Sommario Introduzione ai firewall Che cos`è un firewall? A cosa

Sommario
Corso di Sicurezza su Reti
Prof. : Alfredo De Santis
Relatori:
Pisani Giovanni
Firewall
Lucibello Ferrigno Giuseppe
1
Ø
Ø
Ø
Ø
Ø
Ø
Ø
Ø
Ø
Introduzione ai firewall
Meccanismi di firewalling
Bastion Host
Architetture di firewalling
Tipi di attacchi
Difesa da attacchi DoS
Statistiche su attacchi
Caso Pratico: Sygate Personal Firewall
Conclusioni
Firewall
Introduzione ai firewall
Che cos’è un firewall?
§ Che cos’è un firewall
§ Servizi e regole
§ Fattori di vulnerabilità
Firewall
2
Un firewall (muro di fuoco) è essenzialmente un meccanismo
di protezione per i computer e i servizi di una rete privata.
copia astaro
3
Firewall
A cosa serve un firewall?
4
Servizi e regole
Regole da
seguire
• Definire regole di accesso alla rete
Dati
accettati
• Mettere in atto politiche di sicurezza complesse
Dati in
ingresso
• Autenticazione basati su tecniche crittografiche
Dati
rifiutati
Firewall
5
Firewall
6
1
ACL (Access Control List)
DMZ (Demilitarized Zone)
Traduzione di una regola di filtraggio dei pacchetti
su di un router.
• E’ l’interfaccia del firewall su cui normalmente
non passano dati né in entrata né in uscita.
Per ogni servizio (Telnet, Ftp, ecc.) ci sono almeno
due ACL, una riguardante le macchine interne alla
LAN che tentano di usare tale servizio verso
l’esterno, l’altra per le macchine esterne che
cercano di accedere all’interno.
• Una DMZ può essere creata tramite una ACL sul
router di accesso alla LAN.
Firewall
Firewall
7
Vulnerabilità
8
Fattori di vulnerabilità
La vulnerabilità di una rete è direttamente
proporzionale al numero di macchine che la
compongono.
Il numero elevato di servizi di rete utilizzati
L’esistenza di più punti di connessione della rete privata
ad Internet
La visibilità della struttura interna della rete
La notorietà dell’organizzazione che utilizza la rete
Rete interna
Firewall
9
Approccio alla gestione della sicurezza
• Concentrare la gestione della sicurezza in pochi
punti, quelli in cui la rete è collegata ad Internet.
Firewall
10
Meccanismi di firewalling
• Packet filtering
• Proxy service
• Minimizzare l’interazione tra Internet
macchine che compongono la rete privata.
e
le
• Logging
• Autenticazione di utente
Firewall
11
Firewall
12
2
Packet filtering
Packet filtering
Meccanismo di sicurezza che agisce controllando e
selezionando i dati che transitano da e verso una rete
Il filtraggio avviene esaminando le intestazioni dei singoli
pacchetti e non il loro contenuto applicativo
Esame dei pacchetti in transito sul sistema che effettua il
filtraggio
Il software dei router decide se instradare i pacchetti
attraverso la consultazione della tabella di routing
La macchina che effettua queste operazioni è detta
screening router
Firewall
13
Metodi di filtraggio
Trasparenza per gli utenti
Riconosce attacchi di tipo IP-spoofing
Analizza informazioni limitate
• Service filtering:
– analisi tipo di protocollo di trasporto usato
– analisi numeri di porta logica
– analisi del bit di ACK
Alcuni protocolli non sono analizzabili col packet filtering
15
Proxy service
Firewall
16
Proxy server
Rilancia le richieste di servizio provenienti da Internet
verso la rete interna e viceversa.
I proxy server vengono usualmente installati su una delle
macchine che realizzano il firewall che prende il nome di
application gateway.
