La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

PON 2004 - Reti di Calcolatori FW - 1 FIREWALL - Argomenti Perchè “Internet Firewall”? Servizi Internet Strategie di difesa Progettazione di firewall Bastion.

Presentazioni simili


Presentazione sul tema: "PON 2004 - Reti di Calcolatori FW - 1 FIREWALL - Argomenti Perchè “Internet Firewall”? Servizi Internet Strategie di difesa Progettazione di firewall Bastion."— Transcript della presentazione:

1 PON Reti di Calcolatori FW - 1 FIREWALL - Argomenti Perchè “Internet Firewall”? Servizi Internet Strategie di difesa Progettazione di firewall Bastion Hosts Packet Filtering Sistemi Proxy VPN

2 PON Reti di Calcolatori FW - 2 Perchè “Internet Firewall”? Internet è una comunità in continua crescita Si è passati da una popolazione prettamente scientifica e di ricerca ad una “mista” Una popolazione statisticamente rappresentativa dell’intera umanità C’è sempre chi sfrutta l’altrui fatica a proprio esclusivo vantaggio, indipendentemente dalle conseguenze!!

3 PON Reti di Calcolatori FW - 3 Cosa tentiamo di proteggere DATI le cui caratteristiche sono: –segretezza –integrità –disponibilità RISORSE come ad esempio: –spazio su disco –tempo di CPU –ampiezza di banda della rete –servizi altrimenti a pagamento REPUTAZIONE

4 PON Reti di Calcolatori FW - 4 Contro cosa cerchiamo di proteggerci TIPI DI ATTACCO –intrusione –DoS (Deny of Service) –furto di informazioni TIPI DI ATTACCANTI –joyriders –vandali –score-keeper –spie (industriali o altro!) –pirati (e bucanieri, filibustieri, corsari…) STUPIDITA’ ED INCIDENTI –rappresentano oltre il 55% dei casi

5 PON Reti di Calcolatori FW - 5 Come ci si può proteggere? Nessuna sicurezza aggiuntiva ( ) Security Through Obscurity (  ) Host Security Network Security Nessun modello di sicurezza può risolvere tutti i problemi!

6 PON Reti di Calcolatori FW - 6 Cosa è un “firewall”? Costringe ad entrare attraverso un punto ben controllato Impedisce (?!) agli attaccanti di avvicinarsi troppo alle altre difese Costringe ad uscire attraverso un punto ben controllato Nella terminologia militare : Check-Point! Firewall Rete interna

7 PON Reti di Calcolatori FW - 7 Cosa può fare un firewall? E’ un punto focale per le decisioni inerenti la sicurezza Può potenziare le politiche di sicurezza Può tener traccia (log) delle attività da e verso Internet in modo efficiente Limita l’esposizione all’esterno della rete

8 PON Reti di Calcolatori FW - 8 …e cosa NO! NON PUO’ PROTEGGERE DA MALINTENZIONATI INTERNI NON PUO’ PROTEGGERE DA QUELLO CHE NON CI PASSA ATTRAVERSO NON PUO’ PROTEGGERE DA MINACCE COMPLETAMENTE NUOVE NON PUO’ PROTEGGERE DAI VIRUS E SIMILI

9 PON Reti di Calcolatori FW - 9 Servizi Internet Sono molti Molti sono utili MA... Sono tutti potenzialmente pericolosi!

10 PON Reti di Calcolatori FW Permette lo scambio di messaggi asincroni (in parole povere le buone, vecchie lettere) Vi sono molti protocolli per il suo utilizzo: –SMTP (Simple Mail Transfer Protocol) –POP (Postal Office Protocol) –IMAP (Interactive Mail Access Protocol) –MIME (Multimedia Internet Mail Extension)

11 PON Reti di Calcolatori FW - 11 File Transfer Permette di copiare o trasferire su una rete i documenti da un computer ad un altro Anche qui, tanti protocolli –FTP (File Transfer Protocol) –TFTP (Trivial File Transfer Protocol) –FSP (File Service Protocol) –UUCP (Unix to Unix CoPy)

