I FIREWALL
di
Cardinali Davide
VEDREMO…
• Introduzione (cosa sono i
firewall, limiti…)
• Modalità di funzionamento
• Tipi di Firewall
• Architettura dei Firewall
• Piccola Curiosità (semplici test per
sicurezza firewall software)
COSA SONO I FIREWALL
• Firewall è un termine inglese dal significato originario
di muro tagliafuoco ed è un componente passivo di
difesa perimetrale che può anche svolgere funzioni di
collegamento tra due o più tronconi di rete.
FIREWALL HARDWARE E
SOFTWARE
Firewall Hardware :
componente passivo che opera una difesa perimetrale
della nostra rete locale (LAN).
Firewall Software o personal firewall :
software che viene installato direttamente sul PC da
proteggere. A differenza del firewall hardware, il
personal firewall esegue anche un controllo a livello
programma(monitorizza l’attività di scambio dati da e
verso internet di tutto il software installato nel PC).
Punti di forza
o corretto posizionamento nella rete
o studio dei servizi che si vogliono fornire
o impostazione delle regole pianificate
o manutenzione e aggiornamento del firewall
o manutenzione e aggiornamento della rete
o verifica periodica dell’efficacia del sistema
o consapevolezza dei limiti del firewall
Punti di debolezza
o mancanza di amministrazione
o configurazioni troppo permissive verso “host” insicuri
o installazione di applicazioni o estensioni insicure
o sovrabbondanza di servizi pubblicamente accessibili
o concentrazione di sicurezza in un unico punto ed il dilagare di insicurezza
circostante
o suscitare un falso senso di sicurezza per il fatto di “esserci”
I limiti di un firewall
Vi sono due tipologie principali che generano problemi di sicurezza :
 configurazioni non corrette
quando attraverso una configurazione, del sistema firewall, apposita si
sarebbero potuti evitare incidenti
(errori umani, errori di valutazione e conseguente impostazione)
 problematiche tecniche
quando nonostante sia stata fatta una configurazione ottima sul firewall, è
possibile accedere ad un componente che si riteneva protetto sfruttando
errori di programmazione o vulnerabilità del firewall.
Configurazioni non corrette
In generale la configurazione di un firewall non deve essere esclusivamente operativa ma deve essere
sicura
Rosso = componenti rete non protetti da firewall rispetto attacchi da Internet
Rosso tratteggiato = secondo la tipologia del firewall e del traffico permesso nelle configurazioni,
possibile che anche macchine difese dal firewall vengano attaccate
Esempi configurazioni non corrette :
• permettere traffico dal mail server (insicuro) al web server o alla rete interna (LAN server)
• permettere traffico verso eventuali servizi aperti sul firewall
• permettere traffico dal web server alla rete interna
• permettere traffico da Internet verso la rete interna
Problematiche Tecniche
E’ testato che tutti i firewall abbiano avuto, essi stessi, problemi di sicurezza legati alla tecnologia
utilizzata : errori di programmazione, errori di gestione delle eccezioni e quanti altri.
Problematiche tecniche legate al firewall possono rientrare nelle seguenti
tipologie :
• limiti di configurazione e mancanza di flessibilità nell’impostazione delle regole
volute
• suscettibilità a specifici attacchi
• lentezza negli aggiornamenti
• limiti di analisi del traffico (non tutti i firewall arrivano allo stesso livello!)
• mancanza di protezione del traffico “legittimo”
• reazione automatica a situazioni della rete
• accentramento delle difese della rete in un unico strumento
Cosa non può fare un firewall
Esistono problematiche che dovranno essere assegnate ad altri software
perché non di competenza del firewall :
 Protezione da attacchi interni
Una volta che il “muro” del firewall è stato oltrepassato quest’ultimo non è
più di alcuna utilità. Uguale se l’attacco nasce all’interno della rete, infatti ci
offre una protezione perimetrale e tutto ciò che è interno all’area è escluso
dal filtraggio.
 Social Engineering
Usato per indicare coloro che telefonano agli impiegati spacciandosi per
membri della sicurezza così da estorcere preziose informazioni.
