Sommario Introduzione ai firewall Che cos`è un firewall? A cosa
Transcript
Sommario Introduzione ai firewall Che cos`è un firewall? A cosa
Sommario Corso di Sicurezza su Reti Prof. : Alfredo De Santis Relatori: Pisani Giovanni Firewall Lucibello Ferrigno Giuseppe 1 Ø Ø Ø Ø Ø Ø Ø Ø Ø Introduzione ai firewall Meccanismi di firewalling Bastion Host Architetture di firewalling Tipi di attacchi Difesa da attacchi DoS Statistiche su attacchi Caso Pratico: Sygate Personal Firewall Conclusioni Firewall Introduzione ai firewall Che cos’è un firewall? § Che cos’è un firewall § Servizi e regole § Fattori di vulnerabilità Firewall 2 Un firewall (muro di fuoco) è essenzialmente un meccanismo di protezione per i computer e i servizi di una rete privata. copia astaro 3 Firewall A cosa serve un firewall? 4 Servizi e regole Regole da seguire • Definire regole di accesso alla rete Dati accettati • Mettere in atto politiche di sicurezza complesse Dati in ingresso • Autenticazione basati su tecniche crittografiche Dati rifiutati Firewall 5 Firewall 6 1 ACL (Access Control List) DMZ (Demilitarized Zone) Traduzione di una regola di filtraggio dei pacchetti su di un router. • E’ l’interfaccia del firewall su cui normalmente non passano dati né in entrata né in uscita. Per ogni servizio (Telnet, Ftp, ecc.) ci sono almeno due ACL, una riguardante le macchine interne alla LAN che tentano di usare tale servizio verso l’esterno, l’altra per le macchine esterne che cercano di accedere all’interno. • Una DMZ può essere creata tramite una ACL sul router di accesso alla LAN. Firewall Firewall 7 Vulnerabilità 8 Fattori di vulnerabilità La vulnerabilità di una rete è direttamente proporzionale al numero di macchine che la compongono. Il numero elevato di servizi di rete utilizzati L’esistenza di più punti di connessione della rete privata ad Internet La visibilità della struttura interna della rete La notorietà dell’organizzazione che utilizza la rete Rete interna Firewall 9 Approccio alla gestione della sicurezza • Concentrare la gestione della sicurezza in pochi punti, quelli in cui la rete è collegata ad Internet. Firewall 10 Meccanismi di firewalling • Packet filtering • Proxy service • Minimizzare l’interazione tra Internet macchine che compongono la rete privata. e le • Logging • Autenticazione di utente Firewall 11 Firewall 12 2 Packet filtering Packet filtering Meccanismo di sicurezza che agisce controllando e selezionando i dati che transitano da e verso una rete Il filtraggio avviene esaminando le intestazioni dei singoli pacchetti e non il loro contenuto applicativo Esame dei pacchetti in transito sul sistema che effettua il filtraggio Il software dei router decide se instradare i pacchetti attraverso la consultazione della tabella di routing La macchina che effettua queste operazioni è detta screening router Firewall 13 Metodi di filtraggio Trasparenza per gli utenti Riconosce attacchi di tipo IP-spoofing Analizza informazioni limitate • Service filtering: – analisi tipo di protocollo di trasporto usato – analisi numeri di porta logica – analisi del bit di ACK Alcuni protocolli non sono analizzabili col packet filtering 15 Proxy service Firewall 16 Proxy server Rilancia le richieste di servizio provenienti da Internet verso la rete interna e viceversa. I proxy server vengono usualmente installati su una delle macchine che realizzano il firewall che prende il nome di application gateway. Firewall 14 Vantaggi e svantaggi del packet filtering • Address filtering: – analisi indirizzo sorgente del pacchetto – analisi indirizzo destinazione del pacchetto Firewall Firewall 17 • Mantengono un singolo punto di transito da e verso Internet pur fornendo un collegamento apparente con tutti gli host della rete • Consentono anche a macchine isolate da un firewall di usufruire dei servizi di rete Firewall 18 3 Vantaggi e svantaggi del Proxy service Decisioni su quali richieste inoltrare rispettando il protocollo applicativo trattato. Logging Registrazione degli accessi per fornire importanti statistiche sull’uso della rete. Nei sistemi UNIX il logging è gestito dal daemon syslogd. Alcuni servizi si basano su protocolli per i quali non è possibile realizzare un proxy server. Non tutti i protocolli danno la possibilità di