12) Firewall

Transcript

12) Firewall

SeQ dei serivzi su internet
Firewall
Generalità
Firewall
Definizione
Un firewall è un sistema che protegge i computer connessi in rete da
attacchi intenzionali mirati a compromettere il funzionamento del
sistema, alterare i dati ivi memorizzati, accedere a risorse private,
effettuare attacchi di tipi DoS.
Un firewall può essere sia un apparato hardware sia un programma
software.
Esso presenta due interfacce di rete e quindi è associato a due IP address
diversi:
• IP pubblico che identifica la rete a cui è esposto
• IP privato che identifica la rete interna che protegge
© 2009 Università degli Studi di Pavia, C.Parisi
© 2009 Università degli Studi di Pavia,
C.Parisi
2
1
Firewall
Esempi
Esempio di applicazione di un
firewall per proteggere una
rete privata interna (SOHO
home, etc...) dalla rete
pubblica (Internet).
Il traffico interno alla LAN con
firewall viaggi su di una
rete “trusted”, mentre
quello esterno “untrusted”.
Fonte Internet
3
Firewall
Configurazione - WAN
Indirizzo “Pubblico”
C.Parisi
4
2
Firewall
Configurazione - LAN
Indirizzo “Privato” interno.
5
Firewall
Esempi
Esempio di applicazione di un
firewall in una rete con un web
server e ftp server.
Notare come i due server (WWW
server e FTP server) siano
collocati al di fuori della zona
“trusted” in quanto devono
essere visibili alla rete pubblica.
Un firewall NON può filtrare e/o
controllare il traffico generato
da un modem collegato con la
rete pubblica all’interno della
trusted zone.
C.Parisi
Fonte Internet
6
3
Firewall
Tipologie e Funzioni
Firewall
Funzioni
Un firewall esamina il traffico di rete che transita tra le zone trusted ed
untrusted e verifica che rispetti determinati criteri. In particolare può:
• Bloccare l’ingresso e/o l’uscita di pacchetti in base all’indirizzo IP del
mittente/destinatario e/o la porta utilizzata (IP filtering o packet
filtering)
• Bloccare l’ingresso e/o l’uscita di pacchetti in base al tipo di protocollo
utilizzato (protocol filtering).
• Gestire l’accesso pubblico ad applicazioni e/o risorse (es. stampante)
private.
• Produrre il log di tutti i pacchetti transitati attraverso di esso o di quelli
che sono stati rifiutati in quanto non rispondenti alle regole.
• Inviare in automatico messaggi (sottoforma di e-mail) al responsabile
della rete all’insorgere di tentativi di accesso non autorizzato.
C.Parisi
8
4
Firewall
Operazioni
Schema di funzionamento del
firewall.
Blocca l’uscita di pacchetti dalla
rete trusted verso Internet
(ad es. perchè diretti verso
siti configurati come non
attendibili).
Blocca l’ingresso di pacchetto
dalla rete pubblica (ad es.
tentativi di connessioni
telnet, ftp, ping, etc...)
Fonte Internet
9
Firewall
Configurazione - LAN
In particolare il firewall può essere configurato come DHCP
server (Dynamic Host Control Protocol) per la LAN interna.
C.Parisi
10
5
Firewall
Dynamic Host Control Protocol (DHCP)
Il DHCP è un protocollo usato per
assegnare dinamicamente gli
indirizzi IP ai calcolatori di una
rete.
L’architettura è di tipo
client/server
• DHCP server è la macchina
che assegna gli indirizzi (es.
firewall router della pagina
precedente)
• DHCP client il computer che ha
bisogno di ottenere un
indirizzo valido nella sottorete.
11
Firewall
Dynamic Host Control Protocol (DHCP)
LAN
Internet
192.168.0.196
Firewall
Nella figura la lista degli indirizzi
assegnati ai computer connessi
alla Local Area Network.
C.Parisi
192.168.0.252
DHCP server
192.168.0.254
12
6
Firewall
Network Address Translation (NAT)
Il Network Address Translation è una tecnica che consiste nel modificare
gli indirizzi IP dei pacchetti in transito su un sistema.
I firewall implementano il “source NAT” in quanto modificano l'indirizzo
sorgente del pacchetto che inizia una nuova connessione.
Tutte le connessioni generate da un insieme di computer
vengono "presentate"
FIREWALL
verso l'esterno con un
solo indirizzo IP.
13
Firewall
Configurazione
Configurazione di NAT (Network Address Translation)
C.Parisi
14
7
Firewall
Configurazione avanzata
É possibile disabilitare la risposta alle richieste di ping provenienti dalla
rete, ciò permette di rendere i firewall e i computer della rete interna
“invisibili” alle richieste in rete.
15
Firewall
Tipologie
Vi sono diverse tipologie di firewall a seconda del livello in cui
intervengono nell’analisi del pacchetto:
