SISTEMI DI ELABORAZIONE DELL INFORMAZIONE (SICUREZZA SU RETI) a cura di: Accettulli Emiliano, Marigliano Francesco, Napoletano Pasquale e SorienteClaudio Anno Acc.2001-2002 Oggi, Internet è la tecnologia chiave per la comunicazione ed il reperimento di informazioni. La sua crescita dal 1995 al 2002 è stata esponenziale. Internet è in realtà un'insieme di reti di computer, sparse per il mondo e variabili in topologia, dimensione e velocità. Connettere un singolo computer o una rete privata ad Internet, può esporre i nostri dati confidenziali a potenziali attacchi da ogni parte del mondo. Quindi può essere di vitale importanza garantire la sicurezza e la confidenzialità di ognuna della parti connesse. Un firewall è un dispositivo (nel caso in esame, un host), posizionato tra la nostra rete interna ed Internet che non ammette comunicazione diretta tra le due reti e rende sicura la rete interna dagli attacchi esterni.
Un esempio di configurazione: Ad un firewall sono solitamente connesse tre tipi di reti: External network / Wide Area (WAN). Internal network / Local Area (LAN). De-Militarized Zone (DMZ). I compiti di un firewall per una connessione : Controllare gli accessi. Proteggere la rete dagli accessi non autorizzati. Assicurare l'integrità delle informazioni. Effettuare l'analisi dei protocolli. Avvisare l'amministratore in caso di eventi rilevanti della rete. Nascondere la struttura interna della rete. Separare i client dai server tramite i proxy. Assicurare la confidenzilità. Ci sono diversi componenti di rete che garantiscono queste funzionalità e che vengono accomunati sotto il nome FIREWALL. Layer Firewalls: Packet filter I Packet Filter analizzano i pacchetti IP e decidono se bloccarli o ammetterli al passaggio sulla base di alcune variabili : indirizzo sorgente; indirizzo destinazione; protocollo utilizzato (TCP, UDP); I Packet Filter sono dei dispositivi che lavorano al livello di rete del modello OSI o al livello IP del modello TCP/IP. numero della porta; Il filtro può essere applicato solo per i pacchetti in entrata, solo per quelli in uscita o per tutti i pacchetti. L'analisi dei pacchetti si basa su un set di regole per ogni porta del Packet Filter, e sul seguente algoritmo: Application Layer Gateways : Proxies Quando il pacchetto arriva alla porta, l header del pacchetto viene analizzato; Le regole di filtro sono memorizzate in uno specifico ordine. Ogni regola è applicata al pacchetto nell'ordine in cui è memo rizzata; Se una regola blocca la trasmissione o la ricezione del pacchetto, il pacchetto viene rifiutato; Se il pacchetto non soddisfa nessuna regola viene bloccato. I Proxy lavorano al livello Applicazione del modello OSI. Piuttosto che contare su un generico strumento di filtro per amministrare il flusso dei servizi Internet attraverso il firewall, viene installato un programma mirato (un servizio proxy ), per ogni applicazione desiderata.
Fornisce all'amministratore di rete il controllo completo su og ni servizio; L amministratore di rete ha un controllo completo su quali serv izi vengono permessi; Hanno la facoltà di supportare un autenticazione rigida dell'utente e provvedono alla registrazione particolareggiata delle informazioni; Le regole sono molto più facili da configurare rispetto a quelle di un Packet Filter. Gli Application level Gateway garantiscono un maggiore livello di sicurezza, rispetto ai Packet Filter; d'altra parte, non operano in maniera trasparente per gli utenti, e abbassano sensibilmente le prestazioni della rete. Il proxy SMTP, responsabile della distribuzione dell'e-mail e del controllo dei virus; Richiede che gli utenti cambino le loro abitudini o che venga installato software specifico su ciascun sistema che accede ai servizi proxy; Le prestazioni della rete vengono sensibilmente ridimensionate. Il proxy HTTP con Java, JavaScript & ActiveX-Filter ed anche il filtro per i banner pubblicitari; Il proxy SOCKS come proxy generico, supportato da molte applicazioni come i c client FTP, ICQ, IRC o i media di streaming; Meccanismi di Protezione: NAT e VPN La sicurezza della rete interna può essere aumentata tramite l'u tilizzo di indirizzi IP privati, in combinazione con il NAT ( Address Translation). Il NAT è una tecnica di traduzione degli indirizzi IP che permette di "nascondere" un'intera rete locale, alle spalle di un unico indirizzo IP ufficiale (solitamente quello del firewall ) L'indirizzo IP di un host interno non verrà mai scoperto e tanto meno sarà scoperta la topologia della rete. Inoltre, il NAT permette di riutilizzare gli stessi indirizzi IP in reti diverse, in modo da allontanare il problema dell'esaurimento dello spazio degli indirizzi. Ogni pacchetto IP contiene un indirizzo destinazione ed uno sorg ente. Il NAT altera uno (o anche entrambi) degli indirizzi contenuti nell'header del pacchetto IP; Se viene modificato l'indirizzo IP sorgente, si parla di Source NAT o SNAT (utilizzato principalmente per collegare una rete privata ad una pubblica); Se viene modificato l'indirizzo IP destinatario, si parla di Destination NAT o DNAT (usato principalmente per nascondere la rete privata); Il Masquerading è uno speciale caso di SNAT dove il router rimpiazza l'indirizzo sorgente di un pacchetto in transito con l'indirizzo IP della sua interfaccia in uscita; il router può gestire connessioni multiple, ricordando gli indirizzi IP sorgenti. Per permettere la comunicazione tra reti ohost geograficamente distanti, esistono due possibilità: Tramite linee dedicate (impone l'investimento di grossi capitali e proibitiva sopratutto se la distanza tra i punti di comunicazione è notevole ) Una VPN rappresenta una connessione sicura tra due parti di una rete privata, che utilizza una rete pubblica quale Internet. Tramite Internet (economica ma poco sicura) Una soluzione economica ed allo stesso tempo sicura, è rappresentata dalle reti private virutali o VPN. Oggi, molte compagnie con siti dislocati in diverse parti della terra, creano le proprie VPN per soddisfare le loro esigenze di comunicazione.