12 PON Reti di Calcolatori FW - 12 Remote Terminal Access & Command Execution Permettono di accedere interattivamente ad un computer remoto o di eseguire su un computer remoto dei particolari comandi –Telnet –rlogin –rsh

13 PON Reti di Calcolatori FW - 13 UseNet NEWS L’equivalente elettronico delle bacheche o del cinesissimo “ta-tse-bao” contrapposto, come flusso, all’ –NNTP (Network News Transfer Protocol)

14 PON Reti di Calcolatori FW - 14 World Wide Web E’ una delle parole-chiave della nostra epoca: WWW (che potrebbe anche voler dire Wilde West World, sotto certi aspetti ) –HTTP – –FTP –…e tanti altri che si aggiungono ogni giorno!

15 PON Reti di Calcolatori FW - 15 Altri servizi… Gopher –è il “nonno” del web! WAIS (Wide Area Information Service) –l’antenato più prossimo di Google (per tacer di Altavista!)

16 PON Reti di Calcolatori FW - 16 Informazioni sulle persone Fortunatamente non esiste ancora una vera e propria “directory” di tutti gli utenti Internet però, in piccolo… – finger : permette di accedere alle informazioni utente contenute su un singolo computer –whois : permette di accedere alle informazioni per persone e società contenute in database del NIC (Network Information Center)

17 PON Reti di Calcolatori FW - 17 Servizi di conferenza Real-Time Sono servizi che permettono lo scambio, anche multimediale, di messaggi in tempo reale come chat, teleconferenza, videoconferenza… –Talk –IRC –ICQ –MBONE –….

18 PON Reti di Calcolatori FW - 18 Name Service E’ il servizio distribuito che permette di associare ad indirizzi numerici Internet (come ), dei cosiddetti “nomi a dominio” (il fatidico tra le altre cose! –DNS –SUN NIS/YP

19 PON Reti di Calcolatori FW - 19 Network Management Systems Servizi che, almeno in teoria, dovrebbero servire per aiutare i gestori di reti a farle funzionare al meglio, ma…c’è sempre il lato oscuro della Forza! –Ping –traceroute –ICMP (Internet Control Message Protocol) –SNMP (Simple Network Management Protocol)

20 PON Reti di Calcolatori FW - 20 Time Service Permette il sincronismo dell’orologio di un computer con uno di riferimento, anche remoto E’ un servizio molto importante per una corretta implementazione della sicurezza (timestamp) –NTP (Network Time Protocol) –GPS (Global Positioning System)

21 PON Reti di Calcolatori FW - 21 Network File Systems Sono servizi che permettono di condividere tra più computer il file-system di uno o più di loro –NFS (Network File System) –AFS (Carnegie Mellon University Andrew File System) –CIFS (non è del “mondo UNIX” ma usa TCP/IP! È il Common Internet File System di M$-Window$)

22 PON Reti di Calcolatori FW - 22 Window Systems Forniscono servizi di interfacciamento grafico a finestre (da cui il nome). Decisamente da molto più tempo che non M$, ma questa è un’altra storia… –X11 E’ una “bestia nera” della sicurezza. Tra le tante “nefandezze”: –può permettere il “dump” dello schermo –può “leggere” i caratteri inseriti da tastiera –e…ORRORE!!!…può inserire caratteri come se fossero stati inseriti dall’utente reale dalla sua tastiera!!

23 PON Reti di Calcolatori FW - 23 Printing Systems Permettono di utilizzare stampanti collegate ad altri computer o altre reti –SysV lp –BSD lpr

24 PON Reti di Calcolatori FW - 24 Strategie di difesa Privilegi minimi (least privilege) Difesa in profondità (defense in depth) Punto di strozzatura (choke point) L’anello più debole (weakest link) Fail safe stance Partecipazione universale Diversificazione della difesa Semplicità

25 PON Reti di Calcolatori FW - 25 Privileggi minimi – least privilege Ogni oggetto (utente, amministratore, programma, sistema, ecc…) dovrebbe avere solo i privileggi necessari e sufficienti al suo compito…ma non di più! Molti dei problemi relativi alla sicurezza derivano dalla non applicazione di questa regola Non è, comunque, sempre di facile applicazione, specialmente per quanto riguarda gli utenti

26 PON Reti di Calcolatori FW - 26 Difesa in profondità – defense in depth Non dipendere da un solo meccanismo di sicurezza, per quanto forte possa sembrare Nel caso di failure di tale singolo sistema, tutto il sito può essere compromesso!!!

