Il Firewall

Sistemi di elaborazione dell’informazione :

Sicurezza

Anno Accademico 2001/2002

Martini Eros

Indice degli Argomenti

Introduzione ai Firewall Breve Introduzione al Packet filtering Proxying

- Circuit Relay

- Application Gateway Architetture di un Firewall

- Introduzione ai Firewall -

Come proteggere una Rete

Per proteggere una rete da attacchi esterni sono possibilii seguenti approcci :• No Security: e’ il piu’ semplice approccio possibile; non si effettua nessun controllo

• Security Through Obscurity: non si conosce l’esistenza della rete e

soprattutto il suo contenuto

• Host Security: si cerca di garantire la sicurezza di ogni host che fa parte

della rete

• Network Security: si controllano gli accessi ai vari host e servizi della

rete piuttosto che garantire la sicurezza del singolo host

N.B. : NESSUNO di questi modelli risolve completamente i problemi di sicurezza della rete.

- Introduzione ai Firewall -

Cosa e’ un Internet Firewall

Il Firewall e’ una efficace implementazione del modelloNetwork Security.Esso fa in modo che i pericoli provenienti daInternet non possano diffondersi all’interno di una rete privata.

Le sue principali funzioni sono:• Restringere l’accesso alla rete in un punto attentamente controllato• Impedire che eventuali intrusi arrivino vicini alle altre difese della propria rete• Restringere l’uscita al mondo esterno in un punto attentamente

controllato

- Introduzione ai Firewall -

Cosa puo’ fare

• Controlla tutto il traffico in entrata e in uscita dalla propria

rete locale

• Implementa la politica di sicurezza della rete, abilitando soltanto opportuni servizi scelti in base ad preciso insieme di regole

• Registra in modo efficiente le attivita’ su Internet

• Mantiene separate le varie sezioni della propria rete , facendo in modo che eventuali problemi di una singola sezione non si diffondano all’intera rete

- Introduzione ai Firewall -

Cosa non puo’ fare

• Il Firewall non puo’ controllare direttamente quelli che sono gia’ all’interno della rete

• Controllare il traffico che non lo attraversa direttamente

• Non puo’ garantire nessun tipo di sicurezza contro le “minacce sconosciute”

• Non protegge dai virus

- Introduzione ai Firewall -

Tecnologie utilizzate nei Firewall

FUNZIONI SVOLTE : POSIZIONE :

• Packet Filtering

- Screening Router router interni o esterni

- Host Based Packet Filter bastion host

• Proxying

- Circuit Relay bastion host

- Application Gateway bastion host

Questa classificazione e’ fatta in base alle funzioni svolte e alla

posizione in cui viene implementato il Firewall stesso, su un router o su di

un bastion host

- Introduzione al Packet Filtering -

Il Packet Filtering

Il Packet Filtering e’ un meccanismo frequentemente utilizzato nella costruzione

di un Firewall.Analizza i pacchetti in transito fra le reti decidendo quali lasciar

passare e quali fermare.Le tecniche di Packet Filtering si basano su precise regole

che sono state stabilite nella politica di sicurezza della rete .

Il software che implementa il Packet Filtering e’ in grado di esaminare l’header

di ciascun pacchetto non appena questo transita per passare da una rete all’altra.

InternetRete

Protetta

Screening Router o Host-based Packet Filter

a a

b

c c

- Introduzione al Packet Filtering -

Regole

• Provenienza dei pacchetti• Informazioni contenute nell’IP header tipo di protocollo

indirizzo IP mittenteindirizzo IP destinatario

• Informazioni contenute nel TCP headerporta TCP mittenteporta TCP destinatarioTCP flags ( per esempio ACK )

• Informazioni contenute nell’UDP headerporta UDP mittenteporta UDP destinatario

- Introduzione al Packet Filtering -

Packet Filtering e Pila OSI

Il Packet Filtering e’ spesso una

buona prima linea di difesa nella

architettura di un Firewall.

I dispositivi e il software che

realizzano il PF servono per

controllare attentamente

l’accesso ad una rete.

