di Succi Marco
Corso di Sicurezza dei Sistemi Informativi
A.A. 2009/2010
Indice
Cosa sono i firewall
 Tipologie di firewall
 Limiti e problematiche
 Tecnologie
 Utilità (Dmz, Nat, Vpn, …)
 Curiosità

2
Cosa sono i Firewall
I firewall sono dispositivi hardware o
software posti a protezione dei punti di
interconnessione esistenti tra due reti
 Solitamente la rete protetta da firewall è
quella più sensibile, o con le maggiori
possibilità di essere attaccata

3
Cosa sono i Firewall

L’utilizzo classico dei firewall, è quello di
interposizione fra una rete locale
(privata) e la rete internet (pubblica)
4
Tipologie di firewall
Due tipologie principali di firewall
Hardware
Firewall perimetrali
Software
Personal firewall
5
Personal Firewall (Software)


Il personal firewall è installato sulla singola macchina
E’ capace di sapere quale applicazione in esecuzione
sulla macchina ha o sta generando un pacchetto o è in
ascolto su una determinata porta
DIFETTI:
 La sua configurazione è spesso lasciata
a utenti finali poco esperti che possono
generare regole insufficienti alla protezione
dagli attacchi
 Questi firewall sono in esecuzione nello stesso pc che
devono proteggere, quindi qualcuno in grado di sfruttare
delle vulnerabilità del sistema operativo potrebbe
disabilitare completamente il firewall.
6
Firewall Perimetrali

Apparati hardware di tipo passivo che
operano una difesa perimetrale di una
rete locale
7
Le due politiche principali

Una delle decisioni più importanti da
prendere durante la configurazione di un
firewall è la scelta della strategia più
efficace da applicare per la stesura del
set di regole. Le più importanti sono
due:
 Allow-All: tutto ciò che non è
espressamente negato è permesso
 Deny-All: tutto ciò che non è
espressamente permesso è negato
8
La politica Allow-all
Esclude dall’intero traffico solo ciò che
fa parte della lista delle eccezioni
 Utilizzarlo come unico sistema di
protezione non è sufficiente
 Potrebbe necessitare di una lunga lista
di regole (talvolta da aggiornare)

9
La politica Deny-all
Strategia più consigliata per aumentare
il grado di sicurezza
 Viene bloccato tutto il traffico di rete,
tranne le connessioni ritenute sicure
 Minor numero di regole da gestire (e
quindi una maggiore efficienza) e da
aggiornare

10
Alcuni limiti dei firewall
Errori umani o di valutazione
 Attacchi interni
 Social engineering
 Comportamenti scorretti
 Integrità dei dati

11
Errori umani o di valutazione

Possono generare
 Errori di posizionamento
 Configurazioni non corrette
 Errata valutazione delle capacità del firewall

Traducendosi in una inadeguata
protezione della rete
12
Attacchi interni
Non possono proteggere da attacchi che
non passano attraverso il firewall
 Fornendo una difesa perimetrale, se
l’attacco nasce all’interno della rete, è
escluso dal filtraggio

13
Social Engineering

Non possono proteggere dal social
engineering, ovvero da quell’ insieme di
tecniche psicologiche, non informatiche,
usate dagli aggressori online per farci:
 Consegnare i nostri codici di accesso
 Aprire i loro allegati infetti
 Visitare siti di phishing o contenenti
materiale pericoloso
14
Comportamenti scorretti
Non possono garantire che i dati interni
ad una rete non vengano portati al di
fuori di una azienda
 Anche il più sofisticato sistema di
sicurezza firewall, non può proteggere
da un dipendente potrebbe portare i dati
al di fuori dell’azienda i dati tramite
archivi rimovibili (cd, flash usb, floppy)

15
Integrità dei dati
Solo alcuni firewall odierni sono in grado
di verificare la presenza di virus nei
pacchetti che li attraversano
 In presenza di reti di grandi dimensioni
risulta estremamente difficile
 E’ ancora più difficile che riescano a
identificare trojan

16
Tecnologie Firewall
Breve introduzione

Un modo per comparare le capacità dei
firewall, è quello di guardarne il livello
del modello TCP/IP che sono in grado di
esaminare
Application Layer
Spedisce e riceve dati alle applicazioni come
DNS, HTTP, e SMTP
Transport Layer
Fornisce i servizi di connessione fornendo
l’interfaccia di trasporto fra il livello applicazione
e quello di rete (TCP, UDP)
Network Layer
Instrada i pacchetti nella rete. I protocolli
principali di questo livello sono IP, ICMP e IGMP
Data Link Layer
Gestisce le comunicazioni tra i componenti
della rete fisica. Il protocollo più importante è
l’Ethernet.
17
Il processo di encapsulation

