La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

I FIREWALL di Cardinali Davide. V EDREMO … Introduzione (cosa sono i firewall, limiti…) Modalità di funzionamento Tipi di Firewall Architettura dei Firewall.

Presentazioni simili


Presentazione sul tema: "I FIREWALL di Cardinali Davide. V EDREMO … Introduzione (cosa sono i firewall, limiti…) Modalità di funzionamento Tipi di Firewall Architettura dei Firewall."— Transcript della presentazione:

1 I FIREWALL di Cardinali Davide

2 V EDREMO … Introduzione (cosa sono i firewall, limiti…) Modalità di funzionamento Tipi di Firewall Architettura dei Firewall Piccola Curiosità (semplici test per sicurezza firewall software)

3 C OSA SONO I F IREWALL Firewall è un termine inglese dal significato originario di muro tagliafuoco ed è un componente passivo di difesa perimetrale che può anche svolgere funzioni di collegamento tra due o più tronconi di rete.

4 F IREWALL H ARDWARE E S OFTWARE Firewall Hardware : componente passivo che opera una difesa perimetrale della nostra rete locale (LAN). Firewall Software o personal firewall : software che viene installato direttamente sul PC da proteggere. A differenza del firewall hardware, il personal firewall esegue anche un controllo a livello programma(monitorizza lattività di scambio dati da e verso internet di tutto il software installato nel PC).

5 Punti di forza o corretto posizionamento nella rete o studio dei servizi che si vogliono fornire o impostazione delle regole pianificate o manutenzione e aggiornamento del firewall o manutenzione e aggiornamento della rete o verifica periodica dellefficacia del sistema o consapevolezza dei limiti del firewall Punti di debolezza o mancanza di amministrazione o configurazioni troppo permissive verso host insicuri o installazione di applicazioni o estensioni insicure o sovrabbondanza di servizi pubblicamente accessibili o concentrazione di sicurezza in un unico punto ed il dilagare di insicurezza circostante o suscitare un falso senso di sicurezza per il fatto di esserci

6 I limiti di un firewall Vi sono due tipologie principali che generano problemi di sicurezza : configurazioni non corrette quando attraverso una configurazione, del sistema firewall, apposita si sarebbero potuti evitare incidenti (errori umani, errori di valutazione e conseguente impostazione) problematiche tecniche quando nonostante sia stata fatta una configurazione ottima sul firewall, è possibile accedere ad un componente che si riteneva protetto sfruttando errori di programmazione o vulnerabilità del firewall.

7 Configurazioni non corrette In generale la configurazione di un firewall non deve essere esclusivamente operativa ma deve essere sicura Rosso = componenti rete non protetti da firewall rispetto attacchi da Internet Rosso tratteggiato = secondo la tipologia del firewall e del traffico permesso nelle configurazioni, possibile che anche macchine difese dal firewall vengano attaccate Esempi configurazioni non corrette : permettere traffico dal mail server (insicuro) al web server o alla rete interna (LAN server) permettere traffico verso eventuali servizi aperti sul firewall permettere traffico dal web server alla rete interna permettere traffico da Internet verso la rete interna

8 Problematiche Tecniche E testato che tutti i firewall abbiano avuto, essi stessi, problemi di sicurezza legati alla tecnologia utilizzata : errori di programmazione, errori di gestione delle eccezioni e quanti altri. Problematiche tecniche legate al firewall possono rientrare nelle seguenti tipologie : limiti di configurazione e mancanza di flessibilità nellimpostazione delle regole volute suscettibilità a specifici attacchi lentezza negli aggiornamenti limiti di analisi del traffico (non tutti i firewall arrivano allo stesso livello!) mancanza di protezione del traffico legittimo reazione automatica a situazioni della rete accentramento delle difese della rete in un unico strumento

9 Cosa non può fare un firewall Esistono problematiche che dovranno essere assegnate ad altri software perché non di competenza del firewall : Protezione da attacchi interni Una volta che il muro del firewall è stato oltrepassato questultimo non è più di alcuna utilità. Uguale se lattacco nasce allinterno della rete, infatti ci offre una protezione perimetrale e tutto ciò che è interno allarea è escluso dal filtraggio. Social Engineering Usato per indicare coloro che telefonano agli impiegati spacciandosi per membri della sicurezza così da estorcere preziose informazioni. Integrità dei dati Nonostante i moderni firewall controllino costantemente la presenza di virus nei pacchetti, è impensabile chiedere ai firewall in reti di grandi dimensioni di controllare tutti i pacchetti alla ricerca di virus. Ancor più difficilmente possono rilevare presenza cavalli di Troia che aprono una backdoor nello stesso computer. Soluzione: antivirus in tutte le macchine. Cattiva Configurazione Non è in grado di distinguere da solo ciò che va bloccato e ciò che va accettato. Quindi: qualità firewall = qualità configurazione.

