Sicurezza negli apparati di rete

Sicurezza negli apparati di rete

Cisco IOS device security and best practices

Udine, 27 aprile 2015

Chi sono



Laurea in ingegneria elettronica



MBA



Dal 1999 lavoro in ambito networking



Varie certificazioni professionali di prodotto



CCIE Routing & Switching



Attualmente responsabile struttura Ingegneria IP di Insiel S.p.A.



Competenze:

 Network design

RFC 3514

Network Working Group S. Bellovin Request for Comments: 3514 AT&T Labs Research Category: Informational 1 April 2003 The Security Flag in the IPv4 Header

Abstract

Firewalls, packet filters, intrusion detection systems, and the like often have difficulty distinguishing between packets that have

malicious intent and those that are merely unusual.

...

Introduzione



Di cosa tratta questa lezione:

 Linee guida per la messa in sicurezza di apparati di rete, nello specifico apparati con sistema operativo Cisco IOS

 Pratico riferimento per la sicurezza di tali sistemi

 Primo livello di difesa della rete

 Best practices

 Sia IPv4 sia IPv6



Di cosa non tratta:

 Non tratta della sicurezza informatica in generale

 Non tratta di apparati specifici per la sicurezza di rete

Perché apparti di rete di Cisco Systems?



70% del mercato mondiale dei router in ambito enterprise



60% del mercato mondiale di ethernet switch



40% del mercato mondiale dei router/switch in ambito service provider



Documentazione e manualistica pubblicamente disponibile



I corsi e le certificazioni Cisco sono quelli più diffusi e

maggiormente riconosciuti dal mercato

Mercato mondiale enterprise router

Mercato mondiale Ethernet Switch

Mercato mondiale service provider router e switch

Cosa è un router?

Un router è un dispositivo elettronico che, in una rete informatica a commutazione di pacchetto, si occupa di instradare i dati fra reti diverse. È quindi, a livello logico, un nodo interno di rete deputato alla commutazione di livello 3 del modello OSI o del livello internet nel modello TCP/IP.

(A. S. Tanenbaum, Reti di calcolatori)

Ambiti di sicurezza degli apparati di rete

1.

Sicurezza generale del dispositivo

2.

Sicurezza del piano di gestione (Management Plane)

3.

Sicurezza del piano di controllo (Control Plane)

4.

Sicurezza del piano dati (Data Plane)

Per ogni area sono considerate le azioni che si possono mettere in

Piani operativi di un apparato di rete

Piani operativi di un apparato di rete

Gli apparati di rete hanno tre piani operativi.



Gestione

(management plane)



Controllo (control plane)



Forwarding o Dati (data plane)

Management plane

Control plane

Data plane Apparato di rete

Il piano di gestione



Il Management plane gestisce il traffico proveniente da utenti

o sistemi di gestione e destinato all'apparato stesso.

Alcuni protocolli del piano di gestione



Simple Network Management Protocol (SNMP)



Telnet



Secure Shell Protocol (SSH)



File Transfer Protocol (FTP)



Trivial File Transfer Protocol (TFTP)



Secure Copy Protocol (SCP)



TACACS+ e Radius



NetFlow



Il piano di controllo



Il Control Plane gestisce il traffico fondamentale per il

funzionamento della rete e scambiato tra gli apparati di rete

(es. protocolli di routing).

Alcuni protocolli del piano di controllo



Gestione delle interfacce:

 Point to Point Protocol (PPP)

 Link Aggregation Control Protocol (LACP)



Discovery:

 Cisco Discovery Protocol (CDP)

 Link Layer Discovery Protocol (LLDP)



Controllo:

 Internet Control Message Protocol (ICMP)



Routing:

 Open Shortest Path First (OSPF)

Il piano di forwarding



Il Data Plane gestisce il traffico inoltrato dall'apparato di rete

ma originato e destinato a dispositivi diversi dall'apparato

stesso.

