Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Sicurezza architetturale, firewall

Transcript

1 Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Sicurezza architetturale, firewall Ing. Stefano Zanero

2 Indice L apertura delle reti ad Internet e i rischi Firewall: funzioni Tipologie principali di firewall Architettura a due livelli

3 Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Rischi sulla rete Da chi, e da cosa, ci difendiamo?

4 Un piccolo esperimento Linea ADSL connessa ad Internet, e connessa ad un hub con un IDS Win95 Win98 Internet Linux 2.2

5 I risultati? Primo attacco dopo meno di 10 minuti di connessione Sequenza di port scan, ma questo è il meno Tentativi ripetuti di connessione alla porta 23/TELNET, 25/SMTP, 110/POP3, 80/HTTP ICMP flood, ICMP redirect, tentativi di ARP Spoofing Principalmente attacchi da parte di script kiddies (chiaramente, nessun reale valore sulla rete) In totale 12 attacchi nelle prime 24 ore, e 38 attacchi in 5 giorni E stiamo parlando di una rete finta senza nessuna attrattiva!!!

6 Alcuni dei possibili tipi di attacco Attacchi DOS (Denial of Service) Rendere indisponibile un sistema: Flooding e DDOS (Distributed DOS) intasandone completamente le risorse, oppure DOS mirato a un servizio critico facendo crollare uno specifico servizio Penetrazione nel sistema (root) Acquisizione di privilegi non consentiti, e quindi Sottrazione di informazioni Piani industriali, brevetti alto valore! Utilizzo improprio del sistema Distribuzione materiale illegale, attacchi verso terzi Attacchi a livello di rete: sniffing, spoofing Infezioni da parte di virus Danni devastanti ogni anno per perdita di dati

7 Flusso di richieste dati false Come funziona un DOS? Denial of Service mediante flood: Comunicazione impossibile! legittima Client legittimo INTERNET Server aziendale Attacker

8 Variante: un DDOS Nel caso di un Distributed DOS (caso Yahoo!): Comunicazione impossibile! legittima Client legittimo INTERNET Richieste fasulle Yahoo! Comando di colpire Attacker Complici involontari

9 Sicurezza UNIX (1) Sistema progettato per ambienti multi-utente Dotato di meccanismi di autenticazione degli utenti (login) Accesso alle risorse e privilegi controllati a livello del sistema operativo Pensato per l utilizzo da remoto (servizi di rete) L identificazione degli utenti è fornita da LOGIN e PASSWORD Ogni utente appartiene a uno o più GRUPPI Ogni file e ogni dispositivo (connessioni, periferiche, ecc.) ha un insieme di permessi che ne regolano l uso da parte dell utente owner, da parte del gruppo owner, e da parte di chiunque altro: drwxr-xr-- user group file Questo per esempio significa che l utente user può leggere, scrivere ed eseguire il file, il gruppo group può leggere ed eseguire il file, e chiunque può leggere il file

10 Sicurezza UNIX (2) Un primo livello di sicurezza consiste nel garantire che chi accede al sistema sia riconoscibile Un secondo livello di sicurezza consiste nel garantire che possa accedere solo a file che gli sono permessi Unica eccezione l utente root che per definizione non rispetta nessun permesso. I demoni, o programmi residenti che offrono servizi di rete, rispettano anche loro queste restrizioni, in base ai privilegi degli utenti con cui vengono eseguiti (SUID: Saved User ID) Alcuni demoni devono essere eseguiti SUID root per una serie di motivi

11 Tipico meccanismo di exploit L idea che gli hacker provino a indovinare le password non è del tutto falsa, ma sicuramente è molto ingenua Non è possibile accedere al sistema se non fornendo login e password. Ma è vero? Ricordiamoci che i demoni offrono servizi di rete, a volte anche ad utenti non autenticati. Ricordiamoci che i demoni usano per le restrizioni il SUID, che a volte è root. Quindi un demone può avere un accesso non ristretto al sistema. Se si riesce a imbrogliare un demone e a fargli eseguire comandi al posto nostro, possiamo sfruttare il suo SUID e violare le restrizioni d accesso. Questo è il tipico meccanismo degli EXPLOIT

12 Difendersi dagli exploit Utilizzare solo software conosciuto e studiato a fondo Seguire le best practice durante l installazione Open source vs. close source: la relativa certezza dell analisi vs. la security through obscurity Le vulnerabilità vengono scoperte costantemente: il software deve essere aggiornato Qualsiasi sistema in rete è per definizione vulnerabile e deve essere costantemente controllato per segni di effrazione!

