Firewall e Security su Firewall e Security su InternetInternet

Appunti per la cl. 5 sez. HAppunti per la cl. 5 sez. H

A cura A cura

del prof. ing. Mario Catalanodel prof. ing. Mario Catalano

I servizi Internet sono molti e I servizi Internet sono molti e molto utili, ma … sono molto utili, ma … sono

potenzialmente pericolosi!potenzialmente pericolosi! Internet è una comunità in continua crescitaInternet è una comunità in continua crescita Si è passati da una popolazione prettamente Si è passati da una popolazione prettamente

scientifica e di ricerca ad una “mista”scientifica e di ricerca ad una “mista” Una popolazione statisticamente Una popolazione statisticamente

rappresentativa dell’intera umanitàrappresentativa dell’intera umanità C’è sempre chi sfrutta l’altrui fatica a proprio C’è sempre chi sfrutta l’altrui fatica a proprio

esclusivo vantaggio, indipendentemente esclusivo vantaggio, indipendentemente dalle conseguenze!!dalle conseguenze!!

Cosa proteggere?Cosa proteggere?

DATI le cui caratteristiche sono:DATI le cui caratteristiche sono: segretezzasegretezza integritàintegrità disponibilitàdisponibilità

RISORSE come ad esempio:RISORSE come ad esempio: spazio su discospazio su disco tempo di CPUtempo di CPU ampiezza di banda della reteampiezza di banda della rete servizi altrimenti a pagamentoservizi altrimenti a pagamento

Come funziona un firewallCome funziona un firewall

Costringe ad entrare attraverso un punto ben controllatoCostringe ad entrare attraverso un punto ben controllato Impedisce agli attaccanti di avvicinarsi troppo alle altre Impedisce agli attaccanti di avvicinarsi troppo alle altre

difesedifese Costringe ad uscire attraverso un punto ben controllatoCostringe ad uscire attraverso un punto ben controllato Nella terminologia militare : un Check-Point!Nella terminologia militare : un Check-Point!

Firewall

Rete interna

Cosa può fare un Firewall?Cosa può fare un Firewall?

E’ un punto focale per le decisioni E’ un punto focale per le decisioni inerenti la sicurezzainerenti la sicurezza

Può potenziare le politiche di Può potenziare le politiche di sicurezzasicurezza

Può tener traccia (log) delle attività da Può tener traccia (log) delle attività da e verso Internet in modo efficientee verso Internet in modo efficiente

Limita l’esposizione all’esterno della Limita l’esposizione all’esterno della reterete

… … e cosa NON può faree cosa NON può fare

Non può proteggere da Non può proteggere da malfunzionamenti internimalfunzionamenti interni

Non può proteggere da quello che Non può proteggere da quello che non ci passa attraversonon ci passa attraverso

Non può proteggere da minacce Non può proteggere da minacce completamente nuovecompletamente nuove

Non può proteggere da virus e similiNon può proteggere da virus e simili

CHE COSA E' UN FIREWALLCHE COSA E' UN FIREWALL

un firewall è un insieme di componenti un firewall è un insieme di componenti che si collocano tra 2 reti e che che si collocano tra 2 reti e che possiedono le seguenti proprietà:possiedono le seguenti proprietà:

Tutto il traffico di dati entrante ed Tutto il traffico di dati entrante ed uscente dalla rete interna e viceversa uscente dalla rete interna e viceversa deve passare attraverso il firewall.deve passare attraverso il firewall.

Solo il traffico autorizzato puo' passare Solo il traffico autorizzato puo' passare impunemente attraverso il firewallimpunemente attraverso il firewall

Il firewall e' immune (o almeno si spera) Il firewall e' immune (o almeno si spera) alle penetrazioni illegalialle penetrazioni illegali

Quali strategie per la Internet Quali strategie per la Internet Security?Security?

