FIREWALL - Argomenti
•
•
•
•
•
•
•
•
Perchè “Internet Firewall”?
Servizi Internet
Strategie di difesa
Progettazione di firewall
Bastion Hosts
Packet Filtering
Sistemi Proxy
VPN
PON 2004 - Reti di Calcolatori
FW - 1
Perchè “Internet Firewall”?
• Internet è una comunità in continua crescita
• Si è passati da una popolazione prettamente
scientifica e di ricerca ad una “mista”
• Una popolazione statisticamente rappresentativa
dell’intera umanità
• C’è sempre chi sfrutta l’altrui fatica a proprio
esclusivo vantaggio, indipendentemente dalle
conseguenze!!
PON 2004 - Reti di Calcolatori
FW - 2
Cosa tentiamo di proteggere
• DATI le cui caratteristiche sono:
– segretezza
– integrità
– disponibilità
• RISORSE come ad esempio:
– spazio su disco
– tempo di CPU
– ampiezza di banda della rete
– servizi altrimenti a pagamento
• REPUTAZIONE
PON 2004 - Reti di Calcolatori
FW - 3
Contro cosa cerchiamo di proteggerci
• TIPI DI ATTACCO
– intrusione
– DoS (Deny of Service)
– furto di informazioni
• TIPI DI ATTACCANTI
– joyriders
– vandali
– score-keeper
– spie (industriali o altro!)
– pirati (e bucanieri, filibustieri, corsari…)
• STUPIDITA’ ED INCIDENTI
– rappresentano oltre il 55% dei casi
PON 2004 - Reti di Calcolatori
FW - 4
Come ci si può proteggere?
•
•
•
•
•
Nessuna sicurezza aggiuntiva ()
Security Through Obscurity ()
Host Security
Network Security
Nessun modello di sicurezza può risolvere tutti i
problemi!
PON 2004 - Reti di Calcolatori
FW - 5
Cosa è un “firewall”?
•
•
•
•
Costringe ad entrare attraverso un punto ben controllato
Impedisce (?!) agli attaccanti di avvicinarsi troppo alle altre difese
Costringe ad uscire attraverso un punto ben controllato
Nella terminologia militare : Check-Point!
Firewall
Rete interna
PON 2004 - Reti di Calcolatori
FW - 6
Cosa può fare un firewall?
• E’ un punto focale per le decisioni inerenti la
sicurezza
• Può potenziare le politiche di sicurezza
• Può tener traccia (log) delle attività da e verso
Internet in modo efficiente
• Limita l’esposizione all’esterno della rete
PON 2004 - Reti di Calcolatori
FW - 7
…e cosa NO!
• NON PUO’ PROTEGGERE DA
MALINTENZIONATI INTERNI
• NON PUO’ PROTEGGERE DA QUELLO CHE
NON CI PASSA ATTRAVERSO
• NON PUO’ PROTEGGERE DA MINACCE
COMPLETAMENTE NUOVE
• NON PUO’ PROTEGGERE DAI VIRUS E
SIMILI
PON 2004 - Reti di Calcolatori
FW - 8
Servizi Internet
• Sono molti
• Molti sono utili
MA...
Sono tutti potenzialmente pericolosi!
PON 2004 - Reti di Calcolatori
FW - 9
E-mail
• Permette lo scambio di messaggi asincroni (in
parole povere le buone, vecchie lettere)
• Vi sono molti protocolli per il suo utilizzo:
–
–
–
–
SMTP (Simple Mail Transfer Protocol)
POP (Postal Office Protocol)
IMAP (Interactive Mail Access Protocol)
MIME (Multimedia Internet Mail Extension)
PON 2004 - Reti di Calcolatori
FW - 10
File Transfer
• Permette di copiare o trasferire su una rete i
documenti da un computer ad un altro
• Anche qui, tanti protocolli
–
–
–
–
FTP (File Transfer Protocol)
TFTP (Trivial File Transfer Protocol)
FSP (File Service Protocol)
UUCP (Unix to Unix CoPy)
PON 2004 - Reti di Calcolatori
FW - 11
Remote Terminal Access &
Command Execution
• Permettono di accedere interattivamente ad un
computer remoto o di eseguire su un computer
remoto dei particolari comandi
– Telnet
– rlogin
– rsh
PON 2004 - Reti di Calcolatori
FW - 12
UseNet NEWS
• L’equivalente elettronico delle bacheche o del
cinesissimo “ta-tse-bao” contrapposto, come
flusso, all’e-mail
– NNTP (Network News Transfer Protocol)
PON 2004 - Reti di Calcolatori
FW - 13
World Wide Web
• E’ una delle parole-chiave della nostra epoca:
WWW (che potrebbe anche voler dire Wilde
West World, sotto certi aspetti )
–
–
–
–
HTTP
E-mail
FTP
…e tanti altri che si aggiungono ogni giorno!