Un pacchetto, a livello applicativo è formato solo dai
dati. Scendendo di uno strato, alla struttura del
pacchetto viene aggiunto un header (con informazioni
relative al livello), che nello strato sottostante verrà
incapsulato nel body del pacchetto
per poi aggiungere un ulteriore
Applicazione
header. Questo processo
è detto encapsulation
Trasporto
Rete
Data Link
18
Tecnologie Firewall
Packet Filtering
 Stateful Packet Inspection
 Deep Packet Inspection
 Application-Proxy Gateway

19
Packet Filtering


Primi tipi di firewall detti anche stateless
inspection firewall
Operano a livello network e di trasporto,
controllando le seguenti informazioni contenute
negli header dei pacchetti:
 L’indirizzo IP di origine del pacchetto
 L’indirizzo IP di destinazione del pacchetto
 Il protocollo di rete utilizzato per comunicare tra gli host
di origine e destinazione (es. TCP, UDP o ICMP)
 Le porte di destinazione
 L’interfaccia che è stata attraversata dal pacchetto e la
direzione (inbound o outbound)
20
Packet Filtering in dettaglio



Allow: viene consentito il passaggio dei pacchetti
Deny: viene bloccato il passaggio dei pacchetti e
viene notificato un messaggio di errore
Discard: viene bloccato il passaggio dei pacchetti,
ma non vengono notificati messaggi di errore
N°
IP origine
IP
destinazione
Porta
destinazione
Protocollo
Direzione
Azione
1
192.168.1.1
172.16.1.1
25
TCP
IN
Allow
2
172.16.1.1
192.168.1.1
1234
TCP
OUT
Deny
21
Packet Filtering
PRO e CONTRO

PRO:
 Con una singola regola è possibile difendere l’intera
rete da una minaccia
 Lavora in maniera trasparente senza ostacolare il
normale utilizzo della rete
 Performance discrete dovute al mancato controllo
dei pacchetti accettati
 Basso costo (disponibile su molti router)

CONTRO:
 Difficoltà nella configurazione del set di regole
 Mancato controllo dei contenuti, lasciando passare
virus, trojan etc.
 Vulnerabilità all’IP Spoofing
22
Stateful Packet Inspection




Successivi ai Packet Filtering
Li migliora esaminando i valori degli header TCP
per monitorare lo stato di ogni connessione
Memorizza lo stato delle connessioni e blocca i
pacchetti appartenenti a connessioni che
differiscono dallo stato atteso
Ogni nuovo pacchetto è comparato alla tabella di
stato per verificare che non contraddica il suo
stato predetto
23
Stateful Packet Inspection
in dettaglio

Vengono memorizzati:
 L’indirizzo IP di origine e destinazione
 Le porte di origine e destinazione
 le informazioni sullo stato della connessione
○ Handshaking
○ Established
○ Closing
N°
IP origine
Porta origine
IP destinazione
Porta
destinazione
Stato
1
192.168.1.100
1030
192.168.2.71
80
Handshaking
2
192.168.1.102
1031
10.12.18.74
80
Established
3
192.168.1.101
1033
10.66.32.122
25
Closing
24
Stateful Packet Inspection
PRO e CONTRO

PRO
 Ottime performance (necessita di un numero
inferiore di controlli della connessione)
 Protezione maggiore all’IP Spoofing, visto
che il controllo non si limita al singolo IP o
alla singogla porta

CONTRO
 Pur essendo un’evoluzione dei precedenti,
anche qui si ha la mancanza di
autenticazioni e filtraggio dei contenuti
25
DPI - Deep Packet Inspection
Non si limitano a controllare solo l’header
dei pacchetti ma ne controllano anche i dati
 Filtrano i contenuti dei pacchetti (payload)
alla ricerca di dati che non siano aderenti a
determinati criteri prestabiliti
 Inoltre operano sia a livello di rete che di
trasporto che applicativo, permettendogli di
consentire o bloccare gli accessi a
seconda di come una applicazione si sta
comportando rispetto alla rete

26
DPI – Esempi di utilizzo
Possono determinare se un messaggio
email contiene un tipo di allegato che
l’azienda non permette (es *.exe)
 Possono bloccare connessioni dopo che
sono state effettuate specifiche azioni
(es. comando put in FTP)
 Possono consentire o bloccare pagine
web che contengono particolari tipi di
contenuto attivo (Java, ActiveX, …)

27
Deep Packet Inspection
PRO e CONTRO

PRO
 Il vantaggio principale è quello di poter
verificare l’integrità dei dati
 Agiscono anche a livello applicativo

