Sicurezza negli apparati di rete
Cisco IOS device security and best practices
Udine, 27 aprile 2015
Chi sono
Laurea in ingegneria elettronica
MBA
Dal 1999 lavoro in ambito networking
Varie certificazioni professionali di prodotto
CCIE Routing & Switching
Attualmente responsabile struttura Ingegneria IP di Insiel S.p.A.
Competenze:
Network design
RFC 3514
Network Working Group S. Bellovin Request for Comments: 3514 AT&T Labs Research Category: Informational 1 April 2003 The Security Flag in the IPv4 Header
Abstract
Firewalls, packet filters, intrusion detection systems, and the like often have difficulty distinguishing between packets that have
malicious intent and those that are merely unusual.
...
Introduzione
Di cosa tratta questa lezione:
Linee guida per la messa in sicurezza di apparati di rete, nello specifico apparati con sistema operativo Cisco IOS
Pratico riferimento per la sicurezza di tali sistemi
Primo livello di difesa della rete
Best practices
Sia IPv4 sia IPv6
Di cosa non tratta:
Non tratta della sicurezza informatica in generale
Non tratta di apparati specifici per la sicurezza di rete
Perché apparti di rete di Cisco Systems?
70% del mercato mondiale dei router in ambito enterprise
60% del mercato mondiale di ethernet switch
40% del mercato mondiale dei router/switch in ambito service provider
Documentazione e manualistica pubblicamente disponibile
I corsi e le certificazioni Cisco sono quelli più diffusi e
maggiormente riconosciuti dal mercato
Mercato mondiale enterprise router
Mercato mondiale Ethernet Switch
Mercato mondiale service provider router e switch
Cosa è un router?
Un router è un dispositivo elettronico che, in una rete informatica a commutazione di pacchetto, si occupa di instradare i dati fra reti diverse. È quindi, a livello logico, un nodo interno di rete deputato alla commutazione di livello 3 del modello OSI o del livello internet nel modello TCP/IP.
(A. S. Tanenbaum, Reti di calcolatori)
Ambiti di sicurezza degli apparati di rete
1.
Sicurezza generale del dispositivo
2.
Sicurezza del piano di gestione (Management Plane)
3.
Sicurezza del piano di controllo (Control Plane)
4.
Sicurezza del piano dati (Data Plane)
Per ogni area sono considerate le azioni che si possono mettere in
Piani operativi di un apparato di rete
Piani operativi di un apparato di rete
Gli apparati di rete hanno tre piani operativi.
Gestione
(management plane)
Controllo (control plane)
Forwarding o Dati (data plane)
Management plane
Control plane
Data plane Apparato di rete
Il piano di gestione
Il Management plane gestisce il traffico proveniente da utenti
o sistemi di gestione e destinato all'apparato stesso.
Alcuni protocolli del piano di gestione
Simple Network Management Protocol (SNMP)
Telnet
Secure Shell Protocol (SSH)
File Transfer Protocol (FTP)
Trivial File Transfer Protocol (TFTP)
Secure Copy Protocol (SCP)
TACACS+ e Radius
NetFlow
Il piano di controllo
Il Control Plane gestisce il traffico fondamentale per il
funzionamento della rete e scambiato tra gli apparati di rete
(es. protocolli di routing).
Alcuni protocolli del piano di controllo
Gestione delle interfacce:
Point to Point Protocol (PPP)
Link Aggregation Control Protocol (LACP)
Discovery:
Cisco Discovery Protocol (CDP)
Link Layer Discovery Protocol (LLDP)
Controllo:
Internet Control Message Protocol (ICMP)
Routing:
Open Shortest Path First (OSPF)
Il piano di forwarding
Il Data Plane gestisce il traffico inoltrato dall'apparato di rete
ma originato e destinato a dispositivi diversi dall'apparato
stesso.