PON 2004 - Reti di Calcolatori
FW - 14
Altri servizi…
• Gopher
– è il “nonno” del web!
• WAIS (Wide Area Information Service)
– l’antenato più prossimo di Google (per tacer di
Altavista!)
PON 2004 - Reti di Calcolatori
FW - 15
Informazioni sulle persone
• Fortunatamente non esiste ancora una vera e
propria “directory” di tutti gli utenti Internet però,
in piccolo…
– finger : permette di accedere alle informazioni utente
contenute su un singolo computer
– whois : permette di accedere alle informazioni per
persone e società contenute in database del NIC
(Network Information Center)
PON 2004 - Reti di Calcolatori
FW - 16
Servizi di conferenza Real-Time
• Sono servizi che permettono lo scambio, anche
multimediale, di messaggi in tempo reale come
chat, teleconferenza, videoconferenza…
–
–
–
–
–
Talk
IRC
ICQ
MBONE
….
PON 2004 - Reti di Calcolatori
FW - 17
Name Service
• E’ il servizio distribuito che permette di associare
ad indirizzi numerici Internet (come
193.206.23.180), dei cosiddetti “nomi a dominio”
(il fatidico www.marscenter.it), tra le altre cose!
– DNS
– SUN NIS/YP
PON 2004 - Reti di Calcolatori
FW - 18
Network Management Systems
• Servizi che, almeno in teoria, dovrebbero servire
per aiutare i gestori di reti a farle funzionare al
meglio, ma…c’è sempre il lato oscuro della Forza!
–
–
–
–
Ping
traceroute
ICMP (Internet Control Message Protocol)
SNMP (Simple Network Management Protocol)
PON 2004 - Reti di Calcolatori
FW - 19
Time Service
• Permette il sincronismo dell’orologio di un
computer con uno di riferimento, anche remoto
• E’ un servizio molto importante per una corretta
implementazione della sicurezza (timestamp)
– NTP (Network Time Protocol)
– GPS (Global Positioning System)
PON 2004 - Reti di Calcolatori
FW - 20
Network File Systems
• Sono servizi che permettono di condividere tra più
computer il file-system di uno o più di loro
– NFS (Network File System)
– AFS (Carnegie Mellon University Andrew File System)
– CIFS (non è del “mondo UNIX” ma usa TCP/IP! È il
Common Internet File System di M$-Window$)
PON 2004 - Reti di Calcolatori
FW - 21
Window Systems
• Forniscono servizi di interfacciamento grafico a
finestre (da cui il nome). Decisamente da molto più
tempo che non M$, ma questa è un’altra storia…
– X11
• E’ una “bestia nera” della sicurezza. Tra le tante
“nefandezze”:
– può permettere il “dump” dello schermo
– può “leggere” i caratteri inseriti da tastiera
– e…ORRORE!!!…può inserire caratteri come se fossero
stati inseriti dall’utente reale dalla sua tastiera!!
PON 2004 - Reti di Calcolatori
FW - 22
Printing Systems
• Permettono di utilizzare stampanti collegate ad altri
computer o altre reti
– SysV lp
– BSD lpr
PON 2004 - Reti di Calcolatori
FW - 23
Strategie di difesa
•
•
•
•
•
•
•
•
Privilegi minimi (least privilege)
Difesa in profondità (defense in depth)
Punto di strozzatura (choke point)
L’anello più debole (weakest link)
Fail safe stance
Partecipazione universale
Diversificazione della difesa
Semplicità
PON 2004 - Reti di Calcolatori
FW - 24
Privileggi minimi –
least privilege
• Ogni oggetto (utente, amministratore, programma,
sistema, ecc…) dovrebbe avere solo i privileggi
necessari e sufficienti al suo compito…ma non di
più!
• Molti dei problemi relativi alla sicurezza derivano
dalla non applicazione di questa regola
• Non è, comunque, sempre di facile applicazione,
specialmente per quanto riguarda gli utenti
PON 2004 - Reti di Calcolatori
FW - 25
Difesa in profondità –
defense in depth
• Non dipendere da un solo meccanismo di
sicurezza, per quanto forte possa sembrare
• Nel caso di failure di tale singolo sistema, tutto il
sito può essere compromesso!!!
