Al CisCon 2017, Stefano Giraldo () ha tenuto uno speech dal titolo "Over-The-Top: la grande corsa".
Abstract presente su http://www.ciscon.net/il-programma/
Tipologie di attacchi a reti wireless protetteEnrico Cambiaso
La presentazione illustra ad alto livello le debolezze della comunicazione wireless e i vari tipi di attacco contro una rete, sepcialmente senza fili, effettuabili al fine di interrompere la comunicazione, recuperare informazioni o effettuare un accesso abusivo alla rete.
Link alla tesi: http://goo.gl/EsTVV
Utilizzo della teoria dei giochi per lo sviluppo di tecnologie peer-to-peerEnrico Cambiaso
Applicazioni della teoria dei giochi per lo sviluppo di sistemi peer-to-peer, in particolare la strategia Tit-For-Tat utilizzata dal protocollo BitTorrent.
Al CisCon 2017, Stefano Giraldo () ha tenuto uno speech dal titolo "Over-The-Top: la grande corsa".
Abstract presente su http://www.ciscon.net/il-programma/
Tipologie di attacchi a reti wireless protetteEnrico Cambiaso
La presentazione illustra ad alto livello le debolezze della comunicazione wireless e i vari tipi di attacco contro una rete, sepcialmente senza fili, effettuabili al fine di interrompere la comunicazione, recuperare informazioni o effettuare un accesso abusivo alla rete.
Link alla tesi: http://goo.gl/EsTVV
Utilizzo della teoria dei giochi per lo sviluppo di tecnologie peer-to-peerEnrico Cambiaso
Applicazioni della teoria dei giochi per lo sviluppo di sistemi peer-to-peer, in particolare la strategia Tit-For-Tat utilizzata dal protocollo BitTorrent.
Infrastrutture ad alta disponibilità ridondate geograficamente sull'infrastru...seeweb
In questa sessione presenteremo una infrastruttura progettata per un nostro cliente, un grande portale nazionale, costituita da un gruppo di reverse proxy e cache HTTP che garantiscono una altissima disponibilità del servizio.
La piattaforma utilizza diverse istanze del nostro Web Accelerator installate su dei Foundation Server distribuiti tra i nostri datacenter di Milano e Frosinone, ed è resistente al guasto di un singolo Web Accelerator, Foundation Server o datacenter.
Il routing anycast garantisce la ridondanza anche in caso di guasto catastrofico di un datacenter e ottimizza le prestazioni portando i visitatori all'istanza geograficamente più vicina a loro. Il sistema fa caching delle risposte per ridurre significativamente il traffico sui backend e svolge le funzioni di terminatore SSL/TLS.
Intervento di Marco d'Itri a Smau Milano 2016
Cosa dobbiamo ancora capire sui containers?
Sicurezza: Cosa cambia, Come mi adeguo e Dove mi Fermo?
Attacchi:un esempio pratico di resilienza delle architetture a Containers
Wi-Fi, W-USB, Bluetooth, WiMax: how much are wireless technology secure? Some hints to make your wireless connection more secure.
http://www.archive.org/details/SicurezzaInformaticaDiBase-Parte2-A.Tringali.OGG
Infrastrutture ad alta disponibilità ridondate geograficamente sull'infrastru...seeweb
In questa sessione presenteremo una infrastruttura progettata per un nostro cliente, un grande portale nazionale, costituita da un gruppo di reverse proxy e cache HTTP che garantiscono una altissima disponibilità del servizio.
La piattaforma utilizza diverse istanze del nostro Web Accelerator installate su dei Foundation Server distribuiti tra i nostri datacenter di Milano e Frosinone, ed è resistente al guasto di un singolo Web Accelerator, Foundation Server o datacenter.
Il routing anycast garantisce la ridondanza anche in caso di guasto catastrofico di un datacenter e ottimizza le prestazioni portando i visitatori all'istanza geograficamente più vicina a loro. Il sistema fa caching delle risposte per ridurre significativamente il traffico sui backend e svolge le funzioni di terminatore SSL/TLS.
Intervento di Marco d'Itri a Smau Milano 2016
Cosa dobbiamo ancora capire sui containers?
Sicurezza: Cosa cambia, Come mi adeguo e Dove mi Fermo?
Attacchi:un esempio pratico di resilienza delle architetture a Containers
Wi-Fi, W-USB, Bluetooth, WiMax: how much are wireless technology secure? Some hints to make your wireless connection more secure.
http://www.archive.org/details/SicurezzaInformaticaDiBase-Parte2-A.Tringali.OGG
1. Mobile IP security
Analisi della sicurezza in ambiente Mobile IP
Cambiaso Enrico
enrico.cambiaso@gmail.com
20 dicembre 2010
2. Background
La suite di protocolli TCP/IP ` stata progettata a cavallo tra gli
e
anni ’70 e ’80.
