Che cos è un firewall? Che cos è un firewall? Ingress vs. Egress firewall. Ingress vs. Egress firewall. Progettazione di un firewall

Transcript

1 Antonio Lioy Firewall < e polito.it IDS/ > Politecnico di Torino Dip. Automatica e Informatica Antonio Lioy < polito.it > Politecnico di Torino Dip. Automatica e Informatica Che cos è un firewall? firewall = muro tagliafuoco collegamento controllato tra reti a diverso livello di sicurezza = sicurezza del perimetro Che cos è un firewall? ( L1 > L2 ) firewall = muro tagliafuoco collegamento controllato tra reti a diverso livello di sicurezza a livello= sicurezza del perimetro a di sicurezza L1 Ingress vs. Egress firewall livello di sicurezza L2 ( L1 > L2 ) RETE ingress INTERNA firewall RETE ESTERNA collegamenti incoming tipicamente a livello verso servizi offerti all'esterno a di sicurezza L1 Ingress vs. Egress firewall livello di talvolta come parte di una comunicazione attivata sicurezza L2 dall'interno RETE ingress INTERNA egress firewall RETE ESTERNA collegamenti incoming outgoing tipicamente controllo dell'attività verso servizi del personale offerti all'esterno distinzione talvolta come facile parte per servizi di una comunicazione orientati al canale attivata (es. applicazioni dall'internotcp), difficile per servizi basati su egress datagrammi firewall (es. ICMP, applicazioni UDP) collegamenti outgoing controllo dell'attività del personale distinzione facile per servizi orientati al canale (es. applicazioni TCP), difficile per servizi basati su datagrammi (es. ICMP, applicazioni UDP) ioy - Politecnico di Torino ( ) 1 ioy - Politecnico di Torino ( ) 1 Progettazione di un firewall Un firewall non si compra, si progetta (si comprano i suoi componenti) Progettazione di un firewall si tratta di trovare il compromesso ottimale tra sicurezza e funzionalità... col Un minimo firewall costo non si compra, si progetta (si comprano i suoi componenti) si tratta di trovare il compromesso ottimale tra sicurezza e funzionalità... col minimo costo

2 sicurezza funzionalità % L indice della sicurezza 100 % sicurezza % funzionalità 100 % I TRE PRINCIPI INDEROGABILI DEI FIREWALL I. il FW deve essere l unico punto di contatto della I TRE con PRINCIPI quella esterna INDEROGABILI II. solo il traffico autorizzato DEI FIREWALL può attraversare il FW I. il FW deve essere l unico III. il FW deve essere un sistema Politiche punto di contatto della altamente di sicuro autorizzazione esso stesso con quella esterna D.Cheswick TuttoII. ciò solo cheil non traffico è autorizzato S.Bellovin espressamente può permesso, attraversare il FW è vietato III. il FW deve essere un sistema maggiorpolitiche sicurezza altamente di sicuro autorizzazione esso stesso più difficile da gestire D.Cheswick Tutto ciò che non è S.Bellovin espressamente permesso, Tutto ciò che non è è vietato espressamente vietato, maggior sicurezza è permesso più difficile da gestire minor sicurezza (porte aperte) più facile da gestire Tutto ciò che non è espressamente vietato, è permesso minor sicurezza (porte aperte) più facile da gestire ioy - Politecnico di Torino ( ) 3 ioy - Politecnico di Torino ( ) 3 gli oggetti grossi sono più difficili da verificare se un processo non è stato attivato, i suoi bachi non ci riguardano grande NON Considerazioni è bello = configurazione generaliminima un firewall non è una macchina general-purpose gli oggetti minimo grossi del sw sono più difficili da verificare se un no processo utenti non è stato attivato, i suoi bachi non ci riguardano grande NON è bello = configurazione minima ognuno è colpevole finché non si dimostra un innocente firewall non è una macchina general-purpose minimo del sw no utenti Considerazioni generali