PON 2004 - Reti di Calcolatori
FW - 26
Punto di strozzatura –
choke point
• Un choke point forza gli attaccanti ad utilizzare un
“canale” di accesso stretto e facilmente
controllabile come:
– una porta di controllo in aeroporto
– il portone di un castello
• ATTENZIONE ALLE PORTE DI “SERVIZIO”!
PON 2004 - Reti di Calcolatori
FW - 27
L’anello più debole –
weakest link
• Ricordarsi sempre che “la catena è forte quanto il
suo anello più debole”
• In altre parole: non sottovalutare nessun
componente della “catena di sicurezza”
• ATTENZIONE ALLE “PARANOIE”!
– Valutate sempre il rapporto rischio/pericolo
PON 2004 - Reti di Calcolatori
FW - 28
Fail safe stance
• Be’, questo stabilisce che se si deve fallire, lo si
deve fare in…tutta sicurezza!
• Due princìpi fondamentali sono:
– Default Deny Stance: tutto ciò che non è esplicitamente
permesso E’ VIETATO
– Default Permit Stance: tutto ciò che non è esplicitamente
vietato E’ PERMESSO
PON 2004 - Reti di Calcolatori
FW - 29
Partecipazione universale
• E’ un concetto un po’ controverso…ma io appoggio la scuola di
pensiero del coinvolgimento
• Rendere partecipi gli utenti alle problematiche di sicurezza
• I primi alleati devono essere quelli che
proteggete
• Ma…come ottenere la partecipazione?
– Convincendoli che è una buona idea (e un po’ di psicologia
non guasta)
– obbligandoli con regole aziendali e con leggi
– la “giusta via di mezzo”
PON 2004 - Reti di Calcolatori
FW - 30
Diversificazione della difesa
• Variante “orizzontale” della defense in depth
• Utilizzare dispositivi provenienti da produttori diversi per
limitare le probabilità di problemi comuni
• Usare persone diverse per la configurazione dei vari
dispositivi per limitare la condivisione di problemi
concettuali
MA…
• Ha un forte impatto in termini di costo e di gestione
PON 2004 - Reti di Calcolatori
FW - 31
Semplicità
• E’ strategico per due motivi:
– Tenere le cose semplici le rende più facili da capire ed è
più semplice trovare un problema (e ce ne sarà sempre
almeno uno in qualunque fase di implementazione!)
– La complessità aiuta a nascondere moooolte trappole
PON 2004 - Reti di Calcolatori
FW - 32
Alcune definizioni (I)
• Firewall: un componente o un insieme di
componenti che restringono l’accesso tra Internet e
una rete protetta o tra altri insiemi di reti
• Host: un qualunque computer connesso in rete
• Bastion-Host: un computer che deve essere
altamente protetto poichè è esposto alla rete esterna
ed è il punto principale di contatto per gli utenti
della rete interna
PON 2004 - Reti di Calcolatori
FW - 33
Alcune definizioni (II)
• Dual-Homed host: un computer che possiede
almeno due interfacce di rete
• Packet: l’unità fondamentale di comunicazione su
Internet
• Packet Filtering: l’azione che compie un
dispositivo per controllare selettivamente il flusso
di dati da e per la rete. Viene anche conosciuto
come “screening” e di solito avviene su un router,
un bridge o un host
PON 2004 - Reti di Calcolatori
FW - 34
Alcune definizioni (III)
• Perimeter Network: una rete aggiunta tra una rete
protetta e la rete esterna, per fornire un ulteriore
livello di sicurezza. Spesso chiamata DMZ (De
Militarized Zone)
• Proxy Server: un programma che contatta server
esterni in rappresentanza di client interni. I proxy
client dialogano con il proxy server i quali rigirano
le richieste ai server reali e rigirano le loro risposte
ai client
PON 2004 - Reti di Calcolatori
FW - 35
Alcune definizioni (IV)
Screening Router
- Packet filtering con uno screening router -
PON 2004 - Reti di Calcolatori
FW - 36
Alcune definizioni (V)
Real Server
Firewall
Dual homed
host Proxy
Server
Proxy Client
- Proxy Services con un dual homed host PON 2004 - Reti di Calcolatori
FW - 37
Architetture (I)
• Dual homed host
– Computer con 2 o più interfacce di rete
– Nessuna funzione di routing!