Privilegi minimi (least privilege)Privilegi minimi (least privilege) Difesa in profondità (defense in Difesa in profondità (defense in

depth)depth) Punto di strozzatura (choke point)Punto di strozzatura (choke point) L’anello più debole (weakest link)L’anello più debole (weakest link)

Privilegi minimi – least Privilegi minimi – least privilegeprivilege

Ogni oggetto (utente, amministratore, Ogni oggetto (utente, amministratore, programma, sistema, ecc…) dovrebbe avere programma, sistema, ecc…) dovrebbe avere solo i privilegi necessari e sufficienti al suo solo i privilegi necessari e sufficienti al suo compito… ma non di più!compito… ma non di più!

Molti dei problemi relativi alla sicurezza Molti dei problemi relativi alla sicurezza derivano dalla non applicazione di questa derivano dalla non applicazione di questa regolaregola

Non è, comunque, sempre di facile Non è, comunque, sempre di facile applicazione, specialmente per quanto applicazione, specialmente per quanto riguarda gli utentiriguarda gli utenti

Difesa in profondità – defense Difesa in profondità – defense in depthin depth

Non dipendere da un solo Non dipendere da un solo meccanismo di sicurezza, per quanto meccanismo di sicurezza, per quanto forte possa sembrareforte possa sembrare

Introdurre la “Ridondanza” della Introdurre la “Ridondanza” della SecuritySecurity

Punto di strozzatura – choke Punto di strozzatura – choke pointpoint

Un choke point forza gli attaccanti ad Un choke point forza gli attaccanti ad utilizzare un “canale” di accesso utilizzare un “canale” di accesso stretto e facilmente controllabile.stretto e facilmente controllabile.

Ma ciò non è sempre facile da Ma ciò non è sempre facile da realizzare…realizzare…

L’anello più debole – weakest L’anello più debole – weakest linklink

Ricordarsi sempre che “la catena è Ricordarsi sempre che “la catena è forte quanto il suo anello più debole”forte quanto il suo anello più debole”

In altre parole: non sottovalutare In altre parole: non sottovalutare nessun componente della “catena di nessun componente della “catena di sicurezza”sicurezza”

Alcune definizioni (1):Alcune definizioni (1):

FirewallFirewall: un componente o un insieme di : un componente o un insieme di componenti che restringono l’accesso tra componenti che restringono l’accesso tra Internet e una rete protetta o tra altri Internet e una rete protetta o tra altri insiemi di retiinsiemi di reti

Bastion-HostBastion-Host: un computer che deve : un computer che deve essere altamente protetto poichè è essere altamente protetto poichè è esposto alla rete esterna ed è il punto esposto alla rete esterna ed è il punto principale di contatto per gli utenti della principale di contatto per gli utenti della rete internarete interna

Alcune definizioni (2)Alcune definizioni (2)

Dual-Homed hostDual-Homed host: un computer che : un computer che possiede almeno due interfacce di retepossiede almeno due interfacce di rete

Packet FilteringPacket Filtering: l’azione che compie : l’azione che compie un dispositivo per controllare un dispositivo per controllare selettivamente il flusso di dati da e per selettivamente il flusso di dati da e per la rete. Viene anche conosciuto come la rete. Viene anche conosciuto come “screening” e di solito avviene su un “screening” e di solito avviene su un router, un bridge o un hostrouter, un bridge o un host

Alcune definizioni (3)Alcune definizioni (3)

Proxy ServerProxy Server: un programma che : un programma che contatta server esterni in contatta server esterni in rappresentanza di client interni. I rappresentanza di client interni. I proxy client dialogano con il proxy proxy client dialogano con il proxy server i quali rigirano le richieste ai server i quali rigirano le richieste ai server reali e rigirano le loro risposte server reali e rigirano le loro risposte ai clientai client

Gli attacchi all’anello deboleGli attacchi all’anello debole

Quando ho decine o centinaia di server, il Quando ho decine o centinaia di server, il sistema risulta difficilmente gestibile. Se sistema risulta difficilmente gestibile. Se uno di tali server risultasse non uno di tali server risultasse non perfettamente configurato e protetto, esso perfettamente configurato e protetto, esso potrebbe rappresentare l'anello debole potrebbe rappresentare l'anello debole della catena e, se dovesse cadere, della catena e, se dovesse cadere, potrebbero essere attaccati anche tutti gli potrebbero essere attaccati anche tutti gli altri server del sistema. Per difendersi altri server del sistema. Per difendersi dagli attacchi, ci sono alcune operazioni dagli attacchi, ci sono alcune operazioni che possiamo fare, come togliere i servizi che possiamo fare, come togliere i servizi non indispensabili, testare le password non indispensabili, testare le password affinché siano robuste, cambiarle affinché siano robuste, cambiarle frequentemente, ma questo non basta. frequentemente, ma questo non basta.

