I firewall - avires.dimi.uniud.it · • Personal firewall: gestisce una lista di applicazioni in...
Transcript of I firewall - avires.dimi.uniud.it · • Personal firewall: gestisce una lista di applicazioni in...
Sicurezza nelle applicazioni multimediali: lezione 9, firewall
I firewall
Sicurezza nelle applicazioni multimediali: lezione 9, firewall
Perché i firewall sono necessari
2
• Le reti odierne hanno topologie complesse…– LAN (local area networks)– WAN (wide area networks)– Accesso a Internet
• Le politiche di accesso cambiano a seconda della topologia della rete, della direzione della connessione, del servizio a cui si accede ecc…
Sicurezza nelle applicazioni multimediali: lezione 9, firewall
I firewall
3
• Un firewall è una «barriera» attraverso cui deve passare tutto il traffico da/verso una rete che deve essere protetta
• Scopi eterogenei, ad es…– Bloccare gli attacchi provenienti dall’esterno– Impedire agli utenti della rete di collegarsi a siti pericolosi– Bloccare alcuni protocolli, ad es. quelli di file sharing– …
Sicurezza nelle applicazioni multimediali: lezione 9, firewall
Caratteristiche fondamentali dei fw
4
• Tutto il traffico, da e verso la rete da proteggere, passa attraverso il firewall
• Solo il traffico autorizzato può passare
• Il firewall è un sistema sicuro
Sicurezza nelle applicazioni multimediali: lezione 9, firewall
Limiti dei firewall
5
• Un firewall non può:– Proteggere la rete da attacchi che aggirano il
firewall (es. una connessione dial-up, un accesspoint wifi aperto)
– Proteggere dalle minacce interne (ad es. un utente della rete interna che divulga dati riservati)
– Proteggere da dispositivi mobili infettati all’esterno e poi collegati alla rete interna
Sicurezza nelle applicazioni multimediali: lezione 9, firewall
Tipi di firewall
6
• I firewall si possono distinguere in base al livello a cui operano– Firewall a filtraggio di pacchetto (packet filtering fw)– Firewall «stateful»– Firewall a livello applicativo (application proxy)– Firewall a livello di circuito (circuit-level proxy)
Sicurezza nelle applicazioni multimediali: lezione 9, firewall
Packet filtering
7
• Il fw analizza gli header di ognipacchetto IP in transito:
– Indirizzi IP sorgente e destinazione– Protocollo di trasporto incapsulato
(ad es. TCP o UDP)– Porte sorgente e destinazione del protocollo di trasporto– Interfaccia di arrivo e di inoltro del traffico
Sicurezza nelle applicazioni multimediali: lezione 9, firewall
Packet filtering / 2
8
• La configurazione del firewall prevede la definizione di una policy di base (blocca/inoltra) e una serie di regole specifiche. Ad es…
Azione Src addr Src port Dst addr Dst port flags
Allow 192.168.0.x * * * *
Allow * * 192.168.0.x * ACK
Block 1.2.3.4 * 192.168.0.1 25 *
Allow * * 192.168.0.1 25 *
Default policy: block
Sicurezza nelle applicazioni multimediali: lezione 9, firewall
PF: vantaggi e svantaggi
9
• Pro: concettualmente semplice, trasparente all’utente, molto veloce
• Contro:– Nessun controllo sui livelli più alti, quindi non può
prevenire attacchi che sfruttino vulnerabilità di alto livello– Per lo stesso motivo, non c’è alcun controllo sugli utenti– Potenziale vulnerabilità ad attacchi che sfruttino problemi
dello stack TCP/IP (ad es. address spoofing)– Le regole possono essere molte ed è facile commettere
errori di configurazione
Sicurezza nelle applicazioni multimediali: lezione 9, firewall
Esempi di attacchi a un PF-fw e contromisure
10
• IP address spoofing– Bloccare i pacchetti provenienti da un’interfaccia
esterna e con indirizzo IP interno
• Fragment attack– Bloccare i frammenti iniziali troppo piccoli
Sicurezza nelle applicazioni multimediali: lezione 9, firewall
Stateful inspection firewall
11
• Come un PF firewall, ma in piùtiene traccia di tutte le connessioniTCP aperte da/verso l’esterno.
• Modella esplicitamente il concetto di sessione TCP e permette di definire delle regole su tale base.– Ad es: accettare automaticamente tutti i pacchetti di
«ritorno» di una sessione TCP precedentemente autorizzata.
Sicurezza nelle applicazioni multimediali: lezione 9, firewall
Application Proxy
12
• Non si ha più una connessione diretta tra macchina interna ed esterna alla rete, ma dueconnessioni separate.
• Il proxy lavora a livello di applicazione (ad es. HTTP, FTP, ecc…), riceve richieste secondo questi protocolli e le inoltra o le blocca, a seconda della configurazione
• I client sono forzati a passare attraverso il proxy, l’accesso diretto a server esterni è bloccato
Sicurezza nelle applicazioni multimediali: lezione 9, firewall
Application proxy: vantaggi e svantaggi
13
• Pro– Permette di definire delle regole molto «potenti»,
specifiche per un determinato protocollo (ad es. ‘blocca le potenziali immagini pornografiche in una pagina web’)
• Contro– Meno veloci di un semplice PF– È necessario un proxy per ogni protocollo
applicativo che si vuole supportare
Sicurezza nelle applicazioni multimediali: lezione 9, firewall
Circuit-level proxy
14
• A metà tra i fw stateful e gli application proxy.
• Come negli application proxynon c’è una comunicazione TCPdiretta, ma non viene fatto nessun controllo a livelloapplicativo. Similmente ai fw stateful, si può solostabilire se una connessione va aperta o meno.
• Esempio più noto: SOCKS proxy
Sicurezza nelle applicazioni multimediali: lezione 9, firewall
Scelta del dispositivo su cui installare il fw
15
• Bastion host: un sistema estremamente protetto, che gestisce il minor numero di servizi possibili (tipicamente, solo il firewall)
• Host-based firewall: firewall per la protezione di una singola macchina. Non inoltra pacchetti ad altre macchine della rete
• Personal firewall: gestisce una lista di applicazioni in esecuzione con i relativi permessi di accesso alla rete, ad es. per bloccare la trasmissione di dati da parte di virus o malware
Sicurezza nelle applicazioni multimediali: lezione 9, firewall
Posizionamento dei bastion host nella rete
16
• La configurazione più semplice: un singolo firewall tra la rete interna e quella esterna
Sicurezza nelle applicazioni multimediali: lezione 9, firewall
Posizionamento dei bastion host nella rete
17
• Creazione di una DMZ (demilitarized zone): mediante due firewall (o un firewall con due interfacce) si definisce una zona intermedia in cui posizionare i server della LAN che devono offrire servizi all’esterno.