DIFESA PERIMETRALE N I FIREWALL

Lezione 4

IONE 4

alita fondamentali:

DIFESA PERIMETRALE N I FIREWALL

IESTA UNITA IMPAREREMO. ionalità dei firewall liche di filtraggio e le ACL

to di proxy server di DMZ

sralità » un router tra una LAN e Internet i l traffico viene instradato sia verso l'esterno ma anche

della rete, esponendola a rischi di vario tipo derivanti da: iìndesiderati da host esterni aventi lo scopo di acquisire i dati dagli archivi o compromet-

ri ohe questa offre; Bone di software in grado di provocare anomalie di funzionamento in uno o più nodi della pnre di trasmettere informazioni verso l'esterno o semplicemente creare delle porte per BDedere successivamente nella LAN.

mi m interporre tra la LAN e i l mondo esterno un meccanismo che consenta di controllare

• transito"' e, tramite regole appositamente configurate, di inibire e/o permettere l'ac-iderati. nente è stato dato il nome di firewall, in analogia con il muro tagliafuoco utilizzato

e impedisce il propagarsi di un incendio.

149

La sicurezza delle reti

Il f i rewal l non solo p r o t e g g e la aziendale o domest ica da attacchi provenient i da Internet, ma viene uti l izzato anche come protez ione dai per icol i intern i , provenient i da compute r presenti nella stessa sot tore te (ad esempio per evitare la propagaz ione di un virus acc idental mente i n t rodo t to a causa d i una chiavetta USB infetta): è buona norma div idere la nostra rete in diversi segment i , ord inat i per affidabilità, dove ogn i segmento rappresenta una diversa sot tore te , e per ciascuna d i esse attivare de l le protez ioni specif iche. Natura lmente su quest i server v e n g o n o inoltre istallati i p rog rammi appos i t i d i ant ispam e antivirus.

Un esempio di organizzazione con firewall è la seguente:

Application Firewall gateway Firewall

Nel caso di un attacco a una LAX la zona più esposta è quella intermedia e l'attaccante deve supera re le difese successive del firewall che regola e limita il traffico tra i server front-end e back-end ch< comunicano tra loro solo su porte TCP o UDP strettamente necessarie e ben controllate.

• I firewall Un firewall è un sistema hardware-software dedicato alla d i fesa pe r imet ra l e di una rete che agisce filtrando il traffico di pacchetti entranti e/o uscenti secondo delle regole precedentemente definite. E pertanto di importanza primaria conoscere le principali metodologie di attacco e le tecniche a disposizione che consentono di ridurre o eliminare i rischi della rete.

F I R E W A L L Lettera lmente "muro t ag l i a fuoco " , è un e -sposit ivo che effettua

il co l l egamento contro l la to tra reti a diverso livello d i sicurezza (sicurezza del per imetro) .

Generalmente un firewall di rete è costituito da più macchine differenti che lavorano assier per prevenire accessi non voluti: i l r ou te r e s t e rno , quello connesso a Internet, invia tutl traffico entrante a l l ' appl icat ion g a t e w a y che seleziona i pacchetti utilizzando apposite liste accesso (AGL Access control list) e l i inoltra alla rete interna: quindi i l gateway filtra i l trat entrante e uscente, eliminando i pacchetti che non soddisfano i requisiti di sicurezza individt (•4 fi ltering router •

( -A Filtering router A router which examines packets of data and filters those packets which a system administrator has determined should not reach certain destinations. A good example

^o f the use of a fi ltering router is in implementing a firewall using a proxy server. •

Un conce t to essenziale della sicurezza è che un f i rewal l non si " c o m p r a " , si p r o g e t t a : si c o m prano i s ingol i c omponen t i in base alle propr ie esigenze genera lmente cercando un c o m e : messo ot t ima le tra sicurezza funzionalità e costo.

La difesa perimetrale con i firewall _ r ' v Lezione 4

.rttazione di un firewall bisogna tenere presente tre principi fondamentali.

