Petra Internet Framework Simplifying Internet Management Link s.r.l. Petra Internet Firewall Corso di Formazione Argomenti Breve introduzione ai Firewall: Definizioni Nat (masquerade) Routing, Packet filter, Proxies, Antispoofing Controllo del traffico La soluzione Petra Internet Firewall (Pif) Scenari di utilizzo di Pif e loro configurazione (Interfaccia Amministratore) Manutenzione ordinaria di Pif (Interfaccia Operatore): Controllo degli eventi di sicurezza L Intrusion Detection System (IDS) Personalizzazione degli scenari: Come creare nuovi filtri o modificare quelli predefiniti Uso avanzato delle opzioni proxy Aspetti di configurazione del routing Route statiche Masquerade e Forwarding in alternativa ai proxy
INTRODUZIONE AI FIREWALL nozioni fondamentali chiavi di lettura degli scenari Cos è un firewall un firewall è un sistema che ha lo scopo di controllare il traffico fra due o più reti: permettendo solo quello autorizzato dalla politica di sicurezza; rilevando e segnalando eventuali tentativi di violazione della politica di sicurezza; svolgendo eventualmente funzioni aggiuntive di auditing e accounting.
Perché installare un firewall per permettere l accesso ai sistemi o servizi di una rete protetta: agli utenti autorizzati ai sistemi autorizzati per permettere agli utenti e sistemi di una rete protetta di accedere ai sistemi e servizi di una rete non protetta: solo se il rischio è accettabile registrando le attività 5 Un tipico scenario Server di di Progetto (extranet) Separazione Separazione fra fra servizi, servizi, sistemi sistemi e e reti reti con con diversi diversi requisiti requisiti di di sicurezza sicurezza Rete Privata (intranet) FIREWALL Internet Servizi Pubblici (web,ftp,..) (dmz)
Vantaggi centralizzazione della politica di sicurezza; single point of failure; gestione con personale competente; sistema specializzato. 7 Svantaggi difficoltà con protocolli non banali; gestione complessa: configurazione verifica analisi dei log costi.
Cosa un firewall non può fare You can t solve social problems with software - M. J. Ranum 9 Firewall: concetti fondamentali nat, masquerade, antispoofing controllo del traffico, packet filter routing, forwarding, proxy
NAT non è un meccanismo di sicurezza (anche se c è qualche vantaggio): NAT statico: 1 IP interno <=> 1 IP esterno NAT dinamico: pool di indirizzi esterni Masquerade: 1 indirizzo esterno non c è controllo del traffico sui singoli indirizzi; senza specifiche ACL si accede comunque agli indirizzi interni; 11 Masquerade (un nat particolare) è il NAT in cui è disponibile un unico indirizzo pubblico; non è utilizzabile per i server.
Protezione dall IP spoofing vogliamo evitare che: possano essere inseriti pacchetti falsificati nella nostra rete; la nostra rete possa essere usata per inviare pacchetti falsificati. 13 Antispoofing si associano reti a interfacce; si scartano tutti i pacchetti provenienti da un interfaccia che hanno un indirizzo mittente non appartenente ad una rete raggiungibile da quella interfaccia (default gateway + route statiche).
Antispoofing: un esempio Internet Rete Privata eth1:192.168.1.1 FIREWALL eth0:192.168.2.1 Router (default gateway) 192.168.1.0 192.168.5.0 192.168.2.2 212 131 4 16 192 168 1 25 212 131 4 16 192 168 1 25 192 168 5 47 192 168 5 47 15 Controllo del traffico i n t e r n e t Traffico consentito Tutto il traffico Traffico consentito Proxy Traffico consentito r e t e l o c a l e
Router (forwarding) Traffico in uscita Traffico in entrata router Tutto il traffico 17 Packet Filter (forwarding) Traffico bloccato Traffico in entrata Traffico bloccato Traffico in uscita Packet filter (screening router) Traffico consentito
Proxy (no forwarding) Proxy Traffico bloccato Traffico in entrata redirezione Filtri in ingresso redirezione Traffico bloccato Traffico in uscita Proxy Filtri in uscita Traffico consentito Proxy Traffico consentito 19 Parametri di filtraggio header IP: mittente; destinatario; protocollo; header TCP/UDP: porta mittente; porta destinataria; flag TCP (SYN, ACK).