Firewall
14
Vantaggi e svantaggi del packet filtering
• Address filtering:
– analisi indirizzo sorgente del pacchetto
– analisi indirizzo destinazione del pacchetto
Firewall
Firewall
17
• Mantengono un singolo
punto di transito da e verso
Internet pur fornendo un
collegamento apparente con
tutti gli host della rete
• Consentono
anche
a
macchine isolate da un
firewall di usufruire dei
servizi di rete
Firewall
18
3
Vantaggi e svantaggi del Proxy service
Decisioni su quali richieste inoltrare rispettando il
protocollo applicativo trattato.
Logging
Registrazione degli accessi per fornire importanti statistiche
sull’uso della rete.
Nei sistemi UNIX il logging è gestito dal daemon syslogd.
Alcuni servizi si basano su protocolli per i quali non
è possibile realizzare un proxy server.
Non tutti i protocolli danno la possibilità di
determinare facilmente quali operazioni siano
effettivamente sicure.
Firewall
19
Logging
Un messaggio può essere:
• ignorato
• registrato su uno o più file
• mandato al syslogd di un altro sistema
• mandato a schermo
Firewall
20
Vantaggi e svantaggi del logging
Anche i proxy server possono essere utilizzati per generare
dei file di log.
Un proxy server, oltre a registrare i messaggi relativi a tutte
le richieste di connessione, può registrare anche i comandi
inviati e le risposte ricevute dal server.
Un firewall dotato di appropriati meccanismi di allarme,
può fornire dettagli su eventuali attacchi alla rete.
I file di log sono inutili se non si utilizza uno strumento
che ne faccia un’analisi automatica, in quanto molto
spesso raggiungono dimensioni difficilmente gestibili.
Il risultato è un insieme di file di log più utili e più leggibili
rispetto a quello prodotto da uno screening router.
Firewall
21
Firewall
22
Autenticazione
One-time password
Servizio che permette l’autenticazione mediante password
di un utente.
Una smartcard (carta intelligente) genera, a cadenza
prestabilita o su richiesta dell’utente, una parola che il
sistema accetta al posto della password tradizionale, in
quanto è in grado di riprodurre la stessa azione effettuata
dalla carta intelligente.
Sono state progettate varie tecniche di autenticazione con
la comune caratteristica che la password eventualmente
sottratta non possa essere riutilizzata in una sessione
successiva
Firewall
23
Firewall
24
4
Bastion host
Vantaggi e svantaggi dell’autenticazione
Alcuni sistemi non permettono il riutilizzo della stessa
password per accessi differenti.
Se la password viaggia sulla rete, può essere carpita
in un qualunque punto di transito.
Firewall
Questo nome deriva dal
termine “bastione” che nel
medioevo indicava un
particolare punto delle
fortificazioni di un castello
che aveva lo scopo di
respingere gli attacchi
nemici.
Un “bastion host” è un
computer
della
rete
particolarmente preparato
a
respingere
attacchi
contro la rete stessa.
25
Firewall
Bastion host
Bastion host
• Viene posizionato dai progettisti nella prima linea di
difesa, spesso rappresentata da uno “screening router”
• Costituisce un punto nevralgico
comunicazioni fra la rete e Internet
26
per
tutte
Firewall
.
