doppio bastione firewall abilitazione regole ftp con proxy server in
Transcript
doppio bastione firewall abilitazione regole ftp con proxy server in
Massimiliano Sbaraglia networking engineer Abilitare servizi FTP Regole per abilitare servizio FTP – gateway esterno Direction Out In Scr addr. Proxy Remote Scr port > 1023 21 Dst addr. Remote Proxy Dst port 21 > 1023 Protocol TCP TCP In Out Remote Proxy 20 > 1023 Proxy Remote > 1023 20 TCP TCP Out In Proxy Remote > 1023 > 1023 Remote Proxy > 1023 > 1023 TCP TCP Flag Any Syn = 0 Syn = 1 Ack = 1 Any Syn = 0 Syn = 1 Ack = 1 Any Syn = 0 Syn = 1 Ack = 1 Action Permit Permit Permit Permit Permit Permit Regole per abilitare servizio FTP – gateway interno Direction Out In Scr addr. Client Proxy Scr port > 1023 21 Dst addr. Proxy Client Dst port 21 > 1023 Protocol TCP TCP Out In Client Proxy > 1023 > 1023 Proxy Client > 1023 > 1023 TCP TCP Flag Any Syn = 0 Syn = 1 Ack = 1 Any Syn = 0 Syn = 1 Ack = 1 Action Permit Permit Permit Permit La connessione dati deve essere gestita in altro modo; nel caso di apertura attiva (default) della connessione dati è responsabilità del server richiedere l’avvio di una nuova connessione TCP; in tal caso non è possibile escludere a priori un eventuale tentativo di accesso da parte di un hacker esterno ad un servizio attivo su una porta maggiore di 1023. Nell’ipotesi di dover risolvere ogni controllo a livello di packet filtering non esiste garanzia che l’applicazione esterna, che utilizza la porta 20/tcp sia realmente un server FTP che risponde ad un comando PORT inviato dal proxy server. L’apertura della connessione FTP in modo passivo risolve almeno parzialmente il problema; attraverso l’invio del comando PASV, il client richiede al server la determinazione di una porta tempranea su cui ricontattarlo ed effettuare lo scambio; anche questa modalità presenta alcune limitazioni come il fatto che la porta temporanea assegnata dal server remoto è casuale e generalmente maggiore di 1023. Per abilitare il flusso di pacchetti IP appartenenti ad una connessione dati aperta in modalità attiva (default) occorre implementare le seguenti regole: consentire la propagazione di pacchetti IP entranti aventi come porta sorgente 20/tcp e come porta destinazione maggiore di 1023, indipendentemente dallo stato dei Flag consentire la propagazione di pacchetti IP uscenti aventi come porta sorgente maggiore di 1023 e come porta destinazione 20/tcp con Syn=0 oppure Syn=1 e Ack=1. Per abilitare il flusso di pacchetti IP appartenenti ad una connessione dati aperta in modalità passiva, occorre invece implementare le seguenti regole: consentire la propagazione di pacchetti IP uscenti aventi come porta sorgente e destinazione entrambe maggiore di 1023, indipendentemente dallo stato dei Flag consentire la propagazione di pacchetti IP entranti aventi come porta sorgente e destinazione entrambe maggiore di 1023 con Syn=0 oppure Syn=1 e Ack=1.