I tipi di attacchiI tipi di attacchi Bisogna, per prima cosa, analizzare le forme di Bisogna, per prima cosa, analizzare le forme di

attacco che ci possono essere: ve ne sono attacco che ci possono essere: ve ne sono almeno due. almeno due.

Quando dall'esterno riesco ad impadronirmi di Quando dall'esterno riesco ad impadronirmi di una macchina posso utilizzarla per generare dei una macchina posso utilizzarla per generare dei pacchetti che saturano la banda della rete pacchetti che saturano la banda della rete locale. In questo modo ottengo un attacco di locale. In questo modo ottengo un attacco di tipo "deny of service", perché tutti gli altri utenti tipo "deny of service", perché tutti gli altri utenti al di fuori della rete, non riescono a raggiungere al di fuori della rete, non riescono a raggiungere le altre macchine, perché la banda è saturata. le altre macchine, perché la banda è saturata.

C’è poi la possibilità di fare sniffing, mettendo la C’è poi la possibilità di fare sniffing, mettendo la scheda di rete in modalità di ascolto e facendo scheda di rete in modalità di ascolto e facendo partire dei programmi che memorizzano tutti i partire dei programmi che memorizzano tutti i dati che passano in rete. dati che passano in rete.

Difendere tutta la reteDifendere tutta la rete

Bisogna gestire in maniera sicura, quindi, Bisogna gestire in maniera sicura, quindi, l'intera LAN con un'unica entità. l'intera LAN con un'unica entità.

Bisogna, dunque, individuare un confine e Bisogna, dunque, individuare un confine e fare una "perimeter security", effettuare, fare una "perimeter security", effettuare, cioè, un controllo degli accessi al confine cioè, un controllo degli accessi al confine della rete. Le entità, hardware e software, della rete. Le entità, hardware e software, che sono preposte per fare la perimeter che sono preposte per fare la perimeter security, si chiamano sistemi firewall . security, si chiamano sistemi firewall .

I sistemi firewall non sono tutti uguali, ci I sistemi firewall non sono tutti uguali, ci sono alcune architetture standard. sono alcune architetture standard.

I sistemi FirewallI sistemi Firewall Una volta individuata la necessità di mettere in Una volta individuata la necessità di mettere in

rete un servizio web, FTP o di posta rete un servizio web, FTP o di posta elettronica, devo stabilire come proteggerlo. elettronica, devo stabilire come proteggerlo. Se fosse disponibile in maniera aperta, ovvero Se fosse disponibile in maniera aperta, ovvero modificabile da chiunque, lo troverei ben modificabile da chiunque, lo troverei ben presto con l'home page modificata, con i dati presto con l'home page modificata, con i dati alterati, ecc. Allora è necessario attivare il alterati, ecc. Allora è necessario attivare il meccanismo di protezione lungo il perimetro. meccanismo di protezione lungo il perimetro.

Il sistema firewall pretende di restringere gli Il sistema firewall pretende di restringere gli accessi attraverso un'opportuna policy, che accessi attraverso un'opportuna policy, che deve essere definita: bisogna avere ben chiaro deve essere definita: bisogna avere ben chiaro che cosa il firewall può filtrare o può lasciar che cosa il firewall può filtrare o può lasciar passare. passare.

Tipologie di FirewallTipologie di Firewall

Si può fare un filtraggio a livello rete, allora Si può fare un filtraggio a livello rete, allora ho un ho un IP-firewallIP-firewall. In questo caso si decide . In questo caso si decide se far passare o scartare il pacchetto sulla se far passare o scartare il pacchetto sulla base del singolo pacchetto, tutte le base del singolo pacchetto, tutte le informazioni che sono nel pacchetto informazioni che sono nel pacchetto verranno utilizzate per farlo passare o no. verranno utilizzate per farlo passare o no.

