Bologna, 6 Dicembre 2007
Implementare la sicurezza informatica: l’esperienza dell’Alma Mater Studiorum – Università di Bologna.
Aldo Schiavina
Responsabile Progetti Speciali
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 2 -
• Scenario
• Esigenze ed obiettivi relativi all’implementazione della sicurezza informatica in Ateneo
• Criticità
• Azioni intraprese ed in fase di attuazione
Agenda
- 3 -
Scenario
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 4 -
Rete ALMAnet – Distribuzione Geografica Sedi
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 5 -
Rete ALMAnet – Geografia Ponti Radio
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 6 -
Rete ALMAnet – Schema Logico
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 7 -
• Adempimento degli obblighi normativi previsti dal codice in materia di privacy (D.Lgs. 196/03 ). In particolare, implementazione delle misure minime previste dall’allegato B dello stesso codice.
• Garanzia della disponibilità ed integrità dei dati e delle applicazioni necessarie allo svolgimento delle attività istituzionali dell’Ateneo, per avere continuitàdei servizi offerti dall’Università.
• Previsione di un piano per il recupero delle funzionalità minime in caso di eventi disastrosi (Disaster Recovery).
• Formazione di personale strutturato, al fine di acquisire le competenze necessarie alla gestione della Sicurezza dell’Informazione, mantenendone strategicamente all’interno il suo controllo.
Esigenze ed Obiettivi
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 8 -
• L’Università, è un ambiente di lavoro molto particolare, dove l’informazione deve poter essere condivisa liberamente e senza troppi vincoli, al fine di perseguire con efficacia le attività istituzionali di ricerca e didattica.
• L’autonomia gestionale di cui sono dotate le singole strutture che la compongono non agevola il coordinamento centrale (la situazione è più semplice per ciò che concerne le strutture componenti l’Amministrazione Generale).
Occorre trovare il giusto compromesso tra le esigenze di libera circolazione dell’informazione e di autonomia delle singole strutture con la necessità di adempiere agli obblighi previsti dalla legge e di soddisfare le esigenze di continuità di servizio.
Criticità
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 9 -
• Stesura del D.P.S. ai sensi del D.Lgs. 196/03.• Implementazione di un sistema di
Autenticazione/Autorizzazione di riferimento per tutto l’Ateneo (Identity Management System).
• Definizione di un modello di Sicurezza Perimetrale.• Preparazione di un sito di Disaster Recovery.• Gestione degli incidenti informatici (CERT CeSIA) ed
implementazione di un sistema di Intrusion Detection.
• Aggiornamento del regolamento per il corretto uso della rete.
• Gara di ambito comunitario, al fine di acquisire gli apparati ed i servizi necessari all’implementazione della sicurezza informatica in Ateneo.
Azioni
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 10 -
• Nell’AA 2003/2004 è stato costituito un gruppo di lavoro di 6 unità di personale, dotate di diverse competenze (tecniche, giuridiche ed economico -organizzative) e formato grazie al Master in Sicurezza dell’Informazione di Alma, Graduate School of Information Technology, Management and Communication dell’Università di Bologna.
• Il D.P.S. ai sensi del D.Lgs. 196/03 per l’Ateneo èstato redatto in sede di project work previsto dal Master.
• Questo modo di procedere ha permesso di maturare internamente le competenze necessarie per gestire la Sicurezza dell’Informazione in Ateneo, facendo ricorso a risorse formative di cui l’Università ènaturalmente dotata.
Stesura del D.P.S. ai sensi del D.Lgs. 196/03 (1/2)
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 11 -
La stesura del D.P.S. per l’Ateneo ha comportato, tra le altre cose:• l’analisi e la documentazione dell’attuale
situazione relativa al trattamento dei dati personali nell’Ateneo di Bologna (Amministrazione Generale e strutture periferiche);
• l’elaborazione di un’analisi dei rischi relativamente ai dati trattati;
• la sensibilizzazione ed il coordinamento dei Responsabili del trattamento, in merito all’adeguamento alle misure minime di sicurezza;
• la definizione di alcune soluzioni tecnologiche necessarie ad adempiere agli obblighi in materia di misure minime di sicurezza ed utili per ridurre i rischi individuati.