13 Sniffing Normalmente, una scheda di rete passa al sistema operativo solo il traffico destinato al singolo host Fare sniffing significa mettere la scheda di rete in modalità promiscua, facendo sì che capti tuttoiltrafficosulcavo Parziale soluzione: usare uno switch al posto di un hub Lo switch manda sul cavo solo il traffico destinato al singolo host DSniff: ARP spoofing MAC flooding Sniffing selettivo

14 Arpspoofing dsniff-2.3]#./arpspoof :4:43:f2:d8:1 ff:ff:ff:ff:ff:ff : arp reply C:\>test is-at 0:4:4e:f2:d8:1 0:4:43:f2:d8:1 ff:ff:ff:ff:ff:ff : arp reply C:\>arp -d is-at 0:4:4e:f2:d8:1 0:4:43:f2:d8:1 ff:ff:ff:ff:ff:ff : arp reply C:\>ping -n is-at 0:4:4e:f2:d8:1 0:4:43:f2:d8:1 ff:ff:ff:ff:ff:ff : arp reply Pinging with 32 bytes of data: is-at 0:4:4e:f2:d8:1 Reply from : bytes=32 time<10ms TTL=255 C:\>arp -a Interface: on Interface 2 Internet Address Physical Address Type e-f2-d8-01 dynamic dynamic C:\>arp -a Interface: on Interface 2 Internet Address Physical Address Type dynamic dynamic

15 MAC Flooding dsniff-2.3]#./macof > TCP D=55934 S=322 Syn Seq= Len=0 Win= > TCP D=44686 S=42409 Syn Seq= Len=0 Win= > TCP D=59038 S=21289 Syn Seq= Len=0 Win > TCP D=7519 S=34044 Syn Seq= Len=0 Win > TCP D=62807 S=53618 Syn Seq= Len=0 Win > TCP D=23929 S=51034 Syn Seq= Len=0 Wi > TCP D=1478 S=56820 Syn Seq= Len=0 Win= > TCP D=38433 S=31784 Syn Seq= Len=0 Win > TCP D=42232 S=31424 Syn Seq= Len=0 Win= > TCP D=56224 S=34492 Syn Seq= Len=0 Win= > TCP D=23840 S=45783 Syn Seq= Len= > TCP D=3453 S=4112 Syn Seq= Len=0 Win= > TCP D=12959 S=42911 Syn Seq= Len=0 W > TCP D=33377 S=31735 Syn Seq= Len=0 Win= > TCP D=26975 S=57485 Syn Seq= Len=0 Wi > TCP D=23135 S=55908 Syn Seq= Len=0 Wi > TCP D=54512 S=25534 Syn Seq= Len=0 Win= > TCP D=61311 S=43891 Syn Seq= Len=0 Win > TCP D=25959 S=956 Syn Seq= Len=0 Win= > TCP D=33931 S=1893 Syn Seq= Len=0 Win= > TCP D=43954 S=49355 Syn Seq= Len=0 Win > TCP D=61408 S=26921 Syn Seq= Len=0 Win= > TCP D=61968 S=53055 Syn Seq= Len=0 Win=512

16 Il riempimento della CAM table Dsniff (macof) può generare 155,000 entry sulle tabelle dei MAC address dello switch in un minuto Per come sono fatte le tabelle dei MAC address su uno switch, tipicamente possono contenere 128k indirizzi MAC (prova sperimentale: si riempie in circa 70 secondi) Quando viene riempita, le cached ARP response non funzionano più e lo switch deve inoltrare il traffico su TUTTA la rete, come un hub! > (broadcast) ARP C Who is , ? > (broadcast) ARP C Who is , ? > ICMP Echo request (ID: 256 Sequence number: 7424) OOPS > ICMP Echo reply (ID: 256 Sequence number: 7424) OOPS

17 Riferimenti web (in inglese)

18 Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Firewall: cos è e a cosa serve?

