (per esempio Sendmail, HTTP e FTP)
 Spesso utilizzano porte che sono permesse attraverso un Firewall (per esempio
la porta TCP 80 utilizzata in un attacco contro un Web Server dietro un Firewall)
 Non puo’ essere mai eliminata del tutto in quanto nuove vulnerabilita’ vengono
scoperte ogni giorno.

www.ncp-italy.com Sicureza ICT Vol I-74

 Contromisure

 Alcune misure possono essere prese per ridurre i rischi dovuti a tali
tipi di attacchi:
 Leggere i file di Log dei sistemi operativi e della rete oppure analizzarli
tramite applicazioni software scritte ad-hoc.
 Iscriversi a mailing list che permettano di mantenersi aggiornati sulle
ultime vulnerabilita’ scoperte.
 Mantenere il sistema operativo e le applicazioni aggiornate con le ultime
patch rese disponibili dal Produttore.
 Fare uso di IDS per cercare attacchi di tipo conosciuto, monitorarli e
averne un log, in alcuni casi permette la prevenzione di tali attacchi.

www.ncp-italy.com Sicureza ICT Vol I-75

Virus, trojan e malware

www.ncp-italy.com Sicureza ICT Vol I-76

 Virus, trojan e malware

 I virus sono software maligni, parte di altri programmi che

eseguono funzionalita’ non richieste sulla workstation dell’utente.
Le workstation degli utenti finali sono i principali obbiettivi di tali
software.
 Un “Trojan Horse” (cavallo di troia o troiano) e’ differente solo nel
fatto che l’intera applicazione e’ stata scritta per apparire come
una applicazione non maligna mentre in effetti e’ uno strumento
per attaccare la rete. Un “Trojan Horse” puo’ venire contrastato
da software Antivirus a livello utente e possibilmente a livello
rete.

www.ncp-italy.com Sicureza ICT Vol I-77

 Malware, Ransomware

• “Cyber extortion is an online crime involving

an attack or threat of attack against an
enterprise, coupled with a demand for money
to stop the attack”.
• Forme di estorsioni:
– encrypting data,
– Furto dei dati,
– Blocco accesso ai dati

www.ncp-italy.com Sicureza ICT Vol I-78

 Malware, Ransomware

CYBER EXTORTION

RANSOMWARE DOS ATTACK

www.ncp-italy.com Sicureza ICT Vol I-79

 Malware, Ransomware

CYBER EXTORTION

RANSOMWARE DOS ATTACK

www.ncp-italy.com Sicureza ICT Vol I-80

 Malware, Ransomware

 Malware bloccano accesso ai dati e richiedono un

riscatto.
 Il pc infetto diviene zombie e viene comandato
remotamente
 Target: singoli e aziende.
 Assunzione: il dato è importante e l’utente sarà
disposto a spendere una cifra (non elevata) per poter
ottenere nuovamente l’accesso.
 Nessuna garanzia di accesso anche dopo pagamento

www.ncp-italy.com Sicureza ICT Vol I-81

Malware, Ransomware

www.ncp-italy.com Sicureza ICT Vol I-82

 Malware, Ransomware e prevenzione

 Mantenere software aggiornato (non solo

patch di sistema operativo ma anche
flash/java ecc..).
 Avere regole stringenti di firewall
 Restrizioni SMTP
 Formazione utenti per utilizzo posta e test su
base annuale.
 Utilizzo di regole stringenti sulla sir “Appdata”
 Verifica funzionamento sistema di backup

www.ncp-italy.com Sicureza ICT Vol I-83

 Malware 2.0 = ATP

• “An advanced persistent threat (APT) is a set of stealthy

and continuous computer hacking processes, often
orchestrated by human(s) targeting a specific entity. APT
usually targets organizations and/or nations for business
or political motives. APT processes require a high degree
of covertness over a long period of time. The "advanced"
process signifies sophisticated techniques using malware
to exploit vulnerabilities in systems. The "persistent"
process suggests that an external command and control
system is continuously monitoring and extracting data
from a specific target. The "threat" process indicates
human involvement in orchestrating the attack” -
Wikipedia

www.ncp-italy.com Sicureza ICT Vol I-84

Malware 2.0 = ATP

www.ncp-italy.com Sicureza ICT Vol I-85

 Malware 2.0 = ATP

1. Covert Channels, possibilità di trasferire

informazioni tra due host non direttamente in allow
2. Steganografia, pratica di nascondere informazioni
all’intero di immagini/documenti. Alcuni esempi:
a. Lurk
b. Gozi
c. Stegoloader
c. Nascosto all’intero del protocollo HTTP e DNS

