Sommario. Che cos è un firewall? Introduzione ai firewall. A cosa serve un firewall? Servizi e regole

Transcript

1 Corso di Sicurezza su Reti Prof. : Alfredo De Santis Relatori: Pisani Giovanni Lucibello Ferrigno Giuseppe Conclusioni Firewall 2 Firewall 1 Sommario Introduzione ai firewall Meccanismi di firewalling Bastion Host Architetture di firewalling Tipi di attacchi Difesa da attacchi DoS Statistiche su attacchi Caso Pratico: Sygate Personal Firewall Introduzione ai firewall Che cos è un firewall Servizi e regole Fattori di vulnerabilità Che cos è un firewall? Un firewall (muro di fuoco) è essenzialmente un meccanismo di protezione per i computer e i servizi di una rete privata. copia astaro Firewall 3 Firewall 4 A cosa serve un firewall? Servizi e regole Definire regole di accesso alla rete Mettere in atto politiche di sicurezza complesse Autenticazione basati su tecniche crittografiche Regole da seguire Dati rifiutati Dati accettati Dati in ingresso Firewall 5 Firewall 6

2 ACL (Access Control List) Traduzione di una regola di filtraggio dei pacchetti su di un router. Per ogni servizio (Telnet, Ftp, ecc.) ci sono almeno due ACL, una riguardante le macchine interne alla LAN che tentano di usare tale servizio verso l esterno, l altra per le macchine esterne che cercano di accedere all interno. DMZ (Demilitarized Zone) E l interfaccia del firewall su cui normalmente non passano dati né in entrata né in uscita. Una DMZ può essere creata tramite una ACL sul router di accesso alla LAN. Firewall 7 Firewall 8 Vulnerabilità La vulnerabilità di una rete è direttamente proporzionale al numero di macchine che la compongono. Fattori di vulnerabilità Il numero elevato di servizi di rete utilizzati L esistenza di più punti di connessione della rete privata ad Internet La visibilità della struttura interna della rete La notorietà dell organizzazione che utilizza la rete Rete interna Firewall 9 Firewall 10 Approccio alla gestione della sicurezza Concentrare la gestione della sicurezza in pochi punti, quelli in cui la rete è collegata ad Internet. Minimizzare l interazione tra Internet e le macchine che compongono la rete privata. Meccanismi di firewalling Packet filtering Proxy service Logging Autenticazione di utente Firewall 11 Firewall 12

3 Packet filtering Meccanismo di sicurezza che agisce controllando e selezionando i dati che transitano da e verso una rete Esame dei pacchetti in transito sul sistema che effettua il filtraggio Packet filtering Il filtraggio avviene esaminando le intestazioni dei singoli pacchetti e non il loro contenuto applicativo Il software dei router decide se instradare i pacchetti attraverso la consultazione della tabella di routing La macchina che effettua queste operazioni è detta screening router Firewall 13 Firewall 14 Metodi di filtraggio Vantaggi e svantaggi del packet filtering Address filtering: analisi indirizzo sorgente del pacchetto analisi indirizzo destinazione del pacchetto Trasparenza per gli utenti Riconosce attacchi di tipo IP-spoofing Service filtering: analisi tipo di protocollo di trasporto usato analisi numeri di porta logica analisi del bit di ACK Analizza informazioni limitate Alcuni protocolli non sono analizzabili col packet filtering Firewall 15 Firewall 16 Proxy service Rilancia le richieste di servizio provenienti da Internet verso la rete interna e viceversa. I proxy server vengono usualmente installati su una delle macchine che realizzano il firewall che prende il nome di application gateway. Mantengono un singolo punto di transito da e verso Internet pur fornendo un collegamento apparente con tutti gli host della rete Consentono anche a macchine isolate da un firewall di usufruire dei servizi di rete Proxy server Firewall 17 Firewall 18