le
27
Percorsi errati e corretti
Firewall
28
Servizi
Il bastion host è il punto più indicato per mettere a
disposizione servizi come:
• FTP
• Gopher
• HTTP
• NNTP
• Posta elettronica
Firewall
29
Firewall
30
5
Servizi Unix
Servizi Unix
I servizi Unix necessariamente abilitati su un bastion host:
• init, swap, page, per la gestione di tutti gli altri processi
• NFS (nfsd, mountd)
• NIS (ypserv, ypbind, ypupdated)
• Servizi di booting (tftpd, bootd, bootpd)
• Comandi remoti (rshd, rlogind, rexecd)
• Fingerd
• cron, per eseguire processi con periodicità definita
• syslogd, per registrare messaggi di log dal kernel
• inetd, per avviare alcuni servizi di rete se richiesti
Firewall
I servizi Unix da disabilitare sul bastion host:
31
Vantaggi e svantaggi dei bastion host
Firewall
32
Vantaggi e svantaggi dei bastion host
Accesso alla rete concentrato in un unico punto quindi
più semplice da gestire ai fini della sicurezza
Solo l’amministratore del sistema può essere
registrato sul bastion host: la presenza di untenti
generici rende il sistema più vulnerabile
Software facile da configurare
Attacchi di tipo password guessing
Possibili errori di configurazione ed errori software
se si offrono più servizi
Firewall
33
Firewall
34
Dual-homed host
Architetture di firewalling
• Dual-homed host
Calcolatore con almeno due interfacce di rete, che può
agire come un router tra le due reti alle quali sono collegate
le interfacce
• Screened host
Può essere utilizzato da firewall se posto tra una rete
privata ed Internet
• Screened subnet
Firewall
35
Firewall
36
6
Screened host
Screened host
L’architettura “screened host” viene realizzata mediante più
componenti fisici.
L’elemento principale è uno s“ creening router” mentre i
servizi vengono forniti da un bastion host.
Architettura molto più elastica della precedente per la quale
sono possibili due approcci:
1) Impedire tutti i tipi di connessione da e verso host interni;
2) Permettere ad alcuni host interni di aprire connessioni
con Internet per servizi specifici;
Questi due approcci possono essere anche combinati.
Firewall
37
Firewall
38
Firewall
40
Screened subnet
Architettura che utilizza due router che creano una rete
compresa tra loro, detta rete perimetrale, su cui si trovano
le macchine (bastion host) che forniscono i servizi, ad
esempio l’application gateway e il server di posta
elettronica
Firewall
39
Tipi di attacchi
Spoofing
(Dall’inglese “spoof” = truffare, imbrogliare) - Sistema per
cui un host invia dei pacchetti che sembrano provenire da
un altro host
• Spoofing
• DoS (Denial of service)
• DDoS (Distributed denial of service)
Firewall
Siccome il filtro dei pacchetti prende le decisioni in base
all'indirizzo di provenienza, lo “spoofing” degli IP serve a far
saltare i filtri sui pacchetti
41
Firewall
42
7
Esempio
(DoS) Denial of Service
Mandano in crash il sistema rendendo così necessario un
reboot della macchina, sfruttando alcune lacune del
TCP/IP.
I DoS sono portati ad ogni tipo di computer connesso ad
Internet.
Uno degli effetti di un possibile attacco DoS è la comparsa
sul proprio monitor della classica schermata blue, detta
anche "the blue death screen".
Firewall
43
Denial of Service
44
Attacchi DoS
• Tutte le piattaforme sono potenzialmente a rischio
• A seconda del tipo di attacco, esistono dei sistemi
operativi maggiormente vulnerabili rispetto ad altri
• Attualmente uno dei meno vulnerabili ai DoS é Linux
Firewall
Firewall
45
Smurfing
Land attack
Teardrop
Bonk
Ssping
WinNuke
Syn Flood
ICMP Flood
Firewall
46
Attacchi DoS
Smurfing
Sfruttano le debolezze e i bug di vari programmi software
(TCP/IP principalmente)
L’attacker spedisce un gran numero di richieste Ping
broadcast a vari indirizzi di classe 'C'.
Provocano un crash del sistema che non potrà più erogare
i suoi servizi
Tutti questi ping hanno un indirizzo di partenza falso, che
coincide con quello di una terza macchina, reale oggetto di
attacco.
Generalmente al reboot della macchina tutto ritorna come
prima
Firewall
47
Questo porta ad un overload della macchina attaccata a
causa del numero elevato di messaggi ricevuti.
Firewall
48
8
Smurfing
Land Attack
PING
ping
193.205.162.1
Source:193.205.162.11
Source:193.205.118.1
Target :193.205.162.1
193.205.118.1
2
1
SYN
Source: 193.205.162.3
Target: 193.205.162.3
193.205.162.11
5
4
3
192.205.118.1
193.205.162.3
8
10
7
6
Firewall
9
49
Firewall
50
Syn Flood
Syn Flood
Una connessione client server in TCP/IP avviene attraverso
il three-way-handshake.