– Fornisce servizi tramite proxy
Dual homed
host
Firewall
PON 2004 - Reti di Calcolatori
FW - 38
Architetture (II)
• Screened host
– Un host collegato alla rete interna (bastion-host)
– Uno screening router
Screening Router
Firewall
host
PON 2004 - Reti di Calcolatori
FW - 39
Architetture (III)
• Screened subnet
– Aggiunge sicurezza all’architettura screened host con
l’aggiunta di una DMZ
– Due screened router connessi
Bastion Host
alla DMZ
Exterior
• uno verso la rete esterna
• uno verso la rete interna
router
(Access
router)
DMZ
– Un Bastion Host sulla DMZ
Interior
router
(Choke
router)
Firewall
Internal Network
PON 2004 - Reti di Calcolatori
FW - 40
Variazioni sul tema (I)
• Bastion Host multipli: OK
• Interior/Exterior router coincidenti: OK
Bastion Host
Exterior /
Interior
router
DMZ
Firewall
Internal Network
PON 2004 - Reti di Calcolatori
FW - 41
Variazioni sul tema (II)
• Bastion Host/Exterior router coincidenti: OK
– screened subnet!
Bastion
Host/Exterior
router
Firewall
DMZ
Interior
router
Internal Network
PON 2004 - Reti di Calcolatori
FW - 42
Variazioni sul tema (III)
• Interior router multipli:
Bastion Host
Exterior
router
DMZ
Interior
router
Firewall
Internal Network
PON 2004 - Reti di Calcolatori
FW - 43
Variazioni sul tema (IV)
• Bastion Host e Interior router coincidenti:
– screened host!
Exterior
router
Firewall
DMZ
Interior
router/
Bastion Host
Internal Network
PON 2004 - Reti di Calcolatori
FW - 44
Variazioni sul tema (V)
• Exterior router multipli: OK
Bastion Host
Exterior
router
Exterior
router
DMZ
Interior
router
Firewall
Internal Network
PON 2004 - Reti di Calcolatori
FW - 45
Variazioni sul tema (VI)
• DMZ multiple: OK
Bastion Host
Exterior
router
Bastion Host
Exterior
router
DMZ
Interior
router
Firewall
DMZ
Interior
router
Firewall
Internal Network
PON 2004 - Reti di Calcolatori
FW - 46
Bastion Host
• Il Bastion Host è il sistema che “rappresenta
una azienda/società su Internet
• Difatti, dovrebbe essere l’unico punto di
contatto tra il mondo esterno e quello interno
• Per questo motivo, nella sua progettazione,
deve essere fatto ogni sforzo per renderlo
sicuro
L’HOST PIU’ FORTIFICATO
il termine deriva, appunto, da “bastione”:
“fortificazione isolata o unita alla cinta
muraria per difesa di luoghi contro i nemici”
PON 2004 - Reti di Calcolatori
FW - 47
Princìpi generali (I)
• Sono due i princìpi generali nella costruzione di un
bastion host:
– RENDERLO SEMPLICE: più è semplice, più è facile
renderlo sicuro
– BISOGNA ESSERE, COMUNQUE, PREPARATI AD
UNA SUA COMPROMISSIONE: difatti, nonostante gli
sforzi fatti per renderlo sicuro, può sempre accadere il
peggio (Murphy docet) ed è anche logico, visto che è in
“prima linea”
PON 2004 - Reti di Calcolatori
FW - 48
Princìpi generali (II)
• Non bisogna partire dal presupposto che è
inattaccabile (vedi Titanic o Linea Maginot!!)
• Fare tutto il possibile perchè non sia facilemte
attaccabile, ma chiedersi sempre “E se…”
• In genere, non fidarsi completamente di ciò che
proviene dal bastion host!
PON 2004 - Reti di Calcolatori
FW - 49
Tipi…speciali (I)
(bastion host con particolari caratteristiche)
• Non routing dual-homed host:
– ha almeno due interfacce di rete ma non fa passare
traffico IP tra loro
– può essere esso stesso un firewall o far parte di un
firewall più complesso
– se è l’unico firewall…SIATE PARANOICI!