La maggior parte delle VPN si basano sul tunneling, che è una tecnologia che permette di incapsulare il pacchetto inviato da un host della VPN all'interno di un altro pacchetto e di inviarlo. Il protocollo del pacchetto esterno è riconosciuto dalla rete su cui viaggia e viene scartato quando l'altro capo della VPN è stato raggiunto. Il tunneling richiede tre diversi protocolli: Carrier protocol: Il protocollo usato dalla rete su cui viaggiano i pacchetti. Encapsulating protocol: Il protocollo che "avvolge" i dati originali. Passenger protocol: Il protocollo per la trasmissione dei dati originali. Astaro E oggi uno dei firewall più usati al mondo, che combina le tecniche descritte in precedenza per offrire agli utenti massima protezione e semplicità d'amministrazione Include in un unico software un sistema operativo rafforzato co n funzionalità di filtro dei pacchetti, protezione dai virus, filtro dei contenuti web, proxy e VPN, il tutto gestito tramite un'interfaccia semplice ed intuitiva E prodotto dalla ASTARO INTERNET SECURITY (nata nel 2000) La versione presa in esame è la 2.0 Installazione Installazione Requisiti Hardware: Per poter installare il firewall sul proprio sistema, sono necessari: Cpu a 133 MHz 32 MB RAM HDD da 1.5 GB IDE o SCSI Drive CD-ROM con possibilità di boot o un drive floppy da 3.5" 2 schede di rete PCI PC dell'amministrazione: Corretta configurazione del default gateway Browser con supporto HTTPS (p.e. Microsoft Internet Explorer o Netscape Communicator 4.0 o superiore) JavaScript e CSS Nessun proxy configurato per il browser Attenzione: Affinché la rete interna venga protetta da attacchi esterni, è fondamentale che l'host su cui gira il firewall sia protetto da accessi non autorizzati. Per questo, l'installazione di ASL cancellerà tutti i dati sul disco rigido è non sarà possibile avviare altri sistemi operativi sulla macchina.
Installazione L'installazione comprende due fasi: La prima fase dell installazione è gestita tramite l'apposito menù. Come primo passo è possibile scegliere il layout della tastiera. Quindi il programma procede al controllo dell hardware. Dopo il controllo hardware, inserire le informazioni necessarie attraverso le finestre di dialogo. Il software viene quindi installato sul computer. La seconda fase di installazione consiste nella configurazione del firewall ed è gestita tramite un browser Internet (p.e. Microsoft Internet Explorer) e WebAdmin. Funzionalità L obiettivo dell amministratore dovrebbe essere quello di far passare attraverso il firewall il minimo traffico possibile e, comunque, non più dell indispensabile. Questo vale sia per le connessioni entranti che per quelle uscenti. Con WebAdmin è possibile eseguire tutte le attività amministrative del firewall, senza la necessità di un accesso SSH. Suggerimento: E consigliabile progettare la propria rete e decidere quale co mputer dovrà accedere a quali servizi. La progettazione semplifica la configurazione e, il tempo necessario alle correzioni viene sensibilmente decrementato. Le impostazioni principali del firewall si trovano nella directory. Syslog remoto Tramite questa funzione, è possibile trasferire tutti i messaggi di log del firewall ad un altro syslog daemon. Ciò risulta conveniente se si vuole raccogliere i file di log di diversi sistemi su un unico host. Secure Shell (SSH) E un interfaccia testuale al firewall, adatta solo ad amministratori esperti. Per l accesso tramite SSH sarà necessario un clientssh, compreso nella maggior parte delle distribuzioni Linux. L accesso tramite SSH è criptato ed è quindi impossibile l intrusione da parte di terzi.