27 PON Reti di Calcolatori FW - 27 Punto di strozzatura – choke point Un choke point forza gli attaccanti ad utilizzare un “canale” di accesso stretto e facilmente controllabile come: –una porta di controllo in aeroporto –il portone di un castello ATTENZIONE ALLE PORTE DI “SERVIZIO”!

28 PON Reti di Calcolatori FW - 28 L’anello più debole – weakest link Ricordarsi sempre che “la catena è forte quanto il suo anello più debole” In altre parole: non sottovalutare nessun componente della “catena di sicurezza” ATTENZIONE ALLE “PARANOIE”! –Valutate sempre il rapporto rischio/pericolo

29 PON Reti di Calcolatori FW - 29 Fail safe stance Be’, questo stabilisce che se si deve fallire, lo si deve fare in…tutta sicurezza! Due princìpi fondamentali sono: –Default Deny Stance: tutto ciò che non è esplicitamente permesso E’ VIETATO –Default Permit Stance: tutto ciò che non è esplicitamente vietato E’ PERMESSO

30 PON Reti di Calcolatori FW - 30 Partecipazione universale E’ un concetto un po’ controverso…ma io appoggio la scuola di pensiero del coinvolgimento Rendere partecipi gli utenti alle problematiche di sicurezza I primi alleati devono essere quelli che proteggete Ma…come ottenere la partecipazione? –Convincendoli che è una buona idea (e un po’ di psicologia non guasta) –obbligandoli con regole aziendali e con leggi –la “giusta via di mezzo”

31 PON Reti di Calcolatori FW - 31 Diversificazione della difesa Variante “orizzontale” della defense in depth Utilizzare dispositivi provenienti da produttori diversi per limitare le probabilità di problemi comuni Usare persone diverse per la configurazione dei vari dispositivi per limitare la condivisione di problemi concettuali MA… Ha un forte impatto in termini di costo e di gestione

32 PON Reti di Calcolatori FW - 32 Semplicità E’ strategico per due motivi: –Tenere le cose semplici le rende più facili da capire ed è più semplice trovare un problema (e ce ne sarà sempre almeno uno in qualunque fase di implementazione!) –La complessità aiuta a nascondere moooolte trappole

33 PON Reti di Calcolatori FW - 33 Alcune definizioni (I) Firewall: un componente o un insieme di componenti che restringono l’accesso tra Internet e una rete protetta o tra altri insiemi di reti Host: un qualunque computer connesso in rete Bastion-Host: un computer che deve essere altamente protetto poichè è esposto alla rete esterna ed è il punto principale di contatto per gli utenti della rete interna

34 PON Reti di Calcolatori FW - 34 Alcune definizioni (II) Dual-Homed host: un computer che possiede almeno due interfacce di rete Packet: l’unità fondamentale di comunicazione su Internet Packet Filtering: l’azione che compie un dispositivo per controllare selettivamente il flusso di dati da e per la rete. Viene anche conosciuto come “screening” e di solito avviene su un router, un bridge o un host

35 PON Reti di Calcolatori FW - 35 Alcune definizioni (III) Perimeter Network: una rete aggiunta tra una rete protetta e la rete esterna, per fornire un ulteriore livello di sicurezza. Spesso chiamata DMZ (De Militarized Zone) Proxy Server: un programma che contatta server esterni in rappresentanza di client interni. I proxy client dialogano con il proxy server i quali rigirano le richieste ai server reali e rigirano le loro risposte ai client

36 PON Reti di Calcolatori FW - 36 Alcune definizioni (IV) Screening Router - Packet filtering con uno screening router -

37 PON Reti di Calcolatori FW - 37 Alcune definizioni (V) - Proxy Services con un dual homed host - Dual homed host Proxy Server Firewall Proxy Client Real Server

