Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall"

Marianna Beretta
8 anni fa
Visualizzazioni

1 I firewall

2 Perché i firewall sono necessari Le reti odierne hanno topologie complesse LAN (local area networks) WAN (wide area networks) Accesso a Internet Le politiche di accesso cambiano a seconda della topologia della rete, della direzione della connessione, del servizio a cui si accede ecc 2

Internet Le politiche di accesso cambiano a seconda della topologia

3 I firewall Sicurezza nelle applicazioni multimediali: lezione 9, firewall Un firewall è una «barriera» attraverso cui deve passare tutto il traffico da/verso una rete che deve essere protetta Scopi eterogenei, ad es Bloccare gli attacchi provenienti dall esterno Impedire agli utenti della rete di collegarsi a siti pericolosi Bloccare alcuni protocolli, ad es. quelli di file sharing 3

protetta Scopi eterogenei, ad es Bloccare gli attacchi provenienti dall esterno Impedire agli

4 Caratteristiche fondamentali dei fw Tutto il traffico, da e verso la rete da proteggere, passa attraverso il firewall Solo il traffico autorizzato può passare Il firewall è un sistema sicuro 4

5 Limiti dei firewall Un firewall non può: Proteggere la rete da attacchi che aggirano il firewall (es. una connessione dial-up, un access point wifi aperto) Proteggere dalle minacce interne (ad es. un utente della rete interna che divulga dati riservati) Proteggere da dispositivi mobili infettati all esterno e poi collegati alla rete interna 5

una connessione dial-up, un access point wifi aperto) Proteggere dalle minacce

6 Tipi di firewall Sicurezza nelle applicazioni multimediali: lezione 9, firewall I firewall si possono distinguere in base al livello a cui operano Firewall a filtraggio di pacchetto (packet filtering fw) Firewall «stateful» Firewall a livello applicativo (application proxy) Firewall a livello di circuito (circuit-level proxy) 6

filtraggio di pacchetto (packet filtering fw) Firewall «stateful» Firewall a

7 Packet filtering Il fw analizza gli header di ogni pacchetto IP in transito: Indirizzi IP sorgente e destinazione Protocollo di trasporto incapsulato (ad es. TCP o UDP) Porte sorgente e destinazione del protocollo di trasporto Interfaccia di arrivo e di inoltro del traffico 7

8 Packet filtering / 2 La configurazione del firewall prevede la definizione di una policy di base (blocca/inoltra) e una serie di regole specifiche. Ad es Azione Src addr Src port Dst addr Dst port flags Allow x * * * * Allow * * x * ACK Block * * Allow * * * Default policy: block 8

Ad es Azione Src addr Src port Dst addr Dst port flags Allow 192.168.0.

9 PF: vantaggi e svantaggi Pro: concettualmente semplice, trasparente all utente, molto veloce Contro: Nessun controllo sui livelli più alti, quindi non può prevenire attacchi che sfruttino vulnerabilità di alto livello Per lo stesso motivo, non c è alcun controllo sugli utenti Potenziale vulnerabilità ad attacchi che sfruttino problemi dello stack TCP/IP (ad es. address spoofing) Le regole possono essere molte ed è facile commettere errori di configurazione 9

lo stesso motivo, non c è alcun controllo sugli utenti Potenziale vulnerabilità ad attacchi che sfruttino problemi

10 Esempi di attacchi a un PF-fw e contromisure IP address spoofing Bloccare i pacchetti provenienti da un interfaccia esterna e con indirizzo IP interno Fragment attack Bloccare i frammenti iniziali troppo piccoli 10

un interfaccia esterna e con indirizzo IP interno

11 Stateful inspection firewall Come un PF firewall, ma in più tiene traccia di tutte le connessioni TCP aperte da/verso l esterno. Modella esplicitamente il concetto di sessione TCP e permette di definire delle regole su tale base. Ad es: accettare automaticamente tutti i pacchetti di «ritorno» di una sessione TCP precedentemente autorizzata. 11

Modella esplicitamente il concetto di sessione TCP e permette di definire delle regole

12 Application Proxy Non si ha più una connessione diretta tra macchina interna ed esterna alla rete, ma due connessioni separate. Il proxy lavora a livello di applicazione (ad es. HTTP, FTP, ecc ), riceve richieste secondo questi protocolli e le inoltra o le blocca, a seconda della configurazione I client sono forzati a passare attraverso il proxy, l accesso diretto a server esterni è bloccato 12

HTTP, FTP, ecc ), riceve richieste secondo questi protocolli e le inoltra o le blocca, a seconda

13 Application proxy: vantaggi e svantaggi Pro Permette di definire delle regole molto «potenti», specifiche per un determinato protocollo (ad es. blocca le potenziali immagini pornografiche in una pagina web ) Contro Meno veloci di un semplice PF È necessario un proxy per ogni protocollo applicativo che si vuole supportare 13

blocca le potenziali immagini pornografiche in una pagina web ) Contro Meno

14 Circuit-level proxy A metà tra i fw stateful e gli application proxy. Come negli application proxy non c è una comunicazione TCP diretta, ma non viene fatto nessun controllo a livello applicativo. Similmente ai fw stateful, si può solo stabilire se una connessione va aperta o meno. Esempio più noto: SOCKS proxy 14

viene fatto nessun controllo a livello applicativo.

15 Scelta del dispositivo su cui installare il fw Bastion host: un sistema estremamente protetto, che gestisce il minor numero di servizi possibili (tipicamente, solo il firewall) Host-based firewall: firewall per la protezione di una singola macchina. Non inoltra pacchetti ad altre macchine della rete Personal firewall: gestisce una lista di applicazioni in esecuzione con i relativi permessi di accesso alla rete, ad es. per bloccare la trasmissione di dati da parte di virus o malware 15

16 Posizionamento dei bastion host nella rete La configurazione più semplice: un singolo firewall tra la rete interna e quella esterna 16

17 Posizionamento dei bastion host nella rete Creazione di una DMZ (demilitarized zone): mediante due firewall (o un firewall con due interfacce) si definisce una zona intermedia in cui posizionare i server della LAN che devono offrire servizi all esterno. 17

due interfacce) si definisce una zona intermedia in cui

Documenti analoghi

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Università degli Studi di Pisa Dipartimento di Informatica NAT & Firewalls 1 NAT(NETWORK ADDRESS TRANSLATION) MOTIVAZIONI NAT(Network Address Translation) = Tecnica di filtraggio di pacchetti IP con sostituzione