WebAdmin (HTTPS) In questo menù, è possibile regolamentare l accesso a WebAdmin. Le reti che hanno accesso a WebAdmin, devono essere inserite nel menù Allowed Netwoks. E possibile accedere a WebAdmin da qualsiasi postazione, utilizzando una password valida, ed è opportuno cambiare quest ultima periodicamente. La configurazione più sicura è quella che ammette un unico PC ad avere accesso al firewall. Ciò è possibile definendo una rete con l indirizzo di un solo computer nel menù Definitions /. WebAdmin permette inoltre di: Impostare la disconnessione automatica Cambiare la Porta TCP Selezionare la lingua Impostare data e ora del Sistema Licenza ( Inserimento della License Key ) È possibile ottenere una chiave di licenza da uno dei partner certificati da Astaro oppure contattando sales@astaro.com. Con una chiave di licenza valida, si ottiene il diritto di utilizzare il servizio Up2Date ed il supporto ufficiale Astaro. Servizio Up2Date Tramite il servizio Up2Date il firewall viene costantemente aggiornato: vengono aggiunte le definizioni dei nuovi virus, le patch del sistema e le nuove caratteristiche di sicurezza. Le Up2Date sono criptate, firmate e ricevute attraverso una connessione criptata. Solo Astaro ha la possibilità di creare e firmare i pachetti Up2Date. I pacchetti firmati in maniera non valida, vengono riconosciuti e quindi cancellati. Pattern Up2Date: Necessario per aggiornare l antivirus del firewall con le definizioni dei nuovi virus a intervalli regolari. Up2Date: Necessario per importare lepatch di sistema e le nuove caratteristiche di sicurezza all interno del firewall. Backup Tale funzione permette il salvataggio delle impostazioni del firewall su un disco rigido locale. Ciò risulta utile in caso di defezioni hardware, in quanto il ripristino del backup prende pochi minuti e quindi il sistema è subito pronto per l'uso. Il file di backup contiene tutte le impostazioni della configurazione, eccetto le VPN RSAkey ed il WebAdmin Site Certificate.
Export Backup: Necessario per creare un file di Backup Import Backup: Necessario per richiamare un file di Backup E-mail Backup Per evitare di dover salvare periodicamente le impostazioni del firewall su disco, è possibile impostare la creazione automatica di un file di backup. Il file viene quindi inviato all indirizzo e-mail indicato. La dimensione di un file di backup inviato tramite e-mail va da 3 a massimo 10 kbyte. Autenticazione dell Utente È possibile definire quali utenti potranno usare questi servizi. Al livello IP, è possibile limitare l accesso ai servizi proxy del firewall impostando le regole di filtro dei pacchetti sui client interni. Quindi quando viene effettuata una richiesta per un servizio proxy, il client deve autenticarsi tramite user name e password. Radius Acronimo di Remote Authentication Dial In User Service ed è il nome di un protocollo utilizzato da alcune apparecchiature ( p.e. i router ISDN) per accedere alle informazioni di un server, per l autenticazione degli utenti. Radius riceve una richiesta con tre campi dati: Nome utente Password in chiaro Tipo di proxy Basandosi su tali informazioni, il server dovrebbe decidere se garantire l accesso al proxy ed inviare un pacchetto in risposta. Radius Server IP: Necessaria per inserire l indirizzo IP del server Radius Radius server secret: In cui bisogna inserire la password necessaria in seguito, per configurare il server Radius tramite il tool di configurazione WebAdmin. SAM NT / 2000 Questo metodo di autenticazione utilizza un domain controller MS Windows NT / 2000 o un server standalone per valutare le richieste. Facilità di configurazione se la rete dispone di un PDC (Primary Domain Controller) oppure un semplice server con un database degli utenti. Non può discernere tra gruppi di utenti eproxy differenti. Ciò significa che l accesso ad un particolare servizio proxy può essere solo garantito a tutti o a nessuno.