I T R E PR INCIP I I N D E R O G A B I L I DE I F I R E W A L L il f irewall deve essere l 'unico pun to di conta t to della rete interna con quella esterna. Solo il traff ico " au to r izza to " può attraversare il - - .

deve essere un sistema a l tamente sicuro esso stesso. D. Cheswick, S. Bellovin

. a / i o n e dei firewall

. differenziazione viene fatta sul tipo di protezione che i l firewall deve fare: come già detto, : avere attacchi sia dall'esterno che dall'interno, e quindi la prima classificazione riguarda

: vengono controllati i collegamenti incoming, gli accessi ai servizi che sono offerti » della LAN; esvall: vengono controllati collegamenti outgoing, cioè l'attività del personale interno

. reo l'esterno, in modo da filtrare i l traffico in modo che quello non autorizzato o dolaci mai la rete interna.

U npo di classificazione prevede il numero di host protetti contemporaneamente: i f i r e w a l l : proteggono il singolo host consentendo, generalmente di default, qualsiasi traf-wFesterno ( o u t b o u n d ) e bloccando quello dall'esterno ( i n b o u n d ) ; k f cewa l l : si interpone fra la LAN e Internet e controlla tutto i l traffico passante.

rr«: i i classificazione viene fatta a seconda del livello di intervento: pacchetto IP: permettono di bloccare o abilitare selettivamente il traffico che attraversa il ,#etìnendo i protocolli (o meglio, il tipo di pacchetto), gli indirizzi IP e le porte utilizzate;

. rappresentano una sorta di intermediario che si occupa di intrattenere le connesso di qualcun altro nella rete interna.

firewall ili può essere semplice-

rrijgramma installato sul proprio ccegge quest'ultimo da attacchi e>>i il traffico dall'interno verso consentito per default mentre i l resterno verso l'interno è vietato

-ono utilizzabili solo a scoia impensabili in una azienda aiterebbero economicamente iti e inoltre sarebbe difficile

•enure una politica comune delle po-^ ^ ^ p configurare ogni singolo host

La sicurezza aziendale inoltre non pe rme t t e d i avere l ibero il t raff ico verso l 'esterno (pericolo d i backdoor, w o r m ecc.).

ali più utilizzati sono quelli inclusi insieme ai sistemi operativi Windows e GNU/ va si possono scegliere soluzioni di terze parti come ZoneAlarm, C o m o d o Perso-ICE. N o r t o n Personal Firewall ecc.

151

UdA 3 La sicurezza delle reti

Zoom su... ZONE ALARM Zone Alarm è un p r o d o t t o c o m p l e t o per la sicurezza che integra per fe t tamente un plur ipremia-t o antivirus e un firewall che fornisce prestazioni e protez ione o t t ima l i . Protegge il PC da virus, Spyware, phishing e altri attacchi e d è gra tu i to per usi domes t i c i : è d i spon ib i l e per i sistemi o p e rativi più recenti, inclusi W indows 7, W indows Vista, W i n d o w s XP, Internet Explorer e Firefox.

Network firewall Sono i classici firewall aziendali dove una (o più) macchine sono dedicate al filtraggio di tutto il traffico da e per una rete locale e solo il traffico autorizzato deve attraversare i l firewall facendo in modo di mantenere i servizi di rete ritenuti necessari.

Applicazioni

r % LAN < >

Applicazioni LAN

Applicazioni

v

A seconda del livello di rete nel quale si fanno i controlli i network firewall possono essere classificati in: I packet-filtering router: network level gateway; • circuit gateway: gateway a livello di trasporto; I proxy server: gateway a livello di applicazione. I Nei sistemi di protezione aziendali spes

so sono combinat i tra di loro.

Packet headers

TCP stream UDP datagram

Application

Transport (TCP/UDP)

Network (IP)

Datalink

Application data

Application gateway

Circuit gateway

Packet filter

Physical

152

La difesa perimetrale con i firewall

Zoom su...

NAT FIREWALLS O g n i router che effettui funzioni d i NAT p ro t egge da accessi es temi in q u a n t o gf i host interni

;s edono indirizzi pr ivat i , non accessibili da Interne : : non è q u i n d i possib*te attivare una con--essione dal l 'esterno e ogn i tenta t ivo d i po r t scan v iene b loccato su t u t t e le p o r t e t ranne quel le pe r cui è abi l i tato il fo rward ing . Pion vengono però fatt i control l i d i o u t b o u n d e, q u i n d i , se v i ene instal lato u n p r o g r a m m a d i E ; :• " o r su un host, questo può connetters i ve rsc „- se-.e- es---- : i ere-e - : : ' ~ 3 z * o n i

