Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13 A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Firewall • I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa • Un Internet firewall, in particolare, è un sistema realizzato con lo scopo di proteggere la rete interna di un’organizzazione (che nel seguito indicheremo anche con il termine Intranet) da Internet A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Firewall: cosa sono • Concettualmente, un Internet firewall è un’entità, in particolare l’unica entità, interposta tra Internet e una rete aziendale il cui accesso da e verso Internet si vuole disciplinare, tipicamente per limitare l’esposizione alle intrusioni informatiche che la rete aziendale potrebbe subire da parte di utenti di Internet A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Firewall: come sono • Fisicamente, le configurazioni dei firewall variano in funzione degli scopi per cui sono impiegati, senza perdere in generalità possiamo affermare che un firewall è una combinazione di componenti hardware (router e host) tra loro opportunamente collegate, e di opportune componenti software A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Firewall: caratteristiche generali • Tutto il traffico che entra ed esce da una rete intranet deve passare attraverso il firewall • Solo il traffico autorizzato potrà entrare/uscire dalla rete • Il firewall deve essere il più possibile immune da attacchi A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi I filtri • Sui Servizi • Vengono definiti i tipi di servizi che possono essere acceduti da e verso Internet • Sulla direzione • Determina la direzione verso cui il traffico generato da certi servizi è ammissibile A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi I filtri • User control • Controlla l’accesso ad un servizio verificando l’utente che vi sta accedendo • Behavior control • Controlla come vengono usati certi servizi A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Tipi di firewall • Packet filtering • Application-level Gateway • Circuit-level Gateway A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Packet filtering A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Packet filtering • Nella sua versione più semplice il packet filtering consente di abilitare/disabilitare il trasferimento di pacchetti (e quindi di dati) tra due reti basandosi su: • L’indirizzo IP del mittente; • L’indirizzo IP del destinatario; • I servizi (o protocolli) usati per trasferire i dati (questi servizi possono essere ad esempio: FTP, HTTP, SMNP, ecc. ecc.). A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Packet Filtering • Opera sulle informazioni presenti nell’header di un pacchetto IP o su sequenze molto brevi di pacchetti, tralasciando il contenuto dello stesso; • Ad esempio, non è possibile sopprimere, con questa versione di packet filtering, un pacchetto perché contiene insulti A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Packet filtering • Vantaggi: • Semplice • Trasparente agli utenti • Opera ad alta velocità • Svantaggi: • Difficoltà di configurazione • Meccanismi di autenticazione A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Application level gateway A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Application level gateway • Chiamato anche proxy server • Svolge le funzioni di relay tra traffico a livello applicazione, si interpone tra i client ed il server di un’applicazione • Intercetta tutti i messaggi che dai client sono diretti a più server e viceversa e si fa carico “personalmente” dell’inoltro degli stessi • Ricevute le risposte dal server provvede a sua volta ad inoltrarle al mittente originario A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Application level gateway • Vantaggi • Consente controlli più sofisticati del packet filtering • Più mirate le operazioni di logging • Svantaggi • Più lento del packet filtering A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Circuit level gateway • Esistono due tipologie di proxy: • I proxy dedicati che sono in grado di operare con un unico protocollo o servizio (esiste quindi un FTP-proxy, un HTTPproxy, un sendmail-proxy, ecc.) • I proxy generici che sono in grado di operare con più protocolli contemporaneamente denominati circuit level proxy A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Circuit Level Proxy A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Circuit level Proxy • Il grosso vantaggio dei circuit-level proxy è che un unico programma è in grado di gestire più protocolli • il loro svantaggio è che proprio per la loro genericità non sono in grado di offrire funzionalità molto distanti da quelle di un packet filter avanzato A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Proxy • Affinché un proxy possa funzionare è necessario che le applicazioni di riferimento, siano scritte tenendo conto della sua presenza • Sono oggi disponibili proxy per la maggior parte dei servizi di rete