12) Firewall
Transcript
12) Firewall
SeQ dei serivzi su internet Firewall Generalità Firewall Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere a risorse private, effettuare attacchi di tipi DoS. Un firewall può essere sia un apparato hardware sia un programma software. Esso presenta due interfacce di rete e quindi è associato a due IP address diversi: • IP pubblico che identifica la rete a cui è esposto • IP privato che identifica la rete interna che protegge © 2009 Università degli Studi di Pavia, C.Parisi © 2009 Università degli Studi di Pavia, C.Parisi 2 1 SeQ dei serivzi su internet Firewall Esempi Esempio di applicazione di un firewall per proteggere una rete privata interna (SOHO home, etc...) dalla rete pubblica (Internet). Il traffico interno alla LAN con firewall viaggi su di una rete “trusted”, mentre quello esterno “untrusted”. Fonte Internet © 2009 Università degli Studi di Pavia, C.Parisi 3 Firewall Configurazione - WAN Indirizzo “Pubblico” © 2009 Università degli Studi di Pavia, C.Parisi © 2009 Università degli Studi di Pavia, C.Parisi 4 2 SeQ dei serivzi su internet Firewall Configurazione - LAN Indirizzo “Privato” interno. © 2009 Università degli Studi di Pavia, C.Parisi 5 Firewall Esempi Esempio di applicazione di un firewall in una rete con un web server e ftp server. Notare come i due server (WWW server e FTP server) siano collocati al di fuori della zona “trusted” in quanto devono essere visibili alla rete pubblica. Un firewall NON può filtrare e/o controllare il traffico generato da un modem collegato con la rete pubblica all’interno della trusted zone. © 2009 Università degli Studi di Pavia, C.Parisi © 2009 Università degli Studi di Pavia, C.Parisi Fonte Internet 6 3 SeQ dei serivzi su internet Firewall Tipologie e Funzioni Firewall Funzioni Un firewall esamina il traffico di rete che transita tra le zone trusted ed untrusted e verifica che rispetti determinati criteri. In particolare può: • Bloccare l’ingresso e/o l’uscita di pacchetti in base all’indirizzo IP del mittente/destinatario e/o la porta utilizzata (IP filtering o packet filtering) • Bloccare l’ingresso e/o l’uscita di pacchetti in base al tipo di protocollo utilizzato (protocol filtering). • Gestire l’accesso pubblico ad applicazioni e/o risorse (es. stampante) private. • Produrre il log di tutti i pacchetti transitati attraverso di esso o di quelli che sono stati rifiutati in quanto non rispondenti alle regole. • Inviare in automatico messaggi (sottoforma di e-mail) al responsabile della rete all’insorgere di tentativi di accesso non autorizzato. © 2009 Università degli Studi di Pavia, C.Parisi © 2009 Università degli Studi di Pavia, C.Parisi 8 4 SeQ dei serivzi su internet Firewall Operazioni Schema di funzionamento del firewall. Blocca l’uscita di pacchetti dalla rete trusted verso Internet (ad es. perchè diretti verso siti configurati come non attendibili). Blocca l’ingresso di pacchetto dalla rete pubblica (ad es. tentativi di connessioni telnet, ftp, ping, etc...) Fonte Internet © 2009 Università degli Studi di Pavia, C.Parisi 9 Firewall Configurazione - LAN In particolare il firewall può essere configurato come DHCP server (Dynamic Host Control Protocol) per la LAN interna. © 2009 Università degli Studi di Pavia, C.Parisi © 2009 Università degli Studi di Pavia, C.Parisi 10 5 SeQ dei serivzi su internet Firewall Dynamic Host Control Protocol (DHCP) Il DHCP è un protocollo usato per assegnare dinamicamente gli indirizzi IP ai calcolatori di una rete. L’architettura è di tipo client/server • DHCP server è la macchina che assegna gli indirizzi (es. firewall router della pagina precedente) • DHCP client il computer che ha bisogno di ottenere un indirizzo valido nella sottorete. © 2009 Università degli