1 Reti e Firewall Università degli Studi Firenze Facoltà di Ingegneria A.A Franco Pirri & Claudio Bizzarri dal seminario (e dal libro) di Maurizio Cinotti

2 Reti e Firewall Il Sistema Firewall Accesso a servizi tramite Proxy Architettura Dual Homed host Architettura Screened Host Architettura Screened Subnetwork Bastion host Implementazioni per i servizi più comuni

3 Il Sistema Firewall Il firewall è un componente o un insieme di componenti per la restrizione di accessi ad una rete La struttura del sistema dipende fortemente dalle esigenze di sicurezza dell’organizzazione

4 Tipologie di firewall Network-level Firewall Transport-level Firewall Application-level Firewall

5 Network-level firewall SourceDestProtDportSportACT anyIP1anyanyanypermit anyIP2anyanyanydeny …... IP1IP2IPsFirewal l applic trans IP applic trans IP applic trans IP applic trans IP

6 Circuit-level Firewall IP1IPsFirewal l applic trans IP applic trans IP applic trans IP IP2 applic trans IP SourceDestProtDportSportAckSynACT anyIP2anyanyanyresetsetdeny anyIP1anyanyanysetsetpermit …...

7 Application-level Firewall IPsFirewal l applic trans IP applic trans IP IP1 applic trans IP IP2 applic trans IP SourceDestProtDportSportAckSynCommand ACT anyIP1anyanyanyanyanyGET permit anyIP2anyanyanyanyanyPUT deny ……

8 Il sistema Firewall La realizzazione di un sistema firewall prevede l’uso di una combinazione di componenti: packet filtering application-level gateway circuit-level gateway

9 Architetture Firewall Dual Homed Host Firewall Screened Host Firewall Screened Subnet Firewall

10 Dual Homed Host Firewall DUAL HOMED HOST INTERNET Rete Locale

11 Screened Host Firewall SCREENED HOST INTERNET Rete Locale OK NO OK

12 Screened Subnet Firewall INTERNET Rete Locale BASTION HOST Exterior router Interior router DMZ

13 Bastion Host Rappresenta il punto di visibilità della società E’ la macchina più a rischio della rete Deve essere amministrata e controllata con la massima attenzione Semplici configurazioni per elevata sicurezza Prevedere le azioni da intraprendere in caso di caduta del bastion host

14 Le caratteristiche hardware e software La localizzazione della macchina sulla rete La scelta dei servizi ospitati La politica di accesso al bastion host La realizzazione di un sistema di log La sicurezza del bastion host Bastion Host

15 La sicurezza del Bastion Host Realizzare una macchina sicura Disabilitare tutti i servizi non richiesti Installare i servizi da offrire proteggendoli con opportuni accorgimenti Impostare la configurazione finale Testare la macchina verificando la presenza di lacune mediante un programma di audit

16 Sistemi Proxy Pro e contro nell’utilizzo di proxy system Il funzionamento di proxy system L’utilizzo di SOCKS come proxy L’utilizzo del TIS come proxy

17 Il proxy tramite SOCKS INTERNET Telnet client HTTP server Telnet server HTTP Client Bastion Host SOCK S

18 Il proxy tramite TIS INTERNET Telnet client HTTP server Telnet server HTTP Client Bastion Host telnet- gw http-gw

19 Firewall & Server Farm INTERNET Rete Locale SERVER Far m Exterior router Interior router DMZ

20 Configurazione dei servizi attraverso un firewall Accesso Remoto: Telnet World Wide Web: HTTP Trasferimento File: FTP Posta elettronica: SMTP

21 Servizi Diretti INTERNE T Rete Locale BASTION HOST Exterio r router Interior router DMZ Serve r Client

22 Servizi tramite Proxy INTERNE T Rete Locale BASTION HOST Exterio r router Interior router DMZ Serve r Client Proxy Server

23 Accesso Remoto: Telnet INTERNE T Rete Locale BASTION HOST Exterio r router Interior router DMZ Serve r Client

24 Connessione Remoto: Telnet

25 World Wide Web: HTTP INTERNE T Rete Locale BASTION HOST Exterio r router Interior router DMZ Server HTTP Client HTT P Proxy HTTP

