INTRODUZIONE ALLA SICUREZZA: IL FIREWALL



Documenti analoghi
Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Progettare un Firewall

Elementi sull uso dei firewall

RETI DI COMPUTER Reti Geografiche. (Sez. 9.8)

Reti di calcolatori ed indirizzi IP

Siamo così arrivati all aritmetica modulare, ma anche a individuare alcuni aspetti di come funziona l aritmetica del calcolatore come vedremo.

3. Introduzione all'internetworking

Sicurezza delle reti 1

2.1 Configurare il Firewall di Windows

Dal protocollo IP ai livelli superiori

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Sicurezza architetturale, firewall 11/04/2006

Sicurezza applicata in rete

Guida alla registrazione on-line di un DataLogger

Protocolli di Comunicazione

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali

Cos'è una vlan. Da Wikipedia: Una LAN virtuale, comunemente

Firewall e Abilitazioni porte (Port Forwarding)

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

TECNOLOGIE E PROGETTAZIONE DI SISTEMI INFORMATICI E DI TELECOMUNICAZIONI

Sicurezza nelle reti

Innanzitutto, esistono diversi modi per realizzare una rete o più reti messe insieme; vi illustro la mia soluzione :

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO

POSTA ELETTRONICA CERTIFICATA

Crittografia e sicurezza delle reti. Firewall


Guida di Pro PC Secure

Dispositivi di rete. Ripetitori. Hub

Come si può vedere, la regola è stata fatta in modo da spostare tutti i messaggi di Spam nella cartella del cestino.

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

lo PERSONALIZZARE LA FINESTRA DI WORD 2000

Reti di Telecomunicazioni Mobile IP Mobile IP Internet Internet Protocol header IPv4 router host indirizzi IP, DNS URL indirizzo di rete

INFORMATICA GENERALE - MODULO 2 CdS in Scienze della Comunicazione. CRISTINA GENA cgena@di.unito.it

Architetture Applicative

COMPLESSO SCOLASTICO INTERNAZIONALE GIOVANNI PAOLO II. Pianificazione di reti IP (subnetting)

QoS e Traffic Shaping. QoS e Traffic Shaping

Sicurezza a livello IP: IPsec e le reti private virtuali

GLI APPARATI PER L INTERCONNESSIONE DI RETI LOCALI 1. Il Repeater 2. L Hub 2. Il Bridge 4. Lo Switch 4. Router 6

Internet. Introduzione alle comunicazioni tra computer

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

Prof. Filippo Lanubile

FIREWALL: LA PROTEZIONE PER GLI ACCESSI ESTERNI

Le basi della Partita Doppia in parole Facile e comprensibile. Ovviamente gratis.

COME CREARE UNA LAN DOMESTICA

Laboratorio di reti Relazione N 5 Gruppo 9. Vettorato Mattia Mesin Alberto

Con accesso remoto s'intende la possibilità di accedere ad uno o più Personal Computer con un modem ed una linea telefonica.

IP (Internet Protocol) sta al livello 2 della scala Tcp/Ip o al livello 3 della scala ISO/OSI. Un indirizzo IP identifica in modo logico (non fisico

Hardware delle reti LAN

Protezione della propria rete

Reti di Telecomunicazione Lezione 6

Creare una Rete Locale Lezione n. 1

Dispensa di Informatica I.1

SPC e distribuzione normale con Access

ANTISPAM PLAYNET (nuova Piattaforma) In questa piccola guida vogliamo mostrarvi come creare regole di BlackListe e Whitelist per

VPN CIRCUITI VIRTUALI

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

IDS: Intrusion detection systems

Tor è un software che permette di proteggere le proprie comunicazioni dall analisi del traffico attraverso degli onion router, gestiti da volontari.

GESTIONE SOGGETTI INCARICATI MANUALE UTENTE VERSIONE 1.0

Sicurezza e rispetto della privacy, finalmente non in conflitto.

Cos è ND Rifiuti 2008?