Alcune attività del piano di forwarding
Attività proprie:
Processamento di frame a livello di data link layer: estrazione e reinserimento del pacchetto IP
Codifica/decodifica dell’intestazione del pacchetto
Look up dell’indirizzo IP di destionazione
Gestione interna del pacchetto tra le interfacce di ingresso e di uscita
Servizi svolti al piano di controllo:
Network Address Translation (NAT)
ACL logging
Segnalazione di errore (ICMP)
Flusso dei pacchetti in funzione del piano operativo
Sicurezza generale degli apparati
Sicurezza generale degli apparati - Obiettivi
Gli obiettivi da perseguire con le attività relative alla sicurezza generale degli apparati sono:
Garantire la disponibilità (availability) della rete.
Impedire il controllo degli apparati agli attaccanti.
Sicurezza generale degli apparati
Prerequisiti per poter incrementare la sicurezza:
Stabilità: un sistema stabile è meno vulnerabile
Semplicità: più facile riconoscere ed individuare anomalie, apportare migliorie
Controllo: si conosce lo stato della rete
Responsabilità: chi fa cosa, chi decide, chi interviene in caso di
emergenza
Sicurezza generale degli apparati
Scelta del software
Gestione delle configurazioni
Disabilitazione dei servizi inutili
Stato/riservazione risorse di sistema
Sicurezza nell’accesso al dispositivo
Piano di indirizzamento basato sui ruoli
Scelta del software
Classificazione del software (dalla major release 15):
ED (Early Deployment) nuove feature, supporto per nuovi apparati o moduli e bug fixing
MD (Maintenance Deployment): le funzionalità implementate sono mature, forniscono solo bug fixing.
DF (Deferred). Problemi noti, non utilizzare, non si possono scaricare
Scegliere quella raccomandata o una MD
Programma Safe Harbor: programma di testing estensivo
Verificare sempre l’integrità del software (MD5 checksum)
Conservazione di una copia del software/configurazione di emergenza non cancellabili (IOS resilent configuration)
Mantenere il software aggiornato (vulnerability patch)
Gestione delle configurazioni
70% dei disservizi di rete dovuti ad errori di configurazione
Accesso esclusivo in modalità configurazione
Configuration Change Notification and Logging
Archiviazione automatica delle configurazioni (configuration repository)
Utilizzo di un software di change and configuration management (NCCM)
Definizione dei ruoli e del processo autorizzativo
Disattivazione servizi non necessari
Alcuni servizi sono abilitati di default
Escludere i servizi non necessari per il proprio ambiente perché:
Potrebbero essere potenzialmente fruttati per attacchi
Consumano inutilmente risorse
Possono essere soggetti a software bug
Rendono più complessa la configurazione
Servizi normalmente disabilitabili
Directed Broadcast
Finger, Ident
HTTP Server
IP BOOTP Server
IP Source Routing
Packet Assembler/Disassembler (PAD) e Maintenance Operations Protocol (MOP)
Proxy ARP e IP redirect
Stato/riservazione risorse di sistema
Per la stabilità del sistema è fondamentale monitorare le risorse e riservarle per garantire l’accesso al dispositivo all’amministratore
Notifica delle soglie di occupazione di memoria (Memory Threshold Notification): genera un log quando la memoria libera di sistema è scesa sotto un soglia
Notifica del carico del processore: rileva quando il carico di CPU supera una soglia mediante l'invio di trap SNMP
Riservazione di memoria (Memory Reservation): consente di riservare una porzione di memoria per i processi di gestione del dispositivo (es.
notifiche) quando la memoria è in esaurimento
Riservazione di memoria per accesso console da utilizzare per garantire l'accesso al sistema tramite cavo seriale
Sicurezza dell’accesso al dispositivo
Limitazione dell’accesso fisico
Limitazione dell'acceso tramite linee seriali e virtuali
Gestione delle password (cifratura, lunghezza min, recovery)
Regolamentazione del numero di autenticazioni fallite (failure rate, login block, login password retry lockout
Definizione di un banner
Accesso basato sul ruolo (definizione privilegi, CLI view)
Utilizzo di AAA server
Limitazione dell'acceso da linee seriali e virtuali
Le linee per l’accesso ai router Cisco sono di quattro tipologie.
