Sicurezza

Hardening della Lan wi-fi …a casa

Hardening della Lan wi-fi …a casa
di Nanni Bassetti

Salve a tutti,
oggi nelle nostre case è possibile creare una rete wi-fi casalinga per
avere più computers collegati, senza stendere fastidiosi cavi che
farebbero incavolare le mogli e le madri.

Basta acquistare un router-modem wi-fi e collegarlo alla nostra adsl,
poi acquistare delle chiavette USB wi-fi da attaccare ai computer, se
avete i notebook col wi-fi integrato,
chiaramente andremo a risparmiare su quest’ultimo acquisto.
Il più è fatto! Adesso basta usare la ricerca reti wireless di windows
xp e agganciarsi al
nostro router, in pochi clicks siamo su internet…che bello!
Ma la sicurezza?
Ricordiamo che stiamo navigando facendo passare i nostri dati via etere,
e che la nostra adsl è raggiungibile via radio, se qualcuno fa del
wardriving(cioè gira con un computer portatile
cercando reti wi-fi aperte), si collega alla nostra adsl e poi di lì può
cominciare a fare azioni illecite usando la
nostra onesta linea.
Che cosa comporta?
Bhè immaginiamo alcune azioni illecite:
1) Pedopornografia
2) E-mail minatorie
3) Pirateria informatica varia
tutto riconducibile al nostro indirizzo IP, intestato a noi, quindi ne
siamo responsabili legalmente.
Allora che si fa? Si torna alla vecchia ed affidabile rete via cavo
ethernet?
Ma no…basta effettuare alcuni accorgimenti:
1) Usiamo una password lunga per accedere al sistema operativo del
nostro router
2) Usiamo una password di accesso alla rete wi-fi (WEP o WPA in seguito
approfondiremo)
3) Usiamo l’accesso tramite MAC address alla rete.

Ma adesso analizziamo le parolacce su indicate:

Il Gateway (router) deve supportare quattro tipi differenti di
regolazioni di sicurezza per la vostra rete.
Il Wi-Fi Protected Access (WPA) Pre-Shared key, WPA Remote Access Dial
In User Service (RADIUS), RADIUS, ed il Wire Equivalence Protection
(WEP).

Pre-Shared key WPA: Ci sono due opzioni di crittografia per la
Pre-Shared key WPA, TKIP ed AES.
TKIP sta per Temporal Key Integrity Protocol.
TKIP utilizza un metodo più forte di encrytption e comprende il codice
di integrità del messaggio (MIC) per assicurare la protezione contro i
hackers.
AES sta per al sistema avanzato di crittografia, che utilizza una
crittografia di dati simmetrica del blocco a 128-Bit.
Per Usare WPA Pre-Shared Key, si digita una parola d’accesso nel campo
chiave WPA lunga fra gli 8 e 63 caratteri.
Potete anche fornire un tempo di intervallo di rinnovamento della chiave
del gruppo fra 0 e 99.999 secondi.
WPA RADIUS: WPA RADIUS utilizza un server esterno RADIUS per realizzare
l’autenticazione dell’utente.
Per usare il WPA RADIUS, si scrive l’indirizzo IP del server RADIUS, la
porta di default del RADIUS SERVER è per default la 1812.
RADIUS: usa un server RADIUS per l’autenticazione o WEP per la
crittografia di dati.
Per utilizzare il RADIUS, si scrive l’indirizzo IP del server RADIUS in
seguito si seleziona il livello di crittografia (64 o 128) per WEP ed
una passphrase (frase password).
WEP: Ci sono due livelli della crittografia di WEP, 64-bit e di 128-bit,
più alto è il livello di crittografia, il più sicura sarà la vostra
rete, tuttavia, la velocità è sacrificato ai livelli elevati di
crittografia.

Così abbiamo ben protetto l’accesso alla nostra rete wi-fi, chiaramente
è consigliabile usare il WPA, poichè gli hackers hanno bisogno di
diversi giorni per bucare il WPA, mentre per il WEP ci si mette un paio
d’ore.

