5D_Firewall_I

Proteggere la rete: I FIREWALL
Index
•
•
•
•
•
Start up Firewall
A cosa servono i Firewall
Cosa è un Firewall
Come si configurano
Le principali applicazioni dei Firewall
StartUp Firewall
La tecnologia dei Firewall nasce nella seconda
metà degli anni ‘80.
A cosa servono i Firewall
Ogni volta che una rete LAN accede attraverso un router ad Internet, viene
esposta a rischi di vario tipo derivanti da :
accessi indesiderati: da Host esterni aventi lo scopo di acquisire i dati dagli
archivi o compromettere i servizi che questa offre.
Installazioni software: che possono provocare anomalie di funzionamento in
uno o più nodi della rete oppure trasmettere informazioni verso l’esterno o
semplicemente creare delle porte di accesso non controllate.
Cosa sono i Firewall
• I firewall (letteralmente ‘muro tagliafuoco’) sono
considerati come una delle tecnologie più diffuse per
la protezione dagli attacchi di rete.
• Un Internet firewall, in particolare, può essere o un dispositivo
H/W o un sistema software, realizzato con lo scopo di
proteggere la rete interna (perimetrale) di un’organizzazione
quale ad esempio una rete aziendale (Intranet), filtrando i dati
da e verso Internet per impedire accessi dall’esterno e l’uso di
servizi non autorizzati.
Come si configurano Firewall
Fisicamente, le configurazioni dei firewall variano in funzione degli
scopi per cui sono impiegati, senza perdere in generalità possiamo
affermare che un firewall può trovarsi in una combinazione di
componenti hardware (router e host) tra loro opportunamente
collegate, oppure può semplicemente, essere un apparato dotato di
due (o più) interfacce di rete che seziona e mette in comunicazione
due o più tronconi di rete ( vedi figura).
I Tre principi inderogabili del Firewall
• Tutto il traffico che entra ed esce da una rete
intranet deve passare attraverso il firewall, che
deve essere quindi l’unico punto contatto della rete
interna con quella esterna.
• Solo il traffico autorizzato potrà entrare/uscire
dalla rete.
• Il firewall deve essere il più possibile immune da
attacchi, deve essere quindi un sistema altamente
sicuro.
Cosa può fare un Firewall
• Può bloccare il traffico di rete in entrata ed in uscita,
applicando diversi livelli di filtri sia ai pacchetti del protocollo
che ai dati.
• Può consentire connessioni tra gli Host dell’Intranet.
• Consente attività di report (log file) sul monitoraggio del
traffico di rete e sulle attività del firewall.
Prima classificazione dei Firewall
• Viene fatta sul tipo di protezione che il firewall deve fare, cioè
a livello di attacchi sia dall’interno che dall’esterno:
• Ingress Firewall: viene controllato il traffico di rete in entrata
incoming.
• Egress Firewall: viene controllato il traffico di rete in uscita
outgoing.
Seconda classificazione dei Firewall
• Viene fatta sul numero di host che deve proteggere
contemporneamente:
• Personal Firewall: viene protetto il singolo host, consentendo,
generalmente di default, qualsasi traffico verso l’esterno
(outbound) e bloccando quello in entrata (inbound);
• Network firewall: si interpone fra la LAN ed Internet e
controlla tutto il traffico passante.
Terza classificazione
• Viene fatta a seconda del livello di intervento e ciò caratterizza
anche la tipologia di firewall che andremo ad usare.
• (Packet Filtering)Filtri di pacchetto IP: permettono di
bloccare o abilitare selettivamente il traffico che attraversa il
firewall, definendo il tipo di pacchetto, gli indirizzi IP e le
porte utilizzate.
• Satesful Inspection: effettuano il filtraggio non sul singolo
pacchetto, ma sulla connessione, (da qui il nome «statefull» )
• Proxy server: rappresentano una sorta di intermediario che si
occupa di intrattenere le connessioni per conto di qualcun
altro.
Tipologie di firewall
I Firewall si suddividono quindi in tre tipologie:
• Packet filtering: (1° generazione)network
level gatway (IP-Packet).
• Stateful Inspection: (2° generazione)
Transport level.
• Application-level Gateway: (3° generazione)
gatway a livello di applicazione.
Strategie generali del Firewall
•
Allow-all Strategy:Allow all network packets except those
that are explicitly denied.(Ciò che non è specificamente
proibito è permesso).
• Deny-all Strategy:Denies all network packets except those
that are explicity allowed. (Ciò che non è specificamente
permesso è proibito).
Example Firewall Rules
Access Control List
Le regole di filtraggio che vengono stabilite in fase di
configurazione del Firewall dall’amministratore di rete,
servono a definire le varie policy di sicurezza.
Vengono disposte in liste apposite chiamate Access
Control List (ACL) ed in questo modo è possibile
dettagliare i filtri da applicare ad ogni pacchetto in
funzione delle informazioni presenti negli header
TCP/IP del livello 3(networking).
I FILTRI
Il Firewall decide se accettare o rifiutare il traffico entrante/uscente
attraverso un algoritmo di scelte che si basa su una lista di
regole(regole di filtraggio), predefinite.
• Sui Servizi
• Vengono definiti i tipi di servizi che possono essere acceduti
da e verso Internet.