determinare facilmente quali operazioni siano effettivamente sicure. Firewall 19 Logging Un messaggio può essere: • ignorato • registrato su uno o più file • mandato al syslogd di un altro sistema • mandato a schermo Firewall 20 Vantaggi e svantaggi del logging Anche i proxy server possono essere utilizzati per generare dei file di log. Un proxy server, oltre a registrare i messaggi relativi a tutte le richieste di connessione, può registrare anche i comandi inviati e le risposte ricevute dal server. Un firewall dotato di appropriati meccanismi di allarme, può fornire dettagli su eventuali attacchi alla rete. I file di log sono inutili se non si utilizza uno strumento che ne faccia un’analisi automatica, in quanto molto spesso raggiungono dimensioni difficilmente gestibili. Il risultato è un insieme di file di log più utili e più leggibili rispetto a quello prodotto da uno screening router. Firewall 21 Firewall 22 Autenticazione One-time password Servizio che permette l’autenticazione mediante password di un utente. Una smartcard (carta intelligente) genera, a cadenza prestabilita o su richiesta dell’utente, una parola che il sistema accetta al posto della password tradizionale, in quanto è in grado di riprodurre la stessa azione effettuata dalla carta intelligente. Sono state progettate varie tecniche di autenticazione con la comune caratteristica che la password eventualmente sottratta non possa essere riutilizzata in una sessione successiva Firewall 23 Firewall 24 4 Bastion host Vantaggi e svantaggi dell’autenticazione Alcuni sistemi non permettono il riutilizzo della stessa password per accessi differenti. Se la password viaggia sulla rete, può essere carpita in un qualunque punto di transito. Firewall Questo nome deriva dal termine “bastione” che nel medioevo indicava un particolare punto delle fortificazioni di un castello che aveva lo scopo di respingere gli attacchi nemici. Un “bastion host” è un computer della rete particolarmente preparato a respingere attacchi contro la rete stessa. 25 Firewall Bastion host Bastion host • Viene posizionato dai progettisti nella prima linea di difesa, spesso rappresentata da uno “screening router” • Costituisce un punto nevralgico comunicazioni fra la rete e Internet 26 per tutte Firewall . le 27 Percorsi errati e corretti Firewall 28 Servizi Il bastion host è il punto più indicato per mettere a disposizione servizi come: • FTP • Gopher • HTTP • NNTP • Posta elettronica Firewall 29 Firewall 30 5 Servizi Unix Servizi Unix I servizi Unix necessariamente abilitati su un bastion host: • init, swap, page, per la gestione di tutti gli altri processi • NFS (nfsd, mountd) • NIS (ypserv, ypbind, ypupdated) • Servizi di booting (tftpd, bootd, bootpd) • Comandi remoti (rshd, rlogind, rexecd) • Fingerd • cron, per eseguire processi con periodicità definita • syslogd, per registrare messaggi di log dal kernel • inetd, per avviare alcuni servizi di rete se richiesti Firewall I servizi Unix da disabilitare sul bastion host: 31 Vantaggi e svantaggi dei bastion host Firewall 32 Vantaggi e svantaggi dei bastion host Accesso alla rete concentrato in un unico punto quindi più semplice da gestire ai fini della sicurezza Solo l’amministratore del sistema può essere registrato sul bastion host: la presenza di untenti generici rende il sistema più vulnerabile Software facile da configurare Attacchi di tipo password guessing Possibili errori di configurazione ed errori software se si offrono più servizi Firewall 33 Firewall 34 Dual-homed host Architetture di firewalling • Dual-homed host Calcolatore con almeno due interfacce di rete, che può agire come un router tra le due reti alle quali sono collegate le interfacce • Screened host Può essere utilizzato da firewall se posto tra una rete privata ed Internet • Screened subnet Firewall 35 Firewall 36 6 Screened host Screened host L’architettura “screened host” viene realizzata mediante più componenti fisici. L’elemento principale è uno s“ creening router” mentre i servizi vengono forniti da un bastion host. Architettura molto più elastica della precedente per la quale sono possibili due approcci: 1) Impedire tutti i tipi di connessione da e verso host interni; 2) Permettere ad alcuni host interni di aprire connessioni con