I firewall - avires.dimi.uniud.it · • Personal firewall: gestisce una lista di applicazioni in...

Sicurezza nelle applicazioni multimediali: lezione 9, firewall

I firewall


Perché i firewall sono necessari

2

• Le reti odierne hanno topologie complesse…– LAN (local area networks)– WAN (wide area networks)– Accesso a Internet

• Le politiche di accesso cambiano a seconda della topologia della rete, della direzione della connessione, del servizio a cui si accede ecc…


I firewall

3

• Un firewall è una «barriera» attraverso cui deve passare tutto il traffico da/verso una rete che deve essere protetta

• Scopi eterogenei, ad es…– Bloccare gli attacchi provenienti dall’esterno– Impedire agli utenti della rete di collegarsi a siti pericolosi– Bloccare alcuni protocolli, ad es. quelli di file sharing– …


Caratteristiche fondamentali dei fw

4

• Tutto il traffico, da e verso la rete da proteggere, passa attraverso il firewall

• Solo il traffico autorizzato può passare

• Il firewall è un sistema sicuro


Limiti dei firewall

5

• Un firewall non può:– Proteggere la rete da attacchi che aggirano il

firewall (es. una connessione dial-up, un accesspoint wifi aperto)

– Proteggere dalle minacce interne (ad es. un utente della rete interna che divulga dati riservati)

– Proteggere da dispositivi mobili infettati all’esterno e poi collegati alla rete interna


Tipi di firewall

6

• I firewall si possono distinguere in base al livello a cui operano– Firewall a filtraggio di pacchetto (packet filtering fw)– Firewall «stateful»– Firewall a livello applicativo (application proxy)– Firewall a livello di circuito (circuit-level proxy)


Packet filtering

7

• Il fw analizza gli header di ognipacchetto IP in transito:

– Indirizzi IP sorgente e destinazione– Protocollo di trasporto incapsulato

(ad es. TCP o UDP)– Porte sorgente e destinazione del protocollo di trasporto– Interfaccia di arrivo e di inoltro del traffico


Packet filtering / 2

8

• La configurazione del firewall prevede la definizione di una policy di base (blocca/inoltra) e una serie di regole specifiche. Ad es…

Azione Src addr Src port Dst addr Dst port flags

Allow 192.168.0.x * * * *

Allow * * 192.168.0.x * ACK

Block 1.2.3.4 * 192.168.0.1 25 *

Allow * * 192.168.0.1 25 *

Default policy: block


PF: vantaggi e svantaggi

9

• Pro: concettualmente semplice, trasparente all’utente, molto veloce

• Contro:– Nessun controllo sui livelli più alti, quindi non può

prevenire attacchi che sfruttino vulnerabilità di alto livello– Per lo stesso motivo, non c’è alcun controllo sugli utenti– Potenziale vulnerabilità ad attacchi che sfruttino problemi

dello stack TCP/IP (ad es. address spoofing)– Le regole possono essere molte ed è facile commettere

errori di configurazione


Esempi di attacchi a un PF-fw e contromisure

10

• IP address spoofing– Bloccare i pacchetti provenienti da un’interfaccia

esterna e con indirizzo IP interno

• Fragment attack– Bloccare i frammenti iniziali troppo piccoli


Stateful inspection firewall

11

• Come un PF firewall, ma in piùtiene traccia di tutte le connessioniTCP aperte da/verso l’esterno.

• Modella esplicitamente il concetto di sessione TCP e permette di definire delle regole su tale base.– Ad es: accettare automaticamente tutti i pacchetti di

«ritorno» di una sessione TCP precedentemente autorizzata.


Application Proxy

12

• Non si ha più una connessione diretta tra macchina interna ed esterna alla rete, ma dueconnessioni separate.

• Il proxy lavora a livello di applicazione (ad es. HTTP, FTP, ecc…), riceve richieste secondo questi protocolli e le inoltra o le blocca, a seconda della configurazione

• I client sono forzati a passare attraverso il proxy, l’accesso diretto a server esterni è bloccato


Application proxy: vantaggi e svantaggi

13

• Pro– Permette di definire delle regole molto «potenti»,

specifiche per un determinato protocollo (ad es. ‘blocca le potenziali immagini pornografiche in una pagina web’)

• Contro– Meno veloci di un semplice PF– È necessario un proxy per ogni protocollo

applicativo che si vuole supportare


Circuit-level proxy

14

• A metà tra i fw stateful e gli application proxy.

• Come negli application proxynon c’è una comunicazione TCPdiretta, ma non viene fatto nessun controllo a livelloapplicativo. Similmente ai fw stateful, si può solostabilire se una connessione va aperta o meno.

• Esempio più noto: SOCKS proxy


Scelta del dispositivo su cui installare il fw

15

• Bastion host: un sistema estremamente protetto, che gestisce il minor numero di servizi possibili (tipicamente, solo il firewall)

• Host-based firewall: firewall per la protezione di una singola macchina. Non inoltra pacchetti ad altre macchine della rete

• Personal firewall: gestisce una lista di applicazioni in esecuzione con i relativi permessi di accesso alla rete, ad es. per bloccare la trasmissione di dati da parte di virus o malware


Posizionamento dei bastion host nella rete

16

• La configurazione più semplice: un singolo firewall tra la rete interna e quella esterna


Posizionamento dei bastion host nella rete

17

• Creazione di una DMZ (demilitarized zone): mediante due firewall (o un firewall con due interfacce) si definisce una zona intermedia in cui posizionare i server della LAN che devono offrire servizi all’esterno.

I firewall - avires.dimi.uniud.it · • Personal firewall: gestisce una lista di applicazioni in...

Documents

Transcript of I firewall - avires.dimi.uniud.it · • Personal firewall: gestisce una lista di applicazioni in...