Sicurezza dei calcolatori e delle reti

Proteggere la rete: tecnologie

Lez. 13

Firewall

• I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa

• Un Internet firewall, in particolare, è un sistema realizzato con lo scopo di proteggere la rete interna di un’organizzazione (che nel seguito indicheremo anche con il termine Intranet) da Internet

Firewall: cosa sono

• Concettualmente, un Internet firewall è un’entità, in particolare l’unica entità, interposta tra Internet e una rete aziendale il cui accesso da e verso Internet si vuole disciplinare, tipicamente per limitare l’esposizione alle intrusioni informatiche che la rete aziendale potrebbe subire da parte di utenti di Internet

Firewall: come sono

• Fisicamente, le configurazioni dei firewall variano in funzione degli scopi per cui sono impiegati, senza perdere in generalità possiamo affermare che un firewall è una combinazione di componenti hardware (router e host) tra loro opportunamente collegate, e di opportune componenti software

Firewall: caratteristiche generali

• Tutto il traffico che entra ed esce da una rete intranet deve passare attraverso il firewall

• Solo il traffico autorizzato potrà entrare/uscire dalla rete

• Il firewall deve essere il più possibile immune da attacchi

I filtri

• Sui Servizi• Vengono definiti i tipi di servizi che

possono essere acceduti da e verso Internet

• Sulla direzione• Determina la direzione verso cui il traffico

generato da certi servizi è ammissibile

I filtri

• User control• Controlla l’accesso ad un servizio

verificando l’utente che vi sta accedendo

• Behavior control• Controlla come vengono usati certi servizi

Tipi di firewall

• Packet filtering

• Application-level Gateway

• Circuit-level Gateway

Packet filtering

Packet filtering

• Nella sua versione più semplice il packet filtering consente di abilitare/disabilitare il trasferimento di pacchetti (e quindi di dati) tra due reti basandosi su:• L’indirizzo IP del mittente;• L’indirizzo IP del destinatario;• I servizi (o protocolli) usati per trasferire i dati

(questi servizi possono essere ad esempio: FTP, HTTP, SMNP, ecc. ecc.).

Packet Filtering

• Opera sulle informazioni presenti nell’header di un pacchetto IP o su sequenze molto brevi di pacchetti, tralasciando il contenuto dello stesso;

• Ad esempio, non è possibile sopprimere, con questa versione di packet filtering, un pacchetto perché contiene insulti

Packet filtering

• Vantaggi:• Semplice• Trasparente agli utenti• Opera ad alta velocità

• Svantaggi:• Difficoltà di configurazione• Meccanismi di autenticazione

Application level gateway

Application level gateway

• Chiamato anche proxy server• Svolge le funzioni di relay tra traffico a livello

applicazione, si interpone tra i client ed il server di un’applicazione

• Intercetta tutti i messaggi che dai client sono diretti a più server e viceversa e si fa carico “personalmente” dell’inoltro degli stessi

• Ricevute le risposte dal server provvede a sua volta ad inoltrarle al mittente originario

Application level gateway

• Vantaggi• Consente controlli più sofisticati del packet filtering• Più mirate le operazioni di logging

• Svantaggi• Più lento del packet filtering

Circuit level gateway

• Esistono due tipologie di proxy:• I proxy dedicati che sono in grado di operare con un unico

protocollo o servizio (esiste quindi un FTP-proxy, un HTTP-proxy, un sendmail-proxy, ecc.)