4 Vantaggi e svantaggi del Proxy service Decisioni su quali richieste inoltrare rispettando il protocollo applicativo trattato. Alcuni servizi si basano su protocolli per i quali non è possibile realizzare un proxy server. Non tutti i protocolli danno la possibilità di determinare facilmente quali operazioni siano effettivamente sicure. Logging Registrazione degli accessi per fornire importanti statistiche sull uso della rete. Nei sistemi UNIX il logging è gestito dal daemon syslogd. Un messaggio può essere: ignorato registrato su uno o più file mandato al syslogd di un altro sistema mandato a schermo Firewall 19 Firewall 20 Logging Vantaggi e svantaggi del logging Anche i proxy server possono essere utilizzati per generare dei file di log. Un proxy server, oltre a registrare i messaggi relativi a tutte le richieste di connessione, può registrare anche i comandi inviati e le risposte ricevute dal server. Il risultato è un insieme di file di log più utili e più leggibili rispetto a quello prodotto da uno screening router. Un firewall dotato di appropriati meccanismi di allarme, può fornire dettagli su eventuali attacchi alla rete. I file di log sono inutili se non si utilizza uno strumento che ne faccia un analisi automatica, in quanto molto spesso raggiungono dimensioni difficilmente gestibili. Firewall 21 Firewall 22 Autenticazione Servizio che permette l autenticazione mediante password di un utente. Sono state progettate varie tecniche di autenticazione con la comune caratteristica che la password eventualmente sottratta non possa essere riutilizzata in una sessione successiva One-time password Una smartcard (carta intelligente) genera, a cadenza prestabilita o su richiesta dell utente, una parola che il sistema accetta al posto della password tradizionale, in quanto è in grado di riprodurre la stessa azione effettuata dalla carta intelligente. Firewall 23 Firewall 24

5 Vantaggi e svantaggi dell autenticazione Alcuni sistemi non permettono il riutilizzo della stessa password per accessi differenti. Se la password viaggia sulla rete, può essere carpita in un qualunque punto di transito. Firewall 25 Questo nome deriva dal termine bastione che nel medioevo indicava un particolare punto delle fortificazioni di un castello che aveva lo scopo di respingere gli attacchi nemici. Un bastion host è un computer della rete particolarmente preparato a respingere attacchi contro la rete stessa. Bastion host Firewall 26 Bastion host Viene posizionato dai progettisti nella prima linea di difesa, spesso rappresentata da uno screening router. Bastion host Costituisce un punto nevralgico per tutte le comunicazioni fra la rete e Internet Firewall 27 Firewall 28 Percorsi errati e corretti Servizi Il bastion host è il punto più indicato per mettere a disposizione servizi come: FTP Gopher HTTP NNTP Posta elettronica Firewall 29 Firewall 30

6 Servizi Unix I servizi Unix necessariamente abilitati su un bastion host: init, swap, page, per la gestione di tutti gli altri processi cron, per eseguire processi con periodicità definita syslogd, per registrare messaggi di log dal kernel inetd, per avviare alcuni servizi di rete se richiesti Servizi Unix I servizi Unix da disabilitare sul bastion host: NFS (nfsd, mountd) NIS (ypserv, ypbind, ypupdated) Servizi di booting (tftpd, bootd, bootpd) Comandi remoti (rshd, rlogind, rexecd) Fingerd Firewall 31 Firewall 32 Vantaggi e svantaggi dei bastion host Vantaggi e svantaggi dei bastion host Accesso alla rete concentrato in un unico punto quindi più semplice da gestire ai fini della sicurezza Software facile da configurare Solo l amministratore del sistema può essere registrato sul bastion host: la presenza di untenti generici rende il sistema più vulnerabile Attacchi di tipo password guessing Possibili errori di configurazione ed errori software se si offrono più servizi Firewall 33 Firewall 34 Architetture di firewalling Dual-homed host Screened host Dual-homed host Calcolatore con almeno due interfacce di rete, che può agire come un router tra le due reti alle quali sono collegate le interfacce Può essere utilizzato da firewall se posto tra una rete privata ed Internet Screened subnet Firewall 35 Firewall 36

