I firewall
Perché i firewall sono necessari Le reti odierne hanno topologie complesse LAN (local area networks) WAN (wide area networks) Accesso a Internet Le politiche di accesso cambiano a seconda della topologia della rete, della direzione della connessione, del servizio a cui si accede ecc 2
I firewall Sicurezza nelle applicazioni multimediali: lezione 9, firewall Un firewall è una «barriera» attraverso cui deve passare tutto il traffico da/verso una rete che deve essere protetta Scopi eterogenei, ad es Bloccare gli attacchi provenienti dall esterno Impedire agli utenti della rete di collegarsi a siti pericolosi Bloccare alcuni protocolli, ad es. quelli di file sharing 3
Caratteristiche fondamentali dei fw Tutto il traffico, da e verso la rete da proteggere, passa attraverso il firewall Solo il traffico autorizzato può passare Il firewall è un sistema sicuro 4
Limiti dei firewall Un firewall non può: Proteggere la rete da attacchi che aggirano il firewall (es. una connessione dial-up, un access point wifi aperto) Proteggere dalle minacce interne (ad es. un utente della rete interna che divulga dati riservati) Proteggere da dispositivi mobili infettati all esterno e poi collegati alla rete interna 5
Tipi di firewall Sicurezza nelle applicazioni multimediali: lezione 9, firewall I firewall si possono distinguere in base al livello a cui operano Firewall a filtraggio di pacchetto (packet filtering fw) Firewall «stateful» Firewall a livello applicativo (application proxy) Firewall a livello di circuito (circuit-level proxy) 6
Packet filtering Il fw analizza gli header di ogni pacchetto IP in transito: Indirizzi IP sorgente e destinazione Protocollo di trasporto incapsulato (ad es. TCP o UDP) Porte sorgente e destinazione del protocollo di trasporto Interfaccia di arrivo e di inoltro del traffico 7
Packet filtering / 2 La configurazione del firewall prevede la definizione di una policy di base (blocca/inoltra) e una serie di regole specifiche. Ad es Azione Src addr Src port Dst addr Dst port flags Allow 192.168.0.x * * * * Allow * * 192.168.0.x * ACK Block 1.2.3.4 * 192.168.0.1 25 * Allow * * 192.168.0.1 25 * Default policy: block 8
PF: vantaggi e svantaggi Pro: concettualmente semplice, trasparente all utente, molto veloce Contro: Nessun controllo sui livelli più alti, quindi non può prevenire attacchi che sfruttino vulnerabilità di alto livello Per lo stesso motivo, non c è alcun controllo sugli utenti Potenziale vulnerabilità ad attacchi che sfruttino problemi dello stack TCP/IP (ad es. address spoofing) Le regole possono essere molte ed è facile commettere errori di configurazione 9
Esempi di attacchi a un PF-fw e contromisure IP address spoofing Bloccare i pacchetti provenienti da un interfaccia esterna e con indirizzo IP interno Fragment attack Bloccare i frammenti iniziali troppo piccoli 10
Stateful inspection firewall Come un PF firewall, ma in più tiene traccia di tutte le connessioni TCP aperte da/verso l esterno. Modella esplicitamente il concetto di sessione TCP e permette di definire delle regole su tale base. Ad es: accettare automaticamente tutti i pacchetti di «ritorno» di una sessione TCP precedentemente autorizzata. 11
Application Proxy Non si ha più una connessione diretta tra macchina interna ed esterna alla rete, ma due connessioni separate. Il proxy lavora a livello di applicazione (ad es. HTTP, FTP, ecc ), riceve richieste secondo questi protocolli e le inoltra o le blocca, a seconda della configurazione I client sono forzati a passare attraverso il proxy, l accesso diretto a server esterni è bloccato 12
Application proxy: vantaggi e svantaggi Pro Permette di definire delle regole molto «potenti», specifiche per un determinato protocollo (ad es. blocca le potenziali immagini pornografiche in una pagina web ) Contro Meno veloci di un semplice PF È necessario un proxy per ogni protocollo applicativo che si vuole supportare 13
Circuit-level proxy A metà tra i fw stateful e gli application proxy. Come negli application proxy non c è una comunicazione TCP diretta, ma non viene fatto nessun controllo a livello applicativo. Similmente ai fw stateful, si può solo stabilire se una connessione va aperta o meno. Esempio più noto: SOCKS proxy 14
Scelta del dispositivo su cui installare il fw Bastion host: un sistema estremamente protetto, che gestisce il minor numero di servizi possibili (tipicamente, solo il firewall) Host-based firewall: firewall per la protezione di una singola macchina. Non inoltra pacchetti ad altre macchine della rete Personal firewall: gestisce una lista di applicazioni in esecuzione con i relativi permessi di accesso alla rete, ad es. per bloccare la trasmissione di dati da parte di virus o malware 15
Posizionamento dei bastion host nella rete La configurazione più semplice: un singolo firewall tra la rete interna e quella esterna 16
Posizionamento dei bastion host nella rete Creazione di una DMZ (demilitarized zone): mediante due firewall (o un firewall con due interfacce) si definisce una zona intermedia in cui posizionare i server della LAN che devono offrire servizi all esterno. 17