Stesura del D.P.S. ai sensi del D.Lgs. 196/03 (2/2)
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 12 -
Si è sentita l’esigenza di attualizzare il regolamento che disciplina l’uso della rete ALMAnet (D.R. n. 71 del 21/05/1998). Si sta lavorando ad una proposta di modifica per regolamentare i seguenti aspetti:• soggetti autorizzati all’uso della rete;• modalita' di accesso alla rete (autenticazione e
mantenimento dei log);• uso di strumenti hardware e software che
possono compromettere l'uso della rete se utilizzati impropriamente o per scopi non istituzionali (es. software P2P);
• utilizzo dei servizi di rete (posta elettronica, siti web, ecc.);
• implementazioni di particolari tecnologie (es. WI-FI, ecc.);
• …
Regolamento per il corretto uso della rete
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 13 -
• Aggiornamento del Documento Programmatico della Sicurezza per l’Ateneo
• Regolamento per il trattamento dei dati sensibili e giudiziari
• Nuovo regolamento per l’uso della rete ALMAnet • Consulenza verso le strutture d’Ateneo per quel che
concerne la privacy e relativi adempimenti (D.Lgs. 196/03) ed il Diritto delle nuove tecnologie in genere (es. valore legale del documento elettronico, aspetti legali della dematerializzazione dei processi,…).
Servizio di Consulenza in ambito Privacy
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 14 -
• Ridondanza del link verso Internet• Ridondanza dei percorsi di rete che collegano i
principali punti della MAN di Bologna• Ridondanza del Link verso la Romagna• Ridondanza dei firewall di bordo e a protezione
della server farm del Cesia• Architettura di balancing per l’alta affidabilità
della server farm del CeSIA• Ridondanza dei principali servizi (es. posta
elettronica, dns, infrastruttura di autenticazione,…)
Disaster Recovery ed High Availability (1/2)
- 15 -
Disaster Recovery ed High Availability (2/2)
DR Site CeSIA Site
OF
OF
OFBorder Gateway
Switch-Router
Border Firewall
Backup Border Gateway
Switch-Router
Backup Border Firewall
Internet
ALMAnet
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 16 -
• Si è sentita la necessità di un unico sistema di Autenticazione/Autorizzazione che permetta di profilare tutte le risorse umane presenti in Ateneo (Personale Docente e Tecnico Amministrativo, Studenti, Collaboratori, Ospiti, etc.), superando le difficoltà introdotte dall’esistenza di più anagrafiche e più metodi eterogenei per la gestione dell’accesso alle risorse informatiche.
• Un unico sistema di autenticazione consente di applicare semplicemente politiche sicure nella gestione delle credenziali, in ottemperanza a quanto previsto dall’Allegato B del D.Lgs. 196/03 e di favorire l’utente che deve ricordarsi solo una coppia di credenziali per accedere a più risorse.
• Queste esigenze hanno portato alla realizzazione di un Directory Service d’Ateneo (DSA).
Identity Management System (1/3)
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 17 -
Identity Management System (2/3)
database di produzione
DsaPreiscritti e
Preaccreditati
AgentiDsa
Prodotto di Metadirectory
ed Identity Management
Directory Service
d’Ateneo
Studenti
Personale
Studenti stranieri
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 18 -
• Attualmente tutte le applicazioni informatiche centralizzate utilizzate in Ateneo (es. posta elettronica, profilazione al Portale d’Ateneo, immatricolazione on-line, etc.), usano (o si apprestano ad usare) il DSA come sistema di Autenticazione/Autorizzazione.
• Il DSA è usato anche per l’autenticazione all’accesso alle postazioni di lavoro dell’Amministrazione Generale ed in alcuni laboratori studenti d’Ateneo.