H p b rete, senza alcuna possibilità d i cont ro l lo : non ef fet tua n e p p u r e il con t ro l i o a l ivel lo appl i-cac .o e qu ind i pe rme t t e il d o w n l o a d d i virus ecc.

cket filter router ipacket ftltering router scherma i pacchetti dipendentemente dal tipo di protocollo, dall'indirizzo b sorgente e della destinazione e dai campi di controllo presenti nei pacchetti in transito, cioè • u z a le informazioni contenute nell'header TCP/IP a livello di rete e di trasporto (packet inspec-

- - individuare: t del mittente o del destinatario; B&rizzo MAC sorgente o di destinazione: nmero di porta verso cui è destinato il pacchetto: •otocollo da utilizzare.

decide se i l pacchetto può essere accettato o meno attraverso un algoritmo di scelta che •sa su una lista di regole (in ordine di priorità) precedentemente definite: le filosofie applicabili •e regola di funzionamento sono quindi due. diametralmente opposte:

e NON è specificatamente permesso è proibito (dei a ,r.c NON è specificatamente proibito è permesso (permit);

. le di controllo possono essere configurate in modo statico (manuale) con validità temporale oppure dinamico.

in base a queste regole i pacchetti possono essere: allow: i l firewall permette al pacchetto di raggiungere la sua destinazione;

: i l firewall scarta i l pacchetto, senza che questo passi attraverso il firewall e viene inviato un aggio d'errore all'host sorgente;

l/reject: i l firewall scarta i l pacchetto senza restituire nessun messaggio d'errore all'host ". implementando quella che viene chiamata metodologia black hole, che elimina il pac-

: senza che la sua presenza venga rivelata agli estranei.

permettere soltanto il traffico sulla porta 80 e 443 le regole di filtraggio dovranno essere

ria Azione (Rule)

Host Esterno

Porta Host Interno

Porta Descrizione

accept any any localhost 80 traffico Web HTTP accept any any localhost 443 traffico Web HTTPS deny any any any any default

153

I Fisicamente il v iene d isposto su un router fra la rete locale e Internet ( router d i f r o n t iera) : da to che d e v o n o eseguire mo l tep l i c i e laborazioni deve disporre d i una veloce e di notevo le memoria d inamica .

A C L Access Control List Le regole vengono disposte in liste apposite chiamate ACL (Access Control List) dove è possibile dettagliare i nitri da applicare a ogni pacchetto in funzione delle informazioni presenti negli header

. „uindi a livello 3 i networking); a volte vengono analizzati anche gli header di livello 4 (transpon ) ma si ignorano le informazioni del protocollo applicativo al quale i l pacchetto si riferisce.

Le - : basano o su indirizzo sorgente o destinazione o sui protocolli e sui numeri di porta dei livelli superiori e le filosofie alla loro base sono due, tra loro opposte: t a zz : . tutti è permesso per default e nella lista è presente l'elenco dei divieti I closed security policy: tutto è vietato per default e nella lista ACL sono elencati i pochi accessi che

vengono permessi, come nell'esempio precedente, ed è la politica maggiormente adottata.

L esempio seguente mostra una seconda formulazione di una tutti i client di una LAN a un solo indirizzo Web:

che consente la connessione di

Nr. Regola Azione Source Source Port Destination Destination Nr. Regola Address Address Port

allow any any/TCP 65.107.1.3 80/TCP 2 allow 65.107.1.3 80/TCP localhost any/TCP 3 -e ec: any any any any

Client Intranet

192.168.0.254

192.168.0.69

193.100.2.16

Server Internet

65.107.1.3

Le Ai !L possono anche essere inserite su qualunque router anche se trovano la loro applicazione ottimale nei router firewall posizionati tra i router interni e Internet.

Due esempi di ACL frequentemente utilizzati sono: > Cisco router ACL; • Linux Netfilter e Iptablcs.

In questo caso il n «ter ha quindi la funzionalità di NAT e di packet filter.

Configurazione di un router con packet tiltering Configurare un router con packet tiltering non è una operazione banale e presenta le seguenti difficoltà: > in primo luogo è necessario definire le regole sulla base delle quali effettuare le operazioni di filtraggio: • quindi si deve verificare il corretto funzionamento di queste regole; I generalmente si è in presenza di protocolli proprietari eterogenei e risulta articolato configurare

le funzionalità di packet filteriny: I bisogna individuare ed eliminare le vulnerabilità non documentate, esistenti nelle versioni dei

sistemi operativi utilizzati.