• Packet filtering firewall (stateless): analizzano i pacchetti
del livello IP in base al loro indirizzo IP e porta.
• Circuit level gateways (stateful): analizzano i pacchetti a
livello di sessione TCP e determinano se la sessione è
legittima
• Application level firewall (proxy firewall): operano a
livello applicativo e quindi del protocollo utilizzato (ftp,
telnet, ...) fino al filtrare alcuni comandi tipici del
protocollo. A loro il compito di mantenere l’attività di
logging.
• State Multilayer Inspection firewall combinano tutti gli
aspetti precedentemente elencati
C.Parisi
APPLICATION
TLS
TCP / UDP
IP
DATA LINK
PHYSICAL
16
8
Firewall
Stateless firewall
I firewall di tipo stateless analizzano il singolo pacchetto di
rete.
Sono detti anche “packet filters”.
Essi analizzano le sole intestazioni dei pacchetti e sono in
grado, opportunamente configurati, di filtrare determinati
protocolli, e/o il traffico su determinate porte.
Sono molto veloci nell’ispezionare i pacchetti per cui non
rallentano le comunicazioni in corso, ma non altrettanto
sicuri per quanto riguarda la sicurezza.
17
Firewall
Stateless firewall
Un packet filter può essere configurato per bloccare tutti i pacchetti che dall’esterno
affermano di avere un indirizzo IP assegnato all’interno di una rete nota.
In questo caso è quindi configurato per bloccare fenomeni di spoofing di indirizzi ai
danni della rete interna.
C.Parisi
18
9
Firewall
Servizi su internet
Elenco dei principali servizi in
internet e porte standard e
protocollo usato
Fonte internet
19
Firewall
Stateful Packet Inspection (SPI)
SPI sono firewall che mantengono memoria dello
stato di una sessione in rete, ad es. iniziata,
stabilita, finita.
TCP three way handshake
La fase iniziale di una sessione (SYN) causa
un’intensa attività lato server (allocazione di
risorse per la comunicazione), alla fine della
sessione tutte le risorse prima impegnate
vengono rilasciate e sono libere per ospitare
una nuova connessione.
Fonte Internet
C.Parisi
20
10
Firewall
Stateful Packet Inspection (SPI)
Un firewall SPI mantiene quindi una tabella delle sessioni attive in modo
tale che qualunque pacchetto dati i cui estremi non rientrano nella
tabella viene scartato a priori senza neanche essere processato con un
risparmio di tempo e risorse.
Un firewall SPI analizza la sequenza dei pacchetti, da questa può
riconoscere la sequenza tipica di un attacco informatico e quindi
bloccarlo. Impiegati nella prevenzione di “Syn flood attack”
Una sessione attiva che però non riceve pacchetti per un certo tempo
viene forzatamente chiusa dal firewall in modo da non occupare risorse
di sistema inutilmente.
21
Firewall
DoS – SYN flood
SYN flood sfrutta il meccanismo tipico
della connessione TCP (three way
handshake) ed eventualmente IP
spoofing sull’indirizzo IP dell’host
sorgente.
SYN FLOOD
SYN
SERVER
SYN/ACK
SYN
SERVER
Il risultato è l’impegno delle risorse
del server che rimane in attesa
di un segnale di ACK che non
arriverà mai.
SYN/ACK
SYN FLOOD IP SPOOFING
C.Parisi
22
11
Firewall
DoS – SYN flood
I firewall di tipo stateful sono in grado di capire l’inizio di un attacco
Syn flood e scartare i pacchetti salvaguardando la rete interna da
rischio di congestione e quindi di DoS.
SERVER
SYN
Internet
Zona protetta
23
Firewall
Application o proxy firewall
I proxy firewall si interpongono tra le richieste di client ed i server veri e
propri.
Essi operano a livello applicativo rigenerando le richieste (http, ftp, etc...)
per conto dei client verso il server relativo. Così facendo possono
effettuare controlli sui contenuti dei pacchetti permettendo funzioni di
filtraggio a seconda per esempio del contenuto della pagina web
richiesta. Ovviamente sono più lenti rispetto a firewall di tipo stateless.
Web Browser
WEB SERVER
PROXY FIREWALL
C.Parisi
24
12
Firewall
In conclusione
In sintesi i principali punti relativi ai firewall
•
•
•
•
I firewall riescono a proteggere un ambiente solo se ne controllano l’intero
perimetro. Se un host interno si connette alla rete esterna bypassando il firewall
(ad esempio tramite un modem) l’intera rete interna è vulnerabile attraverso il
modem e l’host
I firewall sono la parte più visibile dall’esterno di una rete di PC e quindi sono il
bersaglio su cui si concentrano eventuali attacchi (certe volte è necessario avere
diversi strati di protezione)