Console: accesso asincrono seriale che consente l’accesso completo alla gestione del dispositivo
AUX: accesso asincrono seriale con supporto del controllo hardware del flusso dati (accesso modem)
VTY: Virtual Teletype, terminale virtuale, si accede via Telnet o SSH
TTY: Teletype, linee asincrone usate per connessioni di terminale
Le prime due sono per l’accesso locale, le altre per l’accesso
remoto
Limitazione dell'acceso da linee seriali e virtuali
Disabilitare le linee se non utilizzate
Limitare l’accesso (filtri su IP)
Configurare dei timeout di sessione
Riservare almeno una linea di last resort
Utilizzare solo protocolli cifrati come SSH
Log dei tentativi di accesso su log server
SSH LOG
Syslog server
line vty 0 4
Gestione delle password
Cambiare la password di default
Impostare la cifratura MD5 delle password
Definire una complessità minima (es. lunghezza min)
Le password d’accesso si possono sovrascrivere o cancellare se si accede fisicamente al dispositivo.
Disabilitare la procedura di password recovery
Se perdo la password non la recupero più (non sempre vero)
Solo sulle CPE presso l’utente
Mai sugli apparati della rete
Preferire la sicurezza fisica, limitare l’accesso fisico.
Gestione delle password
Lunghezza della password.
95 caratteri ASCII stampabili
Password di lunghezza 8 caratteri, possibili combinazioni 95^8 = 6,634
* 10^15
21 caratteri alfabeto italiano minuscolo
Password di lunghezza 12 caratteri, possibili combinazioni 21^12 =
Limitare il numero di autenticazioni fallite
Security authentication failure rate
limita il numero di tentativi di login e in caso di fallimento dopo il numero configurato disabilita l’autenticazione per 15 secondi.
Login block
Dopo un certo numero di tentativi falliti in un intervallo di tempo disabilita l’autenticazione per un tempo configurabile. È possibile escludere alcune classi di indirizzi (es. rete di management)
Login password retry lockout
consente di bloccare gli account locali di privilegio inferiore a quello massimo (i livelli sono 16) dopo un numero predefinito di tentativi.
L’account può essere riattivato solo manualmente da un utente con
Il banner
Scopo: avvisare che l'accesso è consentito solo a personale autorizzato, che le attività sono tracciate e che l'accesso non autorizzato è proibito.
Deve contenere le seguenti informazioni:
avviso che l'accesso è riservato a personale autorizzato
avviso che l'accesso non autorizzato è proibito e perseguibile
avviso che tutte le attività svolte nell'apparato saranno tracciate
Sarebbe opportuno preparare il banner seguendo il consiglio
dell'ufficio legale.
Es. di banner
banner login ^
--- __ __ _
\ \ / / ___ | | __ ___ _ __ ___
\ \/\/ / / -_) | | / _| / _ \ | ' \ / -_) \_/\_/ \___| _|_|_ \__|_ \___/ |_|_|_| \___|
_|"""""|_|"""""|_|"""""|_|"""""|_|"""""|_|"""""|_|"""""|
"`-0-0-'"`-0-0-'"`-0-0-'"`-0-0-'“`-0-0-'"`-0-0-'"`-0-0-‘
Rete IP ferrovie friulane - nodo di rete principale.
Router Cisco ASR1002 Release 3.4
Centro elaborazione dati Via delle Scienze 206 Udine
Es. di banner
banner login ^
--- State accedendo ad un dispositivo di rete privato.
Qualsiasi accesso ed uso non autorizzato sara' tracciato e
perseguito a norma delle vigenti leggi italiane ed internazionali.
You are accessing a private network device.
Any unauthorized access and use will be logged and prosecuted according to Italian and international laws in force.
---
^
AAA server
Il modo migliore per gestire l’accesso ed il monitoraggio degli utenti che gestiscono i dispositivi è utilizzare un servizio di Autenticazione, Autorizzazione ed Accounting (AAA).
Almeno due server sincronizzati
Contemporaneamente raggiungibili in condizioni normali
Installati in siti diversi ma posti ad una distanza sufficiente affinché un guasto di rete non li isoli contemporaneamente
Configurare sempre anche account configurati localmente nell’apparato.
Piano di indirizzamento basato sui ruoli
Sebbene gli indirizzi IP siano facilmente falsificabili (spoofed) il loro utilizzo è basilare per molti meccanismi di autenticazione.