19 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico in transito Consente o nega il passaggio del traffico basandosi su una security policy Le sue funzioni: Verifica dei pacchetti in transito Mascheramento di indirizzi interni Blocco dei pacchetti pericolosi Come?

20 Il firewall come enforcement point reti esterne insicure altre reti Firewall Internet UNICO PUNTO DI CONTATTO rete privata sicura rete aziendale server stampante database client

21 Il firewall è un bastion host Application Space Kernel Space Hardened Unix/NT

22 Il firewall e il suo limite Il firewall controlla tutto e solo il traffico che lo attraversa In caso di intrusioni dall interno il firewall è impotente, in quanto il traffico non lo attraversa Se il traffico arriva su internet tramite un percorso non controllato (esempio: utente connesso via modem ) non c è modo per il firewall di controllarlo Il firewall è una macchina. Come tale, potrebbe essere violata. Deve essere la macchina meglio protetta e configurata della rete!

23 Policy di sicurezza Il firewall è un applicatore di regole, ed è valido solo quanto le regole che vengono configurate! Prima di configurare il firewall, serve una specifica ad alto livello della policy (politica) di sicurezza per la Intranet Policy di default deny : tutto viene bloccato, tranne ciò che è autorizzato Vedremo in seguito dei casi su come configurare i firewall per alcune Intranet aziendali tipiche

24 Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Firewall: le tecnologie

25 Tassonomia dei tipi di firewall Firewall che operano a network layer Packet Filtering Stateful Packet Filtering (tra network e transport) Firewall che operano ad application layer Circuit level firewalls (tra transport ed application) Application proxy firewalls

26 Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Firewall a livello di rete Packet filter Stateful firewall

27 Packet Filter Filtra i pacchetti soltanto sulla base delle informazioni nell header Indirizzo sorgente, indirizzo destinazione Porta sorgente, porta destinazione Tipo di protocollo Opzioni di protocollo Non si può tracciare la correlazione tra pacchetti in una trasmissione Non si possono nemmeno esaminare problemi a livello più alto ACL

28 Basandosi Cosasugli possiamo indirizzi, fare si possono con queste chiudere regole o? aprire il traffico da determinate sorgenti e verso determinate destinazioni Basandosi sui numeri di porta posso bloccare o permettere servizi noti Posso bloccare un protocollo Combinazioni dei precedenti Es.: se un pacchetto arriva sull interfaccia esterna ed ha un mittente della rete interna lo posso bloccare (spoofing) Es.: se un pacchetto arriva dalla rete del mio partner lo lascio accedere: pericoloso!

29 Screening Router Un packet filter gestisce solo le informazioni contenute nell header di network layer Le stesse informazioni sono tipicamente gestite da un ROUTER Funzione: instradare i pacchetti Posso fargli fare entrambe le cose Possibile problema di prestazioni Workstation Internet Internal Network Server screening router Desktop computer Workstation

30 Stateful (Dynamic) Packet Filtering Il tipo di regole è molto simile al precedente: sorgente, destinazione, porta, protocollo Si aggiunge lo stato, riproduzione della macchina a stati del TCP Es. A un pacchetto SYN deve corrispondere un SYN-ACK con determinati valori, qualsiasi altra risposta va scartata Se un pacchetto è una risposta legittima a una connessione già autorizzata, può passare Migliore espressività Deve tenere traccia delle connessioni: Possibili problemi di memoria Possibili problemi di performance

31 Stateful Packet Filtering: altri benefici Mediante questi algoritmi, i pacchetti di risposta dall esterno vengono autorizzati solo se inseriti in una comunicazione cominciata dall interno (default deny su tutto, ottimo!) Ispezione avanzata, che può ricostruire intere sessioni HTTP e FTP possono essere ricostruiti Application content filtering Posso decidere di bloccare, p.es., tutti i contenuti ActiveX nelle connessioni HTTP Può fare autenticazione sugli utenti interni (raro) Può fare accounting sulle connessioni Network Address Translation (NAT) Per nascondere gli indirizzi interni

32 Deframmentazione e options Pacchetti IP più grandi della MTU vengono frammentati Gli aggressori spesso usano la frammentazione per nascondere le loro intenzioni o per provocare errori IP fragment protection I pacchetti ICMP vengono deframmentati e analizzati (evita il large ICMP overflow) Deframmenta i pacchetti per controllarli Può aiutare a migliorare le performance Pacchetti con IP options devono essere sanitizzati o scartati Es. Source routing, ICMP redirection, ecc.