26 World Wide Web: HTTP Interior Router Exterior Router

27 File Transfer Protocol Schema di funzionamento del protocollo –Command channel –Data Channel Modalità di connessione normale Modalità di connessione passiva

28 File Transfer Protocol 20 Dati 21 Comand i t PORT 6001 a b cd OkOk Canale dati OkOk a: Client apre canale di comando b: Server riscontra c: Server apre canale dati d: Client riscontra Modalità di connessione normale Server FTP Client FTP

29 File Transfer Protocol 20 Dati 21 Comand i t PASV a b c d Ok 3500 a: Client apre canale di comando, modo passivo b: Server alloca la porta dati e la comunica c: Client apre canale dati d: Server riscontra Modalità di connessione passiva Server FTP Client FTP 3500 Canale dati OkOk

30 Trasferimento File: FTP INTERNE T Rete Locale BASTION HOST Exterio r router Interior router DMZ Serve r FTP Client FTP

31 Selezione modalità di connessione FTP Modalità passiva consigliabile, per ridurre possibilità di attacco usando client esterno che utilizza porta TCP 20 per accedere a servizio interno su una porta >1023 Scarsa diffusione di client e server FTP che implementano entrambe le modalità di connessione FTP

32 Trasferimento File: FTP

33 Servizio costituito da: –Server SMTP –Agente di consegna che gestisce le caselle di posta locali (POP3) –Applicazione che consente all’utente di gestire la casella postale (User Agent) Ogni elemento può essere aggredito Posta elettronica: SMTP

34 Attacchi contro il sistema di posta elettronica: –contro server: command channel attack –contro agent di consegna: data-driven attack –contro applicazione utente: conmmand-line attack Cosa può fare un firewall? Posta elettronica: SMTP

35 Posta elettronica: SMTP INTERNE T Rete Locale BASTION HOST Exterio r router Interior router DMZ Serve r SMTP Server SMTP Client SMTP Server SMTP

36 Posta elettronica: SMTP INTERNE T Rete Locale BASTION HOST Exterio r router Interior router DMZ Serve r SMTP Server SMTP Client SMTP Server SMTP

37 Posta elettronica: SMTP Interior Router Exterior Router

38 E’ necessario specificare che tutta la posta in ingresso deve essere inviata al bastion host Il bastion host deve inviare la posta direttamente ad un server interno La posta in uscita deve essere trasmessa sempre al bastion host Posta elettronica: SMTP

39 Variazioni sull’architettura Utilizzo di diversi bastion host Fusione di interior ed exterior router Fusione di exterior router e bastion host Reti locali a diversi livelli di sicurezza

40 Utilizzo di diversi bastion host INTERNET Rete Locale BASTION HOST Exterior router Interior router DMZ Serve r SMT P Serve r HTTP

41 Fusione interior ed exterior router INTERNE T BASTION HOST Exterior router Interior router DMZ Rete Locale

42 Fusione bastion host ed exterior router INTERNE T Rete Locale Exterior router/ Bastion Host Interior router DMZ

43 Reti locali a diversi livelli di sicurezza INTERNE T Rete Locale BASTION HOST Exterior router Interior router DMZ Serve r SMT P Serve r HTTP

44 VPN Generalità Realizzare una VPN = implementare una rete privata attraverso tecniche di Tunneling e/o Encryption sull’Internet pubblica LAN ALAN B Tunnel INTERNET

45 Obbiettivi VPN Network Segmentation –(Allocare le risorse di una unica infrastruttura di rete fra più VPN) Data Privacy –(Mantenere la riservatezza sulle informazioni scambiate) Data Integrity –(Garanzia di inalterabilità delle informazioni in transito)

46 Motivazioni VPN Rendere una porzione (o la totalità) delle comunicazioni effettuate invisibile ad osservatori esterni che utilizzano la stessa infrastruttura fisica La realizzazione di VPN è fortemente guidata da motivazioni economiche, anche se non sono da trascurare motivazioni tecniche quali uso di un unico sistema per accesso integrato rete pubblica/rete privata

47 Realizzare una VPN step-by-step 1°) Individuare il livello di privacy richiesto 2°) Scegliere la soluzione architetturale che consente di implementare il punto 1° 3°) Individuare i prodotti leader di mercato che adottano la soluzione scelta al punto 2° 4°) Installare e configurare i prodotti al punto 3° secondo le specifiche previste dalla propria politica di sicurezza 5°) Testare l’affidabilità della configurazione realizzata al punto 4°