Azioni possibili accettare il pacchetto (ACCEPT); scartare il pacchetto (DENY, non avvisa il mittente); rifiutare il pacchetto (REJECT, avvisa il mittente, es. ICMP port unreachable); nat; log; default deny/default permit; filtri dinamici. 21 I proxy Connesione client/proxy Proxy Connesione proxy/server Client Server ricevono la connessione dal client; aprono una nuova connessione verso il server; il traffico TCP/IP non passa direttamente da client a server.
Vantaggi dei proxy Il traffico non passa direttamente fra client e server: non sono possibili attacchi basati su TCP/IP; è immediato realizzare meccanismi per ispezionare i dati (meno banale capire cosa cercare); permettono di aggiungere meccanismi di autenticazione centralizzati (purché compatibili con il protocollo). 23 Svantaggi dei proxy difficoltà nella gestione dei livelli bassi dello stack: ping, traceroute richiedono un proxy specifico per ogni protocollo non gestibile da un proxy generico: ftp, corba, h323 (videoconferenza); prestazioni.
Proxy generici (Circuit Level Gateways) non sono realizzati per la gestione di uno specifico protocollo; passano da un lato all altro del proxy i dati TCP/UDP; evitano gli attacchi dei livelli bassi dello stack; permettono di gestire i protocolli che non fanno contrattazione dinamica di porte. 25 Proxy specifici (Application Level Gateways) sono realizzati per la gestione di uno specifico protocollo; gestiscono meccanismi di contrattazione di porte; esaminano i dati trasmessi alla ricerca di attacchi o traffico non autorizzato (content inspection). In pratica però la maggior parte si limita alla correttezza del protocollo; permettono un autenticazione compatibile con il protocollo.
Proxy trasparenti l uso di proxy richiede che la connessione avvenga tra client e proxy; Problema: non tutti i protocolli supportano l uso di proxy; Soluzione: mediante un proxy trasparente il client crede di comunicare con il server e la comunicazione viene intercettata dal proxy. 27 Proxy trasparenti (1) Proxy Client TCP/IP Server le informazioni sul server (indirizzo e protocollo) sono prese direttamente dai pacchetti IP; sono invisibili al client: possono essere usati con client generici; richiedono la risoluzione DNS da parte dei client.
La soluzione Petra Petra Internet Firewall (Pif) integra in un unico prodotto software tutti gli strumenti per la gestione di un firewall in ambiente Linux; offre un'interfaccia di gestione user-friendly estremamente flessibile; la soluzione software garantisce flessibilità nella scelta dell'hardware (dimensionamento, numero e tipo di interfacce di rete,...).
Presence) Internet Connessione Dedicata Proxy Module VPN Module Petra Firewall Routing Module Proxy Module VPN Module News Module Petra Internet Presence Client Lettura e Spedizione Email Richieste Web 31 Scenari di utilizzo Una panoramica degli scenari più comuni di applicazione di Pif
Architettura scenario 1 Il fireawall deve permettere ai client della rete locale di accedere ai servizi DNS e Mail presso il Provider Gli unici servizi locali sono il DHCP e il Proxy (opzionale) 33 Architettura scenario 2 Il Provider fornisce unicamente il servizio di DNS secondario Il firewall deve rendere pubblici (accessibili da Internet) i servizi della DMZ. Il firewall deve permettere ai client della rete privata di accedere ai servizi della DMZ Servizi per la Rete Privata
Architettura scenario 3 Il firewall deve rendere pubblici (accessibili da Internet) i servizi della DMZ. Il firewall deve permettere lo scambio di informazioni tra i server Mail e DNS della Rete Privata e DMZ. 35 Configurazione di Pif Interfaccia Amministratore
Default di configurazione Dopo l installazione: i dati di rete sono quelli forniti in fase di installazione (vedi tabelle della Guida Utente); il dominio è settato a example.com; i servizi DNS e Mail sono configurati come name server primario e mailserver primario; tutti i servizi, ad eccezione del Web, sono in stato DOWN; non sono registrati utenti (i login root e petra sono predefiniti); non sono registrati host nel DNS (solo il sistema stesso); non è attivo alcun tipo di routing. 37 Passi di configurazione registrare il prodotto; configurare il firewall secondo lo scenario: Routing Servizi Filtri (configurazione predefinita o manuale) abilitare il logging (opzionale); attivare il servizio ACL.