www.ncp-italy.com Sicureza ICT Vol I-86

Malware 2.0 = ATP

www.ncp-italy.com Sicureza ICT Vol I-87

Malware 2.0 = ATP

www.ncp-italy.com Sicureza ICT Vol I-88

Malware 2.0 = ATP

www.ncp-italy.com Sicureza ICT Vol I-89

Malware 2.0 = ATP

www.ncp-italy.com Sicureza ICT Vol I-90

 Sicurezza in ambiente VOIP: alcuni cenni

 L’utilizzo di VoIP ha come conseguenza quella di

poter predisporre una unica infrastruttura dati
con notevoli vantaggi economici in termini di
costi iniziali e di esercizio.

 Coesistenza delle due infrastrutture Voce e Dati

(processo di migrazione)
 Ambiente dati puro

www.ncp-italy.com Sicureza ICT Vol I-91

 VOIP – Problematiche di sicurezza

 Considerare un’unica infrastruttura per il transito della

voce e dei dati offre vantaggi facilmente immaginabili da
un punto di vista economico e gestionale ma questo
contravviene al principio di avere sistemi e servizi il più
possibile diversi e ridondati.
 Quando voce e dati transitano su infrastrutture
indipendenti e con tecnologie diverse, un problema o un
guasto ad una di queste non induce alcun deterioramento
di servizio nell'altro.
 Una convergenza dati-voce in una infrastruttura fa si che
un guasto od un attacco andato a buon fine su un qualsiasi
dispositivo di rete, oltre che al traffico dati, possa portare
ad un blocco del servizio voce.

www.ncp-italy.com Sicureza ICT Vol I-92

 VOIP – Problematiche di sicurezza

 Le reti VOIP fanno dipendere la loro gestione da un gran

numero di parametri configurabili:
 Indirizzi IP e MAC address dei terminali voce
 Indirizzi IP dei router di transito e dei Firewall
 Parametri di software specifici VOIP
 Parametri di programmi utilizzati per l’instradamento delle
chiamate
 Molti di questi parametri di rete sono definiti in maniera
dinamica ogni volta che il dispositivo di rete subisce un
riavvio o quando un terminale voce viene agganciato ad
una rete o riavviato
 La presenza di un gran numero di parametri configurabili
dinamicamente, porta ad avere un numero proporzionale di
possibili punti potenzialmente vulnerabili ad un attacco.

www.ncp-italy.com Sicureza ICT Vol I-93

 VOIP – Problematiche di sicurezza

 Ogni telefono IP su una rete significa un indirizzo IP allocato in più.

 Nelle configurazioni usuali i telefoni IP non sono autenticati

 Nella telefonia tradizionale non è necessaria l'alimentazione indipendente

dei telefoni pertanto in caso di mancanza di corrente elettrica il servizio
voce continua a funzionare se il centralino telefonico risulta dotato di un
Uninterrruptable Power Supply (UPS).

www.ncp-italy.com Sicureza ICT Vol I-94

 VOIP – Problematiche di sicurezza - Eavesdropping

 Nelle attuali implementazioni VoIP il traffico voce risulta

solitamente viaggiare in chiaro (verranno discussi
successivamente i problemi legati alla cifratura del traffico
voce), facendo uso di comuni tecniche di eavesdropping
risulta semplice intercettare i pacchetti IP e quindi
“ascoltare” le telefonate IP.
 Per prevenire questa tipologia di attacchi e per
implementare la Qualità del Servizio (QoS), si tende a
creare nelle LAN delle Virtual-LAN (VLAN) riservate al
traffico telefonico.
 Le VLAN, se non sono opportunamente configurate,
possono presentare vulnerabilità che permettono il VLAN
hopping, ovvero la possibilità di far passare traffico da una
VLAN ad un'altra, e vanno pertanto prese tutte le
necessarie precauzioni per prevenirlo.