PDC name: Inserire il nome del domain controller. Domain: Inserire il nome di dominio MS Windows NT / 2000. PDC IP: Inserire l indirizzo IP del domain controller. BDC name: Se si utilizza un domain controller di backup, inserirne il nome in questo campo. PDC IP: Inserire l indirizzo IP del domain controller. Certificato del Sito WebAdmin I processi crittografici vengono utilizzati per il trasferimento di dati confidenziali attraverso levirtual Private, per l autenticazione degli utenti o, come in questo caso, per una sicura amministrazione del firewall attraverso la rete. Una forma molto elegante di comunicazione criptata, è offerta dagli algoritmi achiave pubblica. L Autorità di Certificazione (CA) certifica con la propria firma, che è convinta dell autenticità di una persona o di un entità e che la chiave pubblica appartiene effettivamente a quella persona o entità. Certificate information: Qui si inseriscono i dati della società da certificare. Shut down Con lo shut down del firewall si provoca la corretta terminazione di tutti i servizi. Riavvio Cliccando su di esso si effettua lo shut down ed il riavvio del firewall. Definitions Definitions La definizione delle reti e degli host per tutte le ulteriori impostazioni (p.e. filtro dei pacchetti, VPN, proxy, reti e servizi) vengono gestite nel menù Definitions. In questo modo sarà possibile lavorare solo con le definizioni (i nomi), senza dover ricordare gli indirizzi IP, le porte e le network mask.
Definitions Definitions s In tale menù è possibile inserire una nuova rete. Una rete è sempre formata da un Nome, da un Indirizzo IP e da una mask. La tabella delle reti contiene delle reti generiche che non possono essere cancellate o modificate. Una volta inseriti i dati, WebAdmin procede alla verifica della validità dei dati inseriti. Add : Qui si inseriscono il nome, l indirizzo IP e il network mask della nuova rete che stiamo creando. Groups Definitions Le reti possono essere raggruppate in gruppi di reti, considerati come delle singole reti che possono a loro volta far parte di altri gruppi. Un gruppo di reti viene evidenziato racchiudendo tra parentesi tonde il suo nome. In questo menù possiamo creare e modificare un Gruppo di Reti ed eliminare reti da un Gruppo di Reti. Services Definitions I servizi sono delle definizioni per il traffico dati attraverso le reti, p.e. Internet. La definizione di un servizio consiste di un Nome, di un Protocollo e di una Porta. I protocolli disponibili sono: TCP, UDP, TCP & UDP, ICMP, AH e ESP. Il protocollo UDP è più veloce del TCP, però con esso non è possibile rilevare la perdita dei pacchetti, mentre con il TCP si ed è possibile richiederne anche la ritrasmissione. I protocolli ESP ed AH sono richiesti per levirtual Private (VNP). Definitions Definitions Service Groups I servizi possono essere raggruppati in gruppi di servizi, considerati come dei singoli servizi che possono a loro volta far parte di altri gruppi. Add Service: Qui si inseriscono il nome, il protocollo e il numero di porta sorgente e destinazione del nuovo servizio che stiamo creando. Un gruppo di servizi viene evidenziato racchiudendo tra parentesi tonde il suo nome. In questo menù possiamo creare e modificare un Gruppo di Servizi ed eliminare servizi da un Gruppo di Servizi.
Definitions Definitions Users In questo menù è possibile inserire utenti locali. Questo tipo di definizione degli utenti, può essere utilizzata per limitare l accesso ai servizi proxy, in alternativa all accesso ad un database esterno. È possibile definire a quale servizio proxy ogni utente può avere accesso. Le possibili opzioni sono, ad esempio, proxy SOCKS e proxy HTTP. User defination: Qui si inseriscono lausername, la password e l indirizzo e-mail del nuovo utente che stiamo creando per poi specificare a quale servizio proxy l utente può avere accesso. Nella directory, vengono configurate le schede di rete ed il Routing del firewall. Interfaces Un firewall ha bisogno di almeno due schede di rete per proteggere una rete interna (LAN) da una rete esterna (Internet). La prima scheda di rete (eth0) costituisce sempre l interfacciata alla rete interna (LAN). La seconda scheda di rete (eth1) è l interfacciata alla rete esterna (Internet). Durante l istallazione, il firewall riconosce automaticamente le schede di rete istallate e le aggiunge alla configurazione. Se, dopo l istallazione vengono aggiunte nuove schede di rete, il firewall dovrà essere istallato nuovamente. Il firewall deve essere collocato tra la LAN ed Internet. Tutti i pacchetti devono passare attraverso il firewall. Local Host È necessario inserire il Gateway di default in Default Gateway e il nome del firewall all interno del campo Host Name. Scheda di rete (eth0) In questa sezione, viene configurata la prima scheda di rete (eth0). Questa scheda di rete è interfacciata alla rete interna (LAN), attraverso la quale si ha il corrente accesso al firewall. Quindi inseriamo il nome, l indirizzo IP e la corrispondente net mask all interno dei rispettivi campi. Le informazioni su questa scheda di rete sono state inserite durante l istallazione.