33 Gestione delle sessioni Chiamiamo sessione una transazione di scambio di dati tra due host su Internet Abbiamo due protocolli TCP (Transmission Control Protocol) UDP (User Datagram Protocol) TCP ha il concetto di connessione, UDP no, ma entrambi vengono usati per compiere delle sessioni! TCP, l abbiamo già visto, è connection-oriented, reliable, robusto Numeri di sequenza e di acknowledge Macchina a stati ben definita (open connection, data flow, retransmit, close connection) Meccanismo, implicito o esplicito, per gestire la congestione

34 Inizializzazione di sessione TCP con NAT DNS Lookup # Ack Flag Rete Interna Source Addr Destination Addr Source Port 1026 Destination Port 23 Initial Sequence # Syn Controlla se già esiste uno slot NAT. Se no, ne crea uno, dopo aver verificato impostazioni di NAT, regole, controlli, ACL, autenticazione, ecc. Firewall SPF Controlli effettuati: (Src IP, Src Port, Dest IP, Dest Port) Sequence number Effettua la NAT translation Internet Syn # TCP Header IP Header Syn-Ack Se il codice non fosse SYN-ACK il pacchetto verrebbe scartato Syn-Ack

35 La connessione continua Rete privata Internet Check for: (Src IP, Src Port, 1026 Dest IP, Dest Port) 23 check Sequence number check # 5 Ack Translation check Ack Flags check State check Data Flows Firewall SPF TCP Header IP Header

36 E nel caso di UDP? Protocollo privo di connessioni Efficiente, viene usato da vari servizi Servizi di rete: DNS Servizi dove le performance servono: VoIP H.323, streaming video Non si può chiudere a priori, ma difficile da rendere sicuro Esiste comunque il concetto di sessione, e si può usare per NAT e controlli

37 UDP e NAT intelligente Rete Privata Source Addr Destination Addr Source Port 1028 Come prima, il firewall cerca se esiste un nat slot, se no controlla i permessi e la configurazione e poi ne crea uno appropriato Internet Destination Port SPF Firewall # 4 Si considera una risposta un pacchetto che giunge dal destinatario entro un timeout configurabile (es. 2 minuti) UDP Header IP Header Controlli: (Src IP, Src Port, Dest IP, Dest Port ) Translation

38 Port Address Translation Condivisione di un singolo IP NAPT or PAT Se possibile, PAT usa la stessa porta. Altrimenti, cerca la prima porta disponibile nello stesso gruppo (0-511, , o ). Se non ne trova, prova a usare un altro IP, fino a esaurimento di porte e IP

39 Ispezione a application layer: FTP Nel caso di alcuni protocolli è necessaria una ispezione a livello applicativo dei contenuti Ad esempio, nel caso dell FTP, è necessaria per Preparare le connessioni dinamiche secondarie Tracciare le risposte ai comandi FTP Generare dati di log Effettuare conversioni con il NAT all interno del protocollo Preparazione delle connessioni dinamiche FTP usa canali secondari dinamici per le connessioni Vengono allocati per: Upload di file Download di file Comandi DIR, LS e simili

40 FTP in modalità standard Due canali Canale comandi inizializzato dal client Server Client Canale dati inizializzato dal server Connessioni outbound (client dietro il firewall) Devo poter effettuare la connessione outbound verso la porta 21 Devo aprire una porta temporanea inbound per la connessione dati Se uso NAT: il dispositivo NAT deve riconoscere il contenuto della connessione e aprire la porta Data port 20 Command port 21 Port 2010 Command port 2008 Data port 2010 Connessioni inbound (server dietro al firewall) Deve essere abilitata la porta 21 sempre Port 2010 OK Data Se al server è consentito iniziare connessioni, nessun altra regola Altrimenti, devo aprire una regola temporanea per la connessione outbound