CONTRO
 Notevole rallentamento della rete,
proporzionale alle dimensioni di essa
28
Application-proxy gateway

Costituiti da un agente proxy che opera come
intermediario fra due host che desiderano comunicare,
impedendogli di connettersi direttamente
PROXY

Ogni connessione stabilita con successo è il risultato di
due connessioni, una tra il client che crede di essere
connesso al server ed una tra il server e il firewall che
crede di esser connesso al client
29
Application-Proxy Gateway
PRO e CONTRO

PRO
 Controllo del contenuto dei pacchetti
 Garantisce più sicurezza dei DPI non consentendo
connessioni dirette fra gli host
 Supporto per l’autenticazione degli utenti
 Supportano metodi di crittografia (SSL)
 Utilizzo di cache per memorizzare le richieste
precedenti e velocizzarne la fruizione successiva

CONTRO
 Necessità di configurazione dei computer interni per
l’utilizzo del proxy
 Basse performance dovuto al carico supplementare
di lavoro sulla cpu dei computer
30
DMZ – DeMilitarized Zone

Una DMZ, o DeMilitarized Zone, è un
segmento della rete locale raggiungibile
sia dalla rete locale che dalla rete
pubblica, ma che permette però
connessioni solo verso la rete pubblica
31
DMZ in dettaglio
Rete priva di DMZ.
Tutti gli host possono
comunicare tra di loro
Rete con DMZ.
Le comunicazioni
con essa devono
passare tramite il
firewall.
32
DMZ - Vantaggi
Poter spostare tutti i servizi di rete che
necessitano di accessi da internet (web
server, mail server, etc.) in una rete
separata
 Le "porte aperte" verso il mondo esterno
saranno solo in questa nuova rete
 Se un hacker attacca un server interno
alla DMZ, avrà solo accesso agli host
nella DMZ, non alla restante rete interna

33
VPN - Virtual Private Network
Una rete VPN (Virtual Private Network)
permette il collegamento di host ubicati
in sedi fisiche diverse, tramite una rete
non dedicata
 Queste reti virtuali utilizzando tecnologie
di crittografia, consentendo di utilizzare
una rete pubblica (internet) come se
fosse una rete privata

34
VPN nel dettaglio

Gli strumenti di sicurezza solitamente
utilizzati nella realizzazione di VPN sono:
 IPsec
 SSL (Secure Socket Layer)

Le due architetture principali sono:
 Gateway-to-Gateway
○ Per connettere più reti dislocate (es. uffici di una
organizzazione)
 Host-to-Gateway
○ Fornisce una connessione sicure ad utenti remoti
35
NAT – Network Address
Translation
NAT è letteralmente la traduzione degli
indirizzi di rete
 Consiste nel modificare gli indirizzi IP
multipli della rete LAN privata in un
unico indirizzo pubblico inviato su
Internet
 Aumenta la protezione del computer
sulla rete LAN, poiché il relativo indirizzo
IP non viene trasmesso a Internet

36
NAT – Tipologie comuni
Static Nat
 Dynamic Nat
 Overloading
 Overlapping

37
Curiosità - Comparativa di Personal
Firewall
38
Curiosità - Firewall di Windows Xp
(e Vista)…

Piccola curiosità…perché non è mai
citato nelle classifiche comparative?
Il firewall di Windows XP
non blocca le connessioni
in uscita, ma solo quelle in
ingresso, rendendo
possibile la diffusione delle
nostre informazioni a
seguito di un attacco
riuscito.
39
E’ importante ricordare che…

LA SICUREZZA ASSOLUTA NON ESISTE
E’ possibile elevare a un livello molto alto il costo che
l’attacker deve sostenere per infrangere le misure di
sicurezza, ma le garanzie assolute sono impossibili

TRE REGOLE DI BASE DEI FIREWALL
1.
2.
3.
Il firewall deve essere l’unico punto di contatto della rete
interna con quella esterna.
Solo il traffico autorizzato può attraversare il firewall.
Il firewall deve essere un sistema altamente sicuro esso
stesso
D.Cheswick
S.Bellovin
40
Bibliografia







Building Internet Firewall - Elizabeth D.
Zwicky,Simon Cooper,D. Brent Chapman
Firewalls e sicurezza in rete - William R.
Cheswick,Steven M. Bellovin,Aviel D.
Rubin
Guidelines on Firewalls and Firewall Policy
- Karen Scarfone Paul Hoffman
www.wikipedia.org
www.sicurezzainformatica.it
computer.howstuffworks.com/firewall
www.matousec.com
41