Maschere di sottorete a lunghezza variabile

Vlan Relazione di Sistemi e Reti Cenni teorici

MODULO 5 Appunti ACCESS - Basi di dati

PROMUOVERSI MEDIANTE INTERNET di Riccardo Polesel. 1. Promuovere il vostro business: scrivere e gestire i contenuti online» 15

Indirizzi Internet e. I livelli di trasporto delle informazioni. Comunicazione e naming in Internet

NOTE OPERATIVE. Prodotto Inaz Download Manager. Release 1.3.0

Proteggiamo il PC con il Firewall di Windows Vista

Dal software al CloudWare

2.5. L'indirizzo IP identifica il computer di origine, il numero di porta invece identifica il processo di origine.

GUIDA ALLA PROMOZIONE SUL SITO

I CIRCUITI ELETTRICI. Prima di tutto occorre mettersi d accordo anche sui nomi di alcune parti dei circuiti stessi.

Banca dati Professioniste in rete per le P.A. Guida all uso per le Professioniste

esales Forza Ordini per Abbigliamento

BMSO1001. Virtual Configurator. Istruzioni d uso 02/10-01 PC

WoWords. Guida all uso: creare ed utilizzare le frasi. In questa guida è descritto come creare ed utilizzare le frasi nel software WoWords.

SOLUZIONE Web.Orders online

CONTROLLO DEGLI ACCESSI INTELLIGENTE PER UN FLUSSO DI PERSONE SICURO E CONFORTEVOLE. KONE Access

ESEMPIO 1: eseguire il complemento a 10 di 765

Dynamic DNS e Accesso Remoto

L APP PER IPHONE E ANDROID

Firewall applicativo per la protezione di portali intranet/extranet

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Corso avanzato di Reti e sicurezza informatica

Manuale Amministratore Legalmail Enterprise. Manuale ad uso degli Amministratori del Servizio Legalmail Enterprise

Linux User Group Cremona CORSO RETI

InitZero s.r.l. Via P. Calamandrei, Arezzo

L amministratore di dominio

Lo scenario: la definizione di Internet

VoipExperts.it SkyStone - Introduzione

Conti Gestione Manuale Utente. Conti Gestione Manuale Utente

Sicurezza dei sistemi e delle reti 1. Lezione X: Proxy. Proxy. Proxy. Mattia Monga. a.a. 2014/15

Database 1 biblioteca universitaria. Testo del quesito

Indirizzamento privato e NAT

Lifephone. Introduzione. Database. Sito

Reti diverse: la soluzione nativa

Aspetti di sicurezza in Internet e Intranet. arcipelago

VADEMECUM TECNICO. Per PC con sistema operativo Windows XP Windows Vista - Windows 7

Transcript:

INTRODUZIONE ALLA SICUREZZA: IL FIREWALL Fino a qualche anno fa la comunicazione attraverso le reti di computer era un privilegio ed una necessità di enti governativi e strutture universitarie. La sua natura intrinseca orientata primariamente alla connettività la rendeva semplice, non vincolata ad hardware e software specifici e poco costosa. Proprio per questa sua filosofia di funzionamento la rete non ha mai avuto tra le caratteristiche principali quella relativa alla sicurezza. Ovviamente, nel corso di questi anni, proprio la sua principale funzione di collegamento ha portato alla luce un nuovo fenomeno, Internet, ed esteso l utilizzo di questo mezzo di comunicazione tra computer a livello mondiale. Del resto i suoi punti di forza, come appunto la semplicità, hanno reso questo nuovo metodo di scambio dati adatto ad ogni esigenza. Siamo addirittura arrivati al paradosso positivo della dipendenza dalla rete: tutto comunica e se non ne sei parte sei fuori da ogni cosa. La rete, come molti di voi sapranno, si basa sullo standard di comunicazione ISO/OSI che prevede uno schema a pila. Il modello viene definito come struttura stratificata, in cui ogni livello fornisce servizi essenziali al successivo e deve essere visto partendo dal basso della pila verso l alto della pila. Dalla pila OSI nasce successivamente il modello TCP/IP, che ne ricalca le teorie semplificandone la struttura e riducendo i livelli utilizzati da sette a quattro. Non è scopo dell articolo scendere nel dettaglio teorico del funzionamento delle reti, ma è di fondamentale importanza avere bene a mente la struttura ISO/OSI ed il modello di rete TCP/IP, in quanto i firewall agiscono proprio a livelli o layer. I firewall sono dispositivi hardware e/o software che ci permettono di creare una barriera tra due o più reti. Grazie a queste barriere definite taglia fuoco siamo in grado di tenere sotto controllo il traffico tra le due reti e creare politiche di sicurezza al fine di limitare alcuni tipi di comunicazione. I motivi che ci portano ad utilizzare questa barriera possono essere molteplici, ma in definitiva si riassumono in un unico concetto: proteggere. È un dato di fatto il crescente numero di attacchi verso reti e sistemi al fine di carpire dati, informazioni riservate, o peggio ancora DDos (Distribuited Denial of Service). Alcuni tipi di firewall vengono anche utilizzati come filtro verso informazioni ritenute dannose (si pensi a determinati siti a cui i nostri figli non devono avere accesso) o come ottimizzatori di reti al fine di diminuire il traffico ridondante.