38 PON Reti di Calcolatori FW - 38 Architetture (I) Dual homed host –Computer con 2 o più interfacce di rete –Nessuna funzione di routing! –Fornisce servizi tramite proxy Dual homed host Firewall

39 PON Reti di Calcolatori FW - 39 Architetture (II) Screened host –Un host collegato alla rete interna (bastion-host) –Uno screening router host Screening Router Firewall

40 PON Reti di Calcolatori FW - 40 Architetture (III) Screened subnet –Aggiunge sicurezza all’architettura screened host con l’aggiunta di una DMZ –Due screened router connessi alla DMZ uno verso la rete esterna uno verso la rete interna –Un Bastion Host sulla DMZ Exterior router (Access router) Interior router (Choke router) Bastion Host DMZ Internal Network Firewall

41 PON Reti di Calcolatori FW - 41 Variazioni sul tema (I) Bastion Host multipli: OK Interior/Exterior router coincidenti: OK Exterior / Interior router Bastion Host DMZ Internal Network Firewall

42 PON Reti di Calcolatori FW - 42 Variazioni sul tema (II) Bastion Host/Exterior router coincidenti: OK –screened subnet! Bastion Host/Exterior router DMZ Internal Network Firewall Interior router

43 PON Reti di Calcolatori FW - 43 Variazioni sul tema (III) Interior router multipli: Exterior router Interior router Bastion Host DMZ Internal Network Firewall

44 PON Reti di Calcolatori FW - 44 Variazioni sul tema (IV) Bastion Host e Interior router coincidenti: –screened host! Exterior router DMZ Internal Network Firewall Interior router/ Bastion Host

45 PON Reti di Calcolatori FW - 45 Variazioni sul tema (V) Exterior router multipli: OK Exterior router Interior router Bastion Host DMZ Internal Network Firewall Exterior router

46 PON Reti di Calcolatori FW - 46 Variazioni sul tema (VI) DMZ multiple: OK Exterior router Interior router Bastion Host DMZ Internal Network Firewall Exterior router Interior router Bastion Host DMZ Firewall

47 PON Reti di Calcolatori FW - 47 Il Bastion Host è il sistema che “rappresenta una azienda/società su Internet Difatti, dovrebbe essere l’unico punto di contatto tra il mondo esterno e quello interno Per questo motivo, nella sua progettazione, deve essere fatto ogni sforzo per renderlo sicuro L’HOST PIU’ FORTIFICATO il termine deriva, appunto, da “bastione”: “fortificazione isolata o unita alla cinta muraria per difesa di luoghi contro i nemici” Bastion Host

48 PON Reti di Calcolatori FW - 48 Princìpi generali (I) Sono due i princìpi generali nella costruzione di un bastion host: –RENDERLO SEMPLICE: più è semplice, più è facile renderlo sicuro –BISOGNA ESSERE, COMUNQUE, PREPARATI AD UNA SUA COMPROMISSIONE: difatti, nonostante gli sforzi fatti per renderlo sicuro, può sempre accadere il peggio (Murphy docet) ed è anche logico, visto che è in “prima linea”

49 PON Reti di Calcolatori FW - 49 Princìpi generali (II) Non bisogna partire dal presupposto che è inattaccabile (vedi Titanic o Linea Maginot!!) Fare tutto il possibile perchè non sia facilemte attaccabile, ma chiedersi sempre “E se…” In genere, non fidarsi completamente di ciò che proviene dal bastion host!

50 PON Reti di Calcolatori FW - 50 Tipi…speciali (I) (bastion host con particolari caratteristiche) Non routing dual-homed host: –ha almeno due interfacce di rete ma non fa passare traffico IP tra loro –può essere esso stesso un firewall o far parte di un firewall più complesso –se è l’unico firewall…SIATE PARANOICI!