Scheda di rete (eth1) In questa sezione, viene configurata la seconda scheda di rete (eth1). Questa scheda di rete è interfacciata alla rete esterna (Internet). Quindi inseriamo il nome, l indirizzo IP e la corrispondente net mask all interno dei rispettivi campi. Proxy ARP on this Interface Se tale funzione è attivata, il firewall farà funzionare il protocollo ARP sulla scheda di rete per tutte le reti note. Quindi firewall accetterà e spedirà i pacchetti sull interfaccia Proxy ARP per tutte le altre reti direttamente connesse. Questo è necessario quando i percorsi corretti per una rete non possono essere impostati e la rete deve passare attraverso il firewall. Alias IP Tramite esso è possibile assegnare diversi indirizzi IP addizionali ad una scheda di rete che il firewall tratterà come gli indirizzi primari. Per amministrare diverse reti logiche su una scheda di rete. Nelle connessioni con la funzione SNAT, per assegnare indirizzi addizionali al firewall. È possibile impostare fino a 100 indirizzi addizionali per ogni scheda di rete. Per creare un Alias IP bisogna specificare nei corrispondenti campi : il nome del nuovo Alias IP, la scheda di rete sulla quale creare l alias e l indirizzo e lanetmask di quest ultimo. Gli alias IP configurati vengono inseriti in una tabella. Routing Ogni computer connesso alla rete usa una tavola di routing per decidere se spedire un pacchetto direttamente al firewall oppure inviarlo su un altra rete. Il firewall aggiunge automaticamente i percorsi di routing per le reti connesse direttamente. Queste route vengono chiamate interface routes. Ulteriori route, relative alle rete di cui il firewall non è membro, devono essere inserite manualmente. Routing Statico In questa sezione, si definisce quali reti sono instradate attraverso quali indirizzi IP (Gateway). Tavole di Routing Tutti i percorsi inseriti sono listati nella tavola di routing. Le colonne Destination, Gateway e Iface (interfaccia) sono particolarmente rilevanti. Destination è l indirizzo del sistema o della rete target. Gateway è l indirizzo del router. Interface indica il nome di una delle sue interfaccie, attraverso la quale il pacchetto deve essere spedito. Le interface routes delle schede di rete non possono essere modificate. Add Routes: Qui si inseriscono le route relative alle rete di cui il firewall non è membro. Interface Route: Qui si seleziona una delle reti già definite e una scheda di rete per creare una nuova route. Static IP route: Qui si seleziona una delle reti già definite e si inserisce l indirizzo IP esterno. Routing Table: Qui viene visualizzata la tavola di routing.
DNAT Acronimo di Destination Address Traslation. Descrive gli indirizzi target dei pacchetti IP. Utile se si vuole creare una rete privata alle spalle del firewall, e renderne disponibili i servizi ad Internet. Il menù DNAT contiene quattro menù di selezione: Con i primi due menù di selezione in Pre DNAT destination, viene definito il target originale dei pacchetti IP che devono essere re-instradati. Con gli altri due menù di selezione in Post DNAT destination, viene definito il nuovo target verso il quale instradare i pacchetti. SNAT Acronimo di Source Address Traslation. Il funzionamento è uguale a quello del DNAT, con la differenza che vengono convertiti gli indirizzi sorgente dei pacchetti IP e non quelli destinazione. Utile in situazioni complesse, tipo per dirottare i pacchetti di risposta delle connessioni ad altre reti o host. Il menù SNAT contiene quattro menù di selezione: Con i primi due menù di selezione in Pre SNAT source, viene definito il source originale dei pacchetti IP che devono essere re-instradati. Con gli altri due menù di selezione in Post SNAT source, viene definito il nuovo source verso il quale instradare i pacchetti. Masquerading Con esso è possibile nascondere gli indirizzi IP interni e le informazioni della rete, alla rete esterna. Quindi il Masquerading è un caso speciale di SNAT. Le differenze tra lo SNAT e il Masquerading sono: Con Masqueradingviene inserito un solo indirizzo di rete. Tutti i servizi (porte) sono automaticamente inclusi nella traduzione. La traduzione avviene solo se il pacchetto viene inviato attraverso l interfaccia di rete indicata. L indirizzo di quest interfaccia è usato come nuovo indirizzo sorgente dei pacchetti. Portscan Detection (PSD) Tramite esso è possibile scoprire gli attacchi alla propria rete. I cosiddetti portscan vengono solitamente utilizzati dagli hackers, per cercare punti deboli in una rete sicura. Il PSD scopre i portscan ed informa l'amministratore via e-mail, non appena le procedure sono state registrate. A questo punto è possibile decidere quali misure devono essere prese contro altre connessioni del portscanner. Per la connessione di reti private ad Internet. Status: Qui è possibile attivare o disattivare la funzioneport scan detection. Action for portscanner traffic: Qui è possibile determinare l azione da intraprendere a seguito della scoperta di un portscanner: Drop (blackhole): La rete scompare agli occhi dell attaccante. Reject: La porta viene mostrata come chiusa e il nemico non ha accesso ai servizi. Accept : Nessuna misura viene presa contro il portscanner PSD Exclusion Normali attività di rete possono essere interpretati come portscan dal PSD. Quindi è consigliato escludere certe combinazioni di reti sorgenti e destinazione dal PSD. Tale esclusione avviene indicando nei rispettivi campi sia la rete sorgente che quella di destinazione. L attività di portscanning non viene più rilevata sulle combinazioni di rete escluse dal PSD.