Alcune attività del piano di forwarding

 Attività proprie:

 Processamento di frame a livello di data link layer: estrazione e reinserimento del pacchetto IP

 Codifica/decodifica dell’intestazione del pacchetto

 Look up dell’indirizzo IP di destionazione

 Gestione interna del pacchetto tra le interfacce di ingresso e di uscita

 Servizi svolti al piano di controllo:

 Network Address Translation (NAT)

 ACL logging

 Segnalazione di errore (ICMP)

Flusso dei pacchetti in funzione del piano operativo

Sicurezza generale degli apparati

Sicurezza generale degli apparati - Obiettivi

Gli obiettivi da perseguire con le attività relative alla sicurezza generale degli apparati sono:



Garantire la disponibilità (availability) della rete.



Impedire il controllo degli apparati agli attaccanti.

Sicurezza generale degli apparati



Prerequisiti per poter incrementare la sicurezza:



Stabilità: un sistema stabile è meno vulnerabile



Semplicità: più facile riconoscere ed individuare anomalie, apportare migliorie



Controllo: si conosce lo stato della rete



Responsabilità: chi fa cosa, chi decide, chi interviene in caso di

emergenza

Sicurezza generale degli apparati



Scelta del software



Gestione delle configurazioni



Disabilitazione dei servizi inutili



Stato/riservazione risorse di sistema



Sicurezza nell’accesso al dispositivo



Piano di indirizzamento basato sui ruoli

Scelta del software



Classificazione del software (dalla major release 15):

 ED (Early Deployment) nuove feature, supporto per nuovi apparati o moduli e bug fixing

 MD (Maintenance Deployment): le funzionalità implementate sono mature, forniscono solo bug fixing.

 DF (Deferred). Problemi noti, non utilizzare, non si possono scaricare



Scegliere quella raccomandata o una MD



Programma Safe Harbor: programma di testing estensivo



Verificare sempre l’integrità del software (MD5 checksum)



Conservazione di una copia del software/configurazione di emergenza non cancellabili (IOS resilent configuration)



Mantenere il software aggiornato (vulnerability patch)

Gestione delle configurazioni



70% dei disservizi di rete dovuti ad errori di configurazione



Accesso esclusivo in modalità configurazione



Configuration Change Notification and Logging



Archiviazione automatica delle configurazioni (configuration repository)



Utilizzo di un software di change and configuration management (NCCM)



Definizione dei ruoli e del processo autorizzativo

Disattivazione servizi non necessari



Alcuni servizi sono abilitati di default



Escludere i servizi non necessari per il proprio ambiente perché:

 Potrebbero essere potenzialmente fruttati per attacchi

 Consumano inutilmente risorse

 Possono essere soggetti a software bug

 Rendono più complessa la configurazione

Servizi normalmente disabilitabili



Directed Broadcast



Finger, Ident



HTTP Server



IP BOOTP Server



IP Source Routing



Packet Assembler/Disassembler (PAD) e Maintenance Operations Protocol (MOP)



Proxy ARP e IP redirect

Stato/riservazione risorse di sistema



Per la stabilità del sistema è fondamentale monitorare le risorse e riservarle per garantire l’accesso al dispositivo all’amministratore

 Notifica delle soglie di occupazione di memoria (Memory Threshold Notification): genera un log quando la memoria libera di sistema è scesa sotto un soglia

 Notifica del carico del processore: rileva quando il carico di CPU supera una soglia mediante l'invio di trap SNMP

 Riservazione di memoria (Memory Reservation): consente di riservare una porzione di memoria per i processi di gestione del dispositivo (es.

notifiche) quando la memoria è in esaurimento

 Riservazione di memoria per accesso console da utilizzare per garantire l'accesso al sistema tramite cavo seriale

Sicurezza dell’accesso al dispositivo



Limitazione dell’accesso fisico



Limitazione dell'acceso tramite linee seriali e virtuali



Gestione delle password (cifratura, lunghezza min, recovery)



Regolamentazione del numero di autenticazioni fallite (failure rate, login block, login password retry lockout



Definizione di un banner



Accesso basato sul ruolo (definizione privilegi, CLI view)



Utilizzo di AAA server

Limitazione dell'acceso da linee seriali e virtuali



Le linee per l’accesso ai router Cisco sono di quattro tipologie.

