Post on 02-May-2015
Il Firewall
Sistemi di elaborazione dell’informazione :
Sicurezza
Anno Accademico 2001/2002
Martini Eros
Indice degli Argomenti
Introduzione ai Firewall Breve Introduzione al Packet filtering Proxying
- Circuit Relay
- Application Gateway Architetture di un Firewall
- Introduzione ai Firewall -
Come proteggere una Rete
Per proteggere una rete da attacchi esterni sono possibilii seguenti approcci :• No Security: e’ il piu’ semplice approccio possibile; non si effettua nessun controllo
• Security Through Obscurity: non si conosce l’esistenza della rete e
soprattutto il suo contenuto
• Host Security: si cerca di garantire la sicurezza di ogni host che fa parte
della rete
• Network Security: si controllano gli accessi ai vari host e servizi della
rete piuttosto che garantire la sicurezza del singolo host
N.B. : NESSUNO di questi modelli risolve completamente i problemi di sicurezza della rete.
- Introduzione ai Firewall -
Cosa e’ un Internet Firewall
Il Firewall e’ una efficace implementazione del modelloNetwork Security.Esso fa in modo che i pericoli provenienti daInternet non possano diffondersi all’interno di una rete privata.
Le sue principali funzioni sono:• Restringere l’accesso alla rete in un punto attentamente controllato• Impedire che eventuali intrusi arrivino vicini alle altre difese della propria rete• Restringere l’uscita al mondo esterno in un punto attentamente
controllato
- Introduzione ai Firewall -
Cosa puo’ fare
• Controlla tutto il traffico in entrata e in uscita dalla propria
rete locale
• Implementa la politica di sicurezza della rete, abilitando soltanto opportuni servizi scelti in base ad preciso insieme di regole
• Registra in modo efficiente le attivita’ su Internet
• Mantiene separate le varie sezioni della propria rete , facendo in modo che eventuali problemi di una singola sezione non si diffondano all’intera rete
- Introduzione ai Firewall -
Cosa non puo’ fare
• Il Firewall non puo’ controllare direttamente quelli che sono gia’ all’interno della rete
• Controllare il traffico che non lo attraversa direttamente
• Non puo’ garantire nessun tipo di sicurezza contro le “minacce sconosciute”
• Non protegge dai virus
- Introduzione ai Firewall -
Tecnologie utilizzate nei Firewall
FUNZIONI SVOLTE : POSIZIONE :
• Packet Filtering
- Screening Router router interni o esterni
- Host Based Packet Filter bastion host
• Proxying
- Circuit Relay bastion host
- Application Gateway bastion host
Questa classificazione e’ fatta in base alle funzioni svolte e alla
posizione in cui viene implementato il Firewall stesso, su un router o su di
un bastion host
- Introduzione al Packet Filtering -
Il Packet Filtering
Il Packet Filtering e’ un meccanismo frequentemente utilizzato nella costruzione
di un Firewall.Analizza i pacchetti in transito fra le reti decidendo quali lasciar
passare e quali fermare.Le tecniche di Packet Filtering si basano su precise regole
che sono state stabilite nella politica di sicurezza della rete .
Il software che implementa il Packet Filtering e’ in grado di esaminare l’header
di ciascun pacchetto non appena questo transita per passare da una rete all’altra.
InternetRete
Protetta
Screening Router o Host-based Packet Filter
a a
b
c c
- Introduzione al Packet Filtering -
Regole
• Provenienza dei pacchetti• Informazioni contenute nell’IP header tipo di protocollo
indirizzo IP mittenteindirizzo IP destinatario
• Informazioni contenute nel TCP headerporta TCP mittenteporta TCP destinatarioTCP flags ( per esempio ACK )
• Informazioni contenute nell’UDP headerporta UDP mittenteporta UDP destinatario
- Introduzione al Packet Filtering -
Packet Filtering e Pila OSI
Il Packet Filtering e’ spesso una
buona prima linea di difesa nella
architettura di un Firewall.
I dispositivi e il software che
realizzano il PF servono per
controllare attentamente
l’accesso ad una rete.
