Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere a risorse private, effettuare attacchi di tipi DoS. Un firewall può essere sia un apparato hardware sia un programma software. Esso presenta due interfacce di rete e quindi è associato a due IP address diversi: IP pubblico che identifica la rete a cui è esposto IP privato che identifica la rete interna che protegge C.Parisi 2 C.Parisi 1
Esempi Esempio di applicazione di un firewall per proteggere una rete privata interna (SOHO home, etc...) dalla rete pubblica (Internet). Il traffico interno alla LAN con firewall viaggi su di una rete trusted, mentre quello esterno untrusted. Fonte Internet C.Parisi 3 Configurazione - WAN Indirizzo Pubblico C.Parisi 4 C.Parisi 2
Configurazione - LAN Indirizzo Privato interno. C.Parisi 5 Esempi Esempio di applicazione di un firewall in una rete con un web server e ftp server. Notare come i due server (WWW server e FTP server) siano collocati al di fuori della zona trusted in quanto devono essere visibili alla rete pubblica. Un firewall NON può filtrare e/o controllare il traffico generato da un modem collegato con la rete pubblica all interno della trusted zone. Fonte Internet C.Parisi 6 C.Parisi 3
Tipologie e Funzioni Funzioni Un firewall esamina il traffico di rete che transita tra le zone trusted ed untrusted e verifica che rispetti determinati criteri. In particolare può: Bloccare l ingresso e/o l uscita di pacchetti in base all indirizzo IP del mittente/destinatario e/o la porta utilizzata (IP filtering o packet filtering) Bloccare l ingresso e/o l uscita di pacchetti in base al tipo di protocollo utilizzato (protocol filtering). Gestire l accesso pubblico ad applicazioni e/o risorse (es. stampante) private. Produrre il log di tutti i pacchetti transitati attraverso di esso o di quelli che sono stati rifiutati in quanto non rispondenti alle regole. Inviare in automatico messaggi (sottoforma di e-mail) al responsabile della rete all insorgere di tentativi di accesso non autorizzato. C.Parisi 8 C.Parisi 4
Operazioni Schema di funzionamento del firewall. Blocca l uscita di pacchetti dalla rete trusted verso Internet (ad es. perchè diretti verso siti configurati come non attendibili). Blocca l ingresso di pacchetto dalla rete pubblica (ad es. tentativi di connessioni telnet, ftp, ping, etc...) Fonte Internet C.Parisi 9 Configurazione - LAN In particolare il firewall può essere configurato come DHCP server (Dynamic Host Control Protocol) per la LAN interna. C.Parisi 10 C.Parisi 5
Dynamic Host Control Protocol (DHCP) Il DHCP è un protocollo usato per assegnare dinamicamente gli indirizzi IP ai calcolatori di una rete. L architettura è di tipo client/server DHCP server è la macchina che assegna gli indirizzi (es. firewall router della pagina precedente) DHCP client il computer che ha bisogno di ottenere un indirizzo valido nella sottorete. C.Parisi 11 Dynamic Host Control Protocol (DHCP) LAN Internet 192.168.0.196 Nella figura la lista degli indirizzi assegnati ai computer connessi alla Local Area Network. 192.168.0.252 192.168.0.254 DHCP server C.Parisi 12 C.Parisi 6
Network Address Translation (NAT) Il Network Address Translation è una tecnica che consiste nel modificare gli indirizzi IP dei pacchetti in transito su un sistema. I firewall implementano il source NAT in quanto modificano l'indirizzo sorgente del pacchetto che inizia una nuova connessione. Tutte le connessioni generate da un insieme di computer vengono "presentate" verso l'esterno con un solo indirizzo IP. FIREWALL C.Parisi 13 Configurazione Configurazione di NAT (Network Address Translation) C.Parisi 14 C.Parisi 7