www.ncp-italy.com Sicureza ICT Vol I-95

 VOIP – Problematiche di sicurezza – Covert Channel

 La separazione del traffico voce da quello dati in una rete

locale, come anticipato in precedenza, rappresenta un
fattore critico per la telefonia IP e dovrebbe avvenire
attraverso la implementazione di VLAN separate.
 Al traffico voce è tipicamente data e garantita una migliore
qualità del servizio (QoS) proprio per la sua criticità
intrinseca.
 Il traffico voce e dati è logicamente ma non fisicamente
separato, è consigliabile valutare la possibilità della
esistenza di punti di comunicazione non monitorati fra i
due ambienti, genericamente detti covert channels, questi
possono dare la possibilità di generazione di tunnel logici di
dati attraverso il canale voce e viceversa, aggirando così le
politiche di sicurezza create all’uopo.
 In ultima analisi si potrebbe giungere ad un innovativo
furto di banda garantita sfruttando il canale voce per il
trasferimento dei propri dati.

www.ncp-italy.com Sicureza ICT Vol I-96

 VOIP – Problematiche di sicurezza – Livello applicativo
(Livello 7)

 Le problematiche di sicurezza legate ad una infrastruttura VOIP non

coinvolgono solo i livelli più bassi della pila ISO/OSI ma anche il livello
applicativo.
 A livello applicativo i problemi che si possono avere sono molto più
preoccupanti data la complessità dei sistemi utilizzati, infatti più un
sistema è complesso e più facile risulta la probabilità che il codice e gli
applicativi contengano errori nei protocolli, nella loro implementazione,
nella interazione e nella realizzazione pratica dei programmi.
 Considerando che il VoIP è una tecnologia ancora nuova e ancora tutta da
scoprire, la possibilità che nel prossimo futuro possa venire soggetta a
problemi di sicurezza a livello applicativo è molto probabile.
 Occorre pertanto pensare ad un telefono IP come ad un usuale PC,
aspettarsi che possa essere soggetto ad attacchi, a virus, worm ecc.,
ovvero dover intervenire velocemente con la applicazione di patch di
sicurezza.
 A differenza di un telefono tradizionale, un telefono IP è in pratica
un'appliance con il proprio Sistema Operativo e i propri applicativi, e come
tale deve essere considerato. Questo richiede anche che l'infrastruttura di
rete sia progettata tenendo conto di questi fattori, e che l'infrastruttura di
gestione sia in grado di intervenire in maniera proattiva e sempre meno
reattiva.

www.ncp-italy.com Sicureza ICT Vol I-97

 VOIP – Best Practice di Sicurezza

 Per la protezione delle infrastrutture VOIP si potrebbe pensare ad utilizzare le

medesime tecniche e tecnologie impiegate per proteggere una struttura basata su IP
ovvero i Firewall e le tecniche crittografiche
 Purtroppo per le caratteristiche intrinseche del VOIP l’applicazione di queste
tecnologie non sempre ottiene l’effetto voluto, ritardi nella trasmissione voce,
impossibilità di raggiungere o garantire i servizi più banali sono solo alcuni dei
problemi che si possono avere.
 Ai fini della sicurezza vengono indicate alcune pratiche di sicurezza da adottare:
 separare il traffico voce su IP dal traffico dati laddove possibile (ad esempio isolando i PBX IP
e i server VOIP su VLAN dedicate) facendo suo di server DHCP separati
 Fare uso di switch in luogo di hub per usufruire di funzionalità più elevate nonché di
caratteristiche di sicurezza intrinseche.
 Accertarsi che tutti gli apparecchi telefonici siano dotati di password di accesso e che le
password non siano quelle fornite dalla fabbrica (o di default).
 Fare uso di Firewall progettati per il traffico VOIP, i filtri stateful possono tracciare lo stato delle
connessioni respingendo i pacchetti che non fanno parte della chiamata originaria
 Utilizzare tecniche di cifratura della comunicazione all’esterno della rete aziendale come
all’interno tenendo in considerazione aspetti indotti dall’uso di tali tecnologie di protezione e
prevenendo con una opportuna progettazione i possibili disagi
 Utilizzare tecniche di cifratura IPSEC o Secure Shell per tutta la gestione remota, se possibile
sarebbe opportuno evitare la gestione remota e realizzare l’accesso all’IP PBX da un sistema
trusted.

www.ncp-italy.com Sicureza ICT Vol I-98

 VOIP – Crittografia ? SI!

