I Sistemi Firewall CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano

Transcript

1 Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione Politecnico di Milano I Sistemi Firewall CEFRIEL Politecnico di Milano

2 I sistemi Firewall I sistemi firewall sono utilizzati per proteggere le reti da eventuali attacchi Se solo un server fosse mal configurato, potrebbe rappresentare un punto debole da attaccare facilmente per entrare all interno della rete - 2 -

3 I firewall e le policy Il sistema firewall lavora a stretto contatto con la creazione di una policy, che deve essere definita: bisogna avere ben chiaro che cosa il firewall può filtrare o può lasciar passare - 3 -

4 Tipologie di filtraggio IP-firewall: controllo a livello 3 Network Tutte le informazioni nel pacchetto verranno utilizzate per l analisi Transport level firewall: utilizziamo il protocolllo TCP Application level firewall: lavoriamo a livello di singola applicazione - 4 -

5 Progettazione di una rete In fase di progettazione di una rete da coprire, è opportuno suddividere essa in almeno 3 zone: Rete Interna Rete Esterna DMZ (Demilitarized Zone) - 5 -

6 Le interfacce e i livelli di sicurezza (1) Ogni interfaccia ha un proprio livello di sicurezza L accesso alla rete interna è quello che maggiormente sarà sottoposto a verifiche Si suppone che nella rete interna ci siano risorse assolutamente private - 6 -

7 Le interfacce e i livelli di sicurezza (2) Nella zona DMZ, verranno posti i server delicati, cioè quelli che registrano molte connessioni giornaliere provenienti dall esterno della rete Ricordiamo che l accesso da un interfaccia sicura, ad una meno sicura è sempre permesso, il contrario no Inside DMZ OK DMZ Inside NO Outside Inside NO Inside Outside OK - 7 -

8 Bypass dei livelli di sicurezza Di default un firewall BLOCCA tutte le connessioni che dall interfaccia outside entrano nell inside (da una meno sicura ad una più sicura) Bisogna esplicitare l accesso attraverso le righe di un access-list - 8 -

9 Firewall e routing Il firewall non fa routing Non è in grado di gestire i protocolli di routing Bisogna dichiarare delle rotte statiche - 9 -

10 Metodi di ispezione del pacchetto Quando su un router si crea un access-list bisogna fare attenzione sia al percorso del percorso di andata sia a quello di ritorno Il firewall invece, nel momento in cui si vede attraversare dal pacchetto che dall host A si dirige verso l host B, si comporta in questo modo: Ricordiamo che il firewall blocca tutto di default Supponiamo che abbia esplicitato una riga di ACL sul firewall per permettere il traffico da A a B Il firewall tiene memoria della connessione di andata e apre un buco temporaneo per il pacchetto di ritorno

11 ASA (adaptive security algorithm) Tale operazione è meglio conosciuta come ASA e permette al firewall di analizzare molto più dettagliatamente di un ACL di un router l informazione che transita attraverso esso

12 Rotta di default e statiche (1) Abbiamo detto che il firewall NON è capace di fare routing E necessario stabilire delle rotte statiche per indirizzare i pacchetti Nel caso in cui si voglia creare una rotta di default, digito i seguenti comandi: route outside In questo modo comunico che il mio defaultgateway è la macchina che dista 1 hop da me

13 Rotta di default e statiche (2) La rotta appena creata, come si poteva notare dalla parola outside, è valida per i pacchetti che transitano in uscita dall interfaccia outside Si esegue l operazione in maniera identica per settare una rotta per il traffico in uscita dalla inside

14 PIX e abbreviazioni da riga di comando Il PIX NON offre il tasto TAB per autocompletare i comandi inseriti Riesce però a gestire le abbreviazioni Si tratta quindi di un autocompletamento Interno, che NON viene mostrato a video Posso scrivere Firewall#write mem!!! Comportamento identico nel router

15 Logica di programmazione Anche nel firewall PIX, come per il router e lo switch, esiste la stessa logica di comandi e la stessa logica di divisione in livelli di programmazione A seconda del livello in cui ci troviamo, abbiamo determinati diritti Tuttavia il comando show config,e molti comandi di show,si possono digitare da qualsiasi menù Firewall(config)#show config OK!!!!!

16 Specifiche dei livelli di programmazione Come per il router, il primo livello di programmazione prende il nome di User mode Privilege mode Global Configuration Mode» Ecc

17 Password di enable Quindi è consigliabile gestire da password il passaggio da User mode al Privilege mode, attraverso la password di enable: pixfirewall> enable Password: pixfirewall# enable password cisco pixfirewall# write terminal Building configuration enable password 2oifudsaoid.9ff encrypted

18 Esempio di configurazione

19 Esempio di configurazione PIX Version 5.1(2) nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 intf2 security10 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall fixup protocol ftp 21 fixup protocol http 80 fixup protocol h fixup protocol rsh 514 fixup protocol smtp 25 fixup protocol sqlnet

20 Esempio di configurazione names pager lines 24 logging on no logging timestamp no logging standby no logging console no logging monitor logging buffered debugging no logging trap no logging history logging facility 20 logging queue

21 Esempio di configurazione... interface ethernet0 auto interface ethernet1 auto interface ethernet2 100full mtu outside 1500 mtu inside 1500 mtu intf ip address outside ip address inside ip address intf

22 Esempio di configurazione... global (outside) netmask nat (inside) route outside

23 Le specifiche dei livelli di sicurezza (1) Riprendiamo questa riga di configurazione: PIX Version 5.1(2) nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 intf2 security10 Vediamo che sono stati assegnati degli identificativi di sicurezza alle singole interfacce Più il numero è alto (security 100), più l interfaccia deve essere protetta

24 Le specifiche dei livelli di sicurezza (2) Ricordiamo che: Inside DMZ OK DMZ Inside NO Outside Inside NO Inside Outside OK DMZ Outside OK Outside DMZ NO L interfaccia DMZ, per noi potrebbe tranquillamente essere quella chiamata Intf2, che ha un livello di sicurezza intermedio

25 Permettere accesso ad un server interno (1) Internet Rete interna Server interno FireWall

26 Permettere accesso ad un server interno (2) Come avremmo ragionato se avessimo avuto un router come filtro della connessione? Avremmo aggiunto una riga di access-list opportuna nella configurazione di esso

27 Il comando static (1) Nel firewall bisogna effettuare un operazione preliminare: LA MAPPATURA STATICA DELL INDIRIZZO DA PROTEGGERE Ricordiamo che il firewall NON fa routing Al massimo abbiamo configurato delle rotte statiche

28 Il comando static (2) Il comando static prevede la seguente sintassi: static (inside, outside) In questo caso, per connessioni che provengono dall interfaccia outside, verso la inside, la mappatura dell host da contattare è la seguente: La macchina all esterno viene vista con l indirizzo ip , mentre realmente nella rete ha l indirizzo

29 L access-list Ora abbiamo bisogno di inserire una riga di accesslist per permettere questo tipo di traffico Access-list outside_in permit TCP any access-group outside_in in interface outside Notiamo che a differenza del router, dopo l indirizzo ip, sia esso sorgente o destinazione, c è la Subnet Mask e NON la Wildcard

30 Firewall e ACL Il firewall nasce come strumento per proteggere la rete da intrusioni indesiderate E uno strumento hardware che riesce ad arrivare a filtrare i dati fino al livello applicazione Abbiamo visto che il router, con le ACL estese, può raggiungere al massimo il livello 4 di trasporto Access-list 101 permit TCP any any eq

31 Firewall Vs. Router: logica di filtraggio Il router, NON nasce per filtrare ma per RUOTARE i pacchetti Le ACL tuttavia sono un ottimo strumento di protezione della propria rete Il router, di default, PERMETTE tutto il traffico di rete, a meno che non si specifichi una riga di ACL Il firewall ragione in termini completamente opposti

32 Concetto di Access List nel firewall Anche nel firewall è utilizzato il concetto di ACL, ma senza la distinzione tra estese e standard access-list 90 permit ip SONO TUTTE ESTESE! Anche nel firewall l ACL deve essere applicata ad un interfaccia in ingresso o in uscita access-group 101 in interface outside

33 NAT e PAT Il concetto di NAT (Network Address Translation) è fondamentale in una pianificazione della politica di sicurezza di un ente Il NAT permette di avere una traduzione del mio indirizzo ip reale (solitamente un privato) in uno ruotabile su internet

34 Principio di funzionamento del NAT Solitamente, una delle possibili configurazioni del firewall pix è dettata dal fatto che l indirizzo raggiungibile dall esterno di una rete, sia esclusivamente quello dell interfaccia esterna del pix Rete interna /24 Server interno FireWall Internet

35 NAT: esempio pratico Per fare questo, digitare i seguenti comandi: nat (inside) In questo modo stabiliamo sul pix che TUTTI i pacchetti che provengono dall interfaccia inside, subiranno un processo di NATTING a cui diamo l etichetta

36 Configurazione del NAT: il comando global Ma il comando che configura il NAT non basta Bisogna comunicare al firewall che in uscita, il pacchetto che proveniva dall interfaccia Inside, e si dirige verso un altra interfaccia, deve essere mutato in un nuovo IP global (outside) netmask In questo caso gestiamo i pacchetti destinati all interfaccia outside NOTIAMO lo stesso ID (nel nostro caso 1 )sia per il comando NAT che per il comando GLOBAL

37 Disabilitare il NAT di un firewall Per disabilitare il NAT di un firewall, digitare il seguente comando nat (inside) 0 access-list 101 L elemento che elimina il nat è l identificativo 0 della riga In questo modo disabilito il NAT per le macchine che soddisfano almeno una riga dell access-list di riferimento NOTIAMO che NON è necessario il comando GLOBAL

38 Coesistenza di NAT 0 e NAT 1 Possiamo far coesistere le due cose: access-list 101 permit ip global (outside) netmask nat (inside) 0 access-list 101 nat (inside)

39 Assegnazione indirizzo ip alle interfacce ip address outside ip address inside

40 The End...buon lavoro!