PON 2004 - Reti di Calcolatori
FW - 50
Tipi…speciali (II)
(bastion host con particolari caratteristiche)
• Victim machine (sacrificial goat):
– mette a disposizione servizi difficili da
offrire in modo sicuro o così recenti
che ancora non se ne conoscono le
implicazioni sulla sicurezza
– non contiene niente di importante e non
è collegata in alcun modo a macchine
“più appetitose”
– è…sacrificabile
PON 2004 - Reti di Calcolatori
FW - 51
Tipi…speciali (III)
(bastion host con particolari caratteristiche)
• Internal bastion host:
– sono server interni che hanno interazioni speciali con il
bastion host principale
• e-mail server interno
• name server interno
• ecc…
PON 2004 - Reti di Calcolatori
FW - 52
La scelta della macchina!
• Decidere quale hardware e software utilizzare per
costruire il bastion host è un passo importante (e
c’era da dubitarne??)
• Bisogna tener in mente che il bastion host dovrà
essere:
– AFFIDABILE
– SUPPORTABILE
– CONFIGURABILE
PON 2004 - Reti di Calcolatori
FW - 53
Il Sistema Operativo
• Un S.O. con il quale si abbia confidenza
• Che sia architetturalmente affidabile
• Che offra i servizi Internet che si vogliono fornire
agli utenti
• Che offra tool di facile reperibilità per la
costruzione e gestione del bastion host
• In altre parole…UNIX (o simili) potrebbe essere
l’unica risposta ;-)
PON 2004 - Reti di Calcolatori
FW - 54
Quanto veloce deve essere?
• Non c’è bisogno di super-processori, anzi! Un Pentium© II/III
(con Linux©  ) è più che sufficiente
• Ma questo dipende dalla “velocità” del collegamento al mondo
esterno, dal “traffico”
• A mali estremi…più bastion host possono risolvere il problema a
costi decisamente più contenuti
• Inoltre:
– una macchina “lenta” è un obiettivo meno invitante
– se compromessa, è meno utile per attaccare altri siti
PON 2004 - Reti di Calcolatori
FW - 55
Quale configurazione HW?
• Il bastion host deve essere affidabile e quindi meglio non affidarsi agli
ultimi ritrovati
• Il lavoro del bastion host è principalmente concentrato nella memoria
 grandi quantità di RAM e spazio su disco per swap space
• Dischi capienti (specialmente se il bastion host fornirà servizi di
caching) ma non necessariamente ad alta velocità
• Ipotizzare l’utilizzo di un supporto non riscrivibile come “disco di
sistema”
• Una unità di backup locale (nastro, masterizzatore…)
• Un CD-ROM (per installazione, checksum database…), anche esterno
• Facilità di aggiungere/togliere hard disk
• Nessuna capacità grafica! Un buon vecchio terminale ASCII va
benissimo
PON 2004 - Reti di Calcolatori
FW - 56
La locazione fisica
• Deve essere posto in un luogo sicuro (c’era
bisogno di dirlo??)
– accesso ristretto/controllato al luogo
– UPS (Uninterruptable Power Supply)
– riparato da danni ambientali (acqua, caldo, umido…)
PON 2004 - Reti di Calcolatori
FW - 57
La locazione su rete
• Su una rete che non veicoli traffico confidenziale
(che ne pensate di…DMZ??)
• Se proprio non è possibile, si può posizionarlo su
un hub intelligente, uno switch… ma bisogna aver
cura che nessuno si fidi troppo del bastion host.
• Unendo le due tecniche (DMZ su una rete gestita
da uno switch) si ottiene quanto di più vicino alla
perfezione ;-)
PON 2004 - Reti di Calcolatori
FW - 58
I servizi forniti dal bastion host
• Solo ed esclusivamente i servizi che si vogliono offrire
all’interno o all’esterno
• Si possono dividere i servizi in 4 classi:
– Servizi Sicuri: i servizi in questa categoria possono essere forniti via
packet-filtering. In una configurazione proxy-firewall pura, però,
tutto deve essere fornito dal bastion host o non fornita affatto
– Servizi insicuri ma che possono essere resi sicuri: questi sono
servizi che possono essere forniti dal bastion host
– Servizi insicuri che non possono essere resi sicuri: questi dovranno
essere disabilitati o, al più, forniti da un victim host
– Servizi non usati o che non si usano congiuntamente ad Internet:
questi servizi devono essere assolutamente disabilitati
PON 2004 - Reti di Calcolatori
FW - 59
Non permettere account utenti sul
bastion host
• Vulnerabilità degli account stessi
• Vulnerabilità dei servizi richiesti per supportare gli
account
• Riduzione della stabilità ed affidabilità
• Inavvertita sovversione della sicurezza del bastion
host da parte degli utenti
• Aumento della difficoltà nell’accorgersi di attacchi
PON 2004 - Reti di Calcolatori
FW - 60
Costruire il bastion host
• Finora abbiamo “solo” fatto lavoro a tavolino…ora
dobbiamo rimboccarci le maniche!