3 router che filtra il traffico a livello IP bastion host sistema sicuro, con auditing FW: elementi di base application gateway ( proxy ) servizio che svolge il lavoro per conto di un screening router ( choke ) applicativo, tipicamente con controllo di accesso router che filtra il traffico a livello IP dual-homed gateway bastion host sistema con due connessioni di e routing sistema sicuro, con auditing disabilitato application gateway ( proxy ) servizio che svolge il lavoro per conto di un applicativo, tipicamente con controllo di accesso dual-homed gateway sistema con due connessioni di e routing disabilitato A quale livello si fanno i controlli? packet headers A quale livello si fanno i controlli? packet headers TCP stream UDP datagram application transport (TCP / UDP) circuit gateway TCP stream application data UDP datagram network (IP) packet filter datalink application physical transport (TCP / UDP) application gateway circuit gateway network (IP) esterna packet filter Architettura datalink "screening router" physical application data application gateway Architettura "screening router" ioy - Politecnico di Torino ( ) 5 esterna ioy - Politecnico di Torino ( ) 5 Architettura "screening router" usa il router per filtrare il traffico sia a livello IP che superiore non richiede hardware dedicato non Architettura necessita di proxy "screening e quindi di modifiche router" agli applicativi usa il router per filtrare il traffico sia a livello IP che superiore facile, economico e... insicuro! non richiede hardware dedicato non necessita di proxy e quindi di modifiche agli applicativi facile, economico e... insicuro!

4 esterna Architettura "dual-homed gateway" esterna Architettura "dual-homed gateway" facile da realizzare richiede poco hardware possibile mascherare la Architettura "dual-homed gateway" scarsamente flessibile grosso sovraccarico di lavoro facile da realizzare richiede poco hardware possibile mascherare la Architettura "screened host gateway" scarsamente flessibile grosso sovraccarico di lavoro esterna Architettura "screened host gateway" ioy - Politecnico di Torino ( ) 7 esterna ioy - Politecnico di Torino ( ) 7 Architettura "screened host gateway" router: blocca i pacchetti da INT a EXT a meno che arrivino dal bastion host Architettura blocca i pacchetti "screened da EXT a INT host a meno gateway" che siano destinati al bastion host router: eccezione: protocolli abilitati direttamente bastion blocca host: i pacchetti da INT a EXT a meno che arrivino dal circuit/application bastion host level gateway per abilitare blocca selettivamente i pacchetti dei da servizi EXT a INT a meno che siano destinati al bastion host eccezione: protocolli abilitati direttamente bastion host:

5 più flessibilità complicato da gestire: due sistemi invece di uno Architettura "screened host gateway" si può selettivamente allentare il controllo su certi servizi / host più si possono caro da mascherare realizzare solo gli host/protocolli che più passano flessibilità dal bastion (a meno che il router abbia funzionalità NAT) complicato da gestire: due sistemi invece di uno si può selettivamente allentare il controllo su certi servizi / host si possono mascherare solo gli host/protocolli che passano dal bastion (a meno che il router abbia funzionalità NAT) Architettura "screened subnet" esterna Architettura "screened subnet" esterna Architettura "screened subnet" (De-Militarized Zone) sulla - oltre al gateway - ci possono essere più host (tipicamente i server pubblici): Web Architettura "screened subnet" accesso remoto..(de-militarized. Zone) sulla si può configurare - oltre al il gateway routing -in ci modo possono che essere la più host (tipicamente sia sconosciuta i server pubblici): soluzione Web costosa accesso remoto ioy - Politecnico di Torino ( ) 9... ioy - Politecnico di Torino ( ) 9 si può configurare il routing in modo che la sia sconosciuta soluzione costosa Architettura "screened subnet" (versione 2) per motivi di costo e di semplicità di gestione spesso si omettono i router (e le loro funzioni sono incorporate nel gateway) anche noto come firewall a tre gambe Architettura "screened subnet" (versione 2) per motivi di costo e di semplicità di gestione spesso si omettono i router (e le loro funzioni esterna sono incorporate nel gateway) anche noto come firewall a tre gambe esterna