Se utilizziamo il livello TCP, abbiamo un Se utilizziamo il livello TCP, abbiamo un transport level firewalltransport level firewall. .

Infine, se obbediamo a livello di singola Infine, se obbediamo a livello di singola applicazione, abbiamo un applicazione, abbiamo un application level application level firewallfirewall. .

IP firewallIP firewall Nel caso del IPNel caso del IP FIREWALL FIREWALL se se

la policy e è quella di lasciare la policy e è quella di lasciare entrare tutti gli utenti che entrare tutti gli utenti che dichiarino di voler dichiarino di voler raggiungere l'IP-address 1 e raggiungere l'IP-address 1 e di non lasciare entrare quelli di non lasciare entrare quelli che dichiarino di voler che dichiarino di voler raggiungere l'IP-address 2, raggiungere l'IP-address 2, allora l’IP-firewall opera allora l’IP-firewall opera consentendo il traffico da consentendo il traffico da qualunque sorgente e qualunque sorgente e qualunque destination IP-qualunque destination IP-address 1, qualunque porta, address 1, qualunque porta, sia sorgente che destinazione sia sorgente che destinazione si vada a specificare. si vada a specificare.

IP firewallIP firewall Se ho una sequenza Se ho una sequenza

diversa, l'azione è "deny". diversa, l'azione è "deny". ““Locking“: si attiva una Locking“: si attiva una

procedura di registrazione o procedura di registrazione o d’allarme. Questo serve d’allarme. Questo serve quando al firewall è quando al firewall è collegato un sistema di collegato un sistema di detectiondetection, cioè di , cioè di rilevazione di azioni non rilevazione di azioni non lecite. Dopo aver scartato i lecite. Dopo aver scartato i pacchetti non conformi alla pacchetti non conformi alla policy, si registra l'evento. policy, si registra l'evento. Posso registrare l'evento a Posso registrare l'evento a fine statistico (fine statistico (reportingreporting), ), oppure per intervenire oppure per intervenire innalzando una barriera innalzando una barriera aggiuntiva che va a aggiuntiva che va a bloccare i sistemi sotto bloccare i sistemi sotto attacco.attacco.

Transport firewallTransport firewall In questo caso dobbiamo In questo caso dobbiamo

tenere conto dei tenere conto dei flagflag. . Questi sono presenti Questi sono presenti all'interno all'interno dell'intestazione TCP e dell'intestazione TCP e sono i numeri di sono i numeri di sequenza, i quali sequenza, i quali distinguono il flusso distinguono il flusso informativo che viene ad informativo che viene ad essere scambiato. Il essere scambiato. Il firewall può tenere firewall può tenere memoria di una serie di memoria di una serie di frammenti IP che frammenti IP che possono arrivargli in possono arrivargli in successione. successione.

Proxy FirewallProxy Firewall Il caso dell'Il caso dell'APPLICATION APPLICATION

LEVEL FIREWALLLEVEL FIREWALL è è chiamato anche chiamato anche genericamente genericamente proxy firewallproxy firewall. . Se ho una macchina che fa da Se ho una macchina che fa da proxy, spesso si dice che fa proxy, spesso si dice che fa anche da firewall. Il numero anche da firewall. Il numero di parametri che entrano in di parametri che entrano in gioco questa volta è ancora gioco questa volta è ancora superiore, perchè ho anche superiore, perchè ho anche quelli del livello applicativo. quelli del livello applicativo. Ad esempio nel caso di FTP, Ad esempio nel caso di FTP, potrebbe essere che le azioni potrebbe essere che le azioni di di getget e e putput siano abilitate e siano abilitate e le altre non lo siano.le altre non lo siano.

Proxy FirewallProxy Firewall In questo caso non solo In questo caso non solo

devo ricostruire il flusso devo ricostruire il flusso dei pacchetti così come dei pacchetti così come il TCP lo ha generato, il TCP lo ha generato, ma bisogna ma bisogna comprendere interi comprendere interi messaggi FTP per capire messaggi FTP per capire che tipo di azione si che tipo di azione si richiede. Quindi ho un richiede. Quindi ho un rallentamento rallentamento maggiore, ma la policy è maggiore, ma la policy è migliore che non in un migliore che non in un firewall di tipo network.firewall di tipo network.

