Che cos è un firewall? Firewall e IDS/IPS

Documenti analoghi
Che cos è un firewall? Firewall e IDS/IPS. Ingress vs. Egress firewall. Progettazione di un firewall. L indice della sicurezza

Che cos è un firewall? Che cos è un firewall? Ingress vs. Egress firewall. Ingress vs. Egress firewall. Progettazione di un firewall

Firewall e IDS/IPS. Che cos è un firewall? Ingress vs. Egress firewall. M.Aime, A.Lioy - Politecnico di Torino ( ) 1

I firewall. I firewall

Che cos è un firewall? Firewall e IDS/IPS. Ingress vs. Egress firewall. Progettazione di un firewall. L indice della sicurezza

Ingress vs. Egress firewall

Difesa perimetrale di una rete

Sicurezza dei calcolatori e delle reti

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

Sicurezza architetturale, firewall 11/04/2006

La sicurezza delle reti

Elementi di Sicurezza e Privatezza. Proteggere la rete: tecnologie Lez. 13

maurizio pizzonia sicurezza dei sistemi informatici e delle reti. esercizi su sicurezza delle reti

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

Architetture e strumenti per la sicurezza informatica

Sicurezza delle reti 1

Sicurezza applicata in rete

Che cos è un firewall? I firewall. I firewall. Progettazione di un FW. Considerazioni generale. Politiche di autorizzazione

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Prof. Filippo Lanubile

Proteggere la rete I FIREWALL (seconda parte)

Proteggere la rete: I FIREWALL

IDS: Intrusion detection systems

Reti (introduzione) Internet in breve: insieme di reti locali (LAN) interconnesse da router. 2 tipi di LAN

Fondamenti di Internet e Reti. Antonio Capone, Matteo Cesana, Ilario Filippini, Guido Maier

VLSM - Variable Length Subnet Masks E-4: VLSM, Supernetting, NAT/PAT, Firewall

Firewall. Corso di Sicurezza su Reti Lezione del 15 Dicembre Pacchetti. Filtraggio di pacchetti

esercizi su sicurezza delle reti maurizio pizzonia sicurezza dei sistemi informatici e delle reti

Sicurezza delle reti. Monga TLS/SSL. A livello di trasporto. Sicurezza perimetrale

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

INDICE INTRODUZIONE E SCOPO DEL DOCUMENTO ORGANIZZAZIONE DEL DOCUMENTO. Introduzione e scopo del documento SICUREZZA... 8

Laboratorio di. Reti Informatiche. Corso di Laurea Triennale in Ingegneria Informatica A.A. 2016/2017. Ing. Niccolò Iardella

Crittografia e sicurezza delle reti. Firewall

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

Organizzazione della rete

Petra Internet Firewall Corso di Formazione

Firewall. Pacchetti. Filtraggio di pacchetti: Regole. Filtraggio di pacchetti

I Firewall. Metodi e strumenti per la Sicurezza informatica. Claudio Telmon claudio@di.unipi.it

Firewall. Che cosa proteggere? Pacchetti. Filtraggio di pacchetti: Regole. Filtraggio di pacchetti. Filtraggio di pacchetti: perché?

Firewall. Protezione perimetrale e sistemi anti intrusione

MODELLI ISO/OSI e TCP/IP

Corso MIUR C2 Modulo 8. Firewall. Ing. Giampaolo Mancini Ing. Fabio De Vito

3: Architettura TCP/IP

MODELLI ISO/OSI e TCP/IP

Mariarosaria Napolitano. Architettura TCP/IP. Corso di: Laboratorio di tecnologie informatiche e telematiche

Firewalls. Outline. Ing. Davide Ariu

Transparent Networking e tecnologie di virtualizzazione della rete. M. Caberletti (INFN-CNAF) A. Brunengo (INFN Genova)

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Firewall Intrusion Detection System


Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali

Cenni sull architettura protocollare TCP/IP

Il firewall Packet filtering statico in architetture avanzate

Cenni sull architettura protocollare TCP/IP

TCP/IP: summary. Lorenzo Cavallaro, Andrea Lanzi

Network Intrusion Detection

Configurare Comodo Internet Security 5.0 per emule AdunanzA

Tunneling, reti private e NAT

Monitorare la superficie di attacco. Dott. Antonio Capobianco (Founder and CEO Fata Informatica)

IP forwarding Firewall e NAT

Introduzione allo sniffing

NAT e PAT. Prof. Pier Luca Montessoro

Disciplina: Sistemi e reti Classe: 5A Informatica A.S. 2015/16 Docente: Barbara Zannol ITP: Alessandro Solazzo

Firewall. Alfredo De Santis. Maggio Dipartimento di Informatica Università di Salerno.