Allora come poterci completamente blindare?
Con l’accesso ristretto dal MAC address!
Un computer collegato ad una rete su IP/Ethernet ha due indirizzi: uno è
l’indirizzo fisico della scheda di rete ed è chiamato MAC address,
mentre il secondo è l’indirizzo IP.

- L’indirizzo fisico o MAC Address, teoricamente, dovrebbe essere un
indirizzo unico e non sostituibile, assegnato dal costruttore della
scheda di rete, che è conservato in una porzione di memoria della scheda
stessa.
I produttori di schede hanno un “intervallo” di indirizzi fisici da
assegnare alle proprie schede, che identificano univocamente solo e solo
quella scheda di rete a cui l’indirizzo specifico è stato assegnato.
Se si è dei mattoidi della pirateria si può , con particolari software,
modificare la ROM della scheda di rete e modificare il MAC address.
Ma ammesso che qualcuno lo faccia ed ammesso che sappia la lista di MAC
adress autorizzati dal router (ma come lo dovrebbe scoprire?), potrebbe
comunque non giungere a niente, poichè se nella nostra lan vi è un’altra
scheda di rete con lo stesso MAC address ci sarebbe con conflitto di
instradamento ed entrambe le due schedi di rete non riuscirebbero a
ricevere pacchetti.
Il MAC address è necessario per permettere di spedire e ricevere data in
una rete Ethernet, indipendentemente dal tipo di protocollo che viene
utilizzato sulla rete.

Ma come faccio a sapere il mio MAC address?
Semplice: START –> ESEGUI –> SCRIVETE CMD –> poi nella finestra DOS
scrivete “ipconfig /all”
ed avrete sia l’indirizzo IP che il MAC del vostro computer.
Chiaramente così se viene un ospite a trovarvi non basterà cedergli la
password ma dovrete autorizzare il suo MAC address da router per farlo
navigare sulla vostra ADSL.
Adesso però siamo al sicuro…e senza fili

Intrusion Detection System: Honeypot

Intrusion Detection System: Honeypot

di Cristian Ceroni

Gli IDS (Intrusion Detection System) funzionano in rapporto a tre premesse:

-dove controllare
-cosa controllare
-che cosa fare

Un IDS dispone infatti di una speciale implementazione del protocollo TCP/IP, ed è possibile compiere questa operazione in diversi modi:
-ricostruzione del flusso di comunicazione
-analisi del protocollo
-rilevazione delle anomalie
-corrispondenza a signature e schemi
-analisi delle registrazioni (acquisizione dei pacchetti non autorizzati e ricostruzione della sessione)

Se si vuole prendere in considerazione un’azione effettiva contro gli aggressori, l’utilizzo degli honeypot è essenziale.

Un Honeypot è un sistema di computer estremamente flessibile su internet, che viene adattato per fungere da strumento di sicurezza, volutamente configurato per attirare ed intrappolare chi tenta di penetrare nei sistemi attraverso indagini, analisi e intrusioni. I soggetti presi di mira sono gli attacker, cracker e script kiddie.

Ovviamente gli honeypot non risolvono il problema sicurezza. Vengono infatti usati per fuorviare, rilevare attacchi e compromissioni all’interno di un’architettura di rete.

Il loro scopo è di sembrare ciò che in realtà non sono.
Oltre queste caratteristiche, gli HP distraggono gli aggressori da risorse di importanti all’interno del sistema.

Scopo e struttura degli HP rientrano in due categorie:

-HP di ricerca difficili da mantenere, vengono utilizzati prevalentemente per attività di ricerca di organizzazioni militari e governative
-HP di produzione, utilizzate da società che hanno come scopo lo sviluppo della sicurezza delle reti

Identificare le intrusioni permette di individuare i c.d. security incidents, in modo tale da garantire una risposta immediata.

Da ricordare, però, che gli HP non possono svolgere il compito di meccanismo preventivo, in quanto, la sua attività (da cui il nome “vaso di miele”) consiste nell’essere compromessa da intrusi, in modo tale da capire le modalità di attacco, le tipologie di strumenti usati, e le loro finalità.