Assegnare il piano d’indirizzamento solo su base topologica rischia di rendere complessa la gestione delle policy di
sicurezza.
L’assegnazione del piano d’indirizzamento in base ai ruoli è il metodo più efficare per semplificare le policy di sicurezza.
Regole semplici sono più facili da gestire, meno soggette ad
errori, rendono più agevole il troubleshooting.
Piano di indirizzamento basato sui ruoli
Esempio di suddivisione dei pool di indirizzi IP in base ai ruoli:
Apparati di core: interfacce di Loopback (di gestione)
Apparati di core: interfacce di transito
Interfacce di frontiera: interne
Interfacce di frontiera: esterne (es. verso Internet)
Interfacce d’accesso: dial-up e VPN
Tipologia di servizi (es. telefonia IP, web server, ecc.)
Reti del Network Operations Center
Reti specifiche di Data center (es. storage o backup)
Es. piano di indirizzamento basato su topologia
Rete 10.0.0.0/8
4 sedi
Sede X: rete 10.X.0.0/16
Telefoni della sede X rete 10.X.10.0/24
Utenti della sede X rete 10.X.20.0/24
Network administrator della sede X rete 10.X.200.0/24
Regola che identifica tutti i telefoni:
ip access-list standard TELEFONI permit 10.1.10.0/24
Es. piano di indirizzamento basato sul ruolo
Rete 10.0.0.0/8
4 sedi
Telefoni: 10.10.0.0/16
Telefoni della sede X rete 10.10.X.0/24
Utenti: 10.20.0.0/16
Utenti della sede X rete 10.20.X.0/24
Network Administrator: 10.200.0.0/16
Network administrator della sede X rete 10.200.X.0/24
Regola che identifica tutti i telefoni:
Sicurezza del piano di gestione
Sicurezza del piano di gestione - Obiettivo
L’obiettivo principale da perseguire con le attività relative alla sicurezza del piano di gestione è:
Impedire il controllo degli apparati agli attaccanti.
Sicurezza del piano di gestione
Il Management plane gestisce il traffico proveniente da utenti o sistemi di gestione e destinato all'apparato stesso.
Management plane
Control plane
Data plane Apparato di rete
Sicurezza del piano di gestione
Management Plane Protection (MPP)
Utilizzo di protocolli di accesso cifrati
Logging
AAA server
Simple Network Management Protocol (SNMP)
Network Time Protocol (NTP)
Netflow
Management Plane Protection (MPP)
Consente di limitare le interfacce attraverso le quali può essere ricevuto traffico di management.
control-plane host
management-interface GigabitEthernet 0/1 allow ssh https
Raccomandazioni:
Attenzione a non limitare eccessivamente l’accesso con il rischio non raggiungere gli apparati in caso di malfunzionamento delle interfacce specificate.
Utilizzo di protocolli di accesso cifrati
Utilizzare sempre e solo protocolli cifrati
Raccomandazione:
SSH invece di Telnet
Logging
I log sono indispensabili per analizzare gli output degli apparati.