 Integrità dei dati
Nonostante i moderni firewall controllino costantemente la presenza di
virus nei pacchetti, è impensabile chiedere ai firewall in reti di grandi
dimensioni di controllare tutti i pacchetti alla ricerca di virus. Ancor più
difficilmente possono rilevare presenza cavalli di Troia che aprono una
backdoor nello stesso computer. Soluzione: antivirus in tutte le macchine.
 Cattiva Configurazione
Non è in grado di distinguere da solo ciò che va bloccato e ciò che va
accettato. Quindi: qualità firewall = qualità configurazione.
MODALITA’ DI FUNZIONAMENTO
• Un
firewall può operare in due modalità
diametralmente opposte :
1. Tutto ciò che non è specificatamente
permesso è negato
2. Tutto ciò che non è specificatamente
negato è permesso
MODALITA’ DI FUNZIONAMENTO
Tutto ciò che non è specificatamente
permesso è negato
• Il firewall blocca tutto il traffico e ciascun
servizio deve essere implementato caso per
caso.
• Lo svantaggio : si limita il numero di scelte
disponibili all’utente.
MODALITA’ DI FUNZIONAMENTO
Tutto ciò che non è specificatamente
negato è permesso
• Il firewall inoltra tutto il traffico e ciascun
servizio dannoso deve essere chiuso caso per
caso.
• Lo svantaggio : l’amministratore di rete ha
difficoltà sempre maggiore nell’assicurare la
sicurezza man mano che la rete cresce.
TIPOLOGIE DI FIREWALL
• I firewall si suddividono in tre tipologie:
 Packet-Filtering router (1° generazione)
 Stateful Inspection (2° generazione)
 Gateway a livello di applicazione (o Proxy
Server) (3° generazione)
PACKET FILTERING ROUTER
Le regole di filtraggio sono basate sulle informazioni contenute in un
pacchetto di rete :
 indirizzo IP sorgente
 indirizzo IP destinazione
 numeri di porta applicazioni coinvolte
 campo protocollo IP
 interfaccia
ICMP (CODICI DI ERRORE)
• Se un pacchetto viene scartato, puo’ succedere che il router restituisca
un codice d’errore (ICMP).
– destination unreachable
– destination administratively unreachable
•In generale restituire codici errore ICMP e’ dannoso perché sottopone il
router a un ulteriore carico di lavoro, e quindi facilita l’esecuzione di un
DoS. Inoltre consente di conoscere facilmente le regole di filtraggio del
nostro sistema.
•Alcuni host reagiscono in maniera eccessiva agli errori ICMP
•Non restituire il codice di errore ICMP puo’ generare invece traffico inutile
sulla rete
ATTACCO E DIFESA
Contraffazione Indirizzi IP (IP spoofing): l’avversario si potrebbe
spacciare per un host interno alla rete protetta.
Difesa : bloccare i pacchetti provenienti dall’esterno con
indirizzo ip sorgente di un host interno.
Attacchi di instradamento di sorgente(source routing): la
stazione sorgente specifica l’instradamento che il pacchetto
dovrebbe seguire dentro la rete, per evitare misure di sicurezza.
Difesa : scartare tutti i pacchetti che usano questa opzione,
ovvero hanno source route nel campo option del datagramma IP.
Attacchi con piccoli frammenti(Tiny Fragment): uso dell’opzione
di frammentazione IP per creare frammenti molto piccoli che
separano le informazioni dell’header TCP, allo scopo di evitare
controlli basati proprio sull’header TCP.
Difesa : imporre regola che dica che il primo frammento di un
pacchetto debba contenere una quantità predefinita minima
dell’intestazione di trasporto.
ESEMPIO
Regola
Direzione
Fonte
Indirizzo
Destinazione
Indirizzo
Protocollo
Porto
Destinazione
Azione
A
In
Esterno
Interno
TCP
25
Licenza
B
Out
Interno
Esterno
TCP
>1023
Licenza
C
Out
Interno
Esterno
TCP
25
Licenza
D
In
Esterno
Interno
TCP
>1023
Licenza
E
O
Alcuno
Alcuno
Alcuno
Alcuno
Nega
-Le
regole A e B permettono i collegamenti SMTP in
viaggio di ritorno (cioè le e-mail entranti).