51 PON Reti di Calcolatori FW - 51 Tipi…speciali (II) (bastion host con particolari caratteristiche) Victim machine (sacrificial goat): –mette a disposizione servizi difficili da offrire in modo sicuro o così recenti che ancora non se ne conoscono le implicazioni sulla sicurezza –non contiene niente di importante e non è collegata in alcun modo a macchine “più appetitose” –è…sacrificabile

52 PON Reti di Calcolatori FW - 52 Tipi…speciali (III) (bastion host con particolari caratteristiche) Internal bastion host: –sono server interni che hanno interazioni speciali con il bastion host principale server interno name server interno ecc…

53 PON Reti di Calcolatori FW - 53 La scelta della macchina! Decidere quale hardware e software utilizzare per costruire il bastion host è un passo importante (e c’era da dubitarne??) Bisogna tener in mente che il bastion host dovrà essere: –AFFIDABILE –SUPPORTABILE –CONFIGURABILE

54 PON Reti di Calcolatori FW - 54 Il Sistema Operativo Un S.O. con il quale si abbia confidenza Che sia architetturalmente affidabile Che offra i servizi Internet che si vogliono fornire agli utenti Che offra tool di facile reperibilità per la costruzione e gestione del bastion host In altre parole…UNIX (o simili) potrebbe essere l’unica risposta ;-)

55 PON Reti di Calcolatori FW - 55 Quanto veloce deve essere? Non c’è bisogno di super-processori, anzi! Un Pentium © II/III (con Linux © ) è più che sufficiente Ma questo dipende dalla “velocità” del collegamento al mondo esterno, dal “traffico” A mali estremi…più bastion host possono risolvere il problema a costi decisamente più contenuti Inoltre: –una macchina “lenta” è un obiettivo meno invitante –se compromessa, è meno utile per attaccare altri siti

56 PON Reti di Calcolatori FW - 56 Quale configurazione HW? Il bastion host deve essere affidabile e quindi meglio non affidarsi agli ultimi ritrovati Il lavoro del bastion host è principalmente concentrato nella memoria  grandi quantità di RAM e spazio su disco per swap space Dischi capienti (specialmente se il bastion host fornirà servizi di caching) ma non necessariamente ad alta velocità Ipotizzare l’utilizzo di un supporto non riscrivibile come “disco di sistema” Una unità di backup locale (nastro, masterizzatore…) Un CD-ROM (per installazione, checksum database…), anche esterno Facilità di aggiungere/togliere hard disk Nessuna capacità grafica! Un buon vecchio terminale ASCII va benissimo

57 PON Reti di Calcolatori FW - 57 La locazione fisica Deve essere posto in un luogo sicuro (c’era bisogno di dirlo??) –accesso ristretto/controllato al luogo –UPS (Uninterruptable Power Supply) –riparato da danni ambientali (acqua, caldo, umido…)

58 PON Reti di Calcolatori FW - 58 La locazione su rete Su una rete che non veicoli traffico confidenziale (che ne pensate di…DMZ??) Se proprio non è possibile, si può posizionarlo su un hub intelligente, uno switch… ma bisogna aver cura che nessuno si fidi troppo del bastion host. Unendo le due tecniche (DMZ su una rete gestita da uno switch) si ottiene quanto di più vicino alla perfezione ;-)

59 PON Reti di Calcolatori FW - 59 I servizi forniti dal bastion host Solo ed esclusivamente i servizi che si vogliono offrire all’interno o all’esterno Si possono dividere i servizi in 4 classi: –Servizi Sicuri: i servizi in questa categoria possono essere forniti via packet-filtering. In una configurazione proxy-firewall pura, però, tutto deve essere fornito dal bastion host o non fornita affatto –Servizi insicuri ma che possono essere resi sicuri: questi sono servizi che possono essere forniti dal bastion host –Servizi insicuri che non possono essere resi sicuri: questi dovranno essere disabilitati o, al più, forniti da un victim host –Servizi non usati o che non si usano congiuntamente ad Internet: questi servizi devono essere assolutamente disabilitati

60 PON Reti di Calcolatori FW - 60 Non permettere account utenti sul bastion host Vulnerabilità degli account stessi Vulnerabilità dei servizi richiesti per supportare gli account Riduzione della stabilità ed affidabilità Inavvertita sovversione della sicurezza del bastion host da parte degli utenti Aumento della difficoltà nell’accorgersi di attacchi