Allora il concetto di host in movimento era ben lontano. . .
Come conseguenza, si decise di utilizzare l’indirizzamento IP per
identificare gli host e di poter utilizzare l’indirizzo IP ai livelli
superiori per identificare gli end-point della comunicazione.
Per molto tempo questa tecnica ha fatto egregiamente il suo
dovere, in quanto gli host venivano spostati molto raramente.
3. Il problema dell’indirizzamento IP
La decisione di sfruttare l’indirizzamento IP ai livelli superiori
ha avuto conseguenze a lungo termine:
ha introdotto una sorta di debolezza su internet
ha complicato la mobilit` e il multihoming
a
4. Infrastruttura IP esistente
Mobile IP vs. HIP
Uno degli obiettivi di progettazione di Mobile IP fu quello di
portare mobilit` senza effettuare troppe modifiche.
a
In particolare, Mobile IP ` stato progettato per fornire un
e
supporto di mobilit` anche nel caso in cui il correspondent host
a
non sia a conoscenza del protocollo Mobile IP.
Questo ` specialmente importante per IPv4, ancora ampiamente
e
utilizzato.
Gli stessi obiettivi sono stati ereditati, in linea di massima, da
Mobile IPv6.
HIP prevede invece che lo stack del protocollo venga cambiato in
tutti gli end-point, sia negli host mobili che nei correspondent
hosts.
5. L’infrastruttura di routing
Nell’attuale struttura di internet, i router mantengono
collettivamente un database distribuito della topologia della rete.
Per mantenere queste informazioni i router devono fidarsi l’un
l’altro: un router apprende le informazioni topologiche dagli altri
router, i quali non possono far altro che fidarsi dei router
adiacenti.
Agli estremi di un dominio amministrativo vengono utilizzate delle
policy rules per ridurre le informazioni di routing scorrette
ricevute da domini di pari livello.
Questo sistema ` lontano dalla perfezione, ma funziona
e
abbastanza bene e gran parte dell’infrastruttura di internet si
basa su di esso per fornire una integrit` di base.
a
6. Il problema della mobilit`
a
Esistono due approcci fondamentali per risolvere il problema
della mobilit` IP:
a
packet forwarding → riduzione delle performance: gli host non
possono sfruttare il percorso ottimale
binding updates → forniscono un routing ottimale ma soffrono di
alcuni problemi di sicurezza
10. Considerazioni
Anche se questo problema di sicurezza pu` essere risolto tramite
o
alcune estensioni, ` molto difficile trovare una soluzione ottimale
e
sfruttando l’attuale architettura.
Non c’` infatti modo di verificare che un nodo che dichiara di
e
essere ad un determinato indirizzo sia effettivamente il nodo
localizzato a quell’indirizzo da un punto di vista topologico.
All’interno dell’architettura attuale, una soluzione potrebbe essere
quella di fornire un sistema di autorizzazione che colleghi
indirizzi a chiavi crittografiche, in modo da fornire un sistema di
protezione pi` forte.
u
11. Dimensioni del pericolo
Per capire meglio gli attacchi, dobbiamo considerarne gli effetti
ed i limiti.
Questi sono in funzione di:
obiettivi dell’attacco
puntualit` dell’attacco
a
posizione dell’attaccante
12. Obiettivi di attacco generici
OBIETTIVI DI ATTACCO
ACCESSO RECUPERO DI INTERRUZIONE DELLA
ALLA RETE INFORMAZIONI COMUNICAZIONE
13. Vittime di un attacco
Per quanto riguarda una rete Mobile IP:
Mobile node → molto sicuro: non deve mantenere lo stato dei
nodi remoti
Correspondent node → punto debole: ` facilmente ingannabile
e
da un attaccante
14. Puntualit` dell’attacco
a
In una rete fissa, un attaccante deve semplicemente trovarsi tra i
nodi di comunicazione nell’istante in cui questi comunicano.
La mobilit` a livello IP porta a nuovi pericoli.
a
15. Posizione dell’attaccante
Un attaccante ` in grado di ricevere pacchetti destinati ad un
e
determinato indirizzo solo se ` in grado di porsi all’interno del
e
percorso fra mittente e ricevente.
In alternativa, l’attaccante pu` essere in grado di controllare un
o
nodo nel percorso, o modificare il percorso stesso attaccando il
sistema di routing.
Sebbene questi attacchi siano molto complicati da effettuare, per
un attaccante risulta semplice inviare pacchetti IP spoofati da
qualunque nodo internet.