Tools In tale menu ci sono tre strumenti disponibili per testare le connessioni alla rete e il funzionamento del firewall. Ping Permette di testare la connessione ad un host remoto. Traceroute E uno strumento utile a trovare errori nel routing delle reti. Elenca gli indirizzi di ogni router che incontra sul percorso fino al sistema remoto. TCP Connect Con esso è possibile verificare la disponibilità dei servizi TCP. Ping: Qui è possibile selezionare il numero di ping (3,10, o 100 ) ed inserire l indirizzo IP o il nome dell host Traceroute: Qua inseriamo l indirizzo IP o il nome dell host sul quale bisogna fare il traceroute. TCP Connect: In questi campi inseriamo l indirizzo IP o il nome dell host con il relativo numero di porta usato sul quale bisogna fare la connessione TCP. Accounting Le funzioni di accounting registrano tutti i pacchetti IP sulle schede di rete esterne e calcola la dimensione dei dati trasport ati. Il calcolo del traffico viene effettuato una volta al giorno. In più, viene calcolato e visualizzato il traffico del mese corrente. Dopo l istallazione del firewall, tutte le reti sono incluse nella funzione accounting. In più, in quest ultima è possibile aggiungere o escludere reti. Packet Filter Packet Filter Il filtro dei pacchetti è la parte centrale delfirewall. Tramite le packet filter rules, è possibile definire quale traffico è permesso tra le reti e gli host ed inoltre, è possibile indicare particolari pacchetti da filtrare e non ammettere al passaggio attraverso il firewall. Ilfirewall è programmato per seguire la seconda politica, che permette di raggiungere un livello di sicurezza più alto.ciò significa che è possibile specificare quali pacchetti passeranno attraverso il filtro. Tutti gli altri pacchetti verranno bloccati e visualizzati nel Filter LiveLog. Nell impostazione del filtro dei pacchetti, è fondamentale una distinzione tra due politiche di sicurezza: All packet are allowed through bisogna specificare ciò che è proibito. All packet are blocked bisogna specificare ciò che è ammesso. Esempio: La rete A è una sottorete della rete B. La regola 1 permette il servizio SMTP per la rete A. La regola 2 proibisce l SMTP per la rete B. Risultato: Solo la rete A è in grado di accedere all SMTP. I pacchetti SMTP dalla rete B non sono ammessi attraverso il filtro.
Packet Filter Packet Filter In Rules, vengono definite le regole per il filtraggio del pacchetto, il loro ordine e stato. Attivare / Disattivare una Regola Modificare una Regola Cambiare Ordine alle Regole Cancellare una Regola Ordinare la Tabella delle Regole Packet Filter Packet Filter ICMP - Internet Control Message Protocol - E un protocollo necessario per testare le connessioni di rete e d il funzionamento del firewall, nonché per i processi diagnostici. ICMP on firewall e ICMP-forwarding sono sempre applicati a tutti gli indirizzi IP. Quando queste funzioni sono abilitate, tutti gli IP possono effettuare un ping al firewall (ICMP on firewall), o alla rete dietro di esso (ICMP-forwarding). Gli indirizzi IP separati non potranno più essere gestiti tramite le regole di filtrodei pacchetti. Se le impostazioni ICMP sono disabilitate, IP separati e reti, possono inviare pacchetti ICMP attraverso il firewall, utilizzando le regole di filtro dei pacchetti appropriate. ICMP-forwarding In questa sezione, è possibile attivare e disattivare l invio dei pacchetti ICMP attraverso il firewall verso la rete locale e verso tutte le DMZ connesse. ICMP on firewall In questa sezione, si attiva o disattiva, l invio e la ricezione diretta dei pacchetti ICMP. Packet Filter Packet Filter Filter LiveLog IlFilter LiveLog esamina le regole NAT e del filtro dei pacchetti. IlPacket filter-violation-log mostra in tempo reale i pacchetti che non hanno superato il set di regole del packet filter. Questa funzione è utile sopratutto per ricercare gli errori nelle regole del firewall. Nel menù ICMP è possibile attivare l avvio ICMP forwarding tra reti, e la ricezione ICMP del firewall stesso (p.e.: ping). Nei campi Current packet filter rules e Current NAT rules vengono visualizzate le regole valide, prese direttamente dal sistema operativo.