Configurazione avanzata É possibile disabilitare la risposta alle richieste di ping provenienti dalla rete, ciò permette di rendere i firewall e i computer della rete interna invisibili alle richieste in rete. C.Parisi 15 Tipologie Vi sono diverse tipologie di firewall a seconda del livello in cui intervengono nell analisi del pacchetto: Packet filtering firewall (stateless): analizzano i pacchetti del livello IP in base al loro indirizzo IP e porta. Circuit level gateways (stateful): analizzano i pacchetti a livello di sessione TCP e determinano se la sessione è legittima Application level firewall (proxy firewall): operano a livello applicativo e quindi del protocollo utilizzato (ftp, telnet,...) fino al filtrare alcuni comandi tipici del protocollo. A loro il compito di mantenere l attività di logging. State Multilayer Inspection firewall combinano tutti gli aspetti precedentemente elencati APPLICATION TLS TCP / UDP IP DATA LINK PHYSICAL C.Parisi 16 C.Parisi 8
Stateless firewall I firewall di tipo stateless analizzano il singolo pacchetto di rete. Sono detti anche packet filters. Essi analizzano le sole intestazioni dei pacchetti e sono in grado, opportunamente configurati, di filtrare determinati protocolli, e/o il traffico su determinate porte. Sono molto veloci nell ispezionare i pacchetti per cui non rallentano le comunicazioni in corso, ma non altrettanto sicuri per quanto riguarda la sicurezza. C.Parisi 17 Stateless firewall Un packet filter può essere configurato per bloccare tutti i pacchetti che dall esterno affermano di avere un indirizzo IP assegnato all interno di una rete nota. In questo caso è quindi configurato per bloccare fenomeni di spoofing di indirizzi ai danni della rete interna. C.Parisi 18 C.Parisi 9
Servizi su internet Elenco dei principali servizi in internet e porte standard e protocollo usato Fonte internet C.Parisi 19 Stateful Packet Inspection (SPI) SPI sono firewall che mantengono memoria dello stato di una sessione in rete, ad es. iniziata, stabilita, finita. TCP three way handshake La fase iniziale di una sessione (SYN) causa un intensa attività lato server (allocazione di risorse per la comunicazione), alla fine della sessione tutte le risorse prima impegnate vengono rilasciate e sono libere per ospitare una nuova connessione. Fonte Internet C.Parisi 20 C.Parisi 10
Stateful Packet Inspection (SPI) Un firewall SPI mantiene quindi una tabella delle sessioni attive in modo tale che qualunque pacchetto dati i cui estremi non rientrano nella tabella viene scartato a priori senza neanche essere processato con un risparmio di tempo e risorse. Un firewall SPI analizza la sequenza dei pacchetti, da questa può riconoscere la sequenza tipica di un attacco informatico e quindi bloccarlo. Impiegati nella prevenzione di Syn flood attack Una sessione attiva che però non riceve pacchetti per un certo tempo viene forzatamente chiusa dal firewall in modo da non occupare risorse di sistema inutilmente. C.Parisi 21 DoS SYN flood SYN flood sfrutta il meccanismo tipico della connessione TCP (three way handshake) ed eventualmente IP spoofing sull indirizzo IP dell host sorgente. SYN FLOOD SYN SYN/ACK SERVER SYN SYN/ACK SERVER Il risultato è l impegno delle risorse del server che rimane in attesa di un segnale di ACK che non arriverà mai. SYN FLOOD IP SPOOFING C.Parisi 22 C.Parisi 11
DoS SYN flood I firewall di tipo stateful sono in grado di capire l inizio di un attacco Syn flood e scartare i pacchetti salvaguardando la rete interna da rischio di congestione e quindi di DoS. SERVER SYN Internet Zona protetta C.Parisi 23 Application o proxy firewall I proxy firewall si interpongono tra le richieste di client ed i server veri e propri. Essi operano a livello applicativo rigenerando le richieste (http, ftp, etc...) per conto dei client verso il server relativo. Così facendo possono effettuare controlli sui contenuti dei pacchetti permettendo funzioni di filtraggio a seconda per esempio del contenuto della pagina web richiesta. Ovviamente sono più lenti rispetto a firewall di tipo stateless. Web Browser WEB SERVER PROXY FIREWALL C.Parisi 24 C.Parisi 12