- Le regole C e D permettono i collegamenti SMTP a
destinazione esterna (cioè le e-mail uscenti).
-La regola E è la regola di default che viene applicata
se le altre regole non possono essere applicate.
Pacchetto
Direzione
Fonte
Indirizzo
Destinazione
Indirizzo
Protocollo
Porto
Dest.
Azione
(da regola)
1
In
192.168.3.4
172.16.1.1
TCP
25
Licenza(A)
2
Out
172.16.1.1
192.168.3.4
TCP
1234
Licenza(B)
Regola
Direzione
Fonte
Indirizzo
Destinazione
Indirizzo
Protocollo
Porto
Destinazione
Azione
A
In
Esterno
Interno
TCP
25
Licenza
B
Out
Interno
Esterno
TCP
>1023
Licenza
C
Out
Interno
Esterno
TCP
25
Licenza
D
In
Esterno
Interno
TCP
>1023
Licenza
E
O
Alcuno
Alcuno
Alcuno
Alcuno
Nega
• La regola A permette ai pacchetti in partenza dal client SMTP di
andare al suo SMTP server (rappresentato dal pacchetto 1)
• La regola B permette alle risposte dal suo server SMTP di andare al
client SMTP (rappresentato dal pacchetto 2)
COSA SUCCEDE PER UN’E-MAIL IN PARTENZA DA NOI VERSO L’ESTERNO?
Pacchetto
Direzione
Fonte
Indirizzo
Destinazione
Indirizzo
Protocollo
Porto
Dest.
Azione
(da Regola)
3
Out
172.16.1.1
192.168.3.4
TCP
25
Licenza(C)
4
In
192.168.3.4
172.16.1.1
TCP
1357
Licenza(D)
Regola
Direzione
Fonte
Indirizzo
Destinazione
Indirizzo
Protocollo
Porto
Destinazione
Azione
A
In
Esterno
Interno
TCP
25
Licenza
B
Out
Interno
Esterno
TCP
>1023
Licenza
C
Out
Interno
Esterno
TCP
25
Licenza
D
In
Esterno
Interno
TCP
>1023
Licenza
E
O
Alcuno
Alcuno
Alcuno
Alcuno
Nega
• La regola C permette ai pacchetti in partenza dal nostro client SMTP di andare al server
SMTP esterno (pacchetto numero 3)
• La regola D permette alle risposte partenti dal server SMTP esterno di andare al nostro
client SMTP (pacchetto numero 4)
MESCOLIAMO, ORA, LE CARTE…..
Pacchetto
Direzione
Fonte
Indirizzo
Destinazione
Indirizzo
Protocollo
Porto
Dest.
Azione
(da Regola)
5
In
10.1.2.3
172.16.3.4
TCP
6000
Licenza(D)
6
Out
172.16.3.4
10.1.2.3
TCP
5150
Licenza(B)
Regola
Direzione
Fonte
Indirizzo
Destinazione
Indirizzo
Protocollo
Porto
Destinazione
Azione
A
In
Esterno
Interno
TCP
25
Licenza
B
Out
Interno
Esterno
TCP
>1023
Licenza
C
Out
Interno
Esterno
TCP
25
Licenza
D
In
Esterno
Interno
TCP
>1023
Licenza
E
O
Alcuno
Alcuno
Alcuno
Alcuno
Nega
• Le regole A e B permettono i collegamenti SMTP in viaggio di ritorno
• Le regole C e D permettono i collegamenti SMTP a destinazione esterna
• ma B e D permettono tutti i collegamenti dove entrambi gli ends stanno usando dei
porti superiori di 1023, e questo non è certamente quello che noi volevamo
RIFORMULAZIONE REGOLE CON PORTO DI FONTE COME CRITERIO DI CONTROLLO
Regola
Direzione
Fonte
Indirizzo
Destinazione
Indirizzo
Protocollo
Porto
Fonte
Porto
Dest.
Azione
A
In
Esterno
Interno
TCP
>1023
25
Licenza
B
Out
Interno
Esterno
TCP
25
>1023
Licenza
C
Out
Interno
Esterno
TCP
>1023
25
Licenza
D
In
Esterno
Interno
TCP
25
>1023
Licenza
E
O
Alcuno
Alcuno
Alcuno
Alcuno
Alcuno
Nega
Pacchetto
Direzione
Fonte
Indirizzo
Destinazione
Indirizzo
Prot.