Interfaccia di Amministrazione Avvio->Programmi->Link.it-> Avvio->Programmi->Link.it-> Petra Petra WinClient WinClient 39 Registrazione del prodotto Dati dell organizzazione del cliente
Configurazione scenario 1 Configurazione del routing Configurazione dei servizi Configurazione delle access list Architettura scenario 1 Il fireawall deve permettere ai client della rete locale di accedere ai servizi DNS e Mail presso il Provider Gli unici servizi locali sono il DHCP e il Proxy (opzionale)
Configurazione del routing Eth0: interfaccia verso la rete privata (creata automaticamente coi dati forniti in fase di installazione) Il Proxy Arp è disabilitato Il Forwarding è disabilitato Eth1: Interfaccia verso la rete pubblica (da aggiungere) Nessuna route statica Il masquerade non è attivo 43 Configurazione (e verifica) dei dati di rete L indirizzo del router esterno La netmask della rete interna L indirizzo del firewall sulla rete interna
Configurazione del dominio Inserire il nome del dominio registrato presso il NIC Indirizzo del server DNS del Provider 45 Configurazione hosts Inserire il nome dell host che identifica l interfaccia verso la Rete Pubblica
Configurazione dei servizi del Firewall assicurarsi che siano in stato DOWN i servizi Web, Mail e DNS; configurare e attivare il servizio DHCP; indicare il nome del mailserver presso il Provider nel campo Local Relay del pannello Services:Mail:Server 47 Configurazione del Firewall Range di porte utilizzate dal sistema per i proxy Settare la Default Policy a DENY Abilitare i report Indirizzo a cui spedire i report Load della configurazione PrivateNet Pagina dei report protetta da password
Configurazione del Firewall (1) Sostituire coi valori opportuni gli indirizzi degli oggetti: ispnameserverobj ispmailserverobj privatenetobj 49 Configurazione del Firewall (2) Attivare il servizio ATTENZIONE: questo blocca tutto il traffico non autorizzato
Configurazione scenario 2 Architettura scenario 2 Il Provider fornisce unicamente il servizio di DNS secondario Il firewall deve rendere pubblici (accessibili da Internet) i servizi della DMZ. Il firewall deve permettere ai client della rete privata di accedere ai servizi della DMZ Servizi per la Rete Privata
Configurazione del routing Eth2: Interfaccia verso la DMZ (da aggiungere) 53 Configurazione hosts Inserire il nome dell host che identifica línterfaccia verso la DMZ
Configurazione dei servizi del Firewall assicurarsi che siano in stato DOWN i servizi, Mail e DNS; configurare e attivare il servizio DHCP; indicare l indirizzo mailserver della DMZ nei campi Local Relay e Outgoing Relay del pannello Services:Mail:Server. 55 Configurazione dei servizi della DMZ DNS Server: configurarlo come Name Server Primario del dominio; utilizzare l opzione Forwarder Only, indicando come forwarders gli indirizzi corrispondenti ai Name Server secondari del Provider
Configurazione dei servizi della DMZ (1) Mail Server: configurarlo come Mail Server del dominio; se sono attive funzionalità AntiRelay assicurarsi che solo i client della Rete Privata siano abilitati ad utilizzare il servizio SMTP. 57 Configurazione del Firewall Load della configurazione DmzNet1
Configurazione del Firewall (1) Sostituire coi valori opportuni gli indirizzi degli oggetti: privatenetobj dmznetobj ispnameserver01obj ispnameserver02obj dnspubserver webpubserver ftppubserver mailpubserver dnssecserverobj 59 Configurazione scenario 3
Architettura scenario 3 Il firewall deve rendere pubblici (accessibili da Internet) i servizi della DMZ. Il firewall deve permettere lo scambio di informazioni tra i server Mail e DNS della Rete Privata e DMZ. 61 Configurazione dei servizi del Firewall assicurarsi che siano in stato DOWN i servizi, Mail, DNS e DHCP; indicare l indirizzo del mailserver nella Rete Privata nel campo Local Relay del pannello Services:Mail:Server. indicare l indirizzo del mailserver nella Rete Pubblica nel campo Outging Relay del pannello Services:Mail:Server.
Configurazione dei servizi della DMZ DNS Server: configurarlo come Name Server Primario del dominio; utilizzare l opzione Forwarder Only, indicando come forwarders gli indirizzi corrispondenti ai Name Server secondari del Provider 63 Configurazione dei servizi della DMZ (1) Mail Server: configurarlo come Mail Server del dominio; indicare come Local Relay l indirizzo del mailserver sulla Rete Privata (redirezione della posta locale); se sono attive funzionalità AntiRelay assicurarsi che solo il Mail Server della Rete Privata sia abilitato ad utilizzare il servizio SMTP.