A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Bastion host • Sono i sistemi dell’organizzazione più esposti agli attacchi informatici • Per ridurre i rischi di attacco, si sono diffuse alcune pratiche, che consentono di rendere i bastion host meno vulnerabili • il bastion host serve come piattaforma per un application-level o circuit-level gateway A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Configurazioni del Firewal • Screened subnet firewall, il firewall è composto da: • Due router che fanno packet filtering • Uno o più bastion host • L’obiettivo è quello di creare una sottorete isolata dalla rete da proteggere A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Screened Subnet • Screened-subnet firewall, rete demilitarizzata A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Configurazioni del Firewall • Fisicamente, tale architettura può essere realizzata anche con un singolo host, che sia in grado di ospitare almeno tre schede di rete, e possa applicare su ciascuna di esse un insieme differente di regole di packet filtering • In questo caso l’architettura di firewall collassa in un singolo host denominato appunto firewall A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Configurazioni dei firewall • La rete demilitarizzata è il vero elemento distintivo di questa architettura di firewall • Disaccoppiamento fisico tra la rete interna in cui sono mantenuti tutti i servizi critici per l’azienda e la rete demilitarizzata su cui vengono installati i servizi di rete pubblici A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Configurazioni dei firewall • Questo firewall non consente ad un intrusore che riesca ad accedere ad uno dei bastion host, di: • avere accesso diretto alla rete interna che è protetta da un ulteriore livello di screening router • poter intercettare il traffico della rete interna che potrebbe contenere informazioni sensibili A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Router esterno • Il router esterno deve proteggere la rete interna e la rete perimetrale da Internet, in particolare il router esterno deve preoccuparsi di proteggere i bastion host e il router interno. • Deve provvedere a bloccare tutto il traffico “sospetto” proveniente da Internet e diretto ai bastion host o alla rete interna A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Router interno • Lo scopo di questo router è di proteggere la rete interna da Internet ma anche dalla rete demilitarizzata. • Il router interno deve consentire il traffico, dalla rete interna verso Internet, di tutti quei servizi che si è deciso di rendere fruibili agli utenti della rete interna. La lista di questi servizi può comprendere HTTP, FTP, Telnet o meglio SSH A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi IDS • Nella terminologia corrente per intrusion detection system si intende un insieme di componenti hw e sw dedicate a rilevare, automaticamente ed in tempo reale, il verificarsi di un’intrusione in un sistema o in una rete A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi IDS • Un IDS è costituito da una serie di sensori di rete o agenti e da un analizzatore centrale, ognuno di essi risiede su un host dedicato • I sensori di rete vengono installati su determinate porzioni di rete, solitamente quelle su cui sono presenti i sistemi più critici • I dati raccolti vengono inviati all’analizzatore che verifica o meno la presenza di traffico sospetto in tal caso attiva una serie di procedure di allarme A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi IDS INTRANET INTERNET firewall A.A. 2007/2008 IDS Corso: Sicurezza 1 © Danilo Bruschi IDS A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi IDS A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi IDS • Per la realizzazione di questi strumenti si fa ricorso a due strategie di base: • Anomaly detection • Misuse detection A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Anomaly detection • • • • • • • • Login frequency by day and time Frequency of login at different locations Time since last login Password failures at login Execution frequency Execution denials Read, write, create, delete frequency Failure count for read, write, create and delete A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Misuse Detection • I caratteri distintivi di attacchi noti (signatures) vengono memorizzati in appositi database di attacchi • alla ricezione di ogni pacchetto l’analizzatore confronta lo stesso o la sequenza a cui appartiene con le signature memorizzate nel proprio database • quando trova delle coincidenze attiva una serie di allarmi A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi Misuse detection • Un intrusion detection system può erroneamente riconoscere una sequenza di pacchetti innocua come maligna e quindi provvedere ad attivare un falso allarme • In questo caso si dice che l’intrusion detection system ha commesso un errore di tipo falso positivo (false positive) A.A. 2007/2008 Corso: Sicurezza 1 © Danilo Bruschi