Internet per servizi specifici; Questi due approcci possono essere anche combinati. Firewall 37 Firewall 38 Firewall 40 Screened subnet Architettura che utilizza due router che creano una rete compresa tra loro, detta rete perimetrale, su cui si trovano le macchine (bastion host) che forniscono i servizi, ad esempio l’application gateway e il server di posta elettronica Firewall 39 Tipi di attacchi Spoofing (Dall’inglese “spoof” = truffare, imbrogliare) - Sistema per cui un host invia dei pacchetti che sembrano provenire da un altro host • Spoofing • DoS (Denial of service) • DDoS (Distributed denial of service) Firewall Siccome il filtro dei pacchetti prende le decisioni in base all'indirizzo di provenienza, lo “spoofing” degli IP serve a far saltare i filtri sui pacchetti 41 Firewall 42 7 Esempio (DoS) Denial of Service Mandano in crash il sistema rendendo così necessario un reboot della macchina, sfruttando alcune lacune del TCP/IP. I DoS sono portati ad ogni tipo di computer connesso ad Internet. Uno degli effetti di un possibile attacco DoS è la comparsa sul proprio monitor della classica schermata blue, detta anche "the blue death screen". Firewall 43 Denial of Service 44 Attacchi DoS • Tutte le piattaforme sono potenzialmente a rischio • A seconda del tipo di attacco, esistono dei sistemi operativi maggiormente vulnerabili rispetto ad altri • Attualmente uno dei meno vulnerabili ai DoS é Linux Firewall Firewall 45 Smurfing Land attack Teardrop Bonk Ssping WinNuke Syn Flood ICMP Flood Firewall 46 Attacchi DoS Smurfing Sfruttano le debolezze e i bug di vari programmi software (TCP/IP principalmente) L’attacker spedisce un gran numero di richieste Ping broadcast a vari indirizzi di classe 'C'. Provocano un crash del sistema che non potrà più erogare i suoi servizi Tutti questi ping hanno un indirizzo di partenza falso, che coincide con quello di una terza macchina, reale oggetto di attacco. Generalmente al reboot della macchina tutto ritorna come prima Firewall 47 Questo porta ad un overload della macchina attaccata a causa del numero elevato di messaggi ricevuti. Firewall 48 8 Smurfing Land Attack PING ping 193.205.162.1 Source:193.205.162.11 Source:193.205.118.1 Target :193.205.162.1 193.205.118.1 2 1 SYN Source: 193.205.162.3 Target: 193.205.162.3 193.205.162.11 5 4 3 192.205.118.1 193.205.162.3 8 10 7 6 Firewall 9 49 Firewall 50 Syn Flood Syn Flood Una connessione client server in TCP/IP avviene attraverso il three-way-handshake. L’attacco Syn Flood sfrutta un ingenuità di TCP/IP nel trattare le connessioni “half open”, cioè quelle connesioni per le quali il server dopo il SYN non ha ancora ricevuto l’ACK dal client. Ogni server ha una struttura dati in cui salva tutte le connessioni “half open” in attesa che si complétino. Firewall 51 Firewall 52 Syn Flood ICMP Flood L’attacco viene portato inviando dal client solo messaggi SYN senza rispondere al SYN_ACK del server con un ACK Colpisce le connessioni modem facendole rallentare fino far cadere le connessione stessa dopo pochi secondi. Saturazione della struttura dati delle connessioni half-open e impossibilità di connessioni per altri client Sfrutta le vulnerabilità del modem stesso e non eventuali bug dello stack TCP/IP. L’unica soluzione possibile è l’adozione di un firewall da parte del proprio ISP. Firewall 53 Firewall 54 9 DDos (Distributed Denial os Services) 1996 Panyx Internet Provider. Si tratta di uno dei primi attacchi DDOS. L'attacco mise in crisi il sistema per più di una settimana rendendo impossibile l'uso del servizio a circa 7000 utenti. DDoS Buy.Com non era raggiungibile la mattina di lunedì 7 dicembre 2000, CNN ed eBay non lo erano nel pomeriggio, mentre Amazon e Zdnet sono rimasti isolati parecchie ore la notte di lunedì. Domenica 6 febbraio 2000: Yahoo, Inc. Interruzione per quasi 6 ore di un servizio usato da milioni di utenti ogni giorno. Durante quest'attacco sono stati saturati tutti i link del sito la cui capacità complessiva ammontava ad alcuni Gigabit. Firewall 55 Firewall 56 DDoS DDoS L’attacco consiste in un numero elevatissimo di false richieste da più macchine allo stesso server consumando le risorse di sistema e di rete del fornitore del servizio. L’attacco deve essere organizzato tempo prima