Packet Filter Packet Filter In Current packetfilter rules, gli amministratori esperti, possono vedere, in tempo reale, il risultato del filtro delle regole. Inoltre, vengono visualizzati tutti i filtri generati dal sistema. In Current NAT rules vengono visualizzate tutte le regole NAT, sia definite dagli amministratori sia generate dal sistema. In Filter LiveLog, si trova un display contenente le violazioni delle regole ed una panoramica sulle regole impostate (packet filter, NAT). Proxy Mentre il packet filter filtra il traffico dei dati a livello di rete, l uso di proxies aumenta la sicurezza del firewall a livello d applicazione, in quanto non c é connessione diretta traclient e server. Ogni proxy può offrire ulteriore sicurezza al proprio protocollo di applicazione. Siccome ogni proxy ha il compito di servire pochi o un unico protocollo d applicazione, solitamente offre opzioni più sofisticate per il logging e l analisi in tempo reale dei contenuti trasferiti. Proxy Proxy HTTP HTTP (web) SMTP (e-mail) DNS (name server) SOCKS (connessione point-to-point) Nel menù HTTP è possibile configurare l HTTP-cache-Proxy ed il banner blocker. Questo proxyè capace non solo di trasferire richieste www, ma anche di memorizzare le pagine. Quindi, le pagine visitare più di frequente, non vengono più caricate da Internet ma dalla cache del proxy. Ilproxy HTTP gestisce il protocollo HTTP (TCP/IP, porta 80) per la trasmissione delle pagine web. Si noti che i contenuti audio e video di una pagina web non vengono caricati attraverso la porta 80 (HTTP), ma attraverso una porta TCP differente.
Proxy Proxy SMTP In questo menù, viene configurato il proxy SMTP, come pure l'anti-virus. Il proxy SMTP agisce come un controllore della posta. Accetta le e-mail per i propri domini Internet e le passa al sistema di distribuzione interno, ad esempio un Server MicrosoftExchange. La posta viene controllata in maniera trasparente, alla ricerca di virus conosciuti e altri contenuti dannosi. Il proxy SMTP agisce anche come un gateway per le e-mail uscenti, svolgendo il lavoro di distribuzione dei messaggi, del sistema di posta interno. Proxy Proxy DNS In questo menù è possibile attivare e configurare il name server delfirewall. Se diversi name server vengono configurati, verranno interrogati seguendo l ordine dell elenco. Se nessun name server viene inserito alla voce External name server, tutte le richieste al name server, verranno spedite airoot name server di Internet. Se il proprio Internetprovider o la propria rete upstream, dispongono di un name server, dovrebbe essere inserito alla voce External name server, per velocizzarele richieste. Proxy Proxy SOCKS Il SOCKS è un proxy universale supportato da molte applicazioni client. Alcuni esempi sono i client FTP e RealAudio, come pure client di instant messaging tipo ICQ o AIM. Il SOCKS può agire come proxy quando si stabilisce una connessione FTP e, come caratteristica aggiuntiva, può anche accettare connessioni con i protocolli TCP e UDP. Questo rende il SOCKS interessante specialmente su firewall che usano NAT, in quanto, SOCKS può anche compensare gli svantaggi del NAT. Quando si utilizza il protocollo SOCKSv4, non è possibile l autenticazione degli utenti.
Proxy Vpn Una Rete Privata Virtuale (VPN) rappresenta una connessione sicura tramite un mezzo non sicuro solitamente Internet. Una VPN è utile in tutti quei casi in cui l informazione è spedita e ricevuta attraverso Internet, ed è importante che terze parti non possano cambiare o leggere queste informazioni. Vpn 1. Connessioni NET to NET Una rete comunica con un altra rete. Due di reti appartenenti a dipartimenti separati di una stessa compagnia, possono usare una VPN per comunicare come se fossero direttamente connesse. Questo genere di connessione potrebbe anche essere usato per garantire a compagnie fidate (fornitori, consulenti) l accesso sicuro ad informazioni interne. Una tale connessione è assicurata da un software VPN installato su entrambe i terminali in comunicazione. Questo software permette l autentica zione, lo scambio di chiavi ed il criptaggio dei dati, in accordo allo standard IPSec. Le connessioni VPN permettono la comunicazione, solo tra stazione autenticate. Nessun altro, può leggere o modificare le informazioni di queste connessioni. Ci sono diversi scenari per l utilizzo delle VPN. Vpn 2. Connessione HOST to NET Un computer comunica con una rete. Rappresentanti di zona o lavoratori a domicilio, possono usare una VPN per comunicare in maniera sicura, con la rete della compagnia. Vpn 3. Connessione HOST to HOST Un computer comunica con un altro computer. Due computer possono comunicare attraverso Internet usando una VPN per criptare i dati scambiati. Un server VPN è un modo sicuro ed economico per trasferire informazioni e può sostituire costose linee dedicate tra compagnie o dipartimenti.
