Sicurezza dei calcolatori e delle reti
Proteggere la rete: tecnologie
Lez. 13
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Firewall
• I firewall sono probabilmente la tecnologia
per la protezione dagli attacchi di rete più
diffusa
• Un Internet firewall, in particolare, è un
sistema realizzato con lo scopo di proteggere
la rete interna di un’organizzazione (che nel
seguito indicheremo anche con il termine
Intranet) da Internet
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Firewall: cosa sono
• Concettualmente, un Internet firewall è
un’entità, in particolare l’unica entità,
interposta tra Internet e una rete
aziendale il cui accesso da e verso
Internet si vuole disciplinare,
tipicamente per limitare l’esposizione
alle intrusioni informatiche che la rete
aziendale potrebbe subire da parte di
utenti di Internet
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Firewall: come sono
• Fisicamente, le configurazioni dei firewall variano in
funzione degli scopi per cui sono impiegati, senza
perdere in generalità possiamo affermare che un
firewall è una combinazione di componenti hardware
(router e host) tra loro opportunamente collegate, e di
opportune componenti software
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Firewall: caratteristiche generali
• Tutto il traffico che entra ed esce da una rete intranet
deve passare attraverso il firewall
• Solo il traffico autorizzato potrà entrare/uscire dalla
rete
• Il firewall deve essere il più possibile immune da
attacchi
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
I filtri
• Sui Servizi
• Vengono definiti i tipi di servizi che
possono essere acceduti da e verso
Internet
• Sulla direzione
• Determina la direzione verso cui il traffico
generato da certi servizi è ammissibile
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
I filtri
• User control
• Controlla l’accesso ad un servizio
verificando l’utente che vi sta accedendo
• Behavior control
• Controlla come vengono usati certi servizi
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Tipi di firewall
• Packet filtering
• Application-level Gateway
• Circuit-level Gateway
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Packet filtering
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Packet filtering
• Nella sua versione più semplice il packet
filtering consente di abilitare/disabilitare il
trasferimento di pacchetti (e quindi di dati) tra
due reti basandosi su:
• L’indirizzo IP del mittente;
• L’indirizzo IP del destinatario;
• I servizi (o protocolli) usati per trasferire i dati
(questi servizi possono essere ad esempio: FTP,
HTTP, SMNP, ecc. ecc.).
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Packet Filtering
• Opera sulle informazioni presenti nell’header di un
pacchetto IP o su sequenze molto brevi di pacchetti,
tralasciando il contenuto dello stesso;
• Ad esempio, non è possibile sopprimere, con questa
versione di packet filtering, un pacchetto perché
contiene insulti
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Packet filtering
• Vantaggi:
• Semplice
• Trasparente agli utenti
• Opera ad alta velocità
• Svantaggi:
• Difficoltà di configurazione
• Meccanismi di autenticazione
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Application level gateway
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Application level gateway
• Chiamato anche proxy server
• Svolge le funzioni di relay tra traffico a livello
applicazione, si interpone tra i client ed il
server di un’applicazione
• Intercetta tutti i messaggi che dai client sono
diretti a più server e viceversa e si fa carico
“personalmente” dell’inoltro degli stessi
• Ricevute le risposte dal server provvede a
sua volta ad inoltrarle al mittente originario
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Application level gateway
• Vantaggi
• Consente controlli più sofisticati del packet filtering
• Più mirate le operazioni di logging
• Svantaggi
• Più lento del packet filtering
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Circuit level gateway
• Esistono due tipologie di proxy:
• I proxy dedicati che sono in grado di operare con un unico
protocollo o servizio (esiste quindi un FTP-proxy, un HTTPproxy, un sendmail-proxy, ecc.)