L’attacco Syn Flood sfrutta un ingenuità di TCP/IP nel
trattare le connessioni “half open”, cioè quelle connesioni
per le quali il server dopo il SYN non ha ancora ricevuto
l’ACK dal client.
Ogni server ha una struttura dati in cui salva tutte le
connessioni “half open” in attesa che si complétino.
Firewall
51
Firewall
52
Syn Flood
ICMP Flood
L’attacco viene portato inviando dal client solo messaggi
SYN senza rispondere al SYN_ACK del server con un ACK
Colpisce le connessioni modem facendole rallentare fino
far cadere le connessione stessa dopo pochi secondi.
Saturazione della struttura dati delle connessioni half-open
e impossibilità di connessioni per altri client
Sfrutta le vulnerabilità del modem stesso e non eventuali
bug dello stack TCP/IP.
L’unica soluzione possibile è l’adozione di un firewall da
parte del proprio ISP.
Firewall
53
Firewall
54
9
DDos (Distributed Denial os Services)
1996 Panyx Internet Provider. Si tratta di uno dei primi
attacchi DDOS.
L'attacco mise in crisi il sistema per più di una settimana
rendendo impossibile l'uso del servizio a circa 7000 utenti.
DDoS
Buy.Com non era raggiungibile la mattina di lunedì 7
dicembre 2000, CNN ed eBay non lo erano nel pomeriggio,
mentre Amazon e Zdnet sono rimasti isolati parecchie ore
la notte di lunedì.
Domenica 6 febbraio 2000: Yahoo, Inc. Interruzione per
quasi 6 ore di un servizio usato da milioni di utenti ogni
giorno.
Durante quest'attacco sono stati saturati tutti i link del sito
la cui capacità complessiva ammontava ad alcuni Gigabit.
Firewall
55
Firewall
56
DDoS
DDoS
L’attacco consiste in un numero elevatissimo di false
richieste da più macchine allo stesso server consumando
le risorse di sistema e di rete del fornitore del servizio.
L’attacco deve essere organizzato tempo prima per
installare il software su tutte le macchine attaccanti.
In questo modo il provider “affoga” letteralmente sotto le
richieste e non è più in grado di erogare i propri servizi,
risultando quindi irraggiungibile.
Risalire ai colpevoli è difficile perché gli IP sono nascosti e
si dovrebbe richiedere a diversi AS di ispezionare file di
log.
Si pensa ad azione portata dai Servizi Segreti Americani
per l’approvazione più rapida della legge restrittiva
(Electronic low enforcement).
Firewall
57
Difesa da attacchi DoS
•
•
•
•
58
Network Incoming Filtering
Gli ISP dovrebbero implementare dei filtri in ingresso sui
propri router e firewall in modo da bloccare i pacchetti che
contengano informazioni alterate riguardo la loro
provenienza (in gergo Spoofed).
Network Incoming Filtering
Limit Network Traffic
Intrusion Detection Systems
Host Auditing Tools
Firewall
Firewall
Si può risalire alla provenienza del pacchetto in maniera
più semplice e veloce.
59
Firewall
60
10
Limit Network Traffic
Intrusion Detection System
Limitiamo la quantità di banda (QoS = Quality of Service)
riservata ad un particolare servizio.
Ci sono alcuni tool di rete molto utili per l’individuazione di
eventuali attackers che sfuttano macchine della rete stessa
come slave o master per un attacco.
Possiamo per esempio fornire più banda a servizi web a
scapito di altri servizi (ftp,rlogin……)
Per attacchi di tipo ICMP,SYN etc basta limitare la banda
utilizzabile da questi pacchetti.
Firewall
Il problema di questi tool è che essi sono creati per scoprire
un attacco già conosciuto ma non possono nulla contro
nuovi tipi di attacchi.