In conclusione In sintesi i principali punti relativi ai firewall I firewall riescono a proteggere un ambiente solo se ne controllano l intero perimetro. Se un host interno si connette alla rete esterna bypassando il firewall (ad esempio tramite un modem) l intera rete interna è vulnerabile attraverso il modem e l host I firewall sono la parte più visibile dall esterno di una rete di PC e quindi sono il bersaglio su cui si concentrano eventuali attacchi (certe volte è necessario avere diversi strati di protezione) I firewall esercitano un controllo minore (quasi assente) su quello che transita nella rete interna per cui i dati ivi in transito devono essere verificati da altri dispositivi (hw o sw) I firewall devono essere configurati correttamente e periodicamente aggiornati rispetto a cambia all interno della rete che vanno a proteggere e rispetto a nuovi meccanismi di intrusione. C.Parisi 25 Personal firewall C.Parisi 13
Personal firewall Personal firewall o firewall software sono applicazioni che monitorano il traffico di rete di uno specifico computer. Rispetto a firewall tradizionali (hardware) i firewall software sono installati su di una singola macchina. Il firewall può anche interagire con l'utente del PC chiedendo conferma di alcune azioni potenzialmente pericolose, come ad esempio permettere o impedire a un particolare programma di connettersi a Internet, individuando eventuali tentativi di intrusione nel proprio PC, bloccando la connettività se vi è il sospetto che un tale tentativo è in corso. Da tenere presente che un firewall in locale sulla macchina offre maggiore protezione ma l utilizzo è ulteriore carico (di memoria e computazionali) per le risorse della macchina. C.Parisi 27 Personal firewall Pagina di configurazione di Windows Live OneCare. Accesso a internet dei singoli programmi (per un confronto tra personal firewall http://www.programmifr ee.com/confronti/confron to-firewall08.htm) C.Parisi 28 C.Parisi 14
Personal firewall Configurazione filtri in base al protocollo e/o numero di porta C.Parisi 29 Personal firewall Configurazione monitoraggio virus e spyware C.Parisi 30 C.Parisi 15
Personal firewall Caratteristiche comuni dei personal firewall: Avvisare l utente di tentativi di connessione in uscita dando informazioni puntuali sul nome del programma che sta tentando la connessione. Possibilità di controllare puntualmente quali programmi installati sul computer possono connettersi in internet Monitorare le applicazioni che sono in ascolto in attesa di connessioni Regolare traffico in ingresso ed in uscita Rischi Possono essere colpiti da virus che ne vanificano l effetto di controllo Il numero di warning (se elevato) può desensibilizzare l utente finale alla lettura attenta del messaggio. C.Parisi 31 Personal firewall Alcuni sistemi operativi integrano funzionalità di firewall. Windows XP ha un proprio firewall Windows (http://www.microsoft.com/windowsxp/using/security/internet/sp2_wfin tro.mspx ) che però non offre protezione per connessioni dall interno verso l esterno, con il rischio che software maligno riesca a creare connessioni con l estero senza essere bloccato. La versione di Windows Vista invece offre questa possibilità. Linux utilizza il firewall iptables (netfilter) anche se non di facile configurazione. C.Parisi 32 C.Parisi 16
In conclusione Pros & Cons Vantaggi Protezione a differenti livelli del traffico di rete. Tutte le Local Area Network (fosse anche una LAN formata da un singolo PC connesso in rete) dovrebbero installare un firewall. Svantaggi Limitazione alla navigazione ed all utilizzo delle risorse di rete. Causa di strozzature ( bottleneck ) nel traffico di rete in quanto tutta l attività di analisi dei pacchetti viene effettuata in un solo punto (il firewall). C.Parisi 34 C.Parisi 17
Hardware vs. Software software Non richiede hardware aggiuntivo e relativi cablaggi Buon compromesso per la protezione di singoli PC ma... Richiede licenza per ogni installazione Deve essere installato (e configurato) Protegge un solo PC quello in cui è installato hardware Integra funzionalità di firewall e instradamento (router + firewall) Unico dispositivo che protegge diversi computer (almeno ha 4 porte a cui è possibile collegare dei computer) ma... Richiede hardware e cablaggi aggiuntivi (e configurazione) C.Parisi 35 C.Parisi 18