41 FTP Server in modalità passiva Server Client Due canali, sia comandi sia dati, iniziati ENTRAMBI dal client Connessione outbound (client dietro il firewall) Se le connessioni verso l esterno sono consentite, tutto ok Altrimenti, deve venire aperta una porta per entrambe le connessioni verso l esterno Connessione inbound (server dietro il firewall) Deve venire aperta una porta temporanea Data port 1490 Command port 21 Passive? Passive OK Port 1490 Data Command port 2008 Data port 2010

42 RealNetworks RDT Mode Server Client Tre canali! Control connection (TCP) UDP data (UDP) UDP resend (UDP) Connessione outbound (client dietro al firewall) Se il traffico outbound è consentito, devo solo aprire la porta per UDP data Altrimenti devo anche aprire la porta per UDP resend e TCP control temporanee Connessione inbound (server dietro al firewall) Se il traffico outbound è consentito, deve essere aperta la porta per TCP control e una porta temporanea per UDP resend Se no, devo aprire anche una porta temporanea per UDP data TCP: Control Setup transport= x-real-rdt/udp client_port = 3057 server_port = 5000 UDP: Data UDP: Resend

43 Ispezione ad application layer FTP (2) Controlla la sequenza di comandi FTP sulla control connection, per evidenziare comportamenti anomali: Comandi troncati Comandi che terminano inaspettatamente Spoofing di risposte/comandi Editing del TCP stream Scambi di porte non valide Uso della pipeline nei comandi Generazione di log Generazione di un record di tutti i file trasferiti Registrazione dei motivi per cui l attivazione del canale secondario è fallita NAT dell indirizzo IP contenuto nell applicazione Il comando PORT contiene indirizzi IP che devono essere tradotti Application Inspection + NAT abilitano questo

44 Vantaggi di firewall packet filter Più veloci ed efficienti delle altre tecnologie Versatili e adattabili Possono supportare praticamente qualsiasi protocollo in modo trasparente Possono consentire l ispezione ad application layer Il loro livello di sicurezza, se ben configurati, è perfettamente equivalente a quello di tecnologie ad application layer

45 Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Firewall su Application Layer Circuit Firewall Application e Proxy Firewall

46 Circuit Firewall Fa un relay delle connessioni TCP Client si connette a una porta TCP del gateway, che si connette all indirizzo e alla porta del server In generale non c è ispezione del payload del traffico Creando per conto del client il circuito virtuale, controlla la connessione Legittimità dell handshake Non forwarda dati fino alla chiusura del 3-way handshake Controlla i pacchetti, che possono essere solo: Connection request, oppure Pacchetti che appartengono a connessione già attiva

47 Circuit Firewall Application Space Kernel Space?

48 Come funziona? Il firewall gestisce una tabella di connessioni valide, con: L indirizzo sorgente della connessione L indirizzo destinazione della connessione Lo stato della connessione: handshake, established, o closing I numeri di sequenza (ACK) L interfacciafisicadacui i pacchettientrano L interfaccia fisica da cui i pacchetti escono I dati vengono fatti passare se combaciano con una delle entry nella virtual circuit table Quando una connessione termina, viene rimossa la entry

49 RichiedeSOCKS: che vengano un esempio modificate Circuit le applicazioni Firewall (potreste aver visto le impostazioni) Sostituisce le richieste socket di libreria con delle chiamate simili Socket, connect, bind, etc. Le chiamate modificate si collegano col SOCKS firewall per effettuare le connessioni virtuali Può gestire TCP ma anche UDP e ICMP Non consente di lavorare a livello IP

50 Pro e contro dei Circuit Firewall Inizialmente limitati a TCP, possono essere estesi Spesso richiedono di modificare le applicazioni! Non validano payload e protocolli applicativi, possono essere molto veloci e performanti Tipicamente non fanno content inspection Niente URL filtering Non gestiscono autenticazione

51 Application Proxy Firewall Controlla che i dati siano validi anche a livello del protocollo applicativo Valida il protocollo in sé Valida oggetti con requisiti di sicurezza all interno del layer applicativo (per esempio password e richieste di servizi) Spesso non è del tutto trasparente all utente e/o alle applicazioni Richiede qualche modifica alle applicazioni, a parte eccezioni Richiede servizi proxy specifici per ogni protocollo applicativo Può effettuare autenticazione degli utenti e applicare politiche specifiche Viene spesso integrato con varie funzioni di filtraggio dei contenuti