I firewall esercitano un controllo minore (quasi assente) su quello che transita
nella rete interna per cui i dati ivi in transito devono essere verificati da altri
dispositivi (hw o sw)
I firewall devono essere configurati correttamente e periodicamente aggiornati
rispetto a cambia all’interno della rete che vanno a proteggere e rispetto a
nuovi meccanismi di intrusione.
25
Firewall
Personal firewall
C.Parisi
13
Firewall
Personal firewall
Personal firewall o firewall software sono applicazioni che monitorano il
traffico di rete di uno specifico computer. Rispetto a firewall tradizionali
(hardware) i firewall software sono installati su di una singola
macchina.
Il firewall può anche interagire con l'utente del PC chiedendo conferma di
alcune azioni potenzialmente pericolose, come ad esempio permettere o
impedire a un particolare programma di connettersi a Internet,
individuando eventuali tentativi di intrusione nel proprio PC, bloccando
la connettività se vi è il sospetto che un tale tentativo è in corso.
Da tenere presente che un firewall in locale sulla macchina offre maggiore
protezione ma l’utilizzo è ulteriore carico (di memoria e computazionali)
per le risorse della macchina.
27
Firewall
Personal firewall
Pagina di configurazione di
Windows Live OneCare.
Accesso a internet dei
singoli programmi
(per un confronto tra
personal firewall
http://www.programmifr
ee.com/confronti/confron
to-firewall08.htm)
C.Parisi
28
14
Firewall
Personal firewall
Configurazione filtri in base
al protocollo e/o
numero di porta
29
Firewall
Personal firewall
Configurazione
monitoraggio virus e
spyware
C.Parisi
30
15
Firewall
Personal firewall
Caratteristiche comuni dei personal firewall:
• Avvisare l’utente di tentativi di connessione in uscita dando
informazioni puntuali sul nome del programma che sta tentando la
connessione.
• Possibilità di controllare puntualmente quali programmi installati sul
computer possono connettersi in internet
• Monitorare le applicazioni che sono in ascolto in attesa di connessioni
• Regolare traffico in ingresso ed in uscita
Rischi
• Possono essere colpiti da virus che ne vanificano l’effetto di controllo
• Il numero di warning (se elevato) può ‘desensibilizzare’ l’utente finale
alla lettura attenta del messaggio.
31
Firewall
Personal firewall
Alcuni sistemi operativi integrano funzionalità di firewall.
Windows XP ha un proprio firewall “Windows Firewall”
(http://www.microsoft.com/windowsxp/using/security/internet/sp2_wfin
tro.mspx ) che però non offre protezione per connessioni dall’interno
verso l’esterno, con il rischio che software maligno riesca a creare
connessioni con l’estero senza essere bloccato.
La versione di Windows Vista invece offre questa possibilità.
Linux utilizza il firewall iptables (netfilter) anche se non di facile
configurazione.
C.Parisi
32
16
Firewall
In conclusione
Firewall
Pros & Cons
Vantaggi
Protezione a differenti livelli del traffico di rete. Tutte le Local
Area Network (fosse anche una LAN formata da un singolo
PC connesso in rete) dovrebbero installare un firewall.
Svantaggi
Limitazione alla navigazione ed all’utilizzo delle risorse di rete.
Causa di strozzature (“bottleneck”) nel traffico di rete in
quanto tutta l’attività di analisi dei pacchetti viene effettuata
in un solo punto (il firewall).
C.Parisi
34
17
Firewall
Hardware vs. Software
Firewall software
• Non richiede hardware aggiuntivo e relativi cablaggi
• Buon compromesso per la protezione di singoli PC
ma...
• Richiede licenza per ogni installazione
• Deve essere installato (e configurato)
• Protegge un solo PC quello in cui è installato
Firewall hardware
• Integra funzionalità di firewall e instradamento (router + firewall)
• Unico dispositivo che protegge diversi computer (almeno ha 4 porte a
cui è possibile collegare dei computer)
ma...
• Richiede hardware e cablaggi aggiuntivi (e configurazione)
C.Parisi
35
18

12) Firewall

Transcript

Documenti analoghi

Una cura per ogni male La nuova generazione 106 Scanner per tutti

formato pdf - Altervista

Guida - Come attivare la firewall di Windows o installare un

Ogni rete ha il suo cervello Server Projects

PRIMA CONFIGURAZIONE FIREWALL

Sistema _Sicurezza _informatica

scheda prodotto

DETERMINA contrarre firewall - Istituto Comprensivo Varese1

Copperfasten Mail Firewall è una soluzione materiale innovativa di