10 M ODALITA DI F UNZIONAMENTO Un firewall può operare in due modalità diametralmente opposte : 1.Tutto ciò che non è specificatamente permesso è negato 2.Tutto ciò che non è specificatamente negato è permesso

11 M ODALITA DI F UNZIONAMENTO Tutto ciò che non è specificatamente permesso è negato Il firewall blocca tutto il traffico e ciascun servizio deve essere implementato caso per caso. Lo svantaggio : si limita il numero di scelte disponibili allutente.

12 M ODALITA DI F UNZIONAMENTO Tutto ciò che non è specificatamente negato è permesso Il firewall inoltra tutto il traffico e ciascun servizio dannoso deve essere chiuso caso per caso. Lo svantaggio : lamministratore di rete ha difficoltà sempre maggiore nellassicurare la sicurezza man mano che la rete cresce.

13 T IPOLOGIE DI F IREWALL I firewall si suddividono in tre tipologie: Packet-Filtering router (1° generazione) Stateful Inspection (2° generazione) Gateway a livello di applicazione (o Proxy Server) (3° generazione)

14 P ACKET F ILTERING R OUTER Le regole di filtraggio sono basate sulle informazioni contenute in un pacchetto di rete : indirizzo IP sorgente indirizzo IP destinazione numeri di porta applicazioni coinvolte campo protocollo IP interfaccia

15 ICMP (C ODICI DI E RRORE ) Se un pacchetto viene scartato, puo succedere che il router restituisca un codice derrore (ICMP). – destination unreachable – destination administratively unreachable In generale restituire codici errore ICMP e dannoso perché sottopone il router a un ulteriore carico di lavoro, e quindi facilita lesecuzione di un DoS. Inoltre consente di conoscere facilmente le regole di filtraggio del nostro sistema. Alcuni host reagiscono in maniera eccessiva agli errori ICMP Non restituire il codice di errore ICMP puo generare invece traffico inutile sulla rete

16 A TTACCO E D IFESA Contraffazione Indirizzi IP (IP spoofing): lavversario si potrebbe spacciare per un host interno alla rete protetta. Difesa : bloccare i pacchetti provenienti dallesterno con indirizzo ip sorgente di un host interno. Attacchi di instradamento di sorgente(source routing): la stazione sorgente specifica linstradamento che il pacchetto dovrebbe seguire dentro la rete, per evitare misure di sicurezza. Difesa : scartare tutti i pacchetti che usano questa opzione, ovvero hanno source route nel campo option del datagramma IP. Attacchi con piccoli frammenti(Tiny Fragment): uso dellopzione di frammentazione IP per creare frammenti molto piccoli che separano le informazioni dellheader TCP, allo scopo di evitare controlli basati proprio sullheader TCP. Difesa : imporre regola che dica che il primo frammento di un pacchetto debba contenere una quantità predefinita minima dellintestazione di trasporto.

17 E SEMPIO - Le regole A e B permettono i collegamenti SMTP in viaggio di ritorno (cioè le entranti). - Le regole C e D permettono i collegamenti SMTP a destinazione esterna (cioè le uscenti). - La regola E è la regola di default che viene applicata se le altre regole non possono essere applicate. RegolaDirezioneFonte Indirizzo Destinazione Indirizzo ProtocolloPorto Destinazione Azione AInEsternoInternoTCP25Licenza BOutInternoEsternoTCP>1023Licenza COutInternoEsternoTCP25Licenza DInEsternoInternoTCP>1023Licenza EOAlcuno Nega

18 PacchettoDirezioneFonte Indirizzo Destinazione Indirizzo ProtocolloPorto Dest. Azione (da regola) 1In TCP25Licenza(A) 2Out TCP1234Licenza(B) La regola A permette ai pacchetti in partenza dal client SMTP di andare al suo SMTP server (rappresentato dal pacchetto 1) La regola B permette alle risposte dal suo server SMTP di andare al client SMTP (rappresentato dal pacchetto 2) RegolaDirezioneFonte Indirizzo Destinazione Indirizzo ProtocolloPorto Destinazione Azione AInEsternoInternoTCP25Licenza BOutInternoEsternoTCP>1023Licenza COutInternoEsternoTCP25Licenza DInEsternoInternoTCP>1023Licenza EOAlcuno Nega