• I proxy generici che sono in grado di operare con più protocolli contemporaneamente denominati circuit level proxy

Circuit Level Proxy

Circuit level Proxy

• Il grosso vantaggio dei circuit-level proxy è che un unico programma è in grado di gestire più protocolli

• il loro svantaggio è che proprio per la loro genericità non sono in grado di offrire funzionalità molto distanti da quelle di un packet filter avanzato

Proxy

• Affinché un proxy possa funzionare è necessario che le applicazioni di riferimento, siano scritte tenendo conto della sua presenza

• Sono oggi disponibili proxy per la maggior parte dei servizi di rete

Bastion host

• Sono i sistemi dell’organizzazione più esposti agli attacchi informatici

• Per ridurre i rischi di attacco, si sono diffuse alcune pratiche, che consentono di rendere i bastion host meno vulnerabili

• il bastion host serve come piattaforma per un application-level o circuit-level gateway

Configurazioni del FirewalConfigurazioni del Firewal

• Screened subnet firewall, il firewall è composto da:• Due router che fanno packet filtering• Uno o più bastion host

• L’obiettivo è quello di creare una sottorete isolata dalla rete da proteggere

Screened Subnet

• Screened-subnet firewall, rete demilitarizzata

Configurazioni del Firewall

• Fisicamente, tale architettura può essere realizzata anche con un singolo host, che sia in grado di ospitare almeno tre schede di rete, e possa applicare su ciascuna di esse un insieme differente di regole di packet filtering

• In questo caso l’architettura di firewall collassa in un singolo host denominato appunto firewall

Configurazioni dei firewall

• La rete demilitarizzata è il vero elemento distintivo di questa architettura di firewall

• Disaccoppiamento fisico tra la rete interna in cui sono mantenuti tutti i servizi critici per l’azienda e la rete demilitarizzata su cui vengono installati i servizi di rete pubblici

Configurazioni dei firewall

• Questo firewall non consente ad un intrusore che riesca ad accedere ad uno dei bastion host, di: • avere accesso diretto alla rete interna che

è protetta da un ulteriore livello di screening router

• poter intercettare il traffico della rete interna che potrebbe contenere informazioni sensibili

Router esterno

• Il router esterno deve proteggere la rete interna e la rete perimetrale da Internet, in particolare il router esterno deve preoccuparsi di proteggere i bastion host e il router interno.

• Deve provvedere a bloccare tutto il traffico “sospetto” proveniente da Internet e diretto ai bastion host o alla rete interna

Router interno

• Lo scopo di questo router è di proteggere la rete interna da Internet ma anche dalla rete demilitarizzata.

• Il router interno deve consentire il traffico, dalla rete interna verso Internet, di tutti quei servizi che si è deciso di rendere fruibili agli utenti della rete interna. La lista di questi servizi può comprendere HTTP, FTP, Telnet o meglio SSH

IDS

• Nella terminologia corrente per intrusion detection system si intende un insieme di componenti hw e sw dedicate a rilevare, automaticamente ed in tempo reale, il verificarsi di un’intrusione in un sistema o in una rete

IDS

• Un IDS è costituito da una serie di sensori di rete o agenti e da un analizzatore centrale, ognuno di essi risiede su un host dedicato

• I sensori di rete vengono installati su determinate porzioni di rete, solitamente quelle su cui sono presenti i sistemi più critici

• I dati raccolti vengono inviati all’analizzatore che verifica o meno la presenza di traffico sospetto in tal caso attiva una serie di procedure di allarme

IDS

INTERNET INTRANET

firewall

IDS

IDS

IDS

IDS

• Per la realizzazione di questi strumenti si fa ricorso a due strategie di base:• Anomaly detection • Misuse detection

Anomaly detection

• Login frequency by day and time• Frequency of login at different locations• Time since last login• Password failures at login• Execution frequency• Execution denials• Read, write, create, delete frequency• Failure count for read, write, create and delete

Misuse Detection

• I caratteri distintivi di attacchi noti (signatures) vengono memorizzati in appositi database di attacchi

• alla ricezione di ogni pacchetto l’analizzatore confronta lo stesso o la sequenza a cui appartiene con le signature memorizzate nel proprio database

• quando trova delle coincidenze attiva una serie di allarmi

Misuse detection

• Un intrusion detection system può erroneamente riconoscere una sequenza di pacchetti innocua come maligna e quindi provvedere ad attivare un falso allarme

• In questo caso si dice che l’intrusion detection system ha commesso un errore di tipo falso positivo (false positive)