Upload
trinhthuy
View
219
Download
1
Embed Size (px)
Citation preview
FIREWALL
Introduzione alla sicurezza delle reti
firewall
zona Demilitarizzata
OUTLINE
SICUREZZA DELLE RETI
© Ambra Molesini
ORGANIZZAZIONE DELLA RETE
La principale difesa contro gli attacchi ad una rete è una corretta organizzazione topologica della rete stessa
Uno dei principali approcci è quello di suddividere la rete in zone di sicurezza
i dispositivi e le risorse sono posizionati nelle zone in base ai loro livelli e requisiti di sicurezza
la rete acquisisce una maggiore scalabilità ed una
conseguente maggiore stabilità
ORGANIZZAZIONE DELLA RETE
La zona demilitarizzata (DMZ) è una porzione di rete che separa la rete interna dalla rete esterna
I server nella DMZ sono accessibili dalla rete pubblica, perciò non sono trusted (dalla rete interna) e quindi devono essere “segregati” rispetto a questa
se un server non è trusted allora la sua compromissione non dovrebbe avere effetti collaterali
FIREWALL
FIREWALLUn firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di luiConsente o nega il passaggio del traffico basandosi su una security policyLe sue funzioni:
verifica dei pacchetti in transito (IP filtering)mascheramento di indirizzi interni (NAT)blocco dei pacchetti pericolosi e/o non autorizzati
ESEMPIO
FIREWALL: UTILITIES
Controllo dei servizi: stabilire a quali tipi di servizi internet si può accedere, sia dall’interno che dall’esterno
Controllo della direzione: stabilire la direzione secondo cui particolari richieste di servizio possono essere avviate e inoltrate
Controllo utente: regola l’accesso ad un servizio sulla base dell’utente che ha effettuato la richiesta
Controllo del comportamento: controllo su come sono utilizzati certi servizi (es: filtraggio della posta elettronica per eliminare lo spam)
POLICY DI SICUREZZA
Il firewall è un applicatore di regole, ed è valido solo quanto le regole che vengono configurate
Prima di configurare il firewall, serve una specifica ad alto livello della policy di sicurezza per la Intranet
Due politiche principali (alternative) nella configurazione di un firewall:
tutto ciò che non è espressamente permesso è vietato
tutto ciò che non è espressamente vietato è permesso
Tutto ciò che non è espressamente permesso è vietato
Il firewall blocca tutto il traffico e ciascun servizio abilitato deve essere configurato caso per caso
maggior sicurezza
più difficile da gestire (non sempre è semplice individuare quali porte bisogna aprire per consentire la corretta esecuzione di unservizio)
Si limita il numero di servizi disponibili all'utente
POLICY DI SICUREZZA
Tutto ciò che non è espressamente vietato è permesso
Il firewall inoltra tutto il traffico e ciascun servizio dannoso deve essere chiuso caso per caso
minor sicurezza (possono rimanere porte aperte non necessarie)
più facile da gestire
L’amministratore di rete ha difficoltà sempre maggiore nell’assicurare la sicurezza man mano che la rete cresce
POLICY DI SICUREZZA
FIREWALL: LIMITI
Il firewall controlla tutto e solo il traffico che lo attraversa
In caso di intrusioni dall’interno il firewall è impotente, in quanto il traffico non lo attraversa
Se il traffico arriva su internet tramite un percorso non controllato (per esempio un utente connesso via modem) non c’è modo per il firewall di controllarlo
Il firewall è una macchina
come tale, potrebbe essere violata
deve essere la macchina meglio protetta e configurata della rete
sulla stessa macchina non dovrebbero essere aggiunte altre funzioni dobbiamo garantire ottime prestazioni e lasciare poco codice a disposizione di aggressori
TIPOLOGIE DI FIREWALLFirewall che operano a livello di rete
Packet filtering: viene installato a monte della rete protetta ed ha il compito di bloccare o inoltrare i pacchetti IP secondo regole definite a priori
Firewall che operano a livello applicativoCircuit/Application gateway: analizza e filtra il traffico a livello trasporto/applicazione. Application gateway sfrutta la conoscenza del particolare servizio
TIPOLOGIE DI FIREWALL
APPLICATION GATEWAY: ESEMPIO
A meno di modificare i clienti per i servizi di rete più
comuni
PROXY SERVERProxy server: applicazioni sw con il compito di mediare il traffico tra rete esterna e rete interna e consentire l’accesso a un servizio specifico
I servizi proxy possono essere concentrati sul firewall e hanno le seguenti caratteristiche:
sono indipendenti tra di loro
ciascun servizio implementa solo un sottoinsieme delle funzionalità
un servizio proxy non accede al disco ad eccezione della lettura del suo file di configurazione
ciascun servizio proxy viene eseguito come utente non privilegiato in una directory privata
CIRCUIT GATEWAY: ESEMPIO
Trasparente ma i client devono essere modificatiAutenticazione del cliente e del serverAutorizzazione, logging e caching delle connessioniRipulitura della connessione