Vpn Vpn In questo menù vengono configurate le connessioni VPN. IPSec Rsa Key: In questo menù vengono amministrate la chiave RSA per la connessione VPN. Se le chiavi sono molto lunghe è possibile che, a causa del meccanismo di timeout, WebAdmin venga chiuso, sebbene la generazione delle chiavi RSA sia ancora in Corso. Vpn PPTP Roadwarrior VPN: Point-to point Tunneling Protocol (PPTP) permette di concedere ad un singolo host, l accesso alla propria rete attraverso un tunnelcriptato. PPTP è sensibilmente più semplice da impostare rispetto ad IPSec e, se si utilizza Microsoft Windows, non richiedere altro software aggiuntivo sul computer client. Reporting Reporting La funzione Reporting offre la visione delle informazioni e degli stati correnti del sistema, oltre alla visualizzazione in tempo reale dei diversi protocolli. Tutti i diagrammi nella directory Reporting, per prima cosa mostrano una panoramica della corrente utilizzazione quotidiana. Uptime: Uptime documenta la disponibilità delfirewall: questo menù mostra il tempo dell ultimo avvio del sistema ed il tempo di attività dall ultima interruzione. E possibile inoltre visualizzare graficamente i valori medi settimanali, mensili o annuali.
Reporting Reporting Hardware Questo menù mostra i valori attuali dell hardware del firewall. I valori disponibili sono l utilizzazione della CPU e la sua temperatura, l utilizzazione della memoria RAM e del file di SWAP. Nella finestra Intern traffic, l utilizzazione del traffico dati è mostrata graficamente. : Un prerequisito per questo tipo di reporting, è che le schede di rete siano correttamente configurate in / Interfaces. HTTP Proxy In questo menù vengono processati e mostrati tutti i valori relativi all utilizzazione del proxy HTTP (web). Reporting Il diagramma HTTP Cache Objects mostra quanti oggetti, per esempio pagine html o immagini, sono memorizzate nel proxy HTTP. Il diagramma HTTP Objects Hits mostra in percentuale le richieste a cui il proxy HTTP ha risposto utilizzando la propria cache. SMTP Proxy Reporting E possibile attraverso SMTP logs mostrare un log in tempo reale del traffico di e-mail attraverso il proxy SMTP. Nella finestra SMTP-Status, viene mostrato il numero di e-mail in coda, divise in: - Entranti - Controllate (non presentano virus) - Uscenti SMTP Virus e-mail In questo menù vengono gestite le e-mail infette da virus. Vengono visualizzate tutte le informazioni relative all e-mail, quali data e ora, mittente e nome del virus. Accounting Reporting La funzione Accounting registra tutti i pacchetti IP nella scheda di rete esterna e ne somma le dimensioni. Il totale della giornata, viene calcolato una volta al giorno. Inoltre, la quantità di dati viene calcolata anche mensilmente. Il traffico mostrato, coinciderà con gli addebiti del proprio ISP, se il pagamento del servizio si basa sul volume di traffico. Reporting In questo menù è possibile definire quali schede di rete esterna devono essere incluse nell accounting.
Selfmonitor Reporting Il Selfmonitoring si occupa dell integrità del firewall ed informa l amministratore di rete degli eventi importanti attraverso un e-mail. Controlla le funzioni, le performance e la sicurezza dei parametri del sistema prendendo contromisure in caso di divergenze che vanno oltre una certa tolleranza. Quindi, l amministratore riceverà un reporttramite e-mail. Riduce sensibilmente la manutenzione, dato che gli interventi ma nuali diventano quasi obsoleti, riducendo il lavoro dell amministratore. Infine il Selfmonitoring delfirewall assicura il corretto funzionamento dei servizi principali. Help Help Le funzioni di Aiuto Nel menù Help sono disponibili tre ulteriori funzioni, oltre l Online Help. Search Questa funzione ricerca attraverso WebAdmin e l Online Help, il termine desiderato e visualizza i risultati in una nuova finestra. Index Tutti i menù sono elencati in ordine alfabetico. Il percorso indica dove deve essere trovata una particolare funzione in WebAdmin. Cliccando su un termine, si avvierà l Online Help con le informazioni corrispondenti. Glossary In questa directory, la disposizione dei termini corrisponde alla loro allocazione in WebAdmin. Cliccando su un termine, verrà mostrata una panoramica della funzione in questa directory. Uscita dal firewall Exit Se si chiude il browser durante una sessione di WebAdmin tramite Exit, l ultima sessione resterà attiva fino alla fine del periodo di time-out e, fino ad allora, nessun amministratore potrà effettuare il login. È possibile rimuovere manualmente la sessione attiva, effettuando il login come loginuser tramite SSH. Il comando su permette di diventare l utente root, e quindi è possibile interrompere l attuale connessione a WebAdmin tramite il comando rm f/tmp/wfelock.