Il PF lavora ai livelli piu’ bassi
della pila TCP/IP ( Transport e
Network)
Application
Hardware
SessionTransportNetwork
Data Link
Presentation
Ip,Icmp
Tcp,Udp Packet
Filtering
- Introduzione al Packet Filtering -
Metodo di Lavoro
Le regole tradotte nella sintassi specifica dello Screening Routero dell’Host-Based Packet Filter funzionano nel seguente modo :1. Le regole del PF sono espresse come una tabella di condizioni e azioni applicate in un ordine specifico2. Ricevuto un pacchetto vengono esaminati i campi contenuti negli header IP,TCP e UDP3. I pacchetti vengono confontati con ciascuna delle regole
decidendo poi di instradare o bloccare un pacchetto4. Se un pacchetto soddisfa tutte le condizioni di una riga della
tabella delle regole, allora l’azione specificata in quella riga (accettare o negare) viene eseguita
- Introduzione al Packet Filtering -
Schema generale
Host sullaRete Protetta
Soddisfa laRegola ?
AccettareO
Rifiutare ?
no
si
Host inInternet
Prossimaregola
pacchettoricevuto
rifiutare
accettare
- Proxying -
Il Proxying
Con il Proxying si ha l’impressione che gli host della rete siano direttamenteconnessi all’esterno. In realta’ sono gli host che hanno l’accesso fisico all’esternoche agiscono da procuratori per tutte le altre macchine. Un proxy server viene quindi installato su un Dual-Homed host o su di un Bastion Host.. Il proxy seguendo regole di filtering decide quali richieste lasciar passare e quali rifiutare.Per l’utente, parlare con il proxy e’ come parlare con il server reale.E’ molto importante l’utilizzo del proxying anche per le funzioni di CACHING
Serverreale
Client Dual – Homed
Bastion Host
Proxy ServerInternet Rete Protetta
- Proxying -
Meccanismi del Proxying
Il Proxy e’ essenzialmente costituito da software che agisce a
livello di servizi Internet. I due meccanismi fondamentali che
gestiscono il proxying sono :
• Circuit Relay
Un unico proxy server si incarica di controllare le varie
applicazioni di rete
• Application Gateway
Un proxy server separato deve essere creato per ciascuna
applicazione di rete
Con il proxy otteniamo quello che non avevamo con il PF:
- Politiche di sicurezza piu’ dettagliate e migliori meccanismi di Auditing
- Semplicita’ nell’implementare le regole
- Facilita’ nel verificare la correttezza delle regole
- Proxying -
Proxying e Pila OSI
Il proxying puo’ quindi lavorare sia al livello Transport sia al livello
Application della pila OSI.
Application
Hardware
SessionTransportNetwork
Data Link
Presentation
Ip,Icmp
Tcp,Udp Circuit
Telnet,Ftp,Http
relay
ApplicationGateway
- Circuit Relay -
Circuit Relay
• Molto simile al packet filtering per i suoi criteri di decisione; determina se lasciar passare o meno un pacchetto basandosi sulle informazioni contenute nel suo header
• Rispetto al packet filtering crea un nuovo pacchetto con un altro header.In questo modo l’eventuale risposta del server sara’ indirizzata al Proxy
• Tale meccanismo impedisce ad un qualsiasi utente di far sapere dove si trova all’interno della rete e protegge gli esterni che non vogliono far conoscere all’utente la loro posizione
- Circuit Relay -
Componenti di un Circuit Relay
Consiste di :• Client “ modificati ” : inoltrano le richieste di collegamento a
Internet a server dedicati posti su di un Bastion Host• Un proxy server generico , che inoltra le richieste agli host su
Internet e risponde ai clientN.B.: E’ possibile permettere connessioni solo ad host autorizzati e
solo a certe destinazioni su Internet.Il Cr copia semplicemente i pacchetti da un sistema ad un altro,cambia l’indirizzo IP in quello del circuit relay server e effettua alcuni controlli di sicurezza sulla provenienza e sulla destinazione delle connessioni. Il fatto di dover installare su ogni client un software opportuno e’ cosa talvolta onerosa e spesso causa di errori
- Circuit Relay -
Funzionamento del Circuit Relay
1. Un utente richiede un servizio applicativo da un client modificato su un host interno
2. Si tenta di inviare la richiesta direttamente all’application server su Internet
3. Il client si accorge che non e’ raggiungibile quindi si connette con il Circuit Relay
4. Il CR riceve il pacchetto dal client
5. Il CR controlla le caratteristiche del pacchetto seguendo le regole nel file sockfd.conf
6. Il CR o blocca il pacchetto o si connette con l’host di destinazione
7. L’host di destinazione risponde al CR con un pacchetto che riceve lo stesso trattamento del precedente
- Circuit relay -