per installare il software su tutte le macchine attaccanti. In questo modo il provider “affoga” letteralmente sotto le richieste e non è più in grado di erogare i propri servizi, risultando quindi irraggiungibile. Risalire ai colpevoli è difficile perché gli IP sono nascosti e si dovrebbe richiedere a diversi AS di ispezionare file di log. Si pensa ad azione portata dai Servizi Segreti Americani per l’approvazione più rapida della legge restrittiva (Electronic low enforcement). Firewall 57 Difesa da attacchi DoS • • • • 58 Network Incoming Filtering Gli ISP dovrebbero implementare dei filtri in ingresso sui propri router e firewall in modo da bloccare i pacchetti che contengano informazioni alterate riguardo la loro provenienza (in gergo Spoofed). Network Incoming Filtering Limit Network Traffic Intrusion Detection Systems Host Auditing Tools Firewall Firewall Si può risalire alla provenienza del pacchetto in maniera più semplice e veloce. 59 Firewall 60 10 Limit Network Traffic Intrusion Detection System Limitiamo la quantità di banda (QoS = Quality of Service) riservata ad un particolare servizio. Ci sono alcuni tool di rete molto utili per l’individuazione di eventuali attackers che sfuttano macchine della rete stessa come slave o master per un attacco. Possiamo per esempio fornire più banda a servizi web a scapito di altri servizi (ftp,rlogin……) Per attacchi di tipo ICMP,SYN etc basta limitare la banda utilizzabile da questi pacchetti. Firewall Il problema di questi tool è che essi sono creati per scoprire un attacco già conosciuto ma non possono nulla contro nuovi tipi di attacchi. 61 Host Auditing Tools Firewall 62 Statistiche su attacchi L’FBI fornisce un prodotto chiamato “find_ddos ” che cerca nel filesystem delle macchine su cui è installato, programmi per attacchi di tipo DDoS. 100 Formato binario per Linux e Solaris . 10 Nord L'assenza di sorgenti rende l'applicativo non controllabile e quindi potrebbe contenere delle backdoors . Firewall 63 Numero di domini Internet Est 1 4° Trim. 3° Trim. 2° Trim. 1° Trim. Firewall 64 Network security e Internet FBI Computer Crime e Security Survey 2000 Su un campione di 585 organizzazioni • ha subito violazioni nel 2000 il 70% (+8%) Su 273 che hanno dato una valutazione • il danno subito è pari a $265.586.240 100 http:\\www.gocsi.com 10 Nord Est 1 Firewall 65 Firewall 4° Trim. 3° Trim. 2° Trim. 1° Trim. 66 11 Network security e Internet Firewall Democratizzazione dell’hacking 67 Caso pratico: Sygate Personal Firewall Firewall 68 Caso pratico: Sygate Personal Firewall Ø Firewall freeware per utenza domestica e uffici. Noi vediamo la versione 4.2 (3.8 Mb) • Installazione Ø Sygate Firewall gira su: Windows95/98/Millennium2000 NT4 (sia Workstation che Server) e anche su XP • Gestione delle opzioni • Sygate Scan Ø Requisiti minimi di sistema sono processore 133 MhZ, 32 Mb di RAM 10 Mb di spazio libero su disco. Firewall 69 Caso pratico: Sygate Personal Firewall Firewall 70 Installazione di Sygate Personal Firewall L’installazione è molto semplice e richiede pochi istanti: Ø Il download di questo Firewall è possibile eseguirlo da due indirizzi diversi : http://www.sygate.com/ oppure http://www.sybergen.com/ Ø Il download di Guide (formato pdf) in inglese è al link: http://soho.sygate.com/support/userguides/pspf/pspf_quickstart.pdf per una guida sintetica (285 Kb) oppure http://soho.sygate.com/support/userguides/pspf/pspf42_userguide.pdf per una guida completa (880Kb) Firewall 71 Firewall 72 12 Installazione di Sygate Personal Firewall Installazione di Sygate Personal Firewall Estrazione dei file compressi: Firewall 73 Installazione di Sygate Personal Firewall Firewall 74 Installazione di Sygate Personal Firewall A questo punto l’installazione è finita e siamo costretti a riavviare il sistema. Firewall 75 Firewall 76 Uso di Sygate Personal Firewall Registrazione di Sygate Personal Firewall Dopo il riavvio troverete l'icona di Sygate in basso a destra vicino all'orologio. Dopo la registrazione : Doppio click e compare il modulo di registrazione. Potete registrarvi subito oppure rimandare il tutto… oppure?!?!!??! Nel menù Start Programmi troverete la consueta cartella: Firewall 77 Firewall 78 13 Opzioni di Sygate Personal Firewall Opzioni di Sygate