19 C OSA SUCCEDE PER UN E - MAIL IN PARTENZA DA NOI VERSO L ESTERNO ? PacchettoDirezioneFonte Indirizzo Destinazione Indirizzo ProtocolloPorto Dest. Azione (da Regola) 3Out TCP25Licenza(C) 4In TCP1357Licenza(D) La regola C permette ai pacchetti in partenza dal nostro client SMTP di andare al server SMTP esterno (pacchetto numero 3) La regola D permette alle risposte partenti dal server SMTP esterno di andare al nostro client SMTP (pacchetto numero 4) RegolaDirezioneFonte Indirizzo Destinazione Indirizzo ProtocolloPorto Destinazione Azione AInEsternoInternoTCP25Licenza BOutInternoEsternoTCP>1023Licenza COutInternoEsternoTCP25Licenza DInEsternoInternoTCP>1023Licenza EOAlcuno Nega

20 MESCOLIAMO, ORA, LE CARTE….. PacchettoDirezioneFonte Indirizzo Destinazione Indirizzo ProtocolloPorto Dest. Azione (da Regola) 5In TCP6000Licenza(D) 6Out TCP5150Licenza(B) Le regole A e B permettono i collegamenti SMTP in viaggio di ritorno Le regole C e D permettono i collegamenti SMTP a destinazione esterna ma B e D permettono tutti i collegamenti dove entrambi gli ends stanno usando dei porti superiori di 1023, e questo non è certamente quello che noi volevamo RegolaDirezioneFonte Indirizzo Destinazione Indirizzo ProtocolloPorto Destinazione Azione AInEsternoInternoTCP25Licenza BOutInternoEsternoTCP>1023Licenza COutInternoEsternoTCP25Licenza DInEsternoInternoTCP>1023Licenza EOAlcuno Nega

21 R IFORMULAZIONE REGOLE CON PORTO DI FONTE COME CRITERIO DI CONTROLLO RegolaDirezioneFonte Indirizzo Destinazione Indirizzo ProtocolloPorto Fonte Porto Dest. Azione AInEsternoInternoTCP>102325Licenza BOutInternoEsternoTCP25>1023Licenza COutInternoEsternoTCP>102325Licenza DInEsternoInternoTCP25>1023Licenza EOAlcuno Nega PacchettoDirezioneFonte Indirizzo Destinazione Indirizzo Prot.Porto Fonte Porto Dest. Azione 1In TCP123425Licenza(A) 2Out TCP251234Licenza(B) 3Out TCP135725Licenza(C) 4In TCP251357Licenza(D) 5In TCP Nega(E) 6 Out TCP Nega(E)

22 S E L ASSALITORE È PIÙ INTELLIGENTE ? PacchettoDirezioneFonte Indirizzo Destinazione Indirizzo ProtocolloPorto Fonte Porto Dest. Azione (da Regola) 7In TCP256000Licenza(D) 8Out TCP600025Licenza(C) Attacco : SUCCESSO!!!!! RegolaDirezioneFonte Indirizzo Destinazione Indirizzo ProtocolloPorto Fonte Porto Dest. Azione AInEsternoInternoTCP>102325Licenza BOutInternoEsternoTCP25>1023Licenza COutInternoEsternoTCP>102325Licenza DInEsternoInternoTCP25>1023Licenza EOAlcuno Nega

23 COSA SI PUÒ FARE? RegolaDirezioneFonte Indirizzo Destinazione Indirizzo ProtocolloPorto Fonte Porto Dest. Set ACK Azione AInEsternoInternoTCP>102325AlcunoLicenza BOutInternoEsternoTCP25>1023SiLicenza COutInternoEsternoTCP>102325AlcunoLicenza DInEsternoInternoTCP25>1023SiLicenza EOAlcuno Nega PacchettoDirez.Fonte Indir. Destinazione Indirizzo ProtocolloPorto Fonte Porto Dest. Set ACK Azione (da Regola) 7In TCP256000NoNega(E) Cosa farà ora il pacchetto 7? FALLIRA!!!!!!!