Schema di funzionamento
Bastion Host
Circuit Relay
ApplicationServer
Clientmodificato
Internet Rete Protetta
richiesta richiesta
risposta risposta
- Application Gateway -
Application Gateway
• Risponde al client come un server reale per una determinata applicazione, in realta’ le richieste vengono inoltrate al server reale
• Non ci sono Client “ modificati ”• Puo’ essere configurato per servire solo client autorizzati e limitare il
loro accesso a certi comandi e a certe destinazioni• Lavora al livello Application della pila OSI• Agisce per una specifica applicazione• E’ piu’ costoso ed ha un sensibile impatto sulle prestazioni del
sistema• Offre in compenso caratteristiche di sicurezza piu’ evolute
direttamente implementate nel livello Application
- Application Gateway -
Funzionamento di un Application Gateway
1. Un utente richiede un servizio Internet2. Il client si connette all’Application Gateway sul Bastion Host3. Identificazione del client attraverso indirizzo e il protocollo IP o
attraverso un’autenticazione manuale ( password )4. Il client sceglie l’host di destinazione5. Attraverso le regole di autorizzazione, l’Application Gateway
decide se accettare o rifiutare l’accesso al servizio richiesto6. L’Application Gateway si connette al server reale usando il
protocollo applicativo appropriato7. Il client manda un comando attraverso l’Application Gateway8. L’Application Gateway registra il comando, controlla le regole ed
accetta o rifiuta l’operazione
- Application Gateway -
Schema di funzionamento
Server suInternet
Hardware
TransportNetwork
Data LinkHardware
TransportNetwork
Data Link
ApplicationGateway Application
Client
- Architetture -
Architetture di un Firewall
• Border Router
• Dual – Homed Bastion Host
• Screened Host
• Screened Subnet
• Architetture ibride
- Screened Subnet con Bastion Host multipli
- Dual – Homed Bastion Host con DMZ
- Screened Subnet con Backbone interno
- Architetture -
Border Router
InternetScreening
Router
Host A
Host B
Rete Protetta
E’ uno dei piu’ semplici esempi di
implementazione del Packet Filtering
- Architetture -
Dual – Homed Bastion Host
InternetRete
Protetta Dual – Homed
Bastion Host
Il Firewall consiste in un Bastion Host con due interfacce di rete.
Indirizzo IP diverso su ciascuna interfaccia. L’instradamento e’
disabilitato sul Dual – Homed Bastion host cosi’ i pacchetti IP
non sono direttamente instradati da una rete all’altra.
- Architetture -
Screened Host
Internet Screening Router
Host B
Host A
BastionHost
Rete Protetta
In questo caso il Bastion host supporta una singola interfaccia di Rete.
Lo screening router permette agli host esterni di
comunicare solo con il Bastion host. Questo
supporta tipicamente i proxy services.
- Architetture -
Screened Subnet
InternetScreening
RouterEsterno
Host A
Host B
BastionHost
ScreeningRouterInterno
DMZRete Protetta
DMZ = Perimeter Network.
Architettura che cerca di
Schermare la rete protetta da
Attacchi che arrivano
Al Bastion Host
- Architetture Ibride -
Screened Subnet con Bastion Host multipli
InternetScreening
RouterEsterno
Host A
Host B
Bastion Hostftp
server
ScreeningRouterInterno
DMZ
Bastion Hostwww server Bastion Host
Proxyservers
Rete Protetta
Possibilita’ di utilizzare
macchine “ vittima “
- Architetture Ibride -
Dual – Homed Bastion Host con DMZ
InternetScreening
RouterEsterno
Host A
Host B
Bastion Hostftp
server
DMZ
Bastion Hostwww server
Rete Protetta
Dual – Homed Bastion HostProxy Servers
- Architetture Ibride -
Screened Subnet con Backbone interno
InternetScreening
RouterEsterno
ScreeningRouterInterno
BastionHost
ScreeningRouter
ScreeningRouter
Rete Protetta
Sotto
Rete A
Sotto
Rete B
DMZ Backbone internoIl Backbone interno impedisce
che un intruso gia’ arrivato al
Bastion host possa controllare
il traffico interno che passa
attraverso la DMZ.
Utile anche contro IP spoofing
- Conclusioni -
Conclusioni
• Esistono vari tipi di architetture di un Firewall• I Firewall si basano su tecnologie in continua evoluzione• I futuri Firewall saranno sempre piu’ potenti e trasparenti• La sua realizzazione dipende dalla politica di sicurezza adottata
e soprattutto dal Budget disponibile• Il problema del traffico interno e’ ancora notevole
- i dati in ingresso attraverso un Firewall possono contenere virus o comunque compromettere la sicurezza degli host interni in vari modi- molti Firewall non riescono a proteggere da attachi ben mirati ( problema a volte risolvibile con l’utilizzo di macchine “ vittima “ )