versione PDF
Transcript
versione PDF
Introduzione ai Firewall Il Firewall e' un sistema (hardware e software) posto sul "confine" tra una rete pubblica (vedi Internet) e una rete locale (o una sua parte "protetta") in modo che tutti i dati da e per un qualsiasi computer siano costretti a passare attraverso il firewall stesso. In tal modo i dati possono essere esaminati per stabilire se sono autorizzati o meno a transitare. Lo scopo del firewall e' quindi di ergere una “barriera virtuale” contro qualunque accesso non autorizzato in modo da proteggere il sistema locale da ogni indebita intrusione. Ovviamente queste barriere sono bidirezionali, per cui un firewall potrà essere utilizzato anche per gestire l'uso di Internet da parte degli utenti della propria rete. In sintesi: "Un firewall è un sitema o un gruppo di sistemi che impone una politica di controllo dell'accesso tra due o più reti”. Questo tipo di protezione può essere realizzato attraverso specifici software installati su computer “multihomed” (più schede di rete) o con appliance dedicati. L’architettura più ricorrente utilizzando questi dispositivi è mostrata nella figura che segue: Ma chi ci garantisce che un firewall faccia il suo dovere e ci protegga dalla rete? Questo non è semplice e riguarda almeno due aspetti: la sicurezza e affidabilità del firewall e il modo con cui è stato installato. Per il primo fattore esistono degli organismi (generalmente formati dai principali produttori) che certificano che il firewall ha passato determinati test. Uno di questi organismi è l'ICSA. Il secondo aspetto riguarda la professionalità e la competenza dell'installatore. La cosa migliore è sicuramente affidarsi a persone preparate che abbiano comprovata esperienza in questo settore. Firewall Packet Filter Un firewall è in genere in grado di analizzare il contenuto di ogni pacchetto che lo attraversa. Questo è fondamentale per bloccare il traffico indesiderato o gli attacchi di hacker Internet senza complicare eccessivamente le configurazioni. L’utilizzo di questa tecnica è particolarmente utile per filtrare gli attacchi Internet di tipo "denial of service" (il firewall riconosce che è in corso un tentativo di attacco verso una macchina Interna e lo blocca), la possibilità di verificare il sito in cui si sta navigando e il contenuto dello stesso per eventualmente bloccare o registrare comportamenti non consentiti. Il packet filter è realizzato mediante Access Control List opportunamente configurate. Attacchi DoS Denial of Service è l’identificativo di una particolare tipologia di attacchi che non mirano alla distruzione o al furto di dati bensì determinano un’interruzione del servizio. Il Ping of Death è uno degli attacchi DoS più noti è più semplici: si tratta di inviare all’host preso di mirra un pacchetto ICMP con un carico di dati maggiore di 64Kb. Spesso questo “bombardamento” crea delle difficoltà ai sistemi di sicurezza soprattutto quelli meno recenti. Molti produttori di sistemi operativi hanno ovviato a questo problema rendendo disponibili apposite patch. Il SYN Flood è un secondo tipo di attacco DoS che sfrutta una particolare procedura nell’avvio delle transazioni TCP (tecnicamente conosciuta handshake a tre vie). Questa procedura viene eseguita ogni volta che due host stabiliscono una sessione: il primo host invia un pacchetto che contiene una richiesta SYN (richiesta di sincronia); la macchina a cui viene spedito il pacchetto risponde con un pacchetto che contiene messaggi si SYN e ACK (acknowledge); la terza fase della procedura prevede la risposta del primo host con un nuovo messaggio di ACK in modo da far partire la sessione. Prima di inviare la risposta, le macchine che ricevono una richiesta di apertura di una sessione, accantonano in una zona della memoria la richiesta fino a quando la procedura di avvio della sessione non viene completata correttamente. Gli attacchi SYN Flood si basano proprio su questo particolare: la procedura di avvio della sessione viene eseguita più volte sempre per due terzi creando un