Le best practice prevedono;
Utilizzare il NTP per sincronizzare l’orario
Impostare i servizi di timestamps dei log con il dettaglio maggiore possibile (es. millisecondo)
Disabilitare il logging verso la console (CPU intensive)
Limitare il logging salvato localmente all’essenziale
Configurare il livello di logging (severity)
Configurare facility e/o prefix
Logging - esempio
Aug 24 16:58:28.231: %SEC-6-IPACCESSLOGP: list 105 denied udp 189.136.29.189(10018) -> 81.174.49.152(137) Aug 24 17:03:16.626: %SEC-6-IPACCESSLOGP: list 105 denied tcp 200.201.11.71(4935) -> 81.174.49.152(3389) Aug 24 17:04:24.658: %SEC-6-IPACCESSLOGP: list 105 denied tcp 62.103.215.166(1332) -> 81.174.49.152(3389) Aug 24 17:04:24.662: %SEC-6-IPACCESSLOGP: list 105 denied tcp 62.103.215.166(1332) -> 81.174.49.152(3389) Aug 24 17:22:43.250: %SEC-6-IPACCESSLOGP: list 105 denied tcp 31.25.111.78(3628) -> 81.174.49.152(23) Aug 24 17:27:19.401: %SEC-6-IPACCESSLOGP: list 105 denied tcp 81.178.239.151(4668) -> 81.174.49.152(445) Aug 24 17:27:22.377: %SEC-6-IPACCESSLOGP: list 105 denied tcp 81.178.239.151(4668) -> 81.174.49.152(445) Aug 24 17:27:38.716: %SEC-6-IPACCESSLOGP: list 105 denied tcp 31.7.59.156(12200) -> 81.174.49.152(8080) Aug 24 17:28:31.324: %SEC-6-IPACCESSLOGP: list 105 denied tcp 114.36.132.245(10965) -> 81.174.49.152(25) Aug 24 17:38:04.658: %SEC-6-IPACCESSLOGP: list 105 denied tcp 64.255.115.5(21964) -> 81.174.49.152(80) Aug 24 17:38:07.654: %SEC-6-IPACCESSLOGP: list 105 denied tcp 64.255.115.5(21964) -> 81.174.49.152(80) Aug 24 17:38:13.650: %SEC-6-IPACCESSLOGP: list 105 denied tcp 64.255.115.5(21964) -> 81.174.49.152(80) Aug 24 17:40:49.126: %SEC-6-IPACCESSLOGP: list 105 denied tcp 217.218.237.133(42202) -> 81.174.49.152(3389) Aug 24 18:18:35.869: %SEC-6-IPACCESSLOGP: list 105 denied tcp 80.212.97.36(28847) -> 81.174.49.152(51413) Aug 24 18:18:39.297: %SEC-6-IPACCESSLOGP: list 105 denied tcp 80.212.97.36(28847) -> 81.174.49.152(51413) Aug 24 18:18:45.205: %SEC-6-IPACCESSLOGP: list 105 denied tcp 80.212.97.36(28847) -> 81.174.49.152(51413) Aug 24 18:27:14.123: %SEC-6-IPACCESSLOGP: list 105 denied tcp 31.25.111.78(2352) -> 81.174.49.152(23) Aug 24 18:33:32.146: %SEC-6-IPACCESSLOGP: list 105 denied tcp 81.36.231.228(4414) -> 81.174.49.152(445) Aug 24 18:33:35.166: %SEC-6-IPACCESSLOGP: list 105 denied tcp 81.36.231.228(4414) -> 81.174.49.152(445) Aug 24 18:40:17.237: %SEC-6-IPACCESSLOGP: list 105 denied tcp 81.57.129.121(14426) -> 81.174.49.152(135) Aug 24 18:40:20.169: %SEC-6-IPACCESSLOGP: list 105 denied tcp 81.57.129.121(14426) -> 81.174.49.152(135)
AAA server
Autenticazione è il processo di identificare l'utente, solitamente in base ad una coppia username/password. Si basa sul principio che ogni utente abbia delle credenziali uniche che lo distinguono dagli altri.
Autorizzazione è il processo di garantire o negare all'utente l'accesso alle risorse di rete dopo che è stato autenticato. La quantità di risorse alle quali ha accesso dipende dal livello di autorizzazione garantito.
Accounting è il processo di tenere traccia dell'attività
Simple Network Management Protocol (SNMP)
SNMP è il protocollo che consente la configurazione, la gestione ed il monitoraggio di apparati di rete
Le abilitazioni sono:
read: sola lettura dei parametri del dispositivo
write: modifica dei parametri del dispositivo
trap: il dispositivo invia in modo asincrono messaggi al server
Raccomandazioni:
Utilizzare password/community non banali
Limitare l’accesso filtrando gli IP sorgente abilitati
Utilizzare preferibilmente SNMP versione 3 o almeno la versione 2c
Network Time Protocol (NTP)
Affinché i messaggi di logging siano coerenti occorre che il tempo nella rete sia sincronizzato con uno o più NTP server.
Le linee guida per la configurazione NTP sono:
Sviluppare un modello gerarchico, solitamente corrispondente all'architettura di routing.