Firewall e Abilitazioni porte (Port Forwarding)

Introduzione alla rete Internet

Introduzione alla rete Internet

MIEAU06 Il protocollo TCP/IP: dalla teoria alla pratica

PACKET FILTERING IPTABLES

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

UDP. User Datagram Protocol. UDP Connectionless

Modulo 8. Architetture per reti sicure Terminologia

Reti. insieme di computer (host) interconnessi. Token evita conflitti di trasmissione Rete più o meno affidabile

Il Mondo delle Intranet

Programmazione modulare

Uso di sniffer ed intercettazione del traffico IP

Internet, Reti e Sicurezza

PIANO DI LAVORO ANNO SCOLASTICO I.T.S.O.S C. E. GADDA Sede di Langhirano MATERIA DI INSEGNAMENTO: SISTEMI E RETI PROF.

Connessione in rete: sicurezza informatica e riservatezza

Gara per l affidamento della fornitura, installazione, configurazione, gestione e manutenzione di un sistema di sicurezza perimetrale per la

Architetture a livelli

Sicurezza delle reti 1

Cenni sulla Sicurezza in Ambienti Distribuiti

È L UNICO STRUMENTO IN GRADO DI PROTEGGERE E SORVEGLIARE LA TUA AZIENDA, IL TUO NEGOZIO, LA TUA CASA LASCIANDOTI TRANQUILLO E SICURO SEMPRE E OVUNQUE

Configurazione delle interfacce di rete

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing

Besnate, 24 Ottobre Oltre il Firewall.

Parte II - Reti di Calcolatori ed Internet IL LIVELLO RETE

III - 2. Il Livello Rete. Corso di RETI DI CALCOLATORI (9 CFU) a.a II anno / II semestre. Il Livello Rete.

Trusted Intermediaries

Reti di calcolatori. Lezione del 25 giugno 2004

sicurezza delle reti (metodi crittografici esclusi) maurizio pizzonia sicurezza dei sistemi informatici e delle reti

Introduzione allo sniffing

Powered. Max Firewall. Soluzione intelligente. per un network sicuro

Programmazione in Rete

Introduzione alla rete Internet

Autenticazione ed integrità dei dati Firewall

Filtraggio del traffico IP in linux

Transcript:

Che cos è un firewall? Firewall e IDS/IPS firewall = muro tagliafuoco collegamento controllato tra reti a diverso livello di sicurezza = sicurezza del perimetro (filtro di ) Antonio Lioy < lioy @ polito.it > ( L1 > L2 ) Politecnico di Torino Dip. Automatica e Informatica a livello di sicurezza L1 RETE INTERNA a livello di sicurezza L2 RETE ESTERNA ingress firewall Ingress vs. Egress firewall collegamenti incoming tipicamente per selezionare i servizi offerti all'esterno talvolta come parte di una comunicazione attivata dall'interno egress firewall collegamenti outgoing controllo dell'attività del personale distinzione facile per servizi orientati al canale (es. applicazioni TCP), difficile per servizi basati su datagrammi (es. ICMP, applicazioni UDP) Progettazione di un firewall Un firewall non si compra, si progetta (si comprano i suoi componenti) si tratta di trovare il compromesso ottimale...... tra sicurezza e funzionalità... col minimo costo sicurezza funzionalità L indice della sicurezza 0 20 40 60 80 100 % 100 % 80 60 40 20 0 I TRE PRINCIPI INDEROGABILI DEI FIREWALL I. il FW deve essere l unico punto di contatto della con quella II. solo il traffico autorizzato può attraversare il FW III. il FW deve essere un sistema altamente sicuro esso stesso D.Cheswick S.Bellovin M.Aime, A.Lioy - Politecnico di Torino (1995-2016) 1

