La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.

Presentazioni simili


Presentazione sul tema: "Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros."— Transcript della presentazione:

1 Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros

2 Indice degli Argomenti Introduzione ai Firewall Breve Introduzione al Packet filtering Proxying - Circuit Relay - Application Gateway Architetture di un Firewall

3 - Introduzione ai Firewall - Come proteggere una Rete Per proteggere una rete da attacchi esterni sono possibili i seguenti approcci : No Security: e il piu semplice approccio possibile; non si effettua nessun controllo Security Through Obscurity: non si conosce lesistenza della rete e soprattutto il suo contenuto Host Security: si cerca di garantire la sicurezza di ogni host che fa parte della rete Network Security: si controllano gli accessi ai vari host e servizi della rete piuttosto che garantire la sicurezza del singolo host N.B. : NESSUNO di questi modelli risolve completamente i problemi di sicurezza della rete.

4 - Introduzione ai Firewall - Cosa e un Internet Firewall Il Firewall e una efficace implementazione del modello Network Security.Esso fa in modo che i pericoli provenienti da Internet non possano diffondersi allinterno di una rete privata. Le sue principali funzioni sono: Restringere laccesso alla rete in un punto attentamente controllato Impedire che eventuali intrusi arrivino vicini alle altre difese della propria rete Restringere luscita al mondo esterno in un punto attentamente controllato

5 - Introduzione ai Firewall - Cosa puo fare Controlla tutto il traffico in entrata e in uscita dalla propria rete locale Implementa la politica di sicurezza della rete, abilitando soltanto opportuni servizi scelti in base ad preciso insieme di regole Registra in modo efficiente le attivita su Internet Mantiene separate le varie sezioni della propria rete, facendo in modo che eventuali problemi di una singola sezione non si diffondano allintera rete

6 - Introduzione ai Firewall - Cosa non puo fare Il Firewall non puo controllare direttamente quelli che sono gia allinterno della rete Controllare il traffico che non lo attraversa direttamente Non puo garantire nessun tipo di sicurezza contro le minacce sconosciute Non protegge dai virus

7 - Introduzione ai Firewall - Tecnologie utilizzate nei Firewall FUNZIONI SVOLTE : POSIZIONE : Packet Filtering - Screening Router router interni o esterni - Host Based Packet Filter bastion host Proxying - Circuit Relay bastion host - Application Gateway bastion host Questa classificazione e fatta in base alle funzioni svolte e alla posizione in cui viene implementato il Firewall stesso, su un router o su di un bastion host

8 - Introduzione al Packet Filtering - Il Packet Filtering Il Packet Filtering e un meccanismo frequentemente utilizzato nella costruzione di un Firewall.Analizza i pacchetti in transito fra le reti decidendo quali lasciar passare e quali fermare.Le tecniche di Packet Filtering si basano su precise regole che sono state stabilite nella politica di sicurezza della rete. Il software che implementa il Packet Filtering e in grado di esaminare lheader di ciascun pacchetto non appena questo transita per passare da una rete allaltra. Internet Rete Protetta Screening Router o Host-based Packet Filter aa b cc

9 - Introduzione al Packet Filtering - Regole Provenienza dei pacchetti Informazioni contenute nellIP header tipo di protocollo indirizzo IP mittente indirizzo IP destinatario Informazioni contenute nel TCP header porta TCP mittente porta TCP destinatario TCP flags ( per esempio ACK ) Informazioni contenute nellUDP header porta UDP mittente porta UDP destinatario

10 - Introduzione al Packet Filtering - Packet Filtering e Pila OSI Il Packet Filtering e spesso una buona prima linea di difesa nella architettura di un Firewall. I dispositivi e il software che realizzano il PF servono per controllare attentamente laccesso ad una rete. Il PF lavora ai livelli piu bassi della pila TCP/IP ( Transport e Network) Application Hardware Session Transport Network Data Link Presentation Ip,Icmp Tcp,Udp Packet Filtering