61 PON Reti di Calcolatori FW - 61 Costruire il bastion host Finora abbiamo “solo” fatto lavoro a tavolino…ora dobbiamo rimboccarci le maniche! –Porre la macchina fuori dalla rete e installare la base –Disabilitare tutti i servizi non richiesti –Installare o modificare i servizi che si vogliono fornire –Riconfigurare la macchina dallo stato “sviluppo” allo stato “produzione” –Eseguire un security audit per stabilire una base di comprarazione –Connettere il bastion host alla rete

62 PON Reti di Calcolatori FW - 62 E ora…FIATO ALLE TROMBE! Una volta configurato e reso operativo il bastion host, parte un periodo di assidua oservazione per assicurarsi che tutto proceda come progettato –Farsi un’idea chiara del normale profilo d’utilizzo per poter scoprire le anomalie Quanti job alla volta sono in esecuzione? Quanto tempo di CPU questi job impiegano relativamente tra loro? Qual è il carico tipico ad ore diverse della giornata? –Automatizzare il monitoraggio

63 PON Reti di Calcolatori FW - 63 Proteggere la macchina Ora il bastion host è attivo ed è un elemento vitale della rete (e dell’azienda) e va adeguatamente, a sua volta, protetto –Sospettare dei reboot o dei crash (oh, be’, solo se avete seguito il suggerimento nella slide “Il Sistema Operativo” ;-) ) –Effettuare backup ad ogni cambio di configurazione e conservarlo in un luogo (ufff!!!) sicuro –Un ulteriore meccanismo può essere quello di utilizzare un database di digest/checksum di tutti i file del sistema

64 PON Reti di Calcolatori FW - 64 Packet Filtering Introduzione (I) Un meccanismo di sicurezza di rete che controlla quali dati possono transitare su una rete Nel “linguaggio” IP, questi dati sono chiamati “pacchetti”. Tutti gli scambi di informazioni su reti IP avvengono in forma di pacchetti

65 PON Reti di Calcolatori FW - 65 Packet Filtering Introduzione (II) Il dispositivo che permette l’interconnessione di reti è il router E’ il router a prendere le decisioni di percorso per ogni pacchetto utilizzando i protocolli di routing e basandosi su alcune informazioni contenute nel pacchetto stesso –Indirizzo di provenienza –Indirizzo di destinazione –(urgh!!!) IP options / /24

66 PON Reti di Calcolatori FW - 66 Packet Filtering Introduzione (III) Mentre il router si chiede solo “Come posso far procedere questo pacchetto?”, il Packet-Filter si chiede anche “Devo far procedere questo pacchetto?” basandosi su regole programmate

67 PON Reti di Calcolatori FW - 67 Perchè “Packet Filtering”? (I) Il packet filtering permette di controllare il passaggio (permesso/negato) di dati basandosi su: –l’indirizzo (presunto) da cui provengono i dati –l’indirizzo verso cui i dati sono indirizzati –i protocolli di sessione e di applicazione utilizzati –l’interfaccia sulla quale i dati si presentano Alcuni - detti “stateful inspection” - si basano anche su alcuni dati contenuti nei pacchetti e altri “campi” contenuti nell’header del protocollo utilizzato

68 PON Reti di Calcolatori FW - 68 Perchè “Packet Filtering”? (II) Di solito il Packet Filtering si applica ai router in quanto –choke point –vi sono sicuramente meno router che host Un packet filtering router (o anche “screening router”) è, sicuramente, il primo baluardo per la protezione perimetrale della rete.