–
–
–
–
Porre la macchina fuori dalla rete e installare la base
Disabilitare tutti i servizi non richiesti
Installare o modificare i servizi che si vogliono fornire
Riconfigurare la macchina dallo stato “sviluppo” allo
stato “produzione”
– Eseguire un security audit per stabilire una base di
comprarazione
– Connettere il bastion host alla rete
PON 2004 - Reti di Calcolatori
FW - 61
E ora…FIATO ALLE TROMBE!
• Una volta configurato e reso operativo il bastion
host, parte un periodo di assidua oservazione per
assicurarsi che tutto proceda come progettato
– Farsi un’idea chiara del normale profilo d’utilizzo per
poter scoprire le anomalie
• Quanti job alla volta sono in esecuzione?
• Quanto tempo di CPU questi job impiegano relativamente
tra loro?
• Qual è il carico tipico ad ore diverse della giornata?
– Automatizzare il monitoraggio
PON 2004 - Reti di Calcolatori
FW - 62
Proteggere la macchina
• Ora il bastion host è attivo ed è un elemento vitale
della rete (e dell’azienda) e va adeguatamente, a
sua volta, protetto
– Sospettare dei reboot o dei crash (oh, be’, solo se avete
seguito il suggerimento nella slide “Il Sistema
Operativo” ;-) )
– Effettuare backup ad ogni cambio di configurazione e
conservarlo in un luogo (ufff!!!) sicuro
– Un ulteriore meccanismo può essere quello di utilizzare
un database di digest/checksum di tutti i file del sistema
PON 2004 - Reti di Calcolatori
FW - 63
Packet Filtering
Introduzione (I)
• Un meccanismo di sicurezza di rete che controlla
quali dati possono transitare su una rete
• Nel “linguaggio” IP, questi dati sono chiamati
“pacchetti”. Tutti gli scambi di informazioni su reti
IP avvengono in forma di pacchetti
PON 2004 - Reti di Calcolatori
FW - 64
Packet Filtering
Introduzione (II)
• Il dispositivo che permette
l’interconnessione di reti è il
router
• E’ il router a prendere le
decisioni di percorso per ogni
pacchetto utilizzando i
protocolli di routing e basandosi
su alcune informazioni
contenute nel pacchetto stesso
192.168.10.1/10.10.1.1
10.10.1.0/24
– Indirizzo di provenienza
– Indirizzo di destinazione
– (urgh!!!) IP options
PON 2004 - Reti di Calcolatori
FW - 65
Packet Filtering
Introduzione (III)
• Mentre il router si chiede solo “Come posso far
procedere questo pacchetto?”, il Packet-Filter si
chiede anche “Devo far procedere questo
pacchetto?” basandosi su regole programmate
PON 2004 - Reti di Calcolatori
FW - 66
Perchè “Packet Filtering”? (I)
• Il packet filtering permette di controllare il
passaggio (permesso/negato) di dati basandosi su:
–
–
–
–
l’indirizzo (presunto) da cui provengono i dati
l’indirizzo verso cui i dati sono indirizzati
i protocolli di sessione e di applicazione utilizzati
l’interfaccia sulla quale i dati si presentano
• Alcuni - detti “stateful inspection” - si basano
anche su alcuni dati contenuti nei pacchetti e altri
“campi” contenuti nell’header del protocollo
utilizzato
PON 2004 - Reti di Calcolatori
FW - 67
Perchè “Packet Filtering”? (II)
• Di solito il Packet Filtering si applica ai router in
quanto
– choke point
– vi sono sicuramente meno router che host
• Un packet filtering router (o anche “screening
router”) è, sicuramente, il primo baluardo per la
protezione perimetrale della rete.
PON 2004 - Reti di Calcolatori
FW - 68
Vantaggi del packet filtering
• Un solo screening router può aiutare a proteggere
un’intera rete
• Il packet filtering non richiede cooperazione: è
trasparente all’utente
• E’ ampiamente disponibile su molti router
PON 2004 - Reti di Calcolatori
FW - 69
Svantaggi del packet filtering
(the Dark Side…)
• Gli attuali tool di filtraggio non sono perfetti:
– le regole (rules) sono difficili da configurare (a
volte il linguaggio è criptico, solo per iniziati)
– una volta configurate, sono difficili da provare
– nessuna standardizzazione tra i vari prodotti
• Alcuni protocolli non sono appropriati per il
packet-filtering
• Alcune politiche non possono essere rafforzate
da normali screening router
PON 2004 - Reti di Calcolatori
FW - 70
Cosa tener in mente quando si
configura un packet filtering
• I protocolli sono, solitamente, bidirezionali
• Attenzione alla semantica di “inbound” e
“outbound”: si deve pensare in termini di pacchetti
e non di servizi
• “Default Deny” vs “Default Permit”
PON 2004 - Reti di Calcolatori
FW - 71
Cosa farci con i pacchetti?