 La necessità di rendere riservate le comunicazioni VOIP e di proteggere i

dispositivi terminali e di transito, difficilmente autenticabili, può condurre
a considerare la adozione di tecniche di cifratura.
 La cifratura introduce un problema di latenza (cifrare il dato in tempo reale
è un compito gravoso per i telefoni, callmanager, gateway e per i
dispositivi di instradamento) che deve essere attentamente valutato in
fase di progetto, ma soprattutto introduce un nuovo problema nella
gestione della qualità del servizio, infatti, non appena i dati vengono cifrati
si perde la possibilità di applicare tecniche di gestione della priorità del
traffico.
 Alcuni vendor possiedono soluzioni che indirizzano questo problema,
restano comunque da considerare i nuovi tempi di latenza introdotta e la
difficoltà di mantenimento del QoS in ambienti multivendor.
 L'assenza di uno standard per la cifratura del traffico VoIP e per
l'instradamento del traffico cifrato, non aiuta.
 Una delle situazioni in cui la cifratura del traffico VoIP non rappresenta un
problema è quando il traffico VoIP viene instradato in WAN su tunnel IPSEC
dedicati, una volta tenuto conto dei ritardi aggiunti dalla adozione della
tecnologia.

www.ncp-italy.com Sicureza ICT Vol I-99

Protocolli di gestione di rete e relative funzioni

www.ncp-italy.com Sicureza ICT Vol I-100

 Configuration Management

 I Protocolli utilizzati per gestire la rete possono avere delle

vulnerabilita’.
 Protocolli di gestione di configurazioni includono SSH, SSL e
Telnet.
 Problematiche inerenti l’applicazione Telnet:
 I dati scambiati in una sessione Telnet risultano non essere cifrati e
possono essere intercettati da chiunque utilizzi un Packet Sniffer
inserito lungo il percorso seguito dai pacchetti di rete tra il Device
Remoto e il Server di gestione.
 I dati possono includere informazioni segrete quali la configurazione
del device, la password e cosi via.

www.ncp-italy.com Sicureza ICT Vol I-101

 Configuration Management: suggerimenti

 Quando possibile , le seguenti pratiche sono raccomandate:

 Utilizzare IPSec, SSH, SSL oppure ogni altro tipo di protocollo
criptato e autenticato.
 Le ACL dovrebbero essere configurate per permettere ai Device di
essere acceduti solo dai server di gestione. Tutti i tentativi eseguiti
da altri indirizzi IP dovrebbero essere negati e segnalati su log file.
 Il filtraggio eseguito secondo i suggerimenti della RFC 2827 ai
Router perimetrali dovrebbero essere utilizzate per limitare le
possibilita’ che i server di gestione possano essere individuati
dall’aggressore esterno.

www.ncp-italy.com Sicureza ICT Vol I-102

 Il protocollo SNMP
(Simple Network Management Protocol)

 SNMP e’ un protocollo di gestione di rete viene utilizzato per recuperare

informazioni relative ad un Device di rete. Le porte TCP e UDP che il protocollo
SNMP utilizza sono la 161 e la 162.
 Problematiche riguardanti l’SNMP:
 SNMP utilizza password, chiamate stringhe “community”, all’interno di ogni
messaggio come semplice forma di sicurezza. Molte implementazioni di SNMP
sui Device di rete odierni, inviano le stringhe community in chiaro sulla rete.
 I messaggi SNMP possono venire intercettati da chiunque utilizzi un Packet
Sniffer posto sul percorso dei dati tra il Device e il Server di gestione,
naturalmente la stringa di community puo’ risultare in questo caso
compromessa.
 Un aggressore potrebbe riconfigurare il device se l’accesso read-write via
SNMP e’ permesso.
 Raccomandazioni nell’uso di SNMP:
 Configurare SNMP con stringhe community read-only
 Settare le access control sul device che si desidera gestire via SNMP
permettendo così gestioni appropriate del Device.

www.ncp-italy.com Sicureza ICT Vol I-103

 Logging (Registrazioni delle attivita’ )

 Alcune caratteristiche del sistema delle registrazioni della attivita’:

 Syslog (Log di sistema) viene inviato in chiaro tra il Device gestito e l’host di
gestione attraverso la porta UDP 514
 Il Syslog non effettua il controllo della integrita’ dei pacchetti a Livello Rete
per assicurare che il contenuto dei pacchetti non sia stato alterato nel
transito.
 I dati Syslog possono venire falsificati da un aggressore
 Un aggressore puo’ inviare grandi quantita’ di dati Syslog falsificati al
server di gestione per l’amministratore di rete durante un attacco

www.ncp-italy.com Sicureza ICT Vol I-104

 Logging :raccomandazioni

 Alcune Best-Practice:

 Criptare il traffico Syslog all’interno di un Tunnel IP-SEC

 Quando Syslog è implementato su una macchina al là di un
Firewall è suggerito seguire le raccomandazioni RFC 2827 sui
Router perimetrali
 Le ACL dovrebbero essere implementate per consentire solo
l’accesso ai dati provenienti dalle macchine gestite.

www.ncp-italy.com Sicureza ICT Vol I-105

 TFTP (Trivial File Transfer Protocol)

 Parecchi device di rete fanno uso di TFTP per trasferire i file di

configurazione o file di sistema attraverso la rete. TFTP utilizza la porta 69
sia TCP che UDP.
 Problematiche riguardanti il TFTP:
 TFTP utilizza UDP per il flusso dei dati tra il Device e il Server TFTP
 TFTP invia dati in chiaro sulla rete. L’amministratore di rete dovrebbe essere a
conoscenza del fatto che i dati di una sessione TFTP potrebbero essere
intercettati da chiunque utilizzi un Packet Sniffer posto sul percorso dei dati tra
l’Host richiedente e il server TFTP
 Quando possibile, il traffico TFTP dovrebbe essere cifrato in un Tunnel
IPSec in modo da ridurre le probabilità che i pacchetti dati in transito
possano essere letti.

www.ncp-italy.com Sicureza ICT Vol I-106

 NTP (Network Time Protocol)

 NTP viene utilizzato per sincronizzare il clock dei vari Device presenti sulla
rete, la temporizzazione e’ critica per quei processi che coinvolgono i
Certificati Digitali e per una corretta interpretazione dei file di Log di
sistema, NTP utilizza la porta 123 sia per connessioni TCP che UDP.
 Problematiche relative NTP:
 Un aggressore potrebbe tentare un attacco DoS sulla rete inviando delle
false informazioni NTP attraverso Internet in un tentativo di cambiare i
clock dei Device di rete di modo che i loro Certificati Digitali vengano
considerati non validi.
 Un aggressore potrebbe tentare di confondere un amministratore di rete
durante un attacco interrompendo i clock sui Device di rete.
 Molti Server NTP presenti su Internet non richiedono alcuna
autenticazione dei peer.

www.ncp-italy.com Sicureza ICT Vol I-107

 NTP: raccomandazioni

 Raccomandazioni sul Protocollo NTP:

 Implementare un meccanismo di clock interno per la

sincronizzazione della rete privata

 Utilizzare NTP versione 3 o successive in quanto

supportano un meccanismo di autenticazione cifrata tra

peer
 Utilizzare le ACL per definire quali Device di rete

possono sincronizzarsi con altri Device di rete in

maniera sicura

www.ncp-italy.com Sicureza ICT Vol I-108

 Hardening – Principi

 Hardening di un sistema è inteso come il

processo mirato alla riduzione delle vulnerabilità
che corregge o tende a minimizzare problemi
conosciuti del sistema operativo

www.ncp-italy.com Sicureza ICT Vol I-109

 Hardening di sistema – principi di base

 Sicurezza fisica di sistema:

 Posizionamento di tutti gli apparati mission critical in locali e/o
armadi protetti e sotto chiave
 Processo di boot eseguibile solo attraverso il disco che
contiene il sistema
 Password di BIOS per proteggere il PC dall’accensione da parte
di personale non autorizzato
 Utilizzo di lucchetti per evitare l’accesso fisico al case del pc o
eventuali furti (pc o parti di esso)
 Accesso con privilegio minimo: (ogni utente deve
possedere tutti e soli i privilegi minimi necessari per poter
svolgere il proprio lavoro)
 Profilatura per utenti e gruppi
 Assegnazione dei ruoli
 Coordinamento con la policy aziendale
 Si ripercuote su parecchie scelte da effettuare in fase di
configurazione

www.ncp-italy.com Sicureza ICT Vol I-110

 Hardening di sistema – Principi base

 Installazione dei sistemi:

 Il processo di installazione deve avvenire sempre in
maniera isolata dalla rete pubblica
 I supporti contenenti i software debbono provenire da
fonti certe e l’integrità deve essere garantita
 Si suggerisce iniziare con una installazione minima e
aggiungere solo successivamente I package aggiuntivi
 Aggiornamento software e patch
 Utilizzare versioni del software ancora in produzione per
poter usufruire del supporto della casa produttrice
contro la scoperta di eventuali bachi del sistema
 Mantenere sempre aggiornati all’ultima patch i sistemi
per evitare che il sistema sia esposto a vulnerabilità

www.ncp-italy.com Sicureza ICT Vol I-111

 Hardening di sistema – principi base

 Politica di gestione delle credenziali (utilizzare una politica

robusta per la scelta e la gestione delle credenziali di
autenticazione)
 Termini di scadenza temporale
 Lunghezza della password
 Password di tipo complesso
 Mantenimento dello storico delle password
 Protezione del sistema non presidiato
 Abilitare il salvaschermo sulle stazioni protetto da password
con tempi di attivazione relativamente stretti
 Cifratura del file system e delle comunicazioni
 Abilitare la cifratura dei dati e delle comunicazioni permette la
protezione dei dati sensibili nel caso vengano intercettate e/o
rubate
 Occorre definire una procedura di recovery dei dati qualora la
chiave utilizzata per cifrare i dati venga persa

www.ncp-italy.com Sicureza ICT Vol I-112

 Hardening di Sistema – Principi Base

 Implementazione di politiche di sicurezza per utenza remota e mobile:

 Autenticazione forte con smart Card/Token/One time Password
 Impossibilità di poter memorizzare localmente le credenziali di
accesso al network
 Utilizzo intensivo della cifratura sui laptop
 Gestione degli account
 Divieto di utilizzo di account amministrativi per la normale attività
 Naming degli account amministrativo non legato alle persone (no
utilizzo nome comune)
 Abilitare sempre il lockout degli account per evitare attacchi alle
password di tipo “Forza Bruta”
 No utenti anonimi,sempre legati strettamente alle persone fisiche
 No utilizzo comune di un unico account (account di gruppo)
 Procedure per eliminazione degli account non piu’ in uso
 Profili specifici per personale non di ruolo (consulenti, stagisti, help
desk etc.)
 Definizione di una politica per le password

www.ncp-italy.com Sicureza ICT Vol I-113

 WIFI Network

 Due tipologie di reti

 Infrastructure
 almeno n.1 AP

 Almeno n.1 station (STA), which together form a

 Basic Service Set (BSS).

 L'unione di entrambi crea un BSS (basic service set) se, l'AP è

collegato via wired si parla di Distribution System (DS) se collegato

via wifi prende il nome di WDS (Wireless DS)
 Ad hoc
 Conosciuta anche come Independent Basic Service Set (IBSS)

 Almeno due STA che comunicano senza un AP (peer to peer

mode).
 In una ad-hoc network, svolge le seguenti funzioni

 Beaconing, invio continuo di pacchetti al fine di mantenere la

rete sincoronizzata (spesso questo tipo di pacchetto contiene

informazioni sul tipo di rete wifi)
 Authentication

www.ncp-italy.com Sicureza ICT Vol I-114

WIFI Network, Infrastructure

www.ncp-italy.com Sicureza ICT Vol I-115

WIFI Network, Infrastructure

www.ncp-italy.com Sicureza ICT Vol I-116

WIFI Network, ad-hoc

www.ncp-italy.com Sicureza ICT Vol I-117

WIFI Network, associazione e autenticazione

www.ncp-italy.com Sicureza ICT Vol I-118

 WIFI Network, associazione e autenticazione

 Tre fasi:
 Probe
 1. The STA first sends a probe on all channels to find the AP

 2. The APs in range answer the probe request

 Authentication
 1. The STA authenticates to the AP, by default to the one with the