Studi di Pavia, C.Parisi 11 Firewall Dynamic Host Control Protocol (DHCP) LAN Internet 192.168.0.196 Firewall Nella figura la lista degli indirizzi assegnati ai computer connessi alla Local Area Network. © 2009 Università degli Studi di Pavia, C.Parisi © 2009 Università degli Studi di Pavia, C.Parisi 192.168.0.252 DHCP server 192.168.0.254 12 6 SeQ dei serivzi su internet Firewall Network Address Translation (NAT) Il Network Address Translation è una tecnica che consiste nel modificare gli indirizzi IP dei pacchetti in transito su un sistema. I firewall implementano il “source NAT” in quanto modificano l'indirizzo sorgente del pacchetto che inizia una nuova connessione. Tutte le connessioni generate da un insieme di computer vengono "presentate" FIREWALL verso l'esterno con un solo indirizzo IP. © 2009 Università degli Studi di Pavia, C.Parisi 13 Firewall Configurazione Configurazione di NAT (Network Address Translation) © 2009 Università degli Studi di Pavia, C.Parisi © 2009 Università degli Studi di Pavia, C.Parisi 14 7 SeQ dei serivzi su internet Firewall Configurazione avanzata É possibile disabilitare la risposta alle richieste di ping provenienti dalla rete, ciò permette di rendere i firewall e i computer della rete interna “invisibili” alle richieste in rete. © 2009 Università degli Studi di Pavia, C.Parisi 15 Firewall Tipologie Vi sono diverse tipologie di firewall a seconda del livello in cui intervengono nell’analisi del pacchetto: • Packet filtering firewall (stateless): analizzano i pacchetti del livello IP in base al loro indirizzo IP e porta. • Circuit level gateways (stateful): analizzano i pacchetti a livello di sessione TCP e determinano se la sessione è legittima • Application level firewall (proxy firewall): operano a livello applicativo e quindi del protocollo utilizzato (ftp, telnet, ...) fino al filtrare alcuni comandi tipici del protocollo. A loro il compito di mantenere l’attività di logging. • State Multilayer Inspection firewall combinano tutti gli aspetti precedentemente elencati © 2009 Università degli Studi di Pavia, C.Parisi © 2009 Università degli Studi di Pavia, C.Parisi APPLICATION TLS TCP / UDP IP DATA LINK PHYSICAL 16 8 SeQ dei serivzi su internet Firewall Stateless firewall I firewall di tipo stateless analizzano il singolo pacchetto di rete. Sono detti anche “packet filters”. Essi analizzano le sole intestazioni dei pacchetti e sono in grado, opportunamente configurati, di filtrare determinati protocolli, e/o il traffico su determinate porte. Sono molto veloci nell’ispezionare i pacchetti per cui non rallentano le comunicazioni in corso, ma non altrettanto sicuri per quanto riguarda la sicurezza. © 2009 Università degli Studi di Pavia, C.Parisi 17 Firewall Stateless firewall Un packet filter può essere configurato per bloccare tutti i pacchetti che dall’esterno affermano di avere un indirizzo IP assegnato all’interno di una rete nota. In questo caso è quindi configurato per bloccare fenomeni di spoofing di indirizzi ai danni della rete interna. © 2009 Università degli Studi di Pavia, C.Parisi © 2009 Università degli Studi di Pavia, C.Parisi 18 9 SeQ dei serivzi su internet Firewall Servizi su internet Elenco dei principali servizi in internet e porte standard e protocollo usato Fonte internet © 2009 Università degli Studi di Pavia, C.Parisi 19 Firewall Stateful Packet Inspection (SPI) SPI sono firewall che mantengono memoria dello stato di una sessione in rete, ad es. iniziata, stabilita, finita. TCP three way handshake La fase iniziale di una sessione (SYN) causa un’intensa attività lato server (allocazione di risorse per la comunicazione), alla fine della sessione tutte le risorse prima impegnate vengono rilasciate e sono libere per ospitare una nuova