• Sulla direzione
• Determina la direzione verso cui il traffico generato da certi
servizi è ammissibile.
• User control
• Controlla l’accesso ad un servizio verificando l’utente che vi
sta accedendo.
• Behavior control(comportamento)
• Controlla come vengono usati certi servizi.
Packet filtering
Nella sua versione più semplice il packet filtering, consente di
abilitare/disabilitare il trasferimento di pacchetti (e quindi di dati) tra
due reti, basandosi su:
• L’indirizzo IP del mittente;
• L’indirizzo IP del destinatario;
• I servizi (o protocolli) usati per trasferire i dati (questi servizi
possono essere ad esempio: FTP, HTTP, SMNP, ecc. ecc.).
Packet filtering
I packet filter firewall sono in grado di analizzare gli header dei
pacchetti solo fino al livello di trasporto.
Ciò significa che sono in grado di discriminare un pacchetto in
base all'header di livello fisico (ad esempio da quale
interfaccia di rete proviene o è diretto il pacchetto),
di livello data link (in base agli indirizzi MAC sorgente e
destinazione), di livello rete (indirizzo IP sorgente o
destinazione del pacchetto), di livello trasporto (ad esempio
porta sorgente o destinazione)
I vantaggi di questo tipo di firewall sono:
la velocità, la capacità di analizzare tutti i pacchetti
indipendentemente dall'applicazione che li ha generati, la
semplicità delle strutture per la stesura delle regole di
filtraggio, il poter girare in kernel space .
Packet filtering
Nel caso del IP Firewall se la policy è quella di lasciare entrare tutti gli utenti
che dichiarano di voler raggiungere l’IP-address 1 e di non lasciare entrare quelli
che dichiarano di voler raggiunger l’IP-address 2, allora l’IP-Packet opera
consentendo il traffico da qualunque sorgente e qualunque destinazione IP-Address1,
mentre qualsiasi altra azione diversa, viene negata ‘Deny’, attivando una procedura
di ‘Locking’ di registrazione o di allarme.
Packet Filtering
• Opera sulle informazioni presenti nell’header di un pacchetto IP
o su sequenze molto brevi di pacchetti, tralasciando il contenuto
dello stesso;
• Ad esempio, non è possibile sopprimere, con questa versione di
packet filtering, un pacchetto perché contiene insulti.
• Vantaggi:
• Semplice da configurare
• Trasparente agli utenti
• Opera ad alta velocità
• Svantaggi:
• Difficoltà nei meccanismi di autenticazione
Stateful Inspection
I firewall stateful inspection, detti anche firewall di seconda
generazione, effettuano il filtraggio non sul singolo pacchetto
ma sulla connessione, da qui il nome(statefull) .
Alla richiesta di connessione, se questa viene accettata e
quindi non bloccata dalle regole di filtraggio, vengono
memorizzate le sue caratteristiche in una tabella di stato, in
modo che i successivi pacchetti non vengano più analizzati
ma, una volta riconosciuti , gli venga permesso il transito ,
risparmiando al firewall notevoli quantità di elaborazioni.
Application level gateway
• Mentre un packet filter è capace di utilizzare solo
informazioni di basso livello, come indirizzi e numeri
di porta.
• un application proxy è in grado di ispezionare
l’intera porzione di dati del pacchetto ed è in grado di
bloccare pacchetti FTP che contengono certi nomi di
file, così da inibire la connessione con determinate
pagine o siti web.
Application level gateway
• Si tratta quindi di un gateway , detto anche proxy a livello di
applicazione, che consente di realizzare un livello di sicurezza
molto più severo di un semplice Packet filtering router.
• Un proxy è un programma che viene eseguito sul gateway che
svolge il ruolo di intermediario a livello di applicazione fra il
computer dell’utente ed Internet, cioè tra i client ed il server di
un’applicazione.
• Intercetta tutti i messaggi che dai client sono diretti a più server
e viceversa e si fa carico dell’inoltro degli stessi.
• Ricevute le risposte dal server, provvede prima ad analizzarle in
base al suo set di regole (operazione di filtraggio), e poi ad
inoltrarle al mittente originario.
Application level gateway
• Vantaggi
• Consente controlli più sofisticati del packet filtering
• Più mirate le operazioni di logging (file di log).
• Svantaggi
• Più lento del packet filtering.
Circuit level gateway
• Esistono due tipologie di proxy:
 I proxy dedicati che sono in grado di operare con un unico
protocollo o servizio (esiste quindi un FTP-proxy, un HTTPproxy, un sendmail-proxy, ecc.) .
 I proxy generici che sono una variante dell’application proxy,
in grado di operare con più protocolli contemporaneamente
denominati circuit level proxy, che crea un circuito tra client
e server a livello di trasporto, senza effettuare analisi dei dati
in transito: in questo modo viene a cadere il modello
client/server per la durata della connessione, ma aumenta la
protezione del server, in quanto lo isola da tutti gli attacchi
che riguardano l’handshake TCP e la frammentazione dei
pacchetti.
Circuit level Proxy
 Il grosso vantaggio dei circuit-level proxy è che un unico
programma è in grado di gestire più protocolli .
 Il loro svantaggio è che proprio per la loro genericità non sono in
grado di offrire funzionalità molto distanti da quelle di un packet
filter avanzato.