Vale sempre e comunque questo pensiero: se la rete che intendiamo amministrare non è in grado di reggere ad un possibile attacco o controllo completo da parte del suo amministratore, tanto vale non crearla per niente, in quanto quasi sicuramente non riusciremo e gestirla e ad offrire quei servizi che ci eravamo prefissati. La figura sottostante presenta uno schema semplificato di divisione di reti attraverso il sistema di firewalling. In questo articolo prenderò in considerazione due reti che tra loro necessitano di una separazione: Internet ed una LAN. Con il termine LAN, nel nostro caso, si parla di rete sicura, e per Internet di rete non sicura, in quanto aperta a tutti. Ovviamente l utilizzo dei firewall non si limita a questo singolo esempio, ma essendo il più diffuso mi sembra giusto basarmi su questo schema. Esistono diversi tipi di firewall, ognuno dei quali ha delle specifiche funzioni ed ovviamente pregi e difetti: in questo articolo esaminerò i tre principali firewall. Il primo tipo di firewall è detto packet filtering e lavora a livello di rete. Un packet filter esamina gli indirizzi Ip sorgente e destinazione del pacchetto e le porte coinvolte nella comunicazione. Esso quindi considera solo alcune informazioni che compongono il pacchetto. Successivamente attraverso un elenco di access control list (ACL) il firewall decide se accettare o scartare il pacchetto in questione. Le regole di accesso permettono quindi al firewall di sapere quale pacchetto in ingresso e/o in uscita filtrare (accettare o rifiutare) ed anche di inibire l utilizzo di alcuni servizi attraverso il controllo delle porte di comunicazione. Per esempio posso creare la seguente regola: il pacchetto con indirizzo Ip sorgente 192.168.10.3 destinato ad un server esterno con indirizzo Ip 152.18.16.2 deve essere scartato nel caso in cui la richiesta avvenga per il servizio di invio e ricezione di posta, ovvero le porte Tcp ed Udp 25 e 110; tutte le altre comunicazioni sono accettate.

Oppure bloccare qualsiasi richiesta in ingresso da qualsiasi indirizzo Ip che fa capo alle porte Tcp ed Udp 137 e 139. Il packet filtering è un sistema molto diffuso, che supporta ogni sistema operativo ed applicazione ed è estremamente veloce e di facile configurazione. Purtroppo il suo metodo "semplice" di analisi del traffico e di filtraggio lo pone come sistema "discreto" di protezione. Il motivo è dovuto dal fatto che esso agisce a livello di rete, quindi analizza solo l intestazione del pacchetto, senza sapere cosa esso effettivamente contiene. L altro aspetto negativo del sistema a filtraggio di pacchetti è che esso rende possibile ricostruire dall esterno la topologia della nostra LAN; ogni computer usa il suo indirizzo Ip per comunicare con Internet: se n computer della nostra LAN accedono al medesimo server per il servizio di posta elettronica, il server ed il suo amministratore in brevissimo tempo potranno disegnare e sapere quali e quanti sistemi operativi e computer fanno parte della nostra rete. Sempre in riferimento alla trasparenza di questo sistema c è anche da dire che saremmo costretti a comperare Ip pubblici per ogni macchina che vuole collegarsi ad Internet, rendendo quindi onerosa in altri termini la nostra struttura. Esistono infine in rete molti programmi che permettono di confezionare ad hoc pacchetti che al loro interno nascondono dati in grado di generare buffer overflow o errori a livello di applicazioni e sistema operativo; pensate cosa succederebbe se un malintenzionato sapesse anche uno solo degli indirizzi Ip che possono accedere alla vostra rete interna. Possiamo porre quindi il packet filter come sistema intermedio di protezione ma non sufficiente. Il secondo tipo viene identificato con il nome di application gateway o proxy. Questo tipo di firewall agisce per procura e si pone come intermediario delle comunicazioni in ingresso ed in uscita. Il proxy riceve la richiesta da un computer della rete interna ed effettua la richiesta sostituendo l indirizzo Ip del pacchetto sorgente con il proprio. Successivamente invia il pacchetto verso l esterno ed attende la risposta. Il pacchetto di ritorno, una volta ottenute le credenziali per poter accedere alla LAN, passa attraverso il proxy e raggiunge la macchina locale da cui è partita la comunicazione. Si nota subito che esso lavora ad un livello più alto del packet filter, tanto che viene anche chiamato application proxy.