Funzionalità dei firewallFunzionalità dei firewall

capacità di filtraggio sulla base dei pacchetti, capacità di filtraggio sulla base dei pacchetti, possibilità di agire come proxypossibilità di agire come proxy possibilità di riordinare i pacchetti in modo possibilità di riordinare i pacchetti in modo

che lo screening delle informazioni, se che lo screening delle informazioni, se abilitato, segua lo stesso ordine con cui è abilitato, segua lo stesso ordine con cui è stato immesso nella rete dalla stazione stato immesso nella rete dalla stazione sorgente, cioè la possibilità di riorganizzare il sorgente, cioè la possibilità di riorganizzare il flusso. flusso.

Queste funzionalità non è detto che risiedano Queste funzionalità non è detto che risiedano tutte sulla stessa macchina, possiamo avere tutte sulla stessa macchina, possiamo avere anche delle strutture composite, organizzate anche delle strutture composite, organizzate con più componenti elementari. con più componenti elementari.

Configurazioni dei firewallConfigurazioni dei firewall

Esistono tre configurazioni Esistono tre configurazioni principali: principali:

Dual Homed Host Firewall, Dual Homed Host Firewall, Screened Host Firewall, Screened Host Firewall, Screened Subnet Firewall. Screened Subnet Firewall.

Dual Homed Host FirewallDual Homed Host Firewall

L'architettura L'architettura DUAL HOMED HOST DUAL HOMED HOST FIREWALLFIREWALL è quella più semplice. Questa è è quella più semplice. Questa è realizzata da un pc che ha due interfacce, realizzata da un pc che ha due interfacce, che non necessariamente sono dello stesso che non necessariamente sono dello stesso tipo, ma ad esempio, da un lato ci potrebbe tipo, ma ad esempio, da un lato ci potrebbe essere una interfaccia con una rete locale essere una interfaccia con una rete locale (LAN) e dall'altro lato una connessione con (LAN) e dall'altro lato una connessione con una linea dial-up. Questo potrebbe essere il una linea dial-up. Questo potrebbe essere il caso di tanti software gratuiti per Windows. caso di tanti software gratuiti per Windows.

Dual Homed Host FirewallDual Homed Host Firewall Spesso la macchina che viene utilizzata come Dual Spesso la macchina che viene utilizzata come Dual

Homed Host Firewall, non è specializzata per fare Homed Host Firewall, non è specializzata per fare da firewall. Questa è una grave lacuna. Le da firewall. Questa è una grave lacuna. Le componenti firewall devono essere specializzate a componenti firewall devono essere specializzate a fare da firewall, perché i numerosissimi bug presenti fare da firewall, perché i numerosissimi bug presenti nel S. O., se non tolti, non possono far sì che le nel S. O., se non tolti, non possono far sì che le macchine siano espugnabili. La macchina che fa da macchine siano espugnabili. La macchina che fa da firewall è la macchina che è predisposta alla firewall è la macchina che è predisposta alla protezione della rete locale. Se questa macchina protezione della rete locale. Se questa macchina cade, perché un bug del S.O. viene utilizzato per cade, perché un bug del S.O. viene utilizzato per farla cadere, è inutile avere un software che esegue farla cadere, è inutile avere un software che esegue una politica di filtraggio, perché il software può una politica di filtraggio, perché il software può essere modificato e la macchina essere essere modificato e la macchina essere riprogrammata. In questo modo noi continuiamo a riprogrammata. In questo modo noi continuiamo a pensare di avere in essere un firewall che funziona, pensare di avere in essere un firewall che funziona, in realtà abbiamo un sistema vinto. in realtà abbiamo un sistema vinto.