7 Screened host L architettura screened host viene realizzata mediante più componenti fisici. L elemento principale è uno screening router mentre i servizi vengono forniti da un bastion host. Screened host Architettura molto più elastica della precedente per la quale sono possibili due approcci: 1) Impedire tutti i tipi di connessione da e verso host interni; 2) Permettere ad alcuni host interni di aprire connessioni con Internet per servizi specifici; Questi due approcci possono essere anche combinati. Firewall 37 Firewall 38 Screened subnet Architettura che utilizza due router che creano una rete compresa tra loro, detta rete perimetrale, su cui si trovano le macchine (bastion host) che forniscono i servizi, ad esempio l application gateway e il server di posta elettronica Firewall 39 Firewall 40 Tipi di attacchi Spoofing DoS (Denial of service) DDoS (Distributed denial of service) Spoofing (Dall inglese spoof = truffare, imbrogliare) - Sistema per cui un host invia dei pacchetti che sembrano provenire da un altro host Siccome il filtro dei pacchetti prende le decisioni in base all'indirizzo di provenienza, lo spoofing degli IP serve a far saltare i filtri sui pacchetti Firewall 41 Firewall 42

8 Esempio (DoS) Denial of Service Mandano in crash il sistema rendendo così necessario un reboot della macchina, sfruttando alcune lacune del TCP/IP. I DoS sono portati ad ogni tipo di computer connesso ad Internet. Uno degli effetti di un possibile attacco DoS è la comparsa sul proprio monitor della classica schermata blue, detta anche "the blue death screen". Firewall 43 Firewall 44 Denial of Service Tutte le piattaforme sono potenzialmente a rischio A seconda del tipo di attacco, esistono dei sistemi operativi maggiormente vulnerabili rispetto ad altri Attualmente uno dei meno vulnerabili ai DoS é Linux Smurfing Land attack Teardrop Bonk Ssping WinNuke Syn Flood ICMP Flood Attacchi DoS Firewall 45 Firewall 46 Attacchi DoS Sfruttano le debolezze e i bug di vari programmi software (TCP/IP principalmente) Provocano un crash del sistema che non potrà più erogare i suoi servizi Generalmente al reboot della macchina tutto ritorna come prima Smurfing L attacker spedisce un gran numero di richieste Ping broadcast a vari indirizzi di classe 'C'. Tutti questi ping hanno un indirizzo di partenza falso, che coincide con quello di una terza macchina, reale oggetto di attacco. Questo porta ad un overload della macchina attaccata a causa del numero elevato di messaggi ricevuti. Firewall 47 Firewall 48

9 Smurfing Land Attack PING Source: ping Source: Target : SYN Source: Target: Firewall 49 Firewall 50 Syn Flood Una connessione client server in TCP/IP avviene attraverso il three-way-handshake. Syn Flood L attacco Syn Flood sfrutta un ingenuità di TCP/IP nel trattare le connessioni half open, cioè quelle connesioni per le quali il server dopo il SYN non ha ancora ricevuto l ACK dal client. Ogni server ha una struttura dati in cui salva tutte le connessioni half open in attesa che si complétino. Firewall 51 Firewall 52 Syn Flood L attacco viene portato inviando dal client solo messaggi SYN senza rispondere al SYN_ACK del server con un ACK Saturazione della struttura dati delle connessioni half-open e impossibilità di connessioni per altri client ICMP Flood Colpisce le connessioni modem facendole rallentare fino far cadere le connessione stessa dopo pochi secondi. Sfrutta le vulnerabilità del modem stesso e non eventuali bug dello stack TCP/IP. L unica soluzione possibile è l adozione di un firewall da parte del proprio ISP. Firewall 53 Firewall 54

10 DDos (Distributed Denial os Services) 1996 Panyx Internet Provider. Si tratta di uno dei primi attacchi DDOS. L'attacco mise in crisi il sistema per più di una settimana rendendo impossibile l'uso del servizio a circa 7000 utenti. DDoS Buy.Com non era raggiungibile la mattina di lunedì 7 dicembre 2000, CNN ed ebay non lo erano nel pomeriggio, mentre Amazon e Zdnet sono rimasti isolati parecchie ore la notte di lunedì. Domenica 6 febbraio 2000: Yahoo, Inc. Interruzione per quasi 6 ore di un servizio usato da milioni di utenti ogni giorno. Durante quest'attacco sono stati saturati tutti i link del sito la cui capacità complessiva ammontava ad alcuni Gigabit. Firewall 55 Firewall 56 DDoS L attacco consiste in un numero elevatissimo di false richieste da più macchine allo stesso server consumando le risorse di sistema e di rete del fornitore del servizio. In questo modo il provider affoga letteralmente sotto le richieste e non è più in grado di erogare i propri servizi, risultando quindi irraggiungibile. DDoS L attacco deve essere organizzato tempo prima per installare il software su tutte le macchine attaccanti. Risalire ai colpevoli è difficile perché gli IP sono nascosti e si dovrebbe richiedere a diversi AS di ispezionare file di log. Si pensa ad azione portata dai Servizi Segreti Americani per l approvazione più rapida della legge restrittiva (Electronic low enforcement). Firewall 57 Firewall 58 Difesa da attacchi DoS Network Incoming Filtering Limit Network Traffic Intrusion Detection Systems Host Auditing Tools Network Incoming Filtering Gli ISP dovrebbero implementare dei filtri in ingresso sui propri router e firewall in modo da bloccare i pacchetti che contengano informazioni alterate riguardo la loro provenienza (in gergo Spoofed). Si può risalire alla provenienza del pacchetto in maniera più semplice e veloce. Firewall 59 Firewall 60