• I proxy generici che sono in grado di operare con più
protocolli contemporaneamente denominati circuit level
proxy
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Circuit Level Proxy
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Circuit level Proxy
• Il grosso vantaggio dei circuit-level proxy è che un
unico programma è in grado di gestire più protocolli
• il loro svantaggio è che proprio per la loro genericità
non sono in grado di offrire funzionalità molto distanti
da quelle di un packet filter avanzato
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Proxy
• Affinché un proxy possa funzionare è necessario che
le applicazioni di riferimento, siano scritte tenendo
conto della sua presenza
• Sono oggi disponibili proxy per la maggior parte dei
servizi di rete
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Bastion host
• Sono i sistemi dell’organizzazione più esposti
agli attacchi informatici
• Per ridurre i rischi di attacco, si sono diffuse
alcune pratiche, che consentono di rendere i
bastion host meno vulnerabili
• il bastion host serve come piattaforma per un
application-level o circuit-level gateway
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Configurazioni del Firewal
• Screened subnet firewall, il firewall è
composto da:
• Due router che fanno packet filtering
• Uno o più bastion host
• L’obiettivo è quello di creare una
sottorete isolata dalla rete da
proteggere
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Screened Subnet
• Screened-subnet firewall, rete demilitarizzata
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Configurazioni del Firewall
• Fisicamente, tale architettura può essere
realizzata anche con un singolo host, che sia
in grado di ospitare almeno tre schede di
rete, e possa applicare su ciascuna di esse
un insieme differente di regole di packet
filtering
• In questo caso l’architettura di firewall
collassa in un singolo host denominato
appunto firewall
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Configurazioni dei firewall
• La rete demilitarizzata è il vero elemento distintivo di
questa architettura di firewall
• Disaccoppiamento fisico tra la rete interna in cui sono
mantenuti tutti i servizi critici per l’azienda e la rete
demilitarizzata su cui vengono installati i servizi di
rete pubblici
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Configurazioni dei firewall
• Questo firewall non consente ad un
intrusore che riesca ad accedere ad uno
dei bastion host, di:
• avere accesso diretto alla rete interna che
è protetta da un ulteriore livello di
screening router
• poter
intercettare il traffico della rete
interna
che
potrebbe
contenere
informazioni sensibili
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Router esterno
• Il router esterno deve proteggere la rete
interna e la rete perimetrale da Internet, in
particolare
il
router
esterno
deve
preoccuparsi di proteggere i bastion host e il
router interno.
• Deve provvedere a bloccare tutto il traffico
“sospetto” proveniente da Internet e diretto ai
bastion host o alla rete interna
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Router interno
• Lo scopo di questo router è di proteggere la
rete interna da Internet ma anche dalla rete
demilitarizzata.
• Il router interno deve consentire il traffico,
dalla rete interna verso Internet, di tutti quei
servizi che si è deciso di rendere fruibili agli
utenti della rete interna. La lista di questi
servizi può comprendere HTTP, FTP, Telnet o
meglio SSH
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
IDS
• Nella terminologia corrente per intrusion detection
system si intende un insieme di componenti hw e sw
dedicate a rilevare, automaticamente ed in tempo
reale, il verificarsi di un’intrusione in un sistema o in
una rete
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
IDS
• Un IDS è costituito da una serie di sensori di rete o agenti e da
un analizzatore centrale, ognuno di essi risiede su un host
dedicato
• I sensori di rete vengono installati su determinate porzioni di
rete, solitamente quelle su cui sono presenti i sistemi più critici
• I dati raccolti vengono inviati all’analizzatore che verifica o meno
la presenza di traffico sospetto in tal caso attiva una serie di
procedure di allarme
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
IDS
INTRANET
INTERNET
firewall
A.A. 2007/2008
IDS
Corso: Sicurezza 1
© Danilo Bruschi
IDS
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
IDS
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
IDS
• Per la realizzazione di questi strumenti si fa
ricorso a due strategie di base:
• Anomaly detection
• Misuse detection
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Anomaly detection
•
•
•
•
•
•
•
•
Login frequency by day and time
Frequency of login at different locations
Time since last login
Password failures at login
Execution frequency
Execution denials
Read, write, create, delete frequency
Failure count for read, write, create and delete
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Misuse Detection
• I caratteri distintivi di attacchi noti (signatures) vengono
memorizzati in appositi database di attacchi
• alla ricezione di ogni pacchetto l’analizzatore confronta lo stesso
o la sequenza a cui appartiene con le signature memorizzate
nel proprio database
• quando trova delle coincidenze attiva una serie di allarmi
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi
Misuse detection
• Un intrusion detection system può erroneamente riconoscere
una sequenza di pacchetti innocua come maligna e quindi
provvedere ad attivare un falso allarme
• In questo caso si dice che l’intrusion detection system ha
commesso un errore di tipo falso positivo (false positive)
A.A. 2007/2008
Corso: Sicurezza 1
© Danilo Bruschi