I Sistemi Firewall - giovannipagano.eu Sistemi Firewall.p… · Il firewall invece, nel momento in...

Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia

Consorzio per la Formazione e la Ricerca in Ingegneria dell’InfoConsorzio per la Formazione e la Ricerca in Ingegneria dell’Informazione rmazione –– Politecnico di MilanoPolitecnico di Milano

I I SistemiSistemi FirewallFirewall

CEFRIELCEFRIELPolitecnicoPolitecnico didi MilanoMilano

CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 22 --

Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaI sistemi FirewallI sistemi Firewall

I sistemi firewall sono utilizzati per proteggere le reti da eventuali attacchiSe solo un server fosse mal configurato, potrebbe rappresentare un punto debole da attaccare facilmente per entrare all’interno della rete


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaI firewall e le policyI firewall e le policy

Il sistema firewall lavora a stretto contatto con la creazione di una policy, che deve essere definita:

bisogna avere ben chiaro che cosa il firewall può filtrare o può lasciar passare


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaTipologie di filtraggioTipologie di filtraggio

IP-firewall: controllo a livello 3 NetworkTutte le informazioni nel pacchetto verranno utilizzate per l’analisi

Transport level firewall: utilizziamo il protocolllo TCPApplication level firewall: lavoriamo a livello di singola applicazione


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaProgettazione di una reteProgettazione di una rete

In fase di progettazione di una rete da “coprire”, è opportuno suddividere essa in almeno 3 zone:

Rete InternaRete EsternaDMZ (Demilitarized Zone)


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaLe interfacce e i livelli di sicurezza Le interfacce e i livelli di sicurezza

(1)(1)

Ogni interfaccia ha un proprio livello di sicurezzaL’accesso alla rete interna è quello che maggiormente sarà sottoposto a verificheSi suppone che nella rete interna ci siano risorse “assolutamente” private


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaLe interfacce e i livelli di sicurezza Le interfacce e i livelli di sicurezza

(2)(2)

Nella zona DMZ, verranno posti i server “delicati”, cioè quelli che registrano molte connessioni giornaliere provenienti dall’esterno della reteRicordiamo che l’accesso da un interfaccia sicura , ad una meno sicura è sempre permesso, il contrario noInside ---------- DMZ OKDMZ ---------- Inside NOOutside--------- Inside NOInside ---------- Outside OK


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaBypass dei livelli di sicurezzaBypass dei livelli di sicurezza

Di default un firewall BLOCCA tutte le connessioni che dall’interfaccia outside entrano nell’ inside (da una meno sicura ad una più sicura)Bisogna esplicitare l’accesso attraverso le righe di un access-list


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaFirewall e routingFirewall e routing

Il firewall non fa routingNon è in grado di gestire i protocolli di routingBisogna dichiarare delle rotte statiche


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaMetodi di ispezione del pacchettoMetodi di ispezione del pacchetto

Quando su un router si crea un access-list bisogna fare attenzione sia al percorso del percorso di andata sia a quello di ritornoIl firewall invece, nel momento in cui si vede attraversare dal pacchetto che dall’host A si dirige verso l’host B, si comporta in questo modo:

Ricordiamo che il firewall blocca tutto di defaultSupponiamo che abbia esplicitato una riga di ACL sul firewall per permettere il traffico da A a BIl firewall tiene memoria della connessione di “andata” e apre un buco temporaneo per il pacchetto di ritorno


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaASA (adaptive security algorithm)ASA (adaptive security algorithm)

Tale operazione è meglio conosciuta come “ASA” e permette al firewall di analizzare molto più dettagliatamente di un ACL di un router l’informazione che transita attraverso esso


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaRotta di default e statiche (1)Rotta di default e statiche (1)

Abbiamo detto che il firewall NON è capace di fare routingE’ necessario stabilire delle rotte statiche per indirizzare i pacchettiNel caso in cui si voglia creare una rotta di default, digito i seguenti comandi:

route outside 0.0.0.0 0.0.0.0 192.150.50.1 1

In questo modo comunico che il “mio” default-gateway è la macchina 192.150.50.1 che “dista” 1 “hop” da me


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaRotta di default e statiche (2)Rotta di default e statiche (2)

La rotta appena creata, come si poteva notare dalla parola “outside”, è valida per i pacchetti che transitano in uscita dall’interfaccia “outside”Si esegue l’operazione in maniera identica per settare una rotta per il traffico in uscita dalla “inside”


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaPIX e abbreviazioni da riga di PIX e abbreviazioni da riga di

comandocomando

Il PIX NON offre il tasto TAB per autocompletare i comandi inseritiRiesce però a gestire le abbreviazioniSi tratta quindi di un autocompletamento “Interno”, che NON viene mostrato a video

Posso scrivere “Firewall#write mem” !!!Comportamento identico nel router


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaLogica di programmazioneLogica di programmazione

Anche nel firewall PIX, come per il router e lo switch, esiste la stessa logica di comandi e la stessa logica di divisione in “livelli” di programmazioneA seconda del livello in cui ci troviamo, abbiamo determinati dirittiTuttavia il comando “show config”,e molti comandi di “show”,si possono digitare da qualsiasi menù

Firewall(config)#show config OK!!!!!