 Console: accesso asincrono seriale che consente l’accesso completo alla gestione del dispositivo

 AUX: accesso asincrono seriale con supporto del controllo hardware del flusso dati (accesso modem)

 VTY: Virtual Teletype, terminale virtuale, si accede via Telnet o SSH

 TTY: Teletype, linee asincrone usate per connessioni di terminale



Le prime due sono per l’accesso locale, le altre per l’accesso

remoto

Limitazione dell'acceso da linee seriali e virtuali



Disabilitare le linee se non utilizzate



Limitare l’accesso (filtri su IP)



Configurare dei timeout di sessione



Riservare almeno una linea di last resort



Utilizzare solo protocolli cifrati come SSH



Log dei tentativi di accesso su log server

SSH LOG

Syslog server

line vty 0 4

Gestione delle password



Cambiare la password di default



Impostare la cifratura MD5 delle password



Definire una complessità minima (es. lunghezza min)



Le password d’accesso si possono sovrascrivere o cancellare se si accede fisicamente al dispositivo.



Disabilitare la procedura di password recovery

 Se perdo la password non la recupero più (non sempre vero)

 Solo sulle CPE presso l’utente

 Mai sugli apparati della rete

 Preferire la sicurezza fisica, limitare l’accesso fisico.

Gestione delle password



Lunghezza della password.

 95 caratteri ASCII stampabili

 Password di lunghezza 8 caratteri, possibili combinazioni 95^8 = 6,634

* 10^15

 21 caratteri alfabeto italiano minuscolo

 Password di lunghezza 12 caratteri, possibili combinazioni 21^12 =

Limitare il numero di autenticazioni fallite



Security authentication failure rate

 limita il numero di tentativi di login e in caso di fallimento dopo il numero configurato disabilita l’autenticazione per 15 secondi.



Login block

 Dopo un certo numero di tentativi falliti in un intervallo di tempo disabilita l’autenticazione per un tempo configurabile. È possibile escludere alcune classi di indirizzi (es. rete di management)



Login password retry lockout

 consente di bloccare gli account locali di privilegio inferiore a quello massimo (i livelli sono 16) dopo un numero predefinito di tentativi.

L’account può essere riattivato solo manualmente da un utente con

Il banner



Scopo: avvisare che l'accesso è consentito solo a personale autorizzato, che le attività sono tracciate e che l'accesso non autorizzato è proibito.



Deve contenere le seguenti informazioni:

 avviso che l'accesso è riservato a personale autorizzato

 avviso che l'accesso non autorizzato è proibito e perseguibile

 avviso che tutte le attività svolte nell'apparato saranno tracciate



Sarebbe opportuno preparare il banner seguendo il consiglio

dell'ufficio legale.

Es. di banner

banner login ^

--- __ __ _

\ \ / / ___ | | __ ___ _ __ ___

\ \/\/ / / -_) | | / _| / _ \ | ' \ / -_) \_/\_/ \___| _|_|_ \__|_ \___/ |_|_|_| \___|

_|"""""|_|"""""|_|"""""|_|"""""|_|"""""|_|"""""|_|"""""|

"`-0-0-'"`-0-0-'"`-0-0-'"`-0-0-'“`-0-0-'"`-0-0-'"`-0-0-‘

Rete IP ferrovie friulane - nodo di rete principale.

Router Cisco ASR1002 Release 3.4

Centro elaborazione dati Via delle Scienze 206 Udine

Es. di banner

banner login ^

--- State accedendo ad un dispositivo di rete privato.

Qualsiasi accesso ed uso non autorizzato sara' tracciato e

perseguito a norma delle vigenti leggi italiane ed internazionali.

You are accessing a private network device.

Any unauthorized access and use will be logged and prosecuted according to Italian and international laws in force.

---

^

AAA server



Il modo migliore per gestire l’accesso ed il monitoraggio degli utenti che gestiscono i dispositivi è utilizzare un servizio di Autenticazione, Autorizzazione ed Accounting (AAA).



Almeno due server sincronizzati



Contemporaneamente raggiungibili in condizioni normali



Installati in siti diversi ma posti ad una distanza sufficiente affinché un guasto di rete non li isoli contemporaneamente



Configurare sempre anche account configurati localmente nell’apparato.