• Farli passare se soddisfano le condizioni (come
farebbe un normale router)
• Scartarli se non soddisfano le condizioni (cosa che
nessun router normale può fare)
PON 2004 - Reti di Calcolatori
FW - 72
E poi?
• Log delle azioni (su un syslog server non coincidente con lo
screening router, ovviamente!)
• Segnalazioni ICMP (o no?)
– Quale tipo di messaggio ritornare (destination
unreachable/destination administrative unreachable)
– Si può affrontare l’overhead della generazione e ritorno
dell’errore? ATTENZIONE: DoS!!!
– E se questo fornisce più informazioni del dovuto
all’attaccante?
– Di solito si evita di inviare ICMP all’esterno ma si
permette all’interno
PON 2004 - Reti di Calcolatori
FW - 73
Come scegliere un Packet Filtering
(I)
Ne esistono per tutti i gusti e per tutte le tasche.
Alcune caratteristiche possono essere:
• Packet Filtering Performance: tener conto
principalmente della velocità di connessione
Tipo di Connessione
bps (app)
V32.bis
56 kbps
E1
Ethernet (pratico)
Ethernet (teorico)
14.400
56.000
2.000.000
3.000.000
10.000.000
PON 2004 - Reti di Calcolatori
pps (20
byte)
90
350
12.500
18.750
62.500
pps (40
byte)
45
175
6.250
9.375
31.250
FW - 74
Come scegliere un Packet Filtering
(II)
• Può essere un router o un computer, ma che faccia
solo quello!
• Deve permettere una semplice specificazione delle
regole
• Deve applicare le regole nell’ordine specificato
• Deve applicare le regole separatamente per
pacchetti IN e per pacchetti OUT, su una base di
interfaccia
PON 2004 - Reti di Calcolatori
FW - 75
Come scegliere un Packet Filtering
(III)
• Deve permettere regole basate su criteri per header
o meta-pacchetti:
HEADER
–
–
–
–
–
–
source/destination IP Address
IP options
Protocolli (TCP/UDP/ICMP…)
Source/Destination port
Tipo messaggio ICMP
“Start of connection” (bit ACK) per TCP
META
–
Interfaccia sulla quale si trova il pacchetto
PON 2004 - Reti di Calcolatori
FW - 76
Come scegliere un Packet Filtering
(IV)
• Log dei pacchetti accettati/rifiutati
• Capacità di test e validazione.
Quest’ultima è particolarmente difficile da trovare,
però, anche in prodotti commerciali di alto livello.
PON 2004 - Reti di Calcolatori
FW - 77
Dove fare “packet filtering”?
• Ovunque si possa, nella nostra architettura di
firewall!!
– Sul router perimetrale (o access router)
– Su ognuno degli eventuali router interni
– Su host particolari (server, bastion host)
PON 2004 - Reti di Calcolatori
FW - 78
Proxy - Introduzione (I)
• Il termine “proxy” può essere tradotto come
“procura”, “tramite”
• Difatti, un proxy è un sistema che
– dal punto di vista dell’utente, si sostituisce al server
reale
– dal punto di vista del server reale, si sostituisce
all’utente
PON 2004 - Reti di Calcolatori
FW - 79
Proxy - Introduzione (II)
• In pratica:
– Una richiesta fatta da un client viene valutata dal proxy e, se rispetta
certe regole, viene rigirata al server reale, altrimenti viene scartata
– La risposta del server reale viene inviata al proxy server che la
rigira al client
req1
Is
req1
OK?
client
YES
Proxy
Ans1
Real Server
client
Ans1
Proxy
Real Server
NO
PON 2004 - Reti di Calcolatori
FW - 80
Proxy - Introduzione (III)
• Non richiede un hardware particolare (un dualhomed o un bastion host) ma richiede spesso
software o procedure speciali
• NOTA: i sistemi proxy sono efficaci solo se
utilizzati congiuntamente a sistemi di controllo
traffico, come gli screening router
PON 2004 - Reti di Calcolatori
FW - 81
Perchè usare un proxy?