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaSpecifiche dei livelli di Specifiche dei livelli di

programmazioneprogrammazione

Come per il router, il primo livello di programmazione prende il nome di

User modePrivilege mode

– Global Configuration Mode» Ecc...


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaPassword di enablePassword di enable

Quindi è consigliabile gestire da password il passaggio da “User mode” al “Privilege mode”, attraverso la password di enable:

pixfirewall> enablePassword:pixfirewall# enable password ciscopixfirewall# write terminalBuilding configuration......enable password 2oifudsaoid.9ff encrypted...


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaEsempio di configurazioneEsempio di configurazione


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard


PIX Version 5.1(2)nameif ethernet0 outside security0nameif ethernet1 inside security100nameif ethernet2 intf2 security10enable password 8Ry2YjIyt7RRXU24 encryptedpasswd 2KFQnbNIdI.2KYOU encryptedhostname pixfirewallfixup protocol ftp 21fixup protocol http 80fixup protocol h323 1720fixup protocol rsh 514fixup protocol smtp 25fixup protocol sqlnet 1521


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard


namespager lines 24logging onno logging timestampno logging standbyno logging consoleno logging monitorlogging buffered debuggingno logging trapno logging historylogging facility 20logging queue 512..........


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard


..........interface ethernet0 autointerface ethernet1 autointerface ethernet2 100fullmtu outside 1500mtu inside 1500mtu intf2 1500ip address outside 209.165.200.226

255.255.255.224ip address inside 10.1.1.1 255.255.255.0ip address intf2 127.0.0.1 255.255.255.255.........


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard


............global (outside) 1 209.165.200.227-

209.165.200.254 netmask 255.255.255.224nat (inside) 1 0.0.0.0 0.0.0.0 0 0route outside 0.0.0.0 0.0.0.0 209.165.200.225 1............


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaLe specifiche dei livelli di sicurezza Le specifiche dei livelli di sicurezza

(1)(1)

Riprendiamo questa riga di configurazione:PIX Version 5.1(2)nameif ethernet0 outside security0nameif ethernet1 inside security100nameif ethernet2 intf2 security10

Vediamo che sono stati assegnati degli identificativi di sicurezza alle singole interfaccePiù il numero è alto (security 100), più l’interfaccia deve essere protetta


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaLe specifiche dei livelli di sicurezza Le specifiche dei livelli di sicurezza

(2)(2)

Ricordiamo che:Inside ---------- DMZ OKDMZ ---------- Inside NOOutside--------- Inside NOInside ---------- Outside OKDMZ ----------- Outside OKOutside--------- DMZ NO

L’interfaccia DMZ, per noi potrebbe tranquillamente essere quella chiamata “Intf2”, che ha un livello di sicurezza intermedio


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaPermettere accesso ad un server Permettere accesso ad un server

interno (1)interno (1)

Server interno

FireWall

Rete interna

Internet


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaPermettere accesso ad un server Permettere accesso ad un server

interno (2)interno (2)

Come avremmo ragionato se avessimo avuto un router come filtro della connessione?Avremmo aggiunto una riga di access-list opportuna nella configurazione di esso


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaIl comando “static” (1)Il comando “static” (1)

Nel firewall bisogna effettuare un operazione preliminare:

LA MAPPATURA STATICA DELL’INDIRIZZO DA PROTEGGERE

Ricordiamo che il firewall NON fa routingAl massimo abbiamo configurato delle rotte statiche


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaIl comando “static” (2)Il comando “static” (2)

Il comando static prevede la seguente sintassi:static (inside, outside) 175.1.1.254 10.200.1.254

In questo caso, per connessioni che provengono dall’interfaccia outside, verso la inside, la mappatura dell’host da contattare è la seguente:

La macchina all’esterno viene vista con l’indirizzo ip 171.1.1.254, mentre realmente nella rete ha l’indirizzo 10.200.1.254