11 - Introduzione al Packet Filtering - Metodo di Lavoro Le regole tradotte nella sintassi specifica dello Screening Router o dellHost-Based Packet Filter funzionano nel seguente modo : 1.Le regole del PF sono espresse come una tabella di condizioni e azioni applicate in un ordine specifico 2.Ricevuto un pacchetto vengono esaminati i campi contenuti negli header IP,TCP e UDP 3.I pacchetti vengono confontati con ciascuna delle regole decidendo poi di instradare o bloccare un pacchetto 4.Se un pacchetto soddisfa tutte le condizioni di una riga della tabella delle regole, allora lazione specificata in quella riga (accettare o negare) viene eseguita

12 - Introduzione al Packet Filtering - Schema generale Host sulla Rete Protetta Soddisfa la Regola ? Accettare O Rifiutare ? no si Host in Internet Prossima regola pacchetto ricevuto rifiutare accettare

13 - Proxying - Il Proxying Con il Proxying si ha limpressione che gli host della rete siano direttamente connessi allesterno. In realta sono gli host che hanno laccesso fisico allesterno che agiscono da procuratori per tutte le altre macchine. Un proxy server viene quindi installato su un Dual-Homed host o su di un Bastion Host.. Il proxy seguendo regole di filtering decide quali richieste lasciar passare e quali rifiutare. Per lutente, parlare con il proxy e come parlare con il server reale. E molto importante lutilizzo del proxying anche per le funzioni di CACHING Server reale Client Dual – Homed Bastion Host Proxy Server InternetRete Protetta

14 - Proxying - Meccanismi del Proxying Il Proxy e essenzialmente costituito da software che agisce a livello di servizi Internet. I due meccanismi fondamentali che gestiscono il proxying sono : Circuit Relay Un unico proxy server si incarica di controllare le varie applicazioni di rete Application Gateway Un proxy server separato deve essere creato per ciascuna applicazione di rete Con il proxy otteniamo quello che non avevamo con il PF: - Politiche di sicurezza piu dettagliate e migliori meccanismi di Auditing - Semplicita nellimplementare le regole - Facilita nel verificare la correttezza delle regole

15 - Proxying - Proxying e Pila OSI Il proxying puo quindi lavorare sia al livello Transport sia al livello Application della pila OSI. Application Hardware Session Transport Network Data Link Presentation Ip,Icmp Tcp,Udp Circuit Telnet,Ftp,Http relay Application Gateway

16 - Circuit Relay - Circuit Relay Molto simile al packet filtering per i suoi criteri di decisione; determina se lasciar passare o meno un pacchetto basandosi sulle informazioni contenute nel suo header Rispetto al packet filtering crea un nuovo pacchetto con un altro header.In questo modo leventuale risposta del server sara indirizzata al Proxy Tale meccanismo impedisce ad un qualsiasi utente di far sapere dove si trova allinterno della rete e protegge gli esterni che non vogliono far conoscere allutente la loro posizione

17 - Circuit Relay - Componenti di un Circuit Relay Consiste di : Client modificati : inoltrano le richieste di collegamento a Internet a server dedicati posti su di un Bastion Host Un proxy server generico, che inoltra le richieste agli host su Internet e risponde ai client N.B.: E possibile permettere connessioni solo ad host autorizzati e solo a certe destinazioni su Internet.Il Cr copia semplicemente i pacchetti da un sistema ad un altro,cambia lindirizzo IP in quello del circuit relay server e effettua alcuni controlli di sicurezza sulla provenienza e sulla destinazione delle connessioni. Il fatto di dover installare su ogni client un software opportuno e cosa talvolta onerosa e spesso causa di errori

18 - Circuit Relay - Funzionamento del Circuit Relay 1.Un utente richiede un servizio applicativo da un client modificato su un host interno 2.Si tenta di inviare la richiesta direttamente allapplication server su Internet 3.Il client si accorge che non e raggiungibile quindi si connette con il Circuit Relay 4.Il CR riceve il pacchetto dal client 5.Il CR controlla le caratteristiche del pacchetto seguendo le regole nel file sockfd.conf 6.Il CR o blocca il pacchetto o si connette con lhost di destinazione 7.Lhost di destinazione risponde al CR con un pacchetto che riceve lo stesso trattamento del precedente

19 - Circuit relay - Schema di funzionamento Bastion Host Circuit Relay Application Server Client modificato InternetRete Protetta richiesta risposta

