FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

Transcript

1 FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata

2 SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete è una corretta organizzazione topologica della rete stessa Uno dei principali approcci è quello di suddividere la rete in zone di sicurezza i dispositivi e le risorse sono posizionati nelle zone in base ai loro livelli e requisiti di sicurezza la rete acquisisce una maggiore scalabilità ed una conseguente maggiore stabilità

3 ORGANIZZAZIONE DELLA RETE La zona demilitarizzata (DMZ) è una porzione di rete che separa la rete interna dalla rete esterna I server nella DMZ sono accessibili dalla rete pubblica, perciò non sono trusted (dalla rete interna) e quindi devono essere segregati rispetto a questa se un server non è trusted allora la sua compromissione non dovrebbe avere effetti collaterali FIREWALL

4 FIREWALL Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di lui Consente o nega il passaggio del traffico basandosi su una security policy Le sue funzioni: verifica dei pacchetti in transito (IP filtering) mascheramento di indirizzi interni (NAT) blocco dei pacchetti pericolosi e/o non autorizzati ESEMPIO

5 FIREWALL: UTILITIES Controllo dei servizi: stabilire a quali tipi di servizi internet si può accedere, sia dall interno che dall esterno Controllo della direzione: stabilire la direzione secondo cui particolari richieste di servizio possono essere avviate e inoltrate Controllo utente: regola l accesso ad un servizio sulla base dell utente che ha effettuato la richiesta Controllo del comportamento: controllo su come sono utilizzati certi servizi (es: filtraggio della posta elettronica per eliminare lo spam) POLICY DI SICUREZZA Il firewall è un applicatore di regole, ed è valido solo quanto le regole che vengono configurate Prima di configurare il firewall, serve una specifica ad alto livello della policy di sicurezza per la Intranet Due politiche principali (alternative) nella configurazione di un firewall: tutto ciò che non è espressamente permesso è vietato tutto ciò che non è espressamente vietato è permesso

6 POLICY DI SICUREZZA Tutto ciò che non è espressamente permesso è vietato Il firewall blocca tutto il traffico e ciascun servizio abilitato deve essere configurato caso per caso maggior sicurezza più difficile da gestire (non sempre è semplice individuare quali porte bisogna aprire per consentire la corretta esecuzione di un servizio) Si limita il numero di servizi disponibili all'utente POLICY DI SICUREZZA Tutto ciò che non è espressamente vietato è permesso Il firewall inoltra tutto il traffico e ciascun servizio dannoso deve essere chiuso caso per caso minor sicurezza (possono rimanere porte aperte non necessarie) più facile da gestire L amministratore di rete ha difficoltà sempre maggiore nell assicurare la sicurezza man mano che la rete cresce

7 FIREWALL: LIMITI Il firewall controlla tutto e solo il traffico che lo attraversa In caso di intrusioni dall interno il firewall è impotente, in quanto il traffico non lo attraversa Se il traffico arriva su internet tramite un percorso non controllato (per esempio un utente connesso via modem) non c è modo per il firewall di controllarlo Il firewall è una macchina come tale, potrebbe essere violata deve essere la macchina meglio protetta e configurata della rete sulla stessa macchina non dovrebbero essere aggiunte altre funzioni dobbiamo garantire ottime prestazioni e lasciare poco codice a disposizione di aggressori TIPOLOGIE DI FIREWALL Firewall che operano a livello di rete Packet filtering: viene installato a monte della rete protetta ed ha il compito di bloccare o inoltrare i pacchetti IP secondo regole definite a priori Firewall che operano a livello applicativo Circuit/Application gateway: analizza e filtra il traffico a livello trasporto/applicazione. Application gateway sfrutta la conoscenza del particolare servizio

8 TIPOLOGIE DI FIREWALL APPLICATION GATEWAY: ESEMPIO A meno di modificare i clienti per i servizi di rete più comuni

9 PROXY SERVER Proxy server: applicazioni sw con il compito di mediare il traffico tra rete esterna e rete interna e consentire l accesso a un servizio specifico I servizi proxy possono essere concentrati sul firewall e hanno le seguenti caratteristiche: sono indipendenti tra di loro ciascun servizio implementa solo un sottoinsieme delle funzionalità un servizio proxy non accede al disco ad eccezione della lettura del suo file di configurazione ciascun servizio proxy viene eseguito come utente non privilegiato in una directory privata CIRCUIT GATEWAY: ESEMPIO Trasparente ma i client devono essere modificati Autenticazione del cliente e del server Autorizzazione, logging e caching delle connessioni Ripulitura della connessione