52 Application proxy Packet Flow? Application Proxy Service Application Space Kernel Space

53 I proxy per la sicurezza I proxy presentano agli utenti un sottoinsieme ridotto e sanitizzato dei servizi offerti dal server Possono essere usati sia per difendere gli utenti interni che accedono a server esterni, che per difendere i server dall accesso di utenti esterni ( reverse proxy ) Serve un proxy diverso per ogni protocollo Solitamente vengono implementati su server che usano sistemi operativi general purpose, non su hw/sw dedicati Le performance non sono ottimali, il flusso applicativo viene ricostruito due volte Sono, di per sé, molto sicuri, ma essendo installati su un sistema generico possono essere vulnerabili agli stessi attacchi che affliggono quel sistema operativo

54 Un esempio di proxy HTTP DNS Lookup Public Network GET /index.html GET Proxy Client Application Protocol Analysis Proxy Server HTTP: Hypertext Transfer Protocol HTTP: HTTP: Line 1: HTTP/ Found HTTP: Line 2: Server: Netscape- Enterprise/2.01 HTTP: Line 3: Date: Tue, 08 May :52:20 GMT

55 Reverse proxy che difende un servizio external.foobar.com User Request to gw Server ftp gw.foobar.com Gatekeeper Router Authentication by gw Server Data Transfer gw.foobar.com DNS lookup Internal.foobar.com Re-routing to Application Server internal.foobar.com

56 FTP attraverso un server proxy <external.user: 63> ftp gw.foobar.com Connected to gw.foobar.com gw.foobar.com FTP server ready. After logging in, use site machine to connect to the desired machine. 220 Time is 1992/07/24 16:48:21 GMT Name (gw:user): user 331 Password required for user. Password: password_on_the_gatekeeper_server 230 User user logged in. Please select your host. Remote system type is UNIX. ftp> site internal.foobar.com 220 internal FTP server (NCC-1701) ready. ftp> user user 331 Password required for user. Password: password_on_internal 230 Welcome on this ftp server : user. ftp>

57 Telnet attraverso un server proxy <externalhost.user: 63> telnet gw.foobar.com Trying... Connected to gw.foobar.com. Escape character is ˆ]. Gw.foobar.com login: user Password: password_on_the_gatekeeper_server Host: internalhost.foobar.com Access authorized UNIX(r) System V Release 4.0 (itesec) login: user Password: password_on_the_final_station UNIX System V Release 4.0 AT&T NEWS3400 internalhost Copyright (c) 1984, 1986, 1987, 1988 AT&T All Rights Reserved Last login: Mon Jul 13 11:56:28 from someplace.foobar.com <internalhost.user: 346>

58 Vulnerabilità dei proxy Gran parte dei firewall ad application layer si basano fortemente sul sistema operativo: uso di NDIS, TCP/IP, WinSock, Win32 sotto Windows, uso delle librerie di sistema sotto Linux; uso delle librerie standard C e/o C++ Un bug in una delle librerie condivise può influire sul comportamento del proxy! Inoltre, i proxy tipicamente non si occupano dei contenuti degli header a livello più basso, i.e. di fronte a un proxy probabilmente è meglio disporre un packet filter Si può impostare il packet filter in modo da accettare le connessioni solo se originate dal proxy

59 Proxy e packet filter in cascata Internet Packet Filter internal network proxy Proxy Workstation Server Desktop computer Workstation

60 VantaggiProxy Firewall: vantaggi e svantaggi Logging Caching Autenticazione e autorizzazione Politiche basate su utenti/gruppi di utenti Mascheramento della struttura della rete (come NAT) Filtraggio su contenuti, su URL, ecc. Protezione per applicativi deboli Svantaggi Scalabilità problematica Servizi nuovi richiedono proxy nuovi Servizi custom richiedono proxy custom Modifiche sul client per il supporto