11 Limit Network Traffic Limitiamo la quantità di banda (QoS = Quality of Service) riservata ad un particolare servizio. Possiamo per esempio fornire più banda a servizi web a scapito di altri servizi (ftp,rlogin ) Per attacchi di tipo ICMP,SYN etc basta limitare la banda utilizzabile da questi pacchetti. Intrusion Detection System Ci sono alcuni tool di rete molto utili per l individuazione di eventuali attackers che sfuttano macchine della rete stessa come slave o master per un attacco. Il problema di questi tool è che essi sono creati per scoprire un attacco già conosciuto ma non possono nulla contro nuovi tipi di attacchi. Firewall 61 Firewall 62 Host Auditing Tools Statistiche su attacchi L FBI fornisce un prodotto chiamato find_ddos che cerca nel filesystem delle macchine su cui è installato, programmi per attacchi di tipo DDoS. 100 Formato binario per Linux e Solaris. 10 Nord L'assenza di sorgenti rende l'applicativo non controllabile e quindi potrebbe contenere delle backdoors. 1 4 Trim. 3 Trim. 2 Trim. 1 Trim. Est Firewall 63 Firewall 64 Numero di domini Internet Network security e Internet FBI Computer Crime e SecuritySurvey 2000 Su un campione di 585 organizzazioni ha subito violazioni nel 2000 il 70% (+8%) Su 273 che hanno dato una valutazione il danno subito è pari a $ Firewall 65 Trim. Trim. Trim. Trim. Firewall Nord Est

12 Network security e Internet Democratizzazione dell hacking Firewall 67 Firewall 68 Caso pratico: Sygate Personal Firewall Installazione Gestione delle opzioni Sygate Scan Firewall 69 Caso pratico: Sygate Personal Firewall Firewall freeware per utenza domestica e uffici. Noi vediamo la versione 4.2 (3.8 Mb) Sygate Firewall gira su: Windows95/98/Millennium2000 NT4 (sia Workstation che Server) e anche su XP Requisiti minimi di sistema sono processore 133 MhZ, 32 Mb di RAM 10 Mb di spazio libero su disco. Firewall 70 Caso pratico: Sygate Personal Firewall Il download di questo Firewall è possibile eseguirlo da due indirizzi diversi : oppure Installazione di Sygate Personal Firewall L installazione è molto semplice e richiede pochi istanti: Il download di Guide (formato pdf) in inglese è al link: per una guida sintetica (285 Kb) oppure per una guida completa (880Kb) Firewall 71 Firewall 72

13 Installazione di Sygate Personal Firewall Installazione di Sygate Personal Firewall Estrazione dei file compressi: Firewall 73 Firewall 74 Installazione di Sygate Personal Firewall Installazione di Sygate Personal Firewall A questo punto l installazione è finita e siamo costretti a riavviare il sistema. Firewall 75 Firewall 76 Registrazione di Sygate Personal Firewall Dopo il riavvio troverete l'icona di Sygate in basso a destra vicino all'orologio. Uso di Sygate Personal Firewall Dopo la registrazione : Doppio click e compare il modulo di registrazione. Potete registrarvi subito oppure rimandare il tutto oppure?!?!!??! Nel menù Start Programmi troverete la consueta cartella: Firewall 77 Firewall 78

14 Opzioni di SygatePersonal Firewall Per default Sygate viene caricato allo startup ma se vogliamo cambiare: Opzioni di SygatePersonal Firewall Affinchè le regole impostate non siano cambiate qualcun altro è possibile impostare una password: Firewall 79 Firewall 80 Opzioni di SygatePersonal Firewall Abbiamo detto che un firewall controlla il traffico in ingresso e in uscita da una macchina. Sygate lo fa in questo modo: Avvisi di Sygate Personal Firewall Uno dei primi avvisi che possono verificarsi è questo: La nostra macchina sollecita il router con un messaggio ICMP. Questa è un operazione innocua ma il nostro firewall non lo sa e così glielo diciamo spuntando la casella bianca in modo che esso possa ricordare che questa è una procedura che non crea problemi. Firewall 81 Firewall 82 Definiamo le regole Al passo precedente abbiamo semplicemente impostato una regola che il nostro firewall dovrà seguire. Vediamo cosa succede se vogliamo collegarci a google. Leggere la posta con Sygate Sygate si occupa di filtrare sia la posta in uscita (protocollo SMTP porta 25) che quella in ingresso (protocollo POP3 porta 110) Il discorso è lo stesso di prima.da notare che una volta definita la regola non riceveremo più avvisi di questo tipo. Firewall 83 Firewall 84

15 Leggere le news con Sygate Il protocollo usato per leggere le news è NNTP porta 119. Live Update di Norton Antivirus Un altro esempio di avviso capita quando l antivirus cerca di effettuare il live update, procedure molto utile e innocua. Il firewall può sembrare molto invadente ma una volta scelte le regole non saremo più infastiditi su ogni programma che cerca di utilizzare la rete. Anche qui possiamo spuntare la casella Remember. Firewall 85 Firewall 86 Verifica delle Regole Una volta impostate le regole possiamo visualizzarle ed eventualmente modificarle: Modifica regole Allow permette ad un applicazione di avere libero accesso alla rete, ask indica che non è stata definita una regola e block indica accesso negato. Tasto destro del mouse Firewall 87 Firewall 88 Particolari di Sygate Sygate usa tre colori per identificare l azione corrente sul traffico sia in ingresso che in uscita. Particolari di Sygate Vediamo nello specifico tutte le possibili combinazioni che si possono presentare: Rosso = Traffico bloccato dal firewall Blue = Traffico non bloccato dal firewall Grigio = Non c è traffico in questa direzione Firewall 89 Firewall 90

16 Sygate Scan Sygate Scan è un servizio molto utile di Sygate che permette di rilevare l IP della nostra macchina ed effettuare uno scan delle porte per scongiurarne eventuali attacchi. Sygate Scan Per chi non possedesse il firewall ci sono diverse opportunità di scan sul sito Firewall 91 Firewall 92 Esempio Sygate Scan Rilevare un attacco Se siamo attaccati da un intruso, come reagisce Sygate? Il seguente è un log IP dell intruso Firewall 93 Tasto destro del mouse per effettuare il BackTrace Traffico entrante Protocollo usato Indirizzo IP della nostra macchina Firewall 94 Back Tracing Il Backtracing ci permette di risalire all identità di una persona a partire dal suo indirizzo IP. Cliccando du BackTrace la ricerca avviene automaticamente. Caratteristiche di Sygate Se vi interessano notizie sul firewalling di una macchina lontana su cui è installato Sygate potete impostare un invio periodico di un con i log della macchina. Se volete farlo da soli potete usare l IP in uno di questi due siti per avere informazioni sull identità. -query.php oppure Firewall 95 Firewall 96

17 Log Files Questo firewall mette a disposizione diversi log files divisi per categoria. Qual è il mio IP? Nel menù Network è possibile vedere il proprio IP e settare il tipo di condivisione con altri utenti. Firewall 97 Firewall 98 Conclusioni Compromesso tra controllo servizi e loro utilizzo Un firewall può previene attacchi noti Logging e autenticazione importanti strumenti di protezione E comunque uno strumento di protezione parziale Conclusioni Non previene attacchi dall interno della rete nè attacchi non ancora noti Integriamo il firewall con applicazioni più specifiche e una giusta educazione dell utente Continuo aggiornamento Firewall 99 Firewall 100 Autori Firewall 101