• E’ in atto un’opera di divulgazione che riscontra un certo successo presso le strutture periferiche dell’Ateneo, in modo che usino il DSA per l’autenticazione alle applicazioni locali ed alle risorse informatiche (postazioni di lavoro, laboratori studenti, etc.).
Identity Management System (3/3)
- 19 -
Un firewall costituisce un gateway tra una rete degna di fiducia (per esempio una LAN aziendale) ed una non affidabile (come ad esempio Internet).Serve a forzare politiche di sicurezza controllando l’accesso dall’esterno a risorse interne e viceversa.
Firewall (1/5)
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 20 -
Le tipologie di firewall si dividono normalmente in base al livello del modello ISO/OSI in cui operano:
• I firewall packet filtering operano ai livelli OSI 3 e 4. Si dividono ulteriormente in:– Stateless– Stateful
• Gli application gateway (o proxy) operano ai livelli OSI più alti
Firewall (2/5)
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 21 -
Per aumentare il livello di sicurezza si separano normalmente in due zone i server che devono essere acceduti dall’esterno da quelli che devono essere maggiormente protetti e acceduti solo dalla LAN interna. I primi vengono posti in un segmento di rete detto zona demilitarizzata. Per relizzare questa architettura si possono usare due firewall.
Firewall (3/5)
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 22 -
La DMZ si può realizzare anche con un solo firewall avente almeno tre schede di rete.
Firewall (4/5)
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 23 -
Firewall (5/5)
Indirizzo Sorgente
Porta sorgente/Protocollo
Indirizzo Destinazione
Porta Destinazione/Protocollo
Azione
Parametripresenti in un generica regola di un firewall basato su protocollo IP
Indirizzo Sorgente
Porta sorgente/Protocollo
Indirizzo Destinazione
Porta Destinazione/Protocollo
Azione
any any 137.204.1.6 80/tcp accept
any any any any deny
Esempiodi ACL per firewall packet filter stateful
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 24 -
Come prima misura necessaria per la protezione della rete dell’Ateneo (ALMAnet) si è individuato un modello di sicurezza perimetrale a due livelli:
• Il primo livello è costituito da un firewall centralizzato ad elevate performance, posizionato a valle del link che collega ALMAnet alla rete GARR;
• Il secondo livello è costituito da numerosi firewall di dimensioni più ridotte, posti a monte delle LAN delle singole strutture periferiche, in corrispondenza del link che le collega al backbone della rete ALMAnet.
Modello di Sicurezza Perimetrale (1/2)
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 25 -
Modello di Sicurezza Perimetrale (2/2)Internet
Primo livello di protezione
ALMAnet Border Router
GARR net
ALMAnet Border Firewall
Secondo livello di protezione Secondo livello di protezione
Firewall Periferico
Dip. #3
Firewall Periferico
Dip. #1
ALMAnetBackbone
Fac. #2
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 26 -
• Brute force attack• Password cracking• Login spoofing• Denial of Service (DoS) e Distributed DoS (DDoS)• Packet sniffing• Trojan horse• Backdoor• Buffer overflow• Virus• Worms• Phishing
Alcuni tipi di attacco
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 27 -
Sono strumenti che servono ad identificare eventuali intrusioni all’interno della rete e dei suoi host.
Classificazione in base alla sorgente delle informazioni:
• Network Intrusion Detection Systems (NIDS);• Host-based Intrusion Detection Systems
(HIDS).
Classificazione in base al tipo di analisi effettuata:• anomaly detection;• misuse detection.
Intrusion Detection Systems
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 28 -
Il CeSIA ha istituito già da alcuni anni un servizio CERT, che si occupa della gestione degli incidenti di sicurezza che avvengono sulla rete ALMAnet.
Questo servizio gestisce le segnalazioni che provengono dall’analogo servizio del GARR (GARR-CERT) e mantiene i rapporti con l’autorità giudiziaria.Si prevede di istituire anche un contatto con GOVCERT.IT.
Monitorizza la rete ALMAnet con strumenti di IDS ed analizzatori di protocollo, per individuare in tempo reale attività dannose per la rete.
