Analizziamo quindi in dettaglio il packet filtering

Transcript

1 Packet filtering Diamo per noti I seguenti concetti: Cosa e un firewall Come funziona un firewall (packet filtering, proxy services) Le diverse architetture firewall Cosa e una politica di sicurezza Politica di default permit e default deny Differenze tra host e network security: pregi e difetti dei due diversi modelli di sicurezza Analizziamo quindi in dettaglio il packet filtering

2 Packet filtering Accesso selettivo dei pacchetti di rete, effettuato a livello dei diversi layer TCP/IP: TCP, UDP, IP, ICMP, livello applicativo. Posso scegliere ad esempio di consentire il traffico di rete di tipo ssh entrante nella mia network, ma di inibire il telnet (perche?) Il filtering viene effettuato tramite procedure di routing dalla macchina che si occupa del forwarding dei pacchetti (checkpoint, Cisco,..) Oppure utilizzando il bridging (prossima diapositiva) Oppure tramite le interfacce singole dei PC (Serie 3com processore 3XP e seguenti) e una console centralizzata. Quest ultima soluzione rappresenta un ibrido tra la host e la network security, perche il filtering avviene a livello host, mentre il controllo e centralizzato. Questo approccio misto presenta pregi e difetti: E possibile creare una politica di sicurezza per attacchi provenienti da Intranet (malicious user) e avere inoltre una fine modularita nella scelta delle regole (controllare promiscuous mode, inibire l accesso ai dispositivi di rete del backbone, inutilita del password sniffing etc.). Inoltre e meno critico nei confronti di buffer overflow verso il firewall stesso Non si ha la certezza che un utente cambi il Nic e quindi sia totalmente esposto ad Internet (se manca un firewall classico)

3 Bridging firewall

4 Packet filtering Bisogna distinguere il concetto di filtering di un servizio da quello di filtering sui pacchetti tcp/ip. Alcune volte coincide, altre volte no (es. Protocollo ftp). Bisogna stare attenti alle soluzioni adottate e ricordare che I protocolli di rete prevedono il traffico in senso bidirezionale: se voglio ad esempio che I miei utenti utilizzino I servizi di Internet, ma che dall esterno nessuno usi I miei servizi, non posso eliminare I pacchetti entranti.

5 Esempio di connessione dal mio client verso un http server esterno: per funzionare devo consentire all informazione di entrare nella mia rete TCP SIP= SPORT=2301 DIP= DPORT= Devo consentire quindi I pacchetti entranti con certe caratteristiche di connessione (SIP, DIP, SPORT, DPORT) TCP SIP= SPORT=80 DIP= DPORT=2301

6 Titolo In tutti gli esempi che seguono ipotizziamo che ci sia una rete interna, detta Intranet e una rete esterna detta Internet (la realtà è molto più complessa). La caratteristica fondamentale di tutti I sistemi di PF e che i set di filtering possono essere distinti sulle varie interfacce. Inoltre viene fatta una distinzione tra pacchetti entranti e uscenti dal ogni singola interfaccia. Notare che di solito I pacchetti provenienti da Internet hanno SIP=Internet_IP e DIP=My_net_ip, ma non e sempre vero!!!!! Esempio: smurf attack!

7 Filtering bidirezionale: esempio su telnet Workstation Ethernet Sport=2400 Dport=23 Sport=23 Dport=2400 Firewall Ethernet Server

8 Basic Packet filtering Cerchiamo di capire in che modo si può implementare un filtraggio dei pacchetti tramite il basic packet filtering, basato su SIP,DIP,SPORT e DPORT. Nel caso in cui si scelga una politica di default permit selettivamente disattivo I servizi che ritengo essere pericolosi, creando regole del tipo: Si ai pacchetti entranti con dport > 1023 (1) No ai pacchetti entranti con dport =2049 (2) Si ai pacchetti entranti con dport=22,25,80 (ad esempio). (3) No ai pacchetti entranti con dport < 1023 (4) Si a tutto il resto (5) Apparentemente la regola 1 e 2 nonchè 3 e 4 sono in contrasto; questo ci consente di introdurre il concetto dell ordine nel PF: quando un router (che si possa definire tale) riceve istruzioni di filtraggio crea una tabella (simile a quella di routing) che viene esaminata per ogni pacchetto ricevuto in maniera sequenziale.