connessione. Fonte Internet © 2009 Università degli Studi di Pavia, C.Parisi © 2009 Università degli Studi di Pavia, C.Parisi 20 10 SeQ dei serivzi su internet Firewall Stateful Packet Inspection (SPI) Un firewall SPI mantiene quindi una tabella delle sessioni attive in modo tale che qualunque pacchetto dati i cui estremi non rientrano nella tabella viene scartato a priori senza neanche essere processato con un risparmio di tempo e risorse. Un firewall SPI analizza la sequenza dei pacchetti, da questa può riconoscere la sequenza tipica di un attacco informatico e quindi bloccarlo. Impiegati nella prevenzione di “Syn flood attack” Una sessione attiva che però non riceve pacchetti per un certo tempo viene forzatamente chiusa dal firewall in modo da non occupare risorse di sistema inutilmente. © 2009 Università degli Studi di Pavia, C.Parisi 21 Firewall DoS – SYN flood SYN flood sfrutta il meccanismo tipico della connessione TCP (three way handshake) ed eventualmente IP spoofing sull’indirizzo IP dell’host sorgente. SYN FLOOD SYN SERVER SYN/ACK SYN SERVER Il risultato è l’impegno delle risorse del server che rimane in attesa di un segnale di ACK che non arriverà mai. SYN/ACK SYN FLOOD IP SPOOFING © 2009 Università degli Studi di Pavia, C.Parisi © 2009 Università degli Studi di Pavia, C.Parisi 22 11 SeQ dei serivzi su internet Firewall DoS – SYN flood I firewall di tipo stateful sono in grado di capire l’inizio di un attacco Syn flood e scartare i pacchetti salvaguardando la rete interna da rischio di congestione e quindi di DoS. SERVER SYN Internet Zona protetta © 2009 Università degli Studi di Pavia, C.Parisi 23 Firewall Application o proxy firewall I proxy firewall si interpongono tra le richieste di client ed i server veri e propri. Essi operano a livello applicativo rigenerando le richieste (http, ftp, etc...) per conto dei client verso il server relativo. Così facendo possono effettuare controlli sui contenuti dei pacchetti permettendo funzioni di filtraggio a seconda per esempio del contenuto della pagina web richiesta. Ovviamente sono più lenti rispetto a firewall di tipo stateless. Web Browser WEB SERVER PROXY FIREWALL © 2009 Università degli Studi di Pavia, C.Parisi © 2009 Università degli Studi di Pavia, C.Parisi 24 12 SeQ dei serivzi su internet Firewall In conclusione In sintesi i principali punti relativi ai firewall • • • • I firewall riescono a proteggere un ambiente solo se ne controllano l’intero perimetro. Se un host interno si connette alla rete esterna bypassando il firewall (ad esempio tramite un modem) l’intera rete interna è vulnerabile attraverso il modem e l’host I firewall sono la parte più visibile dall’esterno di una rete di PC e quindi sono il bersaglio su cui si concentrano eventuali attacchi (certe volte è necessario avere diversi strati di protezione) I firewall esercitano un controllo minore (quasi assente) su quello che transita nella rete interna per cui i dati ivi in transito devono essere verificati da altri dispositivi (hw o sw) I firewall devono essere configurati correttamente e periodicamente aggiornati rispetto a cambia all’interno della rete che vanno a proteggere e rispetto a nuovi meccanismi di intrusione. © 2009 Università degli Studi di Pavia, C.Parisi 25 Firewall Personal firewall © 2009 Università degli Studi di Pavia, C.Parisi 13 SeQ dei serivzi su internet Firewall Personal firewall Personal firewall o firewall software sono applicazioni che monitorano il traffico di rete di uno specifico computer. Rispetto a firewall tradizionali (hardware) i firewall software sono installati su di una singola macchina. Il firewall può anche interagire con l'utente del PC chiedendo conferma di alcune azioni potenzialmente pericolose, come ad esempio permettere o impedire a