20 - Application Gateway - Application Gateway Risponde al client come un server reale per una determinata applicazione, in realta le richieste vengono inoltrate al server reale Non ci sono Client modificati Puo essere configurato per servire solo client autorizzati e limitare il loro accesso a certi comandi e a certe destinazioni Lavora al livello Application della pila OSI Agisce per una specifica applicazione E piu costoso ed ha un sensibile impatto sulle prestazioni del sistema Offre in compenso caratteristiche di sicurezza piu evolute direttamente implementate nel livello Application

21 - Application Gateway - Funzionamento di un Application Gateway 1.Un utente richiede un servizio Internet 2.Il client si connette allApplication Gateway sul Bastion Host 3.Identificazione del client attraverso indirizzo e il protocollo IP o attraverso unautenticazione manuale ( password ) 4.Il client sceglie lhost di destinazione 5.Attraverso le regole di autorizzazione, lApplication Gateway decide se accettare o rifiutare laccesso al servizio richiesto 6.LApplication Gateway si connette al server reale usando il protocollo applicativo appropriato 7.Il client manda un comando attraverso lApplication Gateway 8.LApplication Gateway registra il comando, controlla le regole ed accetta o rifiuta loperazione

22 - Application Gateway - Schema di funzionamento Server su Internet Hardware Transport Network Data Link Hardware Transport Network Data Link Application Gateway Application Client

23 - Architetture - Architetture di un Firewall Border Router Dual – Homed Bastion Host Screened Host Screened Subnet Architetture ibride - Screened Subnet con Bastion Host multipli - Dual – Homed Bastion Host con DMZ - Screened Subnet con Backbone interno

24 - Architetture - Border Router Internet Screening Router Host A Host B Rete Protetta E uno dei piu semplici esempi di implementazione del Packet Filtering

25 - Architetture - Dual – Homed Bastion Host Internet Rete Protetta Dual – Homed Bastion Host Il Firewall consiste in un Bastion Host con due interfacce di rete. Indirizzo IP diverso su ciascuna interfaccia. Linstradamento e disabilitato sul Dual – Homed Bastion host cosi i pacchetti IP non sono direttamente instradati da una rete allaltra.

26 - Architetture - Screened Host Internet Screening Router Host B Host A Bastion Host Rete Protetta In questo caso il Bastion host supporta una singola interfaccia di Rete. Lo screening router permette agli host esterni di comunicare solo con il Bastion host. Questo supporta tipicamente i proxy services.

27 - Architetture - Screened Subnet Internet Screening Router Esterno Host A Host B Bastion Host Screening Router Interno DMZ Rete Protetta DMZ = Perimeter Network. Architettura che cerca di Schermare la rete protetta da Attacchi che arrivano Al Bastion Host

28 - Architetture Ibride - Screened Subnet con Bastion Host multipli Internet Screening Router Esterno Host A Host B Bastion Host ftp server Screening Router Interno DMZ Bastion Host www server Bastion Host Proxy servers Rete Protetta Possibilita di utilizzare macchine vittima

29 - Architetture Ibride - Dual – Homed Bastion Host con DMZ Internet Screening Router Esterno Host A Host B Bastion Host ftp server DMZ Bastion Host www server Rete Protetta Dual – Homed Bastion Host Proxy Servers

30 - Architetture Ibride - Screened Subnet con Backbone interno Internet Screening Router Esterno Screening Router Interno Bastion Host Screening Router Screening Router Rete Protetta Sotto Rete A Sotto Rete B DMZBackbone interno Il Backbone interno impedisce che un intruso gia arrivato al Bastion host possa controllare il traffico interno che passa attraverso la DMZ. Utile anche contro IP spoofing

31 - Conclusioni - Conclusioni Esistono vari tipi di architetture di un Firewall I Firewall si basano su tecnologie in continua evoluzione I futuri Firewall saranno sempre piu potenti e trasparenti La sua realizzazione dipende dalla politica di sicurezza adottata e soprattutto dal Budget disponibile Il problema del traffico interno e ancora notevole - i dati in ingresso attraverso un Firewall possono contenere virus o comunque compromettere la sicurezza degli host interni in vari modi - molti Firewall non riescono a proteggere da attachi ben mirati ( problema a volte risolvibile con lutilizzo di macchine vittima )


Scaricare ppt "Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros."

Presentazioni simili


Annunci Google