9 Basic Packet filtering Il modo in cui vengono scritte le regole è fondamentale: dalla tabella precedente si capisce che si vuole vietare NFS (porta 2049 sia di tcp che di udp). Se arriva un tentativo di connessione NFS la regola (1) consente di fatto il pacchetto, mentre la (2) non verrà mai utilizzata dal router. L ordine di sequenza corretto per il PF è quindi No ai pacchetti entranti con dport =2049 (2) Si ai pacchetti entranti con dport > 1023 (1) Si ai pacchetti entranti con dport=22,25,80 (ad esempio). (3) No ai pacchetti entranti con dport < 1023 (4) Si a tutto il resto (5) Cosa succederebbe nel caso in cui le regole fossero messe nell ordine 2,1,4,3,5?

10 Basic Packet filtering Osservazione: una politica di questo tipo prevede che siano noti nei dettagli tutti I servizi pericolosi (impossibile!). E positivo invece l aspetto relativo all elasticità del servizio offerto, in quanto soprattutto in fase iniziale il firewall si presenta facile da gestire nei confronti dell utenza. Ci sono grossi limiti con un approccio di questo tipo, perche non sappiamo con certezza quali sono le porte usate dai server che abbiamo nella nostra Intranet, e quindi rischiamo di lasciare aperte troppe porte (gnucleus, ftp su porte non standard, NFS, NIS, applicazioni basate su RPC portmapper, ) Nota generale: da questo semplice utilizzo del PF si capisce subito come il PF sia effettuato a livello 2/3 della pila TCP/IP (3/4 di ISO/OSI) e non a livello applicativo: io posso inibire o autorizzare l uso del telnet in generale, non posso fare in modo che solo quell utenti usi telnet. L unica eccezione a questa regola è costituita dai firewall applicativi Politica di default in fondo al ruleset

11 Basic packet filtering Esistono analoghe regole di filtering anche sui protocolli di rete che non usano porte (ICMP). Il protocollo TCP ha una caratteristica fondamentale che lo distingue da UDP e ICMP: il bit di ack. Controllando questo bit possiamo capire quale dei due host ha iniziato la connessione (quello interno o quello esterno) e conseguentemente decidere il da farsi. Prendiamo come esempio la seguente politica di default deny: Consenti tutte le comunicazioni iniziate dall interno Vieta tutte le connessioni entranti ad eccezione di posta elettronica e web Direzione Indirizzo sorgente Indirizzo destinazione Azione Interno Esterno Interno se bit ack=1 Interno Esterno Interno se dport=25, 80 Interno Esterno Interno vieta

12 Basic Packet filtering Ovviamente oltre al filtering in ingresso aggiungiamo sempre apposite limitazioni per le connessioni in uscita, ad esempio potremmo pensare di costringere l utenza interna a passare attraverso il proxy web server per quanto riguarda http, e impedire l uso dei server irc: Direzione Indirizzo sorgente Indirizzo destinazione Azione Esterno Interno, proxy server Esterno Esterno Interno Esterno, verso porta 80 Vieta Esterno Interno Esterno, verso porta 6667 Vieta Esterno Esterno Esterno Vieta Esterno Interno Esterno Da notare nella tabella la regola num.4 (anti-spoofing) che viene usata per impedire che dall interno della nostra rete vengano generati attacchi di tipo DoS, e la politica di default (regola n. 5).

13 Stateful packet filtering Le implementazioni più moderni del PF (tra queste Linux è stato uno dei primi oltre naturalmente a open-bsd) prevedono la possibilità di tenere traccia dello stato delle connessioni. In questo modo si possono creare delle eccezioni temporanee nelle regole di PF quando si verificano determinate condizioni. Esempio: normalmente nelle configurazioni standard di un firewall I pacchetti di tipo udp entrante sono proibiti, date le caratteristiche di udp (utilizzato da programmi non strategici e mancanza del bit di ack). Può essere utile consentire il traffico udp iniziato dall interno. Questo si può ottenere con un sistema di PF di tipo stateful. Indispensabile per certi tipi di protocolli, come ftp in modalità attiva. Maggior controllo sulle connessioni. Problemi di performance (gestione dei timeout della tabella delle connessioni) e possibilità superiori di denial of service. Oltre a filtrare sulla base delle caratteristiche del pacchetto tengono traccia dello stato

14 Stateful packet filtering:udp

15 Packet filtering E importante avere il controllo sui pacchetti che vengono scartati, per migliorare le politiche di sicurezza e per avere traccia dei tentativi di intrusione non andati a buon fine Syslog su macchina Unix Supporto cartaceo Anche alcuni pacchetti autorizzati possono essere monitorati (start of connection tcp)

16 Packet filtering: codici di errore Se un pacchetto viene scartato, puo succedere che il router restituisca un codice d errore (icmp). Host unreachable e destination unreachable Host administratively unreachable e destination administratively unreachable In generale restituire codici errore ICMP e dannoso perche sottopone il router a un ulteriore carico di lavoro, e quindi facilita l esecuzione di un DoS. Inoltre consente di conoscere facilmente le regole di filtraggio del nostro sistema. Alcuni host reagiscono in maniera eccessiva agli errori ICMP Non restituire il codice di errore ICMP puo generare invece traffico inutile sulla rete.