Router e firewallRouter e firewall

Esistono numerosi costruttori di router che Esistono numerosi costruttori di router che tendono ad implementare dei sistemi tendono ad implementare dei sistemi operativi con funzionalità di firewall, a operativi con funzionalità di firewall, a bordo delle macchine dedicate alle funzioni bordo delle macchine dedicate alle funzioni di routing. Il motivo è che queste macchine di routing. Il motivo è che queste macchine sono naturalmente Dual Homed e sono sono naturalmente Dual Homed e sono molto spesso poste lungo il perimetro, che molto spesso poste lungo il perimetro, che è il punto in cui deve essere applicata la è il punto in cui deve essere applicata la nostra procedura di policy aziendale sulla nostra procedura di policy aziendale sulla sicurezza, il nostro packed filtering e tutte sicurezza, il nostro packed filtering e tutte le altre funzioni. le altre funzioni.

Screened Host FirewallScreened Host Firewall

Se si vuole avere qualcosa di più, un Se si vuole avere qualcosa di più, un sistema che differenzi le varie macchine, sistema che differenzi le varie macchine, alcune le renda raggiungibili, mentre altre alcune le renda raggiungibili, mentre altre non le renda visibili dall'esterno, soprattutto non le renda visibili dall'esterno, soprattutto è il caso in cui si voglia mettere in piedi un è il caso in cui si voglia mettere in piedi un server raggiungibile da un'utenza esterna, server raggiungibile da un'utenza esterna, allora è il caso di implementare la soluzione allora è il caso di implementare la soluzione architetturale indicata come architetturale indicata come SCREENED SCREENED HOST FIREWALLHOST FIREWALL. .

Screened Host FirewallScreened Host Firewall

La differenza rispetto alla soluzione La differenza rispetto alla soluzione vista prima, è che questa volta nella vista prima, è che questa volta nella rete locale esistono alcune macchine rete locale esistono alcune macchine che sono visibili dall'esterno ed alcune che sono visibili dall'esterno ed alcune macchine che non lo sono. Esiste cioè macchine che non lo sono. Esiste cioè un insieme di macchine "screened" ed un insieme di macchine "screened" ed un insieme di macchine che sono un insieme di macchine che sono raggiungibili, quindi che possono raggiungibili, quindi che possono ospitare i servizi web pubblici. ospitare i servizi web pubblici.

Screened Host FirewallScreened Host Firewall Non è possibile dalla macchina esterna raggiungere Non è possibile dalla macchina esterna raggiungere

quella in basso nel lucido. Invece è possibile quella in basso nel lucido. Invece è possibile raggiungere la macchina che è, magari, il web server, raggiungere la macchina che è, magari, il web server, mentre tutte le macchine possono andare a raggiungere mentre tutte le macchine possono andare a raggiungere in maniera esplicita la macchina web. Questa possibilità in maniera esplicita la macchina web. Questa possibilità di effettuare comunicazioni intrarete locale, senza di effettuare comunicazioni intrarete locale, senza passare dal sistema firewall, fa sì che questa soluzione passare dal sistema firewall, fa sì che questa soluzione non sia consigliabile per una rete veramente molto non sia consigliabile per una rete veramente molto popolata, perché qualora si riesca ad attaccare questa popolata, perché qualora si riesca ad attaccare questa macchina, ci si troverà a tutti gli effetti, sulla LAN e macchina, ci si troverà a tutti gli effetti, sulla LAN e utilizzare la macchina accessibile direttamente da utilizzare la macchina accessibile direttamente da Internet, per portare un attacco sulle macchine interne. Internet, per portare un attacco sulle macchine interne. Quindi è un attacco che deve essere fatto a due passi, Quindi è un attacco che deve essere fatto a due passi, ma una volta che il Dual Homed Host, oppure l'host non ma una volta che il Dual Homed Host, oppure l'host non screened, cade, siamo con una porta direttamente sulla screened, cade, siamo con una porta direttamente sulla rete locale che invece dovrebbe essere protetta. rete locale che invece dovrebbe essere protetta.

Screened Subnet FirewallScreened Subnet Firewall La soluzione più evoluta e più costosa è La soluzione più evoluta e più costosa è

una struttura a più livelli, è quella che una struttura a più livelli, è quella che prende il nome di prende il nome di SCREENED SUBNET SCREENED SUBNET FIREWALLFIREWALL. .