10 BASTION HOST Il bastion host è un host critico per la sicurezza e costituisce la piattaforma per i gateway a livello di applicazione e di circuito Ha le seguenti caratteristiche: monta un sistema operativo sicuro monta solo i servizi proxy necessari eroga ciascun servizio solo ad un sottoinsieme degli host della rete implementa forme di autenticazione aggiuntive e specifiche supporta logging & auditing PACKET FILTER Un packet filter (screening router) scarta o inoltra un pacchetto IP, da e verso la rete interna, sulla base di un insieme di regole di filtraggio Le regole di filtraggio si basano sul valore dei campi contenuti nell intestazione IP e di trasporto (TCP/UDP) tra cui: l indirizzo del sorgente e del destinatario il protocollo di trasporto il numero di porta del sorgente e del destinatario i flag SYN, ACK nell header TCP

11 REGOLE: ESEMPIO azione Host interno porta Host esterno porta commenti bloccare SPIGOT Host non affidabile consentire OUR-GW 25 Connessione alla porta SMPT interna bloccare default consentire 25 Connessione porta SMTP esterna STATEFUL PACKET FILTER Lo stateful filtering considera il traffico come uno scambio bidirezionale di pacchetti IP che costituisce una sessione di conversazione (conversation session) Lo stateful filtering permette di generare dinamicamente le regole per il prossimo pacchetto (anche ICMP) nella sessione di conversazione In uscita/ingresso, se un pacchetto soddisfa il criterio di selezione della regola dinamica, il pacchetto viene lasciato passare e viene generata la regola per il prossimo pacchetto; altrimenti al pacchetto sono applicate le regole statiche Lo stateful filtering permette di concentrarsi sul lasciar passare o bloccare una nuova sessione: i successivi pacchetti della sessione subiranno la stessa sorte

12 FIREWALL SINGLE-HOMED SINGLE-HOMED: DETTAGLI Il firewall è composto da due sistemi: un router a filtraggio di pacchetti e un bastion host Il packet filter fa passare i pacchetti provenienti dall esterno e diretti solo al bastion host Il packet filter può far passare i pacchetti provenienti dall esterno e diretti ad un server che non ha un livello di sicurezza elevato (es. server web) Il packet filter fa passare i pacchetti provenienti dal bastion host e diretti verso l esterno Il traffico viene analizzato due volte, ma se il packet filter viene compromesso, il traffico esterno può raggiungere la rete interna

13 FIREWALL DUAL-HOMED Presenta gli stessi vantaggi del single-homed ma... Il dual-homed bastion host previene i problemi causati dalla compromissione del packet filter: un pacchetto deve fisicamente attraversare il bastion host e questo fa aumentare il livello della sicurezza SCREENED SUBNET FIREWALL

14 SCREENED SUBNET: DETTAGLI Configurazione più sicura tra quelle considerate: permette di creare una sottorete isolata che può contenere solo il bastion host o altri server e modem Vantaggi: prevede 3 livelli di difesa per contrastare le intrusioni il router esterno consente di vedere dall esterno solo la sottorete protetta, la rete interna non è visibile da internet il router interno, analogamente, segnala alla rete interna solo la presenza della sottorete protetta. I sistemi nella rete interna non possono così stabilire connessioni dirette a internet ZONA DEMILITARIZZATA

15 ACCESSO ALLA LAN DA INTERNET Nella maggioranza dei casi, le intranet aziendali presuppongono che la maggior parte degli utenti sia collocata all interno del firewall aziendale, e che quasi nessuna connessione giunga dall esterno Due problemi violano questo principio utenti remoti che vogliono accedere a servizi pubblici dell azienda (web, FTP, invio di posta ) utenti remoti vogliono accedere alla rete aziendale attraverso Internet o una rete non sicura Esistono delle soluzioni per ciascuno dei problemi architettura a due livelli della rete reti private virtuali (VPN) ARCHITETTURA A DUE LIVELLI Creazione di una rete semipubblica tra intranet e Internet (Zona Demilitarizzata, DMZ) Idea di base: gli utenti esterni possono accedere alla DMZ (limitatamente ai servizi disponibili). Le risorse interne restano nella zona privata e non sono accessibili. Nella DMZ si ospitano i server pubblici (sito Web, server FTP, DNS, mailserver in ingresso...) che non erogano applicazioni critiche per l azienda La DMZ è una zona ad altissimo rischio. Le comunicazioni in arrivo dalla DMZ vanno considerate inaffidabili quanto quelle esterne.

16 ARCHITETTURA A DUE LIVELLI Si usano due firewall single-homed per dividere le zone. In alternativa, un singolo firewall a tre vie ESEMPIO: 2 FIREWALL

17 ESEMPIO: 1 FIREWALL A 3 VIE VIRTUAL PRIVATE NETWORK Virtual Private Network: ponte dati crittografato su rete pubblica Esigenze: comunicare da remoto con la rete aziendale, accedere a risorse interne, come se si fosse in ufficio collegare tra loro sedi periferiche senza spendere capitali in costose linee dedicate garantire confidenzialità ed integrità ai dati trasmessi su rete pubblica non sicura

18 ESEMPIO