24 V ANTAGGI E L IMITAZIONI Vantaggi : è disponibile in molti router. costo dacquisto contenuto. trasparenza. (non lavora a livello applicativo, quindi non ostacola il normale utilizzo della rete, lavorando in maniera trasparente allutente). velocità. (tecnologia firewall che effettua meno controlli, e per questo è la più veloce). Limiti : regole difficili da configurare. testing complesso.(fare prove per verificare funzionamento firewall risulta complicato) può avere bug (più frequenti nel packet filtering rispetto al proxying).

25 S TATEFUL P ACKET F ILTERING successivi alla tecnica del filtraggio dei pacchetti (seconda generazione). quando viene stabilita una connessione, se le regole di filtraggio non la bloccano, allora le informazioni relative ad essa diventano entry di una tabella di stato. successivi pacchetti in ingresso saranno valutati in base allappartenenza ad una delle connessioni consentite presenti nella tabella. quando la connessione è conclusa, la entry nella tabella sarà cancellata, per evitare che questa si riempia completamente informazioni riguardanti la connessione che verranno memorizzate : - identificatore univoco collegamento sessione - stato connessione (handshaking se siamo in fase iniziale ovvero dove raccogliamo info e mettiamo in tabella stato, established, closing) - informazioni sequenzialità pacchetti - indirizzi ip host sorgente e destinazione - interfacce di rete utilizzate Esempio tabella di stato: Source addressSource portDest. AddressDest. PortConnection state Handshaking Closing Established

26 V ANTAGGI E L IMITAZIONI Vantaggi : buon rapporto prestazioni/sicurezza.(tipologia firewall con più alte performance, perché è quella che effettua meno controlli sulla connessione;nonostante ciò più affidabile di pfr). protezione da IP spoofing.(il controllo non si limita al singolo ip o alla porta, è molto più difficile aggirare il firewall. Per lo spoofing frammentare il più possibile il pacchetto per aggirare la verifica delle informazioni dellheader non è efficace, perché variabili in gioco sono molte di più). Tutti i vantaggi del packet filtering.(essendone una evoluzione ne ereditano tutti i fattori positivi). Limiti : mancanza servizi aggiuntivi.(non potendo agire a livello di applicazione non sono disponibili servizi come gestione delle autenticazioni). testing complesso.(verificare corretta configurazione firewall non è facile)

27 A PPLICATION - LEVEL G ATEWAYS Applica una politica di sicurezza molto più severa di un packet filtering router. Viene installato un programma mirato (un servizio proxy) sul gateway, per ogni applicazione desiderata. Se lamministratore di rete non installa il programma proxy per unapplicazione particolare, il servizio non è supportato e non può essere inoltrato attraverso il firewall.

28 A PPLICATION - LEVEL G ATEWAYS VANTAGGI Controllo completo.(non fa verifiche contenute solo alle informazioni contenute nellheader del pacchetto, ma usa anche quelle contenute nel body(cioè la parte applicativa).Il controllo avviene due volte: quando viene inviata la richiesta e quando si riceve la risposta). Log dettagliati. (informazioni memorizzate sono molto accurate, oltre a quelle contenute negli header dei pacchetti potranno essere utilizzate anche quelle di livello applicativo). Nessuna connessione diretta. (ogni volta i pacchetti in entrata e uscita vengono totalmente rigenerati). Sicurezza anche in caso di crash. (un crash di un packet filter permetterebbe a qualunque pacchetto di viaggiare indisturbato, mentre un crash del proxy bloccherebbe completamente la connessione). Supporto per connessioni multiple.(un firewall di prima o seconda generazione non capisce se connessioni separate appartengono alla stessa applicazione, un apllication gateway può farlo). User-friendly.(regole di filtraggio molto più facili da configurare rispetto a quelle di un packet filtering router). Autenticazione. (supportano unautenticazione rigida dellutente).

29 A PPLICATION - LEVEL G ATEWAYS SVANTAGGI Costo Difficoltà di amministrazione Costo di mantenimento maggiori Poco trasparente. (i computer interni devono essere configurati per utilizzare il proxy invece di collegarsi direttamente al server). Un proxy per ogni applicazione. (per ogni servizio che si vuole fare passare attraverso il firewall che implementa questa tecnologia cè bisogno di un proxy dedicato). Basse performance. (gestione delle connessioni attraverso il proxy richiede molto lavoro per la cpu, diversamente dai firewall delle generazioni precedenti).

