FIREWALL

Introduzione alla sicurezza delle reti

firewall

zona Demilitarizzata

OUTLINE

SICUREZZA DELLE RETI

© Ambra Molesini

ORGANIZZAZIONE DELLA RETE

La principale difesa contro gli attacchi ad una rete è una corretta organizzazione topologica della rete stessa

Uno dei principali approcci è quello di suddividere la rete in zone di sicurezza

i dispositivi e le risorse sono posizionati nelle zone in base ai loro livelli e requisiti di sicurezza

la rete acquisisce una maggiore scalabilità ed una

conseguente maggiore stabilità

ORGANIZZAZIONE DELLA RETE

La zona demilitarizzata (DMZ) è una porzione di rete che separa la rete interna dalla rete esterna

I server nella DMZ sono accessibili dalla rete pubblica, perciò non sono trusted (dalla rete interna) e quindi devono essere “segregati” rispetto a questa

se un server non è trusted allora la sua compromissione non dovrebbe avere effetti collaterali

FIREWALL

FIREWALLUn firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di luiConsente o nega il passaggio del traffico basandosi su una security policyLe sue funzioni:

verifica dei pacchetti in transito (IP filtering)mascheramento di indirizzi interni (NAT)blocco dei pacchetti pericolosi e/o non autorizzati

ESEMPIO

FIREWALL: UTILITIES

Controllo dei servizi: stabilire a quali tipi di servizi internet si può accedere, sia dall’interno che dall’esterno

Controllo della direzione: stabilire la direzione secondo cui particolari richieste di servizio possono essere avviate e inoltrate

Controllo utente: regola l’accesso ad un servizio sulla base dell’utente che ha effettuato la richiesta

Controllo del comportamento: controllo su come sono utilizzati certi servizi (es: filtraggio della posta elettronica per eliminare lo spam)

POLICY DI SICUREZZA

Il firewall è un applicatore di regole, ed è valido solo quanto le regole che vengono configurate

Prima di configurare il firewall, serve una specifica ad alto livello della policy di sicurezza per la Intranet

Due politiche principali (alternative) nella configurazione di un firewall:

tutto ciò che non è espressamente permesso è vietato

tutto ciò che non è espressamente vietato è permesso

Tutto ciò che non è espressamente permesso è vietato

Il firewall blocca tutto il traffico e ciascun servizio abilitato deve essere configurato caso per caso

maggior sicurezza

più difficile da gestire (non sempre è semplice individuare quali porte bisogna aprire per consentire la corretta esecuzione di unservizio)

Si limita il numero di servizi disponibili all'utente

POLICY DI SICUREZZA

Tutto ciò che non è espressamente vietato è permesso

Il firewall inoltra tutto il traffico e ciascun servizio dannoso deve essere chiuso caso per caso

minor sicurezza (possono rimanere porte aperte non necessarie)

più facile da gestire

L’amministratore di rete ha difficoltà sempre maggiore nell’assicurare la sicurezza man mano che la rete cresce

POLICY DI SICUREZZA

FIREWALL: LIMITI

Il firewall controlla tutto e solo il traffico che lo attraversa

In caso di intrusioni dall’interno il firewall è impotente, in quanto il traffico non lo attraversa

Se il traffico arriva su internet tramite un percorso non controllato (per esempio un utente connesso via modem) non c’è modo per il firewall di controllarlo

Il firewall è una macchina

come tale, potrebbe essere violata

deve essere la macchina meglio protetta e configurata della rete

sulla stessa macchina non dovrebbero essere aggiunte altre funzioni dobbiamo garantire ottime prestazioni e lasciare poco codice a disposizione di aggressori

TIPOLOGIE DI FIREWALLFirewall che operano a livello di rete

Packet filtering: viene installato a monte della rete protetta ed ha il compito di bloccare o inoltrare i pacchetti IP secondo regole definite a priori

Firewall che operano a livello applicativoCircuit/Application gateway: analizza e filtra il traffico a livello trasporto/applicazione. Application gateway sfrutta la conoscenza del particolare servizio

TIPOLOGIE DI FIREWALL

APPLICATION GATEWAY: ESEMPIO

A meno di modificare i clienti per i servizi di rete più

comuni

PROXY SERVERProxy server: applicazioni sw con il compito di mediare il traffico tra rete esterna e rete interna e consentire l’accesso a un servizio specifico

I servizi proxy possono essere concentrati sul firewall e hanno le seguenti caratteristiche:

sono indipendenti tra di loro

ciascun servizio implementa solo un sottoinsieme delle funzionalità

un servizio proxy non accede al disco ad eccezione della lettura del suo file di configurazione

ciascun servizio proxy viene eseguito come utente non privilegiato in una directory privata

CIRCUIT GATEWAY: ESEMPIO

Trasparente ma i client devono essere modificatiAutenticazione del cliente e del serverAutorizzazione, logging e caching delle connessioniRipulitura della connessione

BASTION HOSTIl bastion host è un host critico per la sicurezza e costituisce la piattaforma per i gateway a livello di applicazione e di circuito