Dunque, nel caso in cui la rete supporti la mobilit` IP senza
a
proteggere i binding updates, un attaccante potrebbe inviare
binding updates maligni da un nodo qualunque in internet.
16. Address stealing attacks
ADDRESS STEALING ATTACKS
BASIC ADDRESS BASIC DENIAL-OF-SERVICE
STEALING STEALING ADDRESSES ATTACKS AGAINST ATTACKS
OF STATIONARY CONFIDENTIALITY
NODES AND INTEGRITY
17. Address stealing attacks
Stealing addresses of stationary nodes
L’attaccante deve conoscere (o ”indovinare”) indirizzi IP di
mittente e destinatario di un pacchetto, dunque nella maggior
parte dei casi ` in grado di recuperare solo una parte dei
e
pacchetti.
Host con indirizzo pubblico (es. server) o ”dinamico registrato”
(es. DynDNS) risultano essere sensibili a questo attacco.
19. Address stealing attacks
Basic denial-of-service attacks
Inviando binding updates spoofati, l’attaccante pu` inoltrare tutti
o
i pacchetti inviati tra due nodi IP ad un indirizzo casuale o non
esistente.
In questo modo ` possibile interrompere o distruggere la
e
comunicazione tra i nodi.
Si tratta di un attacco molto serio, in quanto ogni nodo internet `e
un potenziale obiettivo, inclusi nodi statici che risultano essere
critici, come ad esempio i server DNS.
20. Address flooding attacks
Basic flooding
Supponiamo che vi sia uno scambio di pacchetti da un nodo A
verso un nodo B: un attaccante potrebbe redirezionare il traffico
verso un nodo vittima C.
Problema (per l’attaccante):
Il nodo A potrebbe interrompere la comunicazione, non ricevendo
risposte da B.
22. Address flooding attacks
Basic flooding
L’attacco assume una certa rilevanza, in quanto pu` colpire un
o
nodo o un’intera rete, non necessariamente mobile.
`
E molto importante notare che la vittima non pu` fare nulla per
o
prevenire questo attacco.
23. Reflection and amplification
Un attaccante ha interesse a nascondere la sorgente di un attacco
di tipo flooding, distribuendola verso altri nodi → reflection.
Questa tecnica pu` occultare l’indirizzo dell’attaccante anche nel
o
caso in cui vi sia un filtro in grado di prevenire source-address
spoofing.
24. Reflection and amplification
La reflection ` particolarmente dannosa se:
e
viene applicata pi` volte
u
i pacchetti vengono introdotti in un percorso ciclico
i nodi possono essere convinti a trasmettere una quantit` di
a
dati molto superiore a quelli ricevuti dall’attaccante → traffic
amplification
25. Soluzioni
MOBILE IP ATTACKS SOLUTIONS
MOBILE IPv6 ROUTE HOST IDENTITY
[OTHERS]
OPTIMIZATION PROTOCOL (HIP)
26. Alcune considerazioni sul Mobile IP
Il Mobile IP ` basato sull’idea di fornire un supporto di mobilit`
e a
sopra all’infrastruttura IP esistente, senza richiedere alcuna
modifica ai router o agli end-nodes stazionari.
Tuttavia, al contrario di Mobile IP su IPv4, in Mobile IPv6 si
suppone che gli end-nodes stazionari forniscano un supporto alla
mobilit` aggiuntivo, sebbene questi non siano obbligati a farlo.
a
In questo modo si supporta la route optimization.
27. Progettazione del protocollo Mobile IP
Il protocollo Mobile IP ` stato progettato per risolvere due
e
problemi:
far s` che le connessioni a livello di trasporto non vengano
ı
interrotte con lo spostamento di un host
permettere ad un nodo di essere raggiunto attraverso un
indirizzo IP statico (home address)
29. La soluzione in Mobile IPv6
Return routability
Return routability ` il meccanismo di sicurezza di base sviluppato
e
in Mobile IPv6.
Un nodo verifica che vi sia un nodo in grado di rispondere ai
pacchetti inviati verso un determinato indirizzo.
Questo genera falsi positivi nel caso in cui:
l’infrastruttura di routing ` compromessa
e
` in atto un attacco di tipo man-in-the-middle
e
30. Conclusioni
nuove vulnerabilit` portate dal supporto alla mobilit`
a a
protezione dei binding updates
gli attacchi possono coinvolgere nodi interni alla rete o nodi
internet
31. Riferimenti
Mobile IP
ovvero, un ip, tante reti
Giacomo Rizzo
http://bit.ly/eRkm1f
32. Bibliografia
Mobile Internet
Enabling Tecnologies and Services
Apostolis K. Salkintzis
CRC Press (2004)
http://bit.ly/aimjvR