Firewall Pacchetti I messaggi sono divisi in pacchetti I pacchetti sono trasmessi in modo indipendente Alfredo De Santis Dipartimentodi Informatica ed Applicazioni Università di Salerno 1 Filtraggio di pacchetti Filtraggio di pacchetti: Regole Un filtro di pacchetti esamina l'intestazione dei pacchetti in transito e ne decide il destino Una regola stabilisce il comportamento del filtro dei pacchetti in base all intestazione del pacchetto ricevuto 2 3 Filtraggio di pacchetti: perché? Che cosa proteggere? CONTROLLO VIGILANZA SICUREZZA Dati Segretezza Integrità Disponibilità Risorse Reputazione 4 5
Corso di Sicurezza su Reti 18/06/2004 Incidenti ed Ignoranza Attacchi Intrusioni 55% degli incidenti è causato da utenti senza esperienza che cercavano di fare cose che non dovevano fare da social engineering al semplice indovinare password Denial of Service Richard Power, Current and Future Danger: A CSI Primer on Computer Crime and Information Warfare, San Francisco, CA: Computer Security Institute, 1995 nega l uso delle proprie risorse Rubare informazioni intercettazioni, sniffer 6 Firewall Firewall Fire wall: A fireproof wall used as a barrier to prevent the spread of a fire. - American Heritage Dictionary Fire wall: A fireproof wall used as a barrier to prevent the spread of a fire. - American Heritage Dictionary Modo per restringere l accesso tra Internet e la rete interna 8 7 9 Firewall: cosa non può fare? Firewall Dispositivi hardware o software che permettono di proteggere e filtrare traffico da e verso una rete Ø Proteggere da attacchi dall interno Ø Proteggere da collegamenti diretti Ø Proteggere da virus 10 11 2
Firewall: cosa non può fare? Non controlla i file infetti da virus controlla solo indirizzi sorgente e destinazione e numeri di porta Bisognerebbe riconoscere un pacchetto come parte di un programma e riconoscere che nel programma c è un virus Modalità di funzionamento Un firewall può operare in due modalità diametralmente opposte: Tutto ciò che non è specificatamente permesso è negato Tutto ciò che non è specificatamente negato è permesso 12 13 Modalità di funzionamento Modalità di funzionamento Tutto ciò che non è specificatamente permesso è negato Tutto ciò che non è specificatamente negato è permesso Il firewall blocca tutto il traffico e ciascun servizio deve essere implementato caso per caso Lo svantaggio: si limita il numero di scelte disponibili all'utente Il firewall inoltra tutto il traffico e ciascun servizio dannoso deve essere chiuso caso per caso Lo svantaggio: l amministratore di rete ha difficoltà sempre maggiore nell assicurare la sicurezza man mano che la rete cresce 14 15 Componenti di un Firewall Packet-Filtering Un firewall tipico è composto da uno o più dei seguenti componenti: Packet-Filtering router filtra il traffico dei pacchetti mediante screening router Gateway a livello di applicazione (o Proxy Server) filtra le richieste in base alle informazioni fornite ai protocolli applicativi Gateway a livello di trasporto Definisce una zona di rischio che include tutti gli host direttamente accessibili attraverso la rete e che supportano il protocollo TCP/IP 16 17
Packet-Filtering Packet Filtering E un mezzo per diminuire il livello di rischio Scherma i pacchetti a seconda di: tipo di protocollo indirizzo della sorgente e della destinazione campi di controllo presenti nei pacchetti Esempio Unico traffico permesso classe C 192.168.10.0 172.16.51.50 18 19 Packet Filtering Screening Router configurazione Alcuni esempi: blocca tutte le connessioni verso la rete eccetto quelle SMTP in entrata interna blocca tutte le connessioni da alcuni sistemi blocca i servizi r (rlogin, rsh, rcp, ) Non va bene: Utente A può fare telnet dall esterno, gli altri no E possibile trasferire questi file ma non gli altri Stabilire una politica di controllo degli accessi Specificare in termini logici il tipo di pacchetti permessi o negati Scrivere una lista di regole Spesso descritte mediante tabelle logiche 20 21 Screening Router configurazione Router CISCO Esempio permettere esclusivamente connessioni di tipo telnet dall interno verso l esterno e nient altro 22 Nei router CISCO, ACL (Access Control List) associate alle interfacce del router Composte di righe che descrivono le regole di accesso Ciascuna riga descrive l identificativo della ACL l azione da eseguire il tipo di protocollo la sorgente la destinazione la porta o l intervallo di porte destinazione il bit di acknowledgement ACK 23