61 Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Architettura a due zone

62 Accesso alla LAN da Internet Nella maggioranza dei casi, le intranet aziendali presuppongono che la maggior parte degli utenti sia collocata all interno del firewall aziendale, e che quasi nessuna connessione giunga dall esterno Due problemi violano questo principio Utenti remoti che vogliono accedere a servizi pubblici dell azienda (web, FTP, invio di posta ) utenti remoti vogliono accedere alla rete aziendale attraverso Internet o una rete non sicura Esistono delle soluzioni per ciascuno dei problemi Architettura a due livelli della rete Reti private virtuali (VPN)

63 Struttura di una rete aziendale pre-internet RAS (Remote Access Service) Server Interni Utenti interni Utenti mobili (con modem) Esterno Datacenter server, DBMS, supercalcolatori, Periferiche di rete Interno (stampanti, )

64 Sicurezza prima di Internet Schema di sicurezza di una vecchia rete: Ciò che è interno è fidato Ciò che è esterno va autenticato RAS (Remote Access Service) Utenti mobili (con modem) Interno Esterno Autenticazione sui servizi RAS (Accesso Remoto), inizialmente con una semplice coppia login/password A volte a questo impianto basilare vengono aggiunti dei privilegi d accesso alle risorse, anche per gli utenti interni (già sui primi sistemi multiutente anni fa)

65 Osservazioni Nello scenario di rete che abbiamo presentato: I demoni offrono i loro servizi solo all interno, quindi solo ad utenti già autenticati A controllare l accesso dall esterno è un RAS, molto semplice e quindi difficile da imbrogliare I server di rete sono pochi e ben controllati Gli utenti sono ben addestrati all utilizzo del sistema UNIX Paradossalmente, le vecchie reti aziendali erano meno a rischio di quelle moderne! Bastava essere sicuri che nessuno potesse entrare via RAS con qualche password troppo banale Vi ricordate War Games (film)? Questi erano quei tempi eroici!

66 Con internet i problemi si complicano Al traffico precedente: interno per l interno dall esterno verso l interno (che viaggia ora attraverso Internet, non direttamente a un RAS) Si aggiungono: traffico dall interno verso l esterno (es. navigazione, mail degli utenti in lan) Traffico generato dai server societari: dall esterno verso i server (richiesta pagine web, mail in ingresso) Tra i server di front end e i server di back end (per es. ricerca dati sul DBMS) Il server web potrebbe avere zone riservate ai dipendenti (la intranet aziendale) e zone ad accesso libero

67 Osservazioni Per il traffico interno e i demoni sui server interni valgono le osservazioni fatte in precedenza! Attenzione però! L introduzione di piattaforme Windows e DOS nel lavoro di ufficio diminuisce la capacità tecnica degli utenti! Per il resto del traffico quelle quelle osservazioni non valgono: I demoni per definizione eseguono richieste di utenti non autenticati (pensate al demone del servizio web!) Gli accessi sono tanti e in continua crescita, sia per numero che per complessità L esigenza dell efficienza e dei tempi di servizio (time to serve / time to market) si fa sentire più che in una rete interna

68 Architettura di intranet a due zone Creazione di una rete semipubblica tra intranet e Internet (Zona Demilitarizzata, DMZ) Idea di base: gli utenti esterni possono accedere alla DMZ (limitatamente ai servizi disponibili). Le risorse interne restano nella zona privata e non sono accessibili. Nella DMZ si ospitano i server pubblici (sito Web, server FTP, DNS, mailserver in ingresso...) che non erogano applicazioni critiche per l azienda Si usano due firewall dual-homed (o due router) per dividere le zone. In alternativa, un singolo firewall a tre vie (o più) La zona demilitarizzata è una zona ad altissimo rischio. Le comunicazioni in arrivo dalla DMZ vanno considerate inaffidabili quanto quelle esterne.

69 Architettura a due zone intranet SMTP Server (intake) external Web server SMTP Server (outgoin g) internal Web server DB server... mobile users Ethernet 100 Mbps Ethernet 100 Mbps... trusted customers Internet External Firewall FTP server Internal Firewall HTTP proxy... internal users DMZ PRIVATE

70 Architettura a due zone (con firewall a tre vie) SMTP Server (intake) external Web server Ethernet 100 Mbps DMZ... mobile users... Internet Firewall a tre vie SMTP (outgoing) FTP server Int. Web server DB server trusted customers Ethernet 100 Mbps PRIVATE Proxy internal users