Piano di indirizzamento basato sui ruoli



Sebbene gli indirizzi IP siano facilmente falsificabili (spoofed) il loro utilizzo è basilare per molti meccanismi di autenticazione.



Assegnare il piano d’indirizzamento solo su base topologica rischia di rendere complessa la gestione delle policy di

sicurezza.



L’assegnazione del piano d’indirizzamento in base ai ruoli è il metodo più efficare per semplificare le policy di sicurezza.



Regole semplici sono più facili da gestire, meno soggette ad

errori, rendono più agevole il troubleshooting.

Piano di indirizzamento basato sui ruoli



Esempio di suddivisione dei pool di indirizzi IP in base ai ruoli:

 Apparati di core: interfacce di Loopback (di gestione)

 Apparati di core: interfacce di transito

 Interfacce di frontiera: interne

 Interfacce di frontiera: esterne (es. verso Internet)

 Interfacce d’accesso: dial-up e VPN

 Tipologia di servizi (es. telefonia IP, web server, ecc.)

 Reti del Network Operations Center

 Reti specifiche di Data center (es. storage o backup)

Es. piano di indirizzamento basato su topologia



Rete 10.0.0.0/8



4 sedi



Sede X: rete 10.X.0.0/16

 Telefoni della sede X rete 10.X.10.0/24

 Utenti della sede X rete 10.X.20.0/24

 Network administrator della sede X rete 10.X.200.0/24



Regola che identifica tutti i telefoni:

ip access-list standard TELEFONI permit 10.1.10.0/24

Es. piano di indirizzamento basato sul ruolo



Rete 10.0.0.0/8



4 sedi



Telefoni: 10.10.0.0/16

 Telefoni della sede X rete 10.10.X.0/24



Utenti: 10.20.0.0/16

 Utenti della sede X rete 10.20.X.0/24



Network Administrator: 10.200.0.0/16

 Network administrator della sede X rete 10.200.X.0/24



Regola che identifica tutti i telefoni:

Sicurezza del piano di gestione

Sicurezza del piano di gestione - Obiettivo

L’obiettivo principale da perseguire con le attività relative alla sicurezza del piano di gestione è:



Impedire il controllo degli apparati agli attaccanti.

Sicurezza del piano di gestione



Il Management plane gestisce il traffico proveniente da utenti o sistemi di gestione e destinato all'apparato stesso.

Management plane

Control plane

Data plane Apparato di rete

Sicurezza del piano di gestione



Management Plane Protection (MPP)



Utilizzo di protocolli di accesso cifrati



Logging



AAA server



Simple Network Management Protocol (SNMP)



Network Time Protocol (NTP)



Netflow

Management Plane Protection (MPP)



Consente di limitare le interfacce attraverso le quali può essere ricevuto traffico di management.

control-plane host

management-interface GigabitEthernet 0/1 allow ssh https



Raccomandazioni:

 Attenzione a non limitare eccessivamente l’accesso con il rischio non raggiungere gli apparati in caso di malfunzionamento delle interfacce specificate.

Utilizzo di protocolli di accesso cifrati



Utilizzare sempre e solo protocolli cifrati



Raccomandazione:

 SSH invece di Telnet

Logging



I log sono indispensabili per analizzare gli output degli apparati.



Le best practice prevedono;

 Utilizzare il NTP per sincronizzare l’orario

 Impostare i servizi di timestamps dei log con il dettaglio maggiore possibile (es. millisecondo)

 Disabilitare il logging verso la console (CPU intensive)

 Limitare il logging salvato localmente all’essenziale

 Configurare il livello di logging (severity)