Personal Firewall Per default Sygate viene caricato allo startup ma se vogliamo cambiare: Affinchè le regole impostate non siano cambiate qualcun altro è possibile impostare una password: Firewall Firewall 79 Opzioni di Sygate Personal Firewall Abbiamo detto che un firewall controlla il traffico in ingresso e in uscita da una macchina. Sygate lo fa in questo modo: 80 Avvisi di Sygate Personal Firewall Uno dei primi avvisi che possono verificarsi è questo: La nostra macchina sollecita il router con un messaggio ICMP. Questa è un’operazione innocua ma il nostro firewall non lo sa e così glielo diciamo spuntando la casella bianca in modo che esso possa ricordare che questa è una procedura che non crea problemi. Firewall 81 Firewall 82 Definiamo le regole Leggere la posta con Sygate Al passo precedente abbiamo semplicemente impostato una regola che il nostro firewall dovrà seguire. Vediamo cosa succede se vogliamo collegarci a google. Sygate si occupa di filtrare sia la posta in uscita (protocollo SMTP porta 25) che quella in ingresso (protocollo POP3 porta 110) Il discorso è lo stesso di prima.Da notare che una volta definita la regola non riceveremo più avvisi di questo tipo. Firewall 83 Firewall 84 14 Leggere le news con Sygate Live Update di Norton Antivirus Il protocollo usato per leggere le news è NNTP porta 119. Un altro esempio di avviso capita quando l’antivirus cerca di effettuare il live update, procedure molto utile e innocua. Il firewall può sembrare molto invadente ma una volta scelte le regole non saremo più infastiditi su ogni programma che cerca di utilizzare la rete. Firewall Anche qui possiamo spuntare la casella Remember. 85 Firewall 86 Verifica delle Regole Modifica regole Una volta impostate le regole possiamo visualizzarle ed eventualmente modificarle: Allow permette ad un’applicazione di avere libero accesso alla rete, ask indica che non è stata definita una regola e block indica accesso negato. Tasto destro del mouse Firewall 87 Firewall 88 Particolari di Sygate Particolari di Sygate Sygate usa tre colori per identificare l’azione corrente sul traffico sia in ingresso che in uscita. Vediamo nello specifico tutte le possibili combinazioni che si possono presentare: Rosso = Traffico bloccato dal firewall Blue = Traffico non bloccato dal firewall Grigio = Non c’è traffico in questa direzione Firewall 89 Firewall 90 15 Sygate Scan Sygate Scan Sygate Scan è un servizio molto utile di Sygate che permette di rilevare l’IP della nostra macchina ed effettuare uno scan delle porte per scongiurarne eventuali attacchi. Per chi non possedesse il firewall ci sono diverse opportunità di scan sul sito http://scan.sygatetech.com/ Firewall Firewall 91 Esempio Sygate Scan 92 Rilevare un attacco Se siamo attaccati da un intruso, come reagisce Sygate? Il seguente è un log… IP dell’intruso Firewall 93 Tasto destro del mouse per effettuare il BackTrace Traffico entrante Protocollo usato Indirizzo IP della nostra macchina Firewall 94 Back Tracing Caratteristiche di Sygate Il Backtracing ci permette di “risalire” all’identità di una persona a partire dal suo indirizzo IP. Cliccando du BackTrace la ricerca avviene automaticamente. Se vi interessano notizie sul firewalling di una macchina lontana su cui è installato Sygate potete impostare un invio periodico di un’email con i log della macchina. Se volete farlo da soli potete usare l’IP in uno di questi due siti per avere informazioni sull’identità. http://www.hazardous.org/fkr/whois -query.php oppure http://www.ripe.net/perl/whois Firewall 95 Firewall 96 16 Log Files Qual è il mio IP? Questo firewall mette a disposizione diversi log files divisi per categoria. Firewall 97 Conclusioni Firewall 98 Conclusioni ØCompromesso tra controllo servizi e loro utilizzo ØUn firewall può previene attacchi noti ØLogging e autenticazione importanti strumenti di protezione ØE’ comunque uno strumento di protezione parziale Firewall Nel menù Network è possibile vedere il proprio IP e settare il tipo di condivisione con altri utenti. 99 ØNon previene attacchi dall’interno della rete nè attacchi non ancora noti ØIntegriamo il firewall con applicazioni più specifiche e una giusta educazione dell’utente ØContinuo aggiornamento Firewall 100 Autori Firewall 101 17