FIREWALL: Proxy Systems Computer Security: 29/5/2001R. Ferraris
Che cosa vedremo Definizione dei proxy –Proxy application level –Proxy circuit level Software per firewall con proxy –TIS Firewall Toolkit –SOCKS –Confronto tra i due pacchetti Proxy con funzionalità di caching Anonimia nel WWW –Anonymizer
Perché realizzare un PROXY Gli utenti di una rete locale non interagiscono direttamente con lesterno Fa da tramite tra una rete interna e una esterna garantendo una certa sicurezza Esso valuta le richieste di un client e decide quali far passare e quali rifiutare
Distinguiamo tra: Proxy level application Proxy level circuit Un po di terminologia
PROXY level application Lindirizzo che un server esterno riceve è quello del proxy Abbiamo una netta distinzione tra rete interna e rete esterna I firewall di questo livello operano sui protocolli di livello applicazione –HTTP –FTP –SMTP –Altri
PROXY level application PROXY level application (continua) I più diffusi server proxy sono: –TIS (UNIX) –SOCKS (UNIX) –SQUID (nei sistemi LINUX) Sicurezza maggiore rispetto ai firewall di rete Velocità minore rispetto ai firewall di rete
PROXY circuit level Si occupa solamente di creare il circuito di comunicazione tra client e server senza che le applicazioni lo sappiano Esamina ogni tipo di collegamento in modo che segua una sessione di collegamento TCP giusta (handshake) Mantiene una tabella dei collegamenti che usa per far passare dati da una sorgente ad una destinazione Terminata la connessione la entry nella tabella viene rimossa e la connessione chiusa
PROXY circuit level (continua) In sintesi: Il proxy riceve un pacchetto Lo processa Controlla in base ai dati contenuti se il pacchetto ha unentry nella tabella In caso affermativo viene instradato
PROXY circuit level (continua) Vantaggi: Maggiore velocità Maggiore protezione verso le macchine della rete interna Supporta unampia varietà di protocolli di livello applicazione senza avere client che supportino la collaborazione con il proxy Non bisogna gestire tanti server quanti sono i protocolli da filtrare
PROXY circuit level (continua) Svantaggi: Difficile collaudo delle regole Scarse proprietà di controllo degli eventi sulla verifica dei pacchetti Non hanno altre funzionalità incorporate –Es. gestione della cache
Accesso al WEB mediante un proxy I firewall che consentono laccesso alla rete mediante un proxy (detto anche gateway di applicazione) sono sistemi che risiedono sul computer del gateway. Con questo sistema: si possono eseguire filtraggi selettivi in base al tipo di richiesta può anche richiedere lautenticazione dellutente quando cerca di importare o sportare dati
Accesso al WEB mediante un proxy (continua) Vediamo adesso il funzionamento di questo sistema:
Accesso al WEB mediante un proxy (continua) Inoltre: possono proteggere i sistemi allinterno del firewall filtrando in modo selettivo i caratteri progettati in modo pericoloso per una determinata applicazione »Es. filtrare motivi di carattere come ; che potrebbero danneggiare uno script della shell che contiene system
Accesso al WEB mediante un proxy (continua) Vantaggi: Consente un filtraggio molto selettivo Non si ha connessione diretta tra host interni ed esterni ma solo attraverso il sw del proxy Riduce il carico del lavoro per rendere sicura la rete interna che viene resa praticamente invisibile dallesterno Permette di eseguire servizi di auditing (controllo delle connessioni)
Accesso al WEB mediante un proxy (continua) Svantaggi: Ogni applicazione richiede uno specifico proxy Il sw del proxy può essere molto complesso e accadere che contenga errori non rilevati che possono mettere a repentaglio il funzionamento del firewall
Software per Firewall Se si vuole impostare un proxy server sarà necessario uno dei seguenti pacchetti: SOCKS TIS Firewall Toolkit (FWTK)
SOCKS E un application proxy con il quale e` possibile stabilire un canale sicuro tra due computers, in un ambiente Client-Server Controlla l'accesso basandosi su informazioni come indirizzo IP, numero di porta di sorgente e di destinazione
SOCKS (continua) E composto da due componenti: SOCKS CLIENT LIBRARY SOCKS SERVER
SOCKS (continua) Come si presenta:
SOCKS (continua) Come funziona: Unapplicazione client fa una richiesta di comunicazione ad un server Il socks apre per conto del client un proprio canale di comunicazione con il server Stabilito tale circuito proxy, il socks ritrasmetterà i dati tra client e server
SOCKS (continua) Può eseguire varie funzioni come: Autenticazione Negoziazione del livello di sicurezza Autorizzazione