154


comunque tipi di intrusioni che sono difficili da identificare sfruttando le informazioni sull'header del pacchetto perché gli attacchi sono indipendenti dal servizio: •echi che falsificano i l source address IP (IP Spoofing): tali attacchi possono essere sconfitti mando semplicemente ciascun pacchetto con un source address IP interno ma proveniente da _ ielle interfacce del router che sono rivolte verso l'esterno: •echi source routing: possono essere sconfitti semplicemente scartando tutti i pacchetti che «tengono source route nel campo option del datagramma IP: •echi con piccoli frammenti: un attacco con piccoli frammenti può essere «•••«finn scartando tutti icchetti in cui i l campo protocol type sia pari a 6 (cioè . . s ia pari a 1.

•opali vantaggi nell'utilizzo di un packet filtering rou' - r. parenza: l'utente non si accorge della presenza del ~ 11 dato che non lavora a livello appli-

e quindi non ostacola in alcun modo il normale utilizzo della re: =r : : effettuando minori controlli rispetto agli altri che descriverem in seguii i risulta •ere il più veloce e semplice da implementare:

iatezza: tramite la definizione di una singola regola si può difendere un'intera rete dai pe-derivanti da quel tipo di traffico; ay-only: non sono richieste ulteriori configurazioni aggiuntive per i client;

•ologia della rete interna invisibile dall'esterno: se viene aggiunto un NAT, dall'esterno l'unico bile è i l gateway.

antro, gli svantaggi nell'uso di un packet filtering router sono: i livello: un packet filtering router è veloce ma non è in grado di elaborare le informazioni dei - perfori a quello di rete e quindi non è in grado di bloccare attacchi mirati a vulnerabilità i specifica applicazione; *nza di servizi aggiuntivi: non permettono la gestione di servizi quali l'autenticazione, l'http caching e i l filtraggio di uri e dei contenuti delle pagine web;

Bjphg limitato: analizzando solo i pochi campi presenti nell'header del pacchetto genera dei E di log con poche informazioni che generalmente sono insufficienti per verificare se il firewall

sempre il proprio dovere; •bile allo spoofing: dato che vengono filtrati i pacchetti in base alla loro provenienza i casi aoofing non vengono riconosciuti; I complesso: è lungo e complicato effettuare le prove che ne verifichino il funzionamento.

• Seat e fui inspcetion teful inspection, anche detti firewall di seconda generazione, effettuano i l filtraggio

• E -ci singolo pacchetto ma sulla connessione (da qui il nome "statefull"). . mesta di connessione, se questa viene accettata e quindi non bloccata dalle regole di filtrag-eagono memorizzate le sue caratteristiche in una tabella di stato in modo che i successivi

i non vengano più analizzati ma, una volta riconosciuti, gli venga permesso i l transito, indo al firewall notevoli quantità di elaborazione.

fila di stato per ogni connessione sono memorizzati i seguenti dati: tore univoco del collegamento di sessione;

I rizzi IP dell'host sorgente e di destinazione; - ..e di rete utilizzate;

co della connessione, che può essere: . se si è nella fase iniziale, quella in cui si raccolgono le informazioni e si salvano

b tabella di stato, . se la connessione è stata stabilita;

Kr_. se la connessione è terminata e si sta per eliminare la entry.

155

Un esempio di tabella è riportata di seguito:

Source Address Source Port Dest. Address Dest. Address Connection State 192.168.0.16 1050 192.168.1.33 80 handshaking 192.168.0.100 1250 192.168.1.23 25 established 192.168.0.106 1120 192.168.1.13 443 established 192.168.0.26 1230 192.168.1.03 80 closing

Utilizzando queste informazioni i l firewall analizzerà ogni pacchetto per verificare se al compw ter che sta trasmettendo i dati è consentito effettuare una connessione col computer che d riceverli.

Al termine della connessione viene eliminata la entry che la descrive dalla tabella, in modo da cuperare spazio: se una applicazione ha periodi di inattività ma è necessario tenerla aperta è -ciente che di tanto in tanto invii segnali di keep-alive.

I principali vantaggi nell'utilizzo di uno stateful inspection packet filter router sono: • buon rapporto prestazioni/sicurezza: offre un ottimo compromesso fra prestazioni e sicur

dato che effettua meno controlli durante la connessione ed è più affidabile di un filter router: ì protezione da IP spoofing e session hijacking: dato che il controllo viene effettuato sulla cor

sione è molto più difficile riuscire a violarlo; I tutti i vantaggi del packet fiItering: ha anche tutti gli altri vantaggi dei packet filter dato che nel

una diretta evoluzione (immediatezza, possibilità di natting, gateway-only ...).

Per contro, gli svantaggi nell'uso di uno stateful inspection packet filter sono: • protocollo unico: sfruttando molte delle caratteristiche proprie del protocollo TCP risulta i

mente utilizzata all'interno di altre infrastrutture di rete; I servizio di auditing limitato: come per il packet filter le informazioni che registra nei file d

sono ancora insufficienti per una completa diagnostica; I mancanza di servizi aggiuntivi: lavorando ai livelli inferiori come il packet filter non per

servizi aggiuntivi come la gestione delle autenticazioni e i l filtraggio dei contenuti; I testing complesso: è lungo e complicato effettuare le prove che ne verifichino il funzionarne

la sua corretta configurazione.

• Application proxy Un gateway a livello di applicazione permette di realizzare una politica di sicurezza molto più i di un semplice packet filtering router: in esso non vengono analizzati e filtrati i pacchetti ma « no gestite le applicazioni utilizzando un apposito programma detto proxy.

Il proxy è un programma che \iene seguito sul gateway che funge da intermediario a livello di applicazione, ad esempio tra il computer dell'utente e Internet; nelle applicazioni client-server un application proxy comunica con i l client simulando di essere il server, e viceversa, comunica con il server simulando di essere il client.

Mentre un packet filter è capace di utilizzare soltanto informazioni di basso livello come ùWfefl IP e numero di porta, un application proxy è in grado di ispezionare l'intera porzione dati dei] chetto ed è in grado di bloccare pacchetti FTP che contengono certi nomi di file, così da im connessione con determinate pagine o siti web.

156


fediamo praticamente come avviene il funzionamento in presenza di un pi un host della LAN invia al firewall una richiesta di connessione con un sito web: il proxy raccoglie la richiesta, controlla i l set di regole per assicurarsi che essa sia lecita, per poi rigenerarla e inviarla al server; quest'ultimo riceve la richiesta del proxy co- . me se fosse partita dall'host e invia a esso la risposta; --posta che viene nuovamente analizzata dal

prima di essere inviata all'host interno.

In presenza d i un proxy in nessun caso i pacchett i v iagg iano d i re t tamente fra cl ient e server.

gni applicazione è necessario un proxy spe-appositamente configurato: a volte può an-

richiedere modifiche dell'applicativo client. opzionalmente effettuare i l mascheramento / lerazione degli indirizzi IP interni e normal-

ìte svolge anche le funzioni di autenticazione, endo quindi un alto livello di sicurezza che. Talmente, va a scapito dei costi sia hardwa-

che software e della trasparenza del sistema da te dell'utente.

# BASTION HOST Nel caso in cui l 'application proxy rappresenta l'unico punto di con ta t to con la rete esterna prende

il nome di n host, poiché è apposi ta mente "corazzato e p r o t e t t o " per resistere agli attacchi.

1 CIRC

Zoom su...

RCUIT-LEVEL GATEWAY variante del l 'appl icat ion proxy è il circuit-level gateway che è un proxy non "application-awa-r~e crea un circuito tra client e server a livello t rasporto senza effettuare analisi dei dat i in tran-

- questo m o d o viene a cadere il mode l lo client/server per la durata della connessione ma enta la protezione del server in quanto lo isola da tut t i gli attacchi che riguardano l'handshake e la frammentazione dei pacchett i IP.

vantaggi nell'utilizzo di un gateway a livello di applicazione sono: mio completo: dato che utilizza anche le informazioni contenute nel body, effettua un dop-ontrollo. sia quando viene inviata la richiesta che quando si riceve la risposta;

aliati: avendo a disposizione anche le informazioni di livello applicativo produce dei file ( m i t o accurati;

rnnessione diretta: tutti i dati in transito sono analizzati e ricostruiti: tentativi di buffer-simili sono intercettati e non vengono inoltrati all'host interno;

;nche in caso di crash: nel caso di un crash del proxy la LAN risulta isolata e quindi . dall'esterno rimanendo protetta;

o per connessioni multiple: è in grado di gestire connessioni separate che appartengono Basa applicazione; mn&y. è semplice configurare le regole di filtraggio rispetto a quelle di un packet filtering router; tcarone e filtraggio dei contenuti: offre anche i l servizio autenticazione dell'utente e il «». dei contenuti; teffettua il caching delle pagine Web e quindi offre un ulteriore servizio liberando la rete da » Emiri le nel caso di richiesta della stessa pagina:

157

Per contro, gli svantaggi nell'uso di un gateway a livello di applicazione sono: • è poco trasparente: richiede che ogni computer della LAN interna sia configurato per utilizzare

il proxy; I richiede un proxy per ogni applicazione: è necessario dedicare un proxy a ogni servizio che si

ha necessità di far passare attraverso il firewall e, data la dinamicità con la quale vengono offerti servizi in rete, è necessario il suo continuo aggiornamento;

> ha basse performance: la gestione della connessione attraverso il proxy richiede molto lavoro per la CPU e quindi ha prestazioni molto inferiori rispetto ai firewall delle generazioni precedenti.

• DMZ DMZ è la sigla di M Demi l i tar ized Zone • (zona demilitarizzata) ed è una "sezione di rete" delicata e importante per i processi di sicurezza. La zona demilitarizzata è una porzione di rete che separa la rete interna dalla rete esterna: i serve* nella DMZ sono accessibili dalla rete pubblica, perciò non sono trusted (dalla rete interna) e quindi devono essere segregati in quanto, se venissero compromessi, questo non deve produrre effetti collaterali nella rete aziendale.

La DMZ permette di effettuare la sicurezza perimetrale, cioè protegge una rete nei punti in cui est è a contatto con il mondo esterno, interponendosi tra la LAN aziendale e la WAN esterna:

WAN "Front end" firewall "Back end" firewall

LAN

• i l lato LAN (locai area network) è i l segmento privato e protetto, e a esso appartengono tutti host e i server i cui servizi sono riservati all'uso interno;

• la zona WAN (wide area network) è la parte esterna, e a essa appartengono uno o più apparati routing che sostengono il traffico da e per la rete locale, sia verso Internet che verso eventuali remote dell'azienda.

La principale difesa contro gli attacchi a una rete è proprio una corretta organizzazione topologf della rete stessa: l'approccio ormai condiviso è quello di suddividere la rete in zone di sicurezza modo che: I i dispositivi e le risorse sono posizionati nelle zone in base ai loro livelli e requisiti di sicurezza: I la rete acquisisce una maggiore scalabilità e una conseguente maggiore stabilità.

I Per essere def in i ta , la Z \'Z necessita d i un IP statico e pe rme t t e d i esporre al A / un s o c indirizzo p , qu ind i un solo computer , al qua le v e n g o n o inoltrate t u t t e le richieste d i connessione.

•4 DMZ (DeMilitarized Zone) A middle ground between an organization's trusted internal network and an untrusted, external network such as the Internet. Also called a "per imeter network", the DMZ is a subnetwork (subnet) that may sit between firewalls or off one leg of a firew Organizations typically place their Web, mail and authentication servers in the DMZ. DMZ is a rr term that refers to the area between two enemies. •

158

iamo tre possibili architetture:

DMZ dentro un ramo del firewall

DMZ tra due firewall

. sopra i l firewall interno

159

UdA 3 La sicurezza delle reti

Utilizzando un'architettura 3-tier (n-tier), dove sono separati webServer, application Server e i l DataBase, è buona norma mettere il webServer verso l'esterno e collocare nella DMZ l'application Server, che di solito ospita la business logie e si collega al DB, che rigorosamente deve essere all'interno della LAN.

Nel le d i t t e in cui la sicurezza dei dat i è vitale è possibi le int rodurre un sistema di stratif icazione del la DMZ inserendo anche più d i due firewalls e più DMZ.

160

DIFESA PERIMETRALE N I FIREWALL

Documents

Transcript of DIFESA PERIMETRALE N I FIREWALL