48 VPN & Privacy La privacy in una VPN non riguarda solo i dati, ma anche le credenziali degli utenti, l’identità degli host e delle reti che ne fanno parte La privacy in una VPN viene realizzata virtualmente usando partizioni logiche delle comuni risorse piuttosto che partizioni fisiche di circuiti dedicati

49 Livello di privacy in una VPN Le soluzioni esistenti per realizzare una VPN dipendono dal livello di privacy che si desidera conseguire (esempio: la privacy dell’identità di host e reti può essere facilmente raggiunta attraverso la definizione di uno schema di indirizzamento ed instradamento privato, distinto da quello in uso nelle altre VPN )

50 La rete PDN La rete Public Data Network rappresenta di fatto la base comune con cui realizzare una VPN (la più diffusa PDN attualmente in uso è la rete Internet) Internet non prevede alcuna politica di separazione logica del traffico, utilizza un solo schema di indirizzamento ed una unica politica globale di routing IP

51 Cosa manca ad Internet? Gestione QoS Service Availabilty & Reliability Data Privacy & Integrity Network & Site Security

52 Private Data Network La alternativa più immediata all’uso di una Public Data Network per realizzare una VPN è l’uso di circuiti dedicati (leased line) L’uso di Collegamenti Diretti Numerici (CDN) è estremamente limitante, costoso e poco funzionale in presenza di numerose subnet e/o utenti appartenenti alla VPN territorialmente distribuiti

53 Esempio di VPN tra più subnet VPN AVPN B VPN A INTERNET

54 Esempio VPN con utenti dial-up VPN A NAS modem INTERNET modem Utente dial-up Internet Utente dial-up locale

55 Classificazione VPN Normalmente le VPN sono classificate a seconda del livello in cui si concretizza la virtualizzazione richiesta: –Link Layer VPN –Network Layer VPN (le più diffuse) –Transport Layer VPN –Application Layer VPN

56 IP VPN Le VPN realizzate utilizzando le caratteristiche del protocollo IP (Network Layer) sono le più diffuse. Tali VPN sono generalmente realizzate in accordo a due distinti modelli: –Peer model –Overlay model

57 Peer Model Una rete in cui tutti i nodi intermedi partecipano all’instradamento dei pacchetti rappresenta un modello di tipo “peer” –I gateway IP tradizionali costituiscono gli elementi fondamentali di una rete che segue il modello “peer”

58 Overlay Model Una rete in cui l’instradamento non viene realizzato hop-by-hop ma end-to-end, e la rete può essere vista come una unica architettura cut-through, rappresenta una soluzione che segue il modello “overlay”

59 Controlled Route Leaking Una soluzione per realizzare una VPN è utilizzare le capacità di filtering dei router di frontiera delle reti locali componenti (peer model). A1 Internet A2A3 Pacchetti generati da A1 raggiungono solo A2 e A3

60 Limitazioni Soluzione Controlled Route Leaking Difficile configurazione –Viene meno possibilità di usare una route di default –Politica efficace solo se effettuata sul primo router incontrato Soggetta ad attacchi di IP spoofing Difficile coesistenza fra schema di indirizzamento e routing VPN e Internet

61 Tunneling Soluzione che prevede l’incapsulamento dei dati appartenenti alla VPN, al fine di differenziarli dal resto dei pacchetti scambiati. A1 Internet A2

62 Opzioni per il tunneling GRE (Generic Routing Encapsulation) –Non prevede uso implicito di soluzioni crittografiche, anche se non è escluso uso di DES, 3DES, ecc. ecc. PPTP (Point-to-Point Tunneling Protocol) L2TP (Layer 2 Tunneling Protocol) IPSec –Prevedono uso di funzioni crittografiche

63 IPSec IPSec non è un nuovo protocollo ma una architettura di riferimento per l’implementazione di meccanismi atti a garantire privacy ed integrità dei dati trasmessi su IP. IPSec è adottabile sia con l’attuale versione del protocollo IP (versione 4) che con la prossima versione del protocollo IPv6. Si usa il protocollo ESP (Encapsulation Security Payload Prtocol) Modelli che possono essere adottati: Modalità Trasporto Modalità Tunnel