BASTION HOSTIl bastion host è un host critico per la sicurezza e costituisce la piattaforma per i gateway a livello di applicazione e di circuito
Ha le seguenti caratteristiche:
monta un sistema operativo sicuro
monta solo i servizi proxy necessari
eroga ciascun servizio solo ad un sottoinsieme degli hostdella rete
implementa forme di autenticazione aggiuntive e specifiche
supporta logging & auditing
PACKET FILTERUn packet filter (screening router) scarta o inoltra un pacchetto IP, da e verso la rete interna, sulla base di un insieme di regole di filtraggio
Le regole di filtraggio si basano sul valore dei campi contenutinell’intestazione IP e di trasporto (TCP/UDP) tra cui:
l’indirizzo del sorgente e del destinatario
il protocollo di trasporto
il numero di porta del sorgente e del destinatario
i flag SYN, ACK nell’header TCP
REGOLE: ESEMPIO
Connessione porta SMTP
esterna
25***consentire
default****bloccare
Connessione alla porta
SMPT interna
**25OUR-GWconsentire
Host non affidabile
*SPIGOT**bloccare
commentiportaHost esternoportaHostinterno
azione
STATEFUL PACKET FILTERLo stateful filtering considera il traffico come uno scambio bidirezionale di pacchetti IP che costituisce una sessione di conversazione (conversation session)
Lo stateful filtering permette di generare dinamicamente le regole per il prossimo pacchetto (anche ICMP) nella sessione di conversazione
In uscita/ingresso, se un pacchetto soddisfa il criterio di selezione della regola dinamica, il pacchetto viene lasciato passare e viene generata la regola per il prossimo pacchetto; altrimenti al pacchetto sono applicate le regole statiche
Lo stateful filtering permette di concentrarsi sul lasciar passare o bloccare una nuova sessione: i successivi pacchetti della sessione subiranno la stessa sorte
FIREWALL SINGLE-HOMED
SINGLE-HOMED: DETTAGLIIl firewall è composto da due sistemi: un router a filtraggio di pacchetti e un bastion host
Il packet filter fa passare i pacchetti provenienti dall’esterno e diretti solo al bastion host
Il packet filter può far passare i pacchetti provenienti dall’esterno e diretti ad un server che non ha un livello di sicurezza elevato (es. server web)
Il packet filter fa passare i pacchetti provenienti dal bastion hoste diretti verso l’esterno
Il traffico viene analizzato due volte, ma se il packet filterviene compromesso, il traffico esterno può raggiungere la rete interna
FIREWALL DUAL-HOMED
Presenta gli stessi vantaggi del single-homed ma...
Il dual-homed bastion host previene i problemi causati dalla compromissione del packet filter: un pacchetto deve “fisicamente” attraversare il bastion host e questo fa aumentare il livello della sicurezza
SCREENED SUBNET FIREWALL
SCREENED SUBNET: DETTAGLIConfigurazione più sicura tra quelle considerate: permette di creare una sottorete isolata che può contenere solo il bastionhost o altri server e modem
Vantaggi:
prevede 3 livelli di difesa per contrastare le intrusioni
il router esterno consente di vedere dall’esterno solo la sottorete protetta, la rete interna non è visibile da internet
il router interno, analogamente, segnala alla rete interna solo la presenza della sottorete protetta. I sistemi nella rete interna non possono così stabilire connessioni dirette a internet
ZONA DEMILITARIZZATA
ACCESSO ALLA LAN DA INTERNET
Nella maggioranza dei casi, le intranet aziendali presuppongono che la maggior parte degli utenti sia collocata all’interno del firewall aziendale, e che quasi nessuna connessione giunga dall’esterno
Due problemi violano questo principio
utenti remoti che vogliono accedere a servizi pubblici dell’azienda (web, FTP, invio di posta…)
utenti remoti vogliono accedere alla rete aziendale attraverso Internet o una rete non sicura
Esistono delle soluzioni per ciascuno dei problemi
architettura a due livelli della rete
reti private virtuali (VPN)
ARCHITETTURA A DUE LIVELLI
Creazione di una rete semipubblica tra intranet e Internet (Zona Demilitarizzata, DMZ)
Idea di base: gli utenti esterni possono accedere alla DMZ (limitatamente ai servizi disponibili). Le risorse interne restano nella zona privata e non sono accessibili.
Nella DMZ si ospitano i server pubblici (sito Web, server FTP, DNS, mailserver in ingresso...) che non erogano applicazioni critiche per l’azienda
La DMZ è una zona ad altissimo rischio. Le comunicazioni in arrivo dalla DMZ vanno considerate inaffidabili quanto quelle esterne.
Si usano due firewallsingle-homed per dividere le zone.
In alternativa, un singolo firewall a “tre vie”
ARCHITETTURA A DUE LIVELLI
ESEMPIO: 2 FIREWALL
ESEMPIO: 1 FIREWALL A 3 VIE
VIRTUAL PRIVATE NETWORK
Virtual Private Network: ponte dati crittografato su rete pubblica
Esigenze:
comunicare da remoto con la rete aziendale, accedere a risorse interne, come se si fosse in ufficio
collegare tra loro sedi periferiche senza spendere capitali in costose linee dedicate
garantire confidenzialità ed integrità ai dati trasmessi su rete pubblica non sicura
ESEMPIO