Ha le seguenti caratteristiche:

monta un sistema operativo sicuro

monta solo i servizi proxy necessari

eroga ciascun servizio solo ad un sottoinsieme degli hostdella rete

implementa forme di autenticazione aggiuntive e specifiche

supporta logging & auditing

PACKET FILTERUn packet filter (screening router) scarta o inoltra un pacchetto IP, da e verso la rete interna, sulla base di un insieme di regole di filtraggio

Le regole di filtraggio si basano sul valore dei campi contenutinell’intestazione IP e di trasporto (TCP/UDP) tra cui:

l’indirizzo del sorgente e del destinatario

il protocollo di trasporto

il numero di porta del sorgente e del destinatario

i flag SYN, ACK nell’header TCP

REGOLE: ESEMPIO

Connessione porta SMTP

esterna

25***consentire

default****bloccare

Connessione alla porta

SMPT interna

**25OUR-GWconsentire

Host non affidabile

*SPIGOT**bloccare

commentiportaHost esternoportaHostinterno

azione

STATEFUL PACKET FILTERLo stateful filtering considera il traffico come uno scambio bidirezionale di pacchetti IP che costituisce una sessione di conversazione (conversation session)

Lo stateful filtering permette di generare dinamicamente le regole per il prossimo pacchetto (anche ICMP) nella sessione di conversazione

In uscita/ingresso, se un pacchetto soddisfa il criterio di selezione della regola dinamica, il pacchetto viene lasciato passare e viene generata la regola per il prossimo pacchetto; altrimenti al pacchetto sono applicate le regole statiche

Lo stateful filtering permette di concentrarsi sul lasciar passare o bloccare una nuova sessione: i successivi pacchetti della sessione subiranno la stessa sorte

FIREWALL SINGLE-HOMED

SINGLE-HOMED: DETTAGLIIl firewall è composto da due sistemi: un router a filtraggio di pacchetti e un bastion host

Il packet filter fa passare i pacchetti provenienti dall’esterno e diretti solo al bastion host

Il packet filter può far passare i pacchetti provenienti dall’esterno e diretti ad un server che non ha un livello di sicurezza elevato (es. server web)

Il packet filter fa passare i pacchetti provenienti dal bastion hoste diretti verso l’esterno

Il traffico viene analizzato due volte, ma se il packet filterviene compromesso, il traffico esterno può raggiungere la rete interna

FIREWALL DUAL-HOMED

Presenta gli stessi vantaggi del single-homed ma...

Il dual-homed bastion host previene i problemi causati dalla compromissione del packet filter: un pacchetto deve “fisicamente” attraversare il bastion host e questo fa aumentare il livello della sicurezza

SCREENED SUBNET FIREWALL

SCREENED SUBNET: DETTAGLIConfigurazione più sicura tra quelle considerate: permette di creare una sottorete isolata che può contenere solo il bastionhost o altri server e modem

Vantaggi:

prevede 3 livelli di difesa per contrastare le intrusioni

il router esterno consente di vedere dall’esterno solo la sottorete protetta, la rete interna non è visibile da internet

il router interno, analogamente, segnala alla rete interna solo la presenza della sottorete protetta. I sistemi nella rete interna non possono così stabilire connessioni dirette a internet

ZONA DEMILITARIZZATA

ACCESSO ALLA LAN DA INTERNET

Nella maggioranza dei casi, le intranet aziendali presuppongono che la maggior parte degli utenti sia collocata all’interno del firewall aziendale, e che quasi nessuna connessione giunga dall’esterno

Due problemi violano questo principio

utenti remoti che vogliono accedere a servizi pubblici dell’azienda (web, FTP, invio di posta…)

utenti remoti vogliono accedere alla rete aziendale attraverso Internet o una rete non sicura

Esistono delle soluzioni per ciascuno dei problemi

architettura a due livelli della rete

reti private virtuali (VPN)

ARCHITETTURA A DUE LIVELLI

Creazione di una rete semipubblica tra intranet e Internet (Zona Demilitarizzata, DMZ)

Idea di base: gli utenti esterni possono accedere alla DMZ (limitatamente ai servizi disponibili). Le risorse interne restano nella zona privata e non sono accessibili.

Nella DMZ si ospitano i server pubblici (sito Web, server FTP, DNS, mailserver in ingresso...) che non erogano applicazioni critiche per l’azienda

La DMZ è una zona ad altissimo rischio. Le comunicazioni in arrivo dalla DMZ vanno considerate inaffidabili quanto quelle esterne.

Si usano due firewallsingle-homed per dividere le zone.

In alternativa, un singolo firewall a “tre vie”

ARCHITETTURA A DUE LIVELLI

ESEMPIO: 2 FIREWALL

ESEMPIO: 1 FIREWALL A 3 VIE

VIRTUAL PRIVATE NETWORK

Virtual Private Network: ponte dati crittografato su rete pubblica

Esigenze:

comunicare da remoto con la rete aziendale, accedere a risorse interne, come se si fosse in ufficio

collegare tra loro sedi periferiche senza spendere capitali in costose linee dedicate

garantire confidenzialità ed integrità ai dati trasmessi su rete pubblica non sicura

ESEMPIO