64 DATATCP ES P IPv4 Hop-by-hop, routing, ecc.ecc. IPv6 Protocollo IP versione 4 (attuale) Confidenzialità - Modalità Trasporto Protocollo IP versione 6 (next generation) Confidenzialità - Modalità Trasporto ESP Pad Segnatur a Campi cifrati Campi coperti segnatura DATATCP ES P Pad Segnatur a Campi cifrati Campi coperti segnatura Destinati on Option

65 DATATCP ES P Protocollo IP versione 4 (attuale) Confidenzialità - Modalità Tunnel Protocollo IP versione 6 (next generation) Confidenzialità - Modalità Tunnel ESP Pad Segnatur a Campi cifrati Campi coperti segnatura DATATCP ES P Pad Segnatur a Campi cifrati Campi coperti segnatura IPv4 (nuovo) IPv4 (originale ) IPv6 (nuovo) Extensio n IPv6 (originale ) Extensio n

66 Riferimenti Book: Internet Security – Maurizio Cinotti – Hoepli Implementazioni IPSec: FreeSWAN - OpenVPN -

67 LICENZA SOFTWARE DELL'UNIVERSITA' DI FIRENZE Versione 2.1, Aprile Copyright (C) Universita' di Firenze - Via S. Marta 3, Firenze - ITALIA Tutti i diritti sono riservati. Questo documento puo' essere liberamente copiato e distribuito da chiunque, ma a nessuno e' permesso di cambiarlo in alcun modo. Preambolo Il copyright imposto sui documenti pubblicati sul sito MMEDIA5.DET.UNIFI.IT ha lo scopo di consentire la libera circolazione del lavoro a scopo educativo, mantenendo pero' il doveroso riconoscimento agli autori delle varie parti. Si vuole, inoltre, consentire l'ulteriore distribuzione del lavoro sotto qualunque forma, anche con modifiche, mettendo pero' il successivo ricevente in grado di conoscere da chi il materiale sia stato originariamente scritto e da chi rivisto o modificato. Per questo, si impone il Copyright su tutto il materiale, ma si concede gratuitamente licenza per l'uso e l'ulteriore distribuzione, con la possibilita' di modificare il materiale, purche' vengano seguite le regole scritte piu' avanti. Il diritto di cui sopra e' concesso con la restrizione che il materiale modificato e redistribuito sia soggetto alle stesse restrizioni del materiale originario, e che la distribuzione avvenga a titolo gratuito o con la sola copertura delle spese vive con un piccolo margine per le spese generali di distribuzione. Inoltre, la re-distribuzione del materiale o la distribuzione di materiale modificato dovranno essere fatte in modo da garantire che ulteriori distribuzioni vengano fatte mantenendo le condizioni originarie. Ogni utente di MMEDIA5 potra' proporre all'Universita' di Firenze la pubblicazione di documenti in MMEDIA5. Scrivere a: Tali documenti saranno soggetti ai termini qui specificati. Le condizioni per la licenza di pubblicazione e modifica sono riportate di seguito. LICENZA PER IL MATERIALE "MMEDIA5" OVVERO PER IL CONTENUTO NEI SITI WEB "MMEDIA5.DET.UNIFI.IT", "MEDIALAB.DET.UNIFI.IT", “TELEMAT.DET.UNIFI.IT”, “LTT.DET.UNIFI.IT” -- CONDIZIONI PER L'USO, LA MODIFICA E LA DISTRIBUZIONE 1.- Questa licenza e' applicabile al materiale contenuto nei siti WEB del Laboratorio di Tecnologia della Telematica, Dipartimento di Elettronica e Telecomunicazioni dell'Universita' di Firenze, via di S. Marta 3, Firenze - Italia (attualmente con indirizzo internet: ) che riporta al suo interno un avviso o legame con un file contenente la presente licenza. In questa licenza, con MMEDIA5 si intende un qualunque documento originariamente presente in uno dei siti. Per "documento derivato" si intende ogni documento che contenga porzioni oppure un intero documento MMEDIA5, con o senza modifiche, con o senza traduzioni in altra lingua, con o senza variazioni di supporto di memorizzazione o stampa; in questa licenza ogni documento di questo tipo e' indicato come "documento derivato". Per licenziatario si intende qualunque persona o organizzazione che copia, consulta, legge, memorizza su un qualunque supporto, produce o distribuisce a terzi un MMEDIA5 o un documento derivato. Per UNIVERSITA' si intende l'Universita' di Firenze Un licenziatario puo' copiare, consultare, leggere, memorizzare su un qualunque supporto, produrre e distribuire a terzi un MMEDIA5, purche' su ogni copia, produzione, esibizione o distribuzione sia evidenziato il copyright originario, il ricevente sia adeguatamente informato della provenienza del materiale e dell'esistenza di questa licenza e questa licenza sia inserita indivisibilmente e senza modifica alcuna assieme all'MMEDIA5. L'eventuale cessione o distribuzione devono essere a titolo gratuito. E' comunque ammessa l'imposizione di un rimborso delle spese legate al supporto fisico di memorizzazione dello MMEDIA5, con un piccolo margine per il recupero delle spese generali legate alla riproduzione fisica.