 Configurare facility e/o prefix

Logging - esempio

Aug 24 16:58:28.231: %SEC-6-IPACCESSLOGP: list 105 denied udp 189.136.29.189(10018) -> 81.174.49.152(137) Aug 24 17:03:16.626: %SEC-6-IPACCESSLOGP: list 105 denied tcp 200.201.11.71(4935) -> 81.174.49.152(3389) Aug 24 17:04:24.658: %SEC-6-IPACCESSLOGP: list 105 denied tcp 62.103.215.166(1332) -> 81.174.49.152(3389) Aug 24 17:04:24.662: %SEC-6-IPACCESSLOGP: list 105 denied tcp 62.103.215.166(1332) -> 81.174.49.152(3389) Aug 24 17:22:43.250: %SEC-6-IPACCESSLOGP: list 105 denied tcp 31.25.111.78(3628) -> 81.174.49.152(23) Aug 24 17:27:19.401: %SEC-6-IPACCESSLOGP: list 105 denied tcp 81.178.239.151(4668) -> 81.174.49.152(445) Aug 24 17:27:22.377: %SEC-6-IPACCESSLOGP: list 105 denied tcp 81.178.239.151(4668) -> 81.174.49.152(445) Aug 24 17:27:38.716: %SEC-6-IPACCESSLOGP: list 105 denied tcp 31.7.59.156(12200) -> 81.174.49.152(8080) Aug 24 17:28:31.324: %SEC-6-IPACCESSLOGP: list 105 denied tcp 114.36.132.245(10965) -> 81.174.49.152(25) Aug 24 17:38:04.658: %SEC-6-IPACCESSLOGP: list 105 denied tcp 64.255.115.5(21964) -> 81.174.49.152(80) Aug 24 17:38:07.654: %SEC-6-IPACCESSLOGP: list 105 denied tcp 64.255.115.5(21964) -> 81.174.49.152(80) Aug 24 17:38:13.650: %SEC-6-IPACCESSLOGP: list 105 denied tcp 64.255.115.5(21964) -> 81.174.49.152(80) Aug 24 17:40:49.126: %SEC-6-IPACCESSLOGP: list 105 denied tcp 217.218.237.133(42202) -> 81.174.49.152(3389) Aug 24 18:18:35.869: %SEC-6-IPACCESSLOGP: list 105 denied tcp 80.212.97.36(28847) -> 81.174.49.152(51413) Aug 24 18:18:39.297: %SEC-6-IPACCESSLOGP: list 105 denied tcp 80.212.97.36(28847) -> 81.174.49.152(51413) Aug 24 18:18:45.205: %SEC-6-IPACCESSLOGP: list 105 denied tcp 80.212.97.36(28847) -> 81.174.49.152(51413) Aug 24 18:27:14.123: %SEC-6-IPACCESSLOGP: list 105 denied tcp 31.25.111.78(2352) -> 81.174.49.152(23) Aug 24 18:33:32.146: %SEC-6-IPACCESSLOGP: list 105 denied tcp 81.36.231.228(4414) -> 81.174.49.152(445) Aug 24 18:33:35.166: %SEC-6-IPACCESSLOGP: list 105 denied tcp 81.36.231.228(4414) -> 81.174.49.152(445) Aug 24 18:40:17.237: %SEC-6-IPACCESSLOGP: list 105 denied tcp 81.57.129.121(14426) -> 81.174.49.152(135) Aug 24 18:40:20.169: %SEC-6-IPACCESSLOGP: list 105 denied tcp 81.57.129.121(14426) -> 81.174.49.152(135)

AAA server



Autenticazione è il processo di identificare l'utente, solitamente in base ad una coppia username/password. Si basa sul principio che ogni utente abbia delle credenziali uniche che lo distinguono dagli altri.



Autorizzazione è il processo di garantire o negare all'utente l'accesso alle risorse di rete dopo che è stato autenticato. La quantità di risorse alle quali ha accesso dipende dal livello di autorizzazione garantito.



Accounting è il processo di tenere traccia dell'attività

Simple Network Management Protocol (SNMP)



SNMP è il protocollo che consente la configurazione, la gestione ed il monitoraggio di apparati di rete



Le abilitazioni sono:

 read: sola lettura dei parametri del dispositivo

 write: modifica dei parametri del dispositivo

 trap: il dispositivo invia in modo asincrono messaggi al server



Raccomandazioni:

 Utilizzare password/community non banali

 Limitare l’accesso filtrando gli IP sorgente abilitati

 Utilizzare preferibilmente SNMP versione 3 o almeno la versione 2c

Network Time Protocol (NTP)



Affinché i messaggi di logging siano coerenti occorre che il tempo nella rete sia sincronizzato con uno o più NTP server.



Le linee guida per la configurazione NTP sono:

 Sviluppare un modello gerarchico, solitamente corrispondente all'architettura di routing.