• Non c’è alcun vantaggio a collegarsi ad Internet se, per
sicurezza, gli utenti non vi possono accedere
• D’altra parte, non c’è sicurezza se c’è accesso
indiscriminato per ogni host della rete
• Quale compromesso?
– Un solo host collegato ad Internet, completamente separato dalla
rete interna, risulta poco utilizzabile e di difficile gestione
– Un solo host collegato ad Internet ma che faccia da tramite tra gli
host interni ed il mondo esterno in modo (quasi) trasparente può
essere la risposta
PON 2004 - Reti di Calcolatori
FW - 82
Le “illusioni” del Proxy
L’illusione del
Real Server
Proxy
client
Real Server
L’illusione del
client
PON 2004 - Reti di Calcolatori
FW - 83
Vantaggi del Proxy
• I servizi proxy permettono agli utenti di accedere ai
servizi Internet “direttamente”
• I servizi proxy sono, solitamente, specifici al
servizio Internet relativo
• Permettono un ottimo servizio di logging
• Il fault di un servizio proxy è, solitamente, fail-safe
PON 2004 - Reti di Calcolatori
FW - 84
Svantaggi del Proxy
• Ritardo tra l’introduzione di nuovi servizi Internet
e la disponibilità del servizio proxy relativo
• I servizi proxy possono richiedere diversi server
per ogni servizio
• I servizi proxy, solitamente, richiedono modifiche
ai client, alle procedure o ad entrambe
• Alcuni servizi Internet non sono gestibili da proxy
• I servizi proxy non proteggono dalle debolezze dei
protocolli
PON 2004 - Reti di Calcolatori
FW - 85
Come funziona il Proxy
• I dettagli differiscono da servizio a servizio
• Alcuni servizi Internet (come SMTP, NNTP, NTP)
sono proxy per natura. Altri (la maggioranza,
purtroppo) richiedono software appropriato sul
server
• Dal lato client c’è bisogno di una delle seguenti:
– software client personalizzato
– procedure utente personalizzate
PON 2004 - Reti di Calcolatori
FW - 86
Terminologia dei Proxy Server
• Proxy Application-Level (anche Dedicated Proxy):
E’ un proxy che conosce la particolare applicazione
per la quale fornisce il servizio
• Proxy Circuit-Level (anche Generic Proxy): crea
un “circuito” tra il client e il server reale senza
l’interpretazione del protocollo applicativo
• Intelligent Proxy Server: proxy che, oltre a rigirare
le richieste, svolgono altri compiti correlati come
caching server per http o log dettagliati
PON 2004 - Reti di Calcolatori
FW - 87
Utilizzo di proxy con servizi
Internet
• L’utilizzo del proxy complica notevolmente la vita! Ma a
volte è un male necessario!!
– TCP è abbastanza semplice da gestire attraverso un proxy, essendo
connection-oriented
– UDP crea overhead (ogni pacchetto deve essere valutato
separatamente)
– ICMP è praticamente impossibile da usare con un proxy
– le connessioni unidirezionali sono semplici da gestire per un proxy
– le connessioni multidirezionali sono un incubo!!
– Per alcuni servizi il proxy può essere tecnicamente semplice ma
inutile da un punto di vista della sicurezza (X11 e, secondo alcuni
più “paranoici”, http)
PON 2004 - Reti di Calcolatori
FW - 88
E se non si può?
Cosa fare se:
D: Non c’è un proxy server a disposizione?
R: Scrivetevelo! (SOCKS, TIS-FWTK…)
D: Anche utilizzando il proxy non si rende
abbastanza sicuro un servizio?
R: Victim-Machine
D: Non si può modificare il client e il protocollo non
permette di usare procedure modificate?
R: Victim-Machine/Bastion-Host
PON 2004 - Reti di Calcolatori
FW - 89
VPN: Virtual Private Network
• Non è propriamente un firewall quanto una tecnica
che permette di creare dei “canali” di
comunicazione sicuri, privati, tra due o più entità
usando circuiti pubblici, come Internet, ed
utilizzando vari metodi come crittografia,
tunnelling, Ipsec
• Molti firewall-in-the-box commerciali, oggigiorno,
implementano in qualche modo la tecnica VPN e
tutte le soluzioni VPN devono implementare un
firewall!
PON 2004 - Reti di Calcolatori
FW - 90