Configurazione dei servizi della Rete Privata DNS Server: configurarlo come Name Server Primario del dominio registrando solo gli host della Rete Privata e l host corrispondente al Web Server in DMZ; utilizzare l opzione Forwarder Only, indicando come unico forwarder l indirizzo del Name Server Pubblico (rete DMZ) 65 Configurazione dei servizi della Rete Privata (1) Mail Server: configurarlo come Mail Server del dominio; indicare come Outgoing Relay l indirizzo del Mail Server Pubblico (rete DMZ)
Configurazione del Firewall Load della configurazione DmzNet2 67 Configurazione del Firewall (1) Sostituire coi valori opportuni gli indirizzi degli oggetti: privatenetobj dmznetobj ispnameserver01obj ispnameserver02obj dnspubserver webpubserver ftppubserver mailpubserver dnssecserverobj dnsprivserver mailprivserver proxyprivserver
Moduli opzionali nel caso sia prevista l attivazione sul Firewall dei moduli Proxy o Vpn occorre: configurare e attivare il relativo servizio ; attivare opportuni filtri già presenti nelle configurazioni predefinite (vedi Guida Utente Firewall) 69 Manutenzione ordinaria di Pif Interfaccia Operatore
Attivazione servizio Web Attivare il servizio Web Nessun modulo addizionale aggiuntivo. Sono attivi solo i moduli strettamente necessari per l Interfaccia Operatore 71 Autenticazione https://ip-firewall:444 http://ip-firewall:81 http://ip-firewall:81 Se il server WEB è configurato con l opzione https=on ATTENZIONE: Per rendere disponibile questa url è necessario attivare il servizio web
Accesso ai servizi Le sezioni Users e Access Control compaiono solo se il modulo Proxy è installato 73 Reports: Security Events https://ip-firewall:444/petra/monitor/fw http://ip-firewall:81/petra/monitor/fw http://ip-firewall:81/petra/monitor/fw I report vengono generati con periodi definiti dal valore del campo Rotation Frequency del pannello Logs. Ogni 6 ore inoltre vine spedito via e-mail un report. Viene loggato tutto il traffico NON CONSENTITO. Sono disponibili visualizzazioni con diversi livelli di dettaglio
Security Events (dettagli) 75 IDS - Report
IDS Report (dettagli) 77 IDS Report (dettagli)
Personalizzazione degli scenari Alcune regole fondamentali per creare e modificare i filtri in Petra Firewall Connessioni dal Firewall FIREWALL Host A Abilitazione del servizio S dal Firewall all host A: Creare l oggetto A con l IP dell host A Creare un filtro F con i seguenti valori: Source: firewall Destination: A Service: S Action: Accept L oggetto A creato al passo precedente Tradotto dal sistema con l indirizzo associato all interfaccia del firewall che raggiunge A
Esempio (connessione dal firewall) Il firewall può collegarsi via https al servizio di Update della Link, fornito dal server indicato dall oggetto linkrepository 81 Connessioni al Firewall FIREWALL Host A Abilitazione del servizio S dall host A al Firewall: Creare l oggetto A con l IP dell host A Creare un filtro F con i seguenti valori: Source: A Destination: firewall Service: S Action: Accept
Esempio (connessione al firewall) Gli host appartenenti a questo gruppo sono autorizzati a collegarsi al Firewall mediante l Interfaccia di Amministrazione (servizio petra) 83 Connessioni attraverso il Firewall (dalla Rete Privata verso Internet) Host A FIREWALL Host B Abilitazione del servizio S dall host A (interno, ip privato) all host B (esterno, ip pubblico): Creare gli oggetti A e B con i rispettivi IP; Creare un filtro F con i seguenti valori: Source: A Destination: B Service: S Action: Proxy Type: Transparent, Generic Il forwarding è disabilitato quindi è necessario usare un proxy La destinazione è ricavata dalla richiesta di A. Se il servizio lo consente. Altrimenti utilizzare un proxy specifico, ad esempio FTP