Segnala ai referenti delle subnet di ALMAnet la necessità di interventi su host compromessi.
Computer Emergency Response Team (1/2)
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 29 -
Il servizio CERT CeSIA ha rilevato fino a 9.000.000 di eventi anomali in un solo giorno.
Nel corso del 2006 il servizio ha inviato oltre 2100 email per segnalare a referenti di rete host compromessi.
Quest’attività è necessaria per mantenere la disponibilità della rete e bloccare con tempestività la diffusione di minacce come virus e worm.
Per il monitoraggio della rete il CERT CeSIA fa uso di un complesso sistema di Intrusion Detection System ed analizzatori di protocollo.
Computer Emergency Response Team (2/2)
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 30 -
L’infrastruttura IDS del CERT CeSIA
• Per l’individuazione degli incidenti su ALMAnet il CeSIA utilizza strumenti sia commerciali che open source tra cui:– ISS RealSecure Gigabit Sensor– ISS RealSecure SiteProtector– snort– tcpdump– ethereal– ngrep– etherape– …
Intrusion Detection System (1/2)
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 31 -
Intrusion Detection System (2/2)
CERT CeSIA IDS Infrastructure
OF
OF
ALMAnet
Internet
Optical Tap
OFOptical Switch (Cisco 3508)
Open Source Tools
ISS RealSecure Gigabit Sensor
OF
ISS SiteProtector DB
ISS SiteProtector Console
CeSIA Firewall
ALMAnet Border Firewall
ALMAnet Border Router
Host Linux Host Windows
CERT CeSIA Operators Hosts
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 32 -
Eventi rilevati dall’IDS (15/12/04 – 10/06/05)
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 33 -
Eventi rilevati dall’IDS High:13.416.486 (15/12/04 – 10/06/05)
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 34 -
Eventi rilevati dall’IDS Medium:26.419.705 (15/12/04–10/06/05)
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 35 -
Eventi rilevati dall’IDS Low:184.749.097 (15/12/04 – 10/06/05)
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 36 -
Attività CERT CeSIA nel primo semestre 2005
• Circa 600 mail inviate a referenti di subnet della rete ALMAnet per segnalare incidenti informatici.
Tra queste segnalazioni possiamo individuare:
• 122 host con backdoor• 15 host con ircbot e backdoor• 221 host con ircbot• 96 host con spam relay• 106 segnalzioni dal GARR-CERT• 60 copyright infringement notice (31 dal
GARR-CERT)
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 37 -
ftp backdoor
Backdoor
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 38 -
ftp backdoor
Backdoor
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 39 -
ftp backdoor
Backdoor
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 40 -
ISS - Statistiche per tipo di evento
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 41 -
ISS – Dettagli per evento
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 42 -
Tcdump – scan exploits da ALMAnet
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 43 -
tcpdump – host che genera spam
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 44 -
Botnets (1/2)
IRC ServerCommand & Control
Attaccante
Vittima
Vittima
Vittima
Istruzioni
Istru
zioni
Istruzioni
Istruzioni
Join canale IRC di controllo
Join
canale
IRC d
i contro
llo
Join canale IRC di controllo Join canale IRC di controllo
- 45 -
Botnets (2/2)
ircbots : Es. di analisi log tcpdump della porta 6667 dalle ore 11:49 alle 12:22 (CEST) del 20040706 (estratto ascii sessione irc solo in uscita da 137.204.83.x)):NICK ITA|743324USER flwpoi 0 0 :ITA|743324USERHOST ITA|743324MODE ITA|743324 +n+U+x+iJOIN #uforobots ReAd.This.AnD.SuXUSERHOST ITA|743324MODE ITA|743324 +n+U+x+iJOIN #uforobots ReAd.This.AnD.SuXPRIVMSG n0cturnal :[KEYLOG]: Key logger active.PRIVMSG #uforobots :[KEYLOG]: pdate.com (Changed Windows: PorousMedia & MR Lab - Microsoft Internet Explorer)PRIVMSG #uforobots :[KEYLOG]: (Changed Windows: Windows Update -- Finestra di dialogo pagina Web)PRIVMSG #uforobots :[KEYLOG]: (Changed Windows: Microsoft Windows Update - Microsoft Internet Explorer)PRIVMSG #uforobots :[KEYLOG]: (Changed Windows: Program Manager)… Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 46 -
Un servizio di Remote Access VPN per ALMAnet
• Il sempre maggiore incremento di incidenti informatici che accadono sulla rete consiglia una sempre maggiore chiusura dellarete ALMAnet
• I servizi “exploitati” dai worms corrispondono normalmente a servizi abitualmente utilizzati dagli utenti, come la condivisione di risorse di rete, l’accesso a database, etc..