un particolare programma di connettersi a Internet, individuando eventuali tentativi di intrusione nel proprio PC, bloccando la connettività se vi è il sospetto che un tale tentativo è in corso. Da tenere presente che un firewall in locale sulla macchina offre maggiore protezione ma l’utilizzo è ulteriore carico (di memoria e computazionali) per le risorse della macchina. © 2009 Università degli Studi di Pavia, C.Parisi 27 Firewall Personal firewall Pagina di configurazione di Windows Live OneCare. Accesso a internet dei singoli programmi (per un confronto tra personal firewall http://www.programmifr ee.com/confronti/confron to-firewall08.htm) © 2009 Università degli Studi di Pavia, C.Parisi © 2009 Università degli Studi di Pavia, C.Parisi 28 14 SeQ dei serivzi su internet Firewall Personal firewall Configurazione filtri in base al protocollo e/o numero di porta © 2009 Università degli Studi di Pavia, C.Parisi 29 Firewall Personal firewall Configurazione monitoraggio virus e spyware © 2009 Università degli Studi di Pavia, C.Parisi © 2009 Università degli Studi di Pavia, C.Parisi 30 15 SeQ dei serivzi su internet Firewall Personal firewall Caratteristiche comuni dei personal firewall: • Avvisare l’utente di tentativi di connessione in uscita dando informazioni puntuali sul nome del programma che sta tentando la connessione. • Possibilità di controllare puntualmente quali programmi installati sul computer possono connettersi in internet • Monitorare le applicazioni che sono in ascolto in attesa di connessioni • Regolare traffico in ingresso ed in uscita Rischi • Possono essere colpiti da virus che ne vanificano l’effetto di controllo • Il numero di warning (se elevato) può ‘desensibilizzare’ l’utente finale alla lettura attenta del messaggio. © 2009 Università degli Studi di Pavia, C.Parisi 31 Firewall Personal firewall Alcuni sistemi operativi integrano funzionalità di firewall. Windows XP ha un proprio firewall “Windows Firewall” (http://www.microsoft.com/windowsxp/using/security/internet/sp2_wfin tro.mspx ) che però non offre protezione per connessioni dall’interno verso l’esterno, con il rischio che software maligno riesca a creare connessioni con l’estero senza essere bloccato. La versione di Windows Vista invece offre questa possibilità. Linux utilizza il firewall iptables (netfilter) anche se non di facile configurazione. © 2009 Università degli Studi di Pavia, C.Parisi © 2009 Università degli Studi di Pavia, C.Parisi 32 16 SeQ dei serivzi su internet Firewall In conclusione Firewall Pros & Cons Vantaggi Protezione a differenti livelli del traffico di rete. Tutte le Local Area Network (fosse anche una LAN formata da un singolo PC connesso in rete) dovrebbero installare un firewall. Svantaggi Limitazione alla navigazione ed all’utilizzo delle risorse di rete. Causa di strozzature (“bottleneck”) nel traffico di rete in quanto tutta l’attività di analisi dei pacchetti viene effettuata in un solo punto (il firewall). © 2009 Università degli Studi di Pavia, C.Parisi © 2009 Università degli Studi di Pavia, C.Parisi 34 17 SeQ dei serivzi su internet Firewall Hardware vs. Software Firewall software • Non richiede hardware aggiuntivo e relativi cablaggi • Buon compromesso per la protezione di singoli PC ma... • Richiede licenza per ogni installazione • Deve essere installato (e configurato) • Protegge un solo PC quello in cui è installato Firewall hardware • Integra funzionalità di firewall e instradamento (router + firewall) • Unico dispositivo che protegge diversi computer (almeno ha 4 porte a cui è possibile collegare dei computer) ma... • Richiede hardware e cablaggi aggiuntivi (e configurazione) © 2009 Università degli Studi di Pavia, C.Parisi © 2009 Università degli Studi di Pavia, C.Parisi 35 18