Politiche di autorizzazione Tutto ciò che non è espressamente permesso, è vietato maggior sicurezza più difficile da gestire Tutto ciò che non è espressamente vietato, è permesso minor sicurezza (porte aperte) più facile da gestire FW: elementi di base screening router ( choke ) router che filtra il traffico a livello di bastion host sistema sicuro, con auditing application gateway ( proxy ) servizio che svolge il lavoro per conto di un applicativo, tipicamente con controllo di accesso dual-homed gateway sistema con due connessioni di e routing disabilitato A quale livello si fanno i controlli? Architettura "screening router" packet headers TCP stream UDP datagram application data application application gateway transport (TCP / UDP) circuit gateway network (IP) packet filter datalink physical Architettura "screening router" Architettura "dual-homed gateway" usa il router per filtrare il traffico sia a livello IP che superiore non richiede hardware dedicato non necessita di proxy e quindi di modifiche agli applicativi facile, economico e... insicuro! M.Aime, A.Lioy - Politecnico di Torino (1995-2016) 2

Architettura "dual-homed gateway" Architettura "screened host gateway" facile da realizzare richiede poco hardware possibile mascherare la scarsamente flessibile grosso sovraccarico di lavoro Architettura "screened host gateway" Architettura "screened subnet" router: blocca traffico INT > EXT tranne se arriva dal bastion blocca traffico EXT > INT tranne se verso il bastion eccezione: servizi abilitati direttamente bastion host ospita circuit/application gateway per controllare i servizi autorizzati più caro da realizzare e complicato da gestire (due sistemi invece di uno) più flessibilità (no controllo su certi servizi / host) si possono mascherare solo gli host/protocolli che passano dal bastion (a meno che il router usi il NAT) Architettura "screened subnet" (De-Militarized Zone) sulla - oltre al gateway - ci possono essere più host (tipicamente i server pubblici): Web accesso remoto... si può configurare il routing in modo che la sia sconosciuta soluzione costosa Architettura "screened subnet" (versione 2) per motivi di costo e di semplicità di gestione spesso si omettono i router (e le loro funzioni sono incorporate nel gateway) anche noto come firewall a tre gambe M.Aime, A.Lioy - Politecnico di Torino (1995-2016) 3

Tecnologia dei firewall tecnologie diverse per controlli a vari livelli di : (static) packet filter stateful (dynamic) packet filter cutoff proxy circuit-level gateway / proxy application-level gateway / proxy stateful inspection differenze in termini di: prestazioni protezione del S.O. del firewall mantenimento o rottura del modello client-server Packet filter storicamente disponibile sui router effettua controlli sui singoli pacchetti IP IP header transport header Packet filter: pro e contro indipendente dalle applicazioni ottima scalabilità controlli poco precisi: più facile da fregare (es. IP spoofing, pacchetti frammentati) ottime prestazioni basso costo (disponibile su router e molti SO) arduo supportare servizi con porte allocate dinamicamente (es. FTP) configurazione complessa difficile fare autenticazione degli utenti Stateful (dynamic) packet filter simile al packet filter ma state-aware informazioni di stato dal livello trasporto e/o da quello applicativo (es. comando PORT di FTP) distingue le nuove connessioni da quelle già aperte tabelle di stato per le connessioni aperte pacchetti che corrispondono ad una riga della tabella sono accettati senza ulteriori controlli prestazioni migliori rispetto a packet filter supporto per SMP molte delle limitazioni proprie del packet filter Application-level gateway composto da una serie di proxy che esaminano il contenuto dei pacchetti a livello applicativo spesso richiede modifica dell applicativo client può opzionalmente effettuare il mascheramento / rinumerazione degli indirizzi IP interni nell ambito dei firewall, normalmente ha anche funzioni di autenticazione massima sicurezza!! (es. contro buffer overflow dell applicazione target) distinzione tra forward-proxy (egress) e reverseproxy (ingress) Application-level gateway (1) regole più granulari e semplici rispetto a packet filter ogni applicazione richiede uno specifico proxy ritardo nel supporto per nuove applicazioni consumo risorse (molti processi) basse prestazioni (processi user-mode) supporto SMP può migliorare prestazioni rompe completamente il modello client/server server più protetti può autenticare i client mancanza di trasparenza per i client M.Aime, A.Lioy - Politecnico di Torino (1995-2016) 4