Tra gli aspetti positivi da ricondurre all’utilizzo di HP come strumento di IDS, sono il basso valore di falsi positivi e falsi negativi (in quanto chi accede ad una honeypot, non lo fa per caso), e la semplicità di utilizzo degli stessi.

Il livello di interazione determina la quantità di funzioni che un honeypot può fornire: più funzioni sono presenti, più informazioni si potranno ottenere da un attacco.

Proporzionalmente però, aumentano anche i rischi derivanti da un ottenimento del controllo root della macchina da parte dell’intruso, e il conseguente invio di attacchi dalla direzione dell’honeypot.

Tra le altre tipologie di applicazione troviamo:

Honeyd.
È un honeypot open source sviluppato da Niels Provos. È in grado di simulare più di 500 s.o. (compresi differenti versioni e s.p.), oltre che servizi TCP piuttosto che scripts in Perl o servizi provati (sebbene però non emuli UDP: la porta resta aperta).
Può simultaneamente assumere indirizzi IP di centinaia di vittime (Honeytokens.
Glil honeypot non debbono essere obbligatoriamente delle macchine.
Un honeytokens può essere un numero di carta di credito, un documento excel, una presentazione in ppt. Come un honeypot non ha un autorizzazione al suo utilizzo, lo stesso vale per gli honeytokens.
Prelevando questi file quindi, permette di individuare accessi non autorizzati al sistema.

Honeynets.
Rappresentano un’estensione di un honeypot, ovvero un’architettura multi-system in grado di emulare un fake network.
La tipologia network permette di ottenere diversi vantaggi rispetto gli honeypot, come il maggiore realismo, i molteplici punti di attacco forniti all’attacker.
Qualora un attacker individui la honeynet, si rende conto di essere entrato in un sistema fittizio.
Ma l’attacker può exploitare l’honeypot, e questo rappresenta un rischio di elevata interazione con il sistema, da cui potrebbero anche partire attacchi verso altre macchine.

Honeypot e sviluppi forensi.
Se il sistema è stato compromesso, si possono individuare:

-chi ha eseguito l’attacco
-cosa ha fatto: individuare il livello di penetrazione
-in che modo lo ha fatto; tools utilizzati
-quando; rilevazione data ora dell’intrusione per incrocio dati
-perché (spesso in questi casi non c’è risposta)

Rilevata un’intrusione cosa occorre fare?

In genere, è opportuno lasciarlo operare, osservandolo con Sebek, sniffers e loggando i suoi movimenti, e freezare la macchina appena ci si rende conto di essere sul punto di perdere il controllo root della macchina.

Se si vuole preservare le prove, bisogna cercare di mantenerle intatte, in ogni modo.

Occorre non modificare il filesystem; lavorare su copie forensicamente sicure (streambit copy, md5), ed utilizzare Linux come supporto per il filesystem.

Usare vmware per bootare altri OS, ma mai lasciare che Windows monti l’immagine (distruggerebbe le timestamps: quindi meglio condividerle con Samba).

Sulle tracce di MyDoom con Nmap

Sulle tracce di MyDoom con Nmap

di Maurizio Anconelli

Il ritardo con il quale è stata rilasciata la signature per MyDoom da parte della maggior parte di aziende produttrici di antivirus ha contribuito non poco alla vasta diffusione del worm. A causa di ciò, anche chi ha una rete monitorata da un sistema antivirus costantemente aggiornato si è trovato probabilmente alle prese con qualche istanza di questo simpatico bruco. Nonostante i vari programmi di monitoraggio su rete Microsoft, il buon vecchio Nmap su una stazione Linux si è dimostrato il migliore e più veloce strumento per scovare le stazioni infette in un dominio Windows 2000.

Una delle poche certezze nei primi attimi di allerta mondiale è stata la porta 3127 aperta sul sistema colpito. La pericolosità di una backdoor sempre in ascolto è ovvia ma avere una porta aperta ben definita può dimostrarsi un ottimo parametro segnalatore del virus, una specie di led rosso fra una marea di lucine verdi. Conoscendo le caratteristiche del bersaglio dobbiamo quindi scegliere uno strumento adeguato che ci permetta nel più breve tempo possibile il rilevamento dei sistemi colpiti, senza ovviamente correre rischi o aggravare la situazione.