30 ARCHITETTURA DEI FIREWALL

31 P RINCIPI FONDAMENTALI PER PROGETTAZIONE FIREWALL : La separazione di reti con requisiti e criticità diverse. La ridondanza delle protezioni La difesa in profondità Flessibilità Semplicità Controllo Conseguenze: 1.Creazione delle cosidette DMZ (zone demilitarizzate). 2.Firewall con unico componente non soddisfa buona parte dei principi esposti

32 A RCHITETTURA DEI F IREWALL Le architetture sono principalmente tre : 1.Dual Homed Host 2.Screening Host Architecture 3.Screening Subnet Architecture

33 B ASTION H OST Bastion Host = tutti quei Firewall host critici per la sicurezza della rete. La sua più classica configurazione è quella di primo ed unico punto di contatto tra privato e pubblico dominio.

34 D UAL H OMED H OST Disabilitando la funzione di routing, si separano fisicamente i due segmenti di rete. Sul dual-homed host vengono eseguiti applicativi, che vengono definiti store- and-forward services, come SMTP(gestisce smistamento tra le due reti con ausilio di tavole di filtraggio opportunamente configurate).

35 S CREENED H OST A RCHITECTURE

36 Il collegamento a Internet è assicurato dallo screening router che filtra i pacchetti sia in entrata che in uscita della rete. La sicurezza è determinata dal software che viene eseguito sul bastion host. Se un hacker ottiene un login sulla macchina avrà una vasta possibilità di attacchi verso la rete interna.

37 S CREENED S UBNET A RCHITECTURE

38 P ICCOLA C URIOSITA Elenco test per la sicurezza dei firewall: Leaktest (tipo di test : sostituzione) In questo test viene rinominata l'applicazione (Leaktest) in una che ha l'autorizzazione per uscire e quindi per bypassare il firewall. Attualmente i firewall dispongono di una firma digitale per le applicazioni, in questo modo si accorgono del tentativo di aggiramento. Se il firewall viene aggirato dimostra che questo si limita ad lasciar passare tutte quelle applicazioni che hanno il nome nella lista di quelle permesse. TooLeaky(tipo di test : avvio applicazione) Viene aperta in modo nascosto una finestra di Internet Explorer e se il browser ha il permesso per accedere a internet trasmette le informazioni attraverso la porta 80. Se il test ha successo, significa che il firewall non controlla quale applicazione ha avviato un'altra con accesso a internet. FireHole(tipo di test : avvio applicazione e DLL Injection) In questo test viene usato il browser di default per inviare dati verso l'esterno. Per fare questo viene installata una DLL nello stesso spazio di indirizzamento di un processo che ha il permesso per uscire. Se il test ha successo indica che il firewall non controlla quali applicazioni chiamano quelle con accesso ad internet ed in più è vulnerabile al DLL Injection.

39 A LTRI TIPI DI TEST TestTipo di test Yalta Test su regole e su collegamento alla rete WallBreaker Avvio applicazione PcAudit 3 DLL Injection Ghost Avvio applicazione e Timing Attack AWFT3 Implementa diversi test Thermite DLL Injection …….. E' bene precisare che questo test non deve essere preso come modello per stabilire quale firewall è migliore ma è utile per avere una visione sulle differenza che esistono tra i firewall in relazione ai leaktest.

40 ProdottoScore ProdottoLevello protezione Anti-leak Online Armor Personal Firewall Free FREE 9625Excellent – 100 % Outpost Firewall Pro Excellent – 100 % Comodo Firewall Pro FREE 9475Excellent Jetico Personal Firewall Excellent ZoneAlarm Pro Very Good Jetico Personal Firewall Freeware FREE 7750Very Good Dynamic Security Agent FREE 7375Good PC Tools Firewall Plus FREE 5825Poor McAfee Internet Security Suite Very Poor ZoneAlarm Free FREE 1500Very Poor Windows Firewall XP SP2 FREE 0None

41 B IBLIOGRAFIA William Stallings, Sicurezza delle reti – Edizione Italiana Mc Graw Hill - Sicurezza Informatica Maurizio Cinotti – Internet Security (2006) (per test sicurezza firewall)www.matousec.com


Scaricare ppt "I FIREWALL di Cardinali Davide. V EDREMO … Introduzione (cosa sono i firewall, limiti…) Modalità di funzionamento Tipi di Firewall Architettura dei Firewall."

Presentazioni simili


Annunci Google