17 Packet filtering: regole pratiche Editing del file su PC delle regole di PF (commentato) Protezione da terzi dello stesso file Caricamento via tftp o altri tipi di file transfer sul router (difficolta di aggiornamento a caldo data la natura di scansione sequenziale della tabella) Utilizzo dell ip address e non del nome corrispondente (dns cache poisoning)

18 Packet filtering: limiti Filtraggio basato sull ip address sorgente: e possibile per un hacker effettuare due diversi tipi di attacco, quello cieco e quello di tipo man in the middle Nell attacco cieco impersono la macchina che ha una relazione di trust (creando pacchetti IP ad arte) e spedisco dati che quindi oltrepassano il firewall e vanno verso la vittima. Ovviamente le risposte non mi arrivano ma ci sono casi in cui questo non e importante (ad esempio se mi faccio spedire via mail il file delle password). Il principale problema e rappresentato dalle risposte della vittima, che mi devo preoccupare di silenziare: Macchina vittima spenta Macchina vittima in crash Macchina vittima sotto flood attack Riconfigurazione dei router nel mezzo Attacco in cui il reset spedito da spoofed_ip a vittima non e importante

19 Packet filtering: limiti Nell attacco del tipo man in the middle non solo mi fingo un host diverso ma sono anche in grado di intercettare I pacchetti di risposta e sostenere una conversazione completa. E necessario per porre in pratica questo attacco una delle due seguenti condizioni: Posizionare la macchina attaccante lungo il percorso che I pacchetti IP fanno in Internet (piu semplice alle estremita ) Confondere I router di backbone allo scopo di mandare I pacchetti IP destinati all host trusted verso la macchina attaccante Dal punto di vista pratico e un attacco abbastanza teorico anche se in Lan si puo fare agevolmente (TCP Hijacking mediante Hunt o JuggerNaut).

20 Implementazioni pratiche di PF Analizziamo l implementazione del filtering effettuata sui router della Cisco (Ios 11.2, un po datato). Inizialmente si definisce una access-list usando la sintassi generale: Access-list number {permit-deny} protocol source source-wildcard dest destwildcard [log] No Access-list number In particolare per ogni protocollo esiste una sintassi ad hoc. Esempio: access-list 111 permit tcp any host eq smtp access-list 111 deny tcp any eq smtp log access-list 111 permit ip any Source-wildcard e destination-wildcard: bit di wildcard da applicare all indirizzo. Esistono anche le due forme any ( = ) e host ( = )

21 Implementazioni pratiche di PF Una volta creata la access-list questa si applica ad un interfaccia (di solito quelle seriali che connettono verso Internet) tramite il comando Ip access-group access-list number {in out} Esempio: interface Serial0/0 description Prima linea ip address ip access-group 111 in ip access-group 121 out bandwidth 2048 Notare I due differenti set di filtering in ingresso e uscita dall interfaccia seriale

22 Implementazioni pratiche di PF Analizzando Linux, la situazione e leggermente diversa. Ipfw, ipchains e iptables sono 3 differenti implementazioni (in ordine cronologico e di potenzialita ) Esistono 3 catene principali, input output e forward. Ad ogni catena viene applicata una policy differente. Input = per I pacchetti entranti nella macchina Output = per I pacchetti uscenti Forward = per I pacchetti che passano da un interfaccia all altra (routing, Nat etc.) Ogni catena ha un target (cioe la destinazione del pacchetto in esame), che puo essere uno dei seguenti: deny reject accept masq redirect user-chain Il filtering e molto flessibile (oltre che essere stateful): icmp type and code, frammenti di IP, tcp start of connection packet.