69 PON Reti di Calcolatori FW - 69 Vantaggi del packet filtering Un solo screening router può aiutare a proteggere un’intera rete Il packet filtering non richiede cooperazione: è trasparente all’utente E’ ampiamente disponibile su molti router

70 PON Reti di Calcolatori FW - 70 Svantaggi del packet filtering (the Dark Side…) Gli attuali tool di filtraggio non sono perfetti: –le regole (rules) sono difficili da configurare (a volte il linguaggio è criptico, solo per iniziati) –una volta configurate, sono difficili da provare –nessuna standardizzazione tra i vari prodotti Alcuni protocolli non sono appropriati per il packet-filtering Alcune politiche non possono essere rafforzate da normali screening router

71 PON Reti di Calcolatori FW - 71 Cosa tener in mente quando si configura un packet filtering I protocolli sono, solitamente, bidirezionali Attenzione alla semantica di “inbound” e “outbound”: si deve pensare in termini di pacchetti e non di servizi “Default Deny” vs “Default Permit”

72 PON Reti di Calcolatori FW - 72 Cosa farci con i pacchetti? Farli passare se soddisfano le condizioni (come farebbe un normale router) Scartarli se non soddisfano le condizioni (cosa che nessun router normale può fare)

73 PON Reti di Calcolatori FW - 73 E poi? Log delle azioni (su un syslog server non coincidente con lo screening router, ovviamente!) Segnalazioni ICMP (o no?) –Quale tipo di messaggio ritornare (destination unreachable/destination administrative unreachable) –Si può affrontare l’overhead della generazione e ritorno dell’errore? ATTENZIONE: DoS!!! –E se questo fornisce più informazioni del dovuto all’attaccante? –Di solito si evita di inviare ICMP all’esterno ma si permette all’interno

74 PON Reti di Calcolatori FW - 74 Come scegliere un Packet Filtering (I) Ne esistono per tutti i gusti e per tutte le tasche. Alcune caratteristiche possono essere: Packet Filtering Performance: tener conto principalmente della velocità di connessione

75 PON Reti di Calcolatori FW - 75 Come scegliere un Packet Filtering (II) Può essere un router o un computer, ma che faccia solo quello! Deve permettere una semplice specificazione delle regole Deve applicare le regole nell’ordine specificato Deve applicare le regole separatamente per pacchetti IN e per pacchetti OUT, su una base di interfaccia

76 PON Reti di Calcolatori FW - 76 Come scegliere un Packet Filtering (III) Deve permettere regole basate su criteri per header o meta-pacchetti: –source/destination IP Address –IP options –Protocolli (TCP/UDP/ICMP…) –Source/Destination port –Tipo messaggio ICMP –“Start of connection” (bit ACK) per TCP HEADER META –Interfaccia sulla quale si trova il pacchetto

77 PON Reti di Calcolatori FW - 77 Come scegliere un Packet Filtering (IV) Log dei pacchetti accettati/rifiutati Capacità di test e validazione. Quest’ultima è particolarmente difficile da trovare, però, anche in prodotti commerciali di alto livello.

78 PON Reti di Calcolatori FW - 78 Dove fare “packet filtering”? Ovunque si possa, nella nostra architettura di firewall!! –Sul router perimetrale (o access router) –Su ognuno degli eventuali router interni –Su host particolari (server, bastion host)

79 PON Reti di Calcolatori FW - 79 Proxy - Introduzione (I) Il termine “proxy” può essere tradotto come “procura”, “tramite” Difatti, un proxy è un sistema che –dal punto di vista dell’utente, si sostituisce al server reale –dal punto di vista del server reale, si sostituisce all’utente

80 PON Reti di Calcolatori FW - 80 Proxy - Introduzione (II) In pratica: –Una richiesta fatta da un client viene valutata dal proxy e, se rispetta certe regole, viene rigirata al server reale, altrimenti viene scartata –La risposta del server reale viene inviata al proxy server che la rigira al client Is req1 req1OK? req1 YES NO client Proxy Real Server Ans1 client Proxy Real Server

81 PON Reti di Calcolatori FW - 81 Proxy - Introduzione (III) Non richiede un hardware particolare (un dual- homed o un bastion host) ma richiede spesso software o procedure speciali NOTA: i sistemi proxy sono efficaci solo se utilizzati congiuntamente a sistemi di controllo traffico, come gli screening router