61
Host Auditing Tools
Firewall
62
Statistiche su attacchi
L’FBI fornisce un prodotto chiamato “find_ddos ” che cerca
nel filesystem delle macchine su cui è installato, programmi
per attacchi di tipo DDoS.
100
Formato binario per Linux e Solaris .
10
Nord
L'assenza di sorgenti rende l'applicativo non controllabile e
quindi potrebbe contenere delle backdoors .
Firewall
63
Numero di domini Internet
Est
1
4°
Trim.
3°
Trim.
2°
Trim.
1°
Trim.
Firewall
64
Network security e Internet
FBI Computer Crime e Security Survey 2000
Su un campione di 585 organizzazioni
• ha subito violazioni nel 2000 il 70% (+8%)
Su 273 che hanno dato una valutazione
• il danno subito è pari a $265.586.240
100
http:\\www.gocsi.com
10
Nord
Est
1
Firewall
65
Firewall
4°
Trim.
3°
Trim.
2°
Trim.
1°
Trim.
66
11
Network security e Internet
Firewall
Democratizzazione dell’hacking
67
Caso pratico: Sygate Personal Firewall
Firewall
68
Caso pratico: Sygate Personal Firewall
Ø Firewall freeware per utenza domestica e uffici.
Noi vediamo la versione 4.2 (3.8 Mb)
• Installazione
Ø Sygate Firewall gira su:
Windows95/98/Millennium2000 NT4 (sia
Workstation che Server) e anche su XP
• Gestione delle opzioni
• Sygate Scan
Ø Requisiti minimi di sistema sono processore 133
MhZ, 32 Mb di RAM 10 Mb di spazio libero su
disco.
Firewall
69
Caso pratico: Sygate Personal Firewall
Firewall
70
Installazione di Sygate Personal Firewall
L’installazione è molto semplice e richiede pochi istanti:
Ø Il download di questo Firewall è possibile eseguirlo da
due indirizzi diversi :
http://www.sygate.com/ oppure
http://www.sybergen.com/
Ø Il download di Guide (formato pdf) in inglese è al link:
http://soho.sygate.com/support/userguides/pspf/pspf_quickstart.pdf
per una guida sintetica (285 Kb)
oppure
http://soho.sygate.com/support/userguides/pspf/pspf42_userguide.pdf
per una guida completa (880Kb)
Firewall
71
Firewall
72
12
Installazione di Sygate Personal Firewall
Installazione di Sygate Personal Firewall
Estrazione dei file compressi:
Firewall
73
Installazione di Sygate Personal Firewall
Firewall
74
Installazione di Sygate Personal Firewall
A questo punto l’installazione è finita e siamo costretti a
riavviare il sistema.
Firewall
75
Firewall
76
Uso di Sygate Personal Firewall
Registrazione di Sygate Personal Firewall
Dopo il riavvio troverete l'icona di Sygate in basso a destra
vicino all'orologio.
Dopo la registrazione :
Doppio click e compare il modulo di registrazione. Potete
registrarvi subito oppure rimandare il tutto… oppure?!?!!??!
Nel menù Start Programmi troverete la consueta cartella:
Firewall
77
Firewall
78
13
Opzioni di Sygate Personal Firewall
Opzioni di Sygate Personal Firewall
Per default Sygate viene caricato allo startup ma se
vogliamo cambiare:
Affinchè le regole impostate non siano cambiate qualcun
altro è possibile impostare una password:
Firewall
Firewall
79
Opzioni di Sygate Personal Firewall
Abbiamo detto che un firewall controlla il traffico in ingresso
e in uscita da una macchina. Sygate lo fa in questo modo:
80
Avvisi di Sygate Personal Firewall
Uno dei primi avvisi che possono verificarsi è questo:
La nostra macchina sollecita il router con un messaggio
ICMP. Questa è un’operazione innocua ma il nostro firewall
non lo sa e così glielo diciamo spuntando la casella bianca
in modo che esso possa ricordare che questa è una
procedura che non crea problemi.