Il PF lavora ai livelli piu’ bassi

della pila TCP/IP ( Transport e

Network)

Application

Hardware

SessionTransportNetwork

Data Link

Presentation

Ip,Icmp

Tcp,Udp Packet

Filtering

- Introduzione al Packet Filtering -

Metodo di Lavoro

Le regole tradotte nella sintassi specifica dello Screening Routero dell’Host-Based Packet Filter funzionano nel seguente modo :1. Le regole del PF sono espresse come una tabella di condizioni e azioni applicate in un ordine specifico2. Ricevuto un pacchetto vengono esaminati i campi contenuti negli header IP,TCP e UDP3. I pacchetti vengono confontati con ciascuna delle regole

decidendo poi di instradare o bloccare un pacchetto4. Se un pacchetto soddisfa tutte le condizioni di una riga della

tabella delle regole, allora l’azione specificata in quella riga (accettare o negare) viene eseguita

- Introduzione al Packet Filtering -

Schema generale

Host sullaRete Protetta

Soddisfa laRegola ?

AccettareO

Rifiutare ?

no

si

Host inInternet

Prossimaregola

pacchettoricevuto

rifiutare

accettare

- Proxying -

Il Proxying

Con il Proxying si ha l’impressione che gli host della rete siano direttamenteconnessi all’esterno. In realta’ sono gli host che hanno l’accesso fisico all’esternoche agiscono da procuratori per tutte le altre macchine. Un proxy server viene quindi installato su un Dual-Homed host o su di un Bastion Host.. Il proxy seguendo regole di filtering decide quali richieste lasciar passare e quali rifiutare.Per l’utente, parlare con il proxy e’ come parlare con il server reale.E’ molto importante l’utilizzo del proxying anche per le funzioni di CACHING

Serverreale

Client Dual – Homed

Bastion Host

Proxy ServerInternet Rete Protetta

- Proxying -

Meccanismi del Proxying

Il Proxy e’ essenzialmente costituito da software che agisce a

livello di servizi Internet. I due meccanismi fondamentali che

gestiscono il proxying sono :

• Circuit Relay

Un unico proxy server si incarica di controllare le varie

applicazioni di rete

• Application Gateway

Un proxy server separato deve essere creato per ciascuna

applicazione di rete

Con il proxy otteniamo quello che non avevamo con il PF:

- Politiche di sicurezza piu’ dettagliate e migliori meccanismi di Auditing

- Semplicita’ nell’implementare le regole

- Facilita’ nel verificare la correttezza delle regole

- Proxying -

Proxying e Pila OSI

Il proxying puo’ quindi lavorare sia al livello Transport sia al livello

Application della pila OSI.

Application

Hardware

SessionTransportNetwork

Data Link

Presentation

Ip,Icmp

Tcp,Udp Circuit

Telnet,Ftp,Http

relay

ApplicationGateway

- Circuit Relay -

Circuit Relay

• Molto simile al packet filtering per i suoi criteri di decisione; determina se lasciar passare o meno un pacchetto basandosi sulle informazioni contenute nel suo header

• Rispetto al packet filtering crea un nuovo pacchetto con un altro header.In questo modo l’eventuale risposta del server sara’ indirizzata al Proxy

• Tale meccanismo impedisce ad un qualsiasi utente di far sapere dove si trova all’interno della rete e protegge gli esterni che non vogliono far conoscere all’utente la loro posizione

- Circuit Relay -

Componenti di un Circuit Relay

Consiste di :• Client “ modificati ” : inoltrano le richieste di collegamento a

Internet a server dedicati posti su di un Bastion Host• Un proxy server generico , che inoltra le richieste agli host su

Internet e risponde ai clientN.B.: E’ possibile permettere connessioni solo ad host autorizzati e

solo a certe destinazioni su Internet.Il Cr copia semplicemente i pacchetti da un sistema ad un altro,cambia l’indirizzo IP in quello del circuit relay server e effettua alcuni controlli di sicurezza sulla provenienza e sulla destinazione delle connessioni. Il fatto di dover installare su ogni client un software opportuno e’ cosa talvolta onerosa e spesso causa di errori

- Circuit Relay -

Funzionamento del Circuit Relay

1. Un utente richiede un servizio applicativo da un client modificato su un host interno

2. Si tenta di inviare la richiesta direttamente all’application server su Internet

3. Il client si accorge che non e’ raggiungibile quindi si connette con il Circuit Relay

4. Il CR riceve il pacchetto dal client

5. Il CR controlla le caratteristiche del pacchetto seguendo le regole nel file sockfd.conf

6. Il CR o blocca il pacchetto o si connette con l’host di destinazione

7. L’host di destinazione risponde al CR con un pacchetto che riceve lo stesso trattamento del precedente

- Circuit relay -

Schema di funzionamento

Bastion Host

Circuit Relay

ApplicationServer

Clientmodificato

Internet Rete Protetta

richiesta richiesta

risposta risposta

- Application Gateway -

Application Gateway

• Risponde al client come un server reale per una determinata applicazione, in realta’ le richieste vengono inoltrate al server reale