23 Implementazioni pratiche di PF Esempio di iptables: /usr/sbin/iptables -P INPUT DROP /usr/sbin/iptables -N icmp_packets /usr/sbin/iptables -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT /usr/sbin/iptables -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT /usr/sbin/iptables -A INPUT -p TCP -i eth0 -j tcp_packets /usr/sbin/iptables -A INPUT -p ICMP -i eth0 -j icmp_packets /usr/sbin/iptables -A INPUT -p UDP -i eth0 -j udp_packets Viene definita per ogni catena la policy di default tramite iptables -P, e poi vengono aggiunte le regole tramite iptables -A Iptables -N genera le nuove catene di filtering

24 Implementazioni pratiche di PF Linux firewall e in grado di effettuare il masquerading: in questa configurazione le connessioni vengono rimappate dal firewall a partire dalla porta (in su). Vantaggi del sistema sono la completa trasparenza della rete interna da parte di un utente di Internet (no port-scan) Possibilita di effettuare masquerading su protocolli complicati (ftp, realaudio, etc) Le connessioni entranti vengono controllate direttamente dal firewall, che si presuppone abbia una implementazione dello stack tcp/ip e dei demoni di sistema affidabile (piu difficile eseguire buffer overflow)

25 Linux Masquerading: connessioni uscenti da :2007 a :80 da :61005 a : da :80 a :2007 da :80 a :61005

26 Regole generali per il packet filtering Difesa in profondita Politica esplicita di default deny Regole anti-spoofing (verso l interno e verso l esterno) Vietare il traffico con indirizzi sorgente IP falsi (broadcast ad esempio) Vietare il traffico con le IP options settate (strict and loose source routing, record route) Evitare il forwarding dei pacchetti che vanno verso indirizzi di broadcast Vietare il traffico ICMP oltre una determinata soglia in kbytes Riassemblare I frammenti IP prima di analizzare il pacchetto verso il set di filtering

27 Esempio di applicazione di regole di PF Mettiamoci nella seguente ipotesi di lavoro: voglio consentire le connessioni entranti e uscenti di tipo smtp attraverso il mio firewall e nient altro. Ci ricordiamo che il server smtp e sulla porta 25, mentre I client usano porte effimere ( > 1023). Direzione Indirizzo sorgente Indirizzo destinazione Azione In Internet My_net, porta 25 Out My_net Internet, porta > 1023 Out Interno Internet, porta 25 In Internet My_net, porta > 1023 In/Out Qualsiasi Qualsiasi Vieta

28 Esempio di applicazione di regole di PF C e un problema: cosa succede se un computer esterno cerca di usare il mio proxy web server (porta 8080)? Connessione da diciamo (ip-internet:5050) -> (ip-my_net:8080) e viceversa (ip-my_net:8080) -> (ip-internet:5050). I pacchetti entranti sono ammessi dalla regola 4, quelli uscenti dalla 2. Non va ancora bene. Il problema si capisce essere la porta del PC che sta in Internet. Direzione Indirizzo sorgente Indirizzo destinazione Azione In Internet My_net, porta 25 Out My_net, porta 25 Internet, porta > 1023 Out Interno Internet, porta 25 In Internet, porta 25 My_net, porta > 1023 In/Out Qualsiasi Qualsiasi Vieta

29 Esempio di applicazione di regole di PF E stato sufficiente modificare la 2 e la 4 per ottenere lo scopo, gia che ci sono cambio anche la 1 e la 3 in accordo con la mia politica. Direzione Indirizzo sorgente Indirizzo destinazione Azione In Internet, porta > 1023 My_net, porta 25 Out My_net, porta 25 Internet, porta > 1023 Out Interno, porta > 1023 Internet, porta 25 In Internet, porta 25 My_net, porta > 1023 In/Out Qualsiasi Qualsiasi Vieta Che succede pero se l hacker utilizza il source port spoofing? (Disabilita sendmail e setta la sua porta 25 per usare il proxy server).

30 Esempio di applicazione di regole di PF (ip-internet:25) -> (ip-my_net:8080) e viceversa (ip-my_net:8080) -> (ip-internet:25). Le regole 4 e 2 consentono ancora il passaggio bidirezionale dei pacchetti. Utilizzo allora il filtering sul bit di ack, consentendo le connessioni di quel tipo solo se iniziate dall interno (il server smtp e vero!) Direzione Indirizzo sorgente Indirizzo destinazione Ack bit Azione In Internet, porta > 1023 My_net, porta 25 Any Out My_net, porta 25 Internet, porta > 1023 Si Out Interno, porta > 1023 Internet, porta 25 Any In Internet, porta 25 My_net, porta > 1023 Si In/Out Qualsiasi Qualsiasi Any Vieta