Usare un'unica time zone per l'intera rete
Limitare le comunicazioni NTP tramite filtro IP
Utilizzare l'autenticazione NTP
Utilizzare almeno due server di riferimento a loro volta sincronizzati con un clock di livello superiore (stratum inferiore)
Sicurezza del piano di controllo
Sicurezza del piano di controllo - Obiettivo
L’obiettivo da perseguire con le attività relative alla sicurezza del piano di controllo è:
Garantire la disponibilità (availability) della rete.
Sicurezza del piano di controllo
Il Control Plane gestisce il traffico fondamentale per il funzionamento della rete e scambiato tra gli apparati di rete.
Management plane
Control plane
Data plane Apparato di rete
Sicurezza del piano di controllo
Sicurezza generale del Control Plane
Control Plane Policing (CoPP)
Sicurezza del protocollo Border Gateway Protocol (BGP)
Sicurezza dei protocolli di routing interni (IGP)
Sicurezza dei protocolli di First Hop Redundancy
Sicurezza generale del Control Plane
Obiettivo: limitare l'esaurimento di risorse del control plane
Evitare l'esaurimento delle code di ingresso delle interfacce (distruttivo per i protocolli di routing)
Configurazione di durata massima per task di I/O (scheduler allocation)
Limitazione del traffico di controllo verso la CPU (filtro ACL
sull'interfaccia di ingresso).
Control Plane Policing (CoPP)
Il Control Plane Policing (CoPP) è una funzionalità di sicurezza che limita il traffico non necessario che raggiunge la CPU e le altre risorse (memoria, buffer, code) e che potrebbe comprometterne la funzionalità.
Protegge esclusivamente le risorse del piano di controllo a differenza dei filtri sulle interfacce (ACL) che operano su tutto il traffico in ingresso nell'apparato
Sicurezza del protocollo Border Gateway Protocol (BGP)
Sicurezza basata su campo TTL: si configura il minimo valore Time To Live (TTL) per i pacchetti ricevuti da ogni specifico peer.
Se il valore TTL di un pacchetto è inferiore, questo è scartato.
Autenticazione mediante password cifrate MD5
Limitazione del numero massimo di prefissi ricevibili da un
Sicurezza dei protocolli di routing interni (IGP) e di First Hop Redundancy
Obiettivi:
Rafforzare l'integrità delle informazioni scambiate
Verificare l'identità degli apparati con i quali si scambiano tali informazioni
Soluzioni:
funzionalità di sicurezza inserite nei protocolli come l’autenticazione con chiave cifrata MD5
tunnel IPSec (raramente utilizzato)
Sicurezza del piano di forwarding
Sicurezza del piano di forwading- Obiettivi
Gli obiettivi da perseguire con le attività relative alla sicurezza del piano di forwarding sono:
Garantire la disponibilità (availability) della rete.
Prima linea di difesa per gli apparati di rete interni.
Sicurezza del piano di forwarding
Il Data Plane gestisce il traffico inoltrato dall'apparato di rete ma originato e destinato a dispositivi diversi dall'apparato stesso.
Management plane
Control plane
Data plane Apparato di rete
Filtri di protezione dell’infrastruttura
Sono filtri IP estesi (includono anche porte TCP/UDP) che sono implementate nei punti d’ingresso della rete e servono a filtrare il traffico che non può provenire dall’esterno e consentire
esplicitamente solo il traffico legittimo, (per le linee guida vedere RFC 2827). Si applicano al traffico in transito.
Sono composte in generale da 5 moduli:
1. Anti spoofing. Blocca indirizzi IP riservati e privati (RFC 1918 e 2827) e il traffico con sorgente il proprio spazio di indirizzamento pubblico.