Porto
Fonte
Porto
Dest.
Azione
1
In
192.168.3.4
172.16.1.1
TCP
1234
25
Licenza(A)
2
Out
172.16.1.1
192.168.3.4
TCP
25
1234
Licenza(B)
3
Out
172.16.1.1
192.168.3.4
TCP
1357
25
Licenza(C)
4
In
192.168.3.4
172.16.1.1
TCP
25
1357
Licenza(D)
5
In
10.1.2.3
172.16.3.4
TCP
5150
6000
Nega(E)
6
Out
172.16.3.4
10.1.2.3
TCP
6000
5150
Nega(E)
SE L’ASSALITORE È PIÙ INTELLIGENTE?
Pacchetto
Direzione
Fonte
Indirizzo
Destinazione
Indirizzo
Protocollo
Porto
Fonte
Porto
Dest.
Azione
(da Regola)
7
In
10.1.2.3
172.16.3.4
TCP
25
6000
Licenza(D)
8
Out
172.16.3.4
10.1.2.3
TCP
6000
25
Licenza(C)
Regola
Direzione
Fonte
Indirizzo
Destinazione
Indirizzo
Protocollo
Porto
Fonte
Porto
Dest.
Azione
A
In
Esterno
Interno
TCP
>1023
25
Licenza
B
Out
Interno
Esterno
TCP
25
>1023
Licenza
C
Out
Interno
Esterno
TCP
>1023
25
Licenza
D
In
Esterno
Interno
TCP
25
>1023
Licenza
E
O
Alcuno
Alcuno
Alcuno
Alcuno
Alcuno
Nega
Attacco : SUCCESSO!!!!!
COSA SI PUÒ FARE?
Regola
Direzione
Fonte
Indirizzo
Destinazione
Indirizzo
Protocollo
Porto
Fonte
Porto
Dest.
Set
ACK
Azione
A
In
Esterno
Interno
TCP
>1023
25
Alcuno
Licenza
B
Out
Interno
Esterno
TCP
25
>1023
Si
Licenza
C
Out
Interno
Esterno
TCP
>1023
25
Alcuno
Licenza
D
In
Esterno
Interno
TCP
25
>1023
Si
Licenza
E
O
Alcuno
Alcuno
Alcuno
Alcuno
Alcuno
Alcuno
Nega
Pacchetto
Direz.
Fonte
Indir.
Destinazione
Indirizzo
Protocollo
Porto
Fonte
Porto
Dest.
Set
ACK
Azione
(da Regola)
7
In
10.1.2.3
172.16.3.4
TCP
25
6000
No
Nega(E)
Cosa farà ora il pacchetto 7?
FALLIRA’!!!!!!!
VANTAGGI E LIMITAZIONI
Vantaggi :
 è disponibile in molti router.
 costo d’acquisto contenuto.
 trasparenza. (non lavora a livello applicativo, quindi non ostacola il
normale utilizzo della rete, lavorando in maniera trasparente
all’utente).
 velocità. (tecnologia firewall che effettua meno controlli, e per questo
è la più veloce).
Limiti :
 regole difficili da configurare.
 testing complesso.(fare prove per verificare funzionamento firewall
risulta complicato)
 può avere bug (più frequenti nel packet filtering rispetto al proxying).
STATEFUL PACKET FILTERING
• successivi alla tecnica del filtraggio dei pacchetti (seconda generazione).
• quando viene stabilita una connessione, se le regole di filtraggio non la
bloccano, allora le informazioni relative ad essa diventano entry di una
tabella di stato.
• successivi pacchetti in ingresso saranno valutati in base all’appartenenza
ad una delle connessioni consentite presenti nella tabella.