• Sono questi dei servizi che non dovrebbero più essere esposti su Internet, ma acceduti solo da reti locali.
• Occorre una Remote Access VPN per potere consentire agli utenti che lavorano dall’esterno di poter accedere ai servizi di loro interesse, anche in presenza di policy restrittive sul firewall di bordo
Virtual Private Networks (1/9 )
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 47 -
Cos’è una VPN?
Una Virtual Private Network (rete privata virtuale) permette di istituire una connettività diretta e completa tra macchine di sottoreti fisicamente diverse ed appartenenti ad una stessa organizzazione, utilizzando come trasporto una rete pubblica.
Virtual Private Networks (2/9)
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 48 -
Internet
ISP
ISP ISP
ISP
Virtual Private Networks (3/9)
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 49 -
Proprietà delle VPN
• Il traffico della VPN che attraversa la rete pubblica deve soddisfare esigenze di:
–– AutenticazioneAutenticazione (gli endpoint della comunicazione devono essere noti con certezza).
–– ConfidenzialitConfidenzialitàà (il traffico che attraversa la rete pubblica non deve poter essere intercettato ed utilizzato da terzi non autorizzati).
–– IntegritIntegritàà (occorre essere sicuri che quello che è stato ricevuto è proprio quello che è stato trasmesso)
• Per soddisfare queste esigenze si usano protocolli che usano tecniche di crittografia ed hashing con incapsulamento dei pacchetti originali (tunnel).
Virtual Private Networks (4/9)
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 50 -
Tipologie di VPN
• Site-to-site– Sono VPN che normalmente vengono usate per
collegare due sedi di una stessa organizzazione. Vengono realizzate configurando opportunamente apparati di rete come router e firewall.
• Host-to-site o Remote Access– Sono VPN che consentono ad utenti (per esempio mobili
e dotati di notebook) che abbiano a disposizione connettività Internet, di collegarsi alla rete della propria organizzazione.
Virtual Private Networks (5/9 )
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 51 -
Site-to-site VPN
InternetISP ISP
Tunnel
Router Sede #1 Router Sede #2
192.168.1.0/24 192.168.2.0/24
137.204.1.20 137.204.2.20
Virtual Private Networks (6/9 )
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 52 -
Remote access VPN
InternetISP ISP
Tunnel
Border Router LAN Organizzazione
192.168.1.0/24
137.204.1.20
Mobile dialup user o teleworker
Virtual Private Networks (7/9 )
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 53 -
I protocolli più diffusi per implementare VPN sono:
– IPsec (RFC 2401)– PPTP– L2TP– GRE– SSL– Protocolli proprietari
Virtual Private Networks (8/9 )
Modelli e applicazioni in reti di calcolatori elettronici – Bologna, 6 Dicembre 2007
- 54 -
Vantaggi delle VPN
• Consentono di avere un collegamento sicuro ed economicamente vantaggioso tra le sedi di un’organizzazione (sfruttano la rete pubblica già esistente)
• Sono trasparenti all’utenza• In particolare le Remote Access VPN incrementano la
produttività degli utenti mobili consentendo l’accesso a servizi della loro LAN interna (es. file server, database server, applicazioni amministrative, etc.) che sarebbero altrimenti loro indisponibili
Virtual Private Networks (9/9)