versione PDF

Introduzione ai Firewall
Il Firewall e' un sistema (hardware e software) posto sul "confine" tra una rete pubblica (vedi
Internet) e una rete locale (o una sua parte "protetta") in modo che tutti i dati da e per un
qualsiasi computer siano costretti a passare attraverso il firewall stesso. In tal modo i dati
possono essere esaminati per stabilire se sono autorizzati o meno a transitare. Lo scopo del
firewall e' quindi di ergere una “barriera virtuale” contro qualunque accesso non autorizzato in
modo da proteggere il sistema locale da ogni indebita intrusione.
Ovviamente queste barriere sono bidirezionali, per cui un firewall potrà essere utilizzato anche
per gestire l'uso di Internet da parte degli utenti della propria rete.
In sintesi:
"Un firewall è un sitema o un gruppo di sistemi che impone una politica di
controllo dell'accesso tra due o più reti”.
Questo tipo di protezione può essere realizzato attraverso specifici software installati su
computer “multihomed” (più schede di rete) o con appliance dedicati.
L’architettura più ricorrente utilizzando questi dispositivi è mostrata nella figura che segue:
Ma chi ci garantisce che un firewall faccia il suo dovere e ci protegga dalla rete?
Questo non è semplice e riguarda almeno due aspetti: la sicurezza e affidabilità del firewall e il
modo con cui è stato installato. Per il primo fattore esistono degli organismi (generalmente
formati dai principali produttori) che certificano che il firewall ha passato determinati test. Uno
di
questi
organismi
è
l'ICSA.
Il secondo aspetto riguarda la professionalità e la competenza dell'installatore. La cosa migliore
è sicuramente affidarsi a persone preparate che abbiano comprovata esperienza in questo
settore.
Firewall Packet Filter
Un firewall è in genere in grado di analizzare il contenuto di ogni pacchetto che lo attraversa.
Questo è fondamentale per bloccare il traffico indesiderato o gli attacchi di hacker Internet
senza complicare eccessivamente le configurazioni. L’utilizzo di questa tecnica è
particolarmente utile per filtrare gli attacchi Internet di tipo "denial of service" (il firewall
riconosce che è in corso un tentativo di attacco verso una macchina Interna e lo blocca), la
possibilità di verificare il sito in cui si sta navigando e il contenuto dello stesso per
eventualmente
bloccare
o
registrare
comportamenti
non
consentiti.
Il packet filter è realizzato mediante Access Control List opportunamente configurate.
Attacchi DoS
Denial of Service è l’identificativo di una particolare tipologia di attacchi che non mirano alla
distruzione o al furto di dati bensì determinano un’interruzione del servizio. Il Ping of Death
è uno degli attacchi DoS più noti è più semplici: si tratta di inviare all’host preso di mirra un
pacchetto ICMP con un carico di dati maggiore di 64Kb. Spesso questo “bombardamento” crea
delle difficoltà ai sistemi di sicurezza soprattutto quelli meno recenti. Molti produttori di sistemi
operativi hanno ovviato a questo problema rendendo disponibili apposite patch.
Il SYN Flood è un secondo tipo di attacco DoS che sfrutta una particolare procedura nell’avvio
delle transazioni TCP (tecnicamente conosciuta handshake a tre vie). Questa procedura viene
eseguita ogni volta che due host stabiliscono una sessione: il primo host invia un pacchetto
che contiene una richiesta SYN (richiesta di sincronia); la macchina a cui viene spedito il
pacchetto risponde con un pacchetto che contiene messaggi si SYN e ACK (acknowledge); la
terza fase della procedura prevede la risposta del primo host con un nuovo messaggio di ACK
in modo da far partire la sessione.
Prima di inviare la risposta, le macchine che ricevono una richiesta di apertura di una sessione,
accantonano in una zona della memoria la richiesta fino a quando la procedura di avvio della
sessione non viene completata correttamente. Gli attacchi SYN Flood si basano proprio su
questo particolare: la procedura di avvio della sessione viene eseguita più volte sempre per
due terzi creando un collassamento dell’host remoto.
IP Spoofing è una tecnica di attacco molto complessa, in pratica, chi attacca cerca di
collegarsi ad un server o ad un host “rubando l’identità” di una macchina nota. In una prima
fase viene “bloccata” una macchina con un attacco Do, quindi si presenta alla vittima con
l’identità della macchina bloccata (questo avviene simulando il traffico di ritorno che il vero
host non sta più generando). Questa tecnica viene generalmente utilizzata per guadagnare
l’accesso di amministratore su una rete protetta.