collassamento dell’host remoto. IP Spoofing è una tecnica di attacco molto complessa, in pratica, chi attacca cerca di collegarsi ad un server o ad un host “rubando l’identità” di una macchina nota. In una prima fase viene “bloccata” una macchina con un attacco Do, quindi si presenta alla vittima con l’identità della macchina bloccata (questo avviene simulando il traffico di ritorno che il vero host non sta più generando). Questa tecnica viene generalmente utilizzata per guadagnare l’accesso di amministratore su una rete protetta. I firewall sono sempre più affiancati da altre applicazioni che integrano e intensificano le politiche di sicurezza. I server proxy sono un esempio ormai consolidato. La differenza fondamentale tra i due moduli sta nel funzionamento: il firewall controlla il traffico di rete e verifica la conformità alle regole definite aprendo o meno un canale tra il client di rete e il server remoto. Il proxy, invece, raccoglie le richieste dei client delle rete e recupera direttamente le informazioni, mascherando la struttura della rete interna. Caratteristiche del Connect NetGuardian NetGuardian di Connect è un appliance hardware che integra in un’unica piattaforma un firewall, un proxy, un motore antivirus sia SMTP che POP3 e il supporto per la creazione di VPN. L’elevato livello di integrazione, la scalabilità, l’adozione dei massimi standard mondiali e i costi decisamente contenuti sono i principali punti di forza di questa soluzione fornita in tre versioni: office, professional, enterprise. Dimension Office 22 x 4 x 16 (LxAxP) Type Min User Max User Ethernet min/max Gigabit Ethernet Email Domain VPN Tunnel Desktop 10 25 3/3 2 10 Professional 42,47 x 1U (LxAxP) Rack 50 150 3/6 25 200 x Enterprise 27 Rack 250 Illimitati 9 Illimitati 1000 Load Balancing High Availability URL Filtering 9 9 9 9 9 Tabella 1: Features disponibili per NetGuardian Elementi comuni: Firewall, Proxy, Content Filtering, VPN, Antivirus SMTP / POP3, Web cache, Intrusion Detect, Antispoofing, Reporting, Web based Management , Quality of Service L’apparato è completamente gestito attraverso un’interfaccia Web semplice e intuitiva. La configurazione può essere implementata attraverso vari sottomenu dai quali è possibile impostare le opzioni generali del sistema, definire i servizi e gli utenti, impostare il Packet Filter e i Proxy, impostare i parametri per le VPN e consultare il Reporting. E’ disponibile un nutrito help contestuale spesso corredato da esempi di configurazione. Il firewall di tipo stateful assicura la massima protezione per la rete con livelli di performance elevati. Inoltre assicura la protezione da attacchi DoS (Denial of Service), attacchi flooding e spoofing; grazie al modulo di Port Scan Detection, consente di essere immediatamente avvisati dei tentativi di intrusione in atto. La creazione di regole per gli utenti della rete è estremamente semplice e intuitiva. E’ possibile selezionare il tipo do protocollo da abilitare e disabilitare da un elenco precaricato. E’ altrettanto semplice creare delle definizioni personalizzate per specifiche esigenze. L’appliance gestisce le zone DMZ per l’implementazione di servizi web e mail all’interno della propria azienda. Il modulo Content Filtering è ricco di opzioni e permette di filtrare a livello applicativo diversi componenti tra cui ActiveX, Javascript, Applet Java e Banner. L’implementazione di questo modulo permette un discreto risparmio di banda e assicura un ottimo livello di sicurezza. Il supporto VPN è garantito sia con il protocollo PPTP (ambienti Microsoft Windows) che dal più robusto e riconosciuto IPSec. Fin dalla versione Office, il NetGuardian supporto almeno 10 tunnel VPN con livelli di performance di tutto rispetto. Infine il modulo antivirus: è uno dei principali punti di forza, basato su un antivirus certificato ICSA con aggiornamento automatico. La vera novità di questo apparato è la funzione di analisi del traffico POP3. Contrariamente a molti dispositivi presenti sul mercato, che analizzano solo il traffico