Il licenziatario puo' produrre documenti derivati, ai sensi dell'articolo 1, e distribuirli a terzi purche' siano rispettate tutte le seguenti condizioni: 3.1- ogni documento derivato deve riportare chiaramente la data e l'autore delle modifiche effettuate; 3.2- il licenziatario deve assicurare che ogni documento derivato sia sottoposto alla stessa licenza del documento originario, cosi' che la terza parte ricevente sia impegnata a sua volta negli stessi termini di questa licenza; 3.3- ogni documento derivato deve riportare, all'inizio e in buona evidenza questa licenza o un legame ad un file che la contiene, e il file deve essere distribuito indivisibilmente dal documento derivato; 4.- Al licenziatario e' espressamente vietato copiare, consultare, leggere, memorizzare su un qualunque supporto, produrre e distribuire a terzi un MMEDIA5, se non nelle forme e nei modi previsti in questa licenza. Ogni forma di inosservanza di questa norma comporta l'immediata revoca di ogni diritto concesso con questa licenza. 5.- L'uso di materiale soggetto a Copyright senza un esplicito assenso del proprietario del Copyright e' proibito dalla legge. L'UNIVERSITA' pone come prerequisito per ogni uso di MMEDIA5 l'accettazione di questa licenza. Quindi,e' fatto espresso divieto, a chiunque non intenda accettare i termini di questa licenza, di usare MMEDIA5 in alcun modo. Peraltro, non e' richiesta alcuna forma di accettazione esplicita della licenza, l'uso di MMEDIA5 costituisce implicita accettazione e conferisce al licenzatario tutti i diritti qui espressi. 6.- Ogni volta che MMEDIA5 od un documento derivato vengono distribuiti, al ricevente e' automaticamente estesa questa licenza. Al licenziatario non e' permesso imporre altri obblighi sul ricevente oltre la presente licenza. In ogni caso il licenziatario non e' considerato responsabile dell'uso che il ricevente fa di MMEDIA Se per qualunque motivo, compresi regolamenti o leggi dello Stato, non e' possibile per il licenziatario imporre questa licenza, o parti di essa, al ricevente, allora il licenziatario non puo' distribuire MMEDIA5, ne' parti di esso, ne' documenti derivati, in alcun modo. 8.- L'UNIVERSITA' potra' pubblicare revisioni di questa licenza. Le nuove versioni avranno intendimenti similari, ma potranno differire nei dettagli per far fronte a nuove situazioni. Ogni nuova versione avra' un proprio numero distintivo e sara' applicata ai documenti MMEDIA5 da allora pubblicati. 9.- Usi di MMEDIA5 diversi da quanto sopra specificato potranno essere autorizzati dall'UNIVERSITA'. Queste autorizzazioni non comporteranno variazioni per i licenziatari preesistenti Essendo la licenza gratuita, l'UNIVERSITA' fornisce MMEDIA5 cosi' come si trova, e non assume alcuna garanzia di esattezza dei contenuti, o di adeguatezza a qualsiasi scopo. Inoltre, le singole parti di MMEDIA5 sono espressione dei vari autori o revisori menzionati e non espressione dell'UNIVERSITA', non comportano ne' implicano accettazione del contenuto da parte dell'UNIVERSITA'.