SOCKS (continua) In sintesi abbiamo 4 operazioni di base: Richiesta di connessione Stabilire circuiti proxy Ritrasmissione dei dati Autenticazioni –Introdotta in Socks5 e si basa su di una fase di negoziazione tra proxy e client Due metodi di autenticazione: –Username/Password Autentication (RFC 1927) –Kerberos Autentication (RFC 1762)
TIS Firewall Toolkit La filosofia di funzionamento del TIS è modulare –Partendo da una configurazione minima di sicurezza esiste la possibilità di aumentare la sicurezza aggiungendo moduli successivi Fornisce un programma per ogni utility che intenda utilizzare il firewall
TIS Firewall Toolkit (continua) ftp stream tcp nowait root /usr/local/etc/netacl ftpd. ftp-gw steram tcp nowait root /usr/local/etc/ftp-gw ftp- gw Telnet stream tcp nowait root /usr/local/etc/tn-gw tn- gw tn-admin stream tcp nowait /usr/local/etc/netacl telnetd smtp stram tcp nowait root /urs/local/etc/smap smap Vediamo adesso un esempio del file di configurazione inetd.conf
SOCKS versus TIS Strategie differenti: SOCKS ha un solo programma che copre tutte le transazioni con Internet TIS fornisce un programma per ogni utility che intenda utilizzare il firewall SOCKS è più semplice da impostare, più facile da compilare e consente una maggiore flessibilità TIS è più sicuro se si vogliono regolamentare gli utenti allinterno della rete protetta
SOCKS versus TIS (continua) Facciamo un esempio: Accesso al WWW e Telnet Con SOCKS: Si imposta un file di conf e un demone Attraverso il file e il demone sono abilitati sia Telnet che WWW, come ogni altro servizio che non è stato disabilitato Con TIS: Si imposta un demone per WWW e uno per Telnet Altri accessi sono proibiti se non impostati esplicitamente
Altro utilizzo del Proxy Può ridurre il traffico sulle linee internazionali attraverso un caching locale delle pagine WEB più visitate L'utente che si avvale di questo servizio, rivolge le sue richieste al Proxy, il quale gli procura i documenti prendendoli dal sito ove questi risiedono e conservandone una copia in locale La successiva richiesta della stessa pagina comportera' il prelevamento del file direttamente dalla cache del Server con immenso guadagno di velocita' ( la pagina Web non dovrà più essere recuperata dal Server di origine)
Altro utilizzo del Proxy (continua) Il contenuto della cache aumenta in modo automatico in seguito alle richieste di pagine Web effettuate dagli utenti Viene rinfrescato e aggiornato mediante automatici collegamenti del Proxy ai Siti memorizzati Il Proxy diventa piu' efficiente quanto piu' è piena la cache –in pratica, piu' utilizzate il Proxy, maggiori sono i benefici in ordine di velocita'
Anonimia nel World Wide Web Limportanza dellanonimia nel web browsing è in crescita Sempre più web server tengono traccia di utenti mentre questi navigano di sito in sito Il corrente stato della tecnologia World Wide Web fornisce ampie opportunità ai siti WEB di collezionare info personali su di un utente E una minaccia alla privacy –Lutente fornisce info personali: rispondendo a delle indagini acquistando con carte di credito inoltrando …
Anonimia nel World Wide Web (continua) Un esempio:
Anonimia nel World Wide Web (continua) Una possibile soluzione alla mancanza di anonimia in Internet è lutilizzo di un particolare proxy Esempio di normale server proxy
Anonymizer Costituito da un server proxy che agisce come tramite tra gli utenti e il sito che desiderano visitare Gli utenti si connettono ad Anonymizer il quale a differenza di un normale server proxy fornisce un insieme di accorgimenti: –Elimina le info di identificazione degli utenti –Filtra i cookies –…–… Rende il web browsing privato in assenza di origliamento o analisi del traffico sulla rete
Anonymizer (continua) Questo sistema fornisce un buon livello di data anonymity Opera in maniera simile ai r er con la differenza che è più affidabile –I r er mantengono una tabella permanente di associazioni tra reali e fittizi, per garantire le reply
Anonymizer (continua) Vantaggi Lindirizzo IP viene occultato Gli HTTP header modificati I cookies filtrati –Non ha modo di associare lidentità dellutente alle sue richieste successive
Anonymizer (continua) Unico svantaggio Come i r er è vulnerabile allattacco di un nemico esterno che è in grado di osservare le richieste entranti e quelle uscenti dal proxy e di correlarle (analisi del traffico)
Siti interessanti (info sui Proxy) (sito di TIS) (sito di SOCKS) (lista di proxies anonimi) (analizzatore) (sito di Steve Gibson)