5D_Firewall_I
Transcript
5D_Firewall_I
Proteggere la rete: I FIREWALL Index • • • • • Start up Firewall A cosa servono i Firewall Cosa è un Firewall Come si configurano Le principali applicazioni dei Firewall StartUp Firewall La tecnologia dei Firewall nasce nella seconda metà degli anni ‘80. A cosa servono i Firewall Ogni volta che una rete LAN accede attraverso un router ad Internet, viene esposta a rischi di vario tipo derivanti da : accessi indesiderati: da Host esterni aventi lo scopo di acquisire i dati dagli archivi o compromettere i servizi che questa offre. Installazioni software: che possono provocare anomalie di funzionamento in uno o più nodi della rete oppure trasmettere informazioni verso l’esterno o semplicemente creare delle porte di accesso non controllate. Cosa sono i Firewall • I firewall (letteralmente ‘muro tagliafuoco’) sono considerati come una delle tecnologie più diffuse per la protezione dagli attacchi di rete. • Un Internet firewall, in particolare, può essere o un dispositivo H/W o un sistema software, realizzato con lo scopo di proteggere la rete interna (perimetrale) di un’organizzazione quale ad esempio una rete aziendale (Intranet), filtrando i dati da e verso Internet per impedire accessi dall’esterno e l’uso di servizi non autorizzati. Come si configurano Firewall Fisicamente, le configurazioni dei firewall variano in funzione degli scopi per cui sono impiegati, senza perdere in generalità possiamo affermare che un firewall può trovarsi in una combinazione di componenti hardware (router e host) tra loro opportunamente collegate, oppure può semplicemente, essere un apparato dotato di due (o più) interfacce di rete che seziona e mette in comunicazione due o più tronconi di rete ( vedi figura). I Tre principi inderogabili del Firewall • Tutto il traffico che entra ed esce da una rete intranet deve passare attraverso il firewall, che deve essere quindi l’unico punto contatto della rete interna con quella esterna. • Solo il traffico autorizzato potrà entrare/uscire dalla rete. • Il firewall deve essere il più possibile immune da attacchi, deve essere quindi un sistema altamente sicuro. Cosa può fare un Firewall • Può bloccare il traffico di rete in entrata ed in uscita, applicando diversi livelli di filtri sia ai pacchetti del protocollo che ai dati. • Può consentire connessioni tra gli Host dell’Intranet. • Consente attività di report (log file) sul monitoraggio del traffico di rete e sulle attività del firewall. Prima classificazione dei Firewall • Viene fatta sul tipo di protezione che il firewall deve fare, cioè a livello di attacchi sia dall’interno che dall’esterno: • Ingress Firewall: viene controllato il traffico di rete in entrata incoming. • Egress Firewall: viene controllato il traffico di rete in uscita outgoing. Seconda classificazione dei Firewall • Viene fatta sul numero di host che deve proteggere contemporneamente: • Personal Firewall: viene protetto il singolo host, consentendo, generalmente di default, qualsasi traffico verso l’esterno (outbound) e bloccando quello in entrata (inbound); • Network firewall: si interpone fra la LAN ed Internet e controlla tutto il traffico passante. Terza classificazione • Viene fatta a seconda del livello di intervento e ciò caratterizza anche la tipologia di firewall che andremo ad usare. • (Packet Filtering)Filtri di pacchetto IP: permettono di bloccare o abilitare selettivamente il traffico che attraversa il firewall, definendo il tipo di pacchetto, gli indirizzi IP e le porte utilizzate. • Satesful Inspection: effettuano il filtraggio non sul singolo pacchetto, ma sulla connessione, (da qui il nome «statefull» ) • Proxy server: rappresentano una sorta di intermediario che si occupa di intrattenere le connessioni per conto di qualcun altro. Tipologie di firewall I Firewall si suddividono quindi in tre tipologie: • Packet filtering: (1° generazione)network level gatway (IP-Packet). • Stateful Inspection: (2° generazione) Transport level. • Application-level Gateway: (3° generazione) gatway a livello di applicazione. Strategie generali del Firewall • Allow-all Strategy:Allow all network packets except those that are explicitly denied.(Ciò che non è specificamente proibito è permesso). • Deny-all Strategy:Denies all network packets except those that are explicity allowed. (Ciò che non è specificamente permesso è proibito). Example Firewall Rules Access Control List Le regole di filtraggio che vengono stabilite in fase di configurazione del Firewall dall’amministratore di rete, servono a definire le varie policy di sicurezza. Vengono disposte in liste apposite chiamate Access Control List (ACL) ed in questo modo è possibile dettagliare i filtri da applicare ad ogni pacchetto in funzione delle informazioni presenti negli header TCP/IP del livello 3(networking). I FILTRI Il Firewall decide se accettare o rifiutare il traffico entrante/uscente attraverso un algoritmo di scelte che si basa su una lista di regole(regole di filtraggio), predefinite. • Sui Servizi • Vengono definiti i tipi di servizi che possono essere acceduti da e verso Internet. • Sulla direzione • Determina