• quando la connessione è conclusa, la entry nella tabella sarà cancellata,
per evitare che questa si riempia completamente
• informazioni riguardanti la connessione che verranno memorizzate :
- identificatore univoco collegamento sessione
- stato connessione (handshaking se siamo in fase iniziale ovvero
dove raccogliamo info e mettiamo in tabella stato, established,
closing)
- informazioni sequenzialità pacchetti
- indirizzi ip host sorgente e destinazione
- interfacce di rete utilizzate
Esempio tabella di stato:
Source address
Source port
Dest. Address
Dest. Port
Connection state
192.168.0.199
1051
192.168.1.10
80
Handshaking
192.168.0.212
1109
192.168.1.23
25
Closing
192.168.3.105
1212
192.168.0.111
80
Established
VANTAGGI E LIMITAZIONI
Vantaggi :
 buon rapporto prestazioni/sicurezza.(tipologia firewall con più alte
performance, perché è quella che effettua meno controlli sulla
connessione;nonostante ciò più affidabile di pfr).
 protezione da IP spoofing.(il controllo non si limita al singolo ip o alla
porta, è molto più difficile aggirare il firewall. Per lo spoofing
frammentare il più possibile il pacchetto per aggirare la verifica delle
informazioni dell’header non è efficace, perché variabili in gioco sono
molte di più).
 Tutti i vantaggi del packet filtering.(essendone una evoluzione ne
ereditano tutti i fattori positivi).
Limiti :
 mancanza servizi aggiuntivi.(non potendo agire a livello di
applicazione non sono disponibili servizi come gestione delle
autenticazioni).
 testing complesso.(verificare corretta configurazione firewall non è
facile)
APPLICATION-LEVEL GATEWAYS
• Applica una politica di sicurezza molto più severa di un packet filtering
router.
• Viene installato un programma mirato (un servizio proxy) sul gateway,
per ogni applicazione desiderata.
• Se l’amministratore di rete non installa il programma proxy per
un’applicazione particolare, il servizio non è supportato e non può essere
inoltrato attraverso il firewall.
APPLICATION-LEVEL GATEWAYS
VANTAGGI
•Controllo completo.(non fa verifiche contenute solo alle informazioni contenute
nell’header del pacchetto, ma usa anche quelle contenute nel body(cioè la
parte applicativa).Il controllo avviene due volte: quando viene inviata la
richiesta e quando si riceve la risposta).
• Log dettagliati. (informazioni memorizzate sono molto accurate, oltre a quelle
contenute negli header dei pacchetti potranno essere utilizzate anche quelle di
livello applicativo).
• Nessuna connessione diretta. (ogni volta i pacchetti in entrata e uscita vengono
totalmente rigenerati).
• Sicurezza anche in caso di crash. (un crash di un packet filter permetterebbe a
qualunque pacchetto di viaggiare indisturbato, mentre un crash del proxy
bloccherebbe completamente la connessione).
• Supporto per connessioni multiple.(un firewall di prima o seconda generazione
non capisce se connessioni separate appartengono alla stessa applicazione, un
apllication gateway può farlo).
• User-friendly.(regole di filtraggio molto più facili da configurare rispetto a
quelle di un packet filtering router).
• Autenticazione. (supportano un’autenticazione rigida dell’utente).
APPLICATION-LEVEL GATEWAYS
SVANTAGGI
• Costo
• Difficoltà di amministrazione
• Costo di mantenimento maggiori
•Poco trasparente. (i computer interni devono essere
configurati per utilizzare il proxy invece di collegarsi
direttamente al server).
• Un proxy per ogni applicazione. (per ogni servizio che si
vuole fare passare attraverso il firewall che implementa
questa tecnologia c’è bisogno di un proxy dedicato).
• Basse performance. (gestione delle connessioni attraverso
il proxy richiede molto lavoro per la cpu, diversamente dai
firewall delle generazioni precedenti).
ARCHITETTURA
DEI
FIREWALL
PRINCIPI FONDAMENTALI PER PROGETTAZIONE
FIREWALL:
 La separazione di reti con requisiti e criticità diverse.
 La ridondanza delle protezioni
 La difesa in profondità
 Flessibilità
 Semplicità
 Controllo
Conseguenze:
1. Creazione delle cosidette DMZ (zone demilitarizzate).
2. Firewall con unico componente non soddisfa buona parte dei
principi esposti
ARCHITETTURA DEI FIREWALL
• Le
architetture sono principalmente tre :
1. Dual Homed Host
2. Screening Host Architecture
3. Screening Subnet Architecture
BASTION HOST
• Bastion Host = tutti quei Firewall host critici per la sicurezza della rete.