2. Permette traffico da legittime sorgenti esterne verso apparati di edge.
Filtri di protezione dell’infrastruttura
Filtri di protezione dell’infrastruttura
Filtri di protezione dell’infrastruttura - esempio
access-list 110 remark Indirizzi riservati RFC 3330 access-list 110 deny ip host 0.0.0.0 any log
access-list 110 deny ip 127.0.0.0 0.255.255.255 any log access-list 110 deny ip 192.0.2.0 0.0.0.255 any log
access-list 110 deny ip 224.0.0.0 31.255.255.255 any log
access-list 110 remark Indirizzi riservati RFC 1918 access-list 110 deny ip 10.0.0.0 0.255.255.255 any log access-list 110 deny ip 172.16.0.0 0.15.255.255 any log access-list 110 deny ip 192.168.0.0 0.0.255.255 any log
access-list 110 remark Il proprio spazio di indirizzamento pubblico
Filtri di protezione dell’infrastruttura – esempio 2/2
access-list 110 remark Connessioni BGP con l'esterno e ICMP access-list 110 permit tcp host BGP_EXTERNAL_PEER host
BGP_INTERNAL_PEER eq bgp
access-list 110 permit tcp host BGP_EXTERNAL_PEER eq bgp host BGP_INTERNAL_PEER
access-list 110 permit icmp any host BGP_INTERNAL_PEER
access-list 110 remark Blocca il resto del traffico verso i BGP PEER access-list 110 deny tcp any host BGP_EXTERNAL_PEER log
access-list 110 deny udp any host BGP_EXTERNAL_PEER log access-list 110 deny ip any host BGP_EXTERNAL_PEER log
access-list 110 remark Spazio indirizzi infrastruttura interna access-list 110 deny ip any INDIRIZZI_INFRASTRUTTURA_INTERNA log
Nel prossimo futuro? - SDN
Software Defined Networking: è un'architettura emergente
dinamica, gestibile, adattabile, agile. Disaccoppia il piano di
controllo da quello di forwarding, centralizza il piano di
controllo e ne consente la programmabilità ed automazione,
astraendo dall’infrastruttura fisica di rete.
Nel prossimo futuro? - SDN
Elementi basilari dell’architettura SDN:
Il piano di controllo e management su controller dedicato ed esterno.
I dispositivi di rete svolgono solo forwarding
Connettività IP/SSL tra il controller e gli apparati di rete
Controller
Nel prossimo futuro? - SDN
Programmabilità
Minor interazione Uomo/Macchina
Minor tasso di errore
Maggior flessibilità
Maggior visibilità (informazioni centralizzate)
Maggior criticità del piano di controllo e di gestione
Attacchi più sofisticati e diretti verso:
Diretti verso il controller, ad esempio installando codice malevolo
Nel prossimo futuro? - SDN
Possibili contromisure:
Sicurezza fisica e all’accesso logico dei controller (analoghe ad un server)
Comunicazioni cifrate tra controller ed apparati di rete.
Stabilire robuste relazioni di trust tra controller e dispositivi (certificati).
Connessioni tra controller e dispositivi su canali dedicati (out of band) e distinti da quelli del traffico dati.
Controller
27/04/2015
Cosa posso fare per il router di casa?
Modificare account di default e utilizzo di password complesse
Scegliere la release software raccomandata
Ad ogni modifica salvare la configurazione esternamente
Attivare solo i servizi necessari
Inserire un banner
Utilizzare protocolli cifrati (SSH o HTTPS) per l’accesso
Regolamentare il numero di autenticazioni fallite
Attivare il log locale e sincronizzare la data/ora con NTP
Attivare il firewall (se presente) o configurare i filtri di protezione dell’infrastruttura
73
RFC di riferimento
RFC2196 - Site Security Handbook
http://tools.ietf.org/html/rfc2196
RFC 2827 - Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing
http://tools.ietf.org/html/rfc2827
RFC 3704 - Ingress Filtering for Multihomed Networks
http://tools.ietf.org/html/rfc3704
Riferimenti
Cisco Guide to Harden Cisco IOS Devices
http://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html
Cisco IOS Security Configuration Guide, Release 12.4
http://www.cisco.com/c/en/us/td/docs/ios/security/configuration/guide/12_4/sec_12_4_book.
html
Cisco SAFE Reference Guide
http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/SAFE_RG/SAFE_rg.html
Infrastructure Protection on Cisco IOS Software
http://www.cisco.com/c/en/us/support/docs/ip/access-lists/43920-iacl.html
Network Security Baseline
http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Security/Baseline_Security/secure