Firewall
81
Firewall
82
Definiamo le regole
Leggere la posta con Sygate
Al passo precedente abbiamo semplicemente impostato
una regola che il nostro firewall dovrà seguire. Vediamo
cosa succede se vogliamo collegarci a google.
Sygate si occupa di filtrare sia la posta in uscita (protocollo
SMTP porta 25)
che quella in ingresso (protocollo POP3 porta 110)
Il discorso è lo stesso di prima.Da notare che una volta
definita la regola non riceveremo più avvisi di questo tipo.
Firewall
83
Firewall
84
14
Leggere le news con Sygate
Live Update di Norton Antivirus
Il protocollo usato per leggere le news è NNTP porta 119.
Un altro esempio di avviso capita quando l’antivirus cerca
di effettuare il live update, procedure molto utile e innocua.
Il firewall può sembrare molto invadente ma una volta
scelte le regole non saremo più infastiditi su ogni
programma che cerca di utilizzare la rete.
Firewall
Anche qui possiamo spuntare la casella Remember.
85
Firewall
86
Verifica delle Regole
Modifica regole
Una volta impostate le regole possiamo visualizzarle ed
eventualmente modificarle:
Allow permette ad un’applicazione di avere libero accesso
alla rete, ask indica che non è stata definita una regola e
block indica accesso negato.
Tasto destro del mouse
Firewall
87
Firewall
88
Particolari di Sygate
Particolari di Sygate
Sygate usa tre colori per identificare l’azione corrente sul
traffico sia in ingresso che in uscita.
Vediamo nello specifico tutte le possibili combinazioni che
si possono presentare:
Rosso = Traffico bloccato dal
firewall
Blue = Traffico non bloccato dal
firewall
Grigio = Non c’è traffico in
questa direzione
Firewall
89
Firewall
90
15
Sygate Scan
Sygate Scan
Sygate Scan è un servizio molto utile di Sygate che
permette di rilevare l’IP della nostra macchina ed effettuare
uno scan delle porte per scongiurarne eventuali attacchi.
Per chi non possedesse il firewall ci sono diverse
opportunità di scan sul sito http://scan.sygatetech.com/
Firewall
Firewall
91
Esempio Sygate Scan
92
Rilevare un attacco
Se siamo attaccati da un intruso, come reagisce Sygate?
Il seguente è un log…
IP dell’intruso
Firewall
93
Tasto
destro del
mouse per
effettuare il
BackTrace
Traffico
entrante
Protocollo
usato
Indirizzo IP della
nostra macchina
Firewall
94
Back Tracing
Caratteristiche di Sygate
Il Backtracing ci permette di “risalire” all’identità di una
persona a partire dal suo indirizzo IP. Cliccando du
BackTrace la ricerca avviene automaticamente.
Se vi interessano notizie sul firewalling di una macchina
lontana su cui è installato Sygate potete impostare un invio
periodico di un’email con i log della macchina.
Se volete farlo da soli potete usare l’IP in uno di questi due
siti per avere informazioni sull’identità.
http://www.hazardous.org/fkr/whois -query.php oppure
http://www.ripe.net/perl/whois
Firewall
95
Firewall
96
16
Log Files
Qual è il mio IP?
Questo firewall mette a disposizione diversi log files divisi
per categoria.
Firewall
97
Conclusioni
Firewall
98
Conclusioni
ØCompromesso tra controllo servizi e loro
utilizzo
ØUn firewall può previene attacchi noti
ØLogging e autenticazione importanti
strumenti di protezione
ØE’ comunque uno strumento di protezione
parziale
Firewall
Nel menù Network è possibile vedere il proprio IP e settare
il tipo di condivisione con altri utenti.
99
ØNon previene attacchi dall’interno della
rete nè attacchi non ancora noti
ØIntegriamo il firewall con applicazioni più
specifiche e una giusta educazione
dell’utente
ØContinuo aggiornamento
Firewall
100
Autori
Firewall
101
17