La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

INTERNET FIREWALL Bastion host Laura Ricci. INTRODUZIONE Principi generali Varie architetture Dual-homed host Screened subnet Victim machine.

Presentazioni simili


Presentazione sul tema: "INTERNET FIREWALL Bastion host Laura Ricci. INTRODUZIONE Principi generali Varie architetture Dual-homed host Screened subnet Victim machine."— Transcript della presentazione:

1 INTERNET FIREWALL Bastion host Laura Ricci

2 INTRODUZIONE Principi generali Varie architetture Dual-homed host Screened subnet Victim machine

3 PRINCIPI GENERALI Un firewall e una barriera fra una LAN e il mondo esterno usata per aumentare la sicurezza di un sistema limitando le connessioni permesse, eseguendone un opportuno monitoraggio e permettendo un livello di autenticazione degli accessi adeguato. Con il termine bastion host si identificano tutti quei firewall host critici per la sicurezza della rete interna; tali host, effettuando la funzione di interfaccia tra la rete interna e quella esterna, devono essere ben fortificati e laccesso diretto deve essere scrupolosamente controllato.

4 PRINCIPI GENERALI Proteggere una rete non vuol dire solamente schermarla da una rete esterna, ma anche impedire che utenti non autorizzati possano usufruire di dati particolari (sensitive data) e far si che utenti legittimi usino in modo trasparente tali insiemi di dati e tutte le risorse di rete.

5 PROGETTAZIONE Scegliere quale tipo di macchina usare: Determinare il sistema operativo Determinare una configurazione hw che sia affidabile Determinare una locazione per la macchina, possibilmente su una rete preferenziale

6 SERVIZI FORNITI Il bastion host deve fornire esclusivamente i servizi di cui la rete necessita per accedere a Internet, o che vuole offrire a Internet.

7 SERVIZI FORNITI

8 NO USERS ACCOUNT (1) Tenere gli account lontani dal Bastion host darà una maggiore sicurezza perche: Elimina la vulnerabilita degli account stessi (ogni account ha una password riutilizzabile che può essere attaccata in vari modi) Riduce la stabilita e laffidabilità della macchina (dovendo supportare users account)

9 NO USERS ACCOUNT (2) Riduce la vulnerabilita dei servizi richiesti per supportare account (supportando users account si richiede che il bastion host abiliti servizi che potrebbero essere disabilitati sul bastion host. Ogni servizio che e disponibile sul bastion host fornisce altri modi di attacco attraverso sw bugs o errori di configurazione)

10 COLLOCAZIONE Il bastion host si colloca, allinterno del sistema di sicurezza, dopo una prima linea di difesa tra la rete esterna e quella interna La prima linea di difesa puo essere rappresentata da uno screening router opportunamente configurato secondo la politica di sicurezza scelta Tutti i pacchetti che ottengono il permesso di accesso alla rete interna devono essere diretti verso il bastion host

11 COLLOCAZIONE

12 Un intruso che vuole entrare nella rete interna deve: eludere le regole di filtraggio dello screening router, il quale opera a livello di rete e trasporto (terzo e quarto livello OSI) quindi eludere i controlli effettuati dal bastion host, il quale usa le funzioni del livello di applicazione per capire se il pacchetto puo essere inoltrato oppure no, eseguendo quindi un ulteriore controllo sugli header dei pacchetti

13 ARCHITETTURA DUAL-HOMED HOST Un dual-homed-host denota un host che ha due distinte schede di rete collegate a segmenti di rete differenti attraverso i quali esercita la funzione di instradamento (routing function)

14 DUAL-HOMED HOST

15 Se il routing function viene disattivato il dual- homed host isola i due segmenti di rete, ma: Utenti posti su reti distinte possono usufruire di una applicazione posta sul dual-homed host stesso Se tale applicazione lo consente, le reti possono anche condividere dati. Tutto ciò accade senza che vi sia un effettivo interscambio di pacchetti tra rete esterna e interna

16 ARCHITETTURA SCREENED SUBNET Aggiunge un livello extra di sicurezza allarchitettura screened host creando una rete di perimetro (perimeter net) che isola la rete interna da Internet

17 SCREENED SUBNET Motivi: I bastion host sono le macchine più vulnerabili della LAN, poiche sono le prime a subire lattacco di un intruso. In una architettura screened host non ci sono difese tra il bastion host e la rete interna: se si riesce ad attaccare il bastion host si riesce a entrare nella rete interna.

18 SCREENED SUBNET

19 Due screening routers sono connessi alla rete di perimetro: Uno situato tra la perimeter net e la rete interna Un altro situato tra la perimeter net e la rete esterna

20 SCREENED SUBNET Risulta molto difficoltoso da parte di un intruso bypassare lintera sottorete, in quanto dovrebbe riconfigurare la stessa sottorete ed anche quella interna; tutto cio eludendo la sorveglianza dei bastion host.

21 SCREENED SUBNET La rete isolata spesso contiene al suo interno almeno due application level gateway che svolgono la funzione di bastion host pur conservando laccesso interattivo ai servizi resi condivisibili tra entrambe le reti.

22 APPLICATION LEVEL GATEWAY Sono dispositivi programmati per analizzare il traffico di rete al livello applicativo. Conferiscono un ulteriore strumento per la sicurezza di rete. Ogni applicazione protetta dallALG viene identificata da questo attraverso un codice univoco; per questo si garantisce un alto livello di sicurezza, ma per ogni applicazione affidatagli è necessario un codice differente.

23 VICTIM MACHINE La sua funzione e quella di offrire un servizio sacrificabile ad un intruso che volesse accedere alla rete interna. Qualora tale servizio venisse attaccato e conseguentemente danneggiato, non ci sarebbero comunque danni alla rete interna, in quanto la macchina vittima si porrebbe come filtro, bloccandosi e non permettendo ad eventuali intrusi di raggiungere la rete interna.

24 VICTIM MACHINE La macchina vittima e configurata come un normale bastion host. Essendo vulnerabile a causa dei suoi servizi difficilmente implementabili in modo sicuro, essa fornisce esclusivamente il servizio minimo indispensabile al proprio funzionamento, affinche le perdite in caso dintrusione siano minime.

25 BIBLIOGRAFIA Firewall wall Building Internet Firewalls D.Brent Chapman and Elizabeth D.Zwicky Internet Firewalls w25.html


Scaricare ppt "INTERNET FIREWALL Bastion host Laura Ricci. INTRODUZIONE Principi generali Varie architetture Dual-homed host Screened subnet Victim machine."

Presentazioni simili


Annunci Google