best signal
 2. The authentication process occurs (the length of the process

varies)
 3. The AP sends a response to the authentication

 Association
 1. The STA sends an association request

 2. The AP sends an association response

 3. The STA can communicate with the network

www.ncp-italy.com Sicureza ICT Vol I-119

WIFI Network, PROBE

www.ncp-italy.com Sicureza ICT Vol I-120

WIFI Network, PROBE

www.ncp-italy.com Sicureza ICT Vol I-121

WIFI Network, PROBE

www.ncp-italy.com Sicureza ICT Vol I-122

WIFI Network, PROBE con WEP

www.ncp-italy.com Sicureza ICT Vol I-123

WIFI Network, PROBE con WAP

www.ncp-italy.com Sicureza ICT Vol I-124

WIFI Network, AUTHENTICATION

www.ncp-italy.com Sicureza ICT Vol I-125

WIFI Network, AUTHENTICATION

www.ncp-italy.com Sicureza ICT Vol I-126

WIFI Network, SHARED AUTHENTICATION

www.ncp-italy.com Sicureza ICT Vol I-127

WIFI Network, SHARED AUTHENTICATION

www.ncp-italy.com Sicureza ICT Vol I-128

 WIFI Network, SHARED AUTH

 In molti casi i driver/moduli delle schede

wifi prima cercano di collegarsi utilizzando
una open network e solo dopo utilizzando
la shared password!

www.ncp-italy.com Sicureza ICT Vol I-129

WIFI Network, ASSOCIATION

www.ncp-italy.com Sicureza ICT Vol I-130

WIFI Network, ASSOCIATION

www.ncp-italy.com Sicureza ICT Vol I-131

WIFI Network, ASSOCIATION

www.ncp-italy.com Sicureza ICT Vol I-132

WIFI Network, ASSOCIATION

www.ncp-italy.com Sicureza ICT Vol I-133

 WIFI Network, WEP

 WEP:
 WEP is part of the IEEE 802.11 standard and is a scheme used to
secure wireless networks using Rivest Cipher 4 (RC4) to encrypt traffic
and performs CRC32 checksums for message integrity.
 WEP encryption only uses a 24-bit initialization vector (IV) as when the
WEP standard was being drafted
 RC4 is a symmetric cipher meaning that the same key is used to both
encrypt and decrypt the data.
 It creates a stream of bits that are XOR’d with plain text to get the
encrypted data.
 To decrypt it, we can simply XOR the encrypted text with the key
stream in order to recover the plain text.

www.ncp-italy.com Sicureza ICT Vol I-134

 WIFI Network, WPA2

 WPA2:
 WPA2 is the full implementation of 802.11i and is also called Robust
Security Network (RSN).
 It makes use of a new Advanced Encryption Standard (AES)

www.ncp-italy.com Sicureza ICT Vol I-135

WIFI Network, WPA2 shared-key

www.ncp-italy.com Sicureza ICT Vol I-136

 WIFI Network, FASI

 WPA2:
 Agreement:
 The different security protocols allowedby the AP are provided in

its beacons:
 Authentication means, either by PSK or by 802.1X using a AAA

server
 Unicast and multicast/broadcast traffic encryption suite: TKIP,

CCMP…
 The STA first sends a probe request in order to receive network

information (i.e. rates, encryption, channel, etc.) and will join the
network by using open authentication followed by association

www.ncp-italy.com Sicureza ICT Vol I-137

 WIFI Network, FASI

 WPA2:
 Authentication:
 The authentication step is only done in WPA Enterprise

configurations. It is based on the Extensible Authentication

Protocol (EAP) and can be done with the following:
 EAP-TLS with client and server certificates

 EAP-TTLS

 PEAP for hybrid authentication where only the server

certificate is required
 This authentication is started when the client selects the

authentication mode to use.

 Several EAP messages, depending on the authentication mode,

will be exchanged between the authenticator and the supplicant in

order to generate a Master Key (MK).

www.ncp-italy.com Sicureza ICT Vol I-138

 WIFI Network, FASI

 WPA2:
 Authentication:
 The authentication step is only done in WPA Enterprise

configurations. It is based on the Extensible Authentication

Protocol (EAP) and can be done with the following:
 EAP-TLS with client and server certificates

 EAP-TTLS

 PEAP for hybrid authentication where only the server

certificate is required
 This authentication is started when the client selects the

authentication mode to use.

 Several EAP messages, depending on the authentication mode,

will be exchanged between the authenticator and the supplicant in

order to generate a Master Key (MK).

www.ncp-italy.com Sicureza ICT Vol I-139

 WIFI Network, FASI

 Aircrack-ng:
 Sniffing: airodump-ng -c 3 --bssid 34:08:04:09:3D:38 -w cap1 mon0
 Replay: aireplay-ng -c -e test -a 34:08:04:09:3D:38 mon0
 Deauth: aireplay-ng -0 1 -a 34:08:04:09:3D:38 -c 00:18:4D:1D:A8:1F
mon0

www.ncp-italy.com Sicureza ICT Vol I-140