• La sua più classica configurazione è quella di primo ed unico punto di
contatto tra privato e pubblico dominio.
DUAL HOMED HOST
• Disabilitando la funzione di routing, si separano fisicamente i due segmenti di
rete.
• Sul dual-homed host vengono eseguiti applicativi, che vengono definiti storeand-forward services, come SMTP(gestisce smistamento e-mail tra le due
reti con ausilio di tavole di filtraggio opportunamente configurate).
SCREENED HOST
ARCHITECTURE
SCREENED HOST
ARCHITECTURE
• Il collegamento a Internet è assicurato dallo screening router che filtra i
pacchetti sia in entrata che in uscita della rete.
• La sicurezza è determinata dal software che viene eseguito sul
bastion host.
• Se un hacker ottiene un login sulla macchina avrà una vasta
possibilità di attacchi verso la rete interna.
SCREENED SUBNET
ARCHITECTURE
PICCOLA CURIOSITA’
Elenco test per la sicurezza dei firewall:
• Leaktest (tipo di test : sostituzione)
In questo test viene rinominata l'applicazione (Leaktest) in una che
ha l'autorizzazione per uscire e quindi per bypassare il firewall.
Attualmente i firewall dispongono di una firma digitale per le
applicazioni, in questo modo si accorgono del tentativo di
aggiramento. Se il firewall viene aggirato dimostra che questo si
limita ad lasciar passare tutte quelle applicazioni che hanno il nome
nella lista di quelle permesse.
• TooLeaky(tipo di test : avvio applicazione)
Viene aperta in modo nascosto una finestra di Internet Explorer e se
il browser ha il permesso per accedere a internet trasmette le
informazioni attraverso la porta 80. Se il test ha successo, significa
che il firewall non controlla quale applicazione ha avviato un'altra
con accesso a internet.
• FireHole(tipo di test : avvio applicazione e DLL Injection)
In questo test viene usato il browser di default per inviare dati verso
l'esterno. Per fare questo viene installata una DLL nello stesso
spazio di indirizzamento di un processo che ha il permesso per
uscire. Se il test ha successo indica che il firewall non controlla quali
applicazioni chiamano quelle con accesso ad internet ed in più è vulnerabile al
DLL Injection.
ALTRI TIPI DI TEST
Test
Tipo di test
Yalta
Test su regole e su collegamento alla rete
WallBreaker
Avvio applicazione
PcAudit 3
DLL Injection
Ghost
Avvio applicazione e Timing Attack
AWFT3
Implementa diversi test
Thermite
DLL Injection
……..
……..
E' bene precisare che questo test non deve essere preso come modello
per stabilire quale firewall è migliore ma è utile per avere una visione
sulle differenza che esistono tra i firewall in relazione ai leaktest.
Prodotto
Score Prodotto
Levello protezione Anti-leak
Online Armor Personal
Firewall 2.1.0.19 FreeFREE
9625
Excellent – 100 %
Outpost Firewall Pro 2008
6.0.2162.205.402.266
9625
Excellent – 100 %
Comodo Firewall Pro
2.4.18.184FREE
9475
Excellent
Jetico Personal Firewall
2.0.0.35
9375
Excellent
ZoneAlarm Pro 7.0.408.000
8600
Very Good
Jetico Personal Firewall
1.0.1.61 FreewareFREE
7750
Very Good
Dynamic Security Agent
1.0.8.8FREE
7375
Good
PC Tools Firewall Plus
3.0.0.36FREE
5825
Poor
McAfee Internet Security
Suite 2006 8.0
2325
Very Poor
ZoneAlarm Free
7.0.302.000FREE
1500
Very Poor
0
None
Windows Firewall XP
SP2FREE
BIBLIOGRAFIA
 William
Stallings, Sicurezza delle reti – Edizione
Italiana
 Mc Graw Hill - Sicurezza Informatica
 Maurizio Cinotti – Internet Security (2006)
 www.wikipedia.org
 www.sicurezzainformatica.it
 www.chrisneel.it/articolo/firewall
 www.upyou.it
 www.matousec.com (per test sicurezza firewall)