la direzione verso cui il traffico generato da certi servizi è ammissibile. • User control • Controlla l’accesso ad un servizio verificando l’utente che vi sta accedendo. • Behavior control(comportamento) • Controlla come vengono usati certi servizi. Packet filtering Nella sua versione più semplice il packet filtering, consente di abilitare/disabilitare il trasferimento di pacchetti (e quindi di dati) tra due reti, basandosi su: • L’indirizzo IP del mittente; • L’indirizzo IP del destinatario; • I servizi (o protocolli) usati per trasferire i dati (questi servizi possono essere ad esempio: FTP, HTTP, SMNP, ecc. ecc.). Packet filtering I packet filter firewall sono in grado di analizzare gli header dei pacchetti solo fino al livello di trasporto. Ciò significa che sono in grado di discriminare un pacchetto in base all'header di livello fisico (ad esempio da quale interfaccia di rete proviene o è diretto il pacchetto), di livello data link (in base agli indirizzi MAC sorgente e destinazione), di livello rete (indirizzo IP sorgente o destinazione del pacchetto), di livello trasporto (ad esempio porta sorgente o destinazione) I vantaggi di questo tipo di firewall sono: la velocità, la capacità di analizzare tutti i pacchetti indipendentemente dall'applicazione che li ha generati, la semplicità delle strutture per la stesura delle regole di filtraggio, il poter girare in kernel space . Packet filtering Nel caso del IP Firewall se la policy è quella di lasciare entrare tutti gli utenti che dichiarano di voler raggiungere l’IP-address 1 e di non lasciare entrare quelli che dichiarano di voler raggiunger l’IP-address 2, allora l’IP-Packet opera consentendo il traffico da qualunque sorgente e qualunque destinazione IP-Address1, mentre qualsiasi altra azione diversa, viene negata ‘Deny’, attivando una procedura di ‘Locking’ di registrazione o di allarme. Packet Filtering • Opera sulle informazioni presenti nell’header di un pacchetto IP o su sequenze molto brevi di pacchetti, tralasciando il contenuto dello stesso; • Ad esempio, non è possibile sopprimere, con questa versione di packet filtering, un pacchetto perché contiene insulti. • Vantaggi: • Semplice da configurare • Trasparente agli utenti • Opera ad alta velocità • Svantaggi: • Difficoltà nei meccanismi di autenticazione Stateful Inspection I firewall stateful inspection, detti anche firewall di seconda generazione, effettuano il filtraggio non sul singolo pacchetto ma sulla connessione, da qui il nome(statefull) . Alla richiesta di connessione, se questa viene accettata e quindi non bloccata dalle regole di filtraggio, vengono memorizzate le sue caratteristiche in una tabella di stato, in modo che i successivi pacchetti non vengano più analizzati ma, una volta riconosciuti , gli venga permesso il transito , risparmiando al firewall notevoli quantità di elaborazioni. Application level gateway • Mentre un packet filter è capace di utilizzare solo informazioni di basso livello, come indirizzi e numeri di porta. • un application proxy è in grado di ispezionare l’intera porzione di dati del pacchetto ed è in grado di bloccare pacchetti FTP che contengono certi nomi di file, così da inibire la connessione con determinate pagine o siti web. Application level gateway • Si tratta quindi di un gateway , detto anche proxy a livello di applicazione, che consente di realizzare un livello di sicurezza molto più severo di un semplice Packet filtering router. • Un proxy è un programma che viene eseguito sul gateway che svolge il ruolo di intermediario a livello di applicazione fra il computer dell’utente ed Internet, cioè tra i client ed il server di un’applicazione. • Intercetta tutti i messaggi che dai client sono diretti a più server e viceversa e si fa carico dell’inoltro degli stessi. • Ricevute le risposte dal server, provvede prima ad analizzarle in base al suo set di regole (operazione di filtraggio), e poi ad inoltrarle al mittente originario. Application level gateway • Vantaggi • Consente controlli più sofisticati del packet filtering • Più mirate le operazioni di logging (file di log). • Svantaggi • Più lento del packet filtering. Circuit level gateway • Esistono due tipologie di proxy: I proxy dedicati che sono in grado di operare con un unico protocollo o servizio (esiste quindi un FTP-proxy, un HTTPproxy, un sendmail-proxy, ecc.) . I proxy generici che sono una variante dell’application proxy, in grado di operare con più protocolli contemporaneamente denominati circuit level proxy, che crea un circuito tra client e server a livello di trasporto, senza effettuare analisi dei dati in transito: in questo modo viene a cadere il modello client/server per la durata della connessione, ma aumenta la protezione del server, in quanto lo isola da tutti gli attacchi che riguardano l’handshake TCP e la frammentazione dei pacchetti. Circuit level Proxy Il grosso vantaggio dei circuit-level proxy è che un unico programma è in grado di gestire più protocolli . Il loro svantaggio è che proprio per la loro genericità non sono in grado di offrire funzionalità molto distanti da quelle di un packet filter avanzato.