 Usare un'unica time zone per l'intera rete

 Limitare le comunicazioni NTP tramite filtro IP

 Utilizzare l'autenticazione NTP

 Utilizzare almeno due server di riferimento a loro volta sincronizzati con un clock di livello superiore (stratum inferiore)

Sicurezza del piano di controllo

Sicurezza del piano di controllo - Obiettivo

L’obiettivo da perseguire con le attività relative alla sicurezza del piano di controllo è:



Garantire la disponibilità (availability) della rete.

Sicurezza del piano di controllo



Il Control Plane gestisce il traffico fondamentale per il funzionamento della rete e scambiato tra gli apparati di rete.

Management plane

Control plane

Data plane Apparato di rete

Sicurezza del piano di controllo



Sicurezza generale del Control Plane



Control Plane Policing (CoPP)



Sicurezza del protocollo Border Gateway Protocol (BGP)



Sicurezza dei protocolli di routing interni (IGP)



Sicurezza dei protocolli di First Hop Redundancy

Sicurezza generale del Control Plane



Obiettivo: limitare l'esaurimento di risorse del control plane



Evitare l'esaurimento delle code di ingresso delle interfacce (distruttivo per i protocolli di routing)



Configurazione di durata massima per task di I/O (scheduler allocation)



Limitazione del traffico di controllo verso la CPU (filtro ACL

sull'interfaccia di ingresso).

Control Plane Policing (CoPP)

 Il Control Plane Policing (CoPP) è una funzionalità di sicurezza che limita il traffico non necessario che raggiunge la CPU e le altre risorse (memoria, buffer, code) e che potrebbe comprometterne la funzionalità.

 Protegge esclusivamente le risorse del piano di controllo a differenza dei filtri sulle interfacce (ACL) che operano su tutto il traffico in ingresso nell'apparato

Sicurezza del protocollo Border Gateway Protocol (BGP)



Sicurezza basata su campo TTL: si configura il minimo valore Time To Live (TTL) per i pacchetti ricevuti da ogni specifico peer.

Se il valore TTL di un pacchetto è inferiore, questo è scartato.



Autenticazione mediante password cifrate MD5



Limitazione del numero massimo di prefissi ricevibili da un

Sicurezza dei protocolli di routing interni (IGP) e di First Hop Redundancy



Obiettivi:

 Rafforzare l'integrità delle informazioni scambiate

 Verificare l'identità degli apparati con i quali si scambiano tali informazioni



Soluzioni:

 funzionalità di sicurezza inserite nei protocolli come l’autenticazione con chiave cifrata MD5

 tunnel IPSec (raramente utilizzato)

Sicurezza del piano di forwarding

Sicurezza del piano di forwading- Obiettivi

Gli obiettivi da perseguire con le attività relative alla sicurezza del piano di forwarding sono:



Garantire la disponibilità (availability) della rete.



Prima linea di difesa per gli apparati di rete interni.

Sicurezza del piano di forwarding



Il Data Plane gestisce il traffico inoltrato dall'apparato di rete ma originato e destinato a dispositivi diversi dall'apparato stesso.

Management plane

Control plane

Data plane Apparato di rete

Filtri di protezione dell’infrastruttura



Sono filtri IP estesi (includono anche porte TCP/UDP) che sono implementate nei punti d’ingresso della rete e servono a filtrare il traffico che non può provenire dall’esterno e consentire

esplicitamente solo il traffico legittimo, (per le linee guida vedere RFC 2827). Si applicano al traffico in transito.



Sono composte in generale da 5 moduli:

1. Anti spoofing. Blocca indirizzi IP riservati e privati (RFC 1918 e 2827) e il traffico con sorgente il proprio spazio di indirizzamento pubblico.