I firewall sono sempre più affiancati da altre applicazioni che integrano e intensificano le
politiche di sicurezza. I server proxy sono un esempio ormai consolidato. La differenza
fondamentale tra i due moduli sta nel funzionamento: il firewall controlla il traffico di rete e
verifica la conformità alle regole definite aprendo o meno un canale tra il client di rete e il
server remoto. Il proxy, invece, raccoglie le richieste dei client delle rete e recupera
direttamente le informazioni, mascherando la struttura della rete interna.
Caratteristiche del Connect NetGuardian
NetGuardian di Connect è un appliance hardware che integra in un’unica piattaforma un
firewall, un proxy, un motore antivirus sia SMTP che POP3 e il supporto per la creazione di
VPN.
L’elevato livello di integrazione, la scalabilità, l’adozione dei massimi standard mondiali e i costi
decisamente contenuti sono i principali punti di forza di questa soluzione fornita in tre versioni:
office, professional, enterprise.
Dimension
Office
22 x 4 x 16 (LxAxP)
Type
Min User
Max User
Ethernet min/max
Gigabit Ethernet
Email Domain
VPN Tunnel
Desktop
10
25
3/3
2
10
Professional
42,47 x 1U
(LxAxP)
Rack
50
150
3/6
25
200
x
Enterprise
27 Rack
250
Illimitati
9
Illimitati
1000
Load Balancing
High Availability
URL Filtering
9
9
9
9
9
Tabella 1: Features disponibili per NetGuardian
Elementi comuni: Firewall, Proxy, Content Filtering, VPN, Antivirus SMTP / POP3, Web cache,
Intrusion Detect, Antispoofing, Reporting, Web based Management , Quality of Service
L’apparato è completamente gestito attraverso un’interfaccia Web semplice e intuitiva.
La configurazione può essere implementata attraverso vari sottomenu dai quali è possibile
impostare le opzioni generali del sistema, definire i servizi e gli utenti, impostare il Packet Filter
e i Proxy, impostare i parametri per le VPN e consultare il Reporting. E’ disponibile un nutrito
help contestuale spesso corredato da esempi di configurazione.
Il firewall di tipo stateful assicura la massima protezione per la rete con livelli di performance
elevati. Inoltre assicura la protezione da attacchi DoS (Denial of Service), attacchi flooding e
spoofing; grazie al modulo di Port Scan Detection, consente di essere immediatamente avvisati
dei tentativi di intrusione in atto. La creazione di regole per gli utenti della rete è
estremamente semplice e intuitiva. E’ possibile selezionare il tipo do protocollo da abilitare e
disabilitare da un elenco precaricato. E’ altrettanto semplice creare delle definizioni
personalizzate per specifiche esigenze.
L’appliance gestisce le zone DMZ per l’implementazione di servizi web e mail all’interno della
propria azienda.
Il modulo Content Filtering è ricco di opzioni e permette di filtrare a livello applicativo diversi
componenti tra cui ActiveX, Javascript, Applet Java e Banner. L’implementazione di questo
modulo permette un discreto risparmio di banda e assicura un ottimo livello di sicurezza.
Il supporto VPN è garantito sia con il protocollo PPTP (ambienti Microsoft Windows) che dal più
robusto e riconosciuto IPSec. Fin dalla versione Office, il NetGuardian supporto almeno 10
tunnel VPN con livelli di performance di tutto rispetto.
Infine il modulo antivirus: è uno dei principali punti di forza, basato su un antivirus certificato
ICSA con aggiornamento automatico. La vera novità di questo apparato è la funzione di analisi
del traffico POP3. Contrariamente a molti dispositivi presenti sul mercato, che analizzano solo il
traffico SMTP, questo dispositivo permette di proteggersi contro le email infette anche non
disponendo di un mail server interno. Gli account di posta possono essere di un qualsiasi ISP.
Da non dimenticare il modulo per URL filtering, utilissimo per limitare l’accesso a risorse web
non attinenti alle attività aziendali evitando usi impropri e migliorando la produttività degli
utenti.
