Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
1
Il firewall: una barriera per la
difesa della rete aziendale
2
Connettere la propria rete locale a Internet è un' operazione rischiosa: sono presenti virus e minacce provenienti da Internet. Gli attacchi di tipo DDos che in passato hanno preoccupato i siti di aziende del calibro di Amazon oppure Yahoo! dimostrano che nessuno può sentirsi sicuro. Le imprese necessitano di forme di PROTEZIONE scalabili e adattabili alle nuove sfide che si presentano nel campo della sicurezza.
3
Server proxy Packet filter
I FIREWALL ("parete tagliafuoco") sono gli strumenti più adatti a offrire una difesa. E’ un sistema di componenti hardware, software, oppure una combinazione di entrambi gli elementi, che si interpone tra la rete locale e Internet e tiene sotto controllo il traffico che si sviluppa tra i due network; è basato su politiche di sicurezza che possono essere configurate a seconda delle esigenze. I firewall possono essere: Server proxy Packet filter
4
PACKET FILTER Un packet filter ispeziona solo le informazioni presenti nelle intestazioni e consente ai pacchetti di passare attraverso il firewall solo se non violano le regole impostate.
5
Un PACKET FILTER esamina gli indirizzi Ip sorgente e destinazione nel segmento del pacchetto di rete chiamato header. Confrontando queste informazioni con un elenco di regole (access-control-list) il packet filter decide se accettare o no i pacchetti. Le regole possono specificare se un pacchetto destinato a/proveniente da un indirizzo debba essere rifiutato o meno, oppure possono servire per autorizzare o no comunicazioni sulla base del numero di porta associato a un servizio.
6
DIFETTO: I i firewall basati sul packet filtering hanno un difetto: autorizzano o bloccano il traffico esaminando solo le intestazioni dei pacchetti e non i dati contenuti. Ma non tutti i pacchetti sono quello che sembrano: i potenziali aggressori hanno infatti a disposizione diversi tool atti a creare pacchetti in apparenza "normali " ma in grado di sfruttare bug e difetti riconosciuti delle più comuni applicazioni di rete.
7
PROXY SERVER Un proxy server non consente a un pacchetto di viaggiare tra la rete interna e Internet, crea al contrario un nuovo pacchetto che invia su Internet e si comporta allo stesso modo del pacchetto ricevuto in risposta.
8
Sui SERVER PROXY, girano routine che intercettano le richieste di comunicazione effettuate dalle applicazioni e destinate a Internet. Il programma proxy si inserisce nella trasmissione, effettua la richiesta utilizzando il proprio indirizzo Ip e valutando in seguito i dati ottenuti in risposta, non esamina semplicemente le intestazioni dei pacchetti di rete, ma anche i contenuti degli stessi. Un application proxy agisce da intermediario in una comunicazione tra due nodi ospiti (host).
9
Il proxy server ha DUE ADATTATORI di rete: uno connesso alla rete locale e l'altro a Internet. I pacchetti vengono ricevuti su un adattatore ed esaminati: se il pacchetto è una richiesta in uscita dalla rete locale e diretta verso Internet, il proxy verificherà che contenga comandi o dati validi…
10
In caso affermativo, il proxy creerà un altro pacchetto usando il proprio indirizzo di rete come sorgente e inoltrerà egli stesso la richiesta al posto del client. Quando viene ricevuta la risposta da Internet, il proxy esaminerà il segmento dati del pacchetto per vedere che contenga una risposta alla richiesta inoltrata. Se i dati o i comandi in esso contenuti fossero sospetti il proxy scarterebbe il pacchetto, in caso contrario, creerà un nuovo pacchetto, di nuovo utilizzando li proprio indirizzo sorgente, e restituendo il risultato al client posto sulla rete interna.
11
DIFETTO: Affinchè le applicazioni di rete funzionino deve essere segnalato ai client che l'accesso a Internet è sorvegliato da un proxy. Il proxy server deve poter comprendere il protocollo di comunicazione usato da ogni servizio che lo deve attraversare, così da poter scartare i pacchetti sospetti: nelle tante applicazioni Internet utilizzate, è facile che qualcuna non supporti I'attraversamento di un application proxy oppure che il proxy non sia in grado di comprendere il protocollo utilizzato.
12
STATEFUL INISPECTION:
Alcuni firewall utilizzano un metodo chiamato stateful inispection: quando un utente invia una richiesta a un server Internet, il firewall crea un'entry in una tabella per ricordarsi dell'invio della richiesta. Se si riceve risposta, Il firewall consulterà la propria tabella per determinare se essa sia una risposta a una richiesta precedentemente inoltrata o meno. In caso negativo, il firewall rileverà un pacchetto sospetto che verrà scartato, e generalmente provvederà a registrare l'evento nel log.
13
I firewall moderni forniscono molte altre funzionalità:
CONTENT RESTRICTION: la capacità di impedire l'accesso alle risorse esterne a seconda dei contenuti delle stesse. Le politiche di restrizione dei contenuti possono essere utilizzate per impedire che richieste provenienti da o dirette verso determinati siti passino attraverso il firewall. CONTENT CACHING: la capacità da parte del firewall di rispondere alle richieste provenienti dai client della rete locale utilizzando una copia locale dei dati ed evitando di inoltrare la richiesta su Internet. NETWORK ADDRESS TRANSLATION: la capacità del server di connettere a Internet una rete locale che utilizza uno spazio di indirizzamento privato
14
DMZ: I server Web sono la parte più vulnerabile di una rete. Essi tendono ad essere il naturale obiettivo di intrusioni da parte dei pirati informatici. È dunque una buona politica quella di isolare dalla rete privata aziendale i server che debbono rimanere accessibili dall'esterno: si potrà ottenere questo obiettivo creando una Dmz (De Militarized Zone -zona demilitarizzata). Al traffico di rete diretto verso i server presenti nella Dmz sarà proibito di raggiungere la vostra rete locale.
15
Per la casa e i piccoli uffici:
I firewall sono una necessità anche per il segmento Soho (Home Office). Per la maggior parte dei piccoli uffici una soluzione firewall tradizionale risulterebbe costosa e richiederebbe l’intervento di competenze tecniche. Diversamente è per le case, dove è sempre più facile trovare due o tre Pc connessi in rete che condividono una connessione a Internet. Esistono alcune soluzioni adatte ad essere utilizzate anche da chi non è un professionista del settore, quella di adottare una soluzione hardware integrata, i cosiddetti firewall appliances..
16
Un firewall anche per il desktop
E’ nata una nuova categoria di prodotti, quella dei personal firewall che operano direttamente sui sistemi desktop. Sono software indispensabili per chi dispone di una connessione a larga banda. Un'altra categoria di utenti per i quali un personal firewall è irrinunciabile è quella di chi si collega da remoto alla rete dell'ufficio tramite una Vpn. Se il loro sistema venisse compromesso da un hacker con un software la Vpn fornirebbe all'aggressore un canale di comunicazione per penetrare la rete aziendale.
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.