Application-level gateway (2) può esporre il SO del firewall ad attacchi che fare in presenza di metodi di sicurezza a livello applicativo (es. SSL)? varianti: transparent proxy meno intrusivo per i client complesso (rerouting + estrazione dati) strong application proxy (controlla la semantica e la policy, non solo la sintassi del protocollo applicativo) solo comandi/dati permessi sono trasmessi è l unica configurazione giusta per un serio proxy Circuit-level gateway è un proxy non application-aware crea un circuito tra client e server a livello trasporto ma non ha nessuna comprensione dei dati in transito Circuit-level gateway rompe il modello client/server per la durata della connessione server più protetti isola da tutti gli attacchi che riguardano l'handshake TCP isola da tutti gli attacchi che riguardano la frammentazione dei pacchetti IP può autenticare i client ma allora richiede modifiche alle applicazioni molte limitazioni proprie del packet filter rimangono SOCKS è il più famoso Reverse proxy un server HTTP che fa solo da front-end e poi passa le richieste al vero server benefici (oltre a network ACL e content inspection): obfuscation (non dichiara il vero tipo di server) acceleratore SSL (con back-end non protetto ) load balancer web accelerator (=cache di contenuti statici) compressione spoon feeding (riceve dal server tutta una pagina creata dinamicamente e la serve poco per volta al client, scaricando così il server applicativo) Configurazioni di reverse proxy Stealth firewall firewall firewall firewall privo di un indirizzo di, così da non essere attaccabile direttamente intercetta i pacchetti fisicamente, mettendo le proprie interfacce di in modo promiscuo copia o scarta il traffico di (in base alla propria policy di sicurezza) ma non lo altera in alcun modo serv1 reverse proxy serv2 reverse proxy serv1 VPN serv2 stealth firewall M.Aime, A.Lioy - Politecnico di Torino (1995-2016) 5

Local / personal firewall firewall installato direttamente sul nodo da difendere tipicamente un packet filter rispetto ad un normale firewall in può controllare i processi a cui è permesso: aprire collegamenti in verso altri nodi (ossia agire come client) ricevere richieste di collegamento / servizio (ossia agire da server) importante per limitare la diffusione di malware o trojan, o semplici errori di installazione! gestione firewall distinta da gestione sistemistica Protezione offerta da un firewall i firewall sono efficaci al 100% solo relativamente agli attacchi sui canali che sono bloccati per gli altri canali occorrono altre difese: VPN firewall semantici / IDS sicurezza applicativa F W Intrusion Detection System (IDS) definizione: sistema per identificare individui che usano un computer o una senza autorizzazione esteso anche all identificazione di utenti autorizzati, ma che violano i loro privilegi ipotesi: il pattern di comportamento degli utenti non autorizzati si differenzia da quello degli utenti autorizzati IDS: caratteristiche funzionali IDS passivi: uso di checksum crittografiche (es. tripwire) riconoscimento di pattern ( attack signature ) IDS attivi: learning = analisi statistica del funzionamento del sistema monitoring = analisi attiva di traffico dati, sequenze, azioni reaction = confronto con parametri statistici (reazione scatta al superamento di una soglia) IDS: caratteristiche topologiche HIDS (host-based IDS) analisi dei log (del S.O. o delle applicazioni) attivazione di strumenti di monitoraggio interni al S.O. NIDS (network-based IDS) attivazione di strumenti di monitoraggio del traffico di SIV e LFM System Integrity Verifier controlla i file / filesystem di un nodo per rilevarne cambiamenti es. rileva modifiche ai registri di Windows o alla configurazione di cron, cambio privilegi di un utente es. tripwire Log File Monitor controlla i file di log (S.O. e applicazioni) rileva pattern conosciuti derivanti da attacchi o da tentativi di attacco es. swatch M.Aime, A.Lioy - Politecnico di Torino (1995-2016) 6

Componenti di un NIDS Architettura di un NIDS sensor controlla traffico e log individuando pattern sospetti attiva i security event rilevanti IDS director interagisce con il sistema (ACLs, TCP reset,... ) director (host) sensor(s) coordina i sensor gestisce il security database IDS message system consente la comunicazione sicura ed affidabile tra i componenti dell IDS (net) sensor FW (host) sensor(s) (net) sensor(s) IPS Intrusion Prevention System per velocizzare ed automatizzare la risposta alle intrusioni = IDS + firewall dinamico distribuito non un prodotto ma una tecnologia, con grosso impatto su tanti elementi del sistema di protezione pericolo di prendere la decisione sbagliata o di bloccare traffico innocuo external network Honey pot / Honey net honey pot (attacchi esterni) web server Decoy l network trusted host honey pot (attacchi interni) M.Aime, A.Lioy - Politecnico di Torino (1995-2016) 7

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back