6 packet filter incoming packets Punti di filtraggio forwarding engine packet filter outgoing packets incoming packets forwarding engine outgoing packets Bastion host - configurazione ci devono girare solo i processi indispensabili deve fare il log di tutte le attività log in su un sistema sicuro all interno Bastion host - configurazione disabilitare source routing disabilitare IP forwarding ci devono girare solo i processi indispensabili trappole per gli intrusi (es. non usare mai ls) deve fare il log di tutte le attività log in su un sistema sicuro all interno Tecnologia dei firewall disabilitare source routing disabilitare tecnologie diverse IP forwarding per controlli a vari livelli di : trappole (static) per packet gli intrusi filter (es. non usare mai ls) stateful (dynamic) packet filter cutoff proxy Tecnologia dei firewall circuit-level gateway / proxy tecnologie diverse per controlli a vari livelli di : application-level gateway / proxy (static) packet filter stateful inspection stateful (dynamic) packet filter differenze in termini di: cutoff proxy prestazioni circuit-level gateway / proxy protezione del S.O. del firewall application-level gateway / proxy mantenimento o rottura del modello client-server stateful inspection differenze in termini di: prestazioni protezione del S.O. del firewall mantenimento o rottura del modello client-server ioy - Politecnico di Torino ( ) 11 ioy - Politecnico di Torino ( ) 11 Packet filter storicamente disponibile sui router effettua controlli sui singoli pacchetti IP IP header transport header Packet filter storicamente disponibile sui router effettua controlli sui singoli pacchetti IP IP header transport header

7 ottima scalabilità controlli poco precisi: più facile da fregare (es. IP Packet spoofing, filter: pacchetti pro frammentati) e contro ottime prestazioni indipendente basso costo (disponibile dalle applicazioni su router e molti SO) arduo ottima supportare scalabilitàservizi con porte allocate dinamicamente controlli poco (es. precisi: FTP) più facile da fregare configurazione (es. IP spoofing, complessa pacchetti frammentati) ottime prestazioni basso costo (disponibile su router e molti SO) arduo supportare servizi con porte allocate dinamicamente (es. FTP) configurazione complessa Stateful (dynamic) packet filter simile al packet filter ma state-aware informazioni di stato dal livello trasporto e/o da quello applicativo (es. comando PORT di FTP) distingue Stateful le nuove (dynamic) connessioni packet da quelle filter già aperte tabelle di stato per le connessioni aperte simile pacchetti al packet che filter corrispondono ma state-aware ad una riga della informazioni tabella sono di stato accettati dal livello senza trasporto ulteriori controlli e/o da prestazioni quello applicativo migliori rispetto (es. comando a packet PORT filter di FTP) distingue supporto Application-level per le nuove SMP connessioni gateway da quelle già aperte molte delle tabelle limitazioni di stato per proprie le connessioni del packet aperte filter composto da una serie di proxy che esaminano il contenuto pacchetti dei pacchetti che corrispondono a livello applicativo ad una riga della tabella sono accettati senza ulteriori controlli spesso richiede modifica dell applicativo client prestazioni migliori rispetto a packet filter può opzionalmente supporto Application-level effettuare il per SMP gateway mascheramento / rinumerazione degli indirizzi IP interni molte delle limitazioni proprie del packet filter composto nell ambito da dei una firewall, serie di normalmente proxy che esaminano ha anche il contenuto funzioni di dei autenticazione pacchetti a livello applicativo spesso massima richiede sicurezza!! modifica (es. contro dell applicativo buffer overflow client dell applicazione target) può opzionalmente effettuare il mascheramento / rinumerazione degli indirizzi IP interni nell ambito dei firewall, normalmente ha anche funzioni di autenticazione massima sicurezza!! (es. contro buffer overflow dell applicazione target) ioy - Politecnico di Torino ( ) 13 ioy - Politecnico di Torino ( ) 13 Application-level gateway (1) regole più granulari e semplici rispetto a packet filter ogni applicazione richiede uno specifico proxy ritardo Application-level nel supporto per nuove gateway applicazioni (1) consumo risorse (molti processi) regole basse più prestazioni granulari e (processi semplici user-mode) rispetto a packet filter supporto SMP può migliorare prestazioni ogni applicazione richiede uno specifico proxy rompe completamente il modello client/server ritardo nel supporto per nuove applicazioni server più protetti consumo risorse (molti processi) può autenticare i client basse prestazioni (processi user-mode) mancanza di trasparenza per i client supporto SMP può migliorare prestazioni