Il primo evidente pregio è che il proxy nasconde ad Internet la topologia della nostra rete interna, facendo figurare come unico punto di accesso se stesso: questo sistema viene chiamato NAT (Network Address Translation) o Ip masquerading. In pratica il NAT modifica l indirizzo Ip nelle intestazioni dei pacchetti in uscita, ed attraverso un apposito registro memorizza le modifiche effettuate. Successivamente, quando avviene la risposta ad un pacchetto inviato, esso, analizzando il suo registro, lo re-indirizza alla macchina che in origine ha generato il pacchetto in uscita. In più esegue il controllo anche a livello di applicazione: se per esempio viene richiesta una sessione Ftp, il proxy si preoccupa anche di controllare che vengano inviati i comandi corretti per tale comunicazione e che le risposte siano altrettanto corrette. Infine esegue un log estremamente accurato che ci permette di conoscere ogni minimo movimento da e verso la LAN. I difetti sono anch essi evidenti: per prima cosa richiede un elaborazione dei dati maggiore che incide quindi sulla velocità del firewall stesso di processare ogni singola comunicazione e pacchetto. Risulta non trasparente come il packet filter: ogni applicazione su ogni client dovrà essere settata per lavorare con il nostro proxy, rendendo di fatto la manutenzione non semplice. Per ogni tipo di applicazione il proxy deve essere in grado di svolgere le funzioni dell applicazione in questione: in sostanza deve esistere un procuratore per ogni tipo di applicazione che necessita di comunicare attraverso la rete. Come evoluzione successiva esiste un terzo tipo di firewall chiamato stateful inspection. Il suo ingresso si è reso necessario come compromesso tra sicurezza e velocità. Esso lavora a livello di pacchetti non analizzandoli singolarmente, ma prendendo come insieme la comunicazione completa. Per comprendere meglio il suo funzionamento, basta un semplice paragone con il sistema del packet filter: il filtraggio esamina singolarmente il pacchetto e decide se deve essere scartato o meno; lo stateful inspection invece controlla anche lo stato della comunicazione scartando per esempio pacchetti di risposta a richieste mai avvenute. Esso si pone quindi come livello intermedio tra il packet filter ed il proxy (livello di rete e livello di applicazioni). Il difetto è che questo sistema non permette di autenticare gli utenti, ma se il suo utilizzo avviene in reti domestiche e non aziendali, questo particolare risulta ininfluente. La realtà è ben diversa dalla teoria e questo articolo è solo un preludio ad un mondo estremamente delicato e complesso. Non basta conoscere il funzionamento di un firewall per diventare dei "maestri" di sicurezza. Saper configurare una rete affinché la possibilità di intrusioni ed attacchi ricadano in una scala di minima eventualità richiede molte prove e molti attacchi subiti. Infine bisogna saper leggere i log dei nostri sistemi e rendersi conto di cosa si vuole proteggere. Come valore principale vale sempre la consapevolezza di ciò che si vuole proteggere e cosa si vuole offrire.

Per chi volesse approfondire la materia vi consiglio le seguenti letture: Building Internet Firewalls di D. Brent Chapman e Elizabeth D. Zwicky http://www.oreilly.com/catalog/fire Firewall and proxy server How-To di Mark Grennan http://www.ibiblio.org/pub/linux/docs/howto/other-formats/html_single/firewall- HOWTO.html TCP/IP Tutorial and Technical Overview di Adolfo Rodriguez, John Gatrell, John Karas e Roland Peschke http://www.ibm.com/redbooks ------------------------------- Roberto Del Bianco Porta Zero http://www.portazero.info/modules.php?name=sections&sop=viewarticle&artid=56

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back