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaL’accessL’access--listlist

Ora abbiamo bisogno di inserire una riga di access-list per permettere questo tipo di traffico

Access-list outside_in permit TCP any 171.1.1.254 255.255.255.0access-group outside_in in interface outside

Notiamo che a differenza del router, dopo l’indirizzo ip, sia esso sorgente o destinazione, c’è la Subnet Mask e NON la Wildcard


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaFirewall e ACLFirewall e ACL

Il firewall nasce come strumento per proteggere la rete da intrusioni indesiderateE’ uno strumento hardware che riesce ad arrivare a filtrare i dati fino al livello applicazioneAbbiamo visto che il router, con le ACL estese, può raggiungere al massimo il livello 4 di trasporto

Access-list 101 permit TCP any any eq 23


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaFirewall Vs. Router: logica di Firewall Vs. Router: logica di

filtraggiofiltraggio

Il router, NON nasce per filtrare ma per RUOTARE i pacchettiLe ACL tuttavia sono un ottimo strumento di protezione della propria reteIl router, di default, PERMETTE tutto il traffico di rete, a meno che non si specifichi una riga di ACLIl firewall ragione in termini completamente opposti


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaConcetto di Access List nel firewallConcetto di Access List nel firewall

Anche nel firewall è utilizzato il concetto di ACL, ma senza la distinzione tra estese e standard

access-list 90 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0SONO TUTTE ESTESE!

Anche nel firewall l’ ACL deve essere applicata ad un interfaccia in ingresso o in uscita

access-group 101 in interface outside


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaNAT e PATNAT e PAT

Il concetto di NAT (Network Address Translation) è fondamentale in una pianificazione della politica di sicurezza di un enteIl NAT permette di avere una “traduzione” del mio indirizzo ip reale (solitamente un privato) in uno ruotabile su internet


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaPrincipio di funzionamento del NATPrincipio di funzionamento del NAT

Solitamente, una delle possibili configurazioni del firewall pix è dettata dal fatto che l’indirizzo raggiungibile dall’esterno di una rete, sia esclusivamente quello dell’interfaccia esterna del pix

Server interno

FireWall

Rete interna10.0.0.0 /24

Internet131.175.53.50


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaNAT: esempio praticoNAT: esempio pratico

Per fare questo, digitare i seguenti comandi:nat (inside) 1 0.0.0.0 0.0.0.0 0 0

In questo modo stabiliamo sul pix che TUTTI i pacchetti che provengono dall’interfaccia “inside”, subiranno un processo di NATTING a cui diamo l’etichetta “1”


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaConfigurazione del NAT: il comando Configurazione del NAT: il comando

“global”“global”

Ma il comando che configura il NAT non bastaBisogna comunicare al firewall che in uscita, il pacchetto che proveniva dall’interfaccia “Inside”, e si dirige verso un’altra interfaccia, deve essere “mutato” in un nuovo IP

global (outside) 1 209.165.200.227-209.165.200.254 netmask 255.255.255.224

In questo caso gestiamo i pacchetti destinati all’interfaccia “outside”NOTIAMO lo stesso ID (nel nostro caso “1”)sia per il comando NAT che per il comando GLOBAL


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaDisabilitare il NAT di un firewallDisabilitare il NAT di un firewall

Per disabilitare il NAT di un firewall, digitare il seguente comando

nat (inside) 0 access-list 101

L’elemento che elimina il nat è l’identificativo “0” della rigaIn questo modo disabilito il NAT per le macchine che soddisfano almeno una riga dell’access-list di riferimentoNOTIAMO che NON è necessario il comando GLOBAL


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaCoesistenza di NAT “0” e NAT “1”Coesistenza di NAT “0” e NAT “1”

Possiamo far coesistere le due cose:access-list 101 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0 global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192 nat (inside) 0 access-list 101 nat (inside) 1 10.0.0.0 255.0.0.0 0 0


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaAssegnazione indirizzo ip alle Assegnazione indirizzo ip alle

interfacceinterfacce

ip address outside 192.150.50.3 255.255.255.0ip address inside 172.31.2.100 255.0.0.0


Prog

etto

Pr

oget

to S

cuol

a Sc

uola

––U

.S.R

. Lom

bard

iaU

.S.R

. Lom

bard

iaThe EndThe End

...buon lavoro!

I Sistemi Firewall - giovannipagano.eu Sistemi Firewall.p… · Il firewall invece, nel momento in...

Documents

Transcript of I Sistemi Firewall - giovannipagano.eu Sistemi Firewall.p… · Il firewall invece, nel momento in...