2. Permette traffico da legittime sorgenti esterne verso apparati di edge.

Filtri di protezione dell’infrastruttura

Filtri di protezione dell’infrastruttura

Filtri di protezione dell’infrastruttura - esempio

access-list 110 remark Indirizzi riservati RFC 3330 access-list 110 deny ip host 0.0.0.0 any log

access-list 110 deny ip 127.0.0.0 0.255.255.255 any log access-list 110 deny ip 192.0.2.0 0.0.0.255 any log

access-list 110 deny ip 224.0.0.0 31.255.255.255 any log

access-list 110 remark Indirizzi riservati RFC 1918 access-list 110 deny ip 10.0.0.0 0.255.255.255 any log access-list 110 deny ip 172.16.0.0 0.15.255.255 any log access-list 110 deny ip 192.168.0.0 0.0.255.255 any log

access-list 110 remark Il proprio spazio di indirizzamento pubblico

Filtri di protezione dell’infrastruttura – esempio 2/2

access-list 110 remark Connessioni BGP con l'esterno e ICMP access-list 110 permit tcp host BGP_EXTERNAL_PEER host

BGP_INTERNAL_PEER eq bgp

access-list 110 permit tcp host BGP_EXTERNAL_PEER eq bgp host BGP_INTERNAL_PEER

access-list 110 permit icmp any host BGP_INTERNAL_PEER

access-list 110 remark Blocca il resto del traffico verso i BGP PEER access-list 110 deny tcp any host BGP_EXTERNAL_PEER log

access-list 110 deny udp any host BGP_EXTERNAL_PEER log access-list 110 deny ip any host BGP_EXTERNAL_PEER log

access-list 110 remark Spazio indirizzi infrastruttura interna access-list 110 deny ip any INDIRIZZI_INFRASTRUTTURA_INTERNA log

Nel prossimo futuro? - SDN



Software Defined Networking: è un'architettura emergente

dinamica, gestibile, adattabile, agile. Disaccoppia il piano di

controllo da quello di forwarding, centralizza il piano di

controllo e ne consente la programmabilità ed automazione,

astraendo dall’infrastruttura fisica di rete.

Nel prossimo futuro? - SDN



Elementi basilari dell’architettura SDN:

 Il piano di controllo e management su controller dedicato ed esterno.

 I dispositivi di rete svolgono solo forwarding

 Connettività IP/SSL tra il controller e gli apparati di rete

Controller

Nel prossimo futuro? - SDN



Programmabilità



Minor interazione Uomo/Macchina



Minor tasso di errore



Maggior flessibilità



Maggior visibilità (informazioni centralizzate)



Maggior criticità del piano di controllo e di gestione



Attacchi più sofisticati e diretti verso:

 Diretti verso il controller, ad esempio installando codice malevolo

Nel prossimo futuro? - SDN



Possibili contromisure:

 Sicurezza fisica e all’accesso logico dei controller (analoghe ad un server)

 Comunicazioni cifrate tra controller ed apparati di rete.

 Stabilire robuste relazioni di trust tra controller e dispositivi (certificati).

 Connessioni tra controller e dispositivi su canali dedicati (out of band) e distinti da quelli del traffico dati.

Controller

27/04/2015

Cosa posso fare per il router di casa?



Modificare account di default e utilizzo di password complesse



Scegliere la release software raccomandata



Ad ogni modifica salvare la configurazione esternamente



Attivare solo i servizi necessari



Inserire un banner



Utilizzare protocolli cifrati (SSH o HTTPS) per l’accesso



Regolamentare il numero di autenticazioni fallite



Attivare il log locale e sincronizzare la data/ora con NTP



Attivare il firewall (se presente) o configurare i filtri di protezione dell’infrastruttura

73

RFC di riferimento



RFC2196 - Site Security Handbook



http://tools.ietf.org/html/rfc2196



RFC 2827 - Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing



http://tools.ietf.org/html/rfc2827



RFC 3704 - Ingress Filtering for Multihomed Networks



http://tools.ietf.org/html/rfc3704

Riferimenti

 Cisco Guide to Harden Cisco IOS Devices

 http://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html



 Cisco IOS Security Configuration Guide, Release 12.4

 http://www.cisco.com/c/en/us/td/docs/ios/security/configuration/guide/12_4/sec_12_4_book.

html



 Cisco SAFE Reference Guide

 http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/SAFE_RG/SAFE_rg.html



 Infrastructure Protection on Cisco IOS Software

 http://www.cisco.com/c/en/us/support/docs/ip/access-lists/43920-iacl.html



 Network Security Baseline

 http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Security/Baseline_Security/secure