82 PON Reti di Calcolatori FW - 82 Perchè usare un proxy? Non c’è alcun vantaggio a collegarsi ad Internet se, per sicurezza, gli utenti non vi possono accedere D’altra parte, non c’è sicurezza se c’è accesso indiscriminato per ogni host della rete Quale compromesso? –Un solo host collegato ad Internet, completamente separato dalla rete interna, risulta poco utilizzabile e di difficile gestione –Un solo host collegato ad Internet ma che faccia da tramite tra gli host interni ed il mondo esterno in modo (quasi) trasparente può essere la risposta

83 PON Reti di Calcolatori FW - 83 Le “illusioni” del Proxy client Proxy Real Server L’illusione del client L’illusione del Real Server

84 PON Reti di Calcolatori FW - 84 Vantaggi del Proxy I servizi proxy permettono agli utenti di accedere ai servizi Internet “direttamente” I servizi proxy sono, solitamente, specifici al servizio Internet relativo Permettono un ottimo servizio di logging Il fault di un servizio proxy è, solitamente, fail-safe

85 PON Reti di Calcolatori FW - 85 Svantaggi del Proxy Ritardo tra l’introduzione di nuovi servizi Internet e la disponibilità del servizio proxy relativo I servizi proxy possono richiedere diversi server per ogni servizio I servizi proxy, solitamente, richiedono modifiche ai client, alle procedure o ad entrambe Alcuni servizi Internet non sono gestibili da proxy I servizi proxy non proteggono dalle debolezze dei protocolli

86 PON Reti di Calcolatori FW - 86 Come funziona il Proxy I dettagli differiscono da servizio a servizio Alcuni servizi Internet (come SMTP, NNTP, NTP) sono proxy per natura. Altri (la maggioranza, purtroppo) richiedono software appropriato sul server Dal lato client c’è bisogno di una delle seguenti: –software client personalizzato –procedure utente personalizzate

87 PON Reti di Calcolatori FW - 87 Terminologia dei Proxy Server Proxy Application-Level (anche Dedicated Proxy): E’ un proxy che conosce la particolare applicazione per la quale fornisce il servizio Proxy Circuit-Level (anche Generic Proxy): crea un “circuito” tra il client e il server reale senza l’interpretazione del protocollo applicativo Intelligent Proxy Server: proxy che, oltre a rigirare le richieste, svolgono altri compiti correlati come caching server per http o log dettagliati

88 PON Reti di Calcolatori FW - 88 Utilizzo di proxy con servizi Internet L’utilizzo del proxy complica notevolmente la vita! Ma a volte è un male necessario!! –TCP è abbastanza semplice da gestire attraverso un proxy, essendo connection-oriented –UDP crea overhead (ogni pacchetto deve essere valutato separatamente) –ICMP è praticamente impossibile da usare con un proxy –le connessioni unidirezionali sono semplici da gestire per un proxy –le connessioni multidirezionali sono un incubo!! –Per alcuni servizi il proxy può essere tecnicamente semplice ma inutile da un punto di vista della sicurezza (X11 e, secondo alcuni più “paranoici”, http)

89 PON Reti di Calcolatori FW - 89 E se non si può? Cosa fare se: D: Non c’è un proxy server a disposizione? R: Scrivetevelo! (SOCKS, TIS-FWTK…) D: Anche utilizzando il proxy non si rende abbastanza sicuro un servizio? R: Victim-Machine D: Non si può modificare il client e il protocollo non permette di usare procedure modificate? R: Victim-Machine/Bastion-Host

90 PON Reti di Calcolatori FW - 90 VPN: Virtual Private Network Non è propriamente un firewall quanto una tecnica che permette di creare dei “canali” di comunicazione sicuri, privati, tra due o più entità usando circuiti pubblici, come Internet, ed utilizzando vari metodi come crittografia, tunnelling, Ipsec Molti firewall-in-the-box commerciali, oggigiorno, implementano in qualche modo la tecnica VPN e tutte le soluzioni VPN devono implementare un firewall!


Scaricare ppt "PON 2004 - Reti di Calcolatori FW - 1 FIREWALL - Argomenti Perchè “Internet Firewall”? Servizi Internet Strategie di difesa Progettazione di firewall Bastion."

Presentazioni simili


Annunci Google