In questo caso ad essere protetto non è In questo caso ad essere protetto non è un insieme di host di un gruppo, ma è un insieme di host di un gruppo, ma è un'intera subnet della nostra rete. In un'intera subnet della nostra rete. In questo caso la nostra rete si suddivide in questo caso la nostra rete si suddivide in una rete locale, che viene dichiarata come una rete locale, che viene dichiarata come rete locale privata e protetta, e in una rete rete locale privata e protetta, e in una rete che è chiamata DMZ (Demilitarized Zone). che è chiamata DMZ (Demilitarized Zone).

Screened Subnet FirewallScreened Subnet Firewall

La DMZ è quella parte di rete che sta fra un La DMZ è quella parte di rete che sta fra un primo gateway, l'exterior router, ed un primo gateway, l'exterior router, ed un secondo gateway, l'interior router. In questa secondo gateway, l'interior router. In questa rete vado a mettere le macchine che sono rete vado a mettere le macchine che sono direttamente raggiungibili e che possono direttamente raggiungibili e che possono ospitare dei servizi visibili dall'esterno. ospitare dei servizi visibili dall'esterno. Queste macchine sono quelle che possono Queste macchine sono quelle che possono essere oggetto di attacchi e vengono prese essere oggetto di attacchi e vengono prese robuste il più possibile, concentrando lo robuste il più possibile, concentrando lo sforzo della protezione dei singoli sistemi su sforzo della protezione dei singoli sistemi su di loro. di loro.

Screened Subnet FirewallScreened Subnet Firewall

Come nei vecchi castelli la parte delle mura Come nei vecchi castelli la parte delle mura più prominente sull'esterno, quella che più prominente sull'esterno, quella che veniva ad essere oggetto dei primi attacchi, veniva ad essere oggetto dei primi attacchi, veniva chiamata bastione, così queste veniva chiamata bastione, così queste macchine si chiamano macchine si chiamano Bastion HostBastion Host. Queste . Queste sono idonee ad ospitare servizi pubblici e ad sono idonee ad ospitare servizi pubblici e ad ospitare dei proxy-server, per permettere a ospitare dei proxy-server, per permettere a tutti gli utenti interni di uscire dalla rete tutti gli utenti interni di uscire dalla rete locale ed acquisire informazioni via Internet. locale ed acquisire informazioni via Internet.

Bastion HostBastion Host Devono avere S. O. che non siano configurati Devono avere S. O. che non siano configurati

“normalmente”, perché così si abilitano una serie di servizi, “normalmente”, perché così si abilitano una serie di servizi, di patch che non sono strettamente indispensabili. Le di patch che non sono strettamente indispensabili. Le configurazioni di default dei S.O., da Linux ad Windows NT, configurazioni di default dei S.O., da Linux ad Windows NT, tendono ad essere troppo permissive per una macchina tendono ad essere troppo permissive per una macchina che deve assumere il ruolo di Bastion Host. Quindi è che deve assumere il ruolo di Bastion Host. Quindi è necessario disabilitare tutte le cose che rappresentano una necessario disabilitare tutte le cose che rappresentano una vulnerabilità. Si rimuovono tutti i file che non devono mai, vulnerabilità. Si rimuovono tutti i file che non devono mai, neanche per sbaglio, essere lanciati da un user sulla neanche per sbaglio, essere lanciati da un user sulla macchina locale. Esistono degli speciali tools, che si macchina locale. Esistono degli speciali tools, che si chiamano chiamano system scannersystem scanner, che individuano tutte le , che individuano tutte le vulnerabilità e ci dicono tutte le operazioni da fare per vulnerabilità e ci dicono tutte le operazioni da fare per eliminarle. Il system scanner deve essere fatto girare nella eliminarle. Il system scanner deve essere fatto girare nella macchina che deve essere validata. Ci sono dei sistemi che macchina che deve essere validata. Ci sono dei sistemi che si chiamano si chiamano internet scannerinternet scanner, che invece si lanciano da , che invece si lanciano da una macchina esterna e vanno a vedere le vulnerabilità di una macchina esterna e vanno a vedere le vulnerabilità di tutti i servizi raggiungibili via Internet.tutti i servizi raggiungibili via Internet.

