FIREWALL Caratteristiche ed applicazioni

Transcript

1 D Angelo Marco De Donato Mario Romano Alessandro Sicurezza su Reti A.A Docente: Barbara Masucci FIREWALL Caratteristiche ed applicazioni Di cosa parleremo Gli attacchi dalla rete La politica di sicurezza Progetto di una politica di sicurezza Che cosa sono i Firewall Caratteristiche ed obiettivi principali dei Firewall Tecniche utilizzate dai Firewall Tipologie di Firewall Firewall a filtraggio di pacchetto Firewall a livello applicazione (Proxy Server) Firewall a livello di circuito Principali architetture Dual Homed Host Screened Host Screened Subnet Un esempio: IPTABLES Struttura Principali comandi Un Firewall semplice Introduzione Ormai ogni computer, prima o poi, viene collegato ad Internet, in termini di sicurezza informatica, significa dotare il proprio sistema di una porta aperta verso il mondo. Non è molto sicuro collegarsi senza alcuna protezione. Molto meglio prevedere sempre una qualche forma di protezione, anche minima, in modo da ripararsi almeno dagli attacchi più comuni. L evoluzione Il collegamento ad Internet da casa veniva effettuato per brevi periodi di tempo: Sottovalutato il problema della sicurezza La situazione è cambiata grazie ad una nuova tecnologia chiamata xdsl: Navigare 24 ore su 24 senza pagare scatti telefonici aggiuntivi e con tariffe accessibili a tutti e una larga banda di trasmissione Soluzione molto vantaggiosa per chi fa molto uso di Internet Numero di connessioni perenni aumentato vertiginosamente

2 Connessioni perenni: la conseguenza È più facile subire degli attacchi da parte di curiosi,che girano nella rete in cerca di informazioni. Gli attacchi dalla rete Di solito un sistema operativo prevede l attivazione di una serie di servizi (Servizio di posta elettronica, di server web di server ftp, e molti altri ) Ogni servizio è poi associato ad una porta, come quando si va in un ufficio pubblico, dotato di sportelli numerati: Informazioni Spedizioni Reclami Pagamenti L Hacker classico: Cerca di impossessarsi di macchine con collegamento permanente alla rete Preferisce una buona banda di trasmissione, per usare la nostra macchina come base dalla quale portare avanti i propri attacchi senza venire individuato. Quando ci colleghiamo ad Internet, la nostra macchina viene vista come un numero, paragonabile all ufficio pubblico; in quel momento, vi sono vari sportelli attivi, chiamati porte, ed a ciascuna porta vi è un servizio disponibile. gli attacchi alla rete La politica di sicurezza I servizi sono associati alle porte secondo una certa convenzione alla porta numero 21 è associato il servizio ftp, alla porta 80 il servizio http,alla porta 110 il servizio Pop3. L Hacker potrebbe sfruttare questi servizi, o eventuali loro bug, per impadronirsi del nostro sistema. L idea base per avere una configurazione sicura è di chiudere tutte le porte che si rivolgono all esterno, o almeno quelle che non servono, come del resto sa ogni buon padrone di casa: se non si vuol far entrare i ladri, bisogna chiudere le porte e magari installare un buon antifurto! Esistono due filosofie che vengono adottate per lo sviluppo della politica di sicurezza: Ciò che non è espressamente permesso è proibito Ciò che non è espressamente proibito è permesso

3 Progetto di una Politica di Sicurezza Politica di sicurezza per la rete: Sviluppo di procedure e piani per la salvaguardia delle risorse da perdite e danneggiamenti. Un possibile approccio: Quali sono le risorse difficili da proteggere? Da quali persone bisogna proteggere le risorse? Quanto sono importanti le risorse? Quanto sono probabili le minacce? In quale opportuna maniera e con quali costi si può implementare una misura di protezione? Esaminare periodicamente la sicurezza per verificare se gli obbiettivi sono cambiati. Che cosa sono i Firewall Partiamo dal presupposto che i computer colloquiano tra di loro scambiandosi dei pacchetti I Firewall sono dispositivi, hardware o software, che permettono o negano la comunicazione tra due reti diverse (es. Internet e la LAN domestica/aziendale) in base al contenuto del pacchetto. che cosa sono i Firewall Il Firewall è un componente attivo che seleziona e collega due o più tronconi di rete. rete esterna(internet) rete interna, di solito una LAN Caratteristiche ed obiettivi principali dei Firewall Bloccare fisicamente tutti gli accessi alla rete che non attraversano il Firewall. Il Firewall è il posto migliore ove imporre delle logiche di traffico per i pacchetti in transito e/o eseguire un monitoraggio di tali pacchetti. La funzione principale del Firewall è quella di proteggere i sistemi informatici presenti nella sezione interna dal caos presente nel lato esterno. Tutto il traffico in ingresso ed in uscita deve passare attraverso il Firewall per essere controllato, analizzato ed archiviato.

4 Tecniche utilizzate dai Firewall Ma i Firewall sono tutti uguali?? Fondamentalmente per controllare l accesso e far rispettare le politiche di sicurezza, un Firewall può utilizzare quattro tecniche: Controllo dei servizi Controllo della direzione Controllo degli utenti Controllo del Comportamento Si distinguono principalmente tre categorie di Firewall: Firewall a filtraggio di pacchetto (Screening Router) Firewall a livello applicazione (Proxy Server) Firewall a livello di circuito In origine i Firewall si concentravano solo sul controllo dei servizi ma successivamente si sono evoluti implementando tutte e quattro le tecniche. Firewall a filtraggio di pacchetto Filtro di pacchetti Se vi è una corrispondenza con una delle regole, viene richiamata tale regola per determinare se inoltrare o eliminare il pacchetto, altrimenti viene eseguita un azione di default, definita nella scelta della politica di sicurezza: Un Firewall a filtraggio di pacchetti: Applica un insieme di regole ad ogni pacchetto ip in ingresso e quindi inoltra o elimina il pacchetto. Il filtro dei pacchetti viene normalmente configurato come un elenco di regole che si basano sulle corrispondenze con i campi dell Header Ip / Tcp. default=discard Tutto ciò che non è permesso è negato default=forward Tutto ciò che non è negato è permesso

5 filtro di pacchetti (un esempio) Esempio di regola: R A B C D Direzione Esterno Interno Interno Esterno Indirizzo Sorgente Interno Esterno Oscar Alice Indirizzo Destinazione Esterno Interno Interno Bob Porta Tipo TCP TCP TCP TCP Azione PERMESSO PERMESSO NEGATO NEGATO Firewall a filtraggio di pacchetto Vantaggi Velocità I filtri sono generalmente trasparenti agli utenti Capacità di analizzare i pacchetti indipendentemente dal protocollo applicativo a cui appartiene il pacchetto Possono essere realizzati sia con una struttura Hardware (non particolarmente sofisticata e costosa) che Software. Firewall a filtraggio di pacchetto Svantaggi Non esaminano i dati di alto livello: Non possono prevenire attacchi che sfruttano i punti deboli specifici delle applicazioni. Hanno a disposizione informazioni limitate: I log da essi prodotti conterranno poche informazioni. La maggior parte dei Firewall a filtraggio di pacchetti non supporta i meccanismi più avanzati di autenticazione degli utenti. Attacchi tipici ad un Packet - Filter Spoofing dell indirizzo ip Attacchi a Routing dell origine Attacchi a frammentazione In genere i Firewall a filtraggio di pacchetti sono vulnerabili agli attacchi che sfruttano i problemi delle specifiche tcp / ip infatti molti di questi Firewall non sono in grado di rilevare un pacchetto di rete manomesso. Sono difficili da configurare e da gestire

6 Firewall a livello applicazione (Proxy Server) firewall a livello applicazione I Proxy operano sui protocolli di livello di applicazione come HTTP, FTP, SMTP, TFTP, etc. abilitandoli, disabilitandoli o limitandone l uso. Proteggere i sistemi all'interno della rete interna filtrando in modo selettivo le sequenze di caratteri, progettate in modo da mandare in crash o quantomeno confondere una determinata applicazione. I Firewall a livello applicazione comunicano con la rete esterna per conto degli host della rete interna, controllando il traffico tra le due reti, l'indirizzo che un server esterno riceve è infatti quello del Proxy. Con questo tipo di Firewall si ha una netta distinzione tra rete interna e esterna. Firewall a livello applicazione Vantaggi Lavorano sull intero pacchetto TCP/IP Adatti a filtrare virus, attacchi web, Consentono un filtraggio molto selettivo Non si ha più una connessione diretta tra host interni ed esterni, ma solo attraverso il software del proxy Riducono il carico di lavoro per rendere sicura i computer interni Permettono di eseguire servizi di auditing (controllo delle connessioni) E una struttura facilmente configurabile e gestibile. Firewall a livello applicazione Svantaggi Degrado delle prestazioni di rete Hardware potente che scala con la crescita del flusso di dati Ogni applicazione richiede uno specifico proxy Il software del gateway di applicazione può essere molto complesso, può quindi accadere che contenga errori non rilevati che potrebbero mettere a repentaglio il funzionamento del Firewall. Attacco tipico: Un Hacker, ottenuto un accesso root, potrebbe installare un Cavallo di Troia per raccogliere le password e modificare i file di configurazione del Firewall.

7 Firewall a livello di circuiti Tabella del Firewall a livello di circuiti Il Firewall in questo caso si occupa solamente di creare il circuito di comunicazione tra client e server, e mantiene una tabella dei collegamenti che usa per far passare dati da una sorgente a una destinazione. Esempio: ID collegamento Stato Indirizzo Sorgente Indirizzo Destinazione Interfaccia di rete 11 HANDSHAKE Eth0 E un sistema indipendente o una funzione specializzata svolta da un Firewall a livello applicazione. Non consente una connessione Tcp punto-punto ma, configura due connessioni Tcp, una fra se stesso e l host interno ed una con l host esterno. Quando le due connessioni sono attive rinvia i segmenti Tcp da una connessione all altra senza esaminarne il contenuto STABILITO CHIUSO Eth0 Eth1 Firewall a livello di circuito Vantaggi I controlli vengono fatti ad un livello di sistema operativo La libreria socks può essere collegata a diverse applicazioni (telnet, ftp,ecc..). Maggiore velocità e maggiore protezione verso le macchine della rete interna rispetto ai Firewall di applicazione. Il meccanismo di sicurezza è ben nascosto all'utente. Firewall a livello di circuito Svantaggi Forma e contenuto di questa libreria variano da sistema operativo a sistema operativo di conseguenza possono nascere problemi di portabilità. Occorre che ogni browser della rete interna venga ricompilato con la libreria socks. Difficile collaudo delle regole Scarse proprietà di controllo degli eventi sulla verifica dei pacchetti. Non hanno altre funzionalità incorporate, come la gestione della cache.

8 Bastion Host Il Bastion host rappresenta la macchina che viene posizionata in prima linea a difesa di una rete privata di calcolatori. Data la sua funzione di protezione, verso questa macchina deve essere rivolta una particolare attenzione di sicurezza e di controllo. Il Bastion host viene sempre associato a un packet filter che viene opportunamente configurato secondo la propria politica di sicurezza. bastion Host le caratteristiche Unico calcolatore della nostra rete raggiungibile da Internet e massicciamente protetto Dotato di un sistema operativo sicuro (privo di bug conosciuti) Assenza di software e di compilatori non necessari Proxy server in ambiente isolato (chrooting) Dotato di un file system di sola lettura Dotato di controllo dei processi e di integrità del file system Numero minimo dei servizi e nessun account utente Salvataggio e controllo dei log Eliminazione dei servizi non fidati e disattivazione del source routing Un bastion host è quindi il punto di forza critico per la sicurezza della rete. Principali architetture dei Firewall Quando esigenze di sicurezza diventano fondamentali, allora nella progettazione di un Firewall si prendono in considerazione diverse combinazioni tra Packet Filter, Firewall Proxy e Bastion host. Le architetture principali di queste combinazioni sono principalmente tre, che vanno sotto il nome di: Dual homed host Il dual homed host è un host che ha due schede di rete, una collegata alla rete interna e una alla rete esterna. Dual Homed Host Screened Host Screened Subnet

9 dual homed host dual homed host Nel dual-homed host la funzione di instradamento deve essere disattivata in modo da effettuare un vero e proprio isolamento tra i due segmenti di rete pur consentendo, ad utenti posti su reti distinte, di usufruire di una stessa applicazione posta sul dualhomed host stesso. Risulta a questo punto ovvio come il dual-homed host possa essere usato per isolare una rete da un'altra a patto che venga disabilitata la funzione che inoltra i pacchetti tra le due reti. Per non compromettere il livello di sicurezza: Non deve essere permesso a nessun utente di entrambe le reti di loggarsi direttamente dentro il dual-homed host. Il più grande pericolo per la sicurezza di rete si ha se utente ottiene l'accesso diretto al dual-homed host. Tale acceso deve avvenire solamente a seguito di una complessa operazione di autenticazione che può comportare anche l'uso di schede magnetiche. D'altra parte è anche importante rimuovere dal dual-homed host tutti i programmi, utilities e servizi che potrebbero essere danneggiati da un Hacker. Firewall screened host Questo tipo di architettura prevede la combinazione di 2 dispositivi: il Firewall Proxy o un bastion host ed un screening router Firewall screened host La sicurezza di questa architettura è determinata dal software che viene eseguito sul proxy/bastion host: se un hacker dovesse ottenervi accesso avrebbe una vasta possibilità di attacchi verso la rete interna. L'accesso alla rete interna in modo diretto da parte di un hacker con questa architettura è veramente difficile. La difficoltà di questo attacco può essere aumentata disabilitando l'accesso allo screened router dalla rete esterna: con questa ultima specifica infatti l'hacker dovrebbe penetrare prima sul proxy/bastion host, poi su un host della rete interna e poi finalmente sullo screening router. Lo screening router, che filtra sia in entrata che in uscita i pacchetti che riceve, protegge da un lato il collegamento ad Internet e dall altro il Firewall Proxy (o il bastion host). Il Proxy o il Bastion host rappresenta l'unica macchina visibile da Internet.

10 Firewall screened subnet La terza architettura è la più sicura di tutte le altre infatti, il Firewall Proxy viene protetto nelle due direzioni da due screening router: Firewall screened subnet Dato che l'unico punto di accesso alla sottorete avviene tramite il bastion host risulta molto difficoltoso da parte di un Hacker bypassare l'intera sottorete, in quanto dovrebbe riconfigurare la stessa sottorete ed anche quella interna; tutto ciò eludendo la sorveglianza dei bastion host. Il primo screening router controlla il traffico della rete locale e il secondo monitorizza e controlla il traffico verso Internet, in questo modo viene protetto il Firewall Proxy sia dagli attacchi esterni che da quelli interni. Un esempio: IPTABLES Struttura di iptables Nel sistema operativo linux a partire dal kernel 2.4 è stato inserito un potente Firewall a filtraggio di pacchetti chiamato iptables, nato dall esperienza maturata dalla sua versione precedente ipchains. Iptables in maniera estremamente semplificata non fa altro che analizzare gli header del pacchetto a livello di connessione di trasporto. Iptables si basa sui concetti di tabella, di catene e di regole che determinano i pacchetti, giunti al nodo in base agli header dei pacchetti stessi.

11 Le tabelle di iptables Nat: consente di effettuare il NAT (Network Area Translation) degli indirizzi IP, sorgente o di destinazione, e, per i pacchetti TCP o UDP, del valore della porta sorgente o destinazione. Filter: in questa tabella vengono inserite le vere e proprie regole di filtraggio per i pacchetti che crea o riceve il Firewall o che transitano dal Firewall. Mangle: questa tabella viene utilizzata per effettuare delle alterazioni particolari sull header ip, salvo particolari applicazioni è poco utilizzata. Le catene di iptables catena NAT le cui funzioni sono: PREROUTING: per effettuare operazioni di nat appena il pacchetto giunge al Firewall OUTPUT: per effettuare operazioni di nat dei pacchetti generati localmente POSTROUTING: per effettuare operazioni di nat dei pacchetti quando escono dal Firewall catena Filter le cui funzioni sono: INPUT: contiene le regole di filtraggio per i pacchetti destinati al Firewall FORWARD: contiene le regole di filtraggio per i pacchetti che vengono ruotati dal Firewall (cioè tutti quelli originati ad esempio dalla LAN e destinati ad Internet o viceversa) OUTPUT: contiene le regole di filtraggio per i pacchetti generati localmente dal Firewall Il percorso dei pacchetti Una regola di IPTABLES iptables < table > < command > < match > < target > < table > : viene selezionata la tabella (NAT,FILTER, O MANGLE) a cui la regola appartiene. < command >: viene specificata l azione da intraprendere. Infatti è possibile aggiungere, cancellare, modificare una regola di una catena, creare o cancellare una catena stessa. < match >: Ricadono qui dentro tutti i criteri per l analisi delle caratteristiche dell header del pacchetto dal livello fisico a quello di trasporto. < target >: Viene specificato il destino del pacchetto che soddisfa la condizione di match.

12 Esempio di regola I principali comandi di IPTABLES iptables t filter A FORWARD i eth0 d m limit limit 3/minute j LOG log-prefix web server packet Questa regola fa in modo di loggare nel file messages, gli header di tre pacchetti al minuto provenienti da Internet (nel nostro caso dall interfaccia eth0) e destinati al server web aziendale (con indirizzo ip: ). -t -A -D -N -X -F -I -L -P -j Definizione di una tabella (es. iptables t NAT) Append di una regola ad una catena Cancellazione di una regola da una catena Creazione di una nuova catena Cancellazione catena definita dall utente Flush di una catena (eliminazione delle regole in essa contenute) Inserimento di una regola in una catena Print della struttura attuale delle regole in corrispondenza della relativa catena /table Definizione della politica di accesso del Firewall seguita dal nome catena e dal target Definizione dell azione da intraprendere sui pacchetti (ACCEPT DROP RETURN ) Parametri utili di IPTABLES Policy e Target -p -s --sport -d --dport -i -o --icmp-type --state --tos --limit --limit burst --log-prefix Definizione del protocollo di appartenenza / applicazione della regola inserita. Es: iptables A INPUT p tcp Definizione dell ip sorgente. Es: iptables A INPUT p tcp s Definizione della porta di origine. Es: iptables A INPUT p tcp s sport 21 Duale di -s sport per destinazione Definizione di una interfaccia di rete di input / di output Specificazione tipo di pacchetto ICMP Es: iptables A INPUT p ICMP s icmp type 8 Definizione dello stato di un pacchetto (stati possibili: NEW,RELATED,ESTABILISHED,INVALID) Definizione del controllo del tipo di servizio Definizione della frequenza massima dei pacchetti Definizione del numero massimo di pacchetti iniziale Definizione del header dei log I Targets rappresentano la destinazione dei pacchetti che soddisfano le caratteristiche di una regola Sono specificati nelle regole e sono valori che determinano o meno l entrata, forwarding, l uscita, il logging, il mascheramento ecc. di uno o più pacchetti. A differenza dei targets la policy è sì, applicata ad una regola, ma agisce nei confronti di un intera catena.

13 Un Firewall semplice Costruiamo un Firewall minimalista per soddisfare le nostre esigenze casalinghe: $iptables F INPUT $iptables F OUTPUT $iptables F FORWARD Dopo aver ripulito le nostre catene andiamo ad appendere le regole. Conclusioni INTERNET è uno strumento molto utile sia per gioco che per lavoro: ovviamente come tutti gli strumenti ha i suoi pregi ed i suoi difetti, comunque in questo caso, i difetti sono ovviabili con un po di attenzione da parte nostra. L unico Firewall sicuro al 100% è: Ammettiamo di avere un X server, httpd e ssh come servizi attivi: $iptables A INPUT s j ACCEPT $iptables A INPUT s /24 j ACCEPT $iptables A INPUT p tcp - - dport 6000 j DROP $iptables A INPUT p all - - dport 80 j DROP $iptables A INPUT p icmp - - icmp-type echo request j DROP $iptables A INPUT p icmp!- - icmp-type echo reply j DRO $iptables A FORWARD p tcp - - syn m limit limit 3/s j ACCEPT $iptables A FORWARD p tcp - - tcp flags SYN, ACK, FIN, RST m limit limit 1/s j ACCEPT La cosa più importante è installare quel minimo di difese, tali da tener fuori dalla nostra macchina almeno chi si diletta in tutto il suo tempo libero a trovare macchine accessibili dalla rete per il solo gusto di vedere se può entrarvi, nella migliore delle ipotesi, o magari creare danni, nella peggiore. conclusioni Perdere un po di tempo per configurare un Firewall per la propria postazione può quindi rivelarsi un investimento che si ripagherà di sicuro nel tempo, senza contare che così avremo imparato qualcosa in più sul funzionamento di Internet, che magari spesso usiamo senza sapere quali sono le informazioni che in realtà vi circolano. Link utili & bibliografia I Firewall La sicurezza in rete Iptables Squid (il più famoso proxy server linux) Testi di riferimento: Buiding Internet Firewalls O Reilly Crittografia e sicurezza delle reti - McGraw-Hill