La scelta della stazione di partenza ricade ovviamente su una Linux-box ben attrezzata, dalla quale è possibile muoversi nel sistema senza correre rischi. Nella prima risposta ad una infezione su sistemi Microsoft è, infatti, sempre consigliabile agire da una piattaforma differente, in modo da non incorrere negli stessi problemi dei sistemi colpiti. Lo scanner scelto non può essere che Nmap di Fyodor, presente praticamente in ogni distribuzione Linux, scaricabile comunque dal sito insecure.org .

Per controllare un singolo host lanciamo nmap con i seguenti parametri :

nmap -sS -T4 -p 3127 192.168.0.10

-sS sta per scansione SYN, -T4 è la velocità di scansione (la massima è 5), -p indica il numero della porta.

L’output sarà il seguente :

Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-01-27 09:17 CET

Interesting ports on 192.168.0.10:

PORT—STATE—SERVICE

3127/tcp closed unknow

Lo stato della porta (closed in questo caso) ci dirà se il virus è presente o meno. Se il risultato fosse ‘open’ è conveniente eseguire uno spegnimento immediato della stazione colpita e procedere alla disinfezione manuale o attraverso i vari pacchetti di rimozione distribuiti dai produttori di antivirus.

Possiamo agevolmente scansire un’intera rete di pc col seguente comando:

nmap -sS -T4 -p 3127 192.168.0.0/24

Se la porta 3127 fosse già occupata il worm ne sceglie un’altra nel range 3128-3199, conviene quindi estendere la ricerca a queste porte:

nmap -sS -T4 -p 3127-3199 192.168.0.0/24

Evitiamo l’opzione -v (verbose) in modo da avere una visione immediata dello stato della porta.

Ok, neanche il tempo di divertirci con la prima versione che è già in pista Mydoom.B. Le porte scelte dalla mutazione del lombrico sono oltre alla 3127 : 80, 1080,3128,8080,10080. Possiamo semplicemente aggiungere le porte alla lista ma, se avessimo una sottorete di classe B con svariati server web e proxy in ascolto, come possiamo distinguere con immediatezza se il servizio in ascolto sia o meno il worm o un server appropriato?

E’ qui che entra in gioco una delle ultime funzionalità di Nmap: la scansione del servizio (Version Detection). Possiamo ora interrogare una porta aperta in modo da conoscere quale server la stia utilizzando. Tutto ciò grazie ad un database con le siganture di risposta della maggior parte dei servizi conosciuti. Il comando che ci serve è -sV.

nmap -sV -T4 -p 80,8080 192.168.0.1

Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-01-27 09:17 CET

Interesting ports on 192.168.0.10:

PORT—-STATE—-SERVICE—VERSION

80/tcp open http Microsoft IIS webserver 5.0

8080/tcp open http-proxy Microsoft ISA Server http proxy

In questo caso nmap ha trovato le porte 80 e 8080 in ascolto e le ha interrogate in modo da conoscere il reale processo server che ha aperto il servizio, scoprendo così un server web IIS e il proxy di casa Microsoft ISA Server.

La versione finale della nostra stringa di ricerca sarà quindi il seguente:

nmap -sV -T4 -p 3127-3199,80,8080,1080,10080 192.168.0.0/24

Possiamo fare ancora meglio. Aggiungendo la signature del worm al database nmap-service-probes, sarà nmap stesso ad avvisarci della presenza del virus. Il file nmap-service-probes si trova nella directory /usr/local/share/nmap/ o /usr/share/nmap/ a seconda della distribuzione. Trovato il file aggiungiamo le seguenti righe (tutto ciò che è preceduto da # è un commento):

######   MyDoom  #######
Probe TCP return-enter q|\n|
ports 80,1080,3127,3128,8080,10080 
match mydoom m/^\x04\x5b\x00\x00\x00\x00\x00\x00$/ v/original///

Attenzione alle tre barre rovesciate (///) finali che segnalano il termine della signature.