• Non ci sono Client “ modificati ”• Puo’ essere configurato per servire solo client autorizzati e limitare il

loro accesso a certi comandi e a certe destinazioni• Lavora al livello Application della pila OSI• Agisce per una specifica applicazione• E’ piu’ costoso ed ha un sensibile impatto sulle prestazioni del

sistema• Offre in compenso caratteristiche di sicurezza piu’ evolute

direttamente implementate nel livello Application

- Application Gateway -

Funzionamento di un Application Gateway

1. Un utente richiede un servizio Internet2. Il client si connette all’Application Gateway sul Bastion Host3. Identificazione del client attraverso indirizzo e il protocollo IP o

attraverso un’autenticazione manuale ( password )4. Il client sceglie l’host di destinazione5. Attraverso le regole di autorizzazione, l’Application Gateway

decide se accettare o rifiutare l’accesso al servizio richiesto6. L’Application Gateway si connette al server reale usando il

protocollo applicativo appropriato7. Il client manda un comando attraverso l’Application Gateway8. L’Application Gateway registra il comando, controlla le regole ed

accetta o rifiuta l’operazione

- Application Gateway -

Schema di funzionamento

Server suInternet

Hardware

TransportNetwork

Data LinkHardware

TransportNetwork

Data Link

ApplicationGateway Application

Client

- Architetture -

Architetture di un Firewall

• Border Router

• Dual – Homed Bastion Host

• Screened Host

• Screened Subnet

• Architetture ibride

- Screened Subnet con Bastion Host multipli

- Dual – Homed Bastion Host con DMZ

- Screened Subnet con Backbone interno

- Architetture -

Border Router

InternetScreening

Router

Host A

Host B

Rete Protetta

E’ uno dei piu’ semplici esempi di

implementazione del Packet Filtering

- Architetture -

Dual – Homed Bastion Host

InternetRete

Protetta Dual – Homed

Bastion Host

Il Firewall consiste in un Bastion Host con due interfacce di rete.

Indirizzo IP diverso su ciascuna interfaccia. L’instradamento e’

disabilitato sul Dual – Homed Bastion host cosi’ i pacchetti IP

non sono direttamente instradati da una rete all’altra.

- Architetture -

Screened Host

Internet Screening Router

Host B

Host A

BastionHost

Rete Protetta

In questo caso il Bastion host supporta una singola interfaccia di Rete.

Lo screening router permette agli host esterni di

comunicare solo con il Bastion host. Questo

supporta tipicamente i proxy services.

- Architetture -

Screened Subnet

InternetScreening

RouterEsterno

Host A

Host B

BastionHost

ScreeningRouterInterno

DMZRete Protetta

DMZ = Perimeter Network.

Architettura che cerca di

Schermare la rete protetta da

Attacchi che arrivano

Al Bastion Host

- Architetture Ibride -

Screened Subnet con Bastion Host multipli

InternetScreening

RouterEsterno

Host A

Host B

Bastion Hostftp

server

ScreeningRouterInterno

DMZ

Bastion Hostwww server Bastion Host

Proxyservers

Rete Protetta

Possibilita’ di utilizzare

macchine “ vittima “

- Architetture Ibride -

Dual – Homed Bastion Host con DMZ

InternetScreening

RouterEsterno

Host A

Host B

Bastion Hostftp

server

DMZ

Bastion Hostwww server

Rete Protetta

Dual – Homed Bastion HostProxy Servers

- Architetture Ibride -

Screened Subnet con Backbone interno

InternetScreening

RouterEsterno

ScreeningRouterInterno

BastionHost

ScreeningRouter

ScreeningRouter

Rete Protetta

Sotto

Rete A

Sotto

Rete B

DMZ Backbone internoIl Backbone interno impedisce

che un intruso gia’ arrivato al

Bastion host possa controllare

il traffico interno che passa

attraverso la DMZ.

Utile anche contro IP spoofing

- Conclusioni -

Conclusioni

• Esistono vari tipi di architetture di un Firewall• I Firewall si basano su tecnologie in continua evoluzione• I futuri Firewall saranno sempre piu’ potenti e trasparenti• La sua realizzazione dipende dalla politica di sicurezza adottata

e soprattutto dal Budget disponibile• Il problema del traffico interno e’ ancora notevole

- i dati in ingresso attraverso un Firewall possono contenere virus o comunque compromettere la sicurezza degli host interni in vari modi- molti Firewall non riescono a proteggere da attachi ben mirati ( problema a volte risolvibile con l’utilizzo di macchine “ vittima “ )