Router CISCO Esempio: Permettere solo telnet in uscita Una ACL associata all interfaccia esterna (serial 0) per selezionare il traffico uscente Una ACL associata all interfaccia interna (ethernet 0) per selezionare il traffico entrante Packet Filtering Largamente diffuso in molti prodotti di routing hardware e software Alcuni tools per packet filtering (disponibili per ftp): screend macchine BSD-based UNIX Drawbridge PC con MS-DOS e 2 schede Ethernet o 2 schede FDDI KarlBridge PC con 2 schede Ethernet 24 25 Packet Filtering: svantaggi Servizi Proxy Non interviene al livello dell applicazione Mancano meccanismi di auditing e di avvertimento di attacchi Offerti dai firewall per inviare le richieste di servizio provenienti da Internet verso la rete interna e viceversa Anche detti application gateway Elaborano richieste per servizi remoti e le inoltrano in accordo con le regole di accesso stabilite per i servizi Mantengono un singolo punto di transito da e verso Internet pur fornendo un collegamento apparente con tutti gli host della rete 26 27 Servizi Proxy Servizi Proxy Se una richiesta di servizio proviene dalla rete interna, il proxy server dà al client l illusione di trattare con il server reale richiesto al server l illusione di trattare con un client che gira sull application gateway 28 29
Proxy Server vs Screening Router Proxy Server: svantaggi Gli screening router filtrano il traffico solo in base alle informazioni dei protocolli di trasporto e di rete FTP: accettare o proibire il traffico I proxy server filtrano il traffico anche in base al protocollo applicativo FTP: consentire Export, ma non Import Le regole di filtraggio sono più facili da configurare in un proxy server Non tutti i servizi si basano su protocolli per i quali è possibile realizzare un proxy server Attualmente sono disponibili solo i proxy server dei servizi più comuni HTTP, FTP, telnet 30 31 Bastion host Bastion host Macchine collegate direttamente con Internet Forniscono servizi all esterno e fanno da tramite con la rete interna Sono quelle sulle quali è necessario concentrare maggiori attenzioni nella gestione della sicurezza Possono svolgere una o più funzioni: Screening router Application gateway Firewall Internet Marcus Ranum "Bastions overlook critical areas of defense, usually having stronger walls, room for extra troops, and the occasional useful tub of boiling hot oil for discouraging attackers." 32 33 Bastion host Bastion host Internet Gestisce tutti i servizi per i quali non si ritiene sufficiente la protezione mediante packet filtering telnet, FTP, DNS, SMTP E opportuno che sul bastion host non siano installate applicazioni non utilizzate 34 E esposto ad attacchi esterni Non dovrebbe accedere a servizi di rete che prevedono la condivisione di informazioni critiche servizi vulnerabili sulle macchine interne L unico utente registrato su esso dovrebbe essere l amministratore di sistema La presenza di altri utenti lo renderebbe oggetto di attacchi di tipo password guessing Gli utenti potrebbero rendere il sistema più vulnerabile in maniera involontaria 35
Corso di Sicurezza su Reti 18/06/2004 Gateway a Livello di Trasporto Firewall: Principali Architetture Ø Ripete semplicemente le connessioni TCP senza elaborare o filtrare alcun pacchetto in più ØCombinando le varie componenti otteniamo tre architetture principali: Ø Dual-Homed Host Ø Screened Host Ø Screened Subnet 36 Dual-Homed Host 37 Dual-Homed Host ØCalcolatore con almeno due interfacce di rete ØHa buone caratteristiche di sicurezza ØPuò agire come un router tra le due reti alle quali sono collegate le interfacce ØHa scarsa flessibilità ØSvantaggi: gli unici servizi disponibili sono quelli per cui esiste un proxy server sull application gateway ØPuò essere utilizzata come: Ø firewall (è anche il bastion host) se posta tra una rete privata ed Internet Ø packet filtering Ø application gateway 38 Screened Host 39 Screened Host Ø L elemento principale è uno screening router Ø Il bastion host Ø svolge funzioni di application gateway Ø ha una sola interfaccia di rete Ø Router per dall esterna separare la rete interna Ø Solo il bastion host può aprire connessioni con la rete esterna Ø I sistemi esterni possono connettersi solo con il bastion host 40 41 7
Screened Subnet Due router che creano una rete perimetrale su cui si trovano i bastion host che forniscono i servizi Il router esterno filtra il traffico tra Internet e la rete perimetrale Il router interno protegge la rete privata da Internet e della rete perimetrale Screened Subnet Rete interna screening router firewall screening router internet 42 43