NetGuardian
Cisco PIX 515
Throughput uni-directional
73 MBit/s
92 MBit/s
Throughput bi-directional
68 MBit/s
48 MBit/s
Latency uni-directional
160 µs
512 µs
Latency bi-directional
268 µs
1343 µs
Con encryption
Throughput uni-directional
33 MBit/s
11 (50) MBit/s
Throughput bi-directional
17 MBit/s
5 (25) MBit/s
Latency uni-directional
1521 µs
14175 (2502) µs
Latency bi-directional
5429 µs
17212 (3577) µs
Tutte le misure sono state eseguite pacchetti di 512 bye e 20 client attivi in parallelo. (per il
Cisco PIX, I valori indicati sono stati misurati con l’utilizzo della VPN acceleration card).
Senza encryption
Tabella 2: IP Performance Test
Invidiabile a lista delle specifiche tecniche:
Firewall
Stateful Packet Inspection
Security Proxies for HTTP, HTTPS, SMTP, DNS, IDENT,
SOCKS (e.g. for Netmeeting, ICQ, Real, H.323)
•
User Authentication for HTTP, SMTP and Socks via Local
User Database, Radius, MS Windows NT/2000
•
50 Predefined Services
•
User definable Service and Network Groups
•
Hacker defense: ICMP flood, TCP SYN flood, UDP flood,
Smurf, Trinoo, IP Spoofing
•
Portscan Detection with Alarming
IPSec
• Net-to-Net, Host-to-Net, Host-to-Host
• Authentication via Pre-Shared Key (PSK), X.509v3 or RSA
• Data Encryption via 3DES, AES (Rijndael), Blowfish or
Twofish
• Deflate Compression
• Perfect Forward Secrecy (PFS)
•
•
VPN
PPTP
• Host-to-Net
• MPPE 40- or 128-bit Data Encryption
• MSCHAPv2 Authentication
Proxy
•
•
•
Content Filter
•
•
•
•
•
System
Management
•
•
•
•
•
•
•
•
Networking
•
•
•
•
•
Security Proxies for HTTP, HTTPS, SMTP, DNS, IDENT,
SOCKS
User Authentication per HTTP, SMTP e SOCKS via Local
User Database, Radius, MS Windows NT/2000
Opzione: SMTP, POP3 emails Antivirus protection
Malicious Code Filter (es. Java, Javascript, ActiveX)
HTTP Privacy Filter (Cookies, Web Bugs)
Anti-Spam (Sender Address Verification, Realtime
Blackhole Lists)
String Filter for SMTP (es. Keywords, File Extensions)
Opzione: Surf Protection (URL Filter):
Predefined URL Filter (17 Categorie con oltre 12 milioni di
Domini
and
1.9
miliardi
di
URL,
aggiornato
quotidianamente, User definable Black- o Whitelists)
Remote Administration via WebAdmin (SSL secured)
System and Pattern Updates via Internet (PGP secured)
Logging via Syslog, SNMP, ASCII, WELF (WebTrends
compatible)
Out-of-band Management via External Modem
SelfMonitor for maximizing Uptime Diagnostic Tools (Ping,
Traceroute,
TCP-Connect)
Complete Configuration Backup and Restore
Predefined Reports (e.g. Network Usage, HTTP Users,
Filter Violations)
Dynamic and Static Network Address
Translation (NAT)
PPTP and FTP Passthrough
Load Balancing (Round-Robin, Least Used Connection)
PPPoE Client
Quality of
Service/Traffic
Shaping
Antivirus
(Opzione)
•
•
•
•
•
•
DHCP Client and Server
IP Aliasing
Randomized TCP Sequencing
Proxy ARP
Class based Queuing (CBQ)
Prioritize Traffic by Network, Service, Protocol
•
Certificazione ICSA (International
Association)
Analisi euristica
Scansione real-time per SMTP/POP3
Aggiornamento automatico
•
•
•
Computer
Security
Conclusioni
NetGuardian di Connect è un apparato tutto da scoprire ricco di funzionalità, alcune esclusive,
veramente efficace e semplice da gestire. E’ un prodotto adatto sia agli utenti Small Business
che Enterprise. I livelli di performance fatti registrare sono tra i migliori in assoluto e la
possibilità di avere tanti strumenti in un solo appliance rende il prodotto molto interessante per
non parlare dei costi.
Distributore unico:
Connect Srl
Via N.Bixio, 8
20129 Milano
Tel: +39 02 29516085
Fax: +39 02 2049696
www.connectsrl.com
[email protected]
Centro Direzionale, Isola G1
80143 Napoli
Tel: +39 081 7501771
Fax: +39 081 7877026