Esempio (rete privata -> Internet) Da qualsiasi Host della rete Privata (l'oggetto PrivateNet) Verso qualsiasi Host Internet (l'oggetto allnets) Il servizio abilitato è il l'oggetto WebService: - http - https Gli host della Rete Privata sono autorizzati ad untilizzare il servizio Web su Internet L indirizzo del mittente viene mascherato (per le risposte) 85 Connessioni attraverso il Firewall (da Internet verso la DMZ) Host A FIREWALL Abilitazione del servizio S dall host B (esterno, IP pubblico) all host A (interno, IP privato): Creare gli oggetti A e B con i rispettivi IP; Creare un filtro F con i seguenti valori: Source: B Destination: firewall Service: S Action: Proxy Type: Redirect, Generic Destination Object: A Host B La destinazione non può essere A perché l indirizzo di A è privato e B non lo conosce. il traffico deve essere rediretto verso A
Esempio (Dmz (ip privati) <- Internet) Da qualsiasi Host Internet (l'oggetto allnets) La porta non è definita, quindi è quella standard del servizio (80 e 443) Verso l'indirizzo pubblico (l'oggetto Firewall) Il servizio abilitato è il l'oggetto WebService: - http - https La destinazione reale (indirizzo privato) Le richieste per il servizio Web provenienti da Internet sono accettate e redirette al Web server pubblico in DMZ 87 Ulteriori configurazioni Uso avanzato delle opzioni proxy
Esempio (Dmz (ip pubblici) <- Internet) Trasparente perché la destinazione ha un IP pubblico Verso qualsiasi Host della rete Dmz (l'oggetto dmznet) Il servizio abilitato è il l'oggetto WebService: - http - https Le richieste per il servizio Web provenienti da Internet sono accettate e redirette ai Web server con IP pubblico in DMZ L indirizzo del mittente viene mantenuto (altrimenti tutti gli accessi verrebbero registrati come provenienti dal firewall) 89 Esempio (proxy specifico) Il servizio ftp necessita un proxy specifico
Esempio (redirezione su porta specifica) Supponiamo che il Web Server in DMZ sia un Petra Internet Presence; Supponiamo inoltre che: si voglia gestire il firewall via Interfaccia Petra anche da host esterni (su Internet) si voglia gestire server in DMZ via Interfaccia Petra anche da host esterni (su Internet) si abbia un solo indirizzo pubblico Problema: come distinguere i server Petra? Soluzione: si usa un proxy con redirezione su porta specifica 91 Esempio (redirezione su porta specifica) Il nuovo servizio è analogo al servizio petra predefinito ma utilizza la porta 2049 anziché la 2048 (default)
Esempio (redirezione su porta specifica) Redirezione sulla porta 2048 (default di petra server) La destinazione è firewall, come nel filtro petraclients (accesso all interfaccia petra sul firewall) Utilizza la porta 2049 anziché la 2048 (default) 93 Connessione del petra client su porta non standard Interfaccia di Amministrazione sul firewall Interfaccia di Amministrazione sul server in DMZ (ip privato)
Esempio (proxy esterno) Il proxy äscolta sulla porta 8080. È compito del proxy (non gestito da petra) redirigere il traffico al web server (in dmz) Vantaggi: - prestazioni: uso della cache - sicurezza: meccanismi di squid per il controllo delle url 95 Configurazione del routing Route statiche Alternativa ai proxy: masquerade e forwarding
Route statiche Internet net: 192.168.1.0 eth1: ip pubblico eth0: 192.168.1.1 Petra Firewall 192.168.1.10 linea dedicata Client net:192.168.2.0 Route statica per la rete 192.168.2.0. Il gateway è 192.168.1.10 97 Route statiche (configurazione)
Alternative ai proxy: masquerade e forwarding I proxy hanno un costo in termini di prestazioni Se l hardware non è sufficiente a soddisfare le richieste via proxy si può, in alternativa, utilizzare (anche temporanemente) il forwarding o il masquerare 99 Masquerade Internet net: 192.168.1.0 eth1: ip pubblico eth0: 192.168.1.1 Petra Firewall Modifica del filtro di abiltazione del servzio Uso intenso del servizio web Client Attivazione del masquerade per accesso diretto al servizio web
(configurazione interfaccia privata) Forwarding abilitato Traffico mascherato dallínterfaccia pubblica eth1 101 Masquerade (configurazione interfaccia pubblica) Forwarding abilitato
(modifica del filtro) Action=masquerade 103 Forwarding Internet Numerose richieste verso il Web server in DMZ DMZ con IP pubblici eth1: ip pubblico eth2: ip pubblico Petra Firewall Web Server Attivazione del forwarding su eth1 e eth2 Modifica del filtro di abiltazione del servzio
(configurazione interfacce) Forwarding abilitato Identica configurazione per eth0 Masquerade non attivo 105 Forwarding (modifica al filtro) Action=accept