8 che fare in presenza di metodi di sicurezza a livello applicativo (es. SSL)? varianti: Application-level gateway (2) transparent proxy può esporre meno intrusivo il SO del per firewall i clientad attacchi che fare complesso in presenza (rerouting di metodi + estrazione di sicurezza dati) a livello applicativo (es. SSL)? strong application proxy (controlla la semantica e la varianti: policy, non solo la sintassi del protocollo applicativo) transparent solo comandi/dati proxy permessi sono trasmessi meno è l unica intrusivo configurazione per i client giusta per un serio proxy complesso (rerouting + estrazione dati) strong application proxy (controlla la semantica e la policy, non solo la sintassi del protocollo applicativo) solo comandi/dati permessi sono trasmessi è l unica configurazione giusta per un serio proxy Circuit-level gateway è un proxy non application-aware crea un circuito tra client e server a livello trasporto ma non ha nessuna comprensione dei dati in transito Circuit-level gateway è un proxy non application-aware crea un circuito tra client e server a livello trasporto ma non ha nessuna comprensione dei dati in transito Circuit-level gateway rompe il modello client/server per la durata della connessione server più protetti isola Circuit-level da tutti gli attacchi gateway che riguardano l'handshake TCP rompe isola il modello da tutti client/server gli attacchi che per riguardano la durata la della connessione frammentazione dei pacchetti IP server può autenticare più protetti i client isola ma allora da tutti richiede gli attacchi modifiche riguardano alle applicazioni molte limitazioni l'handshake proprie TCP del packet filter rimangono isola da tutti gli attacchi che riguardano la frammentazione dei pacchetti IP può autenticare i client ma allora richiede modifiche alle applicazioni molte limitazioni proprie del packet filter rimangono ioy - Politecnico di Torino ( ) 15 ioy - Politecnico di Torino ( ) 15 SOCKS è un proxy a livello trasporto (L4), ossia realizza un circuit-level gateway inventato dalla M, v4 da NEC, v5 da IETF aka AFT (Authenticated SOCKS Firewall Traversal) i client devono essere modificati: è un standard: proxy a telnet, livello ftp, trasporto finger, whois (L4), ossia realizza un circuit-level gateway libreria per sviluppare propri client inventato dalla M, v4 da NEC, v5 da IETF supporto anche commerciale: aka AFT (Authenticated Firewall Traversal) nei browser (es. FX e IE) i client devono essere modificati: nei firewall (es. IBM) standard: telnet, ftp, finger, whois libreria per sviluppare propri client

9 RFC-1929 Username/password authentication for SOCKS V5 RFC-1961 GSS-API SOCKS authentication RFCs method for SOCKS V5 RFC-1928 RFC-3089 SOCKS A SOCKS-based protocol IPv6/IPv4 V5 gateway mechanism RFC-1929 Username/password authentication for SOCKS V5 RFC-1961 GSS-API authentication method for SOCKS V5 RFC-3089 A SOCKS-based IPv6/IPv4 gateway mechanism SOCKS: funzionamento la libreria rimpiazza le funzioni standard per maneggiare i socket connect(), bind(), accept(), con funzioni che: SOCKS: funzionamento aprono un canale col SOCKS server la libreria inviano rimpiazza version, IP:port, le funzioni user standard per maneggiare il server SOCKS: i socket connect(), bind(), accept(),... controlla la ACL... con funzioni che: apre il SOCKS: canale richiesto critiche (col proprio iniziali IP) e lo aprono "congiunge" canale con quello col SOCKS internoserver SOCKS inviano v4: version, IP:port, user il server non distingue SOCKS: la da quella esterna controlla l autenticazione la ACL degli utenti è molto debole (si basa su identd apre il SOCKS: o configurazione canale richiesto critiche locale (col proprio iniziali del client) IP) e lo "congiunge" supporta solo con TCP quello interno SOCKS v4: soluzione non distingue = SOCKS la v5: da quella esterna l autenticazione supporta anche UDP degli utenti è molto debole (si basa su identd o configurazione locale del client) migliore autenticazione (user+pwd o GSS-API) supporta solo TCP crittografia (tra client e server SOCKS) ioy - Politecnico di Torino ( ) 17 ioy - Politecnico di Torino ( ) 17 soluzione = SOCKS v5: supporta anche UDP migliore autenticazione (user+pwd o GSS-API) crittografia (tra client e server SOCKS) Reverse proxy un server HTTP che fa solo da front-end e poi passa le richieste al vero server benefici: obfuscation (non Reverse dichiara proxy il vero tipo di server) load balancer un server acceleratore HTTP SSL che (con fa solo back-end da front-end non protetto e poi ) passa le richieste al vero server web accelerator (=cache di contenuti statici) benefici: compressione obfuscation (non dichiara il vero tipo di server) spoon feeding (riceve dal server tutta una pagina load creata balancer dinamicamente e la serve poco per volta al acceleratore client, scaricando SSL (con così il back-end server applicativo) non protetto ) web accelerator (=cache di contenuti statici)