SMTP, questo dispositivo permette di proteggersi contro le email infette anche non disponendo di un mail server interno. Gli account di posta possono essere di un qualsiasi ISP. Da non dimenticare il modulo per URL filtering, utilissimo per limitare l’accesso a risorse web non attinenti alle attività aziendali evitando usi impropri e migliorando la produttività degli utenti. NetGuardian Cisco PIX 515 Throughput uni-directional 73 MBit/s 92 MBit/s Throughput bi-directional 68 MBit/s 48 MBit/s Latency uni-directional 160 µs 512 µs Latency bi-directional 268 µs 1343 µs Con encryption Throughput uni-directional 33 MBit/s 11 (50) MBit/s Throughput bi-directional 17 MBit/s 5 (25) MBit/s Latency uni-directional 1521 µs 14175 (2502) µs Latency bi-directional 5429 µs 17212 (3577) µs Tutte le misure sono state eseguite pacchetti di 512 bye e 20 client attivi in parallelo. (per il Cisco PIX, I valori indicati sono stati misurati con l’utilizzo della VPN acceleration card). Senza encryption Tabella 2: IP Performance Test Invidiabile a lista delle specifiche tecniche: Firewall Stateful Packet Inspection Security Proxies for HTTP, HTTPS, SMTP, DNS, IDENT, SOCKS (e.g. for Netmeeting, ICQ, Real, H.323) • User Authentication for HTTP, SMTP and Socks via Local User Database, Radius, MS Windows NT/2000 • 50 Predefined Services • User definable Service and Network Groups • Hacker defense: ICMP flood, TCP SYN flood, UDP flood, Smurf, Trinoo, IP Spoofing • Portscan Detection with Alarming IPSec • Net-to-Net, Host-to-Net, Host-to-Host • Authentication via Pre-Shared Key (PSK), X.509v3 or RSA • Data Encryption via 3DES, AES (Rijndael), Blowfish or Twofish • Deflate Compression • Perfect Forward Secrecy (PFS) • • VPN PPTP • Host-to-Net • MPPE 40- or 128-bit Data Encryption • MSCHAPv2 Authentication Proxy • • • Content Filter • • • • • System Management • • • • • • • • Networking • • • • • Security Proxies for HTTP, HTTPS, SMTP, DNS, IDENT, SOCKS User Authentication per HTTP, SMTP e SOCKS via Local User Database, Radius, MS Windows NT/2000 Opzione: SMTP, POP3 emails Antivirus protection Malicious Code Filter (es. Java, Javascript, ActiveX) HTTP Privacy Filter (Cookies, Web Bugs) Anti-Spam (Sender Address Verification, Realtime Blackhole Lists) String Filter for SMTP (es. Keywords, File Extensions) Opzione: Surf Protection (URL Filter): Predefined URL Filter (17 Categorie con oltre 12 milioni di Domini and 1.9 miliardi di URL, aggiornato quotidianamente, User definable Black- o Whitelists) Remote Administration via WebAdmin (SSL secured) System and Pattern Updates via Internet (PGP secured) Logging via Syslog, SNMP, ASCII, WELF (WebTrends compatible) Out-of-band Management via External Modem SelfMonitor for maximizing Uptime Diagnostic Tools (Ping, Traceroute, TCP-Connect) Complete Configuration Backup and Restore Predefined Reports (e.g. Network Usage, HTTP Users, Filter Violations) Dynamic and Static Network Address Translation (NAT) PPTP and FTP Passthrough Load Balancing (Round-Robin, Least Used Connection) PPPoE Client Quality of Service/Traffic Shaping Antivirus (Opzione) • • • • • • DHCP Client and Server IP Aliasing Randomized TCP Sequencing Proxy ARP Class based Queuing (CBQ) Prioritize Traffic by Network, Service, Protocol • Certificazione ICSA (International Association) Analisi euristica Scansione real-time per SMTP/POP3 Aggiornamento automatico • • • Computer Security Conclusioni NetGuardian di Connect è un apparato tutto da scoprire ricco di funzionalità, alcune esclusive, veramente efficace e semplice da gestire. E’ un prodotto adatto sia agli utenti Small Business che Enterprise. I livelli di performance fatti registrare sono tra i migliori in assoluto e la possibilità di avere tanti strumenti in un solo appliance rende il prodotto molto interessante per non parlare dei costi. Distributore unico: Connect Srl Via N.Bixio, 8 20129 Milano Tel: +39 02 29516085 Fax: +39 02 2049696 www.connectsrl.com [email protected] Centro Direzionale, Isola G1 80143 Napoli Tel: +39 081 7501771 Fax: +39 081 7877026