Bastion HostBastion Host

Sono due i princìpi generali nella Sono due i princìpi generali nella costruzione di un bastion host:costruzione di un bastion host: RENDERLO SEMPLICE: più è semplice, RENDERLO SEMPLICE: più è semplice,

più è facile renderlo sicuropiù è facile renderlo sicuro BISOGNA ESSERE, COMUNQUE, BISOGNA ESSERE, COMUNQUE,

PREPARATI AD UNA SUA PREPARATI AD UNA SUA COMPROMISSIONE: difatti, nonostante COMPROMISSIONE: difatti, nonostante gli sforzi fatti per renderlo sicuro, può gli sforzi fatti per renderlo sicuro, può sempre accadere il peggio ed è anche sempre accadere il peggio ed è anche logico, visto che è in “prima linea”logico, visto che è in “prima linea”

ProxyProxy

Il termine “proxy” può essere Il termine “proxy” può essere tradotto come “procura”, “tramite”tradotto come “procura”, “tramite”

Difatti, un proxy è un sistema cheDifatti, un proxy è un sistema che dal punto di vista dell’utente, si dal punto di vista dell’utente, si

sostituisce al server realesostituisce al server reale dal punto di vista del server reale, si dal punto di vista del server reale, si

sostituisce all’utentesostituisce all’utente

ProxyProxyUna richiesta fatta da un client viene valutata dal Una richiesta fatta da un client viene valutata dal

proxy e, se rispetta certe regole, viene rigirata proxy e, se rispetta certe regole, viene rigirata al server reale, altrimenti viene scartata.al server reale, altrimenti viene scartata.

La risposta del server reale viene inviata al proxy La risposta del server reale viene inviata al proxy server che la rigira al client.server che la rigira al client.

IsIs req1 req1 OK?OK?

req1 YES

NO

clientProxy

Real Server

Ans1 Ans1

client Proxy Real Server

ProxyProxy Non c’è alcun vantaggio a collegarsi ad Internet Non c’è alcun vantaggio a collegarsi ad Internet

se, per sicurezza, gli utenti non vi possono se, per sicurezza, gli utenti non vi possono accedereaccedere

D’altra parte, non c’è sicurezza se l’accesso è D’altra parte, non c’è sicurezza se l’accesso è indiscriminato per ogni host della reteindiscriminato per ogni host della rete

Quale compromesso?Quale compromesso? Un solo host collegato ad Internet, completamente Un solo host collegato ad Internet, completamente

separato dalla rete interna, risulta poco utilizzabile e separato dalla rete interna, risulta poco utilizzabile e di difficile gestionedi difficile gestione

Un solo host collegato ad Internet ma che faccia da Un solo host collegato ad Internet ma che faccia da tramite tra gli host interni ed il mondo esterno in tramite tra gli host interni ed il mondo esterno in modo (quasi) trasparente può essere la rispostamodo (quasi) trasparente può essere la risposta

Vantaggi e svantaggi dei Vantaggi e svantaggi dei ProxyProxy

I servizi proxy permettono agli utenti di accedere I servizi proxy permettono agli utenti di accedere ai servizi Internet “direttamente”ai servizi Internet “direttamente”

I servizi proxy sono, solitamente, specifici al I servizi proxy sono, solitamente, specifici al servizio Internet relativoservizio Internet relativo

Permettono un ottimo servizio di loggingPermettono un ottimo servizio di logging Ritardo tra l’introduzione di nuovi servizi Internet e Ritardo tra l’introduzione di nuovi servizi Internet e

la disponibilità del servizio proxy relativola disponibilità del servizio proxy relativo I servizi proxy possono richiedere diversi server I servizi proxy possono richiedere diversi server

per ogni servizioper ogni servizio Alcuni servizi Internet non sono gestibili da proxyAlcuni servizi Internet non sono gestibili da proxy I servizi proxy non proteggono dalle debolezze dei I servizi proxy non proteggono dalle debolezze dei

protocolliprotocolli

Io mi fermo qui, ma…Io mi fermo qui, ma…

Il resto spetta a voi!Il resto spetta a voi!