10 esterna esterna Configurazioni di reverse proxy firewall esterna reverse proxy firewall reverse esterna proxy serv1 serv2 firewall serv1 serv2 firewall VPN reverse proxy reverse proxy serv1 serv2 serv1 serv2 VPN Stealth firewall firewall privo di un indirizzo di, così da non essere attaccabile direttamente intercetta i pacchetti fisicamente, mettendo la propria interfaccia di in modo promiscuo Stealth firewall firewall privo di un indirizzo di, così da non essere attaccabile direttamente stealth esterna firewall intercetta i pacchetti fisicamente, mettendo la propria interfaccia di in modo promiscuo Local / personal firewall firewall installato direttamente sul nodo da difendere tipicamente un packet stealth filter rispetto esterna ad un normale firewall firewall in può controllare Local i programmi / personal a cui è firewall permesso: aprire collegamenti in verso altri nodi (ossia firewall agire installato come client) direttamente sul nodo da difendere ioy - Politecnico tipicamente ricevere di Torino ( ) richieste un packet di collegamento filter / servizio (ossia 19 agire da server) rispetto ad un normale firewall in può controllare importante per i programmi limitare la a diffusione cui è permesso: di malware o trojan, o semplici errori di installazione aprire collegamenti in verso altri nodi (ossia gestione agire come firewall client) distinta da gestione sistemistica ioy - Politecnico ricevere di Torino ( ) richieste di collegamento / servizio (ossia 19 agire da server) importante per limitare la diffusione di malware o trojan, o semplici errori di installazione gestione firewall distinta da gestione sistemistica Protezione offerta da un firewall i firewall sono efficaci al 100% solo relativamente agli attacchi sui canali che sono bloccati per gli altri canali occorrono altre difese: VPN Protezione offerta da un firewall firewall semantici / IDS i firewall sicurezza sono applicativa efficaci al 100% solo relativamente agli attacchi sui canali che sono bloccati per gli altri canali occorrono altre F difese: VPN W firewall semantici / IDS sicurezza applicativa

11 sistema per identificare individui che usano un computer o una senza autorizzazione Intrusion Detection System (IDS) esteso anche all identificazione di utenti autorizzati, ma che violano i loro privilegi definizione: ipotesi: sistema il pattern per di identificare comportamento individui degli che utenti usano non un computer autorizzati o si una differenzia senza da quello autorizzazione degli utenti autorizzati esteso anche all identificazione di utenti autorizzati, ma che violano i loro privilegi ipotesi: il pattern di comportamento degli utenti non autorizzati si differenzia da quello degli utenti autorizzati IDS: caratteristiche funzionali IDS passivi: uso di checksum crittografiche (es. tripwire) riconoscimento di pattern ( attack signature ) IDS attivi: IDS: caratteristiche funzionali learning = analisi statistica del funzionamento del IDS sistema passivi: uso monitoring di checksum =analisi crittografiche attiva di traffico (es. tripwire) dati, sequenze, azioni riconoscimento di pattern ( attack signature ) IDS reaction IDS: caratteristiche attivi: = confronto con parametri topologiche statistici (reazione scatta al superamento di una soglia) HIDS learning (host-based = analisi IDS) statistica del funzionamento del sistema analisi dei log (del S.O. o delle applicazioni) monitoring =analisi attiva di traffico dati, sequenze, azioni attivazione di strumenti di monitoraggio interni al S.O. reaction IDS: caratteristiche = confronto con parametri topologiche statistici NIDS (reazione (network-based scatta al superamento IDS) di una soglia) HIDS attivazione (host-based di strumenti IDS) di monitoraggio del traffico di analisi dei log (del S.O. o delle applicazioni) attivazione di strumenti di monitoraggio interni al S.O. NIDS (network-based IDS) attivazione di strumenti di monitoraggio del traffico di ioy - Politecnico di Torino ( ) 21 ioy - Politecnico di Torino ( ) 21 SIV e LFM System Integrity Verifier controlla i file / filesystem di un nodo per rilevarne cambiamenti es. rileva modifiche SIV ai e registri LFMdi Windows o alla configurazione di cron, cambio privilegi di un utente System es. tripwire Integrity Verifier Log controlla File Monitor i file / filesystem di un nodo per rilevarne cambiamenti controlla i file di log (S.O. e applicazioni) es. rileva rileva pattern modifiche conosciuti ai registri derivanti di Windows da attacchi o alla o da configurazione tentativi di attacco di cron, cambio privilegi di un utente es. tripwire swatch Log File Monitor

12 controlla traffico e log individuando pattern sospetti attiva i security event rilevanti Componenti di un NIDS interagisce con il sistema (ACLs, TCP reset,... ) director sensor coordina i sensor controlla traffico e log individuando pattern sospetti gestisce il security database attiva i security event rilevanti IDS message system interagisce con il sistema (ACLs, TCP reset,... ) consente la comunicazione sicura ed affidabile tra i director componenti dell IDS coordina i sensor gestisce il security database IDS message system consente la comunicazione sicura ed affidabile tra i componenti dell IDS Architettura di un NIDS Architettura (host) di un NIDS sensor(s) IDS director esterna (net) sensor (host) FW sensor(s) IDS (host) director sensor(s) Interoperabilità di IDS/NIDS (net) sensor(s) necessaria perché attacchi coinvolgono differenti organizzazioni e/o sono rilevate da diversi strumenti (host) (net) sensor(s) sensor nessuno Interoperabilità standard, ma molto di IDS/NIDS diffuso il formato di Snort (net) FW esterna sensor(s) formato di signature: necessaria formato degli perché allarmi attacchi e protocollo coinvolgono per la loro differenti trasmissione: organizzazioni e/o sono rilevate da diversi strumenti formato IDMEF di + signature: IDXP + IODEF (IETF) nessuno SDEE (Cisco, standard, ISS, ma SourceFire) molto diffuso il formato di Snort formato degli allarmi e protocollo per la loro trasmissione: ioy - Politecnico di Torino ( ) 23 ioy - Politecnico di Torino ( ) 23 IDMEF + IDXP + IODEF (IETF) SDEE (Cisco, ISS, SourceFire) Intrusion Prevention System per velocizzare ed automatizzare la risposta alle intrusioni = IDS + firewall dinamico distribuito non un prodotto ma una tecnologia, con grosso impatto su tanti elementi del sistema di protezione Intrusion pericolo di Prevention prendere la System decisione sbagliata o di bloccare traffico innocuo per velocizzare ed automatizzare la risposta alle intrusioni = IDS + firewall dinamico distribuito non un prodotto ma una tecnologia, con grosso impatto su tanti elementi del sistema di protezione pericolo di prendere la decisione sbagliata o di bloccare traffico innocuo

13 network external network Honey pot honey pot (attacchi esterni) web server Decoy web server l trusted host network honey pot Decoy (attacchi honey esterni) pot (attacchi interni) l network trusted host honey pot (attacchi interni) ioy - Politecnico di Torino ( ) 25 ioy - Politecnico di Torino ( ) 25