Vedremo. Introduzione. Cosa sono i Firewall. Cosa sono i Firewall. Perché un Firewall? I FIREWALL I FIREWALL I FIREWALL I FIREWALL I FIREWALL

Transcript

1 Docente: Barbara Masucci Vedremo Cosa sono i Firewall Cosa fanno i Firewall Tipi di Firewall Due casi pratici: 1. IPCHAIN Per Linux 2. ZONE ALARM Per Windows 1 2 Introduzione Perché un Firewall? Oggi esistono connessioni permanenti ad internet In termini di sicurezza informatica, significa dotare il proprio sistema di una porta aperta verso il mondo. Esiste una categoria di utenti dedita al disturbo e alla violazione della privacy. CONTROLLO SICUREZZA VIGILANZA 3 4 Cosa sono i Firewall Cosa sono i Firewall I Firewall sono dispositivi hardware o software che permettono di proteggere e quindi filtrare traffico da e verso una L.A.N. Le architetture dei firewall sono molteplici Si possono combinare vari firewall che agiscono su livelli diversi dello stack TCP/IP 5 6 1

2 Stack TCP/IP Benefici dei Firewall Senza un firewall, ciascun calcolatore è esposto agli attacchi da altri calcolatori sulla rete esterna Definire dei "punti di soffocamento" (choke point) Alleviare la scarsità di indirizzi IP E un punto perfetto per monitorare l uso di Internet 7 8 Limiti dei Firewall Non proteggono da attacchi dall interno Collegamenti diretti bypassano la sicurezza Impotenti contro gli utenti senza esperienza Limiti dei Firewall Non proteggono contro le minacce delle "talpe Sono impotenti contro gli attacchi Social Engineering Non controllano i files infetti da virus 9 10 Modalità di funzionamento Un firewall può operare in due modalità diametralmente opposte: 1. Tutto ciò che non è specificatamente permesso è negato 2. Tutto ciò che non è specificatamente negato è permesso Modalità di funzionamento Tutto ciò che non è specificatamente permesso è negato Il firewall blocca tutto il traffico e ciascun servizio deve essere implementato caso per caso Lo svantaggio: si limita il numero di scelte disponibili all'utente

3 Modalità di funzionamento Tutto ciò che non è specificatamente negato è permesso Componenti di un Firewall Un firewall tipico è composto da uno o più dei seguenti blocchi: Il firewall inoltra tutto il traffico e ciascun servizio dannoso deve essere chiuso caso per caso Lo svantaggio: l amministratore di rete ha difficoltà sempre maggiore nell assicurare la sicurezza man mano che la rete cresce Packet-Filtering router Gateway a livello di applicazione (o Proxy Server) Gateway a livello di trasporto Si definisce una ZONA DI RISCHIO che include tutti gli Host direttamente accessibili attraverso la rete e che supportano il protocollo TCP/IP Il Packet-Filtering router è un mezzo per diminuire il livello di rischio Scherma i pacchetti dipendentemente dal tipo di protocollo, dall'indirizzo della sorgente e della destinazione e dai campi di controllo presenti nei pacchetti Generalmente viene posto tra due o più segmenti di rete Lavora scartando i pacchetti in base ai loro indirizzi sorgente, destinazione o guardando il numero della porta Internet Il filtraggio può essere effettuato all'interno, all'uscita o in entrambi i casi L'amministratore fa una lista delle macchine e dei servizi accettati e una lista delle macchine e dei servizi non accettati

4 Filtraggio dipendente dal servizio Filtraggio dipendente dal servizio - 2 Le regole di filtraggio dei pacchetti permettono a un router di consentire o negare il traffico relativo a un servizio specifico, poiché sono conosciuti i numeri di porta dei servizi TCP/ UDP Per esempio: per ridurre i collegamenti Telnet entranti, il router deve rifiutare tutti i pacchetti che contengono un valore di destination port TCP uguale a 23 and che non contengono il destination address IP di uno degli host autorizzati Filtraggio indipendente dal servizio Filtraggio indipendente dal servizio - 2 Esistono tipi di intrusioni che sono difficili da identificare sfruttando le informazioni base sull header del pacchetto perché gli attacchi sono indipendenti dal servizio Esempi di di attacchi sono: Attacchi che falsificano il source address IP Tali attacchi possono essere sconfitti scartando semplicemente ciascun pacchetto con una source address IP interno ma proveniente da una delle interfacce del router che sono rivolte verso l esterno Filtraggio indipendente dal servizio - 3 Filtraggio indipendente dal servizio - 4 Esempi di attacchi sono: Attacchi Source Routing Esempi di attacchi sono: Attacchi con piccoli frammenti Può essere sconfitto semplicemente scartando tutti i pacchetti che contengono source route nel campo option del datagramma IP Un attacco con piccoli frammenti può essere sconfitto scartando tutti i pacchetti in cui il campo protocol type sia pari a 6 (cioè TCP) and l IP fragment-offset sia pari ad

5 In conclusione: Il packet filtering non è uno strumento completo Servizi basati su RPC e NIS sono difficili da filtrare perché non sono disponibili su porte logiche prestabilite Il filtraggio è basato sull associazione porta logica / servizio Gateway a Livello Applicazione Applica una politica di sicurezza molto più severa di un packet filtering router Viene installato un programma mirato (un servizio proxy) sul gateway, per ogni applicazione desiderata Gateway a Livello Applicazione Se l'amministratore di rete non installa il programma proxy per un applicazione particolare, il servizio non è supportato e non può essere inoltrato attraverso il firewall Gateway a Livello Applicazione Agli utenti è permesso l accesso ai servizi proxy. Non è permesso mai fare login sul gateway a livello di applicazione Un intruso potrebbe ottenere un accesso root, installare un "Cavallo di Troia" per raccogliere le password e modificare i file di configurazione del firewall Bastion Host Bastion Host Un getaway a livello applicazione viene spesso chimato Bastion Host Rappresenta la macchina che viene posizionata in prima linea a difesa di una rete privata Il Bastion Host viene sempre associato a uno screening router

6 Bastion Host Le caratteristiche Benefici del Firewall a Livello Applicazione Unico calcolatore della nostra rete raggiungibile da internet 2. Host massiciamente protetto 3. Sistema operativo sicuro 4. Rimozione software non necessario 5. Rimozione dei compilatori 6. Proxy server in ambiente isolato (chrooting) 7. Read-only file system 8. Rrocess checker 9. Integry file system checker 10. Numero minimo dei servizi 11. Nessun account utente 12. Salvataggio e controllo dei log 13. Eliminazione dei servizi non fidati 14. Disattivazione del source routing 32 Controllo completo su ogni servizio Le regole di filtraggio sono molto più facili da configurare rispetto a quelle di un packet-filtering router Limiti del Firewall a Livello Applicazione Richiede o che gli utenti cambino le loro abitudini o che venga installato software specifico su ciascun sistema che accede ai servizi proxy. Gateway a Livello di Trasporto Ripete semplicemente le connessioni TCP senza elaborare o filtrare alcun pacchetto in più. La figura seguente illustra cosa succede ad una tipica connessione Telnet attraverso un gateway a livello di trasporto Gateway a Livello di Trasporto Gateway a Livello di Trasporto Il gateway ripete semplicemente la connessione Telnet attraverso il firewall ma non fa un ulteriore filtraggio o gestione del protocollo Telnet. Agisce come un filo, copiando i byte avanti e indietro tra la connessione interna e quella esterna

7 Architettura dei Firewall Dual Homed Host Le architetture principali di combinazioni tra router firewall proxy e bastion host, sono principalmente tre: 1. Dual Homed Host 2. Screening Host Firewall 3. Screening Subnet Firewall Calcolatore con due schede di rete, una che si collega alla alla rete interna, un' altra invece che si collega alla rete esterna Necessita la assoluta disabilitazione del routing Dual Homed Host Dual Homed Host Disabilitando la funzione di routing, si separa fisicamente i due segmenti di rete. La funzione principale è quella di instradare pacchetti a livello applicazione Se l'hacker ha un'account verso la rete locale, tutta la rete locale può essere soggetta a qualsiasi tipo di attcco. Se il firewall è distrutto è possibile che un hacker riscriva l'instradamento esponendo tutte le macchine della rete privata a un attacco Firewall Screened Host Firewall Screened Host rete interna firewall screening router internet Il collegamento a internet è assicurato dallo screening router che filtra i pacchetti sia in entrata che in uscita dalla rete. La sicurezza è determinata dal software che viene eseguito sul bastian host. Se un hacker ottiene un login sulla macchina avrà una vasta possibilità di attacchi verso la rete interna

8 Firewall Screened Subnet Rete interna screening router firewall screening router internet Firewall Screened Subnet Il primo screening router controlla il traffico della rete locale e il secondo monitorizza e controlla il traffico verso internet. E possibile configurare i due router in maniera tale da consentire il transito di traffico che si considera fidato tra Internet e la rete interna In Conclusione Un firewall, pur essendo uno strumento utile, fornisce un livello di protezione parziale. Un firewall deve essere integrato con lo sviluppo di applicazioni specifiche e con l educazione degli utenti. Un firewall ha bisogno di manutenzione ed aggiornamenti. IPCHAINS CATENE IP Cos è PACCHETTI IPCHAINS I messaggi che due stazioni si scambiano vengono divisi in pezzi (pacchetti) che vengono trasmessi indipendentemente l uno dall altro. IPFWADM 47 IPFW 48 8

9 Packet filtering. Cos è? Cosa fa? Un filtro di pacchetti è un programma che guarda l'intestazione dei pacchetti che passano e decide il destino dell'intero pacchetto. Potrebbe decidere di: proibire (deny) il pacchetto accettare (accept) il pacchetto rifiutare (reject) il pacchetto Perché? Controllo CONTROLLO Può permettere un certo tipo di traffico e proibirne dell'altro. SICUREZZA VIGILANZA Sicurezza Vigilanza Quando la propria macchina Linux è la sola cosa tra il caos di Internet e la propria bella e ordinata rete, è bene sapere che si può limitare quel che viene a bussare alla propria porta. Talvolta una macchina mal configurata in una rete locale decide di emettere pacchetti per il mondo esterno. È bene dire al filtro dei pacchetti di informarvi se succede qualcosa di anormale

10 IPCHAINS Lo strumento ipchains dialoga con il kernel e lo istruisce su quali pacchetti filtrare. CONCETTO DI REGOLA Una regola stabilisce il comportamento del filtro dei pacchetti in base all intestazione del pacchetto ricevuto Come passano i pacchetti attraverso i filtri Il kernel parte con tre elenchi di regole; questi elenchi sono detti firewall chains (catene firewall) o semplicemente chains (catene). Le tre catene predefinite sono chiamate rispettivamente: input (ingresso) output (uscita) forward (inoltro) Le catene -1 Una catena è una lista di regole. Ogni regola dice: «se l'intestazione del pacchetto è fatta così, allora questo è quello che si deve fare con il pacchetto» Le catene -2 POLITICA Se il pacchetto non soddisfa una regola, viene consultata la successiva regola nella catena. Alla fine, se non ci sono altre regole da consultare, il kernel guarda la policy (politica) della catena per decidere cosa fare. Azione che deve essere intrapresa quando un pacchetto corrisponde ad una regola

11 POLITICA: Comportamenti -1 POLITICA: Comportamenti -2 INTERNET LAN 61 ACCEPT 62 DENY POLITICA: Comportamenti 3 Test per mascherato, è PERCORSO verificare che il DI UN PACCHETTO pacchetto non sia corrotto Se il pacchetto è una risposta (reply) ad un precedente pacchetto smascherato e passa direttamente alla catena di output LOOPBACK 63 REJECT ICMP 64 C H E K S U M S A N I T Y Pacchetti danneggiati confondono il codice per il controllo delle regole e quindi sono qui rifiutati CATENA DI INPUT D E M A S Q U E R A D E ROUTING DECISION CATENA DI FORWARD CATENA DI OUTPUT PROCESSO LOCALE Catena attraversata da qualsiasi pacchetto che provi a passare attraverso questa macchina per andare verso un altra Prima catena firewall contro cui viene testato il pacchetto 65 PERCORSO pacchetto deve andare DI UN PACCHETTO C H E K S U M S A N I T Y Decide se questo ad un processo locale o inoltrato ad una macchina remota CATENA DI INPUT D E M A S Q U E R ROUTING DECISION A Processo locale: un D processo può ricevere E pacchetti dopo il passo di routing decision, e può inviare pacchetti alla catena di Sicurezza output su Reti - a.a 2002/2003 LOOPBACK CATENA DI FORWARD PROCESSO LOCALE Se i pacchetti hanno campo interfaccia impostato a lo ritornano attraverso la catena di input sempre con interfaccia impostata a lo CATENA DI OUTPUT Catena attraversata da qualsiasi pacchetto un attimo prima di essere spedito fuori 66 USO DI IPCHAIN Ci sono parecchie cose diverse che si possono fare con ipchains. Per prima cosa le operazioni per gestire intere catene. Si parte con tre catene predefinite input, output e forward che non possono essere cancellate. 11

12 SINTASSI Indicato attraverso un nome: input forward output Regole di filtraggio ipchains <opzione-di-comando> <filtro> <regola> <obiettivo> -N: creazione nuova chain -X: cancellazione chain vuota -P: cambio della politica di default -L: elenco di una rules. -F: cancellazione di tutte le rules -Z: azzeramento del contatore di byte e dei pacchetti. 67 -A: inserisce in coda una nuova regola -I: inserisce una nuova regola -R: rimpiazza una regola -D: cancella una regola -M-L: elenco delle connessioni mascherarte -M-S: impostazione del valore di timeout per masq. ACCEPT DENY REJECT REDIRECT MASQ RETURN (passa alla catena chiamante) 68 Esempio: voglio bloccare tutti i pacchetti che arrivano da un certo indirizzo ip della rete. La regola alla chains di input si basa su questi parametri: IP sorgente; IP destinazione; Porta sorgente; Porta di destinazione; Tipo di protocollo; Interfaccia; TCP SYN flag attivo La riga di comando ipchains -A input -p UDP s /24 -d 0/0 -j REJECT protocollo mittente destinatario Lanciando ipchains -L Creare una nuova catena La chiameremo test. ipchains -N test. Chain input (policy ACCEPT): target prot opt source destination ports REJECT udp pc2.mi.it anywhere any --- >any Si possono ora inserire le rules in test 69 Chain forward (policy ACCEPT): Chain output (policy ACCEPT): 70 ESEMPIO CANCELLARE UNA CATENA Si consideri un pacchetto TCP proveniente da e destinato a INPUT TEST REGOLA 1: -p ICMP -j Reject Regola 1: -s REGOLA 2: -p TCP -j Test Regola 2: -d REGOLA 3: -p UDP -j Deny ipchains -X <nomecatena> Non è possibile cancellare nessuna delle tre catene predefinite: Entra nella catena input e viene controllato rispetto alla Regola 1: non la soddisfa. Si passa alla Regola La Regola 2 è soddisfatta e il suo obiettivo è Test. Quindi la successiva regola a essere esaminata è la prima di Test. La Regola 1 in Test è soddisfatta ma non specifica un obiettivo, quindi la Regola 2 di Test sarà la prossima a essere esaminata. 3.Questa non è soddisfatta e si è così raggiunta la fine delle catena Test. Si ritorna alla catena input, dove l ultima regola esaminata era la Regola 2 e quindi ora si passa alla Regola 3, che non viene soddisfatta. 72 INPUT FORWARD OUTPUT 12

13 SVUOTARE UNA CATENA SPECIFICARE UN PROTOCOLLO 73 ipchains F <nomecatena> Se non si specifica una catena, saranno svuotate tutte le catene. 74 Il protocollo viene specificato con l'opzione `-p'. Nomi dei protocolli: TCP UDP ICMP I nomi dei protocolli possono essere preceduti da un `!' per negarli, con ad esempio `-p! TCP'. I codici più importanti dei pacchetti ICMP sono: 0 echo-reply : ping 3 destination-unreachable : traffico UDP/TCP 5 redirect : instradamento dei pacchetti 8 echo-request : ping 11 time-exceeded : traceroute COS E Un firewall windows gratuito e facile da usare per tenere al riparo il sistema da hacker o semplici intrusi che possono rubare informazioni personali PERCHE ZONEALARM? SEMPLICE INTUITIVO SEMPLICITA Tutto quello che serve per configurare e utilizzare il programma è incluso nella finestra a cui si può accedere facendo doppio clic sulla piccola icona che si crea sulla TRAYBAR, ovvero quella nell'angolo in basso a destra. GRATUTITO

14 Potete interrompere immediatamente qualsiasi comunicazione FINESTRA selezionando con DI il CONTROLLO mouse uno di questi due pulsanti FINESTRA DI CONTROLLO 79 Mostrano il flusso di dati in entrata e in uscita dal pc Sono le icone delle applicazioni che di volta in volta stanno effettuando trasferimenti di file da e verso il vostro sistema 80 Non appena aprite per la prima volta un'applicazione in grado di trasferire dati, il firewall vi chiederà come comportarsi, ovvero se lasciare che comunichi con l'esterno o meno CINQUE PULSANTI Indica se deve stare in primo piano durante la connessione a Internet della macchina Indica se ZoneAlarm deve essere attivato automaticamente in fase di avvio di Windows Indica se deve controllare automaticamente sul sito Internet del produttore la presenza di eventuali aggiornamenti LIVELLI DI SICUREZZA 83 Qui viene definito quanto deve essere rigida la barriera di difesa eretta dal firewall sia rispetto alla rete aziendale, sia nei confronti di Internet. 84 HIGH MEDIUM MINIMAL Prevede il blocco di tutto il traffico Internet quando si preme il pulsante INTERNET LOCK e blocca tutte le porte non usate dai programmi installati Prevede il blocco di tutto il traffico Internet quando si preme il pulsante INTERNET LOCK ma non blocca tutte le porte e lascia che il sistema sia visibile dall esterno E il livello più basso consentito: limita solo alcune applicazioni, consente l'accesso alle risorse condivise e permette il traffico di dati da e verso il pc 14

15 Qui vengono definiti quali programmi possono accedere alla rete quali no Le uniche informazioni riportate qui riguardano un elenco dei programmi che, secondo ZoneAlarm, possono trasferire file da e verso il computer ALLOW CONNECT Accanto alla lista dei programmi appare una tabellina con tre colonne: ALLOW CONNECT ALLOW SERVER PASS LOCK Come detto sopra, la prima volta che avviate un'applicazione che può trasferire dati da e verso la Rete il programma vi chiede se lasciare che queste operazioni avvengano o meno. Il punto interrogativo permette di settare la notifica di collegamento all avvio del programma ALLOW CONNECT ALLOW SERVER La spunta verde fa sì che l applicazione acceda a Internet senza ottenere nessuna conferma o notifica. La croce rossa invece non permette all applicazione di accedere a Internet Riguarda quelle applicazioni che sono in grado di ricevere chiamate dall'esterno, come per esempio le applicazioni di controllo remoto, gli http server e gli ftp server, impostando il segno di spunta autorizzate il normale trasferimento dei file

16 PASS LOCK Sono riassunti il numero di bytes mandati e ricevuti Serve per identificare le applicazioni che devono sempre rimanere attive: se impostate il blocco in concomitanza con il salva schermo, per esempio, le applicazioni contrassegnate come PASS LOCK rimarranno attive. Qui si può vedere l'ultima azione eseguita dal firewall, che riguarda il blocco di qualche tentativo di ingresso o di uscita di file non autorizzati. Insieme a una breve descrizione, vengono visualizzate anche la data e l'ora in cui l'azione è stata effettuata Questi sono i pulsanti che permettono di vedere tutte le azioni eseguite in precedenza, disposte in ordine temporale Queste segnalazioni in realtà per voi non sono una novità, dato che nel momento stesso in cui il firewall esegue un'azione di blocco segnala quanto avvenuto con una finestra gialla che si sovrappone alle altre aperte e che segnala tutto quello che poi viene riportato nella sezione ALERTS Con questo tasto avete potete connettervi al sito del produttore che vi darà maggiori informazioni sul tipo di azione intrapresa e sull indirizzo IP di chi vi ha attaccato Se vi dà fastidio essere interrotti di continuo dalle finestre gialle con i messaggi di errore, potete liberarvene eliminando il segno di spunta apposto qui. Qui viene cancellato l elenco delle azioni compiute dal firewall